- 综合排序
- 最热优先
- 最新优先
- 来自专栏莫浅子的学习笔记
头歌----恶意流量监测
print (data) 编程要求 有一个 pcap 文件 src/step3/1.pcap,需要检测其中的恶意流量。 请对其进行检测并按返回测试说明的格式返回。 ,password from users--+会变成 admin%27+union+select+user%2Cpassword+from+users--%2B 测试说明 测试输入:无; 预期输出: 恶意攻击序号 username=%3CiMg+src%3Dx+onError%3DAlert%281%29+%2F%3E&password=123&Login=Login 恶意攻击序号:2 检测到SQL注入攻击! for x in result_list: count_bad += 1 print('恶意攻击序号 for x in result_list: count_bad += 1 print('恶意攻击序号
93410编辑于 2024-06-22 - 来自专栏深度学习|机器学习|歌声合成|语音合成
恶意加密流量- pcap包解析
e5da c850 就是时间戳的高位 fbdc 0800 就是时间戳的低位 2a00 0000 就是数据包的大小,十六进制,转换成十进制,就是42 Byte 2a00 0000 就是抓到的包的大小 ffff ffff ffff 0000 0000 0000 0800 4500 001c 0001 0000 4032 7cad 7f00 0001 7f00 0001 0102 0304 0000 0001 就是数据包,长度一共是 42 Byte
3.5K10编辑于 2022-10-05 - 来自专栏释然IT杂谈
开源恶意流量监测系统:Maltrail
系统介绍: Maltrail一款功能强大且完全免费的开源恶意流量监测工具,它通过整合公开黑名单、反病毒软件报告及用户自定义特征,高效识别恶意流量。 开源项目地址: https://github.com/stamparm/maltrail 系统架构: Maltrail采用流量 -> 传感器 -> 服务器 -> 客户端的架构模式。 传感器作为独立组件,负责监控网络流量中的恶意元素,如域名、URL和IP地址。匹配到恶意元素时,传感器将事件信息上报至中央服务器,由服务器进行存储和处理。
1.9K11编辑于 2024-07-30 - 来自专栏腾讯防水墙
【独家解读】2018 恶意机器流量报告
恶意流量具有三大特点: 1、 无论是网站、移动App,还是简单的API,互联网所有的产品都面临着经常性的恶意机器流量轰炸攻击。 图1. 2017年互联网流量分布 恶意机器流量占据所有流量的21.8%,同比增长9.5%;正常机器流量占据所有流量的20.4%,同比增长8.8%。自 2015 年以来,恶意机器访问占比逐年升高。 ? 恶意机器请求类型占比 3 针对电商、医疗、航司行业的 恶意流量攻击专业化明显 每个行业都会面临恶意机器流量威胁,这些威胁既有通用的,也有一些是行业独有的。 各行业面临的机器请求威胁 4 大公司面临的恶意机器流量威胁更为严峻 相较于小型和微型公司,大型公司面临的恶意机器流量比例更高。 运营商恶意流量来源排名 6 中国恶意机器流量爆发性增长 已是全球第二 中国的恶意机器流量爆发性增长,流量规模从 2015 年的第 7 名上升到 2017 年的第 2 名,增长迅速。 ? 图9.
2.4K1030发布于 2018-06-22 - 来自专栏Windows运维
如何检测网络中的恶意流量?
