- 博客(22)
- 资源 (1)
- 收藏
- 关注
RSS订阅原创 入侵检测系统的标准与评估
入侵检测系统的标准与评估入侵检测的标准化工作入侵检测系统的性能指标网络入侵检测系统测试评估测试评估内容测试环境和测试软件用户评估标准入侵检测评估方案入侵检测的标准化工作入侵检测技术在最近几年发展迅速,但是相应的入侵检测标准化工作则进展缓慢。当前有两个国际组织在进行这方面的工作,他们是Common Intrusion Detection Framework(CIDF)和IETF(Internet Engineering Task Force)下属的 Intrusion Detecti
2020-06-11 12:24:57
2703
原创 基于Hadoop海量日志的入侵检测技术
基于Hadoop海量日志的入侵检测技术Hadoop相关技术Web日志基于 Hadoop海量日志的入侵检测算法基于 Hadoop量日志的入侵检测系统的实现Hadoop简介Hadoop是一个项目的总称,是开源实现的谷歌的集群系统。由于在 Hadoop中实现了HDFS文件系统和 MapReduce编程模型,使得它成为了一个分布式的计算平台。当用户想要运行一个分布式程序时,只需要编写一个类继承自MapReduceBase,同时再实现Map和 Reduce,然后对Job进行注册就可以了。Hadoop
2020-06-11 12:21:01
652
原创 基于存储的入侵检测技术
基于存储的入侵检测技术数据采集数据特征分析时间戳:精确显示每次打开、读取、写入或删除的时间;进程名称:存储操作动作的发出者;操作请求:包括 Fast I/O操作请求和IRP操作请求;被操作的文件路径:存储操作响应的接受者;操作结果状态:显示操作的最终结果;具体读写信息:提供了与读写相关的数据长度和偏移量等。数据预处理和规约未处理的存储操作数据存在以下问题:(1)某些正常和异常数据具有相同的取值特征,对于区分攻击类型起不到直接的作用;(2)某些数据属性的表达方式不适合直接输入算法
2020-06-11 08:26:33
481
原创 图解字符串搜索算法(Boyer-Moore)
字符串搜索算法(Boyer-Moore)BM算法简介1977年,德克萨斯大学的 Robert s.Boyer教授和J Strother moore教授发明了在字符串中搜索模式字符串的一种算法。BM算法是精确字符串匹配算法,在字符串比对过程中采用从右往左比对方式。BM算法基于“坏字符”和“好后缀”两种启发式。BM算法相关概念坏字符(Bad-Character):在比对过程中,不匹配的字符。好后缀(Good-Suffix):如果字符串匹配失败,则之前已经成功匹配的部分称为好后缀。字符
2020-06-03 18:37:11
368
原创 开源入侵检测系统-Snort
SnortSnort简介Snort安装与配置Snort总体结构分析Snort的使用Snort的规则使用 Snort构建入侵检测系统实例Snort简介Snort是一个基于 Libpcap的轻量级网络入侵检测系统,它运行在一个“传感器(Sensor)”主机上,监听网络数据。Snort能够把网络数据和规则集进行模式匹配,从而检测可能的入侵企图;或者使用 SPADE(Statistical Packet Anomaly Detection Engine)插件,使用统计学方法对网络数据进行异常检
2020-06-03 17:29:54
1718
原创 伯克利包过滤器
伯克利包过滤器(BPF)什么是BPF?BPF,即伯克利包过滤器 Berkeley Packet Filter,诞生于1992年,其作用是提供一种过滤包的方法来避免在内核空间复制无用的数据到用户空间。由于其简化的语言以及存在于内核中的即时编译器(JIT),使BPF成为一个性能卓越的包过滤工具。BPF语法BPF过滤规则由一个或多个原语(原子式)组成。原语通常由一个标识(id,名称或数字)和标识前面的一个或多个限定词组成。BPF过滤规则有三种类型的限定词,分别为type、dir和 proto。ty
2020-06-03 10:38:57
897
2
原创 基于网络的入侵检测技术
网络入侵检测分层协议模型与TCP/IP协议TCP/IP协议分层结构数据报文的分层封装以太网帧格式ARP/RARP报文格式IP数据报头格式ICMP回应请求与应答报文格式UDP报文格式TCP报文格式网络数据包的截获是基于网络的入侵检测技术的工作基石。通过捕获整个网络的所有信息流量,根据信息源主机、目标主机、服务协议端口等信息简单过滤掉不关心的数据,再将用户感兴趣的数据发送给更高层的应用程序进行分析。一方面,要保证采用的捕获机制能捕获到所有网络上的数据包,尤其是检测到被
2020-06-02 15:15:11
