![](https://img-blog.csdnimg.cn/20201014180756913.png?x-oss-process=image/resize,m_fixed,h_64,w_64)
调研
Memories off
告别回忆
展开
-
多步攻击发现方法研究现状调研
目标已有一些单步攻击,寻找这些单步攻击中可能包含的多步攻击链. 看看有没有能够参考的多步攻击发现方法. 总结分类.背景知识网络攻击过程分析和归纳已发生的网络攻击事件发现,网络攻击行为主要包括目标系统探测分析、实施攻击和踪迹隐藏。据此,对网络攻击方法进行层次化分类,大体可分为目标探测、漏洞扫描、权限获取、提升权限和踪迹隐藏。整个攻击过程的关键阶段是锁定目标和获取权限阶段。一旦攻击者锁定目标获...原创 2019-12-12 19:56:45 · 1077 阅读 · 0 评论 -
知识图谱基本概念梳理
《知识图谱技术综述》整理知识图谱基本概念前言部分知识图谱的定义和架构知识图谱的定义知识图谱的架构知识图谱的逻辑结构知识图谱的体系架构知识图谱的关键技术知识抽取知识表示知识融合知识推理参考文献知识图谱基本概念前言部分“Web 1.0”时代:以文档互联为主要特征“Web 2.0”时代:以数据互联为主要特征“Web 3.0时代”:基于知识互联(尚未到来)知识图谱的定义和架构知识图谱的定义...原创 2019-02-27 11:32:59 · 9499 阅读 · 0 评论 -
论文阅读笔记:一种用于网络异常探测的图分析方法
文章目录摘要介绍摘要调研文章1。本文介绍称为GraphPrints的图分析方法,该方法可用于探测网络流量中的异常。介绍当前主要依靠两种方法来保护网络资产:其一,基于签名的自动探测系统(automated signature-based detection systems),例如反病毒软件、入侵检测系统、防火墙(但这些方法只在碰见曾经出现过的攻击时才有效);其二,人工分析网络数据(manu...原创 2019-03-29 11:01:56 · 834 阅读 · 0 评论 -
STUCCO本体调研
根据demo版本提供数据判断,本体如下:根据demo的虚拟机中的stucco_schema.json判断,本体如下:尝试自己设计本体,从网络安全知识出发,逐步完善。进一步考虑网络安全资产。修改如下:考虑结合最近才买的《网络空间安全防御与态势感知》这本书,对上图作进一步修改。待续。...原创 2019-04-09 10:51:00 · 570 阅读 · 0 评论 -
信息安全四大顶会
IEEE Symposium on Security and Privacy (Oakland)Usenix Security SymposiumACM Computer and Communications Security Conference (CSS)Symposium on Network and Distributed System Security (NDSS)转载 2019-07-23 16:32:00 · 8732 阅读 · 4 评论 -
中期考评调研
问题想解决的或者是要解决的问题Q1:我用关系型数据库构建的“知识图谱”,怎样利用“知识图谱”的分析能力?Q2:在利用“网安知识图谱”的前提下,怎样做“告警关联”?多找找告警关联的资料。Q3:对计算机网络进行建模很重要,弄一个怎样的模型呢?...原创 2019-08-05 10:26:50 · 124 阅读 · 2 评论 -
C++知识点扫盲
怎么设计一个内存池,要考虑哪些方面new和 malloc区别,new都有哪几种,区别malloc的管理内存的方式,内部的结构,通过哪些系统调用nullptr和NULL区别lambda捕获对象的实现默认拷贝,拷贝赋值是浅拷贝还是深拷贝,讲一下 operator=()的一个过程,在C++11内怎么避免这个问题Dynamic_cast怎么实现的,一个没有虚函数的对象使用dynamic_ca...原创 2019-08-05 16:27:47 · 160 阅读 · 0 评论 -
zeek基本事件
base/bif/event.bif.bro原文链接这里列举独立于协议的事件(部分与TCP和UDP有关)。OS_version_found 当发现操作系统时产生,与p0f有关anonymization_mapping 匿名映射?deprecated,不知道什么意思bro_done bro脚本执行结束bro_init bro脚本开始执行bro_script_loaded 脚...原创 2019-08-30 11:26:30 · 744 阅读 · 0 评论 -
开题调研
网络安全知识图谱和态势预测调研简单记录考虑方向参考资料调研简单记录信息库中的实体名称、关系名称=》三元组形式结构化知识的框架=》构建图数据库知识图谱的数据来源?不能过于单一。比如,网络安全知识图谱的数据来源有:1、入侵检测系统2、防火墙3、安全扫描器一个标准的命名实体识别工具:Open Calais可以提取与网络安全相关的实体与概念知识推理:1、基于符号的推理(传统命题...原创 2019-01-08 16:57:37 · 448 阅读 · 0 评论 -
使用bro收集主机的基本信息
目录收集主机基本信息的日志:获取ip地址和mac地址的序偶: 获取主机操作系统信息:获取主机名信息:获取用户名信息:调研要求:根据zeek中的事件处理尝试获取主机的用户名、主机名、mac地址、操作系统、IP地址等zeek就是bro了。这里的用户名还不太清楚是什么意思(可能从telnet着手)。主机名很好理解,在ubuntu系统中,可以用hostname指令查看主机名...原创 2018-12-20 16:36:24 · 953 阅读 · 0 评论 -
使用bro脚本记录网络中的ftp流量
最近才注意到bro更名为zeek了,官网上有说明,貌似是因为bro有不太好的含义。bro官网上提供了一个探测ftp暴力破解进行登录的例子。该例子中把所有突破阈值的可疑主机记录了下来(这些主机多次尝试登录某个ftp服务器,很不幸,它们登录失败了很多次,被改脚本记录为可疑的主机并通过NOTICE框架写到了notice.log中)。下面是我尝试用bro写的一个简单的例子,有对logging,su...原创 2018-12-12 17:33:13 · 1167 阅读 · 3 评论 -
