IP和域名威胁信息标签
IP和域名威胁信息标签说明如表1所示,其中黑标签即为恶意标签,中性标签为此IP或域名在生产过程中出现的客观属性信息,白标签为白名单类别。
threat_type_EN |
threat_type_CN |
恶意类别 |
详细说明 |
是否存在IP类 |
是否存在域名类 |
---|---|---|---|---|---|
Attacker |
网络攻击者 |
黑 |
是指存在网络攻击行为的主机,用来执行漏洞利用、载荷投递、命令控制等任务。 |
Y |
N |
Bruteforcer |
暴力破解器 |
黑 |
是指攻击者对目标帐号或服务进行重复猜测,以获取帐号登录凭据的主机。当密码或登录凭证未知时,攻击者通过暴力破解技术尝试获取访问权限。 |
Y |
N |
CnC |
命令与控制服务器 |
黑 |
命令控制服务器是指攻击者向被控制主机发送控制命令的主机,常使用传输层协议(TCP、UDP)、应用层协议(HTTP、HTTPs、DNS)进行通信。 |
Y |
Y |
DDoS |
分布式拒绝服务 |
黑 |
是指攻击者执行网络拒绝服务攻击。攻击者通过多个主机同时向一个或多个目标发动拒绝服务攻击,导致攻击目标带宽资源或者计算资源耗尽,进而出现宕机或者不可访问的情况。 |
Y |
N |
DGA |
DGA域名 |
黑 |
是指通过DGA算法生成的域名。恶意软件编写者将采用同样的种子和算法生成与恶意软件相同的域名列表,从中选取几个来作为命令控制服务器,恶意软件会持续解析这些域名,直到发现可用的服务器地址。 |
N |
Y |
Exploit |
漏洞利用 |
黑 |
是指利用攻击目标可能存在的漏洞来展开攻击的主机。攻击者通过漏洞获取攻击目标的Root权限,以执行其他高权限动作。 |
Y |
N |
Malicious Site |
恶意站点 |
黑 |
是指与攻击者存在通信行为的主机,属于攻击者的基础设施,可能是恶意下载站、失陷站点、钓鱼站点等。 |
N |
Y |
Malware Site |
恶意软件分发站点 |
黑 |
是指托管恶意软件或漏洞攻击包的站点。攻击者攻陷目标主机后,下载恶意软件或漏洞攻击包,进而执行其他恶意动作,如勒索、扫描等。 |
Y |
Y |
Phishing |
钓鱼站点 |
黑 |
是指攻击者用于收集目标信息或完成恶意软件植入的站点。攻击者通过发送钓鱼邮件等方式,诱导用户访问伪造的链接或文件,进而达成钓鱼攻击。 |
N |
Y |
Scanner |
扫描器 |
黑 |
是指通过扫描的方式收集本地或远端存在的漏洞,以及其他信息的主机,攻击者通过扫描器获取的信息指导接下来的攻击动作。 |
Y |
N |
Spammer |
垃圾邮件 |
黑 |
是指发送垃圾邮件的主机。垃圾邮件泛指未经收件人同意而发送的电子邮件,例如未经收件人同意而发送的商业广告邮件等。 |
Y |
Y |
Zombie |
僵尸主机 |
黑 |
是指被攻击者控制的主机,已成为攻击者的基础设施。这些主机用来执行其他恶意操作,如作为肉鸡参与DDoS、作为矿工进行挖矿、作为攻击跳板进行横向扩散等,同时这些主机可以有效隐藏真实的攻击源。 |
Y |
N |
PUA |
潜在有害应用 |
黑 |
是指访问可能使用户数据或设备面临风险的主机或站点,相关应用通常在用户同意的情况下安装。典型表现为弹窗广告、锁定浏览器首页、收集用户信息、安装用户不需要的软件等。 |
N |
Y |
Miner |
矿工 |
黑 |
是指用于挖掘数字货币的主机。在网络安全领域中,失陷主机常被用作矿工执行挖掘数字货币的任务。 |
Y |
N |
