流量分析
文章平均质量分 90
流量检测、分类和分析
Keep-fight
这个作者很懒,什么都没留下…
展开
-
USENIX2022 FOAP 细粒度app流量识别
FOAP: Fine-Grained Open-World Android App Fingerprinting开放世界的app指纹细粒度识别,其中第一开放世界是指对新类别的app进行识别,第二细粒度指的是对app内部特定UI操作的识别。1、Workflow of FOAP识别方法级别的用户操作从加密流量的开放环境中训练阶段:1、网络流打标签自动或者手动运行app,收集app的流量,也就是日志(采集的截图代码日志等)和pcap文件首先需要确定一条网络流是否来自app,这样就打上应用级别的标签,原创 2022-02-17 18:50:07 · 1123 阅读 · 1 评论 -
通过加密的网络流量窃听智能手机应用程序中细粒度的用户活动
Eavesdropping on Fine-Grained User Activities Within Smartphone AppsOver Encrypted Network Traffic通过加密的网络流量窃听智能手机应用程序中细粒度的用户活动整个论文立意,以此为主,以分类用户活动算法为主,收集方式为辅助一、摘要高度智能的app是以隐私为代价的,被动的窃听者例如在无线网络上识别细粒度的用户活动通过网络流量。仅通过IP包头和元数据。尽管被广泛加密,即每个应用程序的高度特定(定制)的实现会在原创 2022-01-05 14:45:15 · 2737 阅读 · 0 评论 -
HTTPS协议详解
HTTPS协议详解HTTPS 的实现原理HTTPS 协议相关的概念有 SSL 、非对称加密、 CA证书等,但对于以下灵魂三拷问可能就答不上了:为什么用了 HTTPS 就是安全的?HTTPS 的底层原理如何实现?用了 HTTPS 就一定安全吗?大家可能都听说过 HTTPS 协议之所以是安全的是因为 HTTPS 协议会对传输的数据进行加密,而加密过程是使用了非对称加密实现。但其实,HTTPS 在内容传输的加密上使用的是对称加密,非对称加密只作用在证书验证阶段。HTTPS的整体过程分为证书验证和转载 2021-03-17 14:25:52 · 142 阅读 · 0 评论 -
TLS/SSL详解课堂笔记
TLS\SSL详解TLS协议是IETF将SSL协议的进一步标准化 , 采纳为国际标准基本上,SSL 3.0等于TLS 1.0SSL、TLS基于PKI技术的、提供机密性、鉴别、完整性的具体解决方案安全通道是透明的,独立于应用层;传输层采用TCP,提供可靠业务作为一个中间层,应用程序只要采用SSL提供的一套SSL套接字API来替换标准的Socket套接字,就可以把程序转换为SSL化的安全网络程序,在传输过程中将由SSL协议实现数据机密性和完整性的保证,如HTTP+SSL---->HTTPSSSL原创 2021-03-17 14:23:57 · 454 阅读 · 0 评论 -
流量处理及分析工具
流量处理及分析工具1、pkt2flow:A simple utility to classify packets into flows.地址:https://github.com/caesar0301/pkt2flow优点:使用C写的分流工具,速度很快,但是仅限于split flow,可以使用多线程提高效率缺点:当文件格式或其他问题出现未报错,不易发现错误。使用方式:Usage: ./pkt2flow [-huvx] [-o outdir] pcapfile Options: -h pr原创 2021-07-19 16:03:55 · 2870 阅读 · 0 评论 -
HTTPS\TLS协议过程的详细补充
HTTPS\TLS协议过程的详细补充目录HTTPS\TLS协议过程的详细补充1、TCP三次握手准备阶段:第一次握手:第二次握手:第三次握手:总结2、TLS/SSL 握手阶段一Client Hello阶段二Server Hello阶段三Certificate阶段四Server Key Exchange阶段五Server Hello Done阶段六Client Key Exchange阶段七3、TLS/SSL数据传输Application DataEncryted Alert4、四次挥手第一次挥手:第二次挥手原创 2021-05-08 15:48:16 · 1928 阅读 · 0 评论 -
DNS隧道特征
传统基于UDP DNS Tunnel特征1、DNS攻击建模密集请求型:例如随机子域名DDoS、反射型DDoS。其特征为QPS高、时序特征强,一般能够可视化观察到波峰。漏洞攻击型:例如针对DNS server的已知漏洞攻击。其特征为数量少、受DNS type影响,适合分类统计。如果批量PoC的话,则特征同1。数据传输型:例如DNS Tunnel、Malware DGA、PoC中的DNS回显、SSRF重绑定等。其特征在于域名文本特征明显、适用于规则匹配。将DNS日志的Request和Respons转载 2021-04-01 20:31:31 · 730 阅读 · 0 评论 -
Linux cooked capture v1 层的处理
Linux cooked capture v1 层的处理1、问题由来:在Mal_DoH的数据集中发现一部分数据不能够经由pkt2flow 处理成流级数据文件,经由wireshark查看,遇到一层未知数据,导致pkt2flow程序运行出错,但是未提示报错就很离谱,这个工具还不是很完善,需要下一步改善。2、问题分析为何链路层名称为linux cooked capture?而不是Ethernet Ⅱ因为包是在linux中使用tcpdump,且指定参数-i any来捕获设备上所有网卡上的包。它会把所有包原创 2021-03-31 21:18:19 · 3966 阅读 · 1 评论