- 博客(13)
- 收藏
- 关注
RSS订阅原创 【论文阅读】CCSv6 ADetection ModelforDNS-over-HTTPS Tunnel UsingAttention Mechanism overIPv6 (CCF C)
本文对DoH隧道分类器的影响因素进行了分析,如递归解析器的位置,攻击者离受害者的距离等因素。同时讨论了模型的迁移性,结果表明本文使用的CNN-attention模型相比DT、RF等机器学习模型有着更强的迁移性。疑惑:讨论攻击者和受害者距离这个影响因素的时候,使用了北京和上海的服务器。我感觉并没有举例很远,而且性能确实有下降。如果更换一下攻击者服务器,使用境外的服务器等举例更远的,可能性能下降更加明显。不过IPv6相比IPv4可能确实影响程度更低一点。受制于篇幅大小,关于不同特征重要性的分析可能有点少。
2023-09-11 14:58:49
320
3
原创 【论文阅读】Detecting DNS over HTTPS based data exfiltration(CCF B)
对于防御者,应监测TLS指纹进行初步检测。为了训练分类器,应尽可能多地收集不同类型的数据,包括来自不同解析器的流量、不同数据包发送速率的Do H隧道流量等。如果被保护主机位于不同的地理位置,则需要在不同的地理位置分别训练模型。除了关注分类器已经识别为隧道的流量,防御者还应该关注异常分值较高的流量。对于攻击者来说,为了逃避所提出的检测方法,首先,受控的NS应该在地理上足够靠近受害者。交付给受害者主机的DoH隧道工具需要模仿流行的TLS实现,如浏览器。此外,攻击者需要使用填充等手段来伪装数据包的长度。
2023-09-06 20:10:16
476
2
原创 【论文阅读】Identifying DoH Tunnel Traffic Using Core Feathers and Machine Learning Method(CSCWD CCF C)
*数据包长度:**DoH流量携带了加密的DNS请求和响应数据,DNS数据包长度一般在120字节左右。**数据包长度:**对于正常的DoH流量,上下行流量占比与未加密的DNS协议请求和响应占比基本相同。建立非DoH流量的IP白名单,当一个IP中超过90%的流被检测为no-DoH,将该IP加入no-DoH列表,以后不再检测。由于公共数据集中正常的https数据和正常的DoH数据较少,因此在真实的校园网网关采集正常的https流量和DoH流量。正常的DoH服务和DoH隧道前几个数据包的长度和方向是不同的。
2023-08-31 17:46:12
574
3
原创 【论文阅读】Malicious DNS Tunnel Tool Recognition using Persistent DoH Traffic Analysis(CCF C)
亮点:可更新的模型,首次检测6种DoH隧道工具。疑惑:实验设置有点没看懂,感觉有点乱新数据集是捕获了48小时的流量,要研究如何减少数据捕获时间,并保持或者获得更高的精度,缩短知识更新的提前期,研究新型隧道工具最佳捕获时间。可疑与正常交通流量之间的比例如何影响分类精度是未来应该研究的重要问题。扩展提取的特征。
2023-08-20 13:15:21
416
3
原创 【论文阅读】Identifying Malicious DNS Tunnel Tools from DoH Traffic Using Hierarchical MachineLearning(其它)
隐蔽隧道检测,恶意工具检测论文阅读总结
2023-08-19 14:51:44
325
原创 python如何把字典数据存储进csv文件
代码如下import csvfieldnames=["A","B","C"]#数据列名dicts=[ {'A': '1', 'B': '2', 'C':3}, {'A': '2', 'B': '3', 'C':4}, {'A': '3', 'B': '4', 'C':5}, {'A': '4', 'B': '5', 'C':6}, {'A': '5', 'B':
2022-05-19 22:15:55
3493
原创 pytorch学习小总结(一)
pytorch学习小总结(一)模型保存以及加载保存模型有两种方式:1、保存整个模型def save_checkpoint(path, model, optimizer): torch.save(model, path)对应的加载代码为:cnn_model=torch.load(path)2、只保存网络以及优化器的参数等数据def save_checkpoint(path, model, optimizer): state = { 'model': model.
2022-04-18 10:58:02
880
2
原创 入侵检测领域初探
通过这几天阅读文献,我现在用于入侵检测的模型可以大体分为传统的机器学习模型和深度学习模型。其中传统的机器学习模型有SVM、KNN、决策树、PCA等,深度学习模型有CNN、DBN、RNN等。首先说一下常用的数据集:NSL-KDD、Gure-KDD、CIDDS-001、DARPA1999、KDD199等。目前论文基本的研究方向大体可以分为两类:数据预处理、模型优化。数据预处理从我这一段时间看的论文来说数据预处理有三个方面:特征选择降维、处理非平衡数据集、以及数据子集的选择(这样做的暂时不多,不过还是把它
2022-01-18 16:52:48
1418
8
原创 CICFLOWMETER工具
这几天配置了CICFlowMeter工具,在配置过程中遇到很多问题。首先了解到CICFlowMeter工具有python版的,Java版的,也有直接可以编译运行版的。据说除了Java版的,剩下两个都有问题、不稳定。具体的配置过程我也是参考的别的csdn中博客以及github。换了很多版本的源代码,最后出现了问题,就是运行后,CICFlowMeter.bat这个文件会出现闪退的情况。常用的一些使bat文件不闪退的方法也使用了,例如删了注册表里面的一点信息,或者用txt格式打开然后再最后一行加一个Pau
2022-01-18 13:26:07
4828
8
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人