第9章 Linux后门检测

最新推荐文章于 2024-06-18 08:24:53 发布
最新推荐文章于 2024-06-18 08:24:53 发布
阅读量327 收藏
点赞数
文章标签: 算法 机器学习 人工智能
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/lieslyang/article/details/127205793
版权

        本章主要以ADFA-LD数据集为例介绍Linux系统的后门检测,使用特征提取方法为2-Gram和TF-IDF,介绍的分类算法包括朴素贝叶斯、XGBoost和深度学习之多层感知机。

9.1 数据集

        ADFA数据集是澳大利亚国防学院对外发布的一套主机级入侵检测系统的数据集合,被广泛应用于入侵检测类产品的测试。该数据集包括ADFA-LD和ADFA-WD,分别代表Linux系统的数据集和Windows系统的数据集。以ADFA-LD为例,它完整记录了一段时间内的操作系统的系统调用。内核提供用户空间程序与内核空间进行交互的一套标准接口,这些接口让用户态程序能受限访问硬件设备,比如申请系统资源、操作设备读写、创建新进程等。用户空间发生请求,内核空间负责执行,这些接口便是用户空间和内核空间共同识别的 桥梁,这里提到两个字“受限”,是由于为了保证内核稳定性,而不让用户空间程序随意更改系统,必须是内核对外开放的且满足权限的程序才能调用相应接口。

