网安术语

POC测试/自定义POC模版

POC 是 Proof of Concept 的缩写，中文通常叫“概念验证”。

POC 测试指在正式投入开发、采购、部署或上线之前，先用小范围、低成本的方式验证某个方案、产品、技术或漏洞是否真实可行。

在网络安全场景中，POC 常见有两种含义：

• 产品或方案验证：验证某个安全产品、平台或服务是否满足需求。
• 漏洞验证：用验证代码、验证脚本或验证方法证明某个漏洞是否真实存在。

在漏洞扫描系统里的“自定义 PoC”，通常指自定义漏洞检测模板或验证脚本。比如针对某个 0day、CVE 或特殊漏洞，编写一份检测规则，告诉扫描器应该发送什么请求、匹配什么响应、如何判断目标是否存在这个漏洞。

这类 PoC 的重点不是“采购前试用”，而是“让扫描器具备验证某个漏洞的能力”。

一句话理解：POC 测试就是先验证“这个东西靠不靠谱、能不能跑通、是否值得继续投入”。

ATT&CK

ATT&CK 通常指 MITRE ATT&CK，全称是 Adversarial Tactics, Techniques, and Common Knowledge。

它是一套整理攻击者真实攻击行为的知识库和框架，可以理解为一张“攻击行为地图”。它把攻击者从入侵到达成目标的过程，拆成不同阶段和方法。

常见理解方式：

• Tactics，战术：攻击者想达到什么目的，例如初始访问、权限提升、横向移动、凭据访问。
• Techniques，技术：攻击者用什么方法实现目的，例如钓鱼、PowerShell、凭据转储。
• Procedures，过程：某个攻击组织或攻击者在真实攻击中具体怎么做。

一句话理解：ATT&CK 是把真实攻击者的攻击思路、步骤和手法标准化整理出来的安全知识框架。

它常用于安全检测规则建设、攻防演练、威胁情报分析、安全产品能力评估、SOC 告警映射和防护盲区梳理。

AD/域控

AD 是 Active Directory 的缩写，中文通常叫“活动目录”。它是微软 Windows 域环境里的目录服务，用来集中管理企业内部的用户、电脑、服务器、权限、组策略等资源。

域控是“域控制器”的简称，英文是 Domain Controller，简称 DC。域控是运行 AD 服务的服务器，可以理解为 Windows 域环境里的“身份认证和权限管理中心”。

在企业内网里，员工登录电脑、访问共享文件、连接业务系统时，很多时候都要经过域控进行身份认证。域控会判断这个账号是谁、密码是否正确、属于哪个部门或用户组、能访问哪些资源。

AD 和域控的关系可以这样理解：

• AD 是一套目录服务和管理体系。
• 域控是承载 AD 的关键服务器。
• 域是由 AD 管理起来的一组用户、主机和资源。

在网络安全里，域控非常关键，因为一旦攻击者控制了域控，往往就等于掌握了整个 Windows 内网的大量账号、主机和权限。所以红队、内网渗透、勒索攻击里经常会提到“打域控”“拿下域控”“域渗透”。

一句话理解：AD 是企业 Windows 内网的集中管理系统，域控是这个系统的核心服务器，主要负责账号认证和权限控制。

DNS

DNS 是 Domain Name System 的缩写，中文通常叫“域名系统”。它的作用是把人容易记住的域名转换成计算机能识别的 IP 地址。

例如访问 www.example.com 时，电脑会先通过 DNS 查询这个域名对应哪个 IP，然后再去连接目标服务器。

DNS 可以被攻击，因为它决定了“访问某个域名时到底去哪里”。如果 DNS 被篡改，用户输入的是正常域名，但可能被引到攻击者控制的网站或恶意服务器。

常见风险包括：

• DNS 劫持：把正常域名解析到错误或恶意 IP。
• DNS 缓存投毒：污染 DNS 服务器或客户端缓存，让后续访问都走向错误地址。
• DNS 隧道：把 DNS 查询当成隐蔽通道，用来传输数据或绕过部分安全检测。
• DNS 放大攻击：利用开放 DNS 服务器放大流量，对目标发起 DDoS 攻击。

一句话理解：DNS 是网络里的“地址簿”，攻击 DNS 就是在篡改或滥用这本地址簿。

DHCP

DHCP 是 Dynamic Host Configuration Protocol 的缩写，中文通常叫“动态主机配置协议”。它的作用是自动给终端分配 IP 地址、网关、DNS 服务器等网络配置。

比如电脑或手机连上公司网络后，不需要手动填写 IP，DHCP 服务器会自动分配一套可用的网络参数。

DHCP 可以被攻击，因为它决定了终端拿到什么网络配置。如果攻击者伪造 DHCP 服务，就可能给终端下发错误网关或恶意 DNS，让流量经过攻击者控制的设备。

常见风险包括：

• DHCP 欺骗：攻击者伪造 DHCP 服务器，给终端分配恶意网关或 DNS。
• DHCP 饥饿攻击：大量申请 IP 地址，耗尽地址池，导致正常终端拿不到 IP。
• 中间人攻击：通过恶意网关接管或监听终端流量。

