网安术语

POC测试

POC 是 Proof of Concept 的缩写，中文通常叫“概念验证”。

POC 测试指在正式投入开发、采购、部署或上线之前，先用小范围、低成本的方式验证某个方案、产品、技术或漏洞是否真实可行。

在网络安全场景中，POC 常见有两种含义：

• 产品或方案验证：验证某个安全产品、平台或服务是否满足需求。
• 漏洞验证：用验证代码、验证脚本或验证方法证明某个漏洞是否真实存在。

一句话理解：POC 测试就是先验证“这个东西靠不靠谱、能不能跑通、是否值得继续投入”。

ATT&CK

ATT&CK 通常指 MITRE ATT&CK，全称是 Adversarial Tactics, Techniques, and Common Knowledge。

它是一套整理攻击者真实攻击行为的知识库和框架，可以理解为一张“攻击行为地图”。它把攻击者从入侵到达成目标的过程，拆成不同阶段和方法。

常见理解方式：

• Tactics，战术：攻击者想达到什么目的，例如初始访问、权限提升、横向移动、凭据访问。
• Techniques，技术：攻击者用什么方法实现目的，例如钓鱼、PowerShell、凭据转储。
• Procedures，过程：某个攻击组织或攻击者在真实攻击中具体怎么做。

一句话理解：ATT&CK 是把真实攻击者的攻击思路、步骤和手法标准化整理出来的安全知识框架。

它常用于安全检测规则建设、攻防演练、威胁情报分析、安全产品能力评估、SOC 告警映射和防护盲区梳理。

AD/域控

AD 是 Active Directory 的缩写，中文通常叫“活动目录”。它是微软 Windows 域环境里的目录服务，用来集中管理企业内部的用户、电脑、服务器、权限、组策略等资源。

域控是“域控制器”的简称，英文是 Domain Controller，简称 DC。域控是运行 AD 服务的服务器，可以理解为 Windows 域环境里的“身份认证和权限管理中心”。

在企业内网里，员工登录电脑、访问共享文件、连接业务系统时，很多时候都要经过域控进行身份认证。域控会判断这个账号是谁、密码是否正确、属于哪个部门或用户组、能访问哪些资源。

AD 和域控的关系可以这样理解：

• AD 是一套目录服务和管理体系。
• 域控是承载 AD 的关键服务器。
• 域是由 AD 管理起来的一组用户、主机和资源。

在网络安全里，域控非常关键，因为一旦攻击者控制了域控，往往就等于掌握了整个 Windows 内网的大量账号、主机和权限。所以红队、内网渗透、勒索攻击里经常会提到“打域控”“拿下域控”“域渗透”。

一句话理解：AD 是企业 Windows 内网的集中管理系统，域控是这个系统的核心服务器，主要负责账号认证和权限控制。

DNS

DNS 是 Domain Name System 的缩写，中文通常叫“域名系统”。它的作用是把人容易记住的域名转换成计算机能识别的 IP 地址。

例如访问 www.example.com 时，电脑会先通过 DNS 查询这个域名对应哪个 IP，然后再去连接目标服务器。

DNS 可以被攻击，因为它决定了“访问某个域名时到底去哪里”。如果 DNS 被篡改，用户输入的是正常域名，但可能被引到攻击者控制的网站或恶意服务器。

常见风险包括：

• DNS 劫持：把正常域名解析到错误或恶意 IP。
• DNS 缓存投毒：污染 DNS 服务器或客户端缓存，让后续访问都走向错误地址。
• DNS 隧道：把 DNS 查询当成隐蔽通道，用来传输数据或绕过部分安全检测。
• DNS 放大攻击：利用开放 DNS 服务器放大流量，对目标发起 DDoS 攻击。

一句话理解：DNS 是网络里的“地址簿”，攻击 DNS 就是在篡改或滥用这本地址簿。

DHCP

DHCP 是 Dynamic Host Configuration Protocol 的缩写，中文通常叫“动态主机配置协议”。它的作用是自动给终端分配 IP 地址、网关、DNS 服务器等网络配置。

