- 博客(282)
- 资源 (13)
- 收藏
- 关注
转载 【转】软件成分分析(SCA)完全指南
软件成分分析(SCA)是查找开源软件包中的漏洞并学习如何修复它们的最佳选择,确保代码和应用程序处于安全状态。
2023-01-27 08:59:01 1351 2
转载 【转】GitHub加速神器—Watt Toolkit
Watt Toolkit」是一个开源跨平台的多功能 Steam 工具箱。它是由江苏蒸汽凡星科技有限公司开发与维护的(GNU)自由开源软件,采用GPL v3开源协议同时发布于Github及Gitee。
2024-09-23 09:19:49 21
转载 【转】什么是数据安全治理?
发展数字经济、加快培育发展数据要素市场,必须把保障数据安全放在突出位置。这就要求我们着力解决数据安全领域的突出问题,有效提升数据安全治理能力。随着数据安全监管要求逐渐落地,组织数据安全治理动力明显攀升,数据安全技术及服务供给不断释放。整体来看,数据安全治理进入快速发展阶段。本章将解析数据安全治理概念内涵,分析数据安全治理要点。
2024-09-20 16:38:44 91
转载 【转】一文搞懂训练和推理(Training vs Inference)
(Training) 是通过大量数据优化模型参数以学习数据特征的过程,而(Inference) 则是利用训练好的模型对新数据进行高效准确的处理以得出结论的过程。
2024-09-19 08:16:16 23
转载 【转】网络安全创新技术方向
GAN、CLIP、Transformer、Diffusion、预训练模型、多模态技术、生成算法等技术的累积融合,催生了AIGC的爆发。
2024-09-06 10:37:38 40
转载 【转】Redis缓存击穿、缓存穿透、缓存雪崩原理以及多种解决方案
作为缓存的 Redis 扛住了系统中大量的请求,极大的减小了数据库的压力。但是当流量很大、高并发时,倘若Redis 没能扛住,便会导致缓存击穿、缓存穿透、缓存雪崩。
2024-09-05 10:44:37 151
转载 【转】大模型的安全风险及应对建议
从认知应用到信息应用、物理应用,大模型应用的深度和广度不断扩展,正在发展成为人类价值观和知识的重要载体,以及认知和决策的重要基础设施。
2024-08-21 17:25:09 78
转载 【转】网络安全等级保护系统定级流程与示例
本文详细阐述了信息系统安全等级保护的定级流程,包括初步定级、专家评审等步骤,并以XX医院HIS系统为例,通过业务信息安全和系统服务安全等级的确定,最终将其安全保护等级定为第三级。同时,文中给出了各行业的定级指导意见。
2024-08-04 14:13:33 73
转载 【转】实时检出率仅19%,SIEM还是网络威胁处理的“瑞士军刀”吗
实际测试结果显示,虽然这些SIEM系统能够提供组织日常安全运营所需的87%数据信息,但在实时检测攻击威胁方面的表现却非常不容乐观。
2024-08-03 15:49:40 44
转载 【转】盘点:常见UDP反射放大攻击的类型与防护措施
Memcached支持UDP协议的访问请求,并且默认也会将UDP端口11211对外开放,因此攻击者只需要通过快速的端口扫描,便可以收集到全球大量没有限制的Memcached服务器,随后攻击者只需要向Memcached服务器的UDP:11211端口,发送伪造为源IP的攻击目标IP地址的特定指定请求数据包,服务器在收到该数据包后,会将返回数据发送至攻击目标的IP地址。
2024-07-19 19:54:05 151
转载 Nmap支持的TCP / IP 系统指纹识别方法
本文所述的各种测试的结果,对应nmap里面自带的一个系统指纹数据库nmap-os-db中的每一项,装好nmap后可以自己去找找看。
2024-07-19 09:18:03 183
转载 【转】国密SSL协议与标准TLS协议的区别