9.2 特征提取

9.3 模型训练与验证

9.3.1 朴素贝叶斯算法

9.3.2 XGBoost算法

9.3.3 深度学习算法之多层感知机

玛丽有只小绵羊
关注
专栏目录
PHP WebSehll 后门脚本与检测工具
悦分享
08-01 1452
PHP是一种动态弱类型语言,参数传递、类型转换、函数调用方式都非常灵活,这给开发者带来开发便利的同时,也给攻击者编写各种畸形恶意代码带来了很多便利,通过翻阅PHP手册
使用rkhunter检测Linux的rootkit
qq_40907977的博客
04-07 2584
转载来源 :使用rkhunter检测Linux的rootkit : https://www.jianshu.com/p/9a5fcd4b236b 介绍 rootkit是Linux平台下最常见的一种木马后门工具,它主要通过替换系统文件来达到入侵和和隐蔽的目的,这种木马比普通木马后门更加危险和隐蔽,普通的检测工具和检查手段很难发现这种木马。rootkit攻击能力极强,对系统的危害很大,它通过一套工具来...
学习笔记(十七):朴素贝叶斯和多层感知机检测Linux后门
盐可
11-20 522
1.数据集使用ADFA-LD数据集 def load_all_files(): import glob x=[] y=[] files=glob.glob("ADFA-LD/Attack_Data_Master/*/*") for file in files: with open(file) as f: lines...
Linux后门***检测
weixin_34290352的博客
10-23 218
rootkit从浅显的层面来讲即一种具有自我隐蔽性的后门程序,它往往被***者作为一种***工具。通过rootkit,***者可以偷偷控制被***的电脑,因此危害巨大。chkrootkit是一个Linux系统下的查找检测rootkit后门的工具。本文将介绍chkrootkit的安装与使用方法。chkrootkit没有包含在官方的CentOS或Debian源,因此我们将采取手动...
通过 GScan 工具自动排查 Linux 系统后门
最新发布
weixin_43822401的博客
06-18 624
GScan 是一个开源工具,专为安全应急响应设计,能够自动监测系统中常见位置,帮助用户识别潜在的安全风险和后门。它支持多种运行环境,包括 CentOS (6、7) 和多种 Python 版本(2.x、3.x)。
Linux后门排查
内心不种满鲜花就会长满杂草
07-12 7859
目录 文件排查 查看历史命令记录 特殊权限文件查找 进程排查 日志排查 入侵检测工具——GScan 文件排查 查看开机启动项,是否存在可疑启动项 systemctl list-unit-files |grep enabled 查看历史命令记录 history|more 或 more /root/.bash_history 当时,当我们执行上面那两条历史命令的时候就会发现,结果不一样,history的内容比history多。因为bash执行命令时不是马上把命令名称写入.bas
检查linux后门- 笔记
收集盒 Book box
04-20 2145
1.rkhunter 安装 wget http://nchc.dl.sourceforge.net/project/rkhunter/rkhunter/1.4.0/rkhunter-1.4.0.tar.gz tar -zxvf rkhunter-1.4.0.tar.gz cd rkhunter-1.4.0 ./installer.sh --install ./rkhunte
linux25000去后门完整端
10-27
【标题】"Linux25000去后门完整端" 涉及的主要知识点是Linux系统的安全性,尤其是针对系统后门检测与清除。在Linux操作系统中,后门通常是指非法用户为了长期控制或监视系统而植入的隐蔽程序。这些后门可能隐藏在...
linux 系统命令被后门修改_一次Linux系统被攻击的分析过程
weixin_39519619的博客
11-06 791
作者:南非蚂蚁 来源:https://urlify.cn/M7NjIvIT行业发展到现在,安全问题已经变得至关重要,从之前的“棱镜门”事件中,折射出了很多安全问题,信息安全问题已变得刻不容缓,而做为运维人员,就必须了解一些安全运维准则,同时,要保护自己所负责的业务,首先要站在攻击者的角度思考问题,修补任何潜在的威胁和漏洞。下面通过一个案例介绍下当一个服务器被rootkit入侵后的处理思路...
rootkit后门检测工具rkhunter
Field_Yang的博客
08-11 2991
rootkit后门检测工具RKHunter 1、关于rootkit rootkit是Linux平台下最常见的一种木马后门工具,它主要通过替换系统文件来达到入侵和和隐蔽的目的,这种木马比普通木马后门更加危险和隐蔽,普通的检测工具和检查手段很难发现这种木马。 rootkit攻击能力极强,对系统的危害很大,它通过一套工具来建立后门和隐藏行迹,从而让攻击者保住权限,以使它在任何时候都可以使用root...
Linux后门入侵检测工具,附bash漏洞解决方法
01-09
一、rootkit简介   rootkit是Linux平台下常见的一种木马后门工具,它主要通过替换系统文件来达到入侵和和隐蔽的目的,这种木马比普通木马后门更加危险和隐蔽,普通的检测工具和检查手段很难发现这种木马。rootkit攻击能力极强,对系统的危害很大,它通过一套工具来建立后门和隐藏行迹,从而让攻击者保住权限,以使它在任何时候都可以使用root权限登录到系统。   rootkit主要有两种类型:文件级别和内核级别,下面分别进行简单介绍。   1、文件级别rootkit   文件级别的rootkit一般是通过程序漏洞或者系统漏洞进入系统后,通过修改系统的重要文件来达到隐藏自己的目的。
系统后门实现及检测技术
09-23
后门实现及检测-jbtzhm.pps,比较详细的介绍后门实现及检测技术
linux+后门+检查工具,Linux后门入侵检测工具.doc
weixin_34932795的博客
05-05 474
Linux后门入侵检测工具Linux后门入侵检测工具安全运维之:Linux后门入侵检测工具,附bash漏洞最终解决方法推荐:10年技术力作:《高性能Linux服务器构建实战Ⅱ》全网发行,附试读节和全书实例源码下载!一、rootkit简介rootkit是Linux平台下最常见的一种木马后门工具,它主要通过替换系统文件来达到入侵和和隐蔽的目的,这种木马比普通木马后门更加危险和隐蔽,普通的检测工具和检...
Linux服务器各种后门查杀
有勇气的牛排博客
03-22 7353
hack再攻击我方服务器的时候,一般都会选择使用kali中的各种扫描工具,或其他自动脚本,对所有路由扫描排查,尤其是 /admin之类的敏感路由,当然大规模扫描也容易在日志中分析出来,访问量统计会非常明显,个人在接触网络安全后,发现很多脚本喜欢扫描php后台项目部署后,如果不是因为基础错误而崩溃的话,往往是被人大规模扫描了。
Linux后门入侵检测方法以及工具
daichenge的专栏
08-11 740
后门程序:rootkit 1. 文件级别 伪装成关键文件,比如login, ls, ps等来获取关键信息,达到获取root密码攻击系统 2.内核级别 伪装成系统内核来攻击,这种方式比较难处理,通常的方式只能是拔网线,重装系统 后门检测工具 1.chkrootkit http://www.chkrootkit.org 2.RKHunter http://www.rootki
Linux常见系统后门排查命令
热门推荐
weixin_45253622的博客
03-03 1万+
Linux常见系统后门排查命令 1、检查异常账号——cat /etc/passwd 通过检查/etc/passwd,查看有没有可疑的系统用户,这个文件是以冒号:进行分割字段,一般我们只要注意第三个字段即可,第三个字段是用户ID,也就是UID,数字0代表超级用户的UID,即这个账号是管理员账号。一般Linux只会配置一个root账号为系统管理员,当出现其他账号是系统管理员的时候,就要注意了,很可能是黑客建立的账号。 2、检查异常登陆 who 查看当前登录用户(tty本地登陆 pts
linux安全及网站后门检测
weixin_33831673的博客
07-13 1338
本文转载自https://www.cnblogs.com/sanduo1314/p/7458415.html一、检查系统日志检查系统错误登陆日志,统计IP重试次数# 这里使用了lastb命令,该命令需要root权限,可以显示所有登陆信息。这里仅仅显示的root用户的,读者可以更具实际情况自行确定,或者直接全部都显示,你会有不一样的收获,每个人的脚本都不一样,更具实际情况自行编...
linux后门分析,浅谈Linux后门技术及实践入侵
weixin_34511324的博客
05-13 294
2、编译程序encode,依次执行得到关键字符串与magic串异或后的结果,例如原始login的文件名/sbin/xlogin,经过异或后为:\x5e\x14\xf\x13\xb\x4e\x2\x1d\x8\xa\x13\xb3、在后门源代码中这样定义:Charlogin[]="\x5e\x14\xf\x13\xb\x4e\x2\x1d\x8\xa\x13\xb";然后插入异或函数char *de...
[KeyarchOS]Chkrootkit后门检测工具的安装
KeyarchOS的博客
09-13 3079
chkrootkit是一种开源工具,旨在帮助检测 Linux 系统中是否存在 rootkit 和恶意软件。rootkit 是一种用于隐藏恶意活动的恶意软件,它能够有效地掩盖自身和其他恶意行为,使攻击者可以在受感染的系统上保持持久的访问权限。它通过搜索常见的 rootkit 文件和代码,包括 Linux 内核模块 (LKM) 和用户空间 rootkit,来识别潜在的威胁。当 chkrootkit 扫描完成后,它会生成一个报告,列出任何被发现的可疑文件、隐藏进程和异常端口等。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值