一句话理解：DHCP 是网络里的“自动发号和配网服务”，攻击 DHCP 就是在骗终端使用错误的网络配置。

ERP/CRM

ERP 是 Enterprise Resource Planning 的缩写，中文通常叫“企业资源计划”。它不只是管财务，而是偏向管理公司内部资源和业务流程，例如财务、采购、库存、生产、供应链、人力、项目等。

CRM 是 Customer Relationship Management 的缩写，中文通常叫“客户关系管理”。它主要管公司和客户之间的关系与业务过程，例如客户信息、销售线索、商机、合同、回款、售后服务、客户跟进记录等。

可以这样区分：

• ERP 更偏“公司内部怎么运转”，关注资源、流程、成本和交付。
• CRM 更偏“公司怎么经营客户”，关注客户、销售、商机和服务。

举例来说，销售在 CRM 里记录客户、跟进商机、推进合同；合同签完后，订单、采购、库存、开票、财务核算等流程可能进入 ERP。

在网络安全里，ERP 和 CRM 都属于重要业务系统。ERP 里可能有财务、供应链、库存、采购等核心数据；CRM 里可能有客户资料、销售机会、合同信息、联系人和沟通记录。一旦被攻击，可能造成数据泄露、业务中断、勒索加密或内部审批流程被篡改。

一句话理解：ERP 管企业内部资源和流程，CRM 管客户关系和销售服务过程。

DLP

DLP 是 Data Loss Prevention 的缩写，中文通常叫“数据防泄漏”或“数据泄露防护”。

它的核心目标是防止企业的重要数据被误发、外传、拷贝、上传或泄露出去。这里的数据可以是客户资料、源代码、财务报表、合同、身份证号、银行卡号、研发文档、商业机密等。

DLP 通常会关注数据在几个位置和过程中的安全：

• 终端侧：比如员工电脑上复制文件到 U 盘、截图、打印、外发文件。
• 网络侧：比如通过邮件、网盘、IM、HTTP 上传敏感文件。
• 存储侧：比如文件服务器、数据库、云盘里是否存放了敏感数据。

常见能力包括敏感数据识别、文件外发审计、邮件附件检测、关键字或正则匹配、文件指纹、水印、阻断外发、告警和溯源。

在网络安全里，DLP 重点防的是“数据出去”。它不一定是防黑客入侵的第一道门，更像是发现和阻止敏感数据从企业内部流到外部的控制手段。

一句话理解：DLP 就是盯住重要数据，防止它被不该带走的人或渠道带出公司。

SOC

SOC 是 Security Operations Center 的缩写，中文通常叫“安全运营中心”。

它可以指一个安全运营团队，也可以指一套安全运营平台，还可以指“人、流程、平台”组合起来的安全运营体系。它的核心目标是持续监控企业安全状态，发现告警，分析风险，处置安全事件。

SOC 通常会接入很多安全设备和系统的数据，例如防火墙、WAF、EDR、IDS/IPS、堡垒机、日志审计、主机日志、网络流量、云平台日志等，然后统一分析这些日志和告警。

常见工作包括：

• 收集和关联安全日志。
• 监控安全告警和异常行为。
• 分析攻击线索，判断是否真实入侵。
• 推动应急响应和事件处置。
• 输出安全运营报表和风险趋势。

SOC 常和 SIEM、SOAR、态势感知这些词一起出现。简单理解，SIEM 更偏日志汇聚和关联分析，SOAR 更偏自动化编排和响应，SOC 则更像整体安全运营中心。

一句话理解：SOC 就是企业的安全监控和应急值班中心，负责发现、分析和处置安全风险。

XSIAM

XSIAM 通常可理解为Extended Security Intelligence and Automation Management ，强调“扩展的安全智能、分析和自动化管理”。它不是像 SOC 那样指一个团队或中心，而更像是一类面向新一代 SOC 的平台能力名称。

传统 SOC 主要靠人盯告警、查日志、手工处置；XSIAM 更强调把 SIEM 的日志关联分析、SOAR 的自动化编排响应、XDR 的多源检测响应、威胁情报、AI 研判、工单闭环和运营指标统一到一个平台里。

结合项目里的 AiLPHA 智能安全运营平台资料看，XSIAM 的重点不是单纯“看告警”，而是围绕数据、能力和流程三层统一，支撑“监测、分析、响应、优化”的安全运营闭环。资料中提到的平台能力包括安全态势、资产管理、弱点管理、智能中心、安全日志、安全告警、安全事件、安全运营指标、工单引擎、联动引擎、情报引擎等。

