安全研究-主机安全与云原生安全-青藤云安全

青藤实验室安全术语

青藤实验室

QINGTENG LAB

青藤安全实验室是公司核心技术研究团队，长期致力于攻防实战与国际重大漏洞的研究。通过对“漏洞利用、渗透测试、代码审计、红蓝对抗、RedTeam、病毒样本分析、程序开发”等安全技术领域的研究和分析，实现了重大研究成果在主机安全、容器安全、威胁狩猎等平台的工程化应用。实验室自研的对恶意软件、黑客工具的自动化分析平台，业内领先。曾发现Oracle高危漏洞，获官方公开致谢。多年来，实验室专家积累了核心战斗力，以及大量研究经验，在国家级重保活动及大型攻防实战演练中成绩突出，并能够在安全事件快速响应时发挥至关重要的作用，为客户提供前沿、专业的安全服务。

研究方向

系统、应用漏洞，传统硬件安全、逆向、IoT等
研究能力

在"青藤实验室"发布安全技术类文章50余篇，在FreeBuf精品公开课进行分享，受邀担任各大安全大会演讲嘉宾，高危漏洞应急响应50余次，搭建漏洞在线检测平台。

研究报告

RESEARCH REPORT

应用安全-浅谈LINUX系统WEBLOGIC安全配置
WebLogic是美国Oracle公司出品的一个application server，确切的说是一个基于JAVAEE架构的中间件，WebLogic是用于开发、集成、部署和管理大型分布式Web应用、网络应用和数据库应用的Java应用服务器。将Java的动态功能和Java Enterprise标准的安全性引入大型网络应用的开发、集成、部署和管理之中。
阅读全文
技术分析-RASPBERRY PI ZERO安装P4WNP1
P4wnP1是一个基于Raspberry PI Zero或Raspberry PI Zero W打造的高度定制化的USB攻击平台。利用该平可以实现获取Windows shell、破解锁屏的Windows密码等功能。其具体原理为利用Raspberry PI模拟HID实现攻击。
阅读全文
应用安全-BILLGATES 僵尸网络分析
本文使用已知的DDoS攻击案例和一个gates僵尸网络的案例作为资料来源，同时使用了一个用于测试该木马的站点服务器作为参考。也涵盖了恶意程序检测，僵尸网络攻击特征分析，以及恶意程序的清除方法。
阅读全文
应用安全-警惕利用LINUX预加载型恶意动态链接库的后门
动态链接库预加载机制是系统提供给用户运行自定义动态链接库的一种方式，在可执行程序运行之前就会预先加载用户定义的动态链接库的一种技术，这种技术可以重写系统的库函数，只需要在预加载的链接库中重新定义相同名称的库函数，程序调用库函数时，重新定义的函数即会短路正常的库函数，这种技术可以用来重写系统中有漏洞的库函数，达到修复漏洞的目的，如get_host_byname导致ghost漏洞的这类函数。
阅读全文
技术分析-ELF重定位分析
利用重定位注入技术我们可以在Linux系统中向正在运行的应用程序增加一些额外功能而不会导致程序退出，如果使用动态链接器，可使用重定位在内存中打热补丁。如果恶意程序拥有重定位注入的能力，可能导致正常的二进制程序受到感染，对企业或个人造成损失。本文主要描述重定位的基本原理，对于注入过程将在后期逐步分析。
阅读全文
应用安全-ACTIVEMQ漏洞利用总结
Apache ActiveMQ是Apache软件基金会所研发的开放源代码消息中间件；由于ActiveMQ是一个纯Java程序，因此只需要操作系统支持Java虚拟机，ActiveMQ便可执行。ActiveMQ 是一个完全支持JMS1.1和J2EE 1.4规范的 JMS Provider实现，尽管JMS规范出台已经是很久的事情了，但是JMS在当今的J2EE应用中间仍然扮演着特殊的地位。
阅读全文
应用安全-REDIS未授权访问详解
Redis是一个开源的使用ANSI C语言编写、支持网络、可基于内存亦可持久化的日志型、 Key-Value数据库。与 Memcached 类似，它支持存储的value类型相对更多，包括 string(字符串)、list(链表)、set(集合)、zset(sorted set – 有序集合)和hash(哈希类型)。这些数据类型都支持push/pop 、add/remove及取交集并集和差集及更丰富的操作，而且这些操作都是原子性的。在此基础上，redis支持各种不同方式的排序。与 memcached 一样，为了保证效率，数据都是缓存在内存中。区别的是 redis 会周期性的把更新的数据写入磁盘或者把修改操作写入追加的记录文件，并且在此基础上实现了 master-slave (主从)同步。
阅读全文
应用安全-闪付卡(QUICKPASS)隐私泄露原理
EMV是由Europay，MasterCard和VISA制定的基于IC卡的支付标准规范。基于EMV卡目前的非接触式支付的实现有三个：VISA的payWave，MasterCard的PayPass以及银联的闪付（QuickPass）。
阅读全文
应用安全-浅谈LINUX系统WEBSPHERE安全配置
WebSphere 是 IBM 的软件平台。它包含了编写、运行和监视全天候的工业强度的随需应变 Web 应用程序和跨平台、跨产品解决方案所需要的整个中间件基础设施，如服务器、服务和工具。WebSphere 提供了可靠、灵活和健壮的软件。
阅读全文
应用安全-浅谈LINUX系统ORACLE安全配置
Oracle Database，又名 Oracle RDBMS，或简称Oracle。是甲骨文公司的一款关系数据库管理系统。Oracle数据库系统可移植性好、使用方便、功能强，适用于各类大、中、小、微机环境。它是一种高效率、可靠性好的适应高吞吐量的数据库解决方案。
阅读全文
技术分析-某摄像头APP_PIN码验证流程分析和限制绕过
摄像头App在Pin码中加入的次数限制和锁定时间，均在本地实现，可以通过Hook绕过。摄像头App的Pin码验证最终是通过Web接口来实现的，接口虽有速率限制但无次数限制，可多次爆破。通过对App的分析以及hook，帮助我们了解App、云端、设备三者之间通信，有助于我们进一步测试设备的安全性。
阅读全文
漏洞报告-YXCMS SESSION固定攻击
该漏洞需要管理员在登录状态下访问攻击者构造的恶意链接。
阅读全文
漏洞报告-METINFO 6.1.2版本XSS漏洞分析
当管理员登录后台后，通过url传递的参数值anyid不会经过sqlinsert函数过滤，只经过addslashes处理后就返回到前台页面script标签中。
阅读全文
漏洞报告-DNSTRACER 1.9 缓冲区溢出漏洞分析
DNSTracer 是一个用来跟踪 DNS 解析过程的应用程序。DNSTracer 1.9 及之前的版本中存在栈缓冲区溢出漏洞。攻击者可借助带有较长参数的命令行利用该漏洞造成拒绝服务攻击。
阅读全文
漏洞报告-ApacheSynapseRCE
Apache Synapse是一种轻量级的高性能企业服务总线（ESB）。Apache Synapse由快速和异步的中介引擎提供支持，为XML、Web服务和REST提供了卓越的支持。
阅读全文

最新研究

搜索

0day attack 0day攻击

零日漏洞通常是指还没有补丁的安全漏洞，而零日攻击则是指利用这种漏洞进行的攻击。提供该漏洞细节或者利用程序的人通常是该漏洞的发现者。零日漏洞的利用程序对网络安全具有巨大威胁，因此零日漏洞不但是黑客的最爱，掌握多少零日漏洞也成为评价黑客技术水平的一个重要参数。
AAA: Authentication, authorization, accounting 认证、授权、记录

AAA是认证、授权和记录的三个英文字的缩写。其主要目的是管理哪些用户可以访问网络服务器，哪些服务可供具有访问权限的用户使用，以及如何考虑使用网络资源的用户。

Access Control 访问控制

访问控制是按用户身份及其所归属的某项定义组来限制用户对某些信息项的访问，或限制对某些控制功能的使用的一种技术。访问控制通常用于系统管理员控制用户对服务器、目录、文件等网络资源的访问。

Access Control Service 访问控制服务

一种安全服务，可保护系统资源免遭未经授权的访问。实现这种服务的两个基本机制是ACL和票证。

Access Matrix 访问矩阵

访问矩阵使用行来表示主题，使用列表示对象，在每个单元格中列出了每个对象的权限。

Account collision attack 撞库攻击

撞库是黑客通过收集互联网已泄露的用户和密码信息，生成对应的字典表，尝试批量登陆其他网站后，得到一系列可以登录的用户。很多用户在不同网站使用的是相同的帐号密码，因此黑客可以通过获取用户在A网站的账户从而尝试登录B网址，这就可以理解为撞库攻击。

Account Harvesting 帐户收集

帐户收集是收集系统上所有合法帐户名的过程。

ACK Piggybacking ACK捎带确认机制

ACK捎带确认机制是在另一个到达相同目的地的数据包中发送ACK的一种做法。

ACL: Access Control List 访问控制列表

这是一种机制，通过列出允许访问资源的系统实体身份来实现对系统资源的访问控制。

Active Content 动态内容

动态内容是指不断刷新的网站内容，提供新的信息来吸引新的访客并让先前的访客返回该站点。

Active Data Dictionary 主动数据字典

主动数据字典工具是用于存储与中型系统数据定义和描述有关的动态可访问和可修改的信息。

Active Directory 活动目录

活动目录是Windows 2000操作系统的“目录服务”部分。活动目录负责管理组成网络环境的分布式资源的标识和关系。活动目录中负责存储有关网络实体（例如，应用、文件、打印机和人员）的信息，并按统一的方式来命名、描述、定位、访问、管理和保护有关这些资源的信息。它是管理身份并代理这些分布式资源之间的关系，让它们能够协同工作的中央机构。

Activity Monitors 活动监视器、活动监控器

活动监视器旨在通过监视系统上的恶意活动并阻止该活动（如可能）来防止病毒感染。

ADM: Application Data Management 应用数据管理

应用数据管理（ADM）是一项基于技术的业务学科，需要业务和IT部门协同工作，确保业务应用或套件（如ERP、自定义或核心银行业务）中数据的一致性、准确性、管理性、语义一致性和问责制。应用数据是在应用或套件中维护和/或使用的一套统一、一致的标识符和扩展属性集合。此类实体的示例包括客户、供应商、产品、资产、地点和价格。

Administrative Templates 管理模板

管理模板是组策略的一项功能，是微软用于在活动目录环境中集中管理计算机和用户的一种技术。

Advanced Fraud Detection and Analysis Technologies 高级的欺诈检测与分析技术

高级的欺诈检测和分析技术采用复杂的分析和预测模型，可以在数据输入过程中实时识别潜在的欺诈行为，而不是在交易完成后的后续批处理过程中才发现欺诈行为。

Advanced targeted attacks 高级定向攻击

高级定向攻击作为目前攻击类型中最高端的攻击模式，被认为是一种高级黑客行为。黑客从网上盗取人们的身份，或潜入重要主机中的关键部位，或入侵私人电子信箱，有目标的搜取商业机密和技术信息。进行高级定向攻击的黑客不会大范围的散播病毒，他们会针对自己选择的特定目标，进行深入的侦察分析，编写特殊的恶意代码，对目标发动极富针对性的定向攻击，让攻击更加有效，更加精准。

Advanced Threat Detection (ATD) Appliances 高级威胁检测设备

高级威胁检测（ATD）设备可用作一种附加的安全方法，可以检查安全控制标准层允许通过的所有通信。这些设备通过综合查看源信誉、可执行分析和威胁级别协议，可以检测现有控件无法检测到的高级定向威胁。