国密SSL协议包括握手协议、密码规格变更协议、报警协议、网关到网关协议和记录层协议。握手协议用于身份鉴别和安全参数协商;密码规格变更协议用于通知安全参数的变更;报警协议用于关闭通知和对错误进行报警;网关到网关协议用于建立网关到网关的传输层隧道;记录层协议用于传输数据的分段、压缩及解压缩、加密及解密、完整性校验等。
2024-07-18 19:11:27 109
转载 【转】详解 HTTPS、TLS、SSL、HTTP区别和关系
HTTPS,也称作HTTP over TLS。TLS的前身是SSL,TLS 1.0通常被标示为SSL 3.1,TLS 1.1为SSL 3.2,TLS 1.2为SSL 3.3。
2024-07-18 18:25:03 185
转载 [转]美国多措并举加强人工智能安全风险管控研究
本文系统研究了美国加强人工智能安全风险管控的背景动因、具体管控措施,就美国的做法进行了进一步分析,希望为我国推进人工智能技术应用提供借鉴参考。
2024-06-27 16:20:13 128
转载 【转】数百种PC和服务器型号可能会受到CVE-2024-0762的影响
Phoenix Technologies在 5 月份发布的公告中解决了该漏洞,确认在 Alder Lake、Coffee Lake、Comet Lake、Ice Lake、Jasper Lake、Kaby Lake、Meteor Lake、Raptor Lake、Rocket Lake 和 Tiger Lake 等英特尔处理器系列上运行的 SecureCore 固件受到影响。UEFI 固件是现代设备上最有价值的代码之一,任何代码被攻破都可能让攻击者完全控制设备并驻留在设备上
2024-06-23 07:06:39 118
转载 【转】《攻击面管理技术应用指南》报告发布及代表性厂商推荐
云计算的快速应用和远程办公方式的兴起,使得现有的联网架构出现更多安全盲点,企业组织的网络攻击面迅速扩大。然而大多数企业组织跟踪相关安全变化、清点数字化资产的能力却难以跟上其发展需要。在此情况下,攻击面管理(Attack Surface Management,简称“ASM”)技术应运而生,并且受到行业用户广泛关注。
2024-06-13 18:01:08 130
转载 【转】谷歌云白皮书:谷歌基础架构安全设计概述
概述了如何将安全性设计到谷歌的技术基础架构中,这一全球规模的基础架构旨在为谷歌的整个信息处理生命周期提供安全保障。
2024-06-04 09:34:36 176
转载 【转】荐读丨防范企业内部安全威胁的7种“武器”
现代企业组织的内部威胁有很多种,从心怀不满的员工、勒索事件受害者和安全意识薄弱的用户,到那些对公司网络上敏感数据和系统拥有高级访问权限的用户,包括系统管理员、网络工程师甚至CISO等,都可能对企业数字化发展造成致命的威胁和损害。与传统基于规则的检测方法相比,机器学习技术能够跟上恶意内部人员不断变化的攻击策略,可以从历史数据中学习,并识别可能表明内部威胁的新模式和异常。用户行为分析的过程包括检查组织内用户的行为,并将其与已建立的行为规范进行比较,通过这种比较,能够识别出可能指示恶意意图的任何偏差或异常活动。
2024-03-26 08:19:56 51
原创 【读书笔记】知识图谱概述
1.1知识图谱概念KG(Knowledge Graph/Vault),又称科学知识图谱,用各种不同的图形等可视化技术描述知识资源及其载体,挖掘、分析、构建、绘制和显示知识及它们直接的相互联系。KG可以看作图,图由节点和边组成。节点表示 抽象的概念(如人工智能、知识图谱等)或是实体(如一个人、一本书等)。边可以是实体的属性(如姓名、书名)或是实体之间的关系(如朋友、配偶)。KG的发展经理了从逻辑知识--> 词典--> 知识图的历程,其本质是海量信息无序-->有序-->有用。
