penriver的博客

SecGPT 网络安全大模型探索使用网络安全知识训练大模型，能达到怎样的能力边界。SecGPT的愿景是将人工智能技术引入网络安全领域，以提高网络防御的效率和效果。其使命是推动网络安全智能化，为社会提供更安全的数字生活环境。SecGPT可以作为基座安全模型，用于探索各种网络安全任务。以下是对SecGPT在网络安全任务中可能应用的进一步探讨

搜索引擎高级用法总结: 谷歌、百度、必应

网络安全拟态防御技术是一种基于生物拟态原理，利用动态异构冗余构造、拟态伪装机制、测不准效应等手段，实现网络空间的主动防御和内生安全的技术。它是由中国工程院院士邬江兴首创的，旨在应对网络空间中的各种未知威胁，提高网络安全防御的效率和效果。

通过网络层面基于网络流量开展基于情报的威胁监测是建设本地威胁情报中心的核心能力之一。驱动威胁检测设备或系统的核心是数据、规则、模型和人员，它们是整个系统的灵魂，没有这些，网络流量威胁监测系统就没有什么卵用。监测系统的整体架构的核心理念包括如下几点：实时流量检测与全量历史元数据异步检测结合，共享同一个元数据事实池，允许安全厂商进行背对背的基于私有情报的检测，多源数据采购和效果比较评价，必须的安全运营人员投入，高投入占比的数据和运营的安排。

在JAVA中如何判断一个IP地址是否在一个IP地址段?并且要支持IPv4、IPv6？IPv6的简写、全写如何进行转换？如何获取IPv6地址段的开始、结束范围？如果你针对这些问题有疑问，请看这篇文章吧

虽然ClickHouse针对IP地址专门提供了2个字段类型,但目前ClickHouse提供的IP相关的函数，接受的参数基本上是String或UInt32 类型，只有cutIPv6(x, bytesToCutForIPv6, bytesToCutForIPv4)、IPv4CIDRToRange(ipv4, Cidr)、IPv6CIDRToRange(ipv6, Cidr)，所以测试时统一使用String类型存储ip本文提供测试相关的建表语句、初始化数据及测试使用的SQL语句

tshark是wireshark的命令行版本，不需要额外安装本文针对tshark常用及高级参数使用进行讲解

用在IPv4头部和IPv6头部的下一首部域的IP协议号列表

Wireshark提供两种过滤器，一种是捕获过滤器（Capture Filters），另一种是显示过滤器（Display Filters），两者的主要区别在于它们的应用范围和时间。本文针对为什么Wireshark设计2种过滤器，两种过滤器的区别 及使用方法进行阐述。

DNS是一套分布式的域名服务系统。每个DNS服务器上都存放着大量的机器名和IP地址 的映射，并且是动态更新的。DNS除了提供主机名到IP地址转换外，还提供如下服务：主机别名、邮件服务器别名、负载分配等本文针对DNS相关的概念、协议报文结构 及如何抓取DNS报文进行介绍，让你理解DNS协议、DNS的查询方式及报文结构。

根据 [网络安全系列-四十三:使用Suricata分析恶意流量pcap文件](https://blog.csdn.net/penriver/article/details/127988457)一文，你可以使用Suricata针对恶意流量pcap进行分析，产生eve.json的分析结果， 那如何针对这些分析结果进行可视化展示呢?本文使用Filebeat的suricata 模块读取eve.json分析结果并写到elasticsearch，最后由kibana进行可视化展示

本文基于[网络安全系列-三十六:使用Suricata IDS分析pcap文件]和 [网络安全系列-四十二: Suricata之rulesets的激活、更新及动态加载]的基础上，使用suricata针对包含恶意流量的pcap文件进行分析，触发事件告警，并对suricata输出的日志进行逐个分析，让你掌握针对恶意流量的分析步骤，及怎么查看suricata输出的日志。

Suricata之rulesets的激活、更新及动态加载

有了待分析的pcap文件，如何针对pcap文件进行可视化展示，并对pcap文件中的流进行各种查询分析，查看联通图等？本文基于arkime，来讲解如何基于docker快速搭建环境，并可视化pcap文件进行分析。

Sruciata由线程、线程模块、队列组成。- 数据包在线程间传递通过队列实现，线程由多个线程模块组成，每个线程模块实现一种功能- 一个数据包可以由多个线程处理，数据包将通过队列传递到下一个线程。包每次由一个线程处理，但是引擎可以同时处理多个包- 一个线程可以有一个或多个线程模块，如果包含多个模块，那么一次只能激活一个模块工作。线程、模块和队列的排列方式称为运行模式每一种运行模式都会初始化一些threads，queues等。模式的具体任务是由线程模块来完成

