- 肉鸡
所谓“肉鸡”是一种很形象的比喻,比喻那些可以被攻击者控制的电脑、手机、服务器或者其他摄像头、路由器等智能设备,用于发动网络攻击,例如在 2016 年美国东海岸断网事件中,黑客组织控制了大量的联网摄像头用于发动网络攻击,这些摄像头则可被称为“肉鸡” 。 - 僵尸网络
僵尸网络 Botnet 是指采用一种或多种传播手段,将大量主机感染病毒,从而在控制者和被感染主机之间所形成的一个可一对多控制的网络僵尸网络是一个非常形象的比喻,众多的计算机在不知不觉中如同中国古老传说中的僵尸群一样被人驱赶和指挥着,成为被攻击者执行各类恶意活动(DDOS、垃圾邮件等)利用的一种基础设施。 - 木马
就是那些表面上伪装成了正常的程序,但是当这些程序运行时,就会获取系统的整个控制权限。有很多黑客就是热衷使用木马程序来控制别人的电脑,比如灰鸽子、Gh0st、 PcShare 等等。 - 网页木马
表面上伪装成普通的网页或是将恶意代码直接插入到正常的网页文件中,当有人访问时,网页木马就会利用对方系统或者浏览器的漏洞自动将配置好的木马服务端植入到访问者的电脑上来自动执行将受影响的客户电脑变成肉鸡或纳入僵尸网络。 - Rootkit
Rootkit 是攻击者用来隐藏自己的行踪和保留 root(根权限,可以理解成 WINDOWS 下的 system 或者管理员权限)访问权限的工具。通常,攻击者通过远程攻击的方式获得 root 访问权限,或者是先使用密码猜解(破解)的方式获得对系统的普通访问权限,进入系统后,再通过对方系统存在的安全漏洞获得系统的 root 或system 权限。然后,攻击者就会在对方的系统中安装 Rootkit,以达到自己长久控制对方的目的, Rootkit 功能上与木马和后门很类似,但远比它们要隐蔽。 - 蠕虫病毒
它是一类相对独立的恶意代码,利用了联网系统的开放性特点,通过可远程利用的漏洞自主地进行传播,受到控制终端会变成攻击的发起方,尝试感染更多的系统。蠕虫病毒的主要特性有:自我复制能力、很强的传播性、潜伏性、特定的触发性、很大的破坏性。 - 震网病毒
又名 Stuxnet 病毒,是第一个专门定向攻击真实世界中基础(能源)设施的“蠕虫” 病毒,比如核电站,水坝,国家电网。作为世界上首个网络“超级破坏性武器”, Stuxnet 的计算机病毒已经感染了全球超过 45000 个网络,其目标伊朗的铀浓缩设备遭到的攻击最为严重。 - 勒索病毒
主要以邮件、 程序木马、网页挂马的形式进行传播。该病毒性质恶劣、危害极大,一旦感染给用户带来无法估量的损失。这种病毒利用各种加密算法对文件进行加密,被感染者一般无法解密,必须拿到解密的私钥才有可能破解。 - 挖矿木马
一种将 PC、移动设备甚至服务器变为矿机的木马,通常由挖矿团伙植入,用于挖掘比特币从而赚取利益。 - 攻击载荷
攻击载荷(Payload)是系统被攻陷后执行的多阶段恶意代码。通常攻击载荷附加于漏洞攻击模块之上,随漏洞攻击一起分发,并可能通过网络获取更多的组件。 - EXP
一般指利用系统漏洞进行攻击的动作程序。 - POC
概念验证(Proof of concept)是对某些想法的一个初步简单的实现,主要验证攻击的可能性。 - 嗅探器(Sniffer)
就是能够捕获网络报文的设备或程序。嗅探器的正当用处在于分析网络的流量,以便找出所关心的网络中潜在的问题。 - 恶意软件
被设计来达到非授权控制计算机或窃取计算机数据等多种恶意行为的程序。 - 间谍软件
一种能够在用户不知情的情况下,在其电脑、手机上安装后门,具备收集用户信息、监听、偷拍等功能的软件。 - 后门
这是一种形象的比喻,入侵者在利用某些方法成功的控制了目标主机后,可以在对方的系统中植入特定的程序,或者是修改某些设置,用于访问、查看或者控制这台主机。这些改动表面上是很难被察觉的,就好象是入侵者偷偷的配了一把主人房间的钥匙,或者在不起眼处修了一条暗道,可以方便自身随意进出。通常大多数木马程序都可以被入侵者用于创建后门(BackDoor)。 - 弱口令
指那些强度不够,容易被猜解的,类似 123, abc 这样的口令(密码)。 - 漏洞
漏洞是在硬件、 软件、协议的具体实现或系统安全策略上存在的缺陷,从而可以使攻击者能够在未授权的情况下访问或破坏系统。奇安信集团董事长齐向东在《漏洞》一书中指出,软件的缺陷是漏洞的一个主要来源,缺陷是天生的,漏洞是不可避免的。 - 远程命令执行漏洞
由于系统设计实现上存在的漏洞,攻击者可能通过发送特定的请求或数据导致在受影响的系统上执行攻击者指定的任意命令。 - 0day漏洞
0day漏洞最早的破解是专门针对软件的, 叫做WAREZ,后来才发展到游戏,音乐,影视等其他内容的。0day 中的 0 表示Zero,早期的 0day 表示在软件发行后的 24 小时内就出现破解版本。在网络攻防的语境下, 0day 漏洞指那些已经被攻击者发现掌握并开始利用,但还没有被包括受影响软件厂商在内的公众所知的漏洞,这类漏洞对攻击者来说有完全的信息优势,由于没有漏洞的对应的补丁或临时解决方案,防守方不知道如何防御,攻击者可以达成最大可能的威胁。 - 1day 漏洞
指漏洞信息已公开但仍未发布补丁的漏洞。此类漏洞的危害仍然较高,但往往官方会公布部分缓解措施,如关闭部分端口或者服务等。 - Nday 漏洞
指已经发布官方补丁的漏洞。通常情况下,此类漏洞的防护只需更新补丁即可,但由于多种原因,导致往往存在大量设备漏洞补丁更新不及时,且漏洞利用方式已经在互联网公开,往往此类漏洞是黑客最常使用的漏洞。例如在永恒之蓝事件中,微软事先已经发布补丁,但仍有大量用户中招。 - 挂马
就是在别人的网站文件里面放入网页木马或者是将代码潜入到对方正常的网页文件里,以使浏览者中马。 - 挖洞
指漏洞挖掘。 - 加壳
就是利用特殊的算法,将 EXE 可执行程序或者 DLL 动态连接库文件的编码进行改变(比如实现压缩、加密),以达到缩小文件体积或者加密程序编码,甚至是躲过杀毒软件查杀的目的。目前较常用的壳有 UPX, ASPack、 PePack、 PECompact、 UPack、免疫007、木马彩衣等等。简单的解释就是程序对输入数据没有执行有效的边界检测而导致错误,后果可能是造成程序崩溃或者是执行攻击者的命令。 - 缓冲区溢出
攻击者向一个地址区输入这个区间存储不下的大量字符。在某些情况下,这些多余的字符可以作为“执行代码”来运行,因此足以使攻击者不受安全措施限制而获得计算机的控制权。 - 注入
Web 安全头号大敌。攻击者把一些包含攻击代码当做命令或者查询语句发送给解释器,这些恶意数据可以欺骗解释器,从而执行计划外的命令或者未授权访问数据。注入攻击漏洞往往是应用程序缺少对输入进行安全性检查所引起的。注入漏洞通常能在 SQL 查询、 LDAP 查询、 OS 命令、程序参数等中出现。 - SQL 注入
注入攻击最常见的形式,主要是指 Web 应用程序对用户输入数据的合法性没有判断或过滤不严,攻击者可以在 Web 应用程序中事先定义好的查询语句的结尾上添加额外的 SQL 语句,在管理员不知情的情况下实现非法操作,以此来实现欺骗数据库服务器执行非授权的任意查询或其他操作,导致数据库信息泄露或非授权操作数据表。 - 注入点
即可以实行注入的地方,通常是一个涉及访问数据库的应用链接。根据注入点数据库的运行帐号的权限的不同,你所得到的权限也不同。 - 软件脱壳
顾名思义,就是利用相应的工具,把在软件“外面”起保护作用的“壳”程序去除,还文件本来面目,这样再修改文件内容或进行分析检测就容易多了。 - 免杀
就是通过加壳、加密、修改特征码、加花指令等等技术来修改程序,使其逃过杀毒软件的查杀。 - 暴力破解
简称“爆破”。黑客对系统中账号的每一个可能的密码进行高度密集的自动搜索,从而破坏安全并获得对计算机的访问权限。 - 洪水攻击
是黑客比较常用的一种攻击技术,特点是实施简单,威力巨大,大多是无视防御的。从定义上说,攻击者对网络资源发送过量数据时就发生了洪水攻击,这个网络资源可以是 router, switch, host,application 等。洪水攻击将攻击流量比作成洪水,只要攻击流量足够大,就可以将防御手段打穿。DDoS 攻击便是洪水攻击的一种。 - SYN 攻击
利用操作系统 TCP 协调设计上的问题执行的拒绝服务攻击,涉及TCP 建立连接时三次握手的设计。 - DoS 攻击
拒绝服务攻击。攻击者通过利用漏洞或发送大量的请求导致攻击对象无法访问网络或者网站无法被访问。 - DDoS
分布式 DOS 攻击,常见的 UDP、 SYN、反射放大攻击等等,就是通过许多台肉鸡一起向你发送一些网络请求信息,导致你的网络堵塞而不能正常上网。 - 抓鸡
即设法控制电脑, 将其沦为肉鸡。 - 端口扫描
端口扫描是指发送一组端口扫描消息,通过它了解到从哪里可探寻到攻击弱点,并了解其提供的计算机网络服务类型,试图以此侵入某台计算机。 - 花指令
通过加入不影响程序功能的多余汇编指令,使得杀毒软件不能正常的判断病毒文件的构造。说通俗点就是“杀毒软件是从头到脚按顺序来识别病毒。如果我们把病毒的头和脚颠倒位置,杀毒软件就找不到病毒了”。 - 反弹端口
有人发现, 防火墙对于连入的连接往往会进行非常严格的过滤,但是对于连出的连接却疏于防范。于是,利用这一特性,反弹端口型软件的服务端(被控制端)会主动连接客户端(控制端),就给人“被控制端主动连接控制端的假象,让人麻痹大意。 - 网络钓鱼
攻击者利用欺骗性的电子邮件或伪造的 Web 站点等来进行网络诈骗活动。诈骗者通常会将自己伪装成网络银行、在线零售商和信用卡公司等可信的品牌,骗取用户的私人信息或邮件账号口令。受骗者往往会泄露自己的邮箱、私人资料,如信用卡号、银行卡账户、身份证号等内容。 - 鱼叉攻击
鱼叉攻击是将用鱼叉捕鱼形象的引入到了网络攻击中,主要是指可以使欺骗性电子邮件看起来更加可信的网络钓鱼攻击,具有更高的成功可能性。不同于撒网式的网络钓鱼,鱼叉攻击往往更加具备针对性,攻击者往往“见鱼而使叉” 。为了实现这一目标,攻击者将尝试在目标上收集尽可能多的信息。通常,组织内的特定个人存在某些安全漏洞。 - 钓鲸攻击
捕鲸是另一种进化形式的鱼叉式网络钓鱼。它指的是针对高级管理人员和组织内其他高级人员的网络钓鱼攻击。通过使电子邮件内容具有个性化并专门针对相关目标进行定制的攻击。 - 水坑攻击
顾名思义,是在受害者必经之路设置了一个“水坑(陷阱)” 。最常见的做法是,黑客分析攻击目标的上网活动规律,寻找攻击目标经常访问的网站的弱点,先将此网站“攻破” 并植入攻击代码,一旦攻击目标访问该网站就会“中招” 。 - 嗅探
嗅探指的是对局域网中的数据包进行截取及分析,从中获取有效信息。 - APT 攻击
Advanced Persistent Threat,即高级可持续威胁攻击,指某组织在网络上对特定对象展开的持续有效的攻击活动。这种攻击活动具有极强的隐蔽性和针对性,通常会运用受感染的各种介质、供应链和社会工程学等多种手段实施先进的、持久的且有效的威胁和攻击。 - C2