2024-03-17 09:31:46 1050
转载 【转】攻击面管理(ASM)技术详解和实现
将组织与其不断发展的外部和内部IT系统及数字足迹进行映射、与漏洞情报数据进行关联,并持续发现业务数据和代码泄露、组织和人员信息的泄露、以及对供应链的攻击面进行检测,通过对全球开放网络和非公开网络的情报源、组织自身业务上下文等进行大量数据采集和弱点优先级分析,为组织输出攻击面情报,以提供给组织更高级别的主动防御。该部分将阐述组织业务数据泄露、内部文件或与组织相关的文档和文案在外部暴露、组织相关的业务系统和软件的代码和配置泄露等情况下,对组织带来的风险、以及应该如何发现和如何进行智能优先级排序建议。
2024-03-14 09:50:51 422
转载 【转】从ATT&CK看安全如何落地
2011年,洛马提出杀伤链(Kill Chain)将网络攻击过程模型化,定义了攻击者攻击要完成的七个阶段。但杀伤链的描述粒度仍然较粗、缺乏相应的细节也并未形成统一描述不便共享使用。2013年,MITRE在Kill Chain 的基础上,意图构建一套从攻击者视角出发、比Kill Chain粒度更细、有实际技术细节支撑的知识模型,在内部整合研发了ATT&CK 框架的雏形,后公开对外发布。
2024-03-13 17:36:13 1101
转载 【转】数据安全无小事:揭秘华为云GaussDB(openGauss)全密态数据库
该方案需要解决在用户不感知的条件下,实现密文数据的安全、高效检索与计算,当前的主要挑战在两个方面:一方面学术界当前主要的密码学算法,大部分都是基于功能实现及安全能力的考虑,对于内外存储、网络吞吐、计算消耗等性能指标都会有不同的劣化,甚至有些性能完全脱离了实际场景,因此如何能在数据密文状态下实现检索和计算,并且满足性能要求,是密码学方案的最大挑战;事实上,经过数据库的长期发展,已经构建了体系化的安全能力,比如通过数据库防火墙的入侵防御以及基于AI的攻击识别及智能防御,做到“攻不破”;
2024-03-11 08:13:27 205
原创 【读书笔记】ICS设备及应用攻击(一)
如果攻击者自己也购买了一套应用程序或设备,对应用程序、设备固件进行了深入研究,实现了对关键文件的篡改,并最终对用户的应用程序或设备固件进行了替换,使得程序或设备在执行其所有正常功能的同时,还在后台执行其他任务。
2024-02-16 11:53:21 748
原创 使用Xdisplay将ipad作为扩展显示器Agent闪退问题
设定Agent的时候不要连接ipad,设定完成后重启Agent再连接ipad
2024-02-14 21:11:52 1718 2
原创 【读书笔记】网空态势感知理论与模型(十一)
检测设备会产生大量可能充满误报的告警。高复杂度、信息过载和网络安全空间的广阔性使得任何一个分析人员或系统都无法仅仅依靠自己的认知能力,持续处理和更新信息,以实现真正的态势感知。
2024-01-29 16:41:07 359
转载 【转】隐私计算--可信计算
一项由TCG(可信计算组)推动和开发的技术,是一种基于密码的运算与防护并存的计算机体系安全技术,保证全程可检测可监控。
2024-01-10 21:45:47 404
转载 【转】浅析SIEM、态势感知平台、安全运营中心
近年来SIEM、态势感知平台、安全运营中心等概念炒的火热,有的人认为这都是安全管理产品,这些产品就是一回事,有人认为还是有所区分。那么到底什么是SIEM、什么是态势感知平台、什么是安全运营中心,他们之间有什么联系和区别呢?
2024-01-06 15:33:01 1249
opcquickclient
2014-10-29
Fp4autl.dll 、Fpencode.dll 和 Fp4awel.dll
2013-11-25
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人