MR王峰的专栏

企业信息化建设是随着企业战略、业务形态、预算等多个方面不断迭代及变化的，所以在建设过程中难免出现阶段鸿沟，跨阶段整合难的现象，当企业以数据为中心的战略考量时，就需要通过数据治理方法对以往问题纠偏，对未来形态建设。本文通过理清数据治理与数据安全治理关系，寄希望帮助读者对两者有所清晰的认识。一、数据治理与数据安全治理关系数据治理简单来讲是通过对数据的梳理整合，利用数据驱动业务，实现企业增值。...

零信任网络环境主要是由Google（BeyondVCorp架构）开始，目前国内很多厂商（360、新华三、安恒等）已有零信任的解决方案，如：360的零信任架构依托身份中心、业务安全访问及动态访问控制三个层面，主要解决零信任环境中业务信任问题。因为零信任建需要“刮骨”建设，涉及客户基础环境支撑及改动（奔跑的赛车换发动机）、领导支持力度等多个方面，总的来说落地效果不是特别好。应用层零信任建设主要依托...

利用上篇运维指令不用记，会用SQL就可以，可对CPU信息进行采集并结合机器学习算法对CPU的利用率进行预测，从而让运维人员及时了解CPU未来运转情况，从容应对突发问题。一、预测方法简述预测算法属于监督式机器学习领域，因为他需要对历史数据进行训练并建立基于时间序列的回归模型。一般情况下时间序列主要分为：趋势、季节、周期三个方面。趋势：为变化的长期方向，不受相对较小波动和扰动影响；季...

我们在运维过程中，需要记住不同操作系统之间的相关运维指令，有时同一系统不同版本也会存在指令语法不一致的问题，虽然很多企业通过SNMP等技术形成监控系统或形成一系列相关脚本文件对目标主机进行有效、细粒度、实时的监控，但有时针对个体问题或企业非正规化时，我们还是需要对指令有所了解才能有效解决。OSQuery对指令进行封装，解决不同操作系统命令、语法不一致问题，通过SQL查询方式，展现系统的CPU、内存...

电商领域，交易欺诈的例子已多如牛毛，每年有非常多人受到欺诈带来的经济损害。作为电商企业，如何利用沉淀的订单数据，与机器学习相结合，提前检测交易是否有欺诈行为，从事前或事中就及时阻断交易动作，从而保障用户的使用安全，大幅度减少欺诈带来的损害是一直追求的目标。本文以简单数据特征为切入点，其目的是希望大家可直观了解核心思想，方便读者使用到自身的领域中，起到抛砖引玉效果（比如：电信、电购等）。业界所采用的...

安全运维的优雅落地想必各大企业不断思考与实践中，安全运维应属于企业整体运维工作范围内，只不过因近几年安全高压导致格外突出。一般中大型企业整体运维包括：应用运维、数据运维、机房运维、安全运维、网络运维及桌面运维，依托ITIL标准体系，通过一线、二线、三线进行业务串联。如下图：运维业务图本文安全运维体系将依托ITIL架构，通过体系架构规划及如何与现在安全产品融合等多个方面进行介绍。一、...

随着信息化的不断发展，外部横向合规要求，垂直行业要求，以及内部内生安全需要，由数据泄露带来的损害企业已越来越难承担，一旦发生数据泄露将会给企业带来经济、声誉、司法、人员变动等多方面影响，目前多数用户通过边界防护手段进行整体防御，但随着数据价值在运营过程中越来越重要，以网络为中心的安全防护短板越发明显，如何对数据进行整体安全防护，数据流动到哪，安全就辐射至哪的场景建设已迫在眉睫。1.安全的发展...

1.概念介绍。机器学习我们一般可以分为两大类，模式识别和异常检测。从行为来看，模式识别和异常检测边界比较模糊。在模式识别中，我们试图发现隐藏在数据中的显式或潜在的特性，形成特征集进行分类判断。异常检测从另一个维度进行知识发掘，最后的目标是建立给定数据中大部分的正太性，不是学习某些数据子集存在的特定模式，从各种正常情况的偏离都是异常行为，这也就是异常检测，比如说离群点检测。2.背景介绍邮...

昨天分享了一篇PE结构详解（加壳脱壳必备知识），本篇是上一篇续篇，主要介绍关于PE结构的三种存储地址 VA、RVA、FILEOFFSET及转换方式，希望对你有所帮助。一、关于VA、RVA、FILEOFFSETVA：虚拟地址，PE文件映射到内存后的地址。 RVA：相对虚拟地址，内存地址相对于映射基地址的偏移地址。 FileOffset：文件偏移地址，相对PE文件在磁盘上的文件开头的偏移地...