可以这样区分：

• SOC 是安全运营中心这个目标或组织形态。
• SIEM 偏日志采集、检索、关联分析。
• SOAR 偏剧本编排、联动响应和流程自动化。
• XSIAM 偏把数据分析、AI 研判、自动化响应和运营管理整合成一体化平台。

一句话理解：XSIAM 可以看作“更智能、更自动化、更一体化的 SOC 平台能力”，是为了支撑新一代安全运营中心而出现的叫法。

M and A

SIEM

SIEM 是 Security Information and Event Management的缩写，中文通常叫“安全信息与事件管理”。

它主要负责把企业里分散的安全日志和事件收集起来，进行统一存储、检索、关联分析和告警。比如防火墙、WAF、EDR、服务器、数据库、堡垒机、应用系统都在产生日志，SIEM 会把这些日志汇总起来，帮助安全人员判断是否存在异常。

SIEM 的核心价值是把“零散日志”变成“可分析的安全线索”。单看一条登录日志可能没问题，但如果和异地登录、异常下载、恶意 IP 访问、权限变更放在一起看，就可能拼出一次攻击事件。

常见能力包括日志采集、日志解析、集中存储、全文检索、规则关联、异常告警、合规报表和事件追踪。

一句话理解：SIEM 是安全运营里的“日志汇聚和关联分析平台”，重点回答“发生了什么、这些日志之间有没有关系”。

SOAR

SOAR 是 Security Orchestration, Automation and Response 的缩写，中文通常叫“安全编排、自动化与响应”。

它主要负责把安全事件处置流程自动化、标准化。比如发现恶意 IP 后，过去需要人工登录防火墙、WAF、EDR 等设备分别处置；SOAR 可以通过预设剧本自动完成查询、研判、封禁、隔离、通知、建工单等动作。

SOAR 的核心价值是把“人工经验和处置步骤”变成“可重复执行的剧本”。这样遇到常见告警时，不必每次都从头手工分析和操作，可以减少重复劳动，也能降低漏处理和误操作。

常见能力包括剧本编排、流程自动化、工单流转、联动处置、人工审批、事件闭环和处置记录留痕。

一句话理解：SOAR 是安全运营里的“自动化处置和流程编排平台”，重点回答“发现问题后该怎么处理、能不能自动处理”。

D and R

EDR

EDR 是 Endpoint Detection and Response 的缩写，中文通常叫“终端检测与响应”。

这里的 Endpoint 指终端，比如员工电脑、笔记本、服务器等。EDR 主要部署在终端上，持续监控进程、文件、网络连接、注册表、命令执行、登录行为等，发现可疑行为后进行告警、溯源和处置。

它和传统杀毒软件不完全一样。传统杀毒更偏识别和查杀已知病毒；EDR 更偏行为检测、攻击链分析和响应处置，比如发现异常 PowerShell、勒索加密行为、提权、横向移动、恶意外联等。

常见能力包括终端资产管理、恶意文件检测、行为分析、威胁告警、进程树溯源、终端隔离、进程结束、文件查杀和联动响应。

一句话理解：EDR 是装在终端和服务器上的安全探针与处置工具，重点回答“这台机器上发生了什么、能不能及时处置”。

NDR

看网络流量

XDR

XDR 是 Extended Detection and Response 的缩写，中文通常叫“扩展检测与响应”。

它是在 EDR 的基础上扩展出来的概念。EDR 主要看终端和服务器行为，XDR 则把终端、网络、邮件、身份、云、应用等多个安全数据源结合起来做统一检测和响应。

XDR 的核心价值是跨多个安全视角发现攻击。因为真实攻击往往不是只发生在一台电脑上，而是可能经历钓鱼邮件、终端落地、命令执行、横向移动、账号滥用、数据外传等多个阶段。XDR 会把这些线索串起来，帮助安全人员看到更完整的攻击链。

常见能力包括多源数据接入、跨域关联分析、攻击链还原、威胁检测、资产风险关联和联动响应。

一句话理解：XDR 是安全运营里的“跨终端、网络、身份、云等多源检测响应能力”，重点回答“这是不是一条完整攻击链、应该在哪些点一起响应”。

账号与权限控制

TAM零信任

“TAM零信任身份服务中心”

零信任相关的通用英文缩写可以这样记：

• ZT：Zero Trust，零信任。
• ZTA：Zero Trust Architecture，零信任架构。
• ZTNA：Zero Trust Network Access，零信任网络访问。

零信任不是某一个单独产品名，而是一种安全理念：永不默认信任，持续验证。也就是说，不因为用户在内网、连了 VPN、账号密码正确，就直接认为他可信，而是要持续判断“人是谁、设备是否安全、访问什么资源、当前行为是否异常”。