比如电脑或手机连上公司网络后，不需要手动填写 IP，DHCP 服务器会自动分配一套可用的网络参数。

DHCP 可以被攻击，因为它决定了终端拿到什么网络配置。如果攻击者伪造 DHCP 服务，就可能给终端下发错误网关或恶意 DNS，让流量经过攻击者控制的设备。

常见风险包括：

• DHCP 欺骗：攻击者伪造 DHCP 服务器，给终端分配恶意网关或 DNS。
• DHCP 饥饿攻击：大量申请 IP 地址，耗尽地址池，导致正常终端拿不到 IP。
• 中间人攻击：通过恶意网关接管或监听终端流量。

一句话理解：DHCP 是网络里的“自动发号和配网服务”，攻击 DHCP 就是在骗终端使用错误的网络配置。

ERP/CRM

ERP 是 Enterprise Resource Planning 的缩写，中文通常叫“企业资源计划”。它不只是管财务，而是偏向管理公司内部资源和业务流程，例如财务、采购、库存、生产、供应链、人力、项目等。

CRM 是 Customer Relationship Management 的缩写，中文通常叫“客户关系管理”。它主要管公司和客户之间的关系与业务过程，例如客户信息、销售线索、商机、合同、回款、售后服务、客户跟进记录等。

可以这样区分：

• ERP 更偏“公司内部怎么运转”，关注资源、流程、成本和交付。
• CRM 更偏“公司怎么经营客户”，关注客户、销售、商机和服务。

举例来说，销售在 CRM 里记录客户、跟进商机、推进合同；合同签完后，订单、采购、库存、开票、财务核算等流程可能进入 ERP。

在网络安全里，ERP 和 CRM 都属于重要业务系统。ERP 里可能有财务、供应链、库存、采购等核心数据；CRM 里可能有客户资料、销售机会、合同信息、联系人和沟通记录。一旦被攻击，可能造成数据泄露、业务中断、勒索加密或内部审批流程被篡改。

一句话理解：ERP 管企业内部资源和流程，CRM 管客户关系和销售服务过程。

DLP

DLP 是 Data Loss Prevention 的缩写，中文通常叫“数据防泄漏”或“数据泄露防护”。

它的核心目标是防止企业的重要数据被误发、外传、拷贝、上传或泄露出去。这里的数据可以是客户资料、源代码、财务报表、合同、身份证号、银行卡号、研发文档、商业机密等。

DLP 通常会关注数据在几个位置和过程中的安全：

• 终端侧：比如员工电脑上复制文件到 U 盘、截图、打印、外发文件。
• 网络侧：比如通过邮件、网盘、IM、HTTP 上传敏感文件。
• 存储侧：比如文件服务器、数据库、云盘里是否存放了敏感数据。

常见能力包括敏感数据识别、文件外发审计、邮件附件检测、关键字或正则匹配、文件指纹、水印、阻断外发、告警和溯源。

在网络安全里，DLP 重点防的是“数据出去”。它不一定是防黑客入侵的第一道门，更像是发现和阻止敏感数据从企业内部流到外部的控制手段。

一句话理解：DLP 就是盯住重要数据，防止它被不该带走的人或渠道带出公司。

SOC

SOC 是 Security Operations Center 的缩写，中文通常叫“安全运营中心”。

它可以指一个安全运营团队，也可以指一套安全运营平台，还可以指“人、流程、平台”组合起来的安全运营体系。它的核心目标是持续监控企业安全状态，发现告警，分析风险，处置安全事件。

SOC 通常会接入很多安全设备和系统的数据，例如防火墙、WAF、EDR、IDS/IPS、堡垒机、日志审计、主机日志、网络流量、云平台日志等，然后统一分析这些日志和告警。

