python网络攻击总参三部_GitHub - BLKStone/datacon: datacon比赛方向三-攻击源与攻击者分析writeup...

最新推荐文章于 2023-12-10 12:38:20 发布
最新推荐文章于 2023-12-10 12:38:20 发布
阅读量363 收藏 1
点赞数
文章标签: python网络攻击总参三部

DataCon-方向三-攻击源与攻击者分析-writeup

BlueThanos战队

1.png

0x01比赛要求

本题设置了多个维度的网络行为数据,涉及到不同类不同维度的数据源,包含web告警信息,ip基础信息,域名信息,whois信息,日常访问行为信息,终端行为信息等。考察选手如何通过多维度的数据源体系化的描绘一个攻击者,设计并建立一套分析方法,综合各维度数据对攻击者进行分析,描绘出可能对大会威胁最大的攻击者。

识别出攻击IP

建立一种分析方法与系统大致确定IP与人的关系。

提交分析方法设计文档(pdf),需包含完整的处理流程图和描述。并提交实现的系统源码,要求可复现。以复现计算生成的结果为准。

建立一套分析方法与系统,从攻击目的和攻击能力层面对攻击者进行分析。

提交分析方法设计文档(pdf),算法设计原理,模型构建。并提交实现的系统源码,要求可复现。以复现计算生成的结果为准

0x02整体思路

对日志和拓展数据预处理

由于数据量操作时间较多,所以数据聚合与处理用pandas进行,大大加快了效率。

通过对日志数据的预处理,得到IP侧相关数据和domain侧相关数据,方便协同调取使用分析。

通过正则(主要)和机器学习处理。

数据处理类型

数据处理中间结果及逻辑

攻击矩阵

识别的标签

识别的操作类型

识别的攻击类型

机器学习方法使用

制定IP关联规则

主要8个规则

建立模型进行IP聚类

设计的算法依照超市选货的相关方式,对IP相关性聚类成攻击者

在日志数据预处理结果和进行完IP攻击聚类的基础上,进行攻击者人物画像

常规信息

目的分析

能力分析

主要分为1)攻击的广度与深度、2)攻击复杂性分析、3)漏洞利用能力、4)攻破防护能力、5)反溯源能力。 前两个是定性分析,后三个可定量分析。

构建模型,量化能力等级

0x03系统设计

1.日志数据预处理

1)数据处理类型

定义了IP行为块的概念,识别操作类型、脚本类型、agent类型、标签、攻击类型。

单目标IP行为块:在持续时间段内,IP对单个目标进行的一系列的攻击操作。

IP行为块:在持续时间段内,IP进行的一系列的攻击操作。主要分类4个类型:单网站的漏洞扫描、同漏洞批量扫描、web渗透、高级web渗透。

操作源语识别:针对webshell控制中进行的统一化。PS:未实现(时间不够)

标注:

蓝色块:数据模型

橙色块:达到的目标

紫色块:外部数据源

灰色块:拓展数据

2.png

2)数据处理中间结果及逻辑

分攻击侧和目标服务器侧两类中间数据集,支撑后期分析使用。

主要数据处理为生成聚类和分析能力的逻辑。进行贴标签,扫描器识别,操作类型识别(详情见3攻击矩阵),webshell识别归类,攻击类型识别,以及相关数据统计。

中间数据集说明:

攻击日志中间结果为基础数据

webshell中间结果主要用于关联攻击者,描述攻击目标情况

IP行为块中间结果主要用于攻击者目的和行为分析

3.png

3)攻击矩阵

攻击矩阵中的技术内容就是本文中的操作类型。

借鉴att&ck模型,依照本数据情况进行定义生命周期如下图。

由于漏洞检测和漏洞利用测试仅通过当前数据难以区分归为一类。

阶段3的定义目的主要在于寻求漏洞测试和持久化的桥梁,以此构建成攻击链。

4.png

操作类型:

sql_injection,SQL注入漏洞利用

vul_asp_resolve,iis6.0解析漏洞

vul_struts2_rce,struts2漏洞远程执行

vul_xss,XSS漏洞利用

vul_include_fie,文件包含漏洞

vul_code_leak,代码托管配置信息导致源码泄露

vul_dede_plus_download,dedecms-download文件漏洞远程执行

vul_thinkphp_5_route_rce,thnkphp5路由漏洞远程执行

vul_thinkphp_3.2_rce,thinkphp3.2漏洞远程执行

vul_thinkphp_rce,thinkphp漏洞远程执行

vul_backup_rar,备份文件导致源码泄露

vul_search_tool_rce,查询工具代码执行漏洞

vul_fck_upload,fckeditor绕过限制上传

vul_eweb_upload,ewebeditor绕过限制上传

...