C2 全称为 Command and Control,命令与控制,常见于 APT 攻击场景中。作动词解释时理解为恶意软件与攻击者进行交互,作名词解释时理解为攻击者的“基础设施” 。 - 供应链攻击
是黑客攻击目标机构的合作伙伴,并以该合作伙为跳板,达到渗透目标用户的目的。一种常见的表现形式为,用户对厂商产品的信任,在厂商产品下载安装或者更新时进行恶意软件植入进行攻击。所以,在某些软件下载平台下载的时候,若遭遇捆绑软件,就得小心了! - 社会工程学
一种无需依托任何黑客软件,更注重研究人性弱点的黑客手法正在兴起,这就是社会工程学黑客技术。通俗而言是指利用人的社会学弱点实施网络攻击的一整套方法论,其攻击手法往往出乎人意料。世界第一黑客凯文·米特尼克在《反欺骗的艺术》中曾提到,人为因素才是安全的软肋。很多企业、公司在信息安全上投入大量的资金,最终导致数据泄露的原因,往往却是发生在人本身。 - 拿站
指得到一个网站的最高权限,即得到后台和管理员名字和密码。 - 提权
指得到你本没得到的权限,比如说电脑中非系统管理员就无法访问一些 C 盘的东西,而系统管理员就可以,通过一定的手段让普通用户提升成为管理员,让其拥有管理员的权限,这就叫提权。 - 渗透
就是通过扫描检测你的网络设备及系统有没有安全漏洞,有的话就可能被入侵,就像一滴水透过一块有漏洞的木板,渗透成功就是系统被入侵。 - 横移
指攻击者入侵后, 从立足点在内部网络进行拓展,搜寻控制更多的系统。 - 跳板
一个具有辅助作用的机器,利用这个主机作为一个间接工具,来入侵其他主机,一般和肉鸡连用。 - 网马
就是在网页中植入木马,当打开网页的时候就运行了木马程序。 - 黑页
黑客攻击成功后, 在网站上留下的黑客入侵成功的页面,用于炫耀攻击成果。 - 暗链
看不见的网站链接,“暗链”在网站中的链接做得非常隐蔽,短时间内不易被搜索引擎察觉。它和友情链接有相似之处,可以有效地提高网站权重。 - 拖库
拖库本来是数据库领域的术语,指从数据库中导出数据。在网络攻击领域,它被用来指网站遭到入侵后,黑客窃取其数据库文件。 - 撞库
撞库是黑客通过收集互联网已泄露的用户和密码信息,生成对应的字典表,尝试批量登陆其他网站后,得到一系列可以登录的用户。很多用户在不同网站使用的是相同的帐号密码,因此黑客可以通过获取用户在 A 网站的账户从而尝试登录 B 网址,这就可以理解为撞库攻击。 - 暴库
入侵网站的一种手法,通过恶意代码让网站爆出其一些敏感数据来。 - CC 攻击
即 Challenge Collapsar,名字来源于对抗国内安全厂商绿盟科技早期的抗拒绝服务产品黑洞,攻击者借助代理服务器生成指向受害主机的涉及大量占用系统资源的合法请求,耗尽目标的处理资源,达到拒绝服务的目的。 - Webshell
Webshell 就是以 asp、 php、 jsp 或者 cgi 等网页文件形式存在的一种命令执行环境,也可以将其称做是一种网页后门,可以上传下载文件,查看数据库,执行任意程序命令等。 - 跨站攻击
通常简称为 XSS,是指攻击者利用网站程序对用户输入过滤不足,输入可以显示在页面上对其他用户造成影响的 HTML 代码,从而盗取用户资料、利用用户身份进行某种动作或者对访问者进行病毒侵害的一种攻击方式。 - 中间人攻击
中间人攻击是一种“间接”的入侵攻击,这种攻击模式是通过各种技术手段将受入侵者控制的一台计算机虚拟放置在网络连接中的两台通信计算机之间,通过拦截正常的网络通信数据,并进行数据篡改和嗅探,而这台计算机就称为“中间人”。 - 薅羊毛
指网赚一族利用各种网络金融产品或红包活动推广下线抽成赚钱,又泛指搜集各个银行等金融机构及各类商家的优惠信息,以此实现盈利的目的。这类行为就被称之为薅羊毛。 - 商业电子邮件攻击(BEC)
也被称为“变脸诈骗”攻击,这是针对高层管理人员的攻击,攻击者通常冒充(盗用)决策者的邮件,来下达与资金、利益相关的指令;或者攻击者依赖社会工程学制作电子邮件,说服/诱导高管短时间进行经济交易。 - 电信诈骗
是指通过电话、 网络和短信方式,编造虚假信息,设置骗局,对受害人实施远程、非接触式诈骗,诱使受害人打款或转账的犯罪行为,通常以冒充他人及仿冒、伪造各种合法外衣和形式的方式达到欺骗的目的。 - 杀猪盘
网络流行词, 电信诈骗的一种,是一种网络交友诱导股票投资、赌博等类型的诈骗方式,“杀猪盘”则是“从业者们”自己起的名字,是指放长线“养猪”诈骗,养得越久,诈骗得越狠。 - ARP 攻击
ARP 协议的基本功能就是通过目标设备的 IP 地址,查询目标设备的 MAC 地址,以保证通信的进行。基于 ARP 协议的这一工作特性,黑客向对方计算机不断发送有欺诈性质的 ARP 数据包,数据包内包含有与当前设备重复的 Mac 地址,使对方在回应报文时,由于简单的地址重复错误而导致不能进行正常的网络通信。 - 欺骗攻击
网络欺骗的技术主要有:HONEYPOT 和分布式 HONEYPOT、欺骗空间技术等。主要方式有:IP 欺骗、 ARP 欺骗、 DNS 欺骗、Web 欺骗、电子邮件欺骗、源路由欺骗(通过指定路由,以假冒身份与其他主机进行合法通信或发送假报文,使受攻击主机出现错误动作)、地址欺骗(包括伪造源地址和伪造中间站点)等。 - Shellcode
一段可被操作系统无需特别定位处理的指令,通常在利用软件漏洞后执行的恶意代码, shellcode 为二进制的机器码,因为经常让攻击者获得 shell 而得名。 - 物理攻击
通俗理解, 即采用物理接触而非技术手段达到网络入侵的目的,最常见的表现形式为插 U 盘。著名的震网病毒事件即通过插 U 盘的形式,感染了伊朗核设施。 - 黑产
网络黑产, 指以互联网为媒介,以网络技术为主要手段,为计算机信息系统安全和网络空间管理秩序,甚至国家安全、社会政治稳定带来潜在威胁(重大安全隐患)的非法行为。例如非法数据交易产业。 - 暗网
暗网是利用加密传输、 P2P 对等网络、多点中继混淆等,为用户提供匿名的互联网信息访问的一类技术手段,其最突出的特点就是匿名性。 - 黑帽黑客
以非法目的进行黑客攻击的人,通常是为了经济利益。他们进入安全网络以销毁、赎回、修改或窃取数据,或使网络无法用于授权用户。这个名字来源于这样一个历史:老式的黑白西部电影中,恶棍很容易被电影观众识别,因为他们戴着黑帽子,而“好人” 则戴着白帽子。 - 白帽黑客
是那些用自己的黑客技术来进行合法的安全测试分析的黑客,测试网络和系统的性能来判定它们能够承受入侵的强弱程度。 - 红帽黑客
事实上最为人所接受的说法叫红客。红帽黑客以正义、道德、进步、强大为宗旨,以热爱祖国、坚持正义、开拓进取为精神支柱,红客通常会利用自己掌握的技术去维护国内网络的安全,并对外来的进攻进行还击。 - 红队
通常指攻防演习中的攻击队伍。 - 蓝队
通常指攻防演习中的防守队伍。 - 紫队
攻防演习中新近诞生的一方,通常指监理方或者裁判方。 - 加密机
主机加密设备, 加密机和主机之间使用 TCP/IP 协议通信,所以加密机对主机的类型和主机操作系统无任何特殊的要求。 - CA 证书
为实现双方安全通信提供了电子认证。在因特网、公司内部网或外部网中,使用数字证书实现身份识别和电子信息加密。数字证书中含有密钥对(公钥和私钥)所有者的识别信息,通过验证识别信息的真伪实现对证书持有者身份的认证。 - SSL 证书
SSL 证书是数字证书的一种,类似于驾驶证、护照和营业执照的电子副本。因为配置在服务器上,也称为 SSL 服务器证书。 - 防火墙
主要部署于不同网络或网络安全域之间的出口,通过监测、限制、更改跨越防火墙的数据流,尽可能地对外部屏蔽网络内部的信息、结构和运行状况,有选择地接受外部访问。 - IDS
入侵检测系统,用于在黑客发起进攻或是发起进攻之前检测到攻击,并加以拦截。IDS 是不同于防火墙。防火墙只能屏蔽入侵,而 IDS却可以在入侵发生以前,通过一些信息来检测到即将发生的攻击或是入侵并作出反应。 - NIDS
是 Network Intrusion Detection System 的缩写,即网络入侵检测系统,主要用于检测 Hacker 或 Cracker 。通过网络进行的入侵行为。NIDS 的运行方式有两种,一种是在目标主机上运行以监测其本身的通信信息,另一种是在一台单独的机器上运行以监测所有网络设备的通信信息,比如 Hub、路由器。 - IPS
全称为 Intrusion-Prevention System,即入侵防御系统,目的在于及时识别攻击程序或有害代码及其克隆和变种,采取预防措施,先期阻止入侵,防患于未然。或者至少使其危害性充分降低。入侵预防系统一般作为防火墙 和防病毒软件的补充来投入使用。 - 杀毒软件
也称反病毒软件或防毒软件,是用于消除电脑病毒、特洛伊木马和恶意软件等计算机威胁的一类软件。反病毒引擎 通俗理解,就是一套判断特定程序行为是否为病毒程
序(包括可疑的)的技术机制。例如奇安信自主研发的 QOWL 猫头鹰反病毒引擎。 - 防毒墙
区别于部署在主机上的杀毒软件,防毒墙的部署方式与防火墙类似,主要部署于网络出口,用于对病毒进行扫描和拦截,因此防毒墙也被称为反病毒网关。 - 老三样
通常指 IDS、防火墙和反病毒三样历史最悠久安全产品。 - 告警
指网络安全设备对攻击行为产生的警报。 - 误报
也称为无效告警, 通常指告警错误,即把合法行为判断成非法行为而产生了告警。目前,由于攻击技术的快速进步和检测技术的限制,误报的数量非常大,使得安全人员不得不花费大量时间来处理此类告警,已经成为困扰并拉低日常安全处置效率的主要原因。 - 漏报
通常指网络安全设备没有检测出非法行为而没有产生告警。一旦出现漏报,将大幅增加系统被入侵的风险。 - NAC
全称为 Network Access Control,即网络准入控制,其宗旨是防止病毒和蠕虫等新兴黑客技术对企业安全造成危害。借助 NAC,客户可以只允许合法的、值得信任的终端设备(例如 PC、服务器、PDA)接入网络,而不允许其它设备接入。 - 漏扫
即漏洞扫描, 指基于漏洞数据库,通过扫描等手段对指定的远程或者本地计算机系统的安全脆弱性进行检测,发现可利用漏洞的一种安全检测(渗透攻击)行为。 - UTM
即 Unified Threat Management,中文名为统一威胁管理,最早由 IDC 于 2014 年提出,即将不同设备的安全能力(最早包括入侵检测、防火墙和反病毒技术),集中在同一网关上,实现统一管理和运维。 - 网闸
网闸是使用带有多种控制功能的固态开关读写介质,连接两个独立主机系统的信息安全设备。由于两个独立的主机系统通过网闸进行隔离,只有以数据文件形式进行的无协议摆渡。 - 光闸
光闸是一种由安全隔离网闸(GAP)基础上发展而成、基于光的单向性的单向隔离软硬件系统,只能以数据文件形式进行单向传输。 - 堡垒机