TAM 零信任可以理解为围绕身份、终端、应用和权限做访问控制的零信任接入平台。它常用于远程办公、第三方接入、移动办公、内网应用访问等场景。

它通常会关注几个要素：

• 身份可信：确认访问者是谁，支持账号、密码、证书、MFA 多因素认证等。
• 设备可信：判断访问设备是否合规，例如是否安装安全客户端、是否存在高危风险。
• 权限最小化：用户只能访问自己工作需要的系统，不能因为进了内网就什么都能访问。
• 持续验证：登录成功后也会根据设备状态、访问行为、风险变化动态调整权限。
• 访问审计：记录谁在什么时间访问了什么资源，便于追踪和溯源。

它和传统 VPN 的区别是：VPN 更像“先进内网再说”，零信任更像“每次访问具体应用前都要验证和授权”。所以零信任不是只给一条通道，而是围绕身份、设备、权限和行为做更细粒度的访问控制。

一句话理解：TAM 零信任就是不默认相信任何用户和设备，每次访问都要基于身份、终端状态和权限策略进行验证和控制。

零信任接入

零信任接入通常对应 ZTNA，英文是 Zero Trust Network Access，中文叫“零信任网络访问”或“零信任接入”。

它解决的是“用户能不能访问某个具体应用或资源”的问题。和传统 VPN 一次性把用户接进内网不同，零信任接入通常只按权限开放具体应用，不让用户直接暴露在整个内网里。

零信任接入会综合判断：

• 用户身份是否可信。
• 是否通过 MFA 等认证。
• 访问设备是否合规。
• 用户是否有访问该应用的权限。
• 当前访问行为是否异常。

举例来说，员工在家访问公司 OA 系统，零信任接入不会简单认为“账号密码对了就行”，而是会继续检查设备状态、登录地点、MFA、权限策略等，然后只放行到 OA，而不是把整个办公内网都暴露给他。

一句话理解：零信任接入是按身份、设备和风险来控制“谁能访问哪个具体应用”，不是简单给用户开一条进内网的通道。

MFA

MFA 是 Multi-Factor Authentication 的缩写，中文叫“多因素认证”。

它的意思是：登录时不只靠一个密码，而是再加一层或多层验证。比如密码之外，再要求短信验证码、动态口令、手机 App 确认、USB Key、指纹、人脸等。

MFA 的价值在于，即使密码泄露了，攻击者也不一定能成功登录，因为还需要第二个验证因素。

常见验证因素可以分成三类：

• 你知道的东西：密码、PIN 码。
• 你拥有的东西：手机、令牌、USB Key、动态口令。
• 你本人的特征：指纹、人脸、虹膜等生物特征。

一句话理解：MFA 就是在密码之外再加一道身份确认，降低账号被盗后直接登录成功的风险。

IAM/SSO/LDAP/AD

这一串通常一起出现，是因为它们都和企业身份体系有关。先纠正一个拼写：一般是 LDAP，不是 LADP。

IAM 是 Identity and Access Management，中文叫“身份与访问管理”。它是一个总概念，负责管理“谁是谁、能访问什么、有什么权限、权限怎么申请和回收”。

SSO 是 Single Sign-On，中文叫“单点登录”。它解决的是“登录体验和统一认证”的问题：用户登录一次，就可以访问多个被授权的系统，不需要每个系统都单独输一遍账号密码。

LDAP 是 Lightweight Directory Access Protocol，中文叫“轻量级目录访问协议”。它是一种访问目录服务的协议，常用来查询用户、组织、部门、用户组等身份信息。可以把它理解成系统之间读取身份目录的一种标准接口。

AD 是 Active Directory，中文叫“活动目录”。它是微软的目录服务，常见于 Windows 域环境，用来集中管理用户、电脑、组织架构、用户组、权限和组策略。AD 通常可以通过 LDAP 协议被其他系统查询。

它们的关系可以这样记：

• IAM 是整体身份和权限管理体系。
• SSO 是统一登录能力。
• LDAP 是查询身份目录的协议。
• AD 是微软的一套目录服务和域管理系统。

举例来说，公司可以用 AD 管员工账号和组织架构；业务系统通过 LDAP 查询 AD 里的用户信息；用户通过 SSO 登录门户；IAM 负责统一管理账号生命周期、权限分配、审批和回收。

一句话理解：IAM 管身份和权限，SSO 管一次登录访问多个系统，LDAP 是查目录的协议，AD 是微软常见的企业身份目录和域控体系。

NAC

NAC 是 Network Access Control 的缩写，中文通常叫“网络准入控制”。

它主要解决“什么设备可以接入企业网络”的问题。比如员工电脑、访客电脑、打印机、摄像头、会议终端、个人手机等设备接入公司网络时，NAC 会判断这个设备是否可信、是否合规、应该进入哪个网络区域。

NAC 常见会检查：

• 设备身份：是不是已登记资产，是否属于公司设备。
• 用户身份：是谁在使用这个设备。
• 安全状态：是否安装安全软件、是否有高危漏洞、是否违规。
• 接入位置：从哪个交换机、无线 AP、网段接入。
• 访问权限：允许进入办公网、访客网，还是隔离区。

