入侵指標
在计算机取证领域,入侵指标(英語:Indicator of compromise,直译:「失陷迹象」)是指在计算机网络或操作系统中被发现能高度把握表明系统已被攻破而不再可信的迹象。[1]
指标类型
[编辑]常见的入侵指标包括病毒特征码、可疑IP地址、恶意软件文件的校验和以及与被殭屍網絡指挥控制的服务器相关的恶意URL或域名。通过事件响应或取证分析识别出的入侵指标,将来可以被利用于入侵检测系统和防病毒软件提前发现攻击。
自动化与共享
[编辑]一些旨在实现入侵指标自动化处理和共享的标准和举措:
网络安全领域内部经常交换已知指标,通常使用交通灯协议(TLP)来指导其信息共享方式。[4]还有其他框架和标准亦可用于支持安全信息共享。[5][6][7][8][9][10]
参阅
[编辑]- AlienVault
- 曼迪安特
- 恶意软件
- 恶意软件信息共享平台(MISP)
参考
[编辑]- ^ Gragido, Will. Understanding Indicators of Compromise (IoC) Part I. RSA. 3 October 2012 [5 June 2019]. (原始内容存档于14 September 2017).
- ^ The Incident Object Description Exchange Format. IETF. December 2007 [5 June 2019]. (原始内容存档于2025-03-06).
- ^ Introduction to STIX. OASIS. [5 June 2019]. (原始内容存档于2025-06-07).
- ^ FIRST announces Traffic Light Protocol (TLP) version 1.0. Forum of Incident Response and Security Teams. [31 December 2019]. (原始内容存档于2024-06-26).
- ^ Luiijf, Eric; Kernkamp, Allard. Sharing Cyber Security Information (PDF). Toegepast Natuurwetenschappelijk Onderzoek. March 2015 [31 December 2019]. (原始内容存档 (PDF)于2023-04-18).
- ^ Stikvoort, Don. ISTLP – Information Sharing Traffic Light Protocol (PDF). National Infrastructure Security Co-ordination Centre. 11 November 2009 [31 December 2019]. (原始内容 (PDF)存档于2016-10-25).
- ^ Development of Policies for Protection of Critical Information Infrastructures (PDF). Organisation for Economic Co-operation and Development. [31 December 2019]. (原始内容存档 (PDF)于2016-03-04).
- ^ ISO/IEC 27010:2015. International Organization for Standardization / International Electrotechnical Commission. November 2015 [31 December 2019]. (原始内容存档于2023-04-22).
- ^ Traffic Light Protocol (TLP) Definitions and Usage. United States Department of Homeland Security. [31 December 2019]. (原始内容存档于2018-08-24).
- ^ Traffic Light Protocol. Centre for Critical Infrastructure Protection. [31 December 2019]. (原始内容存档于5 February 2013).