运用各种技术手段监控和记录运维人员对网络内的服务器、网络设备、安全设备、数据库等设备的操作行为,以便集中报警、及时处理及审计定责。数据库审计 能够实时记录网络上的数据库活动,对数据库操作进行细粒度审计的合规性管理,对数据库遭受到的风险行为进行告警,对攻击行为进行阻断。它通过对用户访问数据库行为的记录、分析和汇报,用来帮助用户事后生成合规报告、事故追根溯源,同时加强内外部数据库网络行为记录,提高数据资产安全。 - DLP
数据防泄漏,通过数字资产的精准识别和策略制定,主要用于防止企业的指定数据或信息资产以违反安全策略规定的形式流出企业。 - VPN
虚拟专用网,在公用网络上建立专用网络,进行加密通讯,通过对数据包的加密和数据包目标地址的转换实现远程访问。 - SD-WAN
即软件定义广域网,这种服务用于连接广阔地理范围的企业网络、数据中心、互联网应用及云服务。这种服务的典型特征是将网络控制能力通过软件方式云化。通常情况下, SD-WAN 都集成有防火墙、入侵检测或者防病毒能力。并且从目前的趋势来看,以安全为核心设计的 SD-WAN 正在崭露头角,包括奇安信、 Fortinet 等多家安全厂商开始涉足该领域,并提供了较为完备的内生安全设计。 - 路由器
是用来连接不同子网的中枢,它们工作于 OSI7 层模型的传输层和网络层。路由器的基本功能就是将网络信息包传输到它们的目的地。一些路由器还有访问控制列表(ACLs),允许将不想要的信息包过滤出去。许多路由器都可以将它们的日志信息注入到 IDS 系统中,并且自带基础的包过滤(即防火墙)功能。 - 网关
通常指路由器、防火墙、 IDS、 VPN 等边界网络设备。 - WAF
即 Web Application Firewall,即 Web 应用防火墙,是通过执行一系列针对 HTTP/HTTPS 的安全策略来专门为 Web 应用提供保护的一款产品。 - SOC
即 Security Operations Center,翻译为安全运行中心或者安全管理平台,通过建立一套实时的资产风险模型,协助管理员进行事件分析、风险分析、预警管理和应急响应处理的集中安全管理系统。 - LAS
日志审计系统,主要功能是提供日志的收集、检索和分析能力,可为威胁检测提供丰富的上下文。 - NOC
即 Network Operations Center,网络操作中心或网络运行中心,是远程网络通讯的管理、监视和维护中心,是网络问题解决、软件分发和修改、路由、域名管理、性能监视的焦点。 - SIEM
即 Security Information and Event Management,安全信息和事件管理,负责从大量企业安全控件、主机操作系统、企业应用和企业使用的其他软件收集安全日志数据,并进行分析和报告。 - 上网行为管理
是指帮助互联网用户控制和管理对互联网使用的设备。其包括对网页访问过滤、上网隐私保护、网络应用控制、带宽流量管理、信息收发审计、用户行为分析等。 - 蜜罐(Honeypot)
是一个包含漏洞的系统,它摸拟一个或多个易受攻击的主机,给黑客提供一个容易攻击的目标。由于蜜罐没有其它任务需要完成,因此所有连接的尝试都应被视为是可疑的。蜜罐的另一个用途是拖延攻击者对其真正目标的攻击,让攻击者在蜜罐上浪费时间。蜜罐类产品包括蜜网、蜜系统、蜜账号等等。 - 沙箱
沙箱是一种用于安全的运行程序的机制。它常常用来执行那些非可信的程序。非可信程序中的恶意代码对系统的影响将会被限制在沙箱内而不会影响到系统的其它部分。 - 沙箱逃逸
一种识别沙箱环境,并利用静默、欺骗等技术,绕过沙箱检测的现象 - 网络靶场
主要是指通过虚拟环境与真实设备相结合,模拟仿真出真实赛博网络空间攻防作战环境,能够支撑攻防演练、安全教育、网络空间作战能力研究和网络武器装备验证试验平台。 - 加密技术
加密技术包括两个元素:算法和密钥。算法是将普通的文本与一串数字(密钥)的结合,产生不可理解的密文的步骤,密钥是用来对数据进行编码和解码的一种算法。密钥加密技术的密码体制分为对称密钥体制和非对称密钥体制两种。相应地,对数据加密的技术分为两类,即对称加密(私人密钥加密)和非对称加密(公开密钥加密)。对称加密的加密密钥和解密密钥相同,而非对称加密的加密密钥和解密密钥不同,加密密钥可以公开而解密密钥需要保密。 - 黑名单
顾名思义,黑名单即不好的名单,凡是在黑名单上的软件、IP 地址等,都被认为是非法的。 - 白名单
与黑名单对应,白名单即“好人” 的名单,凡是在白名单上的软件、 IP 等,都被认为是合法的,可以在计算机上运行。 - 内网
通俗的讲就是局域网,比如网吧、校园网、公司内部网等都属于此类。查看 IP 地址,如果是在以下三个范围之内,就说明我们是处于 内 网 之 中 的 :10.0.0.0—10.255.255.255 , 172.16.0.0—172.31.255.255, 192.168.0.0—192.168.255.255 - 外网
直接连入 INTERNET(互连网),可以与互连网上的任意一台电脑互相访问。 - 边界防御
以网络边界为核心的防御模型,以静态规则匹配为基础,强调把所有的安全威胁都挡在外网。 - 南北向流量
通常指数据中心内外部通信所产生的的流量。 - 东西向流量
通常指数据中心内部不同主机之间互相通信所产生的的流量。 - 规则库
网络安全的核心数据库,类似于黑白名单,用于存储大量安全规则,一旦访问行为和规则库完成匹配,则被认为是非法行为。所以有人也将规则库比喻为网络空间的法律。 - 下一代
网络安全领域经常用到,用于表示产品或者技术有较大幅度的创新,在能力上相对于传统方法有明显的进步,通常缩写为NG(Next Gen)。例如 NGFW(下一代防火墙)、 NGSOC(下
一代安全管理平台)等。 - 大数据安全分析
区别于传统被动规则匹配的防御模式,以主动收集和分析大数据的方法,找出其中可能存在的安全威胁,因此也称数据驱动安全。该理论最早由奇安信于 2015 年提出。 - EPP
全称为 Endpoint Protection Platform,翻译为端点保护平台,部署在终端设备上的安全防护解决方案,用于防止针对终端的恶意软件、恶意脚本等安全威胁,通常与 EDR 进行联动。 - EDR
全称 Endpoint Detection & Response,即端点检测与响应,通过对端点进行持续检测,同时通过应用程序对操作系统调用等异常行为分析,检测和防护未知威胁,最终达到杀毒软件无法解决未知威胁的目的。 - NDR
全称 Network Detection & Response,即网络检测与响应,通过对网络侧流量的持续检测和分析,帮助企业增强威胁响应能力,提高网络安全的可见性和威胁免疫力。XDR - 安全可视化
指在网络安全领域中的呈现技术,将网络安全加固、检测、防御、响应等过程中的数据和结果转换成图形界面,并通过人机交互的方式进行搜索、加工、汇总等操作的理论、方法和技术。 - NTA
网络流量分析(NTA)的概念是 Gartner 于 2013 年首次提出的,位列五种检测高级威胁的手段之一。它融合了传统的基于规则的检测技术,以及机器学习和其他高级分析技术,用以检测企业网络中的可疑行为,尤其是失陷后的痕迹。 - MDR
全称 Managed Detection & Response,即托管检测与响应,依靠基于网络和主机的检测工具来识别恶意模式。此外,这些工具通常还会从防火墙之内的终端收集数据,以便更全面地监控网络活动。 - 应急响应
通常是指一个组织为了应对各种意外事件的发生所做的准备以及在事件发生后所采取的措施。 - XDR
扩展检测和响应通常缩写为 XDR,它是一种 SaaS 工具,通过将安全产品和数据集成到简化的解决方案中来提供更优的全面安全性。随着企业越来越多地在多云混合环境中遇到不断变化的威胁格局和员工面临的复杂安全挑战,XDR 安全性可提供更有效、主动的解决方案。与终结点检测和响应 (EDR) 等系统相比,XDR 扩大了安全范围,在更广泛的产品中集成保护,包括组织的终结点、服务器、云应用程序和电子邮件等。在此基础中,XDR 将预防、检测、调查和响应组合在一起,提供可见性、分析、相关事件警报和自动化响应来增强数据安全并对抗威胁。 - 威胁情报
根据 Gartner 的定义,威胁情报是某种基于证据的知识,包括上下文、机制、标示、含义和能够执行的建议,这些知识与资产所面临已有的或酝酿中的威胁或危害相关,可用于资产相关主体对威胁或危害的响应或处理决策提供信息支持。根据使用对象的不同,威胁情报主要分为人读情报和机读情报。 - TTP
主要包括三要素,战术 Tactics、技术 Techniques 和过程Procedures,是描述高级威胁组织及其攻击的重要指标,作为威胁情报的一种重要组成部分, TTP 可为安全分析人员提供决策支撑。 - IOC
中文名为失陷标示:用以发现内部被 APT 团伙、木马后门、僵尸网络控制的失陷主机,类型上往往是域名、 URL 等。目前而言,IOC 是应用最为广泛的威胁情报,因为其效果最为直接。一经匹配,则意味着存在已经失陷的主机。 - 上下文
从文章的上下文引申而来,主要是指某项威胁指标的关联信息,用于实现更加精准的安全匹配和检测。 - STIX
STIX 是一种描述网络威胁信息的结构化语言,能够以标准化和结构化的方式获取更广泛的网络威胁信息,常用于威胁情报的共享与交换,目前在全球范围内使用最为广泛。STIX 在定义了 8 中构件的 1.0 版本基础上,已经推出了定义了 12 中构件的 2.0 版本。 - 杀伤链
杀伤链最早来源于军事领域,用于描述进攻一方各个阶段的状态。在网络安全领域,这一概念最早由洛克希德-马丁公司提出,英文名称为 Kill Chain,也称作网络攻击生命周期,包括侦查
追踪、武器构建、载荷投递、漏洞利用、安装植入、命令控制、目标达成等七个阶段,来识别和防止入侵。 - ATT&CK
可以简单理解为描述攻击者技战术的知识库。MITRE 在 2013 年推出了该模型,它是根据真实的观察数据来描述和分类对抗行为。ATT&CK 将已知攻击者行为转换为结构化列表,将这些已知的行为汇总成战术和技术,并通过几个矩阵以及结构化威胁信息表达式(STIX)、指标信息的可信自动化交换(TAXII)来表示。 - 钻石模型
钻石模型在各个领域的应用都十分广泛,在网络安全领域,钻石模型首次建立了一种将科学原理应用于入侵分析的正式方法:可衡量、可测试和可重复——提供了一个对攻击活动进行记录、 (信息)合成、关联的简单、正式和全面的方法。这种科学的方法和简单性可以改善分析的效率、效能和准确性。 - 关联分析
又称关联挖掘,就是在交易数据、关系数据或其他信息载体中,查找存在于项目集合或对象集合之间的频繁模式、关联、相关性或因果结构。在网络安全领域主要是指将不同维度、类型的安全数据进行关联挖掘,找出其中潜在的入侵行为。 - 态势感知
是一种基于环境的、动态、整体地洞悉安全风险的能力,是以安全大数据为基础,从全局视角提升对安全威胁的发现识别、理解分析、响应处置能力的一种方式,最终是为了决策与行动,是安全能力的落地。 - 探针