SELKS是一个基于debian的免费开源IDS/IPS/网络安全监控平台，是基于网络的高性能威胁检测和响应系统，由Stamus Networks根据GPLv3发布！[github地址](https://github.com/StamusNetworks/SELKS)SELKS可以在任何Linux或Windows操作系统上通过docker组合安装。安装之后，就可以使用开箱即用的解决方案了。本文针对开源IDS/IPS/网络安全监控平台SELKS进行docker部署，并对碰到的问题进行总结

CyberChef是英国情报机构政府通信总部（GCHQ）发布了一款新型的开源Web工具，为安全从业人员分析和解密数据提供了方便。GCHQ一般指英国政府通讯总部。 英国政府通讯总部是英国秘密通讯电子监听中心，相当于美国国家安全局。缩写为GCHQCyberChef是一款简单、直观的WEB应用程序，支持在浏览器中进行各种“网络”操作。本文针对CyberChef进行介绍，使用docker进行部署，然后提供3个使用示例： 使用CyberChef分析powershell、char型恶意脚本、Webshell脚本

渗透中 PoC、Exp、Payload、RCE、IOC，Shellcode 的区别

本文基于pandas, scapy等技术，根据数据包中的TCP、IP的通用信息，对PCAP数据包进行探索性分析

解析pcap文件中的http请求并转化为curl请求命令

Suricata是一款高性能、开源的网络分析和威胁检测软件.Suricata(稳定)版本为6.0.8;该版本于2022年9月27日发布。本文讲解如何使用Suricata IDS分析pcap文件，并针对分析的结果进行分析

公开的用于网络流量分析的pcap文件，使用这些pcap文件，可以做一些简单的网络流量、攻防分析。

随着万物互联时代的到来- 联网设备的种类更加丰富（工业控制设备、传感器、监控设备）- 开发平台更加多样，甚至可以DIY自己的物联网设备- 设备数量众多，单一漏洞往往能控制数以万计的设备- 针对（物）联网设备的攻击更加频繁、危害更加广泛- 迫切需要提出更加有效、准确的识别方法基于网络流量的设备识别越来越难。设备识别的发展历程是：基于专家规则 --> 使用机器学习分类（朴素贝叶斯与随机森林）--> 自动化的规则生成

流量层与主机侧是网络攻击的核心场景和目标。流量层：网络交互产生的流量及数据，主机侧：硬件、服务器、系统、中间件等。本文围绕流量层及主机侧的网络安全产品，详细介绍EDR、NDR、XDR 、HIPS、NIPS、NTA、DPI、DFI、南北流量、东西流量这些名词，让你分得清，并熟悉对应的应用场景............

红队（Red Team)是安全团队最大化模仿真实世界里的入侵事件，包括入侵者的战术技术流程（TTPs)，检验蓝队（Blue Team)的威胁检测及应急响应效率，帮助企业或政府提高整个安全建设及安全运营能力。红队产生的背景- 红队产生的背景主要是全球网络空间安全威胁加剧- 新型IT基础设施带来的新挑战- 传统安全技术与管理应对乏力

CALDERA™是一个网络安全平台，旨在轻松自动化对手模拟，协助手动红队，并自动化事件响应。它建立在MITRE ATT&CK™框架上，是MITRE的一个活跃的研究项目。CALDERA™框架由两个部分组成:- **核心系统**：框架代码，包括一个带有REST API和web界面的异步命令与控制(C2)服务器。- **插件**: 扩展了核心框架功能，并提供了额外的功能。示例包括代理、报告、TTPs 集合等。本文在kali系统中，搭建CALDERA环境，用于学习............

Intelligence 情报：一种有用的信息，通常需要被搜集、处理、分析、协助决策者做出正确行动CI: Cyber Intelligence 网络空间情报CTI: Cyber Thread Intelligence 网络威胁情报，在当前激烈的网络攻防态势下，通常是研究CTI网络战的本质就是情报战，情报贯穿于整个网络攻防周期，谁掌握了情报，谁就占据主动权本文针对网络情报原理进行讲解，并对情报侦侦察中用到的技术、工具、资源进行讲解......

官方提供了Kali Linux Docker Images，如何使用参见：[using-kali-docker-images](https://www.kali.org/docs/containers/using-kali-docker-images/)本文基于官方文档及网上资料，在Windows 10 家庭中文版上安装了Kali Linux Docker Images，并修改了国内更新源，安装了必备的软件如vim、net-tools、python3，安装kali 工具......

2022 年 6 月 6 日，IETF（互联网工程任务组）宣布了 HTTP/3 标准，编号为 RFC 9114。目前 RFC 9114 HTTP/3处于 “提案标准 (PROPOSED STANDARD)” 状态，尚未成为正式标准。HTTP/3 即 HTTP-over-QUIC，是采用了 QUIC 进行传输的新 HTTP 协议。目前还没有浏览器或服务器提供官方支持，尽管行业和官方机构投入了大量资源，也不能保证它会成为事实上的标准。然而，在HTTP3快速发展时，这个领域的发展绝对值得关注。......