它和零信任的区别可以简单理解：NAC 更偏“设备能不能接入网络”，零信任更偏“用户和设备能不能访问具体应用或资源”。两者可以配合使用。

一句话理解：NAC 是企业网络入口的准入检查，负责判断一台设备能不能进网、进哪个网、是否需要隔离。

准入控制

准入控制可以理解为“进入之前先检查”。在网络安全里，常见说法就是网络准入控制，也就是 NAC。

它解决的是“设备能不能接入企业网络”的问题。比如一台电脑插上网线或连上公司 Wi-Fi，并不代表它就应该进入办公网。准入控制会先检查这台设备是谁的、是否登记、是否合规、有没有安全风险，然后决定放行、限制、隔离或拒绝。

准入控制常见场景包括：

• 员工电脑接入办公网前先检查安全状态。
• 访客设备只能进入访客网络，不能访问内网核心系统。
• 打印机、摄像头、会议终端等哑终端接入前要识别和纳管。
• 不合规终端进入隔离区，修复后才能正常接入。

它和零信任接入的区别是：准入控制更偏“设备能不能进网络”，零信任接入更偏“用户和设备能不能访问具体应用”。两者经常配合使用。

一句话理解：准入控制是网络入口的门禁，先判断设备有没有资格进网，再决定放行到哪个区域。

IDS/IPS

IDS 是 Intrusion Detection System 的缩写，中文叫“入侵检测系统”。IPS 是 Intrusion Prevention System 的缩写，中文叫“入侵防御系统”。

它们都用于发现网络中的攻击行为，比如扫描探测、漏洞利用、木马通信、异常流量、暴力破解等。

二者区别主要在于：

• IDS 偏检测和告警：发现可疑流量后告诉安全人员“这里可能有攻击”。
• IPS 偏检测和阻断：发现可疑流量后可以直接拦截、丢弃或阻断。

可以把 IDS 理解成“报警器”，它发现问题后发出告警；把 IPS 理解成“带拦截能力的报警器”，它不仅报警，还能在链路上挡住攻击流量。

部署位置上，IDS 常旁路部署，主要监听和分析流量；IPS 常串联部署在网络链路中，因为它需要实时拦截流量。

一句话理解：IDS 负责发现入侵并告警，IPS 负责发现入侵并尽量阻断。

UEBA

UEBA 是 User and Entity Behavior Analytics 的缩写，中文通常叫“用户与实体行为分析”。

它的核心思路是先学习用户、账号、主机、服务器、应用等对象的正常行为，再发现偏离正常习惯的异常行为。

比如一个员工平时只在上海白天登录 OA，突然凌晨从境外 IP 登录，并大量下载文件；或者一个普通账号突然访问很多服务器、尝试高权限操作，这些都可能被 UEBA 识别为异常。

UEBA 常关注：

• 用户登录时间、地点、设备是否异常。
• 账号访问系统和数据的行为是否异常。
• 主机、服务器、应用的访问关系是否异常。
• 是否出现权限滥用、账号被盗、内部人员违规、横向移动等风险。

它和传统规则告警的区别是：传统规则更像“命中特定条件就告警”，UEBA 更像“先学正常习惯，再发现不正常”。所以它适合发现内部威胁、账号盗用、低频隐蔽攻击和异常数据访问。

一句话理解：UEBA 是通过分析用户和实体的行为习惯，发现账号、设备或系统的异常活动。

Agent转发

Agent 转发里的 Agent 指安装在主机、服务器、终端或业务系统上的客户端程序。它负责采集本机或本系统的数据，然后转发给安全平台、日志平台或管理中心。

它采集的数据可能包括系统日志、应用日志、进程信息、文件变化、网络连接、账号登录、告警信息等。比如在服务器上安装一个日志 Agent，把服务器日志转发到 SIEM、SOC、AiLPHA 等平台。

Agent 转发可以理解成一种“软件探针”方式，但不等于所有探针。因为探针还可能是旁路流量探针、硬件设备、虚拟化探针等。

Agent 转发的特点是离数据源很近，能拿到主机内部细节；缺点是需要安装和维护客户端，可能涉及兼容性、性能占用和主机权限。

一句话理解：Agent 转发就是在终端或服务器上装一个采集客户端，把本机数据采集后发给安全平台。

探针

探针可以理解为“部署在某个位置，用来采集安全数据或监测行为的组件”。

探针不一定是实体硬件，也不一定是 Agent。它可以是软件，也可以是硬件；可以部署在主机上，也可以部署在网络旁路、云环境、虚拟化平台或应用系统附近。

常见探针包括：

• 主机探针：安装在服务器或终端上，采集进程、文件、登录、网络连接等信息。
• 流量探针：接收交换机镜像流量，分析网络通信和攻击行为。
• 日志探针：采集系统、设备或应用日志并转发。
• 云探针：采集云主机、云网络、云审计日志等数据。

