本文通过使用机器学习算法来检测HTTP的恶意外连流量,算法通过学习恶意样本间的相似性将各个恶意家族的恶意流量聚类为不同的模板.并可以通过模板发现未知的恶意流量.实验显示算法有较好的检测率和泛化能力. 0×00背景 攻击者为控制远程的受害主机,必定有一个和被控主机的连接过程,一般是通过在被控主机中植入后门等手段,由受控主机主动发出连接请求.该连接产生的流量就是恶意外连流量,如图1.1所示.目前检测恶意外连流量的主要方式有两种,一种是基于黑名单过滤恶意域名,另一种是使用规则匹配恶意外连流量.这两种方…
2018 年的文章, Using deep neural networks to hunt malicious TLS certificates from:https://techxplore.com/news/2018-10-deep-neural-networks-malicious-tls.html 使用LSTM对恶意证书进行分类,准确率94% 下面是介绍. Moreover, encryption can give online users a false sense of securi…
我们在使用机器学习做DNS隐蔽通道检测的过程中,不得不面临样本收集的问题,没办法,机器学习没有样本真是“巧妇难为无米之炊”啊! 本文简单介绍了DNS隐蔽通道传输工具iodine,并介绍如何从iodine的网络流量中抓取DNS报文生成pcap包,并将其转化为机器学习检测算法所能够识别的文本文件. 1.环境准备和iodine安装 DNS隐蔽通道工具iodine分为服务器端程序iodined和客户端程序iodine.服务器端程序iodined提供特定域名的DNS解析服务.当客户端请求该域名的解析,就可…
0.引言 介绍了如何生成手写体数字的数据,提取特征,借助 sklearn 机器学习模型建模,进行识别手写体数字 1-9 模型的建立和测试. 用到的几种模型: 1. LR,Logistic Regression, (线性模型)中的逻辑斯特回归 2. Linear SVC,Support Vector Classification, (支持向量机)中的线性支持向量分类  3. MLPC,Multi-Layer Perceptron Classification,    (神经网络)多层感知机分类 4…
0.引言 介绍了如何生成数据,提取特征,利用sklearn的几种机器学习模型建模,进行手写体数字1-9识别. 用到的四种模型: 1. LR回归模型,Logistic Regression 2. SGD随机梯度下降模型,Stochastic Gradient Descent 3. SVC支持向量分类模型,Support Vector Classification 4. MLP多层神经网络模型,Multi-Layer Perceptron 主要内容:生成手写体随机数1-9,生成单个png分类存入指定…
本文主要展示的是通过使用python和PyInstaller来构建恶意软件的一些poc. 利用Python编写Windows恶意代码!自娱自乐!勿用于非法用途!众所周知的,恶意软件如果影响到了他人的生活,那就是违法犯罪.切记,不可用于非法用途!而这一点在windows上有很多方法可以实现,最常见的做法是修改以下注册表 项:“SoftwareMicrosoftWindowsCurrentVersionRun”.以下是对利用python去复制程序到%TEMP%目录,然后对注册表进行修改使得这段代码可…
RIG exploit kit:恶意活动分析报告 from:https://www.freebuf.com/articles/web/110835.html 在过去的几周里,我们曾撰文讨论过Neutrino和Magnitude的exploit kit.现在,我们来研究下RIG的exploit kit,看看它有什么特别的分发渠道和payload. 与其他同类的比较 像大多数exploit kit一样,RIG会用被黑的网站和恶意广告进行流量分发.但是,它也会借助较老的exploit进行辅助攻击.比如…
xssing 是安全研究者Yaseng发起的一个基于 php+mysql的 网站 xss 利用与检测开源项目,可以对你的产品进行黑盒xss安全测试,可以兼容获取各种浏览器客户端的网站url,cookies已经user-agent等信 息,批量管理代码,采用MVC构架,易于阅读和二次开发. 安装方法: 1.在google或者官网下载最新版的xssing,导入 xssing.sql 到mysql 配置 config/mysql.php 删除 /apps/running/uauc.php 可以运行 2…
但你要给某些系统或软件加密时,需要了解到服务器的硬件信息时,系统和软件会利用WMI检测硬件信息, 而有时我们会遇到检测不到CPU的型号信息,如图 此时的解决方法: 1.确定“服务”里启动了WMI 2. 上面的方法适用于IIS8.0,此时应该没有问题来了 ,…
大家好,我是阿里云云原生应用平台的炎寻,很高兴能和大家一起在 Kubernetes 监控系列公开课上进行交流.本次公开课期望能够给大家在 Kubernetes 容器化环境中快速发现和定位问题带来新的解决思路. 为什么需要 Kubernetes 监控? ​ 很多同学对应用性能监控应该并不陌生,这类监控主要关注业务应用逻辑.应用框架和语言运行时,监控对象有线程池满,数据库连接无法获取,MySQL, 内存溢出,还有各种调用链异常栈等.随着 Kubernetes 容器化技术带来的云原生技术演进,上层应用…