常见工作包括：

• 收集和关联安全日志。
• 监控安全告警和异常行为。
• 分析攻击线索，判断是否真实入侵。
• 推动应急响应和事件处置。
• 输出安全运营报表和风险趋势。

SOC 常和 SIEM、SOAR、态势感知这些词一起出现。简单理解，SIEM 更偏日志汇聚和关联分析，SOAR 更偏自动化编排和响应，SOC 则更像整体安全运营中心。

一句话理解：SOC 就是企业的安全监控和应急值班中心，负责发现、分析和处置安全风险。

XSIAM

XSIAM 通常可理解为Extended Security Intelligence and Automation Management ，强调“扩展的安全智能、分析和自动化管理”。它不是像 SOC 那样指一个团队或中心，而更像是一类面向新一代 SOC 的平台能力名称。

传统 SOC 主要靠人盯告警、查日志、手工处置；XSIAM 更强调把 SIEM 的日志关联分析、SOAR 的自动化编排响应、XDR 的多源检测响应、威胁情报、AI 研判、工单闭环和运营指标统一到一个平台里。

结合项目里的 AiLPHA 智能安全运营平台资料看，XSIAM 的重点不是单纯“看告警”，而是围绕数据、能力和流程三层统一，支撑“监测、分析、响应、优化”的安全运营闭环。资料中提到的平台能力包括安全态势、资产管理、弱点管理、智能中心、安全日志、安全告警、安全事件、安全运营指标、工单引擎、联动引擎、情报引擎等。

可以这样区分：

• SOC 是安全运营中心这个目标或组织形态。
• SIEM 偏日志采集、检索、关联分析。
• SOAR 偏剧本编排、联动响应和流程自动化。
• XSIAM 偏把数据分析、AI 研判、自动化响应和运营管理整合成一体化平台。

一句话理解：XSIAM 可以看作“更智能、更自动化、更一体化的 SOC 平台能力”，是为了支撑新一代安全运营中心而出现的叫法。

M and A

SIEM

SIEM 是 Security Information and Event Management的缩写，中文通常叫“安全信息与事件管理”。

它主要负责把企业里分散的安全日志和事件收集起来，进行统一存储、检索、关联分析和告警。比如防火墙、WAF、EDR、服务器、数据库、堡垒机、应用系统都在产生日志，SIEM 会把这些日志汇总起来，帮助安全人员判断是否存在异常。

SIEM 的核心价值是把“零散日志”变成“可分析的安全线索”。单看一条登录日志可能没问题，但如果和异地登录、异常下载、恶意 IP 访问、权限变更放在一起看，就可能拼出一次攻击事件。

常见能力包括日志采集、日志解析、集中存储、全文检索、规则关联、异常告警、合规报表和事件追踪。

一句话理解：SIEM 是安全运营里的“日志汇聚和关联分析平台”，重点回答“发生了什么、这些日志之间有没有关系”。

SOAR

SOAR 是 Security Orchestration, Automation and Response 的缩写，中文通常叫“安全编排、自动化与响应”。

它主要负责把安全事件处置流程自动化、标准化。比如发现恶意 IP 后，过去需要人工登录防火墙、WAF、EDR 等设备分别处置；SOAR 可以通过预设剧本自动完成查询、研判、封禁、隔离、通知、建工单等动作。

SOAR 的核心价值是把“人工经验和处置步骤”变成“可重复执行的剧本”。这样遇到常见告警时，不必每次都从头手工分析和操作，可以减少重复劳动，也能降低漏处理和误操作。

常见能力包括剧本编排、流程自动化、工单流转、联动处置、人工审批、事件闭环和处置记录留痕。

一句话理解：SOAR 是安全运营里的“自动化处置和流程编排平台”，重点回答“发现问题后该怎么处理、能不能自动处理”。

D and R

EDR

EDR 是 Endpoint Detection and Response 的缩写，中文通常叫“终端检测与响应”。

这里的 Endpoint 指终端，比如员工电脑、笔记本、服务器等。EDR 主要部署在终端上，持续监控进程、文件、网络连接、注册表、命令执行、登录行为等，发现可疑行为后进行告警、溯源和处置。