AES: Advanced Encryption Standard 高级加密标准

高级加密标准在密码学中又称Rijndael加密法，是美国联邦政府采用的一种区块加密标准。这个标准用来替代原先的DES，已经被多方分析且广为全世界所使用。经过五年的甄选流程，高级加密标准由美国国家标准与技术研究院（NIST）于2001年11月26日发布于FIPS PUB 197，并在2002年5月26日成为有效的标准。现在，高级加密标准已然成为对称密钥加密中最流行的算法之一。

AI: Artificial Intelligence 人工智能

人工智能（AI）应用先进的分析和基于逻辑的技术（包括机器学习）来解释事件，支持做出决策，或实现决策自动化，并采取措施

AIOps: Artificial Intelligence for IT Operations 智能化运维

AIOps将大数据和机器学习相结合，实现了IT操作流程的自动化，包括事件关联、异常检测和因果关系确定。

Air-gapped 气隙系统

气隙系统指将电脑与互联网以及任何连接到互联网上的电脑进行隔离。

Algorithm 算法

算法是指解题方案的准确而完整的描述，是一系列解决问题的清晰指令，算法代表着用系统的方法描述解决问题的策略机制。也就是说，能够对一定规范的输入，在有限时间内获得所要求的输出。

Algorithmic Business 算法业务

算法业务是复杂的数学算法的工业化使用，对于推动改进业务决策或流程自动化以实现竞争优势至关重要。

ANSI: American National Standards Institute 美国国家标准学会

1918年，美国材料试验协会（ASTM）、与美国机械工程师协会（ASME）、美国矿业与冶金工程师协会（ASMME）、美国土木工程师协会（ASCE）、美国电气工程师协会（AIEE）等组织，共同成立了美国工程标准委员会（AESC）。美国政府的三个部（商务部、陆军部、海军部）也参与了该委员会的筹备工作。 1928年，AESC改组为美国标准协会（ASA）。1966年8月，又改组为美利坚合众国标准学会（USASI）。1969年10月6日改成现名：美国国家标准学会（ANSI）。

AP: Access Point 接入点

接入点是WLAN无线电网络中的微微基站或网络接入点，由无线电（通常不止一个）和网络连接组成，让WLAN客户端能够访问连接到家庭或企业网络的网络资源。

APA: Applications Portfolio Analysis 应用组合分析

应用组合分析（APA）是一种工具，可根据当前应用和拟议应用对企业绩效的贡献程度，将其分为三类：实用程序、增强功能和前沿功能。实用程序类是必不可少的，但不能提高企业的绩效（例如工资）；增强功能类包含基于使用现有技术（例如文档自动化）来提高企业绩效的应用；前沿功能类旨在极大地提高企业绩效（例如，积极使用基于规则的决策支持），但通常会带来巨大风险。每个类别的管理问题分别是成本、机会识别和创新。规划过程应考虑这三个类别之间的最佳平衡，从而实现IT的最佳性能和最大价值。

API Management API 管理

API管理是一组人员、流程和技术，可以让组织机构在内部或外部安全可靠地发布API。通用组件包括API网关、开发人员门户以及管理UI（具有报告和分析功能）。

API: Application programming interface 应用程序编程接口

应用程序编程接口（API）是提供对应用程序或数据库中的服务功能和数据进行编程访问的接口。它可以用作与人员、其他应用程序或智能设备之间进行新交互的基石。公司可以使用API来满足数字化转型或生态系统的需求，并启动平台业务模型。

Applet 小程序

小程序是在应用程序中运行的一个小程序。小程序通常用于提高静态网页的交互性。示例包括动画图形、游戏、可配置的条形图和滚动消息。小程序在网络计算机（NC）中也起着重要作用。这些小程序提高了网络计算机与服务器的独立性，因为一旦网络计算机接受了小程序，就不必与操作系统（驻留在服务器上）进行通信即可正常工作。

Application Architecture 应用体系结构

应用体系结构是指导应用设计的学科。诸如面向服务的体系结构（SOA）之类的应用体系结构范例提供了影响设计决策的原则，也提供了经过验证的设计解决方案的模式。

Application Control 应用控制

应用控制解决方案是广义的主机入侵防御系统下的一种终端保护（例如，台式机和服务器）。基本应用控制解决方案控制是否允许给定的可执行代码段与更高级的解决方案一起执行，随后对应用程序在与系统资源进行交互后运行时可以执行的操作提供不同程度的控制。

Application Infrastructure 应用基础架构

应用基础架构是用于交付业务应用（包括开发和运行时启用程序）的软件平台。

Application Integration 应用集成

应用集成是使独立设计的应用能够协同工作的过程。通常需要的功能包括： ·确保（不同应用中）的不同数据副本保持一致 ·编排由不同应用执行的多个活动的集成流程 ·通过单一用户界面或应用服务对独立设计应用提供数据和功能访问能力

Application Obfuscation 应用加固

应用加固是指用于保护应用及其嵌入式知识产权（IP）免受应用程序级别的入侵、逆向工程和黑客攻击的技术。随着越来越多地使用中间语言表示形式（例如Java和.NET），黑客能够轻松地对嵌入在软件中的IP进行逆向工程，而应用加固工具则可以保护应用代码。

APT: Advanced Persistent Threat 高级持续性威胁

高级持续性威胁是指隐匿而持久的电脑入侵过程，通常由某些人员精心策划，针对特定的目标。其通常是出于商业或政治动机，针对特定组织或国家，并要求在长时间内保持高隐蔽性。

ARP: Address Resolution Protocol 地址解析协议

地址解析协议是根据IP地址获取物理地址的一个TCP/IP协议。主机发送信息时将包含目标IP地址的ARP请求广播到局域网络上的所有主机，并接收返回消息，以此确定目标的物理地址；收到返回消息后将该IP地址和物理地址存入本机ARP缓存中并保留一定时间，下次请求时直接查询ARP缓存以节约资源。

ARPANET: Advanced Research Projects Agency Network 高级研究计划局网络，简称阿帕网

阿帕网是1968年10月美国国防部高级计划局和BBN公司签订合同，研制适合计算机通信的网络。

ASCII: American Standard Code For Information Interchange 美国信息交换标准代码

ASCII（美国信息交换标准代码）是基于拉丁字母的一套电脑编码系统，主要用于显示现代英语和其他西欧语言。它是最通用的信息交换标准，并等同于国际标准ISO/IEC 646。ASCII第一次以规范标准的类型发表是在1967年，最后一次更新则是在1986年，到目前为止共定义了128个字符

Asymmetric Warfare 不对称作战

不对称作战是指用不对称手段、不对等力量和非常规方法所进行的作战；

Asynchronous Transmission 异步传输

异步传输是每一个字符独立形成一个帧进行传输，一个连续的字符串同样被封装成连续的独立帧进行传输，各个字符间的间隔可以是任意的，所以这种传输方式称为异步传输。

ATM: Asynchronous Transfer Mode 异步传输模式

异步传输模式是一种信元交换和多路复用技术。ATM采用信元（Cell）作为传输单位，信元具有固定长度，总共53字节，前5字节是信头（Header），其余48字节是数据段。信头中有信元去向的逻辑地址、优先级、信头差错控制、流量控制等信息。数据段中装入被分解成数据块的各种不同业务的用户信息或其他管理信息，并透明地穿过网络。

Attack vector 攻击向量

攻击向量是黑客用来访问计算机或网络服务器，以传递有效负载或恶意结果的路径或手段。攻击向量让黑客能够利用系统漏洞，包括人为因素。攻击向量包括病毒、电子邮件附件、网页、弹窗、即时消息、聊天室和欺骗手段等等。

Authentication 身份认证

身份验证又称“验证”、“鉴权”，是指通过一定的手段，完成对用户身份的确认。身份验证的方法有很多，基本上可分为：基于共享密钥的身份验证、基于生物学特征的身份验证和基于公开密钥加密算法的身份验证。

Authentication Technologies 身份认证技术

身份认证技术是在计算机网络中确认操作者身份的过程而产生的有效解决方法。计算机网络世界中一切信息包括用户的身份信息都是用一组特定的数据来表示的，计算机只能识别用户的数字身份，所有对用户的授权也是针对用户数字身份的授权。如何保证以数字身份进行操作的操作者就是这个数字身份合法拥有者，也就是说保证操作者的物理身份与数字身份相对应，身份认证技术就是为了解决这个问题，作为防护网络资产的第一道关口，身份认证有着举足轻重的作用。

Authenticity 真实性

真实性是指原始信息的有效性和一致性。

Authorization 授权

授权是对某人或某事做某事的批准、许可或授权。

Auto-Tiering: Automatic Storage Tiering 自动存储分层

自动分层技术的系统可以在子LUN级（在多数情况下是子文件级）针对不同数据类型进行自动层级化。有了这种能力，系统能够压缩分解不频繁使用的数据。其还可以根据同样的能力进行数据迁移，此外，其也能够比较这些子文件分节段的部分来进行存储和去重。通过元数据，阵列能够判断哪些部分应该去重，那些不应该。所有这一切需要的只是一个重复数据删除引擎。

Availability 可用性

可用性是确保企业的IT基础架构能够适当地从系统故障、自然灾害或恶意攻击中恢复过来，并免受其影响。
Backbone Network 骨干网

骨干网是用来连接多个区域或地区的高速网络。每个骨干网中至少有一个和其他骨干网进行互联互通的连接点。不同的网络供应商都拥有自己的骨干网，用以连接其位于不同区域的网络。

Backbone Router 骨干路由器

骨干路由器是实现企业级网络的互联的路由器。

Backdoor 后门

后门是指绕过安全控制而获取对程序或系统访问权的方法。后门的最主要目的就是方便以后再次秘密进入或者控制系统。

Background Task 后台任务

后台任务是指系统提供的可以在后台运行的进程，即使应用程序已经被挂起或者不再运行了，但是属于该应用程序的后台任务还可以继续默默地执行相关的操作。它们通常在不打扰用户其它工作的时候默默的执行。

Backup Server 备份服务器

备份服务器一般指服务器备份，是指针对于服务器所产生的数据信息进行相应的存储备份过程，从而保障数据的安全运行，从狭义上来看信息的价值在于其潜在用途，并会随着时间的推移而改变。

BCMP: Business Continuity Management Planning 业务连续性管理计划（灾难重建计划【disaster recovery plan】中的一部分）

业务连续性计划是一套基于业务运行规律的管理要求和规章流程，可以让一个组织在突发事件面前能够迅速作出反应，以确保关键业务功能可以持续，而不造成业务中断或业务流程本质的改变。

BEC: Business Email Compromise 商务电邮攻击；企业电子邮件攻击

企业电子邮件攻击是一种高级的电子邮件攻击，其本质是依赖于使用假身份欺骗受害者，同时通过避免使用可检测的有效载荷(如URL或附件)来躲避检测。通常情况下，犯罪分子将伪装成预期受害者的同事或预期受害组织的供应商，并要求他们进行付款或发送一些敏感数据。

Beta Testing Beta测试

Beta测试是一种验收测试。所谓验收测试是软件产品完成了功能测试和系统测试之后，在产品发布之前所进行的软件测试活动，它是技术测试的最后一个阶段，通过了验收测试，产品就会进入发布阶段。验收测试一般根据产品规格说明书严格检查产品，逐行逐字地对照说明书上对软件产品所做出的各方面要求，确保所开发的软件产品符合用户的各项要求。

BGP: Border Gateway Protocol 边界网关协议

边界网关协议（BGP）是运行于 TCP 上的一种自治系统的路由协议。 BGP 是唯一一个用来处理像因特网大小的网络的协议，也是唯一能够妥善处理好不相关路由域间的多路连接的协议。

BIA: Business Impact Analysis 业务影响分析

业务影响分析（BIA）是确定业务活动的重要性和相关资源要求的过程，以确保业务中断期间和之后的业务弹性和业务连续性。 BIA量化了业务中断对服务交付的影响、对服务交付的风险以及恢复时间目标（RTO）和恢复点目标（RPO）。然后根据这些恢复要求来制定策略、解决方案和计划。