探针的核心作用是“把现场数据采回来”。安全平台本身不一定能直接看到所有资产和流量，所以需要探针部署在关键位置，把日志、流量、行为、告警等数据送回平台分析。

一句话理解：探针就是安全系统的“采集点”，负责在主机、网络或云上采集数据，送给平台分析。

镜像流量

镜像流量也叫流量镜像，常见英文说法是 Port Mirroring 或 SPAN。

它的意思是：交换机或网络设备把某个端口、某个 VLAN、某条链路上的真实网络流量复制一份，发送到安全设备或流量探针进行分析。

镜像流量通常是旁路分析，不改变原始业务流量的转发路径。也就是说，业务流量照常走，安全设备只是拿到一份“拷贝”来观察和分析。

常见用途包括：

• 给 IDS、NDR、APT、流量分析设备提供网络流量。
• 分析攻击行为、恶意外联、横向移动、异常访问。
• 做协议解析、资产识别、应用识别和流量审计。

镜像流量和 Agent 转发的区别是：Agent 转发更像从主机内部采集数据；镜像流量更像从网络链路上复制通信数据。一个看主机内部行为，一个看网络通信过程。

一句话理解：镜像流量就是把网络中的真实流量复制一份给安全设备看，用于旁路监测和分析。

VLAN

VLAN 是 Virtual Local Area Network 的缩写，中文叫“虚拟局域网”。

它的作用是在同一套物理交换网络上，划分出多个逻辑上的小网络。不同 VLAN 之间默认是隔离的，广播报文不会随便跨 VLAN 扩散。

交换机本身可以根据 MAC 地址转发单播流量，但二层交换机默认仍然会在同一个广播域内转发广播帧。比如 ARP 查询、DHCP 发现报文等广播流量，会在同一个二层网络里扩散。设备越多，广播域越大，管理和安全风险也越大。

VLAN 的价值是把一个大的广播域切成多个小广播域。例如把办公区、服务器区、访客区、监控摄像头区分别放到不同 VLAN。这样访客设备的广播不会影响服务器区，普通办公终端也不会天然和核心服务器处在同一个二层网络里。

有了交换机还需要 VLAN，是因为：

• 交换机解决“怎么转发”，VLAN 解决“哪些设备应该被分在同一个二层范围里”。
• 交换机减少冲突域，VLAN 隔离广播域。
• 没有 VLAN 时，一台交换机上的很多设备可能都在同一个广播域里。
• 使用 VLAN 后，可以在不增加大量物理交换机的情况下，按部门、业务、安全等级划分网络。

不同 VLAN 之间如果要通信，通常需要三层设备，比如路由器、三层交换机、防火墙等进行转发，并可以在中间加访问控制策略。

一句话理解：交换机让同一网络里的设备更高效通信，VLAN 则把一个大二层网络切成多个相互隔离的小网络。

CII

CII 是 Critical Information Infrastructure 的缩写，中文叫“关键信息基础设施”。

它指的是一旦遭到破坏、丧失功能或数据泄露，可能严重危害国家安全、国计民生、公共利益的重要网络设施和信息系统。

常见行业包括公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业等。比如电力调度系统、银行核心系统、重要政务系统、通信骨干网络等，都可能属于关键信息基础设施范围。

在国内网安语境里，CII 经常和“关保”一起出现。关保就是关键信息基础设施安全保护，要求对这些重要系统做更严格的安全建设、监测、防护、审计、应急和风险评估。

它和等保的关系可以简单理解：等保是网络安全等级保护的普遍要求，关保是面向关键信息基础设施的更重点、更严格保护要求。很多 CII 系统本身也会做等保，但 CII 不只是“等级高”，还强调对国家、行业和公共利益的重要性。

一句话理解：CII 是对国家、行业和民生非常重要的网络设施和信息系统，出问题会造成重大影响，所以需要重点保护。

网站被动扫描

网站被动扫描是一种 Web 漏洞扫描方式。它不是扫描器主动爬完整个网站，而是通过代理监听用户或测试人员在浏览器里的真实操作，把访问过的页面、接口、参数、请求和响应收集起来，再基于这些流量做漏洞分析。

图里说的“通过代理监听客户端对网站的真实操作”，意思是浏览器访问网站时，流量先经过扫描器代理。测试人员正常点击、登录、提交表单、调用功能，扫描器就在旁边记录这些真实请求，并分析是否存在 SQL 注入、XSS、越权、敏感信息泄露等风险。

它适合前后端分离网站，是因为很多页面和接口不是普通爬虫能直接发现的，而是要靠用户点击按钮、登录后操作、触发前端脚本才会出现。被动扫描能跟着真实操作收集接口，范围更可控，也更容易扫到指定功能。