它和传统杀毒软件不完全一样。传统杀毒更偏识别和查杀已知病毒；EDR 更偏行为检测、攻击链分析和响应处置，比如发现异常 PowerShell、勒索加密行为、提权、横向移动、恶意外联等。

常见能力包括终端资产管理、恶意文件检测、行为分析、威胁告警、进程树溯源、终端隔离、进程结束、文件查杀和联动响应。

一句话理解：EDR 是装在终端和服务器上的安全探针与处置工具，重点回答“这台机器上发生了什么、能不能及时处置”。

NDR

看网络流量

XDR

XDR 是 Extended Detection and Response 的缩写，中文通常叫“扩展检测与响应”。

它是在 EDR 的基础上扩展出来的概念。EDR 主要看终端和服务器行为，XDR 则把终端、网络、邮件、身份、云、应用等多个安全数据源结合起来做统一检测和响应。

XDR 的核心价值是跨多个安全视角发现攻击。因为真实攻击往往不是只发生在一台电脑上，而是可能经历钓鱼邮件、终端落地、命令执行、横向移动、账号滥用、数据外传等多个阶段。XDR 会把这些线索串起来，帮助安全人员看到更完整的攻击链。

常见能力包括多源数据接入、跨域关联分析、攻击链还原、威胁检测、资产风险关联和联动响应。

一句话理解：XDR 是安全运营里的“跨终端、网络、身份、云等多源检测响应能力”，重点回答“这是不是一条完整攻击链、应该在哪些点一起响应”。

账号与权限控制

TAM零信任

“TAM零信任身份服务中心”

零信任相关的通用英文缩写可以这样记：

• ZT：Zero Trust，零信任。
• ZTA：Zero Trust Architecture，零信任架构。
• ZTNA：Zero Trust Network Access，零信任网络访问。

零信任不是某一个单独产品名，而是一种安全理念：永不默认信任，持续验证。也就是说，不因为用户在内网、连了 VPN、账号密码正确，就直接认为他可信，而是要持续判断“人是谁、设备是否安全、访问什么资源、当前行为是否异常”。

TAM 零信任可以理解为围绕身份、终端、应用和权限做访问控制的零信任接入平台。它常用于远程办公、第三方接入、移动办公、内网应用访问等场景。

它通常会关注几个要素：

• 身份可信：确认访问者是谁，支持账号、密码、证书、MFA 多因素认证等。
• 设备可信：判断访问设备是否合规，例如是否安装安全客户端、是否存在高危风险。
• 权限最小化：用户只能访问自己工作需要的系统，不能因为进了内网就什么都能访问。
• 持续验证：登录成功后也会根据设备状态、访问行为、风险变化动态调整权限。
• 访问审计：记录谁在什么时间访问了什么资源，便于追踪和溯源。

它和传统 VPN 的区别是：VPN 更像“先进内网再说”，零信任更像“每次访问具体应用前都要验证和授权”。所以零信任不是只给一条通道，而是围绕身份、设备、权限和行为做更细粒度的访问控制。

一句话理解：TAM 零信任就是不默认相信任何用户和设备，每次访问都要基于身份、终端状态和权限策略进行验证和控制。

MFA

MFA 是 Multi-Factor Authentication 的缩写，中文叫“多因素认证”。

它的意思是：登录时不只靠一个密码，而是再加一层或多层验证。比如密码之外，再要求短信验证码、动态口令、手机 App 确认、USB Key、指纹、人脸等。

MFA 的价值在于，即使密码泄露了，攻击者也不一定能成功登录，因为还需要第二个验证因素。

常见验证因素可以分成三类：

• 你知道的东西：密码、PIN 码。
• 你拥有的东西：手机、令牌、USB Key、动态口令。
• 你本人的特征：指纹、人脸、虹膜等生物特征。

一句话理解：MFA 就是在密码之外再加一道身份确认，降低账号被盗后直接登录成功的风险。

IAM/SSO/LDAP/AD

这一串通常一起出现，是因为它们都和企业身份体系有关。先纠正一个拼写：一般是 LDAP，不是 LADP。

IAM 是 Identity and Access Management，中文叫“身份与访问管理”。它是一个总概念，负责管理“谁是谁、能访问什么、有什么权限、权限怎么申请和回收”。