Big Data 大数据

大数据是指无法在一定时间范围内用常规软件工具进行捕捉、管理和处理的数据集合，是需要新处理模式才能具有更强的决策力、洞察发现力和流程优化能力的海量、高增长率和多样化的信息资产。

Binary Code 二进制代码

二进制代码是由两个基本字符'0'、'1'组成的代码。其中，码元："一位"二进制代码。码字：N个码元可以组成的不同组合，任意一个组合称一个码字。

BIND: Berkeley Internet Name Domain 伯克利互联网域名

这是一款被广泛应用的DNS服务器软件。在互联网性能检测公司The Measurement Factory 2010年8月的调查中，BIND在将近80万个受访的主机中占据34.2%的份额。

Biometric Authentication 生物特征身份认证

是指通过计算机利用人体所固有的生理特征（指纹、虹膜、面相、DNA等）或行为特征(步态、击键习惯等)来进行个人身份鉴定。

BIOS: Basic Input/Output System 基本输入输出系统

BIOS是一组固化到计算机内主板上一个ROM芯片上的程序，它保存着计算机最重要的基本输入输出的程序、开机后自检程序和系统自启动程序，它可从CMOS中读写系统设置的具体信息。

Bit 比特、位

比特是表示信息的最小单位，是二进制数的一位包含的信息或2个选项中特别指定1个的需要信息量。一般来说，n比特的信息量可以表现出2的n次方种选择。

Block Cipher 分组密码

分组密码的数学模型是将明文消息编码表示后的数字（简称明文数字）序列，划分成长度为n的组（可看成长度为n的矢量），每组分别在密钥的控制下变换成等长的输出数字（简称密文数字）序列。

Blockchain 区块链

区块链，从本质上讲，是一个共享数据库，存储于其中的数据或信息，具有“不可伪造”“全程留痕”“可以追溯”“公开透明”“集体维护”等特征。基于这些特征，区块链技术奠定了坚实的“信任”基础，创造了可靠的“合作”机制，具有广阔的运用前景。

Blue Team 蓝队（攻防演练中的防守方）

蓝队负责在红队进行模拟攻击时捍卫企业信息系统，通常是根据中立团队（即白队）建立和监控的规则进行攻防演练的其中一方。

Bootkit

Bootkit是更高级的Rootkit，它通过感染MBR(磁盘主引记录）的方式，实现绕过内核检查和启动隐身。可以认为，所有在开机时比Windows内核更早加载，实现内核劫持的技术，都可以称之为Bootkit，例如后来的BIOS Rootkit、VBootkit、SMM Rootkit等。

Botnet 僵尸网络

僵尸网络是指采用一种或多种传播手段，将大量主机感染bot程序（僵尸程序）病毒，从而在控制者和被感染主机之间所形成的一个可一对多控制的网络。

BPA: Business Process Automation 业务流程自动化

业务流程自动化（BPA）通常是指通过使用先进技术，实现超越常规数据处理和记录保存活动的复杂业务流程和功能的自动化。它侧重于“业务运行”，而不是“业务计数”类型的自动化工作，并且通常处理事件驱动的、关键任务型核心流程。BPA通常为企业的知识工作者提供支持，以满足其工作需求。

BPM: Business Process Management 业务流程管理

业务流程管理（BPM）是一门使用各种方法来发现、建模、分析、衡量、改进和优化业务流程的学科。业务流程协调人员、系统、信息和事物的行为，以产生有利于业务战略的业务成果。流程可以是结构化和可重复的，也可以是非结构化和可变的。尽管不是必然要求，但BPM经常会使用技术。 BPM是确保IT/OT投资符合业务战略的关键所在。

Brute force 暴力破解

暴力破解一般指枚举法。在进行归纳推理时，如果逐个考察了某类事件的所有可能情况，因而得出一般结论，那么这结论是可靠的，这种归纳方法叫做枚举法。

Buffer 缓冲区

缓冲区(Buffer)就是在内存中预留指定大小的存储空间用来对输入/输出(I/O)的数据作临时存储,这部分预留的内存空间就叫做缓冲区。

Buffer Overflow 缓冲区溢出

缓冲区溢出，是针对程序设计缺陷，向程序输入缓冲区写入使之溢出的内容（通常是超过缓冲区能保存的最大数据量的数据），从而破坏程序运行、趁著中断之际并获取程序乃至系统的控制权。缓冲区溢出是一种非常普遍、非常危险的漏洞，在各种操作系统、应用软件中广泛存在。利用缓冲区溢出攻击，可以导致程序运行失败、系统宕机、重新启动等后果。更为严重的是，可以利用它执行非授权指令，甚至可以取得系统特权，进而进行各种非法操作。

Business Process Modeling 业务流程建模

业务流程建模是对业务流程进行表述的方式，它是过程分析与重组的重要基础，这种表述方式大大优化了软件开发和运行效率。

BYOD: bring your own device 自带设备

自带设备指一些企业允许员工携带自己的笔记本电脑、平板电脑、智能手机等移动终端设备到办公场所，并可以用这些设备获取公司内部信息、使用企业特许应用的一种政策。

Byte 字节

字节是计算机信息技术用于计量存储容量的一种计量单位，也表示一些计算机编程语言中的数据类型和语言字符。
Cache 缓存

缓存指的是将需要频繁访问的网络内容存放在离用户较近、访问速度更快的系统中，以提高内容访问速度的一种技术。

Cache Poisoning 缓存投毒、缓存中毒

缓存投毒，通常也称为域名系统投毒，或DNS缓存投毒，它是利用虚假Internet地址替换掉域名系统表中的地址，进而制造破坏。当网络用户在带有该虚假地址的页面中进行搜寻，以访问某链接时，网页浏览器由于受到该虚假条目的影响而打开了不同的网页链接。在这种情况下，蠕虫、木马、浏览器劫持等恶意软件就可能会被下载到本地用户的电脑上。

Caching Server 缓存服务器

缓存服务器就是存放频繁访问内容的服务器。

CARTA: Continuous Adaptive Risk and Trust Assessment 持续自适应风险与信任评估

CARTA是一种总体概念方案，组织机构应将其应用于数字化安全以及相关流程和工具的方方面面。其中包括访问保护（管理和监控身份、访问和使用）和攻击保护（预测、预防、检测和响应）。 CARTA影响着构建和开发流程、采购流程、灾难恢复计划、企业治理和风险管理以及诸如物联网之类的数字计划。更广义的CARTA趋势中，有两个子趋势在2018年和2019年增加了其影响力：DevSecOps和欺骗技术。

CASB: cloud access security brokers 云访问安全代理

云访问安全代理（CASB）是本地部署或基于云的安全策略执行点，位于云服务用户和云服务提供商之间，旨在在访问基于云的资源时合并和插入企业安全策略。CASB整合了多种类型的安全策略实施。安全策略示例包括身份验证、单点登录、授权、凭据映射、设备配置文件、加密、令牌化、日志记录、警报、恶意软件检测/预防等。

CGI: Common Gateway Interface 通用网关接口

通用网关接口用于初始化软件服务的服务器方接口。这套接口描述了Web服务器与同一计算机上的软件的通信方式。

Change Management 变更管理

变更管理是指项目组织为适应项目运行过程中与项目相关的各种因素的变化，保证项目目标的实现而对项目计划进行相应的部分变更或全部变更，并按变更后的要求组织项目实施的过程。

CHAP: Challenge-Handshake Authentication Protocol 质询握手认证协议

是指通过三次握手周期性的校验对端的身份，在初始链路建立时完成，可以在链路建立之后的任何时候重复进行。

Chatbot 聊天机器人

聊天机器人是经由对话或文字进行交谈的计算机程序。能够模拟人类对话，通过图灵测试。聊天机器人可用于实用的目的，如客户服务或资讯获取。有些聊天机器人会搭载自然语言处理系统，但大多简单的系统只会撷取输入的关键字，再从数据库中找寻最合适的应答句。

Check Digit 校验码

校验码通常是一组数字的最后一位，由前面的数字通过某种运算得出，用以检验该组数字的正确性。

Checksum 校验和

检验和在数据处理和数据通信领域中，用于校验目的地一组数据项的和。它通常是以十六进制为数制表示的形式。如果校验和的数值超过十六进制的FF，也就是255. 就要求其补码作为校验和。通常用来在通信中，尤其是远距离通信中保证数据的完整性和准确性。

CIA: confidentiality, integrity, availability （数据的）保密性、完整性、可用性

在信息安全等级保护工作中，根据信息系统的机密性（Confidentiality）、完整性（Integrity）、可用性（Availability）来划分信息系统的安全等级，三个性质简称CIA。

Client/server 客户端/服务端

C/S结构通常采取两层结构。服务器负责数据的管理，客户机负责完成与用户的交互任务。

Cloud Computing 云计算

云计算是分布式计算的一种，指的是通过网络“云”将巨大的数据计算处理程序分解成无数个小程序，然后，通过多部服务器组成的系统进行处理和分析这些小程序得到结果并返回给用户。云计算早期，简单地说，就是简单的分布式计算，解决任务分发，并进行计算结果的合并。现阶段所说的云服务已经不单单是一种分布式计算，而是分布式计算、效用计算、负载均衡、并行计算、网络存储、热备份冗杂和虚拟化等计算机技术混合演进并跃升的结果。

Cloud Security 云安全

云安全是指基于云计算商业模式应用的安全软件、硬件、用户、机构、安全云平台的总称。“云安全”是“云计算”技术的重要分支，已经在反病毒领域当中获得了广泛应用。云安全通过网状的大量客户端对网络中软件行为的异常监测，获取互联网中木马、恶意程序的最新信息，推送到服务端进行自动分析和处理，再把病毒和木马的解决方案分发到每一个客户端。

Cloudbursting 云爆发

云爆发是一个应用部署模式，其应用运行在私有云或数据中心中，当计算能力的需求达到顶峰时则动态地向云服务器请求一定量的计算(或存储)能力。

Clustering 聚类

将物理或抽象对象的集合分成由类似的对象组成的多个类的过程被称为聚类。

CM: Configuration Management 配置管理

配置管理是通过技术或行政手段对软件产品及其开发过程和生命周期进行控制、规范的一系列措施。配置管理的目标是记录软件产品的演化过程，确保软件开发者在软件生命周期中各个阶段都能得到精确的产品配置。

CMP: cloud management platform 云管理平台

云管理平台是集成产品，可用于管理公有云、私有云和混合云环境。纳入此类别中的最低要求是产品要有自助服务界面，提供系统镜像，启用计量和计费模式，并通过既定策略提供一定程度的工作负载优化。更高级的产品还可以与外部企业管理系统集成，含有服务目录，支持配置存储和网络资源，允许通过服务管理器增强资源管理并提供高级监控来改善“客户机”的性能和可用性。

COM: Component Object Model 组件对象模型

组件对象模型是基于Windows 平台的一套组件对象接口标准，由一组构造规范和组件对象库组成。一般的对象是由数据成员和作用在其上的方法组成，而组件对象和一般对象虽有相似性,但又有较大不同。

Competitive Intelligence 竞争情报

竞争情报是指关于竞争环境、竞争对手和竞争策略的信息和研究，是一种过程，也是一种产品。过程包括了对竞争信息的收集和分析；产品包括了由此形成的情报和谋略。

Configuration Auditing 配置审计

配置审计一般指配置管理审计。实施配置审计旨在维护配置基线的完整性。

Content Delivery Networks 内容分发网络

内容分发网络的基本思路是尽可能避开互联网上有可能影响数据传输速度和稳定性的瓶颈和环节，使内容传输得更快、更稳定。通过在网络各处放置节点服务器所构成的在现有的互联网基础之上的一层智能虚拟网络，CDN系统能够实时地根据网络流量和各节点的连接、负载状况以及到用户的距离和响应时间等综合信息将用户的请求重新导向离用户最近的服务节点上。其目的是使用户可就近取得所需内容，解决 Internet网络拥挤的状况，提高用户访问网站的响应速度。