4)识别的标签

标签的识别主要是通过正则匹配实现的,webshell的识别,可以运用机器学习的方法,方法是通过脚本采集chopper、蚁剑等webshell的http request,然后抽取特征作为训练集合,训练构建模型进行识别。

主要分为4大类标签:

attack类标签

共计80余条,属于攻击行为特征指纹,包括攻击类型、bypass方法等。

部分规则:

\'*(\s|\+|/\*\.*\*/)*(or|and)(\s|\+|/\*\.*\*/)+ vul_sql_injection NaN

(=|\s+|\++|\(|\)|')select(\s+|\++|\(|\)) sql_select NaN

...

info类标签

共计10余条拓展信息,但不具有攻击特征。

部分规则:

\<\?xml\s* xml

\

5.png

<

<<

<

<

weixin_39621870
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
[网络安全提高篇] 一一.Powershell恶意代码检测 (1)论文总结及抽象语法树(AST)提取
杨秀璋的专栏
03-11 1万+
这是作者网络安全自学教程系列,主要是关于安全工具和实践操作的在线笔记,特分享出来与博友们学习,希望您喜欢,一起进步。这篇文章将详细讲解PowerShell、Powershell恶意代码检测总结及抽象语法树(AST)提取。希望这篇文章对您有帮助,也推荐大家去阅读论文,且看且珍惜。
贝叶斯网络相关工具
weixin_37718439的博客
11-10 4088
概览页面 Kevin Murphy 的贝叶斯网络软件包 页面 谷歌的贝叶斯网络软件列表。 商业的: AgenaRisk ,可视化工具,结合贝叶斯网络和统计模拟(免费一个月评估)。 Analytica ,基于影响图的可视化环境,用于创建和分析概率模型 (Win/Mac)。 AT-Sigma Data Chopper ,用于分析数据库和寻找因果关系。 BayesiaLab ,一套完整的贝叶斯网络工具,包括有监督和无监督学习,以及分析工具箱。 Bayes Server ,高级贝叶斯网络库和用户界面。 支持分.
网络安全 HVV蓝队实战之溯
bdfcfff77fa的博客
07-27 1298
对于攻防演练蓝军的伙伴们来说,最难的技术难题可能就是溯,尤其在今天代理横行的时代更加难以去溯攻击者。这里我就举两个溯来帮助大家梳理溯过程,一个是只溯到公司,一个是溯到个人。
全部1000元 域名_DataCon 2020 DNS恶意域名分析方向冠军writeup
weixin_31608325的博客
12-30 1664
0x01 种子寻找记之DGA算法分析题目描述本题中,选手需从给定的DGA样本中通过逆向分析发现其中存在的DGA算法。通过对DGA算法的分析,根据给出的同算法但不同种子生产的域名获得新的种子,最终给出使用新种子生产的所有域名。题目分析题目给出了个样本以及个域名列表,其中每个列表对应一个样本。个样本的MD5是:68C2D387AA16EAD4575E02DAC2EAEDCC、2F2A7...
通过WEB日志安全分析追踪攻击者
那些年....的专栏
11-18 9834
摘要:本文主要讲述了WEB日志安全分析时的思路和常用的一些技巧,并通过一个完整的实例讲述了在发生安全事件后,如何通过分析WEB日志并结合其他一些线索来对攻击者进行追踪。 本文主要讲述了WEB日志安全分析时的思路和常用的一些技巧,并通过一个完整的实例讲述了在发生安全事件后,如何通过分析WEB日志并结合其他一些线索来对攻击者进行追踪。 WEB日志作为WEB服务器重要的组成部分,详细地记录了
pythonDataFrame的存储
夏天的西瓜
10-20 2万+
转载于:http://blog.sina.com.cn/s/blog_4ddef8f80102vu4e.html Pandas中的DataFrame数据既可以存储在SQL数据库中,也可以直接存储在CSV文件中。 数据库 1. dataframe.to_sql()函数将DataFrame数据存储到数据库中。 name :数据表的名称, string, Name of
Security+ 学习笔记2 认识网络攻击
tushanpeipei的博客
09-13 1385
