我们注意到，“惯犯承担了约40％的攻击事件，其中僵尸网络活动和DDoS攻击是惯犯们的主流攻击方式。”由于僵尸网络活动和DDoS攻击通常以协作方式从多个来源发起，因此多个惯犯以群体方式勾结“作案”就毫不奇怪了。我们将这样的群体称为“IP团伙”（IP Chain-Gang）。在本报告中，我们基于绿盟科技自2017年以来所搜集的DDoS攻击数据，识别了多个IP团伙并研究了他们的团伙行为。 采用这种研究方法背后的逻辑是：既然各IP团伙均由某一个或一组攻击控制者控制，那么同一个团伙在不同的攻击中必然会表现出相似的行为。我们希望，通过研究团伙的历史行为给该团伙建立一个“团伙画像”，以便更准确地描述其背后的攻击控制者的行为方式、偏好的攻击方法和特征，以便更有效地防御这些团伙未来可能发起的攻击，防患于未然。