也叫作网络安全探针或者安全探针,可以简单理解为赛博世界的摄像头,部署在网络拓扑的关键节点上,用于收集和分析流量和日志,发现异常行为,并对可能到来的攻击发出预警。 - 网络空间测绘
用搜索引擎技术来提供交互,让人们可以方便的搜索到网络空间上的设备。相对于现实中使用的地图,用各种测绘方法描述和标注地理位置,用主动或被动探测的方法,来绘制网络空间上设备的网络节点和网络连接关系图,及各设备的画像。 - SOAR
全称 Security Orchestration, Automation and Response,意即安全编排自动化与响应,主要通过剧本化、流程化的指令,对入侵行为采取的一系列自动化或者半自动化响应处置动作。 - UEBA
全称为 User and Entity Behavior Analytics,即用户实体行为分析,一般通过大数据分析的方法,分析用户以及 IT 实体的行为,从而判断是否存在非法行为。 - 内存保护
内存保护是操作系统对电脑上的内存进行访问权限管理的一个机制。内存保护的主要目的是防止某个进程去访问不是操作系统配置给它的寻址空间。 - RASP
全称为 Runtime application self-protection,翻译成应用运行时自我保护。在 2014 年时由 Gartner 提出,它是一种新型应用安全保护技术,它将保护程序像疫苗一样注入到应用程序中,应用程序融为一体,能实时检测和阻断安全攻击,使应用程序具备自我保护能力,当应用程序遭受到实际攻击伤害,就可以自动对其进行防御,而不需要进行人工干预。 - 包检测
对于流量包、数据包进行拆包、检测的行为。 - 深度包检测
Deep Packet Inspection,缩写为 DPI,又称完全数据包探测( complete packet inspection)或信息萃取( InformationeXtraction, IX),是一种计算机网络数据包过滤技术,用来检查
通过检测点之数据包的数据部分(亦可能包含其标头),以搜索不匹配规范之协议、病毒、垃圾邮件、入侵迹象。 - 全流量检测
全流量主要体现在三个“全” 上,即全流量采集与保存,全行为分析以及全流量回溯。通过全流量分析设备,实现网络全流量采集与保存、全行为分析与全流量回溯,并提取网络元数据上传到大数据分析平台实现更加丰富的功能。 - 元数据
元数据(Metadata),又称中介数据、中继数据,为描述数据的数据(data about data),主要是描述数据属性(property)的信息,用来支持如指示存储位置、历史数据、资源查找、文件记录等功能。 - 欺骗检测
以构造虚假目标来欺骗并诱捕攻击者,从而达到延误攻击节奏,检测和分析攻击行为的目的。 - 微隔离
顾名思义是细粒度更小的网络隔离技术,能够应对传统环境、虚拟化环境、混合云环境、容器环境下对于东西向流量隔离的需求,重点用于阻止攻击者进入企业数据中心网络内部后的横向平移。 - 逆向
常见于逆向工程或者逆向分析,简单而言,一切从产品中提取原理及设计信息并应用于再造及改进的行为,都是逆向工程。在网络安全中,更多的是调查取证、恶意软件分析等。 - 无代理安全
在终端安全或者虚拟化安全防护中,往往需要在每一台主机或者虚机上安装 agent(代理程序)来实现,这种方式往往需要消耗大量的资源。而无代理安全则不用安装 agent,可以减少大量的部署运维工作,提升管理效率。 - CWPP
全称 Cloud Workload Protection Platform,意为云工作负载保护平台,主要是指对云上应用和工作负载(包括虚拟主机和容器主机上的工作负载)进行保护的技术,实现了比过去更加细粒度的防护,是现阶段云上安全的最后一道防线。 - CSPM
云安全配置管理,能够对基础设施安全配置进行分析与管理。这些安全配置包括账号特权、网络和存储配置、以及安全配置(如加密设置)。如果发现配置不合规, CSPM 会采取行动进行修正。 - CASB
全称 Cloud Access Security Broker,即云端接入安全代理。作为部署在客户和云服务商之间的安全策略控制点,是在访问基于云的资源时企业实施的安全策略。 - 防爬
意为防爬虫,主要是指防止网络爬虫从自身网站中爬取信息。网络爬虫是一种按照一定的规则,自动地抓取网络信息的程序或者脚本。 - 安全资源池
安全资源池是多种安全产品虚拟化的集合,涵盖了服务器终端、网络、业务、数据等多种安全能力。 - IAM
全称为 Identity and Access Management,即身份与访问管理,经常也被叫做身份认证。 - 4A
即认证 Authentication、授权 Authorization、账号 Account、审计 Audit,即融合统一用户账号管理、统一认证管理、统一授权管理和统一安全审计四要素后的解决方案将,涵盖单点登录(SSO)等安全功能。 - Access Control list(ACL)
访问控制列表。 - 多因子认证
主要区别于单一口令认证的方式,要通过两种以上的认证机制之后,才能得到授权,使用计算机资源。例如,用户要输入 PIN 码,插入银行卡,最后再经指纹比对,通过这三种认证方式,才能获得授权。这种认证方式可以降低单一口令失窃的风险,提高安全性。 - 特权账户管理
简称 PAM。由于特权账户往往拥有很高的权限,因此一旦失窃或被滥用,会给机构带来非常大的网络安全风险。所以,特权账户管理往往在显得十分重要。其主要原则有:杜绝特权凭证共享、为特权使用赋以个人责任、为日常管理实现最小权限访问模型、对这些凭证执行的活动实现审计功能。 - 零信任
零信任并不是不信任,而是作为一种新的身份认证和访问授权理念,不再以网络边界来划定可信或者不可信,而是默认不相信任何人、网络以及设备,采取动态认证和授权的方式,把访问者所带来的的网络安全风险降到最低。 - SDP
全称为 Software Defined Perimeter,即软件定义边界,由云安全联盟基于零信任网络提出,是围绕某个应用或某一组应用创建的基于身份和上下文的逻辑访问边界。 - Security as a Service
安全即服务,通常可理解为以 SaaS 的方式,将安全能力交付给客户。 - 同态加密
同态加密是一类具有特殊自然属性的加密方法,此概念是 Rivest等人在 20 世纪 70 年代首先提出的,与一般加密算法相比,同态加密除了能实现基本的加密操作之外,还能实现密文间的多种计算功能。 - 量子计算
是一种遵循量子力学规律调控量子信息单元进行计算的新型计算模式,目前已经逐渐应用于加密和通信传输。 - 可信计算
是一项由可信计算组(可信计算集群,前称为 TCPA)推动和开发的技术。可信计算是在计算和通信系统中广泛使用基于硬件安全模块支持下的可信计算平台,以提高系统整体的安全性。 - 拟态防御
核心实现是一种基于网络空间内生安全机理的动态异构冗余构造(Dynamic Heterogeneous Redundancy, DHR),为应对网络空间中基于未知漏洞、后门或病毒木马等的未知威胁,提供具有普适创新意义的防御理论和方法。 - 区块链
英文名为 blockchain,它是一个共享数据库,存储于其中的数据或信息,具有“不可伪造” 、 “全程留痕” 、 “可以追溯” 、 “公开透明” 、 “集体维护” 等特征。 - 远程浏览器
鉴于浏览器往往成为黑客攻击的入口,因此将浏览器部署在远程的一个“浏览器服务器池”中。这样一来,这些浏览器所在的服务器跟用户所在环境中的终端和网络是隔离的,从而使得客户所在网络的暴露面大大降低。这种服务也类似于虚拟桌面、云手机等产品。 - 云手机
云手机采用全新的 VMI(Virtual Mobile Infrastructure 虚拟移动设施,与 PC 云桌面类似)技术,为员工提供一个独立的移动设备安全虚拟手机,业务应用和数据仅在服务端运行和存储,个人终端上仅做加密流媒体呈现和触控,从而有效保障企业数据的安全性。 - 风控
也称大数据风控,是指利用大数据分析的方法判断业务可能存在的安全风险,目前该技术主要用于金融信贷领域,防止坏账的发生。 - 渗透测试
为了证明网络防御按照预期计划正常运行而提供的一种机制,通常会邀请专业公司的攻击团队,按照一定的规则攻击既定目标,从而找出其中存在的漏洞或者其他安全隐患,并出具测试报告和整改建议。其目的在于不断提升系统的安全性。 - 安全众测
借助众多白帽子的力量,针对目标系统在规定时间内进行漏洞悬赏测试。您在收到有效的漏洞后,按漏洞风险等级给予白帽子一定的奖励。通常情况下是按漏洞付费,性价比较高。同时,不同白帽子的技能研究方向可能不同,在进行测试的时候更为全面。 - 内生安全
由奇安信集团董事长齐向东在 2019 北京网络安全大会上首次提出,指的是不断从信息化系统内生长出的安全能力,能伴随业务的增长而持续提升,持续保证业务安全。内生安全有三个特性,即依靠信息化系统与安全系统的聚合、业务数据与安全数据的聚合以及 IT 人才和安全人才的聚合,从信息化系统的内部,不断长出自适应、自主和自成长的安全能力。 - 内生安全框架
为推动内生安全的落地,奇安信推出了内生安全框架。该框架从顶层视角出发,支撑各行业的建设模式从“局部整改外挂式” ,走向“深度融合体系化” ;从工程实现的角度,将安全需求分步实施,逐步建成面向未来的安全体系;内生安全框架能够输出实战化、体系化、常态化的安全能力,构建出动态防御、主动防御、纵深防御、精准防护、整体防控、联防联控的网络安全防御体系。内生安全框架包含了总结出了 29 个安全区域场景和 79 类安全组件。 - PPDR
英文全称为 Policy Protection Detection Response,翻译为策略、防护、检测和响应。主要以安全策略为核心,通过一致性检查、流量统计、异常分析、模式匹配以及基于应用、目标、主机、网络的入侵检查等方法进行安全漏洞检测。 - CARTA
全称为 Continuous Adaptive Risk and Trust Assessment,即持续自适应风险与信任评估旨在通过动态智能分析来评估用户行为,放弃追求完美的安全,不能要求零风险,不要求 100%信任,寻求一种 0 和 1 之间的风险与信任的平衡。CARTA 战略是一个庞大的体系,其包括大数据、 AI、机器学习、 自动化、行为分析、威胁检测、安全防护、安全评估等方面。 - SASE
全称为 Secure Access Service Edge,即安全访问服务边缘,Gartner 将其定义为一种基于实体的身份、实时上下文、企业安全/合规策略,以及在整个会话中持续评估风险/信任的服务。实体的身份可与人员、人员组(分支办公室)、设备、应用、服务、物联网系统或边缘计算场地相关联。 - SDL
全称为 Security Development Lifecycle,翻译为安全开发生命周期,是一个帮助开发人员构建更安全的软件和解决安全合规要求的同时降低开发成本的软件开发过程,最早由微软提出。 - DevSecOps
