这是一本从实践角度讲解安全技术运营方法和安全运营体系构建的著作。
作者是国内较早的一批安全领域从业者，在金山、腾讯等大厂从事安全技术、产品、运营等方面的工作16年，先后参与或主导了数十个安全产品的能力建设和运营，从零构建了完整的安全运营体系，经验非常丰富。
本书是作者经验的总结，核心内容包括如下几个方面：
（1）全面认识安全技术运营：包括安全技术运营的定义、发展历史以及6种运营思维。
（2）威胁发现的技术和方法：包括特征识别、行为识别、大数据挖掘等发现威胁的方法。
（3）威胁分析的技术和方法：主要介绍了传统的人工方法和基于人工智能的算法建模新方法。
（4）威胁处理的技术和方法：主要介绍了威胁情报、网络威胁解决方案、终端威胁解决方案，以及为不同规模的企业定制的安全解决方案。
（5）安全运营体系构建：从产品视角、企业视角以及XDR的视角讲解了安全运营体系的能力模型与构建方法。
本书适合从事安全产品研发的项目经理、产品经理、安全开发、安全策略运营、安全技术咨询，从事企业安全建设的安全工程师、IT运维人员，以及网络信息安全专业的学生和安全技术爱好者。

财付通安全总监/专家级工程师16年安全技术、产品、运营经验总结
通过实践案例讲解安全技术运营的思路、方法和体系构建，涵盖威胁发现、威胁分析、威胁处理全流程

计算机\安全

作者经历了中国互联网安全态势变化的10年，也经历了从to C到to B安全运营内容的转变，亲手从零搭建了安全运营的规范、流程和指标体系。从针对黑灰产的攻防对战，到大型企业的安全技术演练，安全运营的要求在不断提升，运营体系也在不断完善。本书呈现了作者一路走来在安全运营建设上的建设经验和体系思考，有运营的术，也有攻防的道，相信会给安全从业人员启发。
—— 王宇　零信任安全领域资深专家

我和作者从2005年就开始一起共事，看着他从一个普通的病毒分析员，一步步成长为国内顶尖的安全技术运营专家。本书不单是他16年安全运营工作的精华，也是中国互联网安全运营发展历程与思维进化的总结。对于从事安全运营工作的新人来说，本书能帮助他们建立运营思维和确定未来的发展方向；对于与黑产作战多年的老手而言，本书的内容也非常值得借鉴。
—— 赵闽　前金山安全专家

随着社会数字化进程全面加快，企业越来越重视安全建设，安全技术运营是安全运营体系的基础。IT技术的飞速发展使得网络攻击和防护水平能力不断提升，安全运营需要在不断迭代中提升管理和技术防护能力。本书是作者16年安全行业工作经验的总结，能帮助安全技术人员和管理人员在安全运营和建设中，获得宝贵的知识和思路。
—— 段钢　看雪学苑创始人

本书很有画面感：雷达警报发现了疑似入侵者，经过一系列的特征扫描、行为检测、大数据分析进行判定，如果真是入侵行为，则发布命令进行狙击和阻断。这是一本用心写的书，沉淀了作者从事安全对抗16年的丰富经验和方法体系，推荐阅读。
—— 钱林松　武汉科锐逆向培训创始人/《C++反汇编与逆向分析技术揭秘》作者

企业面临的威胁多种多样，体系化的安全技术运营是解决安全风险的必经之路，本书内容是作者多年来的实战经验凝结，相信所有安全技术运营人员都能从中受益。
—— 聂森　安全技术专家

程虎 著：作者简介
程虎（附照片）

财付通支付科技有限公司安全总监，腾讯安全专家工程师，是一位有16年安全攻防经验具备体系化思维的安全技术专家。
曾经参与或负责过金山毒霸、金山清理专家、金山网盾、金山密保、手机毒霸、腾讯电脑管家、御点企业杀毒软件、御界NTA、御见SOC、安图威胁情报、零信任iOA、公有云主机安全、云防火墙、云SOC等产品的安全能力建设和运营。

《安全技术运营》
程虎




第1章 安全运营发展史
1.1网络威胁简介
什么是病毒 5
经典网络攻击 8
业务安全攻击 16
1.2安全运营简介
安全运营定义 17
安全运营发展史 17
攻防对抗 19
云查杀和云主防介绍 22
大数据应用介绍 23
第2章 技术运营思维
2.1 思维的重要性 25
2.2 逻辑思维 27
2.3 水平思维 28
2.4 全局思维 30
2.5 系统性思维 33
2.6 大数据思维 37
2.7 算法思维 39
第3章 威胁发现
3.1 特征识别技术
特征定位 42
启发式发掘 47
特征空间和有监督学习 50
3.2 行为识别技术
行为探针 53
动态分析系统 56
行为规则和决策树 60
3.3 机器智能初探：使用大数据发现威胁
模式匹配 67
基线感知 72
模式匹配实时感知系统 75
监督学习应用优化 76
解决检测难点 79
发现相似威胁 82
恶意家族监控 84
安全基线建模 87
第4章 威胁分析
4.1 人工分析技能
定性分析 93
溯源分析 97
趋势分析 102
4.2 机器智能进阶：自动化分析技术
动态分析建模 109
社区发现模型 117
基于家族/社团的memTTPs模型 121
定性分析的其它模型 123
基于企业实体行为的事件分析 125
第5章 威胁处理
5.1 威胁情报
应用级IOCs情报 130
运营级TTPs情报 135
5.2 网络威胁解决方案
边界防护 138
威胁审计 143
安全重保 148
5.3 终端威胁解决方案
检测探针 154
云主防 155
病毒查杀 158
入侵检测 159
系统加固 161
安全管理 162
端点检测与响应系统（EDR） 163
5.4 企业级安全解决方案
中小企业安全解决方案 165
大型企业安全解决方案 166
云原生安全解决方案 168
第6章 安全能力中台
6.1安全应急指挥中心 174
6.2安全运营中心（SOC） 179
6.3产品安全运维服务 182