【网络安全】IOC概念浅析

OpenIOC（Open Indicator of Compromise，开放威胁指标）

　　MANDIANT 公司发布的情报共享规范，是开源、灵活的框架。OpenIOC是一个记录、定义以及共享威胁情报的格式，它通过借助机器可读的形式实现不同类型威胁情报的快速共享。

IOC（Indicator of Compromise）

　　MANDIANT在长期的数字取证实践中定义的可以反映主机或网络行为的技术指示器，IOC以XML文档类型描述捕获多种威胁的事件响应信息，包括病毒文件的属性、注册表改变的特征、虚拟内存等，是一种入侵后可以取证的指标，可以识别一台主机或整个网络。而OpenIOC是一个威胁情报共享的标准，通过遵循该标准，可以建立IOC的逻辑分组，在机器中以一种可读的格式进行通信，从而实现威胁情报的交流共享。比如事件响应团队可以使用OpenIOC的规范编写多个IOCs来描述一个威胁的技术共性。