全称为 Development Security Operations,可翻译为安全开发与运维。它强调在 DevOps 计划刚启动时就要邀请安全团队来确保信息的安全性,制定自动安全防护计划,并贯穿始终,实现持续IT 防护。 - 代码审计
顾名思义就是检查源代码中的安全缺陷,检查程序源代码是否存在安全隐患,或者有编码不规范的地方,通过自动化工具或者人工审查的方式,对程序源代码逐条进行检查和分析,发现这些源代码缺陷引发的安全漏洞,并提供代码修订措施和建议。 - NTLM 验证
NTLM(NT LAN Manager)是微软公司开发的一种身份验证机制,从 NT4 开始就一直使用,主要用于本地的帐号管理。 - MTTD
平均检测时间。 - MTTR
平均响应时间。 - CVE
全称 Common Vulnerabilities and Exposures,由于安全机构Mitre 维护一个国际通用的漏洞唯一编号方案,已经被安全业界广泛接受的标准。 - 软件加壳
“壳” 是一段专门负责保护软件不被非法修改或反编译的程序。它们一般都是先于程序运行,拿到控制权,然后完成它们保护软件的任务。经过加壳的软件在跟踪时已无法看到其真实的十六进制代码,因此可以起到保护软件的目的。 - CNVD
国家信息安全漏洞共享平台,由国家计算机应急响应中心 CNCERT维护,主要负责统一收集、管理国内的漏洞信息,其发布的漏洞编号前缀也为 CNVD。 - CNNVD
中国国家信息安全漏洞库(英文简称:CNNVD)是中国信息安全测评中心为切实履行漏洞分析和风险评估的职能,负责建设运维的国家信息安全漏洞库,为我国信息安全保障提供基础服务。 - 数据脱敏
数据脱敏是指对某些敏感信息通过脱敏规则进行数据的变形,实现敏感隐私数据的可靠保护,主要用于数据的共享和交易等涉及大范围数据流动的场景。 - GDPR
《通用数据保护条例》(General Data Protection Regulation,简称 GDPR)为欧洲联盟的条例,前身是欧盟在 1995 年制定的《计算机数据保护法》。 - CCPA
美国加利福尼亚州消费者隐私保护法案。 - SRC
即 Security Response Center,中文名为安全应急响应中心,主要职责为挖掘并公开收集机构存在的漏洞和其他安全隐患。 - CISO
有时也被叫做 CSO,即首席信息安全官,为机构的主要安全负责人。 - IPC 管道
为了更好地控制和处理不同进程之间的通信和数据交换,系统会通过一个特殊的连接管道来调度整个进程。 - SYN 包
TCP 连接的第一个包,非常小的一种数据包。SYN 攻击包括大量此类的包,由于这些包看上去来自实际不存在的站点,因此无法有效进行处理。 - IPC$
是共享“命名管道”的资源,它是为了让进程间通信而开放的命名管道,可以通过验证用户名和密码获得相应的权限,在远程管理计算机和查看计算机的共享资源时使用。 - shell
指的是一种命令指行环境,是系统与用户的交换方式界面。简单来说,就是系统与用户“沟通”的环境。我们平时常用到的 DOS,就是一个 shell。(Windows2000 是 cmd.exe) - ARP
地址解析协议(Address Resolution Protocol)此协议将网络地址映射到硬件地址。 - 高内聚/低耦合
高内聚指一个软件模块是由相关性很强的代码组成,只负责一项任务,也就是常说的单一责任原则。模块的内聚反映模块内部联系的紧密程度。模块之间联系越紧密,其耦合性就越强,模块的独立性则越差。模块间耦合高低取决于模块间接口的复杂性、调用的方式及传递的信息。一个完整的系统,模块与模块之间,尽可能的使其独立存在。通常程序结构中各模块的内聚程度越高,模块间的耦合程度就越低。 - 过度设计
过度设计就是进行了过多的面向未来的设计或者说把相对简单的事情想复杂了,过度追求模块化、可扩展性、设计模式等,为系统增加了不必要的复杂度。 - 过早优化
过早指的不是在开发过程的早期,而是在还没弄清楚需求未来的变化的走向的时候。你的优化不仅可能导致你无法很好地实现新的需求,而且你对优化的预期的猜测有可能还是错的,导致实际上你除了把代码变复杂以外什么都没得到。
正确的方法是,先有质量地实现你的需求,写够testcase,然后做profile去找到性能的瓶颈,这个时候才做优化。 - 重构 (Refactoring)
重构(Refactoring)就是通过调整程序代码改善软件的质量、性能,使其程序的设计模式和架构更趋合理,提高软件的扩展性和维护性。 - 破窗效应
又称破窗理论,破窗效应(Broken windows theory)是犯罪学的一个理论。此理论认为环境中的不良现象如果被放任存在,会诱使人们仿效,甚至变本加厉。一幢有少许破窗的建筑为例,如果那些窗不被修理好,可能将会有破坏者破坏更多的窗户。最终他们甚至会闯入建筑内,如果发现无人居住,也许就在那里定居或者纵火。
应用在软件工程上就是,一定不能让系统代码或者架构设计的隐患有冒头的机会,否则随着时间的推移,隐患会越来越重。反之,一个本身优质的系统,会让人不由自主的写出优质的代码。 - 互不信任原则
指在程序运行上下游的整个链路中,每个点都是不能保证绝对可靠的,任何一个点都可能随时发生故障或者不可预知的行为,包括机器网络、服务本身、依赖环境、输入和请求等,因此要处处设防。 - 持久化 (Persistence)
持久化是将程序数据在临时状态和持久状态间转换的机制。通俗的讲,就是临时数据(比如内存中的数据,是不能永久保存的)持久化为持久数据(比如持久化至数据库或者本地磁盘中,能够长久保存)。 - 临界区
临界区用来表示一种公共资源或者说是共享数据,可以被多个线程使用,但是每一次,只能有一个线程使用它,一旦临界区资源被占用,其他线程要想使用这个资源,就必须等待。 - 阻塞/非阻塞
阻塞和非阻塞通常形容多线程间的相互影响。比如一个线程占用了临界区资源,那么其它所有需要这个资源的线程就必须在这个临界区中进行等待,等待会导致线程挂起。这种情况就是阻塞。此时,如果占用资源的线程一直不愿意释放资源,那么其它所有阻塞在这个临界区上的线程都不能工作。而非阻塞允许多个线程同时进入临界区。 - 同步/异步
通常同步和异步是指函数/方法调用方面。
同步就是在发出一个函数调用时,在没有得到结果之前,该调用就不返回。异步调用会瞬间返回,但是异步调用瞬间返回并不代表你的任务就完成了,他会在后台起个线程继续进行任务,等任务执行完毕后通过回调callback或其他方式通知调用方。 - 并发/并行
并行(parallel)指在同一时刻,有多条指令在多个处理器上同时执行。所以无论从微观还是从宏观来看,二者都是一起执行的。
并发(concurrency)指在同一时刻只能有一条指令执行,但多个进程指令被快速的轮换执行,使得在宏观上具有多个进程同时执行的效果,但在微观上并不是同时执行的,只是把时间分成若干段,使多个进程快速交替的执行。 - 高并发 (High Concurrency)
由于分布式系统的问世,高并发(High Concurrency)通常是指通过设计保证系统能够同时并行处理很多请求。通俗来讲,高并发是指在同一个时间点,有很多用户同时的访问同一 API 接口或者 Url 地址。它经常会发生在有大活跃用户量,用户高聚集的业务场景中。 - 高可用 (High Availability)
高可用HA(High Availability)是分布式系统架构设计中必须考虑的因素之一,它通常是指,一个系统经过专门的设计,以减少停工时间,而保持其服务的高度可用性。 - 读写分离
为了确保数据库产品的稳定性,很多数据库拥有双机热备功能。也就是,第一台数据库服务器,是对外提供增删改业务的生产服务器;第二台数据库服务器,主要进行读的操作。 - 冷备/热备
冷备:两个服务器,一台运行,一台不运行做为备份。这样一旦运行的服务器宕机,就把备份的服务器运行起来。冷备的方案比较容易实现,但冷备的缺点是主机出现故障时备机不会自动接管,需要主动切换服务。
热备:即是通常所说的active/standby方式,服务器数据包括数据库数据同时往两台或多台服务器写。当active服务器出现故障的时候,通过软件诊测(一般是通过心跳诊断)将standby机器激活,保证应用在短时间内完全恢复正常使用。当一台服务器宕机后,自动切换到另一台备用机使用。 - 异地多活
异地多活一般是指在不同城市建立独立的数据中心,“活”是相对于冷备份而言的,冷备份是备份全量数据,平时不支撑业务需求,只有在主机房出现故障的时候才会切换到备用机房,而多活,是指这些机房在日常的业务中也需要走流量,做业务支撑。 - 负载均衡 (Load Balance)
负载均衡,是对多台服务器进行流量分发的负载均衡服务。可在多个实例间自动分配应用程序的对外服务能力,通过消除单点故障提升应用系统的可用性,让您实现更高水平的应用程序容错能力,从而无缝提供分配应用程序流量所需的负载均衡容量,为您提供高效、稳定、安全的服务。 - 动静分离
动静分离是指在web服务器架构中,将静态页面与动态页面或者静态内容接口和动态内容接口分开不同系统访问的架构设计方法,进而提升整个服务访问性能和可维护性。另外,搜索公众号后端架构师后台回复“架构整洁”,获取一份惊喜礼包。 - 集群
单台服务器的并发承载能力总是有限的,当单台服务器处理能力达到性能瓶颈的时,将多台服务器组合起来提供服务,这种组合方式称之为集群,集群中每台服务器就叫做这个集群的一个“节点”,每个节点都能提供相同的服务,从而成倍的提升整个系统的并发处理能力。 - 分布式
分布式系统就是将一个完整的系统按照业务功能拆分成很多独立的子系统,每个子系统就被称为“服务”,分布式系统将请求分拣和分发到不同的子系统,让不同的服务来处理不同的请求。在分布式系统中,子系统独立运行,它们之间通过网络通信连接起来实现数据互通和组合服务。 - CAP理论
CAP理论,指的是在一个分布式系统中,Consistency(一致性)、Availability(可用性)、Partition Tolerance(分区容错性),不能同时成立。
一致性:它要求在同一时刻点,分布式系统中的所有数据备份都相同或者都处于同一状态。
可用性:在系统集群的一部分节点宕机后,系统依然能够正确的响应用户的请求。
分区容错性:系统能够容忍节点之间的网络通信的故障。
简单的来说,在一个分布式系统中,最多能支持上面的两种属性。但显然既然是分布式注定我们是必然要进行分区,既然分区,我们就无法百分百避免分区的错误。因此,我们只能在一致性和可用性去作出选择。
在分布式系统中,我们往往追求的是可用性,它的重要性比一致性要高,那么如何实现高可用,这里又有一个理论,就是 BASE 理论,它给 CAP 理论做了进一步的扩充。 - BASE理论
BASE 理论指出:
Basically Available(基本可用)
Soft state(软状态)
Eventually consistent(最终一致性)