Suspicious |
可疑 |
黑 |
是指具有可疑恶意行为的主机或站点。 |
Y |
Y |
Compromised |
失陷站点 |
黑 |
是指被攻击者控制的主机或者站点。攻击者通过失陷主机执行其他恶意操作,如作为肉鸡参与DDoS、作为矿工进行挖矿、作为攻击跳板进行横向扩散等。 |
N |
Y |
Mining Pool |
矿池 |
黑 |
是指矿工的资源池,矿工通过网络共享本地的计算能力并获取矿池的奖励。攻击者攻陷主机后,常会将失陷主机的算力接入矿池进行矿挖用于获取奖励。 |
Y |
Y |
Sinkhole |
被安全机构接管的CnC |
黑 |
是指被运营商或者安全厂商接管的站点或主机。Sinkhole技术是指在域名被判定为恶意后,由运营商或安全厂商将其原本解析的IP变更到无害IP的技术。 |
Y |
Y |
Crypto Mining |
挖矿 |
黑 |
非矿池的其他挖矿相关场景,如数字货币交易所,矿池首页,网页挖矿等。 |
N |
Y |
Advertising Site |
广告服务域名 |
中性 |
是指对外提供广告或推广服务的站点。 |
N |
Y |
CDN |
CDN |
中性 |
是指承载内容分发网络的主机。CDN是指构建在现有网络基础之上的智能虚拟网络,依靠部署在各地的边缘服务器,通过中心平台的负载均衡、内容分发、调度等功能模块,使用户就近获取所需内容,降低网络拥塞,提高用户访问响应速度和命中率。 |
Y |
Y |
DDNS |
动态域名 |
中性 |
是指将用户的动态IP地址映射到一个固定的域名解析服务上的站点,用户每次连接网络的时候,客户端程序就会通过信息传递把该主机的动态IP地址传送给位于服务商主机上的服务器程序,服务程序负责提供DNS服务并实现动态域名解析。动态域名除去正常的用途外,常用于攻击者快速构建命令控制服务器(CnC)、文件托管服务器。 |
N |
Y |
Name Server |
名称服务器 |
中性 |
是指提供域名解析服务的主机。 |
Y |
Y |
Proxy |
代理 |
中性 |
是指用于转发客户系统的网络请求的主机或站点。 |
Y |
Y |
EDU |
教育 |
中性 |
是指教育机构使用的主机或站点。 |
Y |
Y |
GOV |
政府 |
中性 |
是指政府机构使用的主机或站点。 |
Y |
Y |
TOR |
洋葱路由器 |
中性 |
是指使用洋葱路由技术对数据进行层层加密过程中使用到的主机,通过洋葱路由技术可以保证数据的完整性和保密性。 |
Y |
N |
Crawler |
爬虫 |
中性 |
是指存在爬虫行为的主机。网络爬虫是基于一定的规则自动地抓取互联网信息的程序或者脚本。 |
Y |
N |
IDC |
IDC服务器 |
中性 |
IDC服务器。 |
Y |
N |
Base Station |
基站 |
中性 |
是指2/3/4/5G网络使用的基站IP。 |
Y |
N |
Backbone |
骨干网 |
中性 |
骨干网IP。 |
Y |
N |
Satellite Communication |
卫星通信 |
中性 |
是指卫星通讯机构使用的主机。 |
Y |
N |
Gateway |
网关 |
中性 |
是指组织机构、基础设施或大型企业网络的出口IP。 |
Y |
N |
Dynamic IP |
动态IP |
中性 |
是指被普通家庭使用的IP,通常覆盖多个小区。 |
Y |
N |
Bogon |
保留地址 |
中性 |
是指保留IP地址。 |
Y |
N |
Whitelist |
白名单 |
安全 |
白名单。 |
Y |
Y |