最近读了奇安信威胁情报中心 于2019年出版 的《透视APT 赛博空间的高级威胁》，针对APT终于有了一个清晰的理解。APT攻击，可以突破物理隔离，能获取政府、企业的敏感情报信息和文件，甚至能够对现实世界产生破坏性影响，如一些APT攻击工业控制系统，造成工业系统大范围的破坏。网络空间已经成为海、陆、空、天之外 的第五空间，APT攻击是网络空间面临的严重威胁。这本书介绍了近年来影响较大的APT攻击事件，并对APT手段和工具等进行了详细解读，适合作为网络安全人员的入门读物。...

AS 自治系统：Autonomous System ，有时也被称为是一个路由选择域（routing domain）ASN 自治系统号 : Autonomous System Number ： 是由IANA分配给自治系统AS (Autonomous System)的唯一编号。BGP 边界网关协议：运行在2个AS的边界设备上，用于在2个AS之间的有限互通通过互联网发送的数据包将从一个自治系统到另一个自治系统，直到它们找到包含它们被发送到的IP地址的系统。然后由自治系统内的路由器将数据包路由到目的IP地址.

pkts.io是一个用于读写pcaps的纯Java库。它的主要目的是操作/分析现有的pcaps，允许您围绕pcaps构建各种工具。目前使用JAVA解析Pcap的第三⽅库有Pcap4j、JnetPcap等，这两个库需要调⽤Native代码，window下运⾏需要dll⽂件，linux下需要so包，跨平台特性不是很好推荐使⽤io.pkts来解析Pcap文件，使⽤起来⾮常⽅便且跨平台特性本文提供基于pkts.io解析pcap文件，生成网络报文的基本信息：五元组及上层应用的payload信息。...

本文提供各种IP地理定位数据库的下载地理，并对GeoLite2数据库重点介绍，并提供使用示例。GeoLite2 是免费的IP地理位置数据库，比商业版的MaxMind’s GeoIP2 数据库的精度要低，针对国家、城市和ASN数据每周更新。GeoLite2数据库的经纬度存在一定的误差，通过IP转换成的经纬度与真实地址相比较有些偏差，但是GeoLite2可以离线使用，而且数据信息很丰富。......

在Linux里，pcap是一种通用的数据流格式，是用于保存捕获的网络数据的一种非常基本的格式。很多开源的项目都使用这种数据格式，如wireshark、tcpdump、scapy、snort本文针对pcap的文件格式进行详解，并提供读取pcap文件的源代码示例

HTTP/2（超文本传输协议第2版，最初命名为HTTP 2.0），简称为h2（基于TLS/1.2或以上版本的加密连接）或h2c（非加密连接），是HTTP协议的的第二个主要版本，使用于全球WEB网站。HTTP/2是HTTP协议自1999年HTTP 1.1发布后的首个更新，主要基于SPDY协定。HTTP/2 仍是对之前 HTTP 标准的扩展，而非替代。HTTP 的应用语义不变，提供的功能不变，HTTP 方法、状态代码、URI 和标头字段等这些核心概念也不变.本文针对HTTP 2.X协议进行讲解。

https: 全称是Hyper Text Transfer Protocol over SecureSocket Layer，是以安全为目标的 HTTP 通道，在HTTP的基础上通过传输加密和身份认证保证了传输过程的安全性。本文针对https的交互过程进行详解，并讲解如何使用wireshark实时解密TLS报文

BPF 一种抓取并过滤网络数据包（capture and filter packet）的内核结构(kernel architecture)。BPF包含2个重要的组成部分：网络分流器（network tap）和包过滤器（packet filter）。网络分流器负责从网络驱动拷贝数据包，而包过滤器则过滤掉不符合条件的数据包，只把符合需求的数据包上报给应用程序。基本上所有的抓包工具的过滤底层都是基于BPF实现的。本文介绍什么是BPF,BPF主要解决什么问题，什么程序使用BPF，BPF的设计及设计约束，最后

STIX（Structured Threat Information Expression）是一种用于交换网络威胁情报的语言和序列化格式。STIX由 OASIS的CTI TC 进行维护。本文首先介绍什么是STIX，然后介绍STIX的使用场景、核心概念、SDO及其关系，最后提供STIX的使用示例

本文针对常用网络协议的报文结构进行讲解，并提供报文示例数据链路层协议: 以太网数据帧、ARP协议、PPP协议、PPPoE协议；网络层的协议: IP协议；传输层的协议：TCP协议、UDP协议、ICMP协议各位觉得有什么其它常用网络协议，请提出，我再补充进来

Pcap4J是一个用于捕获、生成和发送数据包的Java库。Pcap4J通过JNA封装了一个本地包捕获库(libpcap、WinPcap或Npcap)，并为您提供了面向java的api。本文基于Pcap4J读取pcap包内容，并把二进制的packet转换为byte,hex,ascii形式，转换结果与wireshark一致