BASE 理论是对 CAP 中的一致性和可用性进行一个权衡的结果,理论的核心思想就是:我们无法做到强一致,但每个应用都可以根据自身的业务特点,采用适当的方式来使系统达到最终一致性。 - 水平扩展/垂直扩展
水平扩展 Scale Out通过增加更多的服务器或者程序实例来分散负载,从而提升存储能力和计算能力。
垂直扩展 Scale Up 提升单机处理能力。
垂直扩展的方式又有两种:
(1)增强单机硬件性能,例如:增加CPU核数如32核,升级更好的网卡如万兆,升级更好的硬盘如SSD,扩充硬盘容量如2T,扩充系统内存如128G;
(2)提升单机软件或者架构性能,例如:使用Cache来减少IO次数,使用异步来增加单服务吞吐量,使用无锁数据结构来减少响应时间; - 平行扩容
与水平扩展类似。集群服务器中的节点均为平行对等节点,当需要扩容时,可以通过添加更多节点以提高集群的服务能力。一般来说服务器中关键路径(如服务器中的登录、支付、核心业务逻辑等)都需要支持运行时动态平行扩容。 - 弹性扩容
指对部署的集群进行动态在线扩容。弹性扩容系统可以根据实际业务环境按照一定策略自动地添加更多的节点(包括存储节点、计算节点、网络节点)来增加系统容量、提高系统性能或者增强系统可靠性,或者同时完成这三个目标。 - 状态同步/帧同步
状态同步:状态同步是指服务器负责计算全部的游戏逻辑,并且广播这些计算的结果,客户端仅仅负责发送玩家的操作,以及表现收到的游戏结果。
特征:状态同步安全性高,逻辑更新方便,断线重连快,但是开发效率较低,网络流量随游戏复杂度增加,服务器需要承载更大压力。
帧同步:服务端只转发消息,不做任何逻辑处理,各客户端每秒帧数一致,在每一帧都处理同样的输入数据。
特征:帧同步需要保证系统在相同的输入下,要有相同的输出。帧同步开发效率高,流量消耗低而且稳定,对服务器的压力非常小。但是网络要求高,断线重连时间长,客户端计算压力大。 - 连接池
预先建立一个连接缓冲池,并提供一套连接使用、分配、管理策略,使得该连接池中的连接可以得到高效、安全的复用,避免了连接频繁建立、关闭的开销。 - 断线重连
由于网络波动造成用户间歇性的断开与服务器的连接,待网络恢复之后服务器尝试将用户连接到上次断开时的状态和数据。 - 会话保持
会话保持是指在负载均衡器上的一种机制,可以识别客户端与服务器之间交互过程的关连性,在作负载均衡的同时还保证一系列相关连的访问请求都会分配到一台机器上。用人话来表述就是:在一次会话过程中发起的多个请求都会落到同一台机器上。另外,搜索公众号Java架构师技术后台回复“Spring”,获取一份惊喜礼包。 - 长连接/短连接
通常是指TCP的长连接和短连接。长连接就是建立TCP连接后,一直保持这个连接,一般会中间彼此发送心跳来确认对应的存在,中间会做多次业务数据传输,一般不会主动断开连接。短连接一般指建立连接后,执行一次事务后(如:http请求),然后就关掉这个连接。 - 流量控制/拥塞控制
流量控制防止发送方发的太快,耗尽接收方的资源,从而使接收方来不及处理。
拥塞控制防止发送方发的太快,使得网络来不及处理产生拥塞,进而引起这部分乃至整个网络性能下降的现象,严重时甚至会导致网络通信业务陷入停顿。 - 惊群效应
惊群效应也有人叫做雷鸣群体效应,不过叫什么,简言之,惊群现象就是多进程(多线程)在同时阻塞等待同一个事件的时候(休眠状态),如果等待的这个事件发生,那么他就会唤醒等待的所有进程(或者线程),但是最终却只可能有一个进程(线程)获得这个时间的“控制权”,对该事件进行处理,而其他进程(线程)获取“控制权”失败,只能重新进入休眠状态,这种现象和性能浪费就叫做惊群。 - NAT
NAT(Network Address Translation,网络地址转换),就是替换IP报文头部的地址信息。NAT通常部署在一个组织的网络出口位置,通过将内部网络IP地址替换为出口的IP地址提供公网可达性和上层协议的连接能力。 - 宕机
宕机,一般情况下指的就是计算机主机出现意外故障而死机。其次,一些服务器例如数据库死锁也可以称为宕机,一些服务器的某些服务挂掉了,就可以这么说。 - coredump
当程序出错而异常中断时,OS会把程序工作的当前状态存储成一个coredunmp文件。通常情况下coredump文件包含了程序运行时的内存,寄存器状态,堆栈指针,内存管理信息等。 - 缓存穿透/击穿/雪崩
缓存穿透:缓存穿透是指查询一个一定不存在的数据,由于缓存是不命中时需要从数据库查询,查不到数据则不写入缓存,这将导致这个不存在的数据每次请求都要到数据库去查询,进而给数据库带来压力。
缓存击穿:缓存击穿是指热点key在某个时间点过期的时候,而恰好在这个时间点对这个Key有大量的并发请求过来,从而大量的请求打到db。
缓存雪崩:缓存雪崩是指缓存中数据大批量到过期时间,而查询数据量巨大,引起数据库压力过大甚至down机。
与缓存击穿不同的是:存击穿是热点key失效,缓存雪崩是大量的key同时失效。 - 500/501/502/503/504/505
500 Internal Server Error:内部服务错误,一般是服务器遇到意外情况,而无法完成请求。可能原因:
1、程序错误,例如:ASP或者PHP语法错误;
2、高并发导致,系统资源限制不能打开过多的文件所致。
501 Not implemented:服务器不理解或不支持请求的HTTP请求。
502 Bad Gateway:WEB服务器故障,可能是由于程序进程不够,请求的php-fpm已经执行,但是由于某种原因而没有执行完毕,最终导致php-fpm进程终止。可能原因:
1、Nginx服务器,php-cgi进程数不够用;
2、PHP执行时间过长;
3、php-cgi进程死掉;
503 Service Unavailable:服务器目前无法使用。系统维护服务器暂时的无法处理客户端的请求,这只是暂时状态。可以联系下服务器提供商。
504 Gateway Timeout:服务器504错误表示超时,是指客户端所发出的请求没有到达网关,请求没有到可以执行的php-fpm,一般是与nginx.conf的配置有关。
505 HTTP Version Not Supported:服务器不支持请求中所用的 HTTP 协议版本。(HTTP 版本不受支持)
除了500错误可能是程序语言错误,其余的报错,都大概可以理解为服务器或者服务器配置出现问题。 - 内存溢出/内存泄漏
内存溢出:内存溢出(Out Of Memory)指程序申请内存时,没有足够的内存供申请者使用,或者说,给了你一块存储int类型数据的存储空间,但是你却存储long类型的数据,那么结果就是内存不够用,此时就会报错OOM,即所谓的内存溢出。
内存泄漏:内存泄漏(Memory Leak)指程序中己动态分配的堆内存由于某种原因程序未释放或无法释放,造成系统内存的浪费,导致程序运行速度减慢甚至系统崩溃等严重后果。 - 句柄泄漏
句柄泄漏是进程在调用系统文件之后,没有释放已经打开的文件句柄。一般句柄泄漏后的现象是,机器变慢,CPU飙升,出现句柄泄漏的cgi或server的CPU使用率增加。 - 死锁
死锁是指两个或两个以上的线程在执行过程中,由于竞争资源或者由于彼此通信而造成的一种阻塞的现象,若无外力作用,它们都抑制处于阻塞状态并无法进行下去,此时称系统处于死锁状态或系统产生了死锁。 - 软中断/硬中断
硬中断:我们通常所说的中断指的是硬中断(hardirq)。
主要是用来通知操作系统系统外设状态的变化。
软中断:1、通常是硬中断服务程序对内核的中断;2、为了满足实时系统的要求,中断处理应该是越快越好。
linux为了实现这个特点,当中断发生的时候,硬中断处理那些短时间就可以完成的工作,而将那些处理事件比较长的工作,放到中断之后来完成,也就是软中断(softirq)来完成。 - 毛刺
在短暂的某一刻,服务器性能指标(如流量、磁盘IO、CPU使用率等)远大于该时刻前后时间段。毛刺的出现代表这服务器资源利用不均匀,不充分,容易诱发其他更严重的问题。 - 重放攻击
攻击者发送一个目的主机已接收过的包,来达到欺骗系统的目的,主要用于身份认证过程,破坏认证的正确性。它是一种攻击类型,这种攻击会不断恶意或欺诈性地重复一个有效的数据传输,重放攻击可以由发起者,也可以由拦截并重发该数据的敌方进行。攻击者利用网络监听或者其他方式盗取认证凭据,之后再把它重新发给认证服务器。 - 网络孤岛
网络孤岛指集群环境中,部分机器与整个集群失去网络连接,分裂为一个小集群并且发生数据不一致的状况。 - 数据倾斜
对于集群系统,一般缓存是分布式的,即不同节点负责一定范围的缓存数据。我们把缓存数据分散度不够,导致大量的缓存数据集中到了一台或者几台服务节点上,称为数据倾斜。一般来说数据倾斜是由于负载均衡实施的效果不好引起的。 - 脑裂
脑裂是指在集群系统中,部分节点之间网络不可达而引起的系统分裂,不同分裂的小集群会按照各自的状态提供服务,原本的集群会同时存在不一致的反应,造成节点之间互相争抢资源,系统混乱,数据损坏。 - 服务监控
服务监控主要目的在服务出现问题或者快要出现问题时能够准确快速地发现以减小影响范围。服务监控一般有多种手段,按层次可划分为:
系统层(CPU、网络状态、IO、机器负载等)
应用层(进程状态、错误日志、吞吐量等)
业务层(服务/接口的错误码、响应时间)
用户层(用户行为、舆情监控、前端埋点) - 全链路监控
服务拨测:服务拨测是探测服务(应用)可用性的监控方式,通过拨测节点对目标服务进行周期性探测,主要通过可用性和响应时间来度量,拨测节点通常有异地多个。
节点探测:节点探测是用来发现和追踪不同的机房(数据中心)节点之间网络可用性和通畅性的监控方式,主要通过响应时间、丢包率、跳数来度量,探测方法一般是ping、mtr或其他私有协议。
告警过滤:对某些可预知的告警进行过滤,不进入告警统计的数据,如少量爬虫访问导致的http响应500错误,业务系统自定义异常信息等。
告警去重:当一个告警通知负责人后,在这个告警恢复之前,不会继续收到相同的告警。
告警抑制:为了减少由于系统抖动带来的干扰,还需要实现抑制,例如服务器瞬间高负载,可能是正常的,只有持续一段时间的高负载才需要得到重视。
告警恢复:开发/运维人员不仅需要收到告警通知,还需要收到故障消除告警恢复正常的通知。
告警合并:对同一时刻产生的多条相同告警进行合并,如某个微服务集群同一时刻出现多个子服务负载过高的告警,需要合并成为一条告警。
告警收敛:有时某个告警产生时,往往会伴随着其它告警。这时可以只对根本原因产生告警,其它告警收敛为子告警一并发送通知。如云服务器出现CPU负载告警时往往伴随其搭载的所有系统的可用性告警。
故障自愈:实时发现告警,预诊断分析,自动恢复故障,并打通周边系统实现整个流程的闭环。 - 微服务
