更新时间:2024-08-05 GMT+08:00
分享

IP和域名威胁信息标签

IP和域名威胁信息标签说明如表1所示,其中黑标签即为恶意标签,中性标签为此IP或域名在生产过程中出现的客观属性信息,白标签为白名单类别。

表1 IP和域名威胁信息标签说明

threat_type_EN

threat_type_CN

恶意类别

详细说明

是否存在IP类

是否存在域名类

Attacker

网络攻击者

是指存在网络攻击行为的主机,用来执行漏洞利用、载荷投递、命令控制等任务。

Y

N

Bruteforcer

暴力破解器

是指攻击者对目标帐号或服务进行重复猜测,以获取帐号登录凭据的主机。当密码或登录凭证未知时,攻击者通过暴力破解技术尝试获取访问权限。

Y

N

CnC

命令与控制服务器

命令控制服务器是指攻击者向被控制主机发送控制命令的主机,常使用传输层协议(TCP、UDP)、应用层协议(HTTP、HTTPs、DNS)进行通信。

Y

Y

DDoS

分布式拒绝服务

是指攻击者执行网络拒绝服务攻击。攻击者通过多个主机同时向一个或多个目标发动拒绝服务攻击,导致攻击目标带宽资源或者计算资源耗尽,进而出现宕机或者不可访问的情况。

Y

N

DGA

DGA域名

是指通过DGA算法生成的域名。恶意软件编写者将采用同样的种子和算法生成与恶意软件相同的域名列表,从中选取几个来作为命令控制服务器,恶意软件会持续解析这些域名,直到发现可用的服务器地址。

N

Y

Exploit

漏洞利用

是指利用攻击目标可能存在的漏洞来展开攻击的主机。攻击者通过漏洞获取攻击目标的Root权限,以执行其他高权限动作。

Y

N

Malicious Site

恶意站点

是指与攻击者存在通信行为的主机,属于攻击者的基础设施,可能是恶意下载站、失陷站点、钓鱼站点等。

N

Y

Malware Site

恶意软件分发站点

是指托管恶意软件或漏洞攻击包的站点。攻击者攻陷目标主机后,下载恶意软件或漏洞攻击包,进而执行其他恶意动作,如勒索、扫描等。

Y

Y

Phishing

钓鱼站点

是指攻击者用于收集目标信息或完成恶意软件植入的站点。攻击者通过发送钓鱼邮件等方式,诱导用户访问伪造的链接或文件,进而达成钓鱼攻击。

N

Y

Scanner

扫描器

是指通过扫描的方式收集本地或远端存在的漏洞,以及其他信息的主机,攻击者通过扫描器获取的信息指导接下来的攻击动作。

Y

N

Spammer

垃圾邮件

是指发送垃圾邮件的主机。垃圾邮件泛指未经收件人同意而发送的电子邮件,例如未经收件人同意而发送的商业广告邮件等。

Y

Y

Zombie

僵尸主机

是指被攻击者控制的主机,已成为攻击者的基础设施。这些主机用来执行其他恶意操作,如作为肉鸡参与DDoS、作为矿工进行挖矿、作为攻击跳板进行横向扩散等,同时这些主机可以有效隐藏真实的攻击源。

Y

N

PUA

潜在有害应用

是指访问可能使用户数据或设备面临风险的主机或站点,相关应用通常在用户同意的情况下安装。典型表现为弹窗广告、锁定浏览器首页、收集用户信息、安装用户不需要的软件等。

N

Y

Miner

矿工

是指用于挖掘数字货币的主机。在网络安全领域中,失陷主机常被用作矿工执行挖掘数字货币的任务。

Y

N

Suspicious

可疑

是指具有可疑恶意行为的主机或站点。

Y

Y

Compromised

失陷站点

是指被攻击者控制的主机或者站点。攻击者通过失陷主机执行其他恶意操作,如作为肉鸡参与DDoS、作为矿工进行挖矿、作为攻击跳板进行横向扩散等。

N

Y

Mining Pool

矿池

是指矿工的资源池,矿工通过网络共享本地的计算能力并获取矿池的奖励。攻击者攻陷主机后,常会将失陷主机的算力接入矿池进行矿挖用于获取奖励。

Y

Y

Sinkhole

被安全机构接管的CnC

是指被运营商或者安全厂商接管的站点或主机。Sinkhole技术是指在域名被判定为恶意后,由运营商或安全厂商将其原本解析的IP变更到无害IP的技术。

Y

Y

Crypto Mining

挖矿

非矿池的其他挖矿相关场景,如数字货币交易所,矿池首页,网页挖矿等。

N

Y

Advertising Site

广告服务域名

中性

是指对外提供广告或推广服务的站点。

N

Y

CDN

CDN

中性

是指承载内容分发网络的主机。CDN是指构建在现有网络基础之上的智能虚拟网络,依靠部署在各地的边缘服务器,通过中心平台的负载均衡、内容分发、调度等功能模块,使用户就近获取所需内容,降低网络拥塞,提高用户访问响应速度和命中率。

Y

Y

DDNS

动态域名

中性

是指将用户的动态IP地址映射到一个固定的域名解析服务上的站点,用户每次连接网络的时候,客户端程序就会通过信息传递把该主机的动态IP地址传送给位于服务商主机上的服务器程序,服务程序负责提供DNS服务并实现动态域名解析。动态域名除去正常的用途外,常用于攻击者快速构建命令控制服务器(CnC)、文件托管服务器。

N

Y

Name Server

名称服务器

中性

是指提供域名解析服务的主机。

Y

Y

Proxy

代理

中性

是指用于转发客户系统的网络请求的主机或站点。

Y

Y

EDU

教育

中性

是指教育机构使用的主机或站点。

Y

Y

GOV

政府

中性

是指政府机构使用的主机或站点。

Y

Y

TOR

洋葱路由器

中性

是指使用洋葱路由技术对数据进行层层加密过程中使用到的主机,通过洋葱路由技术可以保证数据的完整性和保密性。

Y

N

Crawler

爬虫

中性

是指存在爬虫行为的主机。网络爬虫是基于一定的规则自动地抓取互联网信息的程序或者脚本。

Y

N

IDC

IDC服务器

中性

IDC服务器。

Y

N

Base Station

基站

中性

是指2/3/4/5G网络使用的基站IP。

Y

N

Backbone

骨干网

中性

骨干网IP。

Y

N

Satellite Communication

卫星通信

中性

是指卫星通讯机构使用的主机。

Y

N

Gateway

网关

中性

是指组织机构、基础设施或大型企业网络的出口IP。

Y

N

Dynamic IP

动态IP

中性

是指被普通家庭使用的IP,通常覆盖多个小区。

Y

N

Bogon

保留地址

中性

是指保留IP地址。

Y

N

Whitelist

白名单

安全

白名单。

Y

Y

相关文档