监控警报:IDS会实时分析网络流量,并在检测到潜在威胁时发出警报。定期查看警报日志以识别和处理恶意流量。 配置防火墙规则:添加规则以阻止来自已知恶意IP地址或域的流量。限制不必要的出站连接。方法三:监控网络流量和行为步骤:使用流量分析工具:工具如Wireshark可以捕获和分析网络流量。 识别异常行为:查找异常的流量模式,例如突发的大流量、不常见的目的地IP地址或非工作时间的活动。调查可疑流量:对于可疑流量,进一步调查其来源和目的,判断是否为恶意行为。 方法四:部署反病毒和反恶意软件工具步骤:安装并更新反病毒软件:确保所有网络中的计算机都安装了最新的反病毒软件。定期进行全盘扫描以检测和清除恶意软件。 自动更新规则集以拦截已知的恶意IP地址和域。方法六:定期审计和培训步骤:定期进行网络安全审计:检查网络配置、访问控制和安全策略的有效性。提供员工培训:教育员工识别钓鱼邮件、恶意链接和其他潜在威胁。
1.9K10编辑于 2025-03-08 - 来自专栏绿盟科技研究通讯
加密恶意流量优秀检测思路分享
本文介绍一种从加密流量中检测恶意流量的方法,来自清华大学的HawkEye战队,他们在DataCon2020大赛中获得加密恶意流量检测方向的一等奖,该方法的思路具有很好的借鉴作用,希望带给读者一些思考。 3.1包长分布分类器 一般来说,功能或实现相似的软件也具有相似的数据包体量分布特点,比如视频软件的下行流量通常远大于上行流量,而恶意软件的下行流量通常远小于上行流量。 由于对恶意软件服务端IP的访问哪怕只有一次,也能判定其为恶意流量,所以并不记录流量样本与每个服务端IP的通信频次,而是使用0和1来记录是否存在与恶意IP的通信行为。 ,比如恶意软件在产生访问谷歌这种正常流量行为之后可能要开始进行恶意的数据回传,再比如有少量正常流也会符合恶意流的自签名等特征而导致单条流被误判。 加密代理篇: 《初探加密流量识别》 恶意软件篇: 《基于深度学习的物联网恶意软件家族细粒度分类研究》 《关于恶意软件加密流量检测的思考》 加密webshell篇: 《【冰蝎全系列有效】针对HTTPS加密流量的
3.4K20发布于 2021-02-24 - 来自专栏TEG云端专业号的专栏
【独家解读】2018 恶意机器流量报告
恶意流量具有三大特点: 1、 无论是网站、移动App,还是简单的API,互联网所有的产品都面临着经常性的恶意机器流量轰炸攻击。 图1. 2017年互联网流量分布 恶意机器流量占据所有流量的21.8%,同比增长9.5%;正常机器流量占据所有流量的20.4%,同比增长8.8%。自 2015 年以来,恶意机器访问占比逐年升高。 恶意机器请求类型占比 3 针对电商、医疗、航司行业的 恶意流量攻击专业化明显 每个行业都会面临恶意机器流量威胁,这些威胁既有通用的,也有一些是行业独有的。 各行业面临的机器请求威胁 4 大公司面临的恶意机器流量威胁更为严峻 相较于小型和微型公司,大型公司面临的恶意机器流量比例更高。 运营商恶意流量来源排名 6 中国恶意机器流量爆发性增长 已是全球第二 中国的恶意机器流量爆发性增长,流量规模从 2015 年的第 7 名上升到 2017 年的第 2 名,增长迅速。 图9.
56440编辑于 2023-03-30 - 来自专栏FreeBuf
深度学习之Keras检测恶意流量
静态规则检测方式,来一条恶意流量使用规则进行命中匹配,这种方式见效快但也遗留下一些问题,举例来说,我们每年都会在类似 WAF、NIDS 上增加大量的静态规则来识别恶意攻击,当检测规则达到一定数量后,后续新来的安全运营同学回溯每条规则有效性带来巨大成本 进入正文,使用 AI 模型达到的效果,测试结果在测试集与验证集上准确率和召回率都达到 95% 以上,预测效果: 恶意流量:/examples/jsp/jsp2/el/search=<SCript>alert ('xss')</scRIpt>恶意流量:/iajtej82.dll? (/1/)</prompt>恶意流量:/cgi-bin/index.php? gadget=glossary&action=viewterm&term=<script>alert('jaws_xss.nasl');</script>恶意流量:/fmnveedu.htm?