微服务架构是一种架构模式,它提倡将单一应用程序划分成一组小的服务,服务之间相互协调、互相配合,为用户提供最终价值。每个服务运行在其独立的进程中,服务和服务之间采用轻量级的通信机制相互沟通(通常是基于HTTP的Restful API).每个服务都围绕着具体的业务进行构建,并且能够被独立的部署到生产环境、类生产环境等。 - 服务发现
服务发现是指使用一个注册中心来记录分布式系统中的全部服务的信息,以便其他服务能够快速的找到这些已注册的服务。服务发现是支撑大规模 SOA 和微服务架构的核心模块,它应该尽量做到高可用。 - 流量削峰
如果观看抽奖或秒杀系统的请求监控曲线,你就会发现这类系统在活动开放的时间段内会出现一个波峰,而在活动未开放时,系统的请求量、机器负载一般都是比较平稳的。为了节省机器资源,我们不可能时时都提供最大化的资源能力来支持短时间的高峰请求。所以需要使用一些技术手段,来削弱瞬时的请求高峰,让系统吞吐量在高峰请求下保持可控。削峰也可用于消除毛刺,使服务器资源利用更加均衡和充分。常见的削峰策略有队列,限频,分层过滤,多级缓存等。 - 版本兼容
在升级版本的过程中,需要考虑升级版本后,新的数据结构是否能够理解和解析旧数据,新修改的协议是否能够理解旧的协议以及做出预期内合适的处理。这就需要在服务设计过程中做好版本兼容。 - 过载保护
过载是指当前负载已经超过了系统的最大处理能力,过载的出现,会导致部分服务不可用,如果处置不当,极有可能引起服务完全不可用,乃至雪崩。过载保护正是针对这种异常情况做的措施,防止出现服务完全不可用的现象。 - 服务熔断
服务熔断的作用类似于我们家用的保险丝,当某服务出现不可用或响应超时的情况时,为了防止整个系统出现雪崩,暂时停止对该服务的调用。 - 服务降级
服务降级是当服务器压力剧增的情况下,根据当前业务情况及流量对一些服务和页面有策略的降级,以此释放服务器资源以保证核心任务的正常运行。降级往往会指定不同的级别,面临不同的异常等级执行不同的处理。
根据服务方式:可以拒接服务,可以延迟服务,也有时候可以随机服务。
根据服务范围:可以砍掉某个功能,也可以砍掉某些模块。
总之服务降级需要根据不同的业务需求采用不同的降级策略。主要的目的就是服务虽然有损但是总比没有好。 - 熔断VS降级
相同点:目标一致,都是从可用性和可靠性出发,为了防止系统崩溃;用户体验类似,最终都让用户体验到的是某些功能暂时不可用;
不同点:触发原因不同,服务熔断一般是某个服务(下游服务)故障引起,而服务降级一般是从整体负荷考虑; - 服务限流
限流可以认为服务降级的一种,限流就是限制系统的输入和输出流量已达到保护系统的目的。一般来说系统的吞吐量是可以被测算的,为了保证系统的稳定运行,一旦达到的需要限制的阈值,就需要限制流量并采取一些措施以完成限制流量的目的。比如:延迟处理,拒绝处理,或者部分拒绝处理等等。 - 故障屏蔽
将故障机器从集群剔除,以保证新的请求不会分发到故障机器。 - 黑盒/白盒测试
黑盒测试不考虑程序内部结构和逻辑结构,主要是用来测试系统的功能是否满足需求规格说明书。一般会有一个输入值,一个输入值,和期望值做比较。
白盒测试主要应用在单元测试阶段,主要是对代码级的测试,针对程序内部逻辑结构,测试手段有:语句覆盖、判定覆盖、条件覆盖、路径覆盖、条件组合覆盖 - 单元/集成/系统/验收测试
软件测试一般分为4个阶段:单元测试、集成测试、系统测试、验收测试。
单元测试:单元测试是对软件中的最小可验证单元进行检查和验证,如一个模块、一个过程、一个方法等。单元测试粒度最小,一般由开发小组采用白盒方式来测试,主要测试单元是否符合“设计”。
集成测试:集成测试也叫做组装测试,通常在单元测试的基础上,将所有的程序模块进行有序的、递增的测试。集成测试界于单元测试和系统测试之间,起到“桥梁作用”,一般由开发小组采用白盒加黑盒的方式来测试,既验证“设计”,又验证“需求”。
系统测试:系统测试时将经过集成测试的软件,作为计算机系统的一部分,与系统中其他部分结合起来,在实际运行环境下进行一系列严格有效的测试,以发现软件潜在的问题,保证系统的正常运行。系统测试的粒度最大,一般由独立测试小组采用黑盒方式来测试,主要测试系统是否符合“需求规格说明书”。
验收测试:验收测试也称交付测试,是针对用户需求、业务流程进行的正式的测试,以确定系统是否满足验收标准,由用户、客户或其他授权机构决定是否接受系统。验收测试与系统测试相似,主要区别是测试人员不同,验收测试由用户执行。 - 回归测试
当发现并修改缺陷后,或在软件中添加新的功能后,重新测试。用来检查被发现的缺陷是否被改正,并且所做的修改没有引发新的问题。 - 冒烟测试
这一术语源自硬件行业。对一个硬件或硬件组件进行更改或修复后,直接给设备加电。如果没有冒烟,则该组件就通过了测试。在软件中,“冒烟测试”这一术语描述的是在将代码更改嵌入到产品的源树中之前对这些更改进行验证的过程。
冒烟测试是在软件开发过程中的一种针对软件版本包的快速基本功能验证策略,是对软件基本功能进行确认验证的手段,并非对软件版本包的深入测试。
比如:对于一个登录系统的冒烟测试,我们只需测试输入正确的用户名、密码,验证登录这一个核心功能点,至于输入框、特殊字符等,可以在冒烟测试之后进行。 - 性能测试
性能测试是通过自动化的测试工具模拟多种正常、峰值以及异常负载条件来对系统的各项性能指标进行测试。负载测试和压力测试都属于性能测试,两者可以结合进行。
通过负载测试,确定在各种工作负载下系统的性能,目标是测试当负载逐渐增加时,系统各项性能指标的变化情况。
压力测试是通过确定一个系统的瓶颈或者不能接受的性能点,来获得系统能提供的最大服务级别的测试。 - 基准测试
基准测试(Benchmark)也是一种性能测试方式,用来测量机器的硬件最高实际运行性能,以及软件优化的性能提升效果, 同时也可以用来识别某段代码的CPU或者内存效率问题. 许多开发人员会用基准测试来测试不同的并发模式, 或者用基准测试来辅助配置工作池的数量, 以保证能最大化系统的吞吐量. - A/B测试
A/B测试,是用两组及以上随机分配的、数量相似的样本进行对比,如果实验组和对比组的实验结果相比,在目标指标上具有统计显著性,那就可以说明实验组的功能可以导致你想要的结果,从而帮你验证假设或者做出产品决定。 - 代码覆盖测试
代码覆盖(Code coverage)是软件测试中的一种度量,描述程式中源代码被测试的比例和程度,所得比例称为代码覆盖率。在做单元测试时,代码覆盖率常常被拿来作为衡量测试好坏的指标,甚至,用代码覆盖率来考核测试任务完成情况,比如,代码覆盖率必须达到80%或 90%。于是乎,测试人员费尽心思设计案例覆盖代码。 - DEV/PRO/FAT/UAT
DEV(Development environment):开发环境,用于开发人员调试使用,版本变化较大。
FAT(Feature Acceptance Test environment):功能验收测试环境,用于软件测试人员测试使用。
UAT(User Acceptance Test environment):用户验收测试环境,用于生产环境下的功能验证,可作为预发布环境。
PRO(Production environment):生产环境,正式线上环境。 - 灰度发布
灰度发布是指在升级版本过程中,通过分区控制,白名单控制等方式对一部分用户先升级产品特性,而其余用户则保持不变,当一段时间后升级产品特性的用户没有反馈问题,就逐步扩大范围,最终向所有用户开放新版本特性,灰度发布可以保证整体系统的稳定,在初始灰度的时候就可以发现、修改问题,以保证其影响度。 - 回滚 (Rollback)
指的是程序或数据处理错误时,将程序或数据恢复到上一次正确状态(或者是上一个稳定版本)的行为。 - CTF
CTF(Capture The Flag)中文一般译作夺旗赛,在网络安全领域中指的是网络安全技术人员之间进行技术竞技的一种比赛形式。CTF起源于1996年DEFCON全球黑客大会,以代替之前黑客们通过互相发起真实攻击进行技术比拼的方式。已经成为全球范围网络安全圈流行的竞赛形式,2013年全球举办了超过五十场国际性CTF赛事。而DEFCON作为CTF赛制的发源地,DEFCON CTF也成为全球最高技术水平和影响力的CTF竞赛,类似于CTF赛场中的“世界杯” 。 - 主动免疫可信计算
主动免疫可信计算是一种运算同时进行安全防护的新计算模式,能及时识别“自己”和“非己”成分,从而使攻击者无法利用缺陷和漏洞对系统进行非法操作,达到预期的计算目标。当前,可信计算广泛应用于国家重要信息系统,如:增值税防伪、彩票防伪、二代居民身份证安全系统、国家电网电力数字化调度系统安全防护建设等。 - 内网安全
内网安全理论的提出是相对于传统的网络安全而言的。在传统的网络安全威胁模型中,假设内网的所有人员和设备都是安全和可信的,而外部网络则是不安全的。基于这种假设,产生了防病毒软件、防火墙、IDS、NAC等安全解决方案。随着各单位信息化程度的提高以及用户计算机使用水平的提高,安全事件的发生更多是从内网开始,由此引发了对内网信息安全的关注。 - 内网穿透
内网穿透,又称为NAT穿透。NAT背后的设备,它们的主要特点是 ,可以访问外网,但不能被外网设备有效访问。基于这一特点,NAT穿透技术是让NAT背后的设备,先访问指定的外网服务器,由指定的外网服务器搭建桥梁,打通内、外网设备的访问通道,实现外网设备访问到内网设备。 - OWASP
开放式Web应用程序安全项目(OWASP)是一个非营利组织,不附属于任何企业或财团。因此,由OWASP提供和开发的所有设施和文件都不受商业因素的影响。OWASP支持商业安全技术的合理使用,它有一个论坛,在论坛里信息技术专业人员可以发表和传授专业知识和技能。其中OWASP Top 10 是面向开发人员和 Web 应用程序安全性的标准意识文档。它代表了对 Web 应用程序最关键的安全风险的广泛共识。 - 等级保护
等级保护,信息安全等级保护。是对信息和信息载体按照重要性等级分级别进行保护的一种工作,对网络中发生的安全事件分等级响应、处置。在中国,信息安全等级保护广义上为涉及到该工作的标准、产品、系统、信息等均依据等级保护思想的安全工作;狭义上一般指信息系统安全等级保护。等级保护的重点保护对象是网络和信息系统,是非涉密系统的安全防护标准。 - 分级保护
分级保护,涉密信息系统分级保护制度。是指按照涉密信息系统所处理国家秘密信息的不同等级,将系统划分秘密、机密、绝密三个等级,分别采取不同强度的技术防护措施和管理模式实施保护。分级保护是所有涉及国家秘密的信息系统,是涉密系统的安全防护标准。 - 关基保护
《关基保护要求》保护的对象是关键信息基础设施,是指公共通信和信息服务、能源、交通、水利金融、公共服务、电子政务、国防科技工业等重要行业和领域,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的重要网络设施、信息系统等。 - 密评
商用密码应用安全性评估(简称“密评”)是指在采用商用密码技术、产品和服务集成建设的网络和信息系统中, 对其密码应用的合规性、正确性和有效性进行评估的活动。 - CSRF