1962
1
原创 基于主机的入侵检测技术
基于主机的入侵检测技术审计数据的获取审计数据的预处理基于统计模型的入侵检测技术基于专家系统的入侵检测技术基于状态转移分析的入侵检测技术基于完整性检查的入侵检测技术基于智能体的入侵检测技术系统配置分析技术审计数据的获取数据获取划分为直接监测和间接监测两种方法。(1)直接监测——直接监测从数据产生或从属的对象直接获得数据。例如,为了直接监测主机CPU的负荷,必须直接从主机相应内核的结构获得数据。要监测ietd进程提供的网络访问服务,必须直接从 inetd进程获得关于那些访问的数据;(
2020-06-01 09:00:20
2391
原创 入侵检测流程
入侵检测流程入侵检测的过程入侵检测系统的数据源入侵分析的概念入侵分析的模型入侵检测的分析方法告警与响应入侵检测系统的数据源堪于主机的数据源:系统运行状态信息系统记帐信息系统日志(Syslog)C2级安全性审计信息基于网络的数据源SNMP信息网络通信包其他来源应用程序日志文件其他入侵检测系统的报警信息其他网络设备和安全产品的信息入侵分析的概念入侵检测系统是一个复杂的数据处理系统,所涉及到的问题域中的各种关系也比较复杂。从入侵检测的角度来说,分析是
2020-05-31 14:58:34
3867
2
原创 入侵检测系统
入侵检测系统入侵检测系统的基本模型入侵检测系统的工作模式入侵检测系统的分类入侵检测系统的构架入侵检测系统的部署进行入侵检测的软件与硬件的组合便是入侵检测系统入侵检测系统的主要功能包括:监视、分析用户及系统的活动;系统构造和弱点的审计;识别反映已知进攻的活动模式并向相关人士报警;对异常行为模式进行统计分析;对重要系统和数据文件的完整性进行评估;对操作系统进行审计跟踪管理;识别用户违反安全策略的行为。入侵检测系统的建立依赖于入侵检测技术的发展,而入侵检测技术的价值最终要通过实用的入侵检
2020-05-30 08:59:18
2238
原创 入侵方法与手段
入侵方法与手段黑客入侵模型与原理漏洞扫描口令破解拒绝服务攻击缓冲区溢出攻击格式化字符串攻击跨站脚本攻击SQL Injection攻击黑客入侵步骤常见安全威胁口令破解拒绝服务(DoS)攻击缓冲区溢出攻击格式化字符串攻击特洛伊木马网络监听等等主要入侵攻击方法主机渗透攻击方法口令破解漏洞攻击特洛伊木马攻击网络攻击方法拒绝服务攻击IP地址欺骗网络监听其他攻击方法
2020-05-29 22:45:39
1177
原创 入侵检测概述
入侵检测概述网络安全基本概念计算机网络的功能作用是:提供计算机的连通性服务资源共享计算机网络系统的安全威胁主要来自于3个方面:黑客(Hacker)的攻击计算机病毒(Virus)拒绝服务攻击(Denies Of Service, DOS)网络安全的实质保障系统中的人、设备、设施、软件、数据以及各种供给品等要素免遭各种偶然的或人为的破坏或攻击,使它们发挥正常,保障系统能安全可靠地工作 。为了提高网络系统的安全性,需要从多个层次和环节入手,分别分析应用系统、宿主
2020-05-29 15:54:02
2088
原创 攻防世界-Mobile-easyjni-最详细分析
攻防世界-Mobile-easyjni本文首发于博主公众号LISTONE,欢迎关注哦!这个题分析起来逻辑比上个easyjava要简单许多,做题速度快了很多。首先还是用jeb打开,打开后首先看这个配置文件(对于这道比较简单的题来说,不看也可,不过为了培养一下好的习惯,看一下比较好)。打开配置文件后,就找下面这个标签中的 name 属性。然后我们点击那个 dex ,可以看到反编译之后的目录结构了,根据上面那个 name 属性,我们就可以找到主文件。接下来还是分析 onCreate 方法。
2020-05-17 15:27:43
1110
原创 Web缓存投毒对资源导入的不安全处理攻击实践
使用Web缓存投毒来攻击对资源导入的不安全处理一些网站使用unkeyed标头动态生成用于导入资源的URL,例如外部托管的JavaScript文件。在这种情况下,如果攻击者将适当的标头的值更改为他们控制的域,则他们可能会操纵生成的URL指向自己的恶意JavaScript文件。如果包含此恶意URL的响应被缓存,则攻击者的JavaScript文件将被导入并在其请求具有匹配的缓存键的任何用户的浏览器会话中执行。攻击步骤先对浏览器设置bp的代理,然后打开存在漏洞的网站,下面这个就是网站的首页:这时可以在b
2020-05-16 17:18:07
271
原创 Web缓存投毒对多个HTTP头结合攻击实践