Content Management Systems 内容管理系统

内容管理系统是一种位于WEB前端（Web 服务器）和后端办公系统或流程（内容创作、编辑）之间的软件系统。内容的创作人员、编辑人员、发布人员使用内容管理系统来提交、修改、审批、发布内容。内容管理还可选地提供内容抓取工具，将第三方信息来源，比如将文本文件、HTML网页、Web服务、关系数据库等的内容自动抓取，并经分析处理后放到自身的内容库中。

Continuous Integration 持续集成

持续集成是一种软件开发实践，即团队开发成员经常集成他们的工作，通常每个成员每天至少集成一次，也就意味着每天可能会发生多次集成。每次集成都通过自动化的构建（包括编译、发布、自动化测试）来验证，从而尽早地发现集成错误。

Covert Channels 隐蔽信道

隐蔽信道是一种允许进程以违背系统安全策略的形式传送信息的通信通道。简单来说，隐蔽信道就是本意不是用来传送信息的通信通道。隐蔽信道现在已经被广泛的应用于网络信息数据安全传输。

Cryptanalysis 密码分析

密码分析是一门研究在不知道通常解密所需要的秘密信息的情况下对信息进行解密的学问。通常，这需要寻找一个秘密的钥匙。用不是很正规的话来说，这就是所谓的破解密码。

CSPM: cloud security posture management 云安全态势管理

应该将CSPM视为改善和调整云安全态势的连续过程，其目标是在攻击者获得访问权限的情况下降低成功攻击和造成危害的可能性

CVE: Common Vulnerabilities and Exposures 常见漏洞披露（一个平台和命名标准）

通用漏洞披露（CVE）系统汇聚了公众已知的信息安全漏洞披露情况。由Mitre公司旗下的国家网络安全FFRDC负责维护该系统，由美国国土安全部国家网络安全部门提供资金。该系统于1999年9月正式向公众发布。

CWPP: cloud workload protection platforms 云工作负载保护平台

CWPP是指以工作负载为中心的安全产品，其旨在满足针对现代混合云、多云数据中心架构中工作负载的独特保护要求。 CWPP应该为物理机、虚拟机（VM）、容器和无服务器工作负载提供统一的可见性和控制力，而不受其位置影响。

Cloud native 云原生

云原生是Matt Stine提出的一个概念，它是一个思想的集合，包括DevOps、持续交付、微服务、敏捷基础设施、康威定律等，以及根据商业能力对公司进行重组。云原生既包含技术（微服务、敏捷基础设施），也包含管理（DevOps、持续交付、康威定律、重组等）。云原生可以说是一系列技术、企业管理方法的集合。
DAST: Dynamic Application Security Testing 动态应用安全测试

动态应用安全测试（DAST）工具是一种程序，通过Web前端与Web应用进行通信，来识别Web应用中的潜在安全漏洞和体系结构弱点。它执行的是黑盒测试。与静态应用安全测试工具不同，DAST工具无法访问源代码，因此，是通过实际执行攻击来检测漏洞。

Data Administration 数据管理

数据管理是利用计算机硬件和软件技术对数据进行有效的收集、存储、处理和应用的过程。其目的在于充分有效地发挥数据的作用。

Data Aggregation 数据聚合

数据聚合是通过一次分析几种不同类型的记录来对信息情况有一个完整的了解。

Data Center 数据中心

数据中心是全球协作的特定设备网络，用来在因特网络基础设施上传递、加速、展示、计算、存储数据信息。数据中心大部分电子元件都是由低直流电源驱动运行的。

Data Execution Prevention数据执行保护，Windows XP之后的Windows版本中用于防止缓冲区溢出的一种保护机制

数据执行保护 (DEP) 有助于防止电脑遭受病毒和其他安全威胁的侵害。DEP 可以防止应用运行用于暂存指令的那部分内存中的数据，从而保护电脑。如果 DEP 发现某个运行此类数据的应用，它将关闭该应用并通知你。

Data Governance 数据治理

数据治理是组织中涉及数据使用的一整套管理行为。由企业数据治理部门发起并推行，关于如何制定和实施针对整个企业内部数据的商业应用和技术管理的一系列政策和流程。

Data Integration 数据集成

数据集成是把不同来源、格式、特点性质的数据在逻辑上或物理上有机地集中，从而为企业提供全面的数据共享。

Data Lake 数据湖

数据湖或hub的概念最初是由大数据厂商提出的，表面上看，数据都是承载在基于可向外扩展的HDFS廉价存储硬件之上的。但数据量越大，越需要各种不同种类的存储。最终，所有的企业数据都可以被认为是大数据，但并不是所有的企业数据都是适合存放在廉价的HDFS集群之上的。

Data Mining 数据挖掘

数据挖掘是指从大量的数据中通过算法搜索隐藏于其中信息的过程。数据挖掘通常与计算机科学有关，并通过统计、在线分析处理、情报检索、机器学习、专家系统（依靠过去的经验法则）和模式识别等诸多方法来实现上述目标。

Data Warehouse 数据仓库

数据仓库是决策支持系统（dss）和联机分析应用数据源的结构化数据环境。数据仓库研究和解决从数据库中获取信息的问题。数据仓库的特征在于面向主题、集成性、稳定性和时变性。

Datagram 数据报

数据报是通过网络传输的数据的基本单元，包含一个报头（header）和数据本身，其中报头描述了数据的目的地以及和其它数据之间的关系。数据报是完备的、独立的数据实体，该实体携带要从源计算机传递到目的计算机的信息，该信息不依赖以前在源计算机和目的计算机以及传输网络间交换。

DBMS: Database Management System 数据库管理系统

数据库管理系统是一种操纵和管理数据库的大型软件，用于建立、使用和维护数据库，简称 DBMS。它对数据库进行统一的管理和控制，以保证数据库的安全性和完整性。

DCIM: Data Center Infrastructure Management 数据中心基础设施管理

数据中心基础设施管理是将IT（信息技术）和设备管理结合起来对数据中心关键设备进行集中监控、容量规划等集中管理。通过软件、硬件和传感器等，DCIM提供一个独立的管理平台，对数据中心IT设备和基础设施进行实时监控和管理。

DDoS: Distributed Denial of Service 分布式拒绝服务攻击

分布式拒绝服务攻击是指处于不同位置的多个攻击者同时向一个或数个目标发动攻击，或者一个攻击者控制了位于不同位置的多台机器并利用这些机器对受害者同时实施攻击。由于攻击的发出点是分布在不同地方的，这类攻击称为分布式拒绝服务攻击，其中的攻击者可以有多个。

Denial of Service 拒绝服务

DoS，即拒绝服务，任何对服务的干涉，使得其可用性降低或者失去可用性均称为拒绝服务。例如一个计算机系统崩溃或其带宽耗尽或其硬盘被填满，导致其不能提供正常的服务，就构成拒绝服务。造成DoS的攻击行为被称为DoS攻击，其目的是使计算机或网络无法提供正常的服务。

DES: Data Encryption Standard 数据加密标准（一种对称性密码）

数据加密标准是1977年美国国家标准局公布IBM公司研制的用于电子数据加密的对称密钥算法。

DevOps: development and operations 开发运维

DevOps(英文Development和Operations的组合)是一组过程、方法与系统的统称，用于促进开发(应用程序/软件工程)、技术运营和质量保障(QA)部门之间的沟通、协作与整合。它的出现是由于软件行业日益清晰地认识到:为了按时交付软件产品和服务，开发和运营工作必须紧密合作。

DevSecOps 安全开发与运维

DevSecOps是将安全性尽可能无缝和透明地集成到新兴的敏捷IT和DevOps开发中。理想情况下，这样做不会降低开发人员的敏捷性或速度，也不会要求他们离开开发工具链环境。

Dictionary Attack 字典遍历攻击

在破解密码或密钥时，逐一尝试用户自定义词典中的可能密码（单词或短语）的攻击方式。与暴力破解的区别是，暴力破解会逐一尝试所有可能的组合密码，而字典式攻击会使用一个预先定义好的单词列表（可能的密码）。

Digital Certificate 数字证书

数字证书是指在互联网通讯中标志通讯各方身份信息的一个数字认证，人们可以在网上用它来识别对方的身份。

Digital Envelope 数字信封

数字信封是将对称密钥通过非对称加密（即：有公钥和私钥两个）的结果分发对称密钥的方法。数字信封是实现信息完整性验证的技术。

Digital Forensics 数字取证

数字取证是指可以供法院使用的计算机证据的保存、识别、提取和记录的过程。这是从计算机、手机、服务器或网络等数字媒体中寻找证据的科学。它为取证团队提供了最佳技术和工具，可解决与数字相关的复杂案件。

Digital Signature 数字签名

数字签名（又称公钥数字签名）是只有信息的发送者才能产生的别人无法伪造的一段数字串，这段数字串同时也是对信息的发送者发送信息真实性的一个有效证明。它是一种类似写在纸上的普通的物理签名，但是使用了公钥加密领域的技术来实现的，用于鉴别数字信息的方法。一套数字签名通常定义两种互补的运算，一个用于签名，另一个用于验证。数字签名是非对称密钥加密技术与数字摘要技术的应用。

Directory Services 目录服务

目录服务是使目录中所有信息和资源发挥作用的服务，如用户和资源管理、基于目录的网络服务、基于网络的应用管理等等。活动目录服务是将网络中的各种资源组合起来，进行集中管理，以方便网络资源的搜索，使企业可以轻松地管理复杂的网络环境。

Discretionary Access Control 自主访问控制

在计算机安全中，自主访问控制由《可信计算机系统评估准则》所定义的访问控制中的一种类型。它是根据主体（如用户、进程或 I/O 设备等）的身份和他所属的组限制对客体的访问。所谓的自主，是因为拥有访问权限的主体，可以直接（或间接）地将访问权限赋予其他主体（除非受到强制访问控制的限制）。

Distributed Computing 分布式计算

分布式计算将该应用分解成许多小的部分，分配给多台计算机进行处理。这样可以节约整体计算时间，大大提高计算效率。

Distributed File Systems 分布式文件系统

分布式文件系统是指文件系统管理的物理存储资源不一定直接连接在本地节点上，而是通过计算机网络与节点（可简单的理解为一台计算机）相连；或是若干不同的逻辑磁盘分区或卷标组合在一起而形成的完整的有层次的文件系统。DFS为分布在网络上任意位置的资源提供一个逻辑上的树形文件系统结构，从而使用户访问分布在网络上的共享文件更加简便。单独的 DFS共享文件夹的作用是相对于通过网络上的其他共享文件夹的访问点。

DMP: Data Management Platform 数据管理平台

数据管理平台是把分散的多方数据进行整合纳入统一的技术平台，并对这些数据进行标准化和细分，让用户可以把这些细分结果推向现有的互动营销环境里的平台。

DMZ: demilitarized zone 隔离区

隔离区，也称非军事化区，是为了解决安装防火墙后外部网络的访问用户不能访问内部网络服务器的问题，而设立的一个非安全系统与安全系统之间的缓冲区。该缓冲区位于企业内部网络和外部网络之间的小网络区域内。在这个小网络区域内可以放置一些必须公开的服务器设施，如企业Web服务器、FTP服务器和论坛等。另一方面，通过这样一个DMZ区域，更加有效地保护了内部网络。因为这种网络部署，比起一般的防火墙方案，对来自外网的攻击者来说又多了一道关卡。

DNS: domain name server 域名服务器

域名服务器是进行域名(domain name)和与之相对应的IP地址 (IP address)转换的服务器。DNS中保存了一张域名(domain name)和与之相对应的IP地址 (IP address)的表，以解析消息的域名。