它和主动扫描的区别是：主动扫描更像扫描器自己去爬站和发测试请求；被动扫描更像人在操作网站，扫描器在旁边记录和分析。

一句话理解：网站被动扫描就是让扫描器通过代理观察真实访问流量，再根据这些真实请求分析网站漏洞。

DGA

DGA 是 Domain Generation Algorithm 的缩写，中文叫“域名生成算法”。图里写的 Domain Generate Algorithm 可以按这个标准写法理解。

它常见于恶意软件和僵尸网络。攻击者不固定使用一个控制域名，而是让恶意程序按照某种算法每天、每小时或按特定种子生成大量域名。攻击者只需要提前注册其中一小部分域名，就能让失陷主机连上对应的控制服务器。

这样做的好处是躲避封堵：安全人员封掉一个域名，恶意程序明天还可能生成一批新域名继续尝试连接。

DGA 域名通常看起来比较随机、难读、没有正常语义，比如一串乱序字母数字。检测模型会从域名长度、字符随机性、元音辅音比例、N-gram 频率、顶级域名、是否符合正常发音习惯等特征判断它像不像 DGA 域名。

一句话理解：DGA 是恶意程序自动生成大量随机域名，用来寻找和连接攻击者控制服务器的技术。

C&C/C2

C&C 是 Command and Control 的缩写，也常写作 C2，中文叫“命令与控制”。

它指攻击者用来远程控制失陷主机的通信通道或服务器。被感染的主机会主动连接 C&C 服务器，接收攻击者下发的命令，比如下载木马、执行命令、窃取数据、横向移动、发起攻击等。

C&C 域名就是这些控制服务器使用的域名。如果安全设备发现内网主机访问了可疑 C&C 域名，就可能说明这台主机已经失陷，正在和攻击者通信。

图里的意思是：系统从 DNS 协议和沙箱恶意文件里提取域名，再用机器学习判断这些域名是不是 DGA/C&C 域名。如果判断可疑，就产生 C&C 域名告警，并帮助定位失陷主机和控制服务器。

一句话理解：C&C/C2 是攻击者控制失陷主机的指挥通道，C&C 域名就是失陷主机用来联系控制服务器的域名。

沙箱检测

沙箱检测是把可疑对象放到一个隔离、可控的环境里运行或打开，观察它的行为，从而判断是否恶意。

这里的“沙箱”可以理解成一个模拟出来的安全实验环境。即使样本真的是病毒、木马或恶意脚本，也尽量只在隔离环境里活动，不直接影响真实业务系统。

沙箱常见检测对象以文件为主，比如 exe、dll、office 文档、PDF、压缩包、脚本、邮件附件等。但沙箱不一定只能检测文件，也可以分析 URL、网页、脚本、下载链、宏行为、网络连接、进程行为、注册表修改、文件落地等。

沙箱通常会看：

• 文件运行后会不会创建进程、释放文件、修改注册表。
• 是否连接可疑域名、IP 或 C&C 服务器。
• 是否尝试提权、持久化、注入进程、加密文件。
• 是否下载二阶段木马或执行恶意命令。

一句话理解：沙箱检测就是把可疑文件或链接放进隔离环境里跑一跑，看它实际会做什么坏事。

沙箱集群

沙箱集群是由多台沙箱检测设备组成的检测集群，用来提升检测性能和处理大量样本。

单台沙箱要动态运行样本，过程比较耗 CPU、内存和时间。如果 APT、邮件网关、文件上传接口等系统不断送来大量文件，单台沙箱可能排队严重，影响整体检测效率。

图里的方案是：选一台沙箱作为中心端，其他沙箱作为检测器。文件先上传到中心端，中心端根据各检测器的负载情况，把文件分发给合适的沙箱检测器。检测完成后，检测器上报文件 ID、检测结果和报告，中心端再统一查询和展示结果。

一句话理解：沙箱集群就是多台沙箱一起干活，由中心节点分发任务，解决单台沙箱处理不过来大量文件的问题。

PCAP文件

PCAP 是 Packet Capture 的缩写，中文可以理解为“数据包捕获文件”或“抓包文件”。

它记录的是一段网络通信过程中的数据包。比如某台主机访问了哪个 IP、用了什么协议、源端口和目的端口是什么、请求和响应内容是什么，都可能在 PCAP 文件里看到。

PCAP 文件常由 Wireshark、tcpdump、流量探针、IDS、APT、NDR 等工具或设备生成，用来做网络故障排查、安全分析、攻击溯源和协议还原。

在安全分析里，PCAP 很有价值，因为它保留了比较原始的网络证据。分析人员可以用它还原攻击流量、查看恶意文件下载过程、分析 C2 通信、确认漏洞利用请求等。

需要注意的是，如果通信是 HTTPS 等加密流量，PCAP 里通常只能直接看到 IP、端口、域名、握手等外层信息；要看到明文内容，还需要密钥、证书或其他解密条件。