Web缓存投毒对多个HTTP头结合攻击实践某些网站容易受到简单的Web缓存中毒攻击。但是,有一些其他网站需要攻击者使用更复杂的攻击,并且仅在攻击者能够操纵多个 unkeyed 输入的请求时才变得脆弱。例如,假设一个网站要求使用HTTPS进行安全通信。为了强制执行此操作,如果收到使用其他协议的请求,则网站会动态生成一个使用HTTPS的自身重定向:GET /random HTTP/1.1Host: innocent-site.comX-Forwarded-Proto: httpHTTP/1.1 3
2020-05-16 17:14:45
467
原创 Web缓存投毒对Cookie处理漏洞攻击实践
Web缓存投毒对Cookie处理漏洞攻击实践Cookies通常用于在响应中动态生成内容。一个常见的示例可能是cookie,它指示用户的首选语言,然后将其用于加载页面的相应版本:GET /blog/post.php?mobile=1 HTTP/1.1Host: innocent-website.comUser-Agent: Mozilla/5.0 Firefox/57.0Cookie: language=zh;Connection: close在此示例中,要求提供博客文章的汉语版本。假设缓存键
2020-05-16 17:09:38
492
原创 Web缓存投毒
什么是web缓存投毒(web cache poisoning)Web缓存投毒是利用Web服务器和缓存的行为,将有害的HTTP响应提供给其他用户。Web缓存投毒分为两个阶段:攻击者必须弄清楚如何从无意中包含某种危险payload的后端服务器引起响应。成功后,他们需要确保将他们的响应缓存起来并随后提供给预期的受害者。有毒的Web缓存有可能成为变成多种不同攻击,利用XSS,JavaScript注入,开放重定向等漏洞的破坏性手段。Web缓存工作原理如果服务器必须分别对每个HTTP请求发送新的响应,
2020-05-16 17:04:42
893
原创 攻防世界-Mobile-easyjava-最详细分析
攻防世界-Mobile-easyjava本文首发于博主公众号LISTONE,欢迎关注哦!这个题说是easyjava,但是我这个菜鸟一点也不觉得easy,花了我2个小时才做出来(我太菜了)。首先就是下载apk,反编译出源代码,说到这里就不得不吐槽一下Android逆向助手这个工具(就是下面这个),它反编译出来的源代码竟然还少函数,导致我看了半天,总觉得少点什么,最后我用jeb反编译之后才发现,Android逆向助手反编译的结果少了一个至关重要的有一个函数调用的函数。言归正传,打开源代码首先看
2020-05-16 10:07:59
1559
3
原创 SQL注入小白入门,大佬请绕道
SQL注入小白入门,大佬请绕道什么是SQL结构化查询语言(Structured Query Language)简称SQLSQL使我们有能力访问数据库什么是SQL注入用户提交的数据可以当作命令被数据库解析执行漏洞示例代码:<?php echo '<h1>欢迎关注LISTONE公众号</h1>'; $name = $_GET['nam...
2020-04-15 16:27:36
408
原创 Anaconda一文实用指南
本文首发于博主公众号LISTONE,欢迎关注哦!Anaconda介绍Anaconda可以便捷获取包且对包能够进行管理,同时对环境可以统一管理的发行版本。Anaconda包含了conda、Python在内的超过180个科学包及其依赖项。Anaconda优点快速安装、运行和升级包及其依赖项。在计算机中便捷地创建、保存、加载和切换环境。如果你需要的包要求不同版本的Python,你...
2020-04-12 20:38:33
220
原创 nmap超快高效扫描端口
今天参加了某单位的风险评估项目,在做风险评估之前需要对目标进行信息收集,我使用msf对两个目标网段做了存活主机探测,之后发现了有70个存活主机,第二步需要对存活主机进行端口扫描,这一步最开始耽误了我不少时间,最后查找各种资料,找到了一种亲测可以极大提高nmap扫描速度的参数设置,在这里分享一下,望在诸君用到之时能有所帮助。下图是实际的扫描...
2020-04-12 20:35:49
9608
3
原创 梭哈Mongodb常用操作
本文首发于博主公众号LISTONE,欢迎关注哦!Mongodb简介Mongodb是一种非关系性数据库(nosql)。MongoDB 是一个基于分布式文件存储的数据库。由 C++ 语言编写。旨在为 WEB 应用提供可扩展的高性能数据存储解决方案。MongoDB 是一个介于关系数据库和非关系数据库之间的产品,是非关系数据库当中功能最丰富,最像关系数据库的。下面是sql与mongodb...
2020-04-12 20:32:23
171
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人