DNS: Domain Name System 域名系统

域名系统是互联网的一项服务。它作为将域名和IP地址相互映射的一个分布式数据库，能够使人更方便地访问互联网。DNS使用TCP和UDP端口53。当前，对于每一级域名长度的限制是63个字符，域名总长度则不能超过253个字符。

Domain Controller 域控制器

域控制器是活动目录的存储位置,安装了活动目录的计算机称为域控制器。在第一次安装活动目录时,安装活动目录的那台计算机就成为域控制器,简称“域控”。域控制器存储着目录数据并管理用户域的交互关系,其中包括用户登录过程、身份验证和目录搜索等。一个域可以有多个域控制器。为了获得高可用性和容错能力,规模较小的域只需两个域控制器,一个实际使用,另一个用于容错性检査;规模较大的域可以使用多个域控制器。

Domain fronting 域前置

域前置是一种隐藏连接真实端点来规避互联网审查的技术。在应用层上运作时，域前置使用户能通过HTTPS连接到被屏蔽的服务，而表面上像在与另一个完全不同的站点通信。

Domain Generation Algorithms 域生成算法

域生成算法（DGA）是出现在各种恶意软件家族中的算法，用于定期生成大量域名，这些域名可用作其命令和控制服务器的集合点。大量潜在的集合点让执法人员很难有效关闭僵尸网络，因为受感染的计算机将每天尝试联系其中一些域名来接收更新或命令。在恶意软件代码中使用公钥密码术会让执法部门和其他参与者无法模仿恶意软件控制器的命令，因为某些蠕虫会自动拒绝任何未经恶意软件控制器签名的更新。

Domain Hijacking 域名劫持

域名劫持就是在劫持的网络范围内拦截域名解析的请求，分析请求的域名，把审查范围以外的请求放行，否则直接返回假的IP地址或者什么也不做使得请求失去响应，其效果就是对特定的网址不能访问或访问的是假网址。

Domain Name 域名

域名，又称网域，是由一串用点分隔的名字组成的Internet上某一台计算机或计算机组的名称，用于在数据传输时对计算机的定位标识（有时也指地理位置）。

DPI: deep package inspection 深度数据包检测

深度数据包检测是一种计算机网络数据包过滤技术，用来检查通过检测点之数据包的数据部分（亦可能包含其标头），以搜索不匹配规范之协议、病毒、垃圾邮件、入侵，或以预定之准则来决定数据包是否可通过或需被路由至其他不同目的地，亦或是为了收集统计数据之目的。

DSA: Digital Signature Algorithm 数字签名算法

数字签名算法是数字签名标准的一个子集，表示了只用作数字签名的一个特定的公钥算法。密钥运行在由SHA-1产生的消息哈希：为了验证一个签名，要重新计算消息的哈希，使用公钥解密签名然后比较结果。

DSS: Digital Signature Standard 数字签名标准

数字签名标准美国政府用来指定数字签名算法的一种标准，其中也涉及到非对称加密法。

Dumpster Diving 垃圾搜索

黑客术语，指通过在废弃媒介搜索有用信息，以获得密码以及企业目录，属于社工的一种。

Dynamic Routing 动态路由

动态路由是指路由器能够自动地建立自己的路由表，并且能够根据实际情况的变化适时地进行调整。

Dynamic Routing Protocol 动态路由协议

动态路由协议通过路由信息的交换生成并维护转发引擎所需的路由表。当网络拓扑结构改变时动态路由协议可以自动更新路由表，并负责决定数据传输最佳路径。
EAP: Extensible Authentication Protocol 可扩展认证协议

可扩展认证协议是一个第二层处理，允许网络对无线客户端进行认证的协议。

Edge Computing 边缘计算

边缘计算起源于传媒领域，是指在靠近物或数据源头的一侧，采用网络、计算、存储、应用核心能力为一体的开放平台，就近提供最近端服务。其应用程序在边缘侧发起，产生更快的网络服务响应，满足行业在实时业务、应用智能、安全与隐私保护等方面的基本需求。边缘计算处于物理实体和工业连接之间，或处于物理实体的顶端。而云端计算，仍然可以访问边缘计算的历史数据。

EDR: endpoint detection and response 终端检测与响应

EDR解决方案必须提供四个主要功能： ·检测安全事件 ·调查安全事件 ·限制终端上的漏洞利用 ·对修复提供指导 EDR解决方案应还能够让企业和较小的组织机构能够部署单个解决方案，让企业免受攻击并收集和分析日志和配置数据。

ELK stack ELK堆栈

ELK 其实并不是一款软件，而是一整套解决方案，是三个软件产品的首字母缩写，Elasticsearch，Logstash 和 Kibana。Elasticsearch是一个实时的分布式搜索和分析引擎，它可以用于全文搜索、结构化搜索以及分析。它是一个建立在全文搜索引擎 Apache Lucene 基础上的搜索引擎，使用 Java 语言编写。Logstash主要用于收集数据，它几乎可以访问任何数据，可以和多种外部应用结合，同时还支持弹性扩展。Kibana为 Elasticsearch 提供分析和可视化的 Web 平台。它可以在 Elasticsearch 的索引中查找，交互数据，并生成各种维度的表图。

Ephemeral Port 临时端口

临时端口又称短暂端口，是TCP，UDP，或SCTP协议通过TCP/IP底层软件从预设范围内自动获取的端口，一般提供给客户服务器通讯中的客户端。这种端口是临时的，并且仅在应用程序使用协议建立通讯联系的周期中有效。

EPP: Endpoint protection platform 终端保护平台

终端保护平台（EPP）是一种部署在终端设备上的解决方案，用于加固终端，防止恶意软件和恶意攻击，并在恶意软件和恶意攻击绕过防御控制措施时，提供必要的调查和补救功能。传统的EPP解决方案已通过由本地管理服务器管理的客户端代理实现。更加现代的解决方案利用云原生架构将工作负载的管理以及部分分析和检测转移到云中。

Exterior Gateway Protocol 外部网关协议

外部网关协议是一个在自治系统网络中两个邻近的网关主机（每个都有它们自己的路由）间交换路由信息的协议。外部网关协议常常被用来在英特网的两个主机间交换路由表信息。
Fast-packet Switching 快速分组交换

快速分组交换是指在接收一个帧的同时就能将此帧转发，被统称为“快速分组交换”（FPS）。主要是因为它简化了通信协议、提供了并行处理能力，使分组交换的处理能力可以提高到每秒几百万个分组以上。

File Server 文件服务器

文件服务器，又称档案伺服器，是指在计算机网络环境中，所有用户都可访问的文件存储设备，是一种专供其他电脑检索文件和存储的特殊电脑。

Firewall 防火墙

防火墙技术是通过有机结合各类用于安全管理与筛选的软件和硬件设备，帮助计算机网络于其内、外网之间构建一道相对隔绝的保护屏障，以保护用户资料与信息安全性的一种技术。防火墙技术的功能主要在于及时发现并处理计算机网络运行时可能存在的安全风险、数据传输等问题，其中处理措施包括隔离与保护，同时可对计算机网络安全当中的各项操作实施记录与检测，以确保计算机网络运行的安全性，保障用户资料与信息的完整性，为用户提供更好、更安全的计算机网络使用体验。

FMEA: Failure Modes Effects Analysis 失效模式和效果分析

失效模式和效果分析是由FMA与FEA演变组合而来的，FMA中文意思为：故障模式分析；FEA中文意思为：故障影响分析，FMEA可以对各种风险进行评价、分析，便于我们依靠现有的技术将这些风险减小到可以接受的水平或者直接消除这些风险。

Fork Bomb fork炸弹攻击

fork炸弹在计算机领域中是一种利用系统调用fork（或其他等效方式）进行的阻断服务攻击。与病毒与蠕虫不同的是，fork炸弹没有传染性，而且fork炸弹会使有进程/程序限制的系统无法开起新工作阶段，对于不限制进程数的系统则使之停止回应。以fork炸弹为代表的自我复制程序有时亦被称为wabbit。

Fragment Overlap Attack 碎片交错攻击

碎片交错攻击是指使用碎片因特网协议(IP)分组的一个攻击。在这个攻击中，重整分组开始在另一个分组的中间。当操作系统接收到这些残缺的分组时，它分配内存来保留它们。这最后使用所有的内存资源和引起机器重启或暂停。

Fuzzing 模糊测试

模糊测试是一种通过向目标系统提供非预期的输入并监视异常结果来发现软件漏洞的方法。

Fuzzy Logic 模糊逻辑

模糊逻辑是建立在多值逻辑基础上，运用模糊集合的方法来研究模糊性思维、语言形式及其规律的科学。
Gateway 网关

网关又称网间连接器、协议转换器。默认网关在网络层以上实现网络互连，是最复杂的网络互连设备，仅用于两个高层协议不同的网络互连。网关的结构也和路由器类似，不同的是互连层。网关既可以用于广域网互连，也可以用于局域网互连。

GDPR: General Data Protection Regulation 通用数据保护条例

《通用数据保护条例》为欧洲联盟的条例，前身是欧盟在1995年制定的《计算机数据保护法》。

Grid Computing 网格计算

网格计算是分布式计算的一种，是一门计算机科学。它研究如何把一个需要非常巨大的计算能力才能解决的问题分成许多小的部分，然后把这些部分分配给许多计算机进行处理，最后把这些计算结果综合起来得到最终结果。

GUI: Graphical User Interface 图形化用户界面

图形化用户界面是指采用图形方式显示的计算机操作用户界面。与早期计算机使用的命令行界面相比，图形化用户界面对于用户来说在视觉上更易于接受。
Headless system 无外设设备（显示器、鼠标、键盘等）的主机

无头系统是独立运行的计算机，不需要人类的直接输入，此类计算机不需要终端。在Internet领域，有两种非常常见的无头系统，第一种是服务器，第二种是路由器。

HIPS: hosted intrusion prevention system 主机入侵防御系统

主机入侵检测系统（HIDS）是一种入侵检测系统，它能够监视和分析计算系统的内部情况以及其网络接口上的网络数据包，类似于网络入侵检测系统（NIDS）的运行方式。

Honey pot 蜜罐

蜜罐技术本质上是一种对攻击方进行欺骗的技术，通过布置一些作为诱饵的主机、网络服务或者信息，诱使攻击方对它们实施攻击，从而可以对攻击行为进行捕获和分析，了解攻击方所使用的工具与方法，推测攻击意图和动机，能够让防御方清晰地了解他们所面对的安全威胁，并通过技术和管理手段来增强实际系统的安全防护能力。

Hybrid cloud 混合云

混合云融合了公有云和私有云，是近年来云计算的主要模式和发展方向。

Hybrid Cloud Computing 混合云计算

混合云计算指混合了私有云计算和共有云计算的云计算服务。

Hybrid Encryption 混合加密

混合加密是把信源加密和线路加密结合使用，其具体方法是：用户将明文加密，加密后的密文直接进入线路保密机，进行第二次加密。

Hype Cycle 炒作曲线（Gartner报告的一种）

炒作曲线指的是企业用来评估新科技的可见度，利用时间轴与市面上的可见度(媒体曝光度)决定要不要采用新科技的一种工具。
I/O Channel I/O 通道

I/O通道是一种特殊的处理机。它具有执行I/O指令的能力，并通过执行通道(I/O)程序来控制I/O操作。但I/O通道又与一般的处理机不同，主要表现在以下两个方面：一是其指令类型单一，这是由于通道硬件比较简单，其所能执行的命令，主要局限于与I/O操作有关的指令；再就是通道没有自己的内存，通道所执行的通道程序是放在主机的内存中的，换言之，是通道与CPU共享内存。