一、网络攻击者 1.内部(internal) 攻击VS 外部(external)的攻击者网络攻击可能来自内部或外部来。当我们想到网络安全的对手时,我们往往认为是外部攻击者,但内部攻击者可能构成更大的风险,因为他们有系统和资的合法访问的权限。 2.按照攻击者的水平高低分类: 脚本小子(Script kiddies):他们被称为 “脚本小子”,因为他们通常缺乏开发自己的漏洞的技术能力,只是简单地运行其他更复杂的攻击者创建的脚本。同时,脚本小子通常也是单独作战。通过基本的安全控制措施,如定期打补丁、终端
rsamatlab代码-DANV:此存储库是https://github.com/Hangz-nju-cuhk/Talking-Face-Ge
05-25
rsa matlab代码对抗性纠缠的视听表示形式的会..../0572_0019_0003/video ' --test_type ' video ' --test_audio_video_length 99 --test_resume_path CHECKPOINT_PATH 运行测试脚本以从音频生成视频: python test_a
Python库 | replicate_github-0.6.1-py3-none-any.whl
04-25
分类:Python库 所属语言:Python 使用前提:需要解压 资全名:replicate_github-0.6.1-py3-none-any.whl 资:官方 安装方法:https://lanzao.blog.csdn.net/article/details/101784059
Python库 | cdk_pipelines_github-0.0.75-py3-none-any.whl
05-28
分类:Python库 所属语言:Python 使用前提:需要解压 资全名:cdk_pipelines_github-0.0.75-py3-none-any.whl 资:官方 安装方法:https://lanzao.blog.csdn.net/article/details/101784059
Python库 | cdk_pipelines_github-0.0.72-py3-none-any.whl
05-28
分类:Python库 所属语言:Python 使用前提:需要解压 资全名:cdk_pipelines_github-0.0.72-py3-none-any.whl 资:官方 安装方法:https://lanzao.blog.csdn.net/article/details/101784059
Python库 | cdk_pipelines_github-0.0.32-py3-none-any.whl
05-28
分类:Python库 所属语言:Python 使用前提:需要解压 资全名:cdk_pipelines_github-0.0.32-py3-none-any.whl 资:官方 安装方法:https://lanzao.blog.csdn.net/article/details/101784059
常见网络攻击手段及原理分析
honeyJ
07-04 3万+
TCP SYN拒绝服务攻击 我们知道,一般情况下,一个TCP连接的建立需要经过次握手的过程,即: 1、 建立发起者向目标计算机发送一个TCP SYN报文; 2、目标计算机收到这个SYN报文后,在内存中创建TCP连接控制块(TCB),然后向发起者回送一个TCP ACK报文,等待发起者的回应 3、发起者收到TCP ACK报文后,再回应一个ACK报文,这样TCP连接就建立成功了 利用这个过程...
CTF线下AWD攻防模式的准备工作及起手式
热门推荐
郁离歌丶的博客
05-10 8万+
作为大一萌新我并没有打过AWD,可能我做梦都没有想到人生的第一场AWD是DEFCON CHINA吧~(滑稽我自己在服务器上搭了一个cms来模拟AWD场景。0X01 改ssh密码官方在给出服务器密码时,很有可能是默认的,需要赶快修改自己的密码并尝试能不能登陆别人的靶机,搞波事情嘿嘿嘿~0X02 dump码首先可能没有给码,需要自己把码全dump下来。1.使用XFTP或者FileZilla Cl...
计算机硬件知识小结
Hi,我是sharkchili,CSDN Java领域博客专家,开源项目JavaGuide维护人员,我想写一些有意思的东西,希望对你有帮助。
12-10 3125
CPU和主存决定的计算机执行效率,所以我们再来聊聊主存,内存一般都是一条条芯片,以华硕主机为例子,他会被插在下图所示的插槽中,对于需要被处理的数据都必须加载到内存中才能被执行,而且内存中的数据如果在断电前没有写回磁盘的话,数据是会丢失的。而且现如今社会,大量的3D特效出现,这些特效都是需要运算的,如果全部交给CPU,极有可能出现大量程序卡顿的情况,所以显示适配器的厂商如今都会在显示适配器中内嵌一个加速芯片来完成运算,这就是所谓的GPU,参见下图所示位置。如下图所示,这就是SATA的插槽。
