基本概念

概念

说明

UID

指当前您已支持NDR试用的阿里云主账号ID。

服务关联角色

服务关联角色是一种可信实体为阿里云服务的RAM角色，旨在解决跨云服务的授权访问问题，只有创建NDR服务关联角色后，NDR才能获取其他云服务访问权限，从而为您提供完整服务，您可以在RAM控制台角色页面，查看阿里云为NDR自动创建的服务关联角色。

五元组日志

包含网络通信中关键的五个元素（源IP地址、目的IP地址、源端口号、目的端口号、协议号）的数据记录日志，五元组用于唯一标识一个网络会话或连接。

PCAP报文

PCAP（packet capture）报文是指遵循PCAP格式规范存储的网络数据包文件中的具体内容，PCAP是一种广泛使用的数据包捕获文件格式，用于保存网络通信中的原始数据包信息，PCAP格式不仅被用于存储抓取到的数据包，还被许多网络分析工具（如Wireshark、tcpdump）所采用，以便于对网络流量进行深入分析、故障排除和安全审计。

协议日志

协议日志是网络设备、服务器、安全设备或应用在执行网络通信协议时产生的日志记录。这些日志详细描述了数据包传输、连接建立、错误、安全事件等过程，对于网络安全、性能监控和故障排查至关重要，常见的协议日志包括TCP五元组日志、UDP五元组日志、ICMP协议日志、HTTP协议日志、DNS协议日志、TLS协议日志和其他协议日志。

日志投递

日志投递又称为日志转发或日志传输，是指在信息技术领域中，将日志数据从NDR自动收集并发送到指定目标位置的过程。

NDR目前支持向目标地域下的用户SLS（Simple Log Service）日志服务进行投递。

网络报文Payload

在网络通信中，有效载荷（Payload）特指数据报文或消息中承载的实际业务数据部分，即除去所有协议头部、控制信息和元数据之后，由应用层关心和处理的数据内容。

例如，在一个网络HTTP请求中，Payload可能是POST请求中携带的JSON或XML格式的数据，包含表单数据、文件上传内容或API调用的具体参数。

在网络攻击情境下，Payload则是攻击者试图注入或利用的恶意代码或有效数据，用以执行特定操作，如控制目标系统、窃取数据等。

ATT&CK

ATT&CK（Adversarial Tactics, Techniques, and Common Knowledge），是一个由MITRE公司创建并维护的对抗性战术和技术知识库。这个框架旨在提供一个全面的方法来描述和分类网络攻击者的行为，帮助防御者更好地理解、预防和检测网络入侵。

ATT&CK将攻击行为划分为多个策略性类别，如初始访问（Initial Access）、执行（Execution）、持久化（Persistence）、特权提升（Privilege Escalation）、防御规避（Defense Evasion）、凭证访问（Credential Access）、发现（Discovery）、横向移动（Lateral Movement）、收集（Collection）、命令与控制（Command and Control, C2）、数据外泄（Exfiltration）以及影响力（Impact）。以上战术代表了攻击者为了达成其目标所采取的一系列步骤。