前言

第1章　什么是安全技术运营    1

1.1　网络威胁简介    1

1.1.1　什么是恶意程序    1

1.1.2　经典网络攻击    7

1.1.3　业务安全攻击    12

1.2　安全运营简介    14

1.2.1　安全运营的定义    14

1.2.2　安全运营发展史    14

1.2.3　恶意程序对抗    17

1.2.4　云查杀和云主防介绍    20

1.2.5　大数据应用介绍    21

1.3　技术运营必备的6种思维    23

1.3.1　逻辑思维    25

1.3.2　水平思维    27

1.3.3　全局思维    29

1.3.4　系统性思维    32

1.3.5　大数据思维    36

1.3.6　算法思维    38

第2章　威胁发现    42

2.1　特征识别技术    42

2.1.1　特征定位    42

2.1.2　启发式发掘    48

2.1.3　特征空间和有监督学习    52

2.2　行为识别技术    55

2.2.1　行为遥测探针    55

2.2.2　动态分析系统    58

2.2.3　行为规则和决策树    62

2.3　机器智能初探：使用大数据发现

威胁    70

2.3.1　模式匹配    71

2.3.2　基线感知    76

2.3.3　模式匹配实时感知系统    80

2.3.4　监督学习应用优化    81

2.3.5　应用机器智能解决检测难点    84

2.3.6　应用机器智能发现相似威胁    88

2.3.7　恶意家族监控    89

2.3.8　安全基线建模    93

第3章　威胁分析    100

3.1　人工分析应具备的技能    100

3.1.1　定性分析    101

3.1.2　溯源分析    105

3.1.3　趋势分析    111

3.2　机器智能进阶：自动化分析技术    116

3.2.1　动态分析模型    118

3.2.2　社区发现模型    128

3.2.3　基于家族/社团的memTTP

模型    133

3.2.4　定性分析的其他模型    134

3.2.5　基于企业实体行为的事件调查

分析    136

第4章　威胁处理    142

4.1　威胁情报    142

4.1.1　应用级IOC情报    143

4.1.2　运营级TTP情报    148

4.2　网络威胁解决方案    151

4.2.1　边界防护    152

4.2.2　威胁审计    156

4.2.3　安全重保    162

4.3　终端威胁解决方案    167

4.3.1　遥测探针    169

4.3.2　云主防    170

4.3.3　病毒查杀    173

4.3.4　系统加固    175

4.3.5　入侵检测    176

4.3.6　安全管理    177

4.3.7　端点检测与响应系统    180

4.4　企业安全解决方案    181

4.4.1　中小企业安全解决方案    182

4.4.2　大型企业安全解决方案    183

4.4.3　云原生安全解决方案    185

第5章　安全运营体系    188

5.1　产品视角的安全运营体系    188

5.1.1　安全能力中台    188

5.1.2　应急指挥中心    192

5.1.3　安全运营中心    197

5.1.4　企业安全运维    203

5.2　企业视角的安全运营体系    206

5.2.1　资产攻击面管理体系    207

5.2.2　纵深防御体系    208

5.3　XDR    209

5.3.1　MITRE ATT&CK评测    209

5.3.2　什么是XDR    211

5.3.3　XDR安全运营体系    212