IaaS: Infrastructure as a service 基础设施即服务

基础设施即服务指把IT基础设施作为一种服务通过网络对外提供，并根据用户对资源的实际使用量或占用量进行计费的一种服务模式。在这种服务模型中，普通用户不用自己构建一个数据中心等硬件设施，而是通过租用的方式，利用 Internet从IaaS服务提供商获得计算机基础设施服务，包括服务器、存储和网络等服务。

IAM: Identity and Access Management 身份和访问管理

身份和访问管理（IAM），也称为身份管理，提供一种安全的方法和技术来确保正确的个体能够以正确的原因在正确的时间访问正确的资源。

ICMP: Internet Control Message Protocol 互联网控制消息协议

互联网控制消息协议是互联网协议族的核心协议之一。它用于TCP/IP网络中发送控制消息，提供可能发生在通信环境中的各种问题反馈，通过这些信息，使管理者可以对所发生的问题作出诊断，然后采取适当的措施解决。

IDE: Integrated Development Environment 集成开发环境

集成开发环境是用于提供程序开发环境的应用程序，一般包括代码编辑器、编译器、调试器和图形用户界面等工具。集成了代码编写功能、分析功能、编译功能、调试功能等一体化的开发软件服务套。所有具备这一特性的软件或者软件套（组）都可以叫集成开发环境。

IDS: Intrusion Detection System 入侵检测系统

入侵检测系统是一种对网络传输进行即时监视，在发现可疑传输时发出警报或者采取主动反应措施的网络安全设备。

ILM: Information Life Cycle Management 信息生命周期管理

信息生命周期管理是指从一个信息系统数据及其相关元数据产生和初始储存阶段到最后过时被删除时的一套综合管理方法。与早期的数据储存管理方法不同，信息生命周期管理技术根据用户的操作从全方位对数据进行管理，而不仅仅是让数据储存流程自动化。

IMAP: Internet Message Access Protocol 互联网邮件访问协议

在计算领域，Internet消息访问协议（IMAP）是电子邮件客户端用来通过TCP/IP连接从邮件服务器检索电子邮件消息的Internet标准协议。IMAP是由RFC 3501定义的。

Incremental Backups 增量备份

增量备份是备份的一个类型，是指在一次全备份或上一次增量备份后，以后每次的备份只需备份与前一次相比增加或者被修改的文件。

Industrial Control System工控系统

工控系统是对诸如图像、语音信号等大数据量、高速率传输的要求，又催生了当前在商业领域风靡的以太网与控制网络的结合。这股工业控制系统网络化浪潮又将诸如嵌入式技术、多标准工业控制网络互联、无线技术等多种当今流行技术融合进来，从而拓展了工业控制领域的发展空间，带来新的发展机遇。

Inference Attack 推理攻击

推理攻击需要用户在看似无关的信息之间建立逻辑联系。

Information Governance 信息治理

信息治理即领导、指导、控制、提供保障的行为或过程，通过这些行为或过程，信息被当作贯穿于整个企业的企业资源得以有效管理，其中包括解决信息冲突问题方面的管理。

Information Warfare 信息战

信息战是为夺取和保持制信息权而进行的斗争，亦指战场上敌对双方为争取信息的获取权、控制权和使用权，通过利用、破坏敌方和保护己方的信息系统而展开的一系列作战活动。

Ingress Filtering 入口过滤

入口过滤是指过滤入站流量。

Input Validation Attacks 输入验证攻击

输入验证攻击是指攻击者有意发送异常输入以混淆应用。

IOCs: indicators of compromise 入侵迹象；入侵指标；失陷指标

在计算机取证领域，危害指标（IoC）是指在网络或操作系统中观察到的工件，具有很高的置信度，它表示计算机受到了入侵。

IoT: Internet of things 物联网

物联网即“万物相连的互联网”，是互联网基础上的延伸和扩展的网络，将各种信息传感设备与互联网结合起来而形成的一个巨大网络，实现在任何时间、任何地点，人、机、物的互联互通。

ISP: internet service provider 网络服务供应商

为个人或公司提供到互联网连接的组织机构。一些网络服务供应商除了提供网络连接服务之外还提供其他服务，例如电子邮件、网站托管和域注册。

ISV: independent software vendor 独立软件供应商

独立软件供应商指制造和销售专业软件的公司。这类公司通常为特定行业领域提供软件支持。
Job Scheduling 作业调度

作业调度的主要功能是根据作业控制块中的信息，审查系统能否满足用户作业的资源需求，以及按照一定的算法，从外存的后备队列中选取某些作业调入内存，并为它们创建进程、分配必要的资源。然后再将新创建的进程插入就绪队列，准备执行。
LAN: Local-Area Network 局域网

局域网自然就是局部地区形成的一个区域网络，其特点就是分布地区范围有限，可大可小。局域网自身相对其他网络传输速度更快，性能更稳定，框架简易，并且是封闭性，这也是很多机构选择的原因所在。

LDAP: Lightweight Directory Access Protocol 轻量目录访问协议

轻型目录访问协议是一个开放的、中立的、工业标准的应用协议，通过IP协议提供访问控制和维护分布式信息的目录信息。

Least Privilege 最小权限

最小权限是要求计算环境中的特定抽象层的每个模块如进程、用户或者计算机程序只能访问当下所必需的信息或者资源。

Load Balancing 负载均衡

负载均衡建立在现有网络结构之上，它提供了一种廉价有效透明的方法扩展网络设备和服务器的带宽、增加吞吐量、加强网络数据处理能力、提高网络的灵活性和可用性。负载均衡的意思就是分摊到多个操作单元上进行执行，例如Web服务器、FTP服务器、企业关键应用服务器和其它关键任务服务器等，从而共同完成工作任务。

Logic bombs 逻辑炸弹

逻辑炸弹引发时的症状与某些病毒的作用结果相似，并会对社会引发连带性的灾难。与病毒相比，它强调破坏作用本身，而实施破坏的程序不具有传染性。逻辑炸弹是一种程序，或任何部分的程序，这是冬眠，直到一个具体作品的程序逻辑被激活。
M&A: Mergers and Acquisitions 并购

并购指的是两家或者更多的独立企业，公司合并组成一家企业，通常由一家占优势的公司吸收一家或者多家公司。

Machine Learning 机器学习

机器学习是一门多学科交叉专业，涵盖概率论知识，统计学知识，近似理论知识和复杂算法知识，使用计算机作为工具并致力于真实实时的模拟人类学习方式，并将现有内容进行知识结构划分来有效提高学习效率。

Magic Quadrant 魔力象限

魔力象限是在某一特定时间内的对市场情况进行的图形化描述。魔力象限由Gartner公司于2006年9月25日取得“魔力象限”注册版权，并可以在获得许可的情况下重复使用。它根据Gartner公司的定义，它描述了Gartner公司依据标准对该市场内的厂商所进行的分析。

Malware 恶意软件

这是许多不同类型的恶意代码的通用术语。

Man in the Browser 浏览器中间人攻击

浏览器中间人（MITB、MitB、MIB、MiB）是与中间人（MITM）相关的一种Internet威胁，是代理特洛伊木马，它通过利用浏览器安全漏洞来修改网页、修改交易内容或插入其他交易来感染Web浏览器，用户和宿主Web应用对此却是一无所知。无论是否采用了安全机制（例如SSL/PKI和/或双因素或三因素身份验证解决方案），MitB攻击都会成功。

Masquerade Attack 伪装攻击

一种攻击，其中一个系统实体非法地冒充另一个实体（冒用另一个实体的身份）。

MDR: Managed detection and response 托管检测与响应

MDR服务可以为客户提供远程的现代化安全运营中心（SOC）能力，能够快速检测、分析、调查威胁情况，并作出响应（比如限制威胁或中断威胁）。MDR厂商可以提供一种交钥匙体验，很多厂商使用预先确定的技术堆栈（覆盖了终端、网络、云服务、运营技术/物联网和其他来源）来收集相关日志、数据和其他遥测数据（例如，取证数据、上下文信息）。这些遥测信息可以通过厂商的平台，使用一系列分析方法、威胁情报（TI）进行分析，也可以通过经验丰富的事件检测和响应专家进行手动分析。人工执行的威胁狩猎服务可补充实时监控和检测功能，以发现新的、更复杂的威胁。

Message Authentication 消息认证

消息认证就是验证消息的完整性，当接收方收到发送方的报文时，接收方能够验证收到的报文是真实的和未被篡改的。它包含两层含义：一是验证信息的发送者是真正的而不是冒充的，即数据起源认证；二是验证信息在传送过程中未被篡改、重放或延迟等。

Metadata 元数据

元数据是关于数据的组织、数据域及其关系的信息，简言之，元数据就是关于数据的数据。

MFA: multi-factor authentication 多因素认证

多因素认证是一种计算机访问控制的方法，用户要通过两种以上的认证机制之后，才能得到授权，使用计算机资源。

Microservice 微服务

微服务是一种用于构建应用的架构方案。微服务架构有别于更为传统的单体式方案，可将应用拆分成多个核心功能。每个功能都被称为一项服务，可以单独构建和部署，这意味着各项服务在工作（和出现故障）时不会相互影响。

Middleware 中间件

中间件是介于应用系统和系统软件之间的一类软件，它使用系统软件所提供的基础服务（功能），衔接网络上应用系统的各个部分或不同的应用，能够达到资源共享、功能共享的目的。

MITM: Man-in-the-Middle Attack 中间人攻击

中间人攻击是一种由来已久的网络入侵手段，并且在今天仍然有着广泛的发展空间，如SMB会话劫持、DNS欺骗等攻击都是典型的MITM攻击。简而言之，所谓的MITM攻击就是通过拦截正常的网络通信数据，并进行数据篡改和嗅探，而通信的双方却毫不知情。

Morris Worm 莫里斯蠕虫病毒

它的编写者是美国康乃尔大学一年级研究生罗伯特·莫里斯。这个程序只有99行，利用了Unix系统中的缺点，用Finger命令查联机用户名单，然后破译用户口令，用Mail系统复制、传播本身的源程序，再编译生成代码。最初的网络蠕虫设计目的是当网络空闲时，程序就在计算机间“游荡”而不带来任何损害。当有机器负荷过重时，该程序可以从空闲计算机“借取资源”而达到网络的负载平衡。而莫里斯蠕虫不是“借取资源”，而是“耗尽所有资源”。是通过互联网传播的第一种蠕虫病毒。它既是第一种蠕虫病毒，也是第一次得到主流媒体的强烈关注。

MSSP: managed security service provider 安全托管服务提供商

安全托管服务提供商是提供MSS服务的专业机构。安全托管服务即是将自己业务系统的安全运维工作外包给外部专业的安全服务供应商，自己不再承担系统的安全运维工作。

Multitenancy 多租户

多租户指服务器上运行单一应用，但是同时服务于多家企业。每一个企业的用户所使用的应用都是自定制版本。这种就是应用本身的共享作为资源，而不是一个企业只能单独使用一台服务器或者一套服务器上运作的单一应用。

Multithreading 多线程

多线程是指从软件或者硬件上实现多个线程并发执行的技术。具有多线程能力的计算机因有硬件支持而能够在同一时间执行多于一个线程，进而提升整体处理性能。
Network Computing 网络计算

网络计算一般指元计算，是当前高性能计算研究的前沿课题，它将一组通过广域网连接起来的性质不同的计算资源集合起来，作为一个单独的计算环境向用户提供计算服务。

Network Database 网络数据库

网络数据库是指把数据库技术引入到计算机网络系统中，借助于网络技术将存储于数据库中的大量信息及时发布出去；而计算机网络借助于成熟的数据库技术对网络中的各种数据进行有效管理，并实现用户与网络中的数据库进行实时动态数据交互。