SSO 是 Single Sign-On，中文叫“单点登录”。它解决的是“登录体验和统一认证”的问题：用户登录一次，就可以访问多个被授权的系统，不需要每个系统都单独输一遍账号密码。

LDAP 是 Lightweight Directory Access Protocol，中文叫“轻量级目录访问协议”。它是一种访问目录服务的协议，常用来查询用户、组织、部门、用户组等身份信息。可以把它理解成系统之间读取身份目录的一种标准接口。

AD 是 Active Directory，中文叫“活动目录”。它是微软的目录服务，常见于 Windows 域环境，用来集中管理用户、电脑、组织架构、用户组、权限和组策略。AD 通常可以通过 LDAP 协议被其他系统查询。

它们的关系可以这样记：

• IAM 是整体身份和权限管理体系。
• SSO 是统一登录能力。
• LDAP 是查询身份目录的协议。
• AD 是微软的一套目录服务和域管理系统。

举例来说，公司可以用 AD 管员工账号和组织架构；业务系统通过 LDAP 查询 AD 里的用户信息；用户通过 SSO 登录门户；IAM 负责统一管理账号生命周期、权限分配、审批和回收。

一句话理解：IAM 管身份和权限，SSO 管一次登录访问多个系统，LDAP 是查目录的协议，AD 是微软常见的企业身份目录和域控体系。

NAC

NAC 是 Network Access Control 的缩写，中文通常叫“网络准入控制”。

它主要解决“什么设备可以接入企业网络”的问题。比如员工电脑、访客电脑、打印机、摄像头、会议终端、个人手机等设备接入公司网络时，NAC 会判断这个设备是否可信、是否合规、应该进入哪个网络区域。

NAC 常见会检查：

• 设备身份：是不是已登记资产，是否属于公司设备。
• 用户身份：是谁在使用这个设备。
• 安全状态：是否安装安全软件、是否有高危漏洞、是否违规。
• 接入位置：从哪个交换机、无线 AP、网段接入。
• 访问权限：允许进入办公网、访客网，还是隔离区。

它和零信任的区别可以简单理解：NAC 更偏“设备能不能接入网络”，零信任更偏“用户和设备能不能访问具体应用或资源”。两者可以配合使用。

一句话理解：NAC 是企业网络入口的准入检查，负责判断一台设备能不能进网、进哪个网、是否需要隔离。

IDS/IPS

IDS 是 Intrusion Detection System 的缩写，中文叫“入侵检测系统”。IPS 是 Intrusion Prevention System 的缩写，中文叫“入侵防御系统”。

它们都用于发现网络中的攻击行为，比如扫描探测、漏洞利用、木马通信、异常流量、暴力破解等。

二者区别主要在于：

• IDS 偏检测和告警：发现可疑流量后告诉安全人员“这里可能有攻击”。
• IPS 偏检测和阻断：发现可疑流量后可以直接拦截、丢弃或阻断。

可以把 IDS 理解成“报警器”，它发现问题后发出告警；把 IPS 理解成“带拦截能力的报警器”，它不仅报警，还能在链路上挡住攻击流量。

部署位置上，IDS 常旁路部署，主要监听和分析流量；IPS 常串联部署在网络链路中，因为它需要实时拦截流量。

一句话理解：IDS 负责发现入侵并告警，IPS 负责发现入侵并尽量阻断。