入侵指标 (IOC, Indicators of Compromise)[1],指的是在网络或设备上发现的数据物件,可作为系统疑遭入侵的证据。例如,不属于系统目录的文件或可疑 IP 地址。IOC 是“确凿证据”,即已遭受损害的事后指标。网络安全专业人员利用 IoC 来调查事件造成的影响,并训练他们的工具和技术,以更好地检测和隔离日后可能出现的威胁。
IOC 常见示例:
- 异常DNS查找
- 可疑文件、应用程序和进程
- 属于僵尸网络或恶意软件命令和控制(C&C 或 C2)服务器的 IP 地址和域名
- 已知恶意软件的攻击签名或文件哈希值
- 异常大小的 HTML 响应
- 对配置文件、寄存器或设备设置的未经授权修改
参考文献:
[1] https://mp.weixin.qq.com/s/39QVfb6g5usKlpYnxf_CbQ