跨站请求伪造(英语:Cross-site request forgery),也被称为 one-click attack 或者 session riding,通常缩写为 CSRF 或者 XSRF, 是一种挟制用户在当前已登录的Web应用程序上执行非本意的操作的攻击方法。跟跨网站脚本(XSS)相比,XSS 利用的是用户对指定网站的信任,CSRF 利用的是网站对用户网页浏览器的信任。 - DFI
DFI是基于流量行为的应用识别技术,即识别不同应用的会话连接行为。流就是将一定时间内具有相同的目的地址、源地址、目的端口地址、源端口地址和传输协议进行聚合,即一条流就是一个会话。 - 灯笼式钓鱼
灯笼式钓鱼是一种新型的、基于社交媒体的钓鱼欺诈方法,常见于微信、QQ、Twitter, Facebook和Instagram等热门社交媒体平台。欺诈者通过创建仿冒的品牌账号/门户,先吸引用户关注(灯笼式吸引),骗取信任后,再将用户诱导至实际的钓鱼链接,完成欺诈,这种手法常见于银行、电商、零售等行业。需要说明的是,除了仿冒企业,仿冒企业的管理人员或社会名人、明星等,也同样非常有效。 - 安全左移
安全“左移”是IT开发和DevOps人员使用的专业术语,用于描述将安全测试和安全技术向软件开发周期上游移动。当前,安全“左移”已经成为软件行业的共识,因为在软件开发生命周期早期修复漏洞远比在后期进行补救更加省时省力。 - 软件供应链安全
软件供应链安全可以定义为软件生产的整个过程中如编码过程、工具、设备、供应商以及最终交付渠道等所共同面临的安全问题。软件供应链过程中主要有三个风险面:供应链引入环节、软件生产环节、软件应用环节。这也是软件供应链安全治理中真正需要关注的部分。 - 隐私计算
隐私计算(Privacy compute 或Privacy computing)是指在保护数据本身不对外泄露的前提下实现数据分析计算的技术集合,达到对数据“可用、不可见”的目的;在充分保护数据和隐私安全的前提下,实现数据价值的转化和释放。 - 域渗透
域渗透是指攻击者通过利用漏洞或者其他手段,获取目标网络中域控制器的权限,从而控制整个网络的过程。 - 黄金票据
黄金票据是利用Kerberos TGT的信息伪造的票据,它允许攻击者获得对任何服务的管理员权限。 - 白银票据
白银票据是利用服务账户的信息伪造的票据,它允许攻击者获得对特定服务的权限。 - 安全三员
根据有关保密规定,涉密网络应配备系统管理员、安全保密管理员和安全审计员三类安全保密管理人员(以下简称“三员”),按照“相互独立,相互制约”原则共同承担安全保密管理职责。系统管理员,主要负责涉密网络的日常运行维护工作。安全保密管理员主要负责涉密网络的日常安全保密管理工作,包括用户账号管理以及安全保密设备和系统所产生日志的审计分析。安全审计员主要负责对系统管理员、安全保密管理员的操作行为进行审计、跟踪、分析和监督检查,以及时发现违规行为,并定期向涉密网络安全保密管理机构汇报有关情况。 - 信创
创是信息技术创新的简称,前期叫安可,现在都叫信创,目的是从基础硬件、基础软件、应用软件到信息安全各个方面,通过自主研发和推广自主化、国产化的技术标准,从信息安全角度出发,达到自主可控,解决核心技术“卡脖子”的问题,不受制于外国技术。 - 容器逃逸
容器逃逸是指攻击者通过劫持容器化业务逻辑或直接控制容器,获得容器内某种权限下的命令执行能力,再借助手段进一步获得该容器所在直接宿主机上某种权限下的命令执行能力。 - 二进制安全
二进制安全是指,在传输数据时,保证二进制数据的信息安全,也就是不被篡改、破译等,如果被攻击,能够及时检测出来。 - 后渗透
后渗透的本质是权限把控,而权限把控为后渗透提供了以牺牲时间换取空间强大基础。 - 权限维持
可以直接简单的把权限维持理解为我们在目标上安装了一个后门,权限维持的目的是保证自己的权限不会掉,一直控制目标。 - 横向渗透
横向渗透:就是在得到一台主机的控制权限后,将该主机作为突破口、跳板,利用既有的资源尝试获取更多的凭据、更高的权限,进而达到控制整个内网、拥有最高权限。 - 云原生安全
云原生安全是指在云原生计算环境中保护应用程序、数据和基础设施免受安全威胁的一系列实践和技术。其目标是为云原生应用程序提供端到端的安全性,从开发、部署到运行的整个生命周期都考虑安全因素。
部分参考链接:https://mp.weixin.qq.com/s/d6t_kGj6Aasj1r-y650c2Q
关于我
笔者本人 17 年就读于一所普通的本科学校,20 年 6 月在三年经验的时候顺利通过校招实习面试进入大厂,现就职于某大厂安全联合实验室。
如何自学黑客&网络安全
黑客零基础入门学习路线&规划
初级黑客
1、网络安全理论知识(2天)
①了解行业相关背景,前景,确定发展方向。
②学习网络安全相关法律法规。
③网络安全运营的概念。
④等保简介、等保规定、流程和规范。(非常重要)
2、渗透测试基础(一周)
①渗透测试的流程、分类、标准
②信息收集技术:主动/被动信息搜集、Nmap工具、Google Hacking
③漏洞扫描、漏洞利用、原理,利用方法、工具(MSF)、绕过IDS和反病毒侦察
④主机攻防演练:MS17-010、MS08-067、MS10-046、MS12-20等
3、操作系统基础(一周)
①Windows系统常见功能和命令
②Kali Linux系统常见功能和命令
③操作系统安全(系统入侵排查/系统加固基础)
4、计算机网络基础(一周)
①计算机网络基础、协议和架构
②网络通信原理、OSI模型、数据转发流程
③常见协议解析(HTTP、TCP/IP、ARP等)
④网络攻击技术与网络安全防御技术
⑤Web漏洞原理与防御:主动/被动攻击、DDOS攻击、CVE漏洞复现
5、数据库基础操作(2天)
①数据库基础
②SQL语言基础
③数据库安全加固
6、Web渗透(1周)
①HTML、CSS和JavaScript简介
②OWASP Top10
③Web漏洞扫描工具
④Web渗透工具:Nmap、BurpSuite、SQLMap、其他(菜刀、漏扫等)
感兴趣的可以访问我的往期文章:
VMware17.0安装教程【附安装包】
Nessus工具安装激活教程,三分钟手把手教会,非常简单
漏洞扫描工具AWVS介绍及安装教程
【2023最新版】超详细Burp Suite安装保姆级教程,Burp Suite的基本介绍及使用,收藏这一篇就够了
恭喜你,如果学到这里,你基本可以从事一份网络安全相关的工作,比如渗透测试、Web 渗透、安全服务、安全分析等岗位;如果等保模块学的好,还可以从事等保工程师。薪资区间6k-15k
到此为止,大概1个月的时间。你已经成为了一名“脚本小子”。那么你还想往下探索吗?
如果你想要入坑黑客&网络安全,笔者给大家准备了一份:282G全网最全的网络安全资料包需要保存下方图片,微信扫码即可前往获取!
因篇幅有限,仅展示部分资料,需要点击下方链接即可前往获取
[2024最新CSDN大礼包:《黑客&网络安全入门&进阶学习资源包》免费分享]
7、脚本编程(初级/中级/高级)
在网络安全领域。是否具备编程能力是“脚本小子”和真正黑客的本质区别。在实际的渗透测试过程中,面对复杂多变的网络环境,当常用工具不能满足实际需求的时候,往往需要对现有工具进行扩展,或者编写符合我们要求的工具、自动化脚本,这个时候就需要具备一定的编程能力。在分秒必争的CTF竞赛中,想要高效地使用自制的脚本工具来实现各种目的,更是需要拥有编程能力.
如果你零基础入门,笔者建议选择脚本语言Python/PHP/Go/Java中的一种,对常用库进行编程学习;搭建开发环境和选择IDE,PHP环境推荐Wamp和XAMPP, IDE强烈推荐Sublime;·Python编程学习,学习内容包含:语法、正则、文件、 网络、多线程等常用库,推荐《Python核心编程》,不要看完;·用Python编写漏洞的exp,然后写一个简单的网络爬虫;·PHP基本语法学习并书写一个简单的博客系统;熟悉MVC架构,并试着学习一个PHP框架或者Python框架 (可选);·了解Bootstrap的布局或者CSS。
8、超级黑客
这部分内容对零基础的同学来说还比较遥远,就不展开细说了,附上学习路线。
网络安全工程师企业级学习路线
攻击和防守要学的东西也不少,具体要学的东西我都写在了上面的路线图,如果你能学完它们,你去就业和接私活完全没有问题。
视频配套资料&国内外网安书籍、文档&工具
当然除了有配套的视频,同时也为大家整理了各种文档和书籍资料&工具,并且已经帮大家分好类了。
一些笔者自己买的、其他平台白嫖不到的视频教程。
如果你想要入坑黑客&网络安全,笔者给大家准备了一份:282G全网最全的网络安全资料包免费领取!
因篇幅有限,仅展示部分资料,需要点击下方链接即可前往获取
[2024最新CSDN大礼包:《黑客&网络安全入门&进阶学习资源包》免费分享]
工具包、面试题和源码
“工欲善其事必先利其器”我为大家总结出了最受欢迎的几十款款黑客工具。涉及范围主要集中在 信息收集、Android黑客工具、自动化工具、网络钓鱼等,感兴趣的同学不容错过。
还有我视频里讲的案例源码和对应的工具包,需要的话也可以拿走。
因篇幅有限,仅展示部分资料,需要点击下方链接即可前往获取
[2024最新CSDN大礼包:《黑客&网络安全入门&进阶学习资源包》免费分享]
最后就是我这几年整理的网安方面的面试题,如果你是要找网安方面的工作,它们绝对能帮你大忙。
这些题目都是大家在面试深信服、奇安信、腾讯或者其它大厂面试时经常遇到的,如果大家有好的题目或者好的见解欢迎分享。
参考解析:深信服官网、奇安信官网、Freebuf、csdn等
内容特点:条理清晰,含图像化表示更加易懂。
内容概要:包括 内网、操作系统、协议、渗透测试、安服、漏洞、注入、XSS、CSRF、SSRF、文件上传、文件下载、文件包含、XXE、逻辑漏洞、工具、SQLmap、NMAP、BP、MSF…
因篇幅有限,仅展示部分资料,需要点击下方链接即可前往获取
[2024最新CSDN大礼包:《黑客&网络安全入门&进阶学习资源包》免费分享]
结语
网络安全产业就像一个江湖,各色人等聚集。相对于欧美国家基础扎实(懂加密、会防护、能挖洞、擅工程)的众多名门正派,我国的人才更多的属于旁门左道(很多白帽子可能会不服气),因此在未来的人才培养和建设上,需要调整结构,鼓励更多的人去做“正向”的、结合“业务”与“数据”、“自动化”的“体系、建设”,才能解人才之渴,真正的为社会全面互联网化提供安全保障。
特别声明:
此教程为纯技术分享!本教程的目的决不是为那些怀有不良动机的人提供及技术支持!也不承担因为技术被滥用所产生的连带责任!本教程的目的在于最大限度地唤醒大家对网络安全的重视,并采取相应的安全措施,从而减少由网络安全而带来的经济损失。!!!
5713
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