近期太忙一直没有抽出时间来更新文章，周末抽空写一篇关于PE结构相关知识，PE结构是windows下的可执行文件的标准结构。可执行文件的装载、内存分步、执行等都依赖于PE结构。如果要掌握反病毒、免杀、权益保护、反调试、加壳脱壳等相关知识，那了解PE结构则是重中之重。一、PE结构概述PE文件大致可以分为两部分，即数据管理结构及数据部分。数据管理结构包含：DOS头、PE头、节表。...

1.数据安全治理背景随着各行各业信息化不断演变发展，数据已成为基础设施，成为业务发展重要原动力，内部业务与互联网深度融合，利用新媒体，让数据产生更大价值，是近近几年发展的主要趋势。如何提升数据资产价值同时让数据使用更安全，已成为各个行业探讨的方向。近几年网络安全事件频发，具有商业特性的攻击事件越来越多，地下黑产对个人信息需求异常旺盛。2017-2018年度551起数据泄露事件中，出自...

今天分享关于零信任网络架构设计文章，本人不太愿意写细节文章，主要是我们一起把思路理顺，后期落地有方向即可，如有错误或不够细节地方，还请见谅，有问题咱们一起沟通交流！一、什么是零信任零信任简单来讲是对于网络环境中，主机设备、网络通信、应用系统等都不可信，只有授权可信后方可进行相关访问。零信任假定是：网络都不可信，时刻有危险； 网络中存在内部与外部威胁； 之前当以的网络...

本篇是逆向分析的延伸篇，讲的是关于缓冲区溢出。简单来讲，缓冲区溢出就是“输入数据超出了程序规定的内存范围，数据溢出导致程序发生异常”，黑客通过缓冲区溢出后，重写栈中的ret_addr内容来执行任意代码。 在对缓冲区攻击前，我们需要了解栈是如何使用内存空间的。栈是一种内存的使用方式，采用LIFO即后进先出，像手枪的子弹一样。 如下代码：void func(i...

一、背景 本篇是关于上一篇进程及DLL获取核心实现的延展，通过对进程注入自定义的dll文件（当然还可以通过无dll方式注入），实现基于进程的隐藏攻击，增加发现难度。 针对windows常见且常用API函数到此为止，后续将陆续更新逆向、HOOK等相关核心技术实现。二、代码选择要注入的进程，本篇通过对notepad++实现dll注入。点击DLL注入按钮，...

一、背景介绍 黑客攻击成功后，常有动作包括：系统的启动项（注册表的启动项）、系统服务（系统服务）、进程线程、DLL注入等，本篇文章主要是遍历进程信息并通过pid枚举对应的DLL文件，为下一步DLL注入做准备。同时如果将启动项、系统服务及进程线程、DLL信息，利用黄金镜像形成安全基线，便可以粗粒度的发现电脑中的异常行为，帮助安全人员快速发现异常问题。二、核心代码实现代码实现...

一、什么是可信计算 可信计算简单来说是保障信息系统可预期性的技术，使计算全程可测可控。可信与防火墙、防病毒、入侵检测不同的是，可信计算首先搜集系统和应用信息，根据用户的信任需求，确定系统的可信特征并建立起可信策略库，确定已知特征，针对不符合策略库行为标记为未知，最终通过可信控制，保护已知，破坏和排斥未知。二、可信计算3.0的基本概念 1.可信根与可信链 ...

前几天写了一篇文章网络安全建设如何做到安内攘外，其中核心思想之一为安全与业务的融合是下一步趋势，近期不断思考如何让安全更贴身的服务灵活多变的业务？如何通过模块化、可插拔的方式与系统系统融合？如何让业务中有安全，安全中有业务等问题。以此需求为前提，本文通过Mininet模拟SDN架构网络，通过Suricata实现IDS检测，利用Floodlight下发流表策略对流量进行调度，目标是将...

网络安全建设是先外到内，再内到外的一个过程。安全建设与自身的发展密切相关，初期通过外生安全快速实现安全防护，随着合规性要求及业务发展，不断向内部压缩，倒逼内部安全成长，当量变发生质变时，需要对自身进行重新梳理整合，由内到外的逐步进行安全建设，最终做到安内攘外。 目前很多企业已意识到内生性安全的重要性，比如增强内部员工安全技能、完善安全机制等措施，但多数企业还是处于点...