前言

为什么要写这本书

上大学的时候，我喜欢玩一款叫作《天下霸图》的单机游戏。令人恼火的是经常会触发crash，有时候重读一下存档就过去了，有时候读存档也不行。于是我在网上找解决问题的资料。当年安全技术相关的资料不多，基本都集中在看雪论坛。我照着看雪论坛上的调试教程找到了触发crash的原因，并通过注入dll的方式编写了热补丁，终于解决了问题。随后我还破解了数据存档格式，通过修改存档可以更改人物属性和人物造型。从那以后，我便喜欢上了安全技术。

近20年过去了，我依然坚守在安全行业一线，参与或主导过数十个安全产品的能力建设和运营。在这个过程中，我做过病毒分析，做过主防开发，最终成为国内较早的一批安全技术运营人员。

今后，我将仍然从事安全工作，不同的是后续我将专注在企业的安全风险防控和安全合规的建设上，不再聚焦于安全产品的能力建设。于是，我便想把一些思路和方法总结并分享出来，供有需要的朋友参考。如果能够让读者在职业发展上少一些迷茫，少走弯路，我将荣幸之至。

读者对象

● 安全运营、安全策略、安全开发等安全技术专业人员

● 安全产品的研发人员、产品经理、项目管理人员等安全行业同行

● 安全解决方案架构师、技术咨询人员等安全服务从业人员

● 负责企业安全风险防控的安全、运维、IT人员

● 网络安全、信息安全等专业的学生、爱好者

如何阅读本书

本书没有介绍太多技术知识点及实现层面的细节，主要结合个人经验和实践案例介绍安全技术运营的思路和方法，期望能够授人以渔，给予读者方法论上的参考。

本书内容分为5章。

第1章是对安全技术运营的基本介绍。我将网络威胁设定为本书所处理问题的范围，然后给出安全运营的定义和介绍。本章的重点是1.3节，其中对作者多年从事安全运营工作的经验和方法进行了总结。

第2章介绍威胁发现相关技术，主要介绍了特征识别、行为识别、大数据挖掘等威胁发现方法。

第3章介绍威胁分析相关技术。在发现威胁线索之后，需要通过调查分析来确认该威胁及其使用的攻击技术和武器，本章介绍了人工分析方法和通过算法建模的分析方法。

第4章介绍威胁处理相关方法，主要介绍了威胁情报、网络威胁解决方案、终端威胁解决方案，还为企业的安全建设提供了一些建议。

第5章主要介绍乙方如何建设安全运营体系，并给出了作者对XDR体系的理解，供大家参考。

勘误和支持

由于作者的水平有限，书中难免会出现一些错误或者不准确的地方，恳请读者批评指正。欢迎发送邮件至邮箱4810559@qq.com。期待能够得到你们的真挚反馈。

致谢

首先要感谢我的父母。你们给予我生命，并在那不算富裕的年代拉扯我长大，培养我成才。同时感谢我的岳父岳母，正是你们培养的优秀的女儿，成为我美丽又有趣的妻子。

感谢我的妻子。从学生时代开始，正是你对我技术上的盲目崇拜，使我能够持续保持对新技术的学习心态；在我遇到困难时不断地鼓励我，使我能够力求上进。

感谢我的两个孩子，为我带来了无穷的快乐。

感谢我亦师亦父的舅舅石俊成，他的恩情让我难忘。感谢所有亲戚朋友对我的支持和帮助。

感谢凤凰小学、树勋初中、海门中学、华中科技大学以及所有教过我的老师。尤其感谢高亮教授，使我在大学本科阶段就有机会参与算法项目，得到了更多的锻炼。

感谢看雪论坛，给我提供了丰富的安全知识。

感谢陈睿领我踏入安全行业大门，感谢陈勇为我树立了坚韧敢当的榜样，感谢赵闽手把手指导我安全知识，感谢方斌教我全局思考，感谢王宇指导我如何协作和换位思考。

感谢xga、fady、nina、idavid、ut、amanda、fowler、yingting、xenos、gemini、sim、harite、wilson、kk、victor、snie等安全专家和同事对我的支持和帮助。

我愿与大家同心同行，共创美好。