2.2K41发布于 2020-02-12 - 来自专栏字节脉搏实验室
本地恶意流量分析引擎(一)
文章源自【字节脉搏社区】-字节脉搏实验室 作者-m9kj 构建背景: 之前有写过本地恶意代码查杀工具,但是如果规则太过严格会出现误报,如果规则太过松散又无法识别恶意代码,这就诞生了许多引擎,其中最著名的就是语义分析引擎和流量分析引擎 ,当然流量分析引擎需要人工智能算法解码,而咱们今天实现的仅仅是简单的抓取本地的测试流量。 模仿burp监听http: 流量包咱们这篇文章主要是讲模仿burp监听本地http包的内容,主要实现思路,将Scapy数据包中的数据包,通过sprintf来整理匹配数据格式,最后导出咱们想要的结果。 下篇文章内容预告: 通过框架实现 出入IP分析 通过框架实现 https流量分析 通过框架实现 恶意流量告警(IDS)
99920发布于 2020-04-01 - 来自专栏betasec
入侵检测之sqlmap恶意流量分析
sqlmap.org) Host: www.sqli.com Accept: */* Accept-Encoding: gzip, deflate Connection: close 0x03 流量特征分析 一、静态分析 首先最最最特征的肯定就是User-Agent了, 这里如果没有做伪装, 基本上就是sqlmap的流量, 直接拦截掉就好了 接着就是代码的静态特征, sqlmap首先上传的上传马, sqlmap.org) Host: www.sqli.com Accept: */* Accept-Encoding: gzip, deflate Connection: close 如果攻击者没有进行过流量分析 execution test时, 就可以认定这是sqlmap的命令马, 杀之即可 再就是sqlmap会判断当前的操作系统, 而判断操作系统就会使用 @@version_compile_os 这个函数, 所以当流量中包含这个函数的请求
1.7K10发布于 2021-09-02 - 来自专栏FreeBuf
EKFiddle:基于Fiddler研究恶意流量的框架
EKFiddle是一个基于Fiddler web debugger的,用于研究漏洞利用套件、恶意软件和恶意流量的框架。
2.2K00发布于 2018-07-30 - 来自专栏绿盟科技研究通讯
基于频域分析的实时恶意流量检测系统
Whisper,它是通过频域特征来实现恶意流量实时检测的高精度和高吞吐量。 图2反应出实际观察到的恶意流量比良性流量的频域特征区域更暗。 ,即该流量是恶意的。 表2 在14种攻击下Whisper和基线的检测精度 4.3 鲁棒性评估 为验证Whisper的鲁棒性,假设攻击者将良性TLS流量和UDP视频流量注入恶意流量中,测试Whisper对于恶意流量的检测性能 总结 本文介绍了一个实时恶意流量检测系统Whisper,通过频域分析利用流量的顺序特征,实现鲁棒攻击检测。
2.7K20编辑于 2022-11-14 - 来自专栏绿盟科技研究通讯
关于恶意软件加密流量检测的思考
随着TLS的使用越来越普遍、有效证书的获取越来越廉价和容易,使用TLS的恶意软件也会越来越多,所以检测出恶意软件的TLS加密通信流量是非常必要的。 ,恶意流量数据主要来自公开数据集mta[3]和Stratosphere[4],时间跨度较长,从2016年到2019年。 (1)网络环境 一般来说,不同网络环境下恶意流量是相似的,而良性流量受网络环境影响较大,会随着操作系统、浏览器、业务场景等的不同而产生较大变化,比如学校、家庭和不同企业产生的流量是不一样的。 (2)时间 相比良性流量,时间的偏差对恶意流量的影响更大一些,收集到的数据会受到概念漂移的影响,这意味着数据会随着时间的推移而过时,恶意软件不断优化更新、新的恶意软件被引入、用户习惯产生变化等,训练好的模型的可用性在时间上是有限的 四、小结 本文列举了一些恶意软件和良性TLS流的区别,并就恶意软件通信流量检测的关键问题进行了探讨,实践表明,利用具有区分度的特征构建的模型在一段时间内能够有效地从TLS加密流中检测出恶意流。
2.2K30发布于 2021-01-27 - 来自专栏李洋博客
开启CDN后怎么防止流量被恶意盗刷
,但是每个博客程序的配置方案不同,我也写过一篇《zblog怎么设置腾讯云的CDN缓存》的文章,当然今天这些都不是重点,重点是怎么防止被恶意盗刷,看图: 这是我半个月的CDN流量,不知道怎么回事,自从4月初开始 ,流量瞬间暴增,控制不了那种。 ,如图: 我设置如上,选用控制流量,流量阈值在5分钟超过5GB的时候选择“访问回源”功能,至于知否设置告警阈值可根据实际情况开启,就是导致设置的值会以短信或者站内形式通知你,我没有开启,然后点击确定就可以了 这个流量阈值根据网站实际情况去设置,比如您的网站流量本身就很大,那么你按照我的设置就可能导致网站超出就回源了,回源应该明白吗就是直接访问源站点。 好了,CDN流量控制设置完了,观察一段时间在看看情况,很神奇,刷我流量干毛呢?我好纳闷呢,我的文章最近怎么都是K开头的,原因如此,有问题反馈留言,一起抵制这么盗刷行为。
4.4K30编辑于 2022-04-14 - 来自专栏信安之路
DataCon 的 DNS 恶意流量检查一题回顾
