机器学习引擎在公司内网环境发现蠕虫

最新推荐文章于 2025-07-20 23:52:47 发布
最新推荐文章于 2025-07-20 23:52:47 发布
阅读量1k 收藏
点赞数
CC 4.0 BY-SA版权
分类专栏: 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/rongyongfeikai2/article/details/74231511
在公司内网环境中部署基于流特征的蠕虫检测算法后,发现一台机器疑似感染W32.Downadup蠕虫病毒,表现为大量扫描445端口的行为。通过使用专杀工具确认并清除蠕虫病毒。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

自从将基于流特征的蠕虫检测算法部署到公司内网环境后,就发现,一直在报一台机器有蠕虫病毒。


然后随意抽查一条,这台机器居然在1个小时内扫描了7万多台机器的445端口。


发现这台机器是一位测试同学的机器,而她并未进行扫描随机IP 445端口的测试。

然后总结了一下特征:

svchost.exe进程,大量的发送syn_sent 445端口的请求

和W32.Downadup蠕虫病毒的特征十分相似。

参考链接:http://www.blogjava.net/amplifier/archive/2010/06/30/324861.html

下载了专杀工具,果然该台机器中了蠕虫病毒:


[系统安全] 六十二.恶意软件分析 (13)LLM赋能实现基于机器学习的恶意家族分类(初探)
杨秀璋的专栏
02-02 1217
前文探索了利用大模型辅助恶意代码分析,即LLM赋能Lark工具提取XLM代码的抽象语法树。这篇文章将继续尝试探索利用大模型辅助恶意代码分析,尝试进行恶意代码家族分类实验。在恶意代码分析过程中,大家会遇到各种各样的问题,如何结合LLM和GPT完成复杂任务,更好地为安全工程师合作至关重要。基础性探索文章,还请各位大佬多多指教,写得不足的地方还请海涵。希望您喜欢,且看且珍惜。
[系统安全] 二十七.WannaCry勒索病毒分析 (3)蠕虫传播机制解析及IDA和OD逆向
杨秀璋的专栏
03-06 6866
前文分享了MSF利用MS17-010漏洞进行反弹Shell,再上传勒索病毒,复现了WannaCry勒索病毒。这篇文章作者将继续分析WannaCry勒索病毒,主要通过IDA和OD逆向分析蠕虫传播部分,详细讲解蠕虫是如何感染传播的。同时,由于作者技术真的菜,只能叙述自己摸索的过程,如果存在错误或不足之处,还望告知。希望这篇基础性文章对您有所帮助~
基于相似度分析的蠕虫检测算法 (2011年)
05-30
近年来,蠕虫逐渐成为一种主要的网络威胁。文中针对现有蠕虫检测算法误检率高的问题,提出了一种基于相似度分析的蠕虫检测算法。该算法通过分析异常数据序列与蠕虫行为特征之间的相似性,实现对基本累计异常行为特征检测算法的优化;同时,考虑到复杂的网络环境,利用卡尔曼滤波器的预测功能实现对检测阈值的动态调整。仿真结果表明,与基本累计异常行为特征检测算法相比,文中算法能够有效地降低误检率,提高检测的精度。
机器学习做的杀毒(纯炫耀)
异次元小强
04-25 1078
发个对未知病毒的查杀图,无耻的把引擎叫做7vm了,哈哈。
Svchost.exe病毒的简单处理
热门推荐
xiacsd的专栏
10-20 2万+
Svchost.exe占用内存过大解决   1.当发现Svchost.exe不在%systemroot%\System32目录中的,可以安全删除,同时在注册表中查找对应的注册项删除掉。 或用tasklist/svc命令查看svchost.exe 右边的服务是不是“暂缺”,是的话为中毒了。   2.Svchost.exe在%systemroot%\System32目录,说明Svch
局域网雨云蠕虫病毒的处理
weixin_33811961的博客
06-11 1221
最近跳槽换了家单位,300多台pc,2台文件共享服务器Server。PC的操作系统大部分是win7,少量是xp,Server的操作系统均为win2008 server R2,在Server上共享用户为everyone,共享和安全权限为完全控制。网络设备张核心为华为S5348,但是未做任何配置,其他交换机使用的D-LINK 1024D或者1024T,清一色傻瓜式交...
APT实践分享:基于机器学习的隐蔽信道检测从0-_1.pdf
08-08
企业内网环境中,DNS协议是必不可少的网络通信协议之一,网络设备和边界防护设备在一般的情况下很少对DNS进行过滤分析或屏蔽,因此将数据或指令藏匿于DNS协议中进行传输是一种隐蔽且有效的手段。这类手段常用于APT中...
[网络安全自学篇] 七十三.WannaCry勒索病毒复现及分析(四)蠕虫传播机制全网源码详细解读
杨秀璋的专栏
05-05 1万+
这是作者网络安全自学教程系列,主要是关于安全工具和实践操作的在线笔记,特分享出来与博友们学习,希望您喜欢,一起进步。前文分享了逆向分析OllyDbg动态调试工具的基本用法,包括界面介绍、常用快捷键和TraceMe案例分析。这篇文章将继续详细讲解WannaCry蠕虫的传播机制,带领大家详细阅读源代码,分享WannaCry勒索病毒是如何传播感染的。作者分析该病毒一个月,一方面觉得自己技术菜,另一方面深知系统安全需要坚持,继续加油。希望文章对您有所帮助~
内网后渗透攻击过程(实验环境)--3、横向攻击
最新发布
hj06112的博客
07-20 1184
内网渗透的重要一步,横向移动
基于行为异常的蠕虫病毒检测方法
01-22
基于行为异常的Symbian蠕虫病毒检测方法;很好的文章!
dllcache.exe请求445端口占用大量端口
11-20 783
一、下载ICESWORD 二、杀死dllcache.exe隐藏进程
135,137,138,139,445端口
lvming404的专栏
03-02 3066
无论你的服务器中安装的是Windows 2000 Server,还是Windows Server 2003,它们无一例外会在默认安装下开通135端口、137端口、138端口、139端口和445端口。这些端口可以说都是一把“双刃剑”,它们既能为你提供便利,也会反过来,被其他人非法利用,成为你心中永远的痛。为此,我们很有必要熟悉这些端口,弄清它们的作用,找出它们的“命门”,以避免误伤了自己。 135端
机器学习在电力负荷预测中的应用研究
综上所述,这项研究通过应用机器学习方法,特别是BP神经网络模型来解决电力负荷预测的问题,不仅体现了机器学习技术在电力行业的应用价值,还展示了Python在科研和数据分析中的重要地位。通过深入理解和应用这些知识...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值