bro简介
开源的被动流量分析器支持在安全域之外进行大范围的流量分析(性能评估和错误定位)部署bro之后,站点可以获得一个非常详细的记录网络行为的日志文件(所有线路上可见的每个连接,应用层传输如http会话以及请求的url,关键头,mime类型,dns请求和回应,ssl证书,smtp会话的关键内容等)。Bro还有强大的内建函数来完成分析和检测任务,比如从http会话中抽取文件,检测恶意软件,报告脆...翻译 2018-10-11 16:49:13 · 2087 阅读 · 0 评论 -
bro框架-- 文件分析
原文地址:https://www.bro.org/sphinx/frameworks/file-analysis.html文件分析(File Analysis)文件分析框架(FAF)为文件相关的信息提供了一个一般的表示形式。文件生命周期事件(File Lifecycle Events),在一个文件的生命周期中有file_new, file_over_new_connection, ...翻译 2018-10-11 16:50:56 · 1178 阅读 · 0 评论 -
bro框架-- 地理定位
原文地址:https://www.bro.org/sphinx/frameworks/geoip.html在处理策略脚本的时候可能需要知道一个ip地址所在的地理区位。Bro支持GeoIP库。为了使用这个功能,您需要先安装libGeoIP软件,并在构建Bro之前安装GeoLite city数据库。安装libGeoIP:在构建Bro之前需要安装libGeoIPFreeBSD:s...翻译 2018-10-11 16:51:50 · 329 阅读 · 0 评论 -
bro框架-- 情报框架
原文地址:https://www.bro.org/sphinx/frameworks/intel.html情报框架(Intelligence Framework)介绍情报数据对以安全为目标的监视过程来说很重要。总是会有在事件回应过程中发现的数据,也有由私有团体所有的数据。Bro的情报框架的目标是消费数据,让它们可以用作匹配,并为改进性能、内存使用提供基础(易于实现)。情报框架中的数据是一...翻译 2018-10-12 10:50:15 · 530 阅读 · 0 评论 -
bro框架-- 日志框架
原文地址:https://www.bro.org/sphinx/frameworks/logging.html日志框架(Logging Framework)Bro有一个灵活的基于键值的日志接口,这个接口允许对日志记录了什么内容以及是如何记录的进行细致的控制。本文描述了如何定制及拓展日志。术语(Terminology)Bro的日志接口主要是基于三种抽象之上的。流(Streams):...翻译 2018-10-12 19:52:57 · 1290 阅读 · 0 评论 -
bro框架--通知框架
原文地址:https://www.bro.org/sphinx/frameworks/notice.html#extending-notice-framework定制Bro的最简单的方法之一就是写一个本地通知策略。Bro可以探测出很多有趣的情形,通知策略可以挂钩某种情形(用户想要通过某种方式进行操作)。特别是,通知策略可以指定要采取的操作,例如发送邮件或编译常规警报邮件。本文介绍了怎样写通知策...翻译 2018-11-29 19:10:21 · 711 阅读 · 0 评论 -
bro框架--签名框架
原文地址:https://www.bro.org/sphinx/frameworks/signatures.htmlBro主要依赖它的可扩展的脚本语言来定义和分析探测策略。此外,Bro也提供了一种独立的可用于低层次的,snort风格的模式匹配的签名语言。尽管Bro不是很喜欢把签名作为惯用探测工具,但签名易于上手且更容易为那些熟悉别的网络入侵检测系统的人员所使用。本文就Bro的签名和一些相关技巧...翻译 2018-11-30 16:01:24 · 649 阅读 · 0 评论 -
bro框架--网络控制框架
原文地址:https://www.bro.org/sphinx/frameworks/netcontrol.htmlBro可以通过使用网络控制框架和网络设备连接(比如交换机,软、硬件防火墙)。网络控制框架对活动的响应(active response)提供了一个灵活、统一的接口,并将复杂的异构网络设备(heterogeneous network equipment)隐藏到一个面向任务的API(一...翻译 2018-11-28 17:16:25 · 1345 阅读 · 1 评论 -
bro框架--统计数据
原文地址:https://www.bro.org/sphinx/frameworks/sumstats.html概述(overview)Sumstat处理流程可以分为三个部分。观察(Observations),观察事件的某些方面并将(观察所得信息)回馈给Sumstats框架。缩减(Reducers),在此处会收集观察所得信息并对度量这些信息(一般是通过获取统计数据,比如平均值、方差)。统...翻译 2018-12-12 16:24:48 · 546 阅读 · 0 评论 -
关于metric
以前在学计算机网络的时候经常见到这个词,大概是测量尺度的意思。比如在网络中,衡量主机之间的关系的metric就可以是跳数。后来在软件工程中也看到了这个词,这里是衡量软件安全程度的尺度。Metrics are a quantitative indicator of the degree to which a system component or processes possess a gi...原创 2018-08-12 20:35:56 · 2613 阅读 · 0 评论