给定的流量中,包含五种 DNS 攻击流量。选手需要准确判断出五种 DNS 攻击,并说明 pcap 文件中那些数据包是攻击流量。
2.7K20发布于 2019-06-17 - 来自专栏FreeBuf
Flightsim:看我如何生成并分析恶意网络流量
今天给大家介绍一款名叫Flightsim的实用工具,该工具可以帮大家生成恶意网络流量,并以此来评估自身的网络安全控制策略。 ? Network Flight Simulator Flightsim是一款轻量级的开源网络安全工具,安全研究人员可以利用这款工具来生成恶意网络流量,并帮助他们评估自身网络系统的安全控制策略以及网络可见性 工具可以通过执行测试任务来模拟DNS隧道、DGA流量、向已知活动C2服务器发送请求以及其他的可疑网络行为。 help for flightsimUse"flightsim [command] --help" for more information about a command 该工具会运行单独模块来生成恶意流量 ,如果你需要执行完整测试,可以直接使用下列命令: flightsim run 该命令会使用第一个可用的网络接口来生成恶意流量。
1.7K20发布于 2019-05-29 - 来自专栏绿盟科技研究通讯
【顶会论文分享】未知模式加密恶意流量实时检测
引言 流量加密技术已经被广泛应用于保护互联网信息的传递,但同时也会被一些攻击者利用,用于隐藏其恶意行为,如恶意软件、漏洞利用、数据泄露等。 HyperVision,旨在通过分析流之间的交互模式来检测模式未知的恶意流量。 模型框架 通常情况下,加密恶意流量与良性流量流的特征极其相似,而在攻击者与受害者交互模式中出现的恶意行为与良性行为差异较为明显。 实验评估 4.1 数据集介绍 文章采用WIDE MAWI项目的真实网络流量数据集作为背景流量,通过构建真实的攻击来生成恶意流量。 将实验中使用的80个新数据集分为四组,其中三组是加密的恶意流量:(1)传统的蛮力攻击。(2)加密泛洪流量。(3)加密web恶意流量。(4)恶意软件生成加密流量。
5.2K20编辑于 2023-10-09 - 来自专栏网络技术联盟站
如何进行内外网隔离、拦截恶意流量、控制流量访问?DMZ请求出战!
DMZ 内部网络中的流量和接入设备通常被视为安全可信,而外部网络中的流量和接入设备则被视为潜在威胁,相比之下,外部网络上的流量和访问设备被视为潜在威胁,而 DMZ 则介于两者之间,充当安全和不安全区域之间的桥梁 假设我们要访问我们内网上的一个服务器,我们的流量会通过互联网到达服务器所在网络的公共出口防火墙,在这种情况下,由于我们的 Internet 区域是 Untrust 区域,出于安全考虑,我们的流量会被定向到 当黑客攻击站点时,攻击流量会被转发到DMZ区域,从而阻断,防止真实数据受到攻击。 :可以通过在DMZ中部署服务器对外提供服务,让互联网用户使用相应的服务来实现; 拦截恶意流量:可以部署恶意流量检测设备,对流量进行隔离,保证业务的正常运行。 另一方面,设备通常允许管理员配置策略以允许流量从 Untrust 区域或 DMZ 区域流向 Trust 区域。 我们应该在路由器上使用 DMZ 吗?
10.3K30编辑于 2023-03-05 - 来自专栏网络安全技术点滴分享
伪装成破解软件的Rhadamanthys恶意软件流量分析
Malware-Traffic-Analysis.net - 2025-10-01:疑似Rhadamanthys伪装成流行软件破解版事件概述2025年10月1日(星期三): 疑似Rhadamanthys恶意软件通过伪装成流行软件破解版的安装程序进行传播重要说明压缩文件受密码保护该网站采用了新的密码方案密码请参见本网站的
29010编辑于 2025-11-06 - 来自专栏FreeBuf
不解密数据竟也能识别TLS加密的恶意流量?
加密一直都是保护用户通讯隐私的重要特性,可如果恶意程序在传播过程中也加密的话,对这样的流量做拦截感觉就麻烦了很多。 “在这篇报告中,我们主要针对433端口的TLS加密数据流,尽可能公正地对比企业一般的TLS流量和恶意TLS流量。 不仅如此,据说他们还能就这些恶意流量,基于流量特性将之分类到不同的恶意程序家族中。“我们最后还要展示,在仅有这些网络数据的情况下,进行恶意程序家族归类。 分析结果准确性还不错 思科自己认为,分析结果还是比较理想的,而且整个过程中还融合了其机器学习机制(他们自己称为机器学习classifiers,应该就是指对企业正常TLS流量与恶意流量进行分类的机制,甚至对恶意程序家族做分类 据说,针对恶意程序家族归类,其准确性达到了90.3%。 “在针对单独、加密流量的识别中,我们在恶意程序家族归类的问题上,能够达到90.3%的准确率。
2.6K70发布于 2018-02-08
腾讯云开发者
Copyright © 2013 - 2026 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有
深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 
粤公网安备44030502008569号
腾讯云计算(北京)有限责任公司 京ICP证150476号 | 京ICP备11018762号