僵木蠕

以“僵木蠕”（僵尸网络、木马、蠕虫）为代表的网络威胁

僵尸网络是攻击者出于恶意目的，传播僵尸程序bot以控制大量计算机，并通过一对多的命令与控制信道所组成的网络，我们将之称之为僵尸网络，botnet。

=====

蠕虫病毒是一种常见的计算机病毒。它是利用网络进行复制和传播，传染途径是通过网络和电子邮件。

与传统的病毒不同的是，许多新病毒是利用当前最新的编程语言与编程技术实现的，易于修改以产生新的变种，从而逃避反病毒软件的搜索。另外，新病毒利用Java、ActiveX、VBScript等技术，可以潜伏在HTML页面里，在上网浏览时触发。

=====

木马（Trojan）,也称木马病毒，是指通过特定的程序（木马程序）来控制另一台计算机。木马通常有两个可执行程序：一个是控制端，另一个是被控制端。

它不会自我繁殖，也并不“刻意”地去感染其他文件，它通过将自身伪装吸引用户下载执行，向施种木马者提供打开被种主机的门户，使施种者可以任意毁坏、窃取被种者的文件，甚至远程操控被种主机。

“木马”与计算机网络中常常要用到的远程控制软件有些相似，但由于远程控制软件是“善意”的控制，因此通常不具有隐蔽性；“木马”则完全相反，木马要达到的是“偷窃”性的远程控制，如果没有很强的隐蔽性的话，那就是“毫无价值”的。

===

分布式拒绝服务（DDos）

DDoS攻击是利用服务请求来耗尽被攻击网络的系统资源，从而使被攻击网络无法处理合法用户的请求。 DDoS 攻击有多种形式，但是能看到的最典型的就是流量溢出，它可以消耗大量的带宽，却不消耗应用程序资源。

一群恶霸试图让对面那家有着竞争关系的商铺无法正常营业，他们会采取什么手段呢？（只为举例，切勿模仿）恶霸们扮作普通客户一直拥挤在对手的商铺，赖着不走，真正的购物者却无法进入；或者总是和营业员有一搭没一搭的东扯西扯，让工作人员不能正常服务客户；也可以为商铺的经营者提供虚假信息，商铺的上上下下忙成一团之后却发现都是一场空，最终跑了真正的大客户，损失惨重。此外恶霸们完成这些坏事有时凭单干难以完成，需要叫上很多人一起。嗯，网络安全领域中DoS和DDoS攻击就遵循着这些思路。

=======

.pcap 数据包 文件

利用libpcap抓取数据包

libpcap是一个网络数据包捕获函数库

pcap文件解析--pcap文件头与包文件头(一)

pcap文件格式是常用的数据报存储格式，包括wireshark在内的主流抓包软件都可以生成这种格式的数据包

======

文件哈希

“远控”木马

=====

APT攻击

APT（Advanced Persistent Threat）是指高级持续性威胁

APT在发动攻击之前需要对攻击对象的业务流程和目标系统进行精确的收集。在此收集的过程中，此攻击会主动挖掘被攻击对象受信系统和应用程序的漏洞，利用这些漏洞组建攻击者所需的网络，并利用0day漏洞进行攻击。

APT是黑客以窃取核心资料为目的，针对客户所发动的网络攻击和侵袭行为，是一种蓄谋已久的“恶意商业间谍威胁”。这种行为往往经过长期的经营与策划，并具备高度的隐蔽性。APT的攻击手法，在于隐匿自己，针对特定对象，长期、有计划性和组织性地窃取数据，这种发生在数字空间的偷窃资料、搜集情报的行为，就是一种“网络间谍”的行为。

====

DGA技术生成的恶意域名

使用深度学习检测DGA(域名生成算法)

DGA（域名生成算法）是一种利用随机字符来生成C&C域名，从而逃避域名黑名单检测的技术手段。例如，一个由Cryptolocker创建的DGA生成域xeogrhxquuubt.com，如果我们的进程尝试其它建立连接，那么我们的机器就可能感染Cryptolocker勒索病毒。域名黑名单通常用于检测和阻断这些域的连接，但对于不断更新的DGA算法并不奏效。我们的团队也一直在对DGA进行广泛的研究，

======

ffsn

Fast-Flux网络访问

浅谈僵尸网络利器:Fast-flux技术

Fast-Flux网络检测与分析技术研究

FFSN(Fast-Flux Service Network)是Internet上新近出现的尚未广为人知的一种威胁，在网络欺骗中占有很大比例，常见的恶意应用有Phishing、Malware、Spam等。

======

暗网

Tor网络流量

====

iaas

paas

====

网际

网际网络_百度百科

网际网络是指在广域网与广域网之间互相连接的网络，包括不同类型的协议的网络的互联，比如TCp/IP网络和X.25网络的互联。

中文名网际网络  外文名Internet

现在咱们通用的因特网（INTERNET）就是很明显的网际网络，因为因特网中包含着各种不同类型的网络，从协议到路由，从软件到硬件等等的不同。实现网际网络的关键是在不同网络协议基础上实现彼此的兼容和互联，只有实现了网际互联，才形成了现在覆盖全球的互联网。

=====

本源

英文是origin，一般指源头,借指事物的根源，起源。也指根本。

===

递归域名服务器

=====

dns隐蔽隧道

利用DNS 隧道传递数据和命令来绕过防火墙

DNS隧道_百度文库

利用DNS查询过程建立起隧道，传输数据。

云风的 BLOG: DNS 隧道

======

ip隧道

ip地址段使用规则

===

逻辑拓扑

===

上行 下行

===

置信度

置信区间给出的是被测量参数的测量值的可信程度

====

元数据

元数据（Metadata），又称中介数据、中继数据，为描述数据的数据（data about data），主要是描述数据属性（property）的信息，用来支持如指示存储位置、历史数据、资源查找、文件记录等功能。

======

态势感知

态势感知是一种基于环境的、动态、整体地洞悉安全风险的能力，是以安全大数据为基础，从全局视角提升对安全威胁的发现识别、理解分析、响应处置能力的一种方式，最终是为了决策与行动，是安全能力的落地

===

开源情报

开源情报（open source intelligence）是指从公众媒体上收集和挖掘情报，

===

拓扑结构

把网络中的计算机和通信设备抽象为一个点，把传输介质抽象为一条线，由点和线组成的几何图形就是计算机网络的拓扑结构。

======

“爱因斯坦-3”（E3A）监控并采集的数据主要
是元数据（Metadata），并分为 5 种类型：
1） IP 地址（源和目的）；
2） 域名（请求和响应）；
3） 邮件头（发送和接收地址等）；
4） 文件（大小、类型、哈希值等）；
5） 特征（持续或唯一标识特定的恶意行为）。

=====

地理信息系统---GIS
（Geographic Information System）
是一种特定的空间信息系统。
它 是 在 计 算 机 硬 软 件 系 统
支 持 下 ， 对 整 个 或 部 分 地 球
表层（包括大气层）空间中的
有关地理分布数据进行采集、
储 存 、 管 理 、 运 算 、 分 析 、
显示和描述的技术系统

======

网络空间三个维度

感知维度，信息，物理。

===

国内商用的互联网安全地图

比如 星图，天网，鹰眼。

====

网络威慑力包括：防御能力+监控能力+反制能力

====