Network Sharing 网络共享

网络共享就是以计算机等终端设备为载体，借助互联网这个面向公众的社会性组织，进行信息交流和资源共享，并允许他人去共享自己的劳动果实。

Network Topology 网络拓扑

网络拓扑结构是指用传输介质互连各种设备的物理布局。指构成网络的成员间特定的物理的即真实的、或者逻辑的即虚拟的排列方式。如果两个网络的连接结构相同我们就说它们的网络拓扑相同，尽管它们各自内部的物理接线、节点间距离可能会有不同。

Neural Network 神经网络

神经网络是一种模仿动物神经网络行为特征，进行分布式并行信息处理的算法数学模型。这种网络依靠系统的复杂程度，通过调整内部大量节点之间相互连接的关系，从而达到处理信息的目的。

NFC: Near Field Communication 近场通信

近场通信是一种新兴的技术，使用了NFC技术的设备（例如移动电话）可以在彼此靠近的情况下进行数据交换，是由非接触式射频识别（RFID）及互连互通技术整合演变而来的，通过在单一芯片上集成感应式读卡器、感应式卡片和点对点通信的功能，利用移动终端实现移动支付、电子票务、门禁、移动身份识别、防伪等应用。

NGFW: Next-generation Firewalls 下一代防火墙

下一代防火墙是一款可以全面应对应用层威胁的高性能防火墙。通过深入洞察网络流量中的用户、应用和内容，并借助全新的高性能单路径异构并行处理引擎，NGFW能够为用户提供有效的应用层一体化安全防护，帮助用户安全地开展业务并简化用户的网络安全架构。

NIST: National Institute of Standards and Technology 美国国家标准与技术研究所，原名为美国国家标准局

美国国家标准与技术研究院直属美国商务部，从事物理、生物和工程方面的基础和应用研究，以及测量技术和测试方法方面的研究，提供标准、标准参考数据及有关服务，在国际上享有很高的声誉。

NLP: Natural-Language Processing 自然语言处理

自然语言处理是计算机科学领域与人工智能领域中的一个重要方向。它研究能实现人与计算机之间用自然语言进行有效通信的各种理论和方法。自然语言处理是一门融语言学、计算机科学、数学于一体的科学。
Object Data Model 对象数据模型

对象数据模型是捕获在面向对象程序设计中所支持的对象语义的逻辑数据模型，它是持久的和共享的对象集合，具有模拟整个解决方案的能力。

Open source intelligence 开源情报

开源情报是指通过对公开的信息或其它资源进行分析后所得到的情报。
PaaS: Platform as a service 平台即服务

在云计算时代，将相应的服务器平台或者开发环境作为服务进行提供就成为了PaaS。

Password Cracking 密码破解

密码破解是尝试猜测密码的过程。

Password Sniffing 密码嗅探

通常是在局域网上窃取或篡改信道信息，以获取密码信息。

Pharming 域欺骗

域欺骗最早出现在2004年，它借由入侵DNS的方式，将使用者导引到伪造的网站上，因此又称为DNS下毒。

Phishing 钓鱼攻击

钓鱼式攻击是指企图从电子通讯中，通过伪装成信誉卓著的法人媒体以获得如用户名、密码和信用卡明细等个人敏感信息的犯罪诈骗过程。

PLM: Product Life Cycle Management 产品生命周期管理

产品生命周期管理是指从人们对产品的需求开始，到产品淘汰报废的全部生命历程。PLM是一种先进的企业信息化思想，它让人们思考在激烈的市场竞争中，如何用最有效的方式和手段来为企业增加收入和降低成本。

POC: proof of concept 概念验证

概念验证是对某些想法的一个较短而不完整的实现，以证明其可行性，示范其原理，其目的是为了验证一些概念或理论。

Public-key Cryptography 公钥密码学

公钥密码学，又称非对称密码学，是使用一对公钥和私钥的密码学，与只用一个钥匙的密钥密码学相对应。公钥密码学包括公钥加密算法和数字签名算法。

Pyramid of Pain 痛苦金字塔

痛苦金字塔的作者David Bianco解释称，并非所有攻击指标都是一样的。痛苦金字塔描述了防守方能够击败这些攻击时，给攻击者带来的痛苦程度是不一样的。
QA: Quality Assurance 质量保证

质量保证也是质量管理的一部分，它致力于提供质量要求会得到满足的信任。

QoS: Quality of Service 服务质量

服务质量指一个网络能够利用各种基础技术，为指定的网络通信提供更好的服务能力，是网络的一种安全机制，是用来解决网络延迟和阻塞等问题的一种技术。QoS的保证对于容量有限的网络来说是十分重要的，特别是对于流多媒体应用，例如VoIP和IPTV等，因为这些应用常常需要固定的传输率，对延时也比较敏感。

Quantum Computing 量子计算

量子计算是一种遵循量子力学规律调控量子信息单元进行计算的新型计算模式。对照于传统的通用计算机，其理论模型是通用图灵机；通用的量子计算机，其理论模型是用量子力学规律重新诠释的通用图灵机。从可计算的问题来看，量子计算机只能解决传统计算机所能解决的问题，但是从计算的效率上，由于量子力学叠加性的存在，某些已知的量子算法在处理问题时速度要快于传统的通用计算机。
Ransomware 勒索软件

勒索软件是一种流行的木马，通过骚扰、恐吓甚至采用绑架用户文件等方式，使用户数据资产或计算资源无法正常使用，并以此为条件向用户勒索钱财。这类用户数据资产包括文档、邮件、数据库、源代码、图片、压缩文件等多种文件。赎金形式包括真实货币、比特币或其它虚拟货币。

RASP: Runtime Application Self-protection 运行时应用自我保护机制

RASP是一种新兴技术，可以安装在应用程序的运行时环境中。换句话说，它通过附加功能（即安全检测和保护）扩展了功能。运行时应用自我保护（RASP）让Web、非Web和分布式应用能够利用对攻击模式的深入了解以及对应用逻辑和数据流的洞察力，在生产中进行自我保护。

RAT: Remote access trojan 远程访问木马

远程访问木马是一种恶意程序，其中包括在目标计算机上用于管理控制的后门。

Red Team 红队

红队负责模拟攻击者，独立发起攻击来利用网络并提供反馈

Registry 注册表

注册表是Microsoft Windows中的一个重要的数据库，用于存储系统和应用程序的设置信息。

Remote Access 远程访问

远程访问服务提供的是一种全面的远程系统管理解决方案。

Remote Control 远程控制

远程控制是指管理人员在异地通过计算机网络异地拨号或双方都接入Internet等手段，连通需被控制的计算机，将被控计算机的桌面环境显示到自己的计算机上，通过本地计算机对远方计算机进行配置、软件安装程序、修改等工作。

Remote Desktop Protocol 远程桌面协议

远程桌面协议是一个多通道的协议，让使用者(所在计算机称为用户端或本地计算机)连上提供微软终端机服务的计算机(称为服务端或远程计算机)。

Remote Diagnostics 远程诊断

随着计算机网络技术，现代控制技术，传感器技术的发展，远程故障诊断和维护技术可以在短时间内调动故障诊断和维护资源，实现对复杂系统快速、及时、正确诊断和维护。

Reverse Engineering 逆向工程

逆向工程，又称逆向技术，是一种产品设计技术再现过程，即对一项目标产品进行逆向分析及研究，从而演绎并得出该产品的处理流程、组织结构、功能特性及技术规格等设计要素，以制作出功能相近，但又不完全一样的产品。

Reverse Proxy 反向代理

反向代理服务器位于用户与目标服务器之间，但是对于用户而言，反向代理服务器就相当于目标服务器，即用户直接访问反向代理服务器就可以获得目标服务器的资源。同时，用户不需要知道目标服务器的地址，也无须在用户端作任何设定。反向代理服务器通常可用来作为Web加速，即使用反向代理作为Web服务器的前置机来降低网络和服务器的负载，提高访问效率。

Role Based Access Control 基于角色的访问控制

基于角色的访问控制根据用户的组织职能为他们分配角色，并根据这些角色确定授权。

Rootkit

Rootkit是一种特殊的恶意软件，它的功能是在安装目标上隐藏自身及指定的文件、进程和网络链接等信息，比较多见到的是Rootkit一般都和木马、后门等其他恶意程序结合使用。

RSA: Rivest-Shamir-Adleman 不对称密码算法

不对称加密算法需要两个密钥：公开密钥（简称公钥）和私有密钥（简称私钥）。公钥与私钥是一对，如果用公钥对数据进行加密，只有用对应的私钥才能解密。因为加密和解密使用的是两个不同的密钥，所以这种算法叫作非对称加密算法。
SaaS: Software as a Service 软件即服务

通过网络提供软件服务。

SASE：secure access service edge 安全访问服务边界

敏捷地支持数字业务转型，同时将复杂性控制在可以管理的水平，以支持访问模式的反转，这都将成为新市场的主要推动力。这个市场将网络（例如，软件定义的广义网）和网络安全服务（例如，SWG、CASB和防火墙即服务[FWaaS]）融合在一起。 Gartner将其称为安全访问服务边界，主要以云服务的形式来提供。

SAST: Static Application Security Testing 静态应用安全测试

静态应用安全测试（SAST）用于通过查看软件的源代码来识别漏洞来源，以此来保护软件安全。虽然自计算机存在以来就一直在对源代码进行静态分析，但该技术在1990年代末才扩展到安全领域。与用于对应用功能进行黑盒测试的动态应用安全测试（DAST）工具不同，SAST工具专注于应用的代码内容，即白盒测试。SAST工具会扫描应用及其组件的源代码，确认软件和体系结构中是否存在潜在安全漏洞。静态分析工具可以检测到大约50％的已知安全漏洞。

SDK: Software Development Kit 软件开发包

软件开发工具包一般都是一些软件工程师为特定的软件包、软件框架、硬件平台、操作系统等建立应用软件时的开发工具的集合。软件开发工具广义上指辅助开发某一类软件的相关文档、范例和工具的集合。

SDN: Software Defined Network 软件定义网络

软件定义网络是由美国斯坦福大学clean-slate课题研究组提出的一种新型网络创新架构，是网络虚拟化的一种实现方式。其核心技术OpenFlow通过将网络设备的控制面与数据面分离开来，从而实现了网络流量的灵活控制，使网络作为管道变得更加智能，为核心网络及应用的创新提供了良好的平台。

Secure Web Gateway Web安全网关

安全Web网关解决方案可保护Web PC免受感染并执行公司策略。安全Web网关是一种解决方案，可从用户启动的Web/Internet流量中过滤掉不需要的软件/恶意软件，并强制执行公司和法规政策。这些网关至少必须包括URL过滤、恶意代码检测和过滤、以及用于常用Web应用的应用控件，例如即时消息（IM）和Skype。本机或集成数据泄漏防护也越来越多地包括在内。

Semantic analysis 语义分析

语义分析是编译过程的一个逻辑阶段，语义分析的任务是对结构上正确的源程序进行上下文有关性质的审查，进行类型审查。语义分析是审查源程序有无语义错误，为代码生成阶段收集类型信息。

Semantic Nets 语义网络

语义网络是一种用图来表示知识的结构化方式。在一个语义网络中，信息被表达为一组结点，结点通过一组带标记的有向直线彼此相连，用于表示结点间的关系。

Service Mesh 服务网格

服务网格是分布式中间件，可以优化应用服务之间的通信，尤其是微服务之间的通信。

Shadow IT 影子IT

影子IT是一种将企业对于一个问题或者机会所作出的响应从一个高惯性的IT世界中解脱出来的方式。

SIEM: security information and event management 安全信息和事件管理

安全信息和事件管理是软件和服务的组合，是SIM（安全信息管理）和SEM（安全事件管理）的融合体。SIEM为来自企业和组织中所有IT资源（包括网络、系统和应用）产生的安全信息（包括日志、告警等）进行统一的实时监控、历史分析，对来自外部的入侵和内部的违规、误操作行为进行监控、审计分析、调查取证、出具各种报表报告，实现IT资源合规性管理的目标，同时提升企业和组织的安全运营、威胁管理和应急响应能力。