DataPicker 日期选择器
zm19920924的博客
06-02 563
这里实现的是当没有进行选择的时候 dataLabel显示当前的时间 当进行选择后它显示选择的时间 具体代码如下:@interface ViewController () @property (nonatomic, strong) UIDatePicker *dataPicker; @property (nonatomic, strong) UILabel *dataLabel; @end@imp
matlab下载.pdf
07-14
matlab下载下载方式及注意事项
Android系统原理及开发要点详解-从入门到精通
07-13
Android系统原理及开发要点详解 Java4 Android视频教程 Android开发视频教学 从入门到精通 Android的软件管理器的开发教程视频 Android深入浅出_Android高端课程分享试听 JavaWeb Android系统的手机防盗软件的实现 Android开发入门与实战随书视频 视频列表.txt 0.0MB 开发入门与实战代码.rar 6.1MB 第9章 我来“广播”你的“意图”——Intent和Broadcast面对面.wmv 15.1MB 第8章 移动信息仓库——Android的数据存储操作之轻轻地我保护——SharedPreferences存储-2.wmv 0.6MB 第8章 移动信息仓库——Android的数据存储操作之轻轻地我保护——SharedPreferences存储-1.wmv 24.3MB 第8章 移动信息仓库——Android的数据存储操作之Android数据存储概述.wmv 57.7MB 第7章 良好的学习开端——Android基本组件介绍之友好地互动交流——对话框(Dialog)介绍与实例-2.wmv 7.
GESP等级认证 2024年6月 C++一级真题
最新发布
07-14
GESP等级认证 2024年6月 C++一级真题 从官网上刚刚下载下来的,题都是热乎的,这可是最新真题 大家看一看瞧一瞧,走过路过不要错过,免费下载,全篇无水印,不好用随便吐槽我! 涵盖选择题,判断题,编程题,基础知识多,满满的干货,非常建议下载!!!!! 萌新小白来做做题,复习巩固都很合适!
iscc2015官方writeup
09-06
iscc2015是国际信号与通信会议(International Symposium on Communication and Information Technologies)的官方writeup,在这个writeup中,主要回顾了iscc2015会议的主要内容和成果。 iscc2015会议是由IEEE(Institute of Electrical and Electronics Engineers)主办的,旨在聚集来自全球的学者、研究人员和专业人士,共同探讨和交流关于通信和信息技术领域的最新研究和发展。 这个writeup首先介绍了iscc2015会议的背景和目标,提及了该会议为促进学术界和工业界之间的合作、创新和知识交流所做的努力。接着,该writeup详细描述了iscc2015会议的主要议题,包括通信网络、无线通信、数据通信和网络安全等方面。此外,还列举了一些重要的研究课题和领域,如物联网、云计算、移动通信和多媒体通信等。 iscc2015的writeup还总结了会议期间的重要活动和成果。这些活动包括学术论文的研讨会和展示、专题演讲、研讨会和研究项目的发布等。会议期间,各个领域的专家和学者积极参与并互相交流了关于通信和信息技术领域的最新研究成果和创新理念。 最后,iscc2015的官方writeup总结了会议的收获和影响。该会议为全球通信和信息技术领域的研究人员和专业人士提供了一个交流和合作的平台,推动了相关领域的发展和创新。此外,与会者还从中获得了有关新技术、新方法和最佳实践的信息和经验。 总之,iscc2015官方writeup回顾了这个国际会议的主要内容和成果,强调了其在通信和信息技术领域的重要性和影响。通过促进学术界和工业界之间的交流与合作,这个会议为促进全球通信和信息技术领域的发展做出了贡献。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值