一句话理解：PCAP 文件就是网络流量的“抓包录像”，用来回看和分析当时网络里发生了什么。

CMDB

CMDB 是 Configuration Management Database 的缩写，中文通常叫“配置管理数据库”。

它可以理解为企业 IT 资产和配置关系的“资产账本”。里面记录服务器、网络设备、数据库、中间件、业务系统、IP、负责人、所属部门、部署位置、上下游依赖关系等信息。

CMDB 不只是列资产清单，更重要的是记录资产之间的关系。例如某个业务系统运行在哪几台服务器上，依赖哪个数据库，使用哪个负载均衡，归哪个部门负责。

在网络安全里，CMDB 很重要，因为安全平台需要知道“这个 IP 是谁、属于哪个业务、重要程度多高、负责人是谁”。有了这些上下文，漏洞管理、告警研判、资产风险评分、应急响应都会更准确。

常见用途包括：

• 资产盘点和资产台账。
• 业务系统与服务器关系管理。
• 漏洞和告警关联到具体业务负责人。
• 变更管理和影响分析。
• 安全运营中的资产画像和风险优先级判断。

一句话理解：CMDB 是企业 IT 资产和配置关系的数据库，帮助安全和运维知道“有哪些资产、属于谁、和哪些业务有关”。

Nessus/RSAS/RAS

Nessus、RSAS、RAS 在项目资料里通常指多厂商漏洞扫描器或弱点扫描工具，用来发现主机、系统、网络设备、Web 应用、中间件等资产上的漏洞、弱口令和配置风险。

Nessus 是 Tenable 公司的漏洞扫描工具，属于国际上比较常见的通用漏洞扫描器。它可以扫描系统漏洞、服务漏洞、配置问题、弱口令等，常用于安全评估、漏洞管理和合规检查。

RSAS 通常指绿盟的远程安全评估系统，也就是绿盟漏洞扫描/风险评估类产品。它主要用于对网络资产进行漏洞扫描、风险评估和报告输出。

RAS 在安恒项目语境里通常指安恒的风险评估/漏洞扫描类产品或扫描器能力。资料里提到 AiLPHA 可对接安恒 RAS、绿盟 RSAS、Nessus 等扫描器，实现多源弱点数据统一接入和治理。

它们的共同作用是“发现弱点”。比如扫描某台服务器是否有高危漏洞、某个 Web 应用是否有已知风险、某个服务是否存在弱口令。扫描结果可以进入 AiLPHA、SOC 或漏洞管理平台，继续做去重、风险排序、工单整改、复测闭环。

一句话理解：Nessus、RSAS、RAS 都可以理解为漏洞/弱点扫描器，只是来自不同厂商，常被安全运营平台对接后统一管理扫描结果。

AV

AV 是 Antivirus 的缩写，中文通常叫“防病毒”或“杀毒软件”。

它主要用于发现、拦截和清除病毒、木马、蠕虫、恶意脚本、恶意文件等威胁。传统 AV 很依赖病毒特征库，也就是通过已知恶意文件的特征、哈希、签名、行为规则等来判断文件是否有风险。

AV 常见能力包括实时防护、文件扫描、病毒查杀、隔离区、特征库更新、邮件附件检测、U 盘病毒查杀等。

它和 EDR 的区别可以简单理解：AV 更偏“识别和查杀恶意文件”，EDR 更偏“持续监控终端行为、溯源攻击链并支持响应处置”。现在很多终端安全产品会把 AV、EDR、主机防火墙、漏洞修复等能力组合在一起。

一句话理解：AV 是传统防病毒/杀毒能力，重点是识别、拦截和清除恶意文件。

IPSec

IPSec 是 Internet Protocol Security 的缩写，中文通常叫“IP 安全协议”。

它是一组用于保护 IP 网络通信的协议，主要作用是对 IP 数据包进行加密、认证和完整性保护，防止通信内容被窃听、篡改或伪造。

IPSec 常用于 VPN 场景，比如总部和分支机构之间建立加密隧道，或者远程用户通过 VPN 安全接入企业内网。建立 IPSec VPN 后，两端之间的网络流量会被加密封装，在公网传输时别人即使抓到包，也很难直接看懂内容。

IPSec 主要关注几个点：

• 加密：保护通信内容不被直接看到。
• 认证：确认通信对端是真实可信的。
• 完整性：确认数据传输过程中没有被篡改。
• 隧道：把原始 IP 数据包封装进加密通道里传输。

它和 HTTPS 的区别可以简单理解：HTTPS 通常保护浏览器到网站之间的应用访问；IPSec 更偏网络层保护，可以保护两个网络、两台主机或远程用户与内网之间的整体 IP 通信。

一句话理解：IPSec 是在 IP 层给网络通信加密和认证的安全协议，常用来搭建 VPN 加密隧道。