SLA: Service-level agreements 服务等级协议

服务等级协议(SLA)最根本的形式是协议双方(服务提供者和用户)签订的一个合约或协议，这个合约规范了双方的商务关系或部分商务关系。一般来说，SLA是服务提供者与用户之间协商并签订的一个具有法律约束力的合同，合同规定了在服务提供过程中双方所承担的商务条款。

Sliding Scale of Cyber Security 网络安全滑动标尺

网络安全滑动标尺模型将网络安全措施分为五大类，分别是基础设施安全、被动防御安全、主动防御安全、威胁情报和反制安全。

Sniffer 嗅探器

嗅探器是一种监视网络数据运行的软件设备，协议分析器既能用于合法网络管理也能用于窃取网络信息。网络运作和维护都可以采用协议分析器：如监视网络流量、分析数据包、监视网络资源利用、执行网络安全操作规则、鉴定分析网络数据以及诊断并修复网络问题等等。非法嗅探器严重威胁网络安全性，这是因为它实质上不能进行探测行为且容易随处插入，所以网络黑客常将它作为攻击武器。

SOA: Service-oriented Architecture 面向服务的体系结构

SOA 是一个组件模型，它将应用程序的不同功能单元（称为服务）通过这些服务之间定义良好的接口和契约联系起来。接口是采用中立的方式进行定义的，它应该独立于实现服务的硬件平台、操作系统和编程语言。这使得构建在各种这样的系统中的服务可以以一种统一和通用的方式进行交互。

SOAR: Security Orchestration, Automation and Response 安全编排、自动化和响应

Gartner将安全编排、自动化和响应（SOAR）定义为在一个平台中整合了事件响应、编排和自动化以及威胁情报（TI）管理功能的解决方案。SOAR工具还用于记录和实现流程（也称为剧本、工作流和流程）；支持安全事件管理；并向人类安全分析人员和运营人员提供机器辅助。

SOC: Security operation center 安全运营中心

安全运营中心（SOC）是组织机构的一个部门，其中包括信息安全团队，该团队负责持续监控和分析组织机构的安全状况。SOC团队的目标是总是使用技术解决方案和强大的流程来检测、分析和响应网络安全事件。安全运营中心通常配备安全分析师和工程师以及负责安全运营的经理。SOC团队人员与事件响应团队密切合作，确保发现安全问题后迅速解决。

Social Engineering 社工

这是一种委婉语，指用于攻击信息系统的非技术性或低技术手段，例如谎言、假冒、欺骗、贿赂、勒索和威胁等等。

SQL Injection: structured query language injection SQL 注入攻击

SQL注入是从正常的WWW端口访问，而且表面看起来跟一般的Web页面访问没什么区别，所以市面的防火墙都不会对SQL注入发出警报，如果管理员没查看ⅡS日志的习惯，可能被入侵很长时间都不会发觉。但是，SQL注入的手法相当灵活，在注入的时候会碰到很多意外的情况，需要构造巧妙的SQL语句，从而成功获取想要的数据。

SSO: Single Sign-on 单点登录

单点登录是比较流行的企业业务整合的解决方案之一。SSO的定义是在多个应用系统中，用户只需要登录一次就可以访问所有相互信任的应用系统。

Stack Mashing 栈溢出攻击

栈溢出是由于C语言系列没有内置检查机制来确保复制到缓冲区的数据不得大于缓冲区的大小，因此当这个数据足够大的时候，将会溢出缓冲区的范围。

Symmetric Cryptography 对称加密算法

对称加密算法是应用较早的加密算法，技术成熟。在对称加密算法中，数据发信方将明文（原始数据）和加密密钥一起经过特殊加密算法处理后，使其变成复杂的加密密文发送出去。收信方收到密文后，若想解读原文，则需要使用加密用过的密钥及相同算法的逆算法对密文进行解密，才能使其恢复成可读明文。在对称加密算法中，使用的密钥只有一个，发收信双方都使用这个密钥对数据进行加密和解密，这就要求解密方事先必须知道加密密钥。

SYN Flood SYN 泛洪攻击

SYN攻击利用的是TCP的三次握手机制，攻击端利用伪造的IP地址向被攻击端发出请求，而被攻击端发出的响应报文将永远发送不到目的地，那么被攻击端在等待关闭这个连接的过程中消耗了资源，如果有成千上万的这种连接，主机资源将被耗尽，从而达到攻击的目的。
TCO: Total Cost of Ownership 总持有成本

总体拥有成本是一项帮助组织来考核、管理和削减在一定时间范围内组织获得某项资产的相关联的所有成本的技术。

TI: threat intelligence 威胁情报

根据Gartner对威胁情报的定义，威胁情报是某种基于证据的知识，包括上下文、机制、标示、含义和能够执行的建议，这些知识与资产所面临已有的或酝酿中的威胁或危害相关，可用于资产相关主体对威胁或危害的响应或处理决策提供信息支持。业内大多数所说的威胁情报可以认为是狭义的威胁情报，其主要内容为用于识别和检测威胁的失陷标识，如文件HASH、IP、域名、程序运行路径、注册表项等，以及相关的归属标签。

Tokenization 令牌化

令牌化技术使用随机生成的码本编码数据，通常对密码学分析免疫。

Trojan Horse 特洛伊木马

特洛伊木马(Trojan Horse)是指寄宿在计算机里的一种非授权的远程控制程序，这个名称来源于公元前十二世纪希腊和特洛伊之间的一场战争。由于特洛伊木马程序能够在计算机管理员未发觉的情况下开放系统权限、泄漏用户信息、甚至窃取整个计算机管理使用权限，使得它成为了黑客们最为常用的工具之一。
UEBA: User and entity behavior analytics 用户和实体行为分析

用户和实体行为分析通常会基于一系列分析方法，包括基本分析方法（例如，利用签名、模式匹配和简单统计的规则）和高级分析方法（例如，有监督的机器学习和无监督的机器学习）提供概要分析和异常检测。供应商会采用打包的分析方法来评估用户和其他实体（主机、应用、网络流量和数据存储库）的活动，发现与用户和实体的标准配置文件和行为所不同的潜在威胁事件。这些活动示例包括受信任的内部人员或第三方对系统和数据的异常访问，以及外部攻击者绕过预防性安全控制措施造成破坏。

UTM: Unified Threat Management 统一威胁管理

统一威胁管理（UTM）是单点安全产品的融合平台，特别适合中小型企业（SMB）。典型功能包括三类：防火墙/入侵防御系统（IPS）/虚拟专用网络、安全Web网关的安全性（URL过滤、Web防病毒）和消息安全（反垃圾邮件、邮件杀毒）。

UXP: User Experience Platforms 用户体验平台

用户体验平台（UXP）是一组集成技术，用于用户与一系列应用、进程、内容、服务或其他用户之间进行交互。UXP具有多个组件，包括门户网站、混搭工具、内容管理、搜索、富互联网应用（RIA）工具、分析、协作、社交和移动工具。它可以作为一组产品或单个产品交付。
VDI: virtual desktop infrastructure 虚拟桌面基础设施

虚拟桌面基础设施（VDI）是一个完整的胖客户端用户环境，在服务器上作为VM运行并可以远程访问。 VDI的实现包括： ·服务器虚拟化软件，用于托管桌面软件（作为服务器工作负载） ·代理/会话管理软件，可将用户连接到其桌面环境 ·用于管理虚拟桌面软件堆栈的部署和维护的工具

Visualization 可视化

可视化是利用计算机图形学和图像处理技术，将数据转换成图形或图像在屏幕上显示出来，再进行交互处理的理论、方法和技术。

Volume Boot Record 卷引导记录

卷引导记录，也称为卷引导扇区、分区引导记录或分区引导扇区，是IBM个人计算机引入的一种引导扇区。在分区数据存储设备（例如硬盘）或未分区设备（例如软盘）上都会看到卷引导记录，并且其中包含用于引导存储在设备其他部分中的程序（通常是但不一定是操作系统）的机器代码。在非分区存储设备上，它是设备的第一个扇区。在分区设备上，它是设备上单个分区的第一个扇区，整个设备的第一个扇区是主引导记录（MBR）。

VPN concentrators VPN 集中器

VPN集中器提供了强大的远程接入和端到端VPN的能力，易于使用的管理接口以及VPN客户程序。

VPN: Virtual Private Network 虚拟专用网络

虚拟专用网络(VPN)的功能是：在公用网络上建立专用网络，进行加密通讯。在企业网络中有广泛应用。VPN网关通过对数据包的加密和数据包目标地址的转换实现远程访问。VPN可通过服务器、硬件、软件等多种方式实现。
WAF: Web application firewall Web应用防火墙

Web应用防火墙是通过执行一系列针对HTTP/HTTPS的安全策略来专门为Web应用提供保护的一款产品。

Web Crawler 网络爬虫

网络爬虫，又称为网页蜘蛛或网络机器人，是一种按照一定的规则，自动地抓取万维网信息的程序或者脚本。

Web Server 网络服务器

网络服务器是计算机局域网的核心部件。网络操作系统是在网络服务器上运行的，网络服务器的效率直接影响整个网络的效率。因此，一般要用高档计算机或专用服务器计算机作为网络服务器。

Web Services 网络服务

网络服务是指一些在网络上运行的、面向服务的、基于分布式程序的软件模块，网络服务采用HTTP和XML（标准通用标记语言的子集）等互联网通用标准，让人们可以在不同的地方通过不同的终端设备访问WEB上的数据。

Web Services Software 网络服务软件

在计算机网络环境中，用于支持数据通信和各种网络活动的软件。连入计算机网络的系统，通常根据系统本身的特点、能力和服务对象，配置不同的网络应用系统。其目的是为了本机用户共享网中其他系统的资源，或是为了把本机系统的功能和资源提供给网中其他用户使用。为此，每个计算机网络都制订一套全网共同遵守的网络协议，并要求网中每个主机系统配置相应的协议软件，以确保网中不同系统之间能够可靠、有效地相互通信和合作。

White Team 白队

白队负责监督网络攻防演练并对该事件进行裁决的团队；为蓝队针对红队的表现记录分数；读取安全报告并对其准确性和对策进行评分。

Windows Event Forwarding Windows事件转发

Windows 事件转发（WEF）会读取组织机构中设备上的运营或管理事件日志，并将你选择的事件转发到Windows事件收集器（WEC）服务器。

Worm 蠕虫

蠕虫是一种可以自我复制的代码，并且通过网络传播，通常无需人为干预就能传播。蠕虫病毒入侵并完全控制一台计算机之后，就会把这台机器作为宿主，进而扫描并感染其他计算机。当这些新的被蠕虫入侵的计算机被控制之后，蠕虫会以这些计算机为宿主继续扫描并感染其他计算机，这种行为会一直延续下去。蠕虫使用这种递归的方法进行传播，按照指数增长的规律分布自己，进而及时控制越来越多的计算机。
XDR: Extended detection and response 扩展的检测与响应

SaaS类型的安全威胁检测和响应平台，集成了大量的产品，并统一了相关license收费，具体产品功能视厂商而有所不同。
Zombies 僵尸电脑

僵尸电脑是指被黑客程序控制的电脑，接入互联网的计算机被病毒感染后，受控于黑客，可以随时按照黑客的指令展开拒绝服务 (DoS)攻击或发送垃圾信息，而用户却毫不知情，就仿佛是没有自主意识的僵尸一般。

ZTNA: Zero Trust Network Access 零信任网络访问

Gartner将零信任网络访问（ZTNA）定义为创建了基于身份和上下文的逻辑访问边界（涵盖了用户、一个或一组应用）。这些应用不会被发现，并且通过信任代理将访问权限限制为一系列的命名实体。