名词解释
本文档对安云系中的关键术语进行定义和说明,便于统一理解与沟通。
一、威胁相关术语
深度威胁
基于 Trace 调用链信息 进行的入侵检测,能够还原完整的调用上下文与方法级行为。
此类检测具有较高准确率,可有效识别复杂攻击路径与漏洞利用链。
典型场景:检测到请求触发特定危险函数调用(如反序列化、命令执行)。
基础威胁
基于 请求层信息(如 URI、Header、参数等)进行的安全检测。
检测精度较低,主要用于识别常见攻击模式或异常流量。
典型场景:SQL 注入特征匹配、XSS 请求检测等。
安全事件
基于对 业务威胁数据的时序分析 所生成的综合性安全警报。
通过统计一段时间内的业务行为异常变化来识别潜在攻击。
示例:在 1 小时内登录失败次数骤增,可能存在撞库行为。
业务威胁(Business Threat)
对应用运行过程中与业务相关的关键操作行为进行监控与记录,
包括但不限于:
- 用户登录
- 外部接口调用
- SQL 执行
- 系统命令执行
这些行为在安全分析中可用于判定攻击意图与业务风险。
二、威胁分级体系
威胁等级(Threat Level)
表示威胁本身的严重程度,用于区分不同安全风险的处置优先级。
等级划分如下:
- 严重(Critical)
- 高危(High)
- 中危(Medium)
- 低危(Low)
影响程度(Impact Level)
用于描述威胁对系统或业务的实际影响范围与检测可信度。
当前分为两类:
- 深度威胁(高影响):调用链级检测,准确率高;
- 基础威胁(低影响):基于请求特征检测,准确率相对较低。