围城

20210510 -0. 出发在翻阅论文的时候，突然想起来之前的时候，看到过一些打印机的漏洞；然后就在谷歌上搜索了一下，“printer rce”，然后找到了这篇文章《A Sheep in Wolf’s Clothing – Finding RCE in HP’s Printer Fleet》说实在的，这篇文章太长了，我都没完全看。大致内容就是说，通过购买了实际的机器，然后逆向得到了固件，最后得到了相关的源码。最后的时候，发现了源码中的一些漏洞。在替换固件的一些内容之后，实现了一个RCE。不知道我是

20210310 -0. 引言今天阅读了安全客的一篇文章《我们来谈一谈IDS签名》，实际上这篇文章是作者翻译过来的，机翻的感觉很强，例如指纹，就被翻译为了签名。1. 文章简介这篇文章主要介绍了，IDS的主要功能以及其大致的工作方式，利用字符串指纹的模式匹配的方法，之前的时候也提到过，对于IDS来说，都是采用字符串硬匹配或者正则表达式的方法。而本篇文章所传递的想法就是，利用IDS指纹匹配过程中，正则表达式匹配中可能出现的类DDos的漏洞，来绕过IDS，本质上就是通过构造恶意的样本，消耗IDS在匹配过

20210309 -（本篇文章仅仅是对几篇文章的阅读感悟，非专业人士）0.引言360netlab的网站[1]上，有一个系统名字叫做networkscan mon，这个信息库做的非常好，虽然说仅仅是一些统计信息的展示。但是这个内部的原理挺让人好奇的，可能360能够拿到真实的流量，然后的确进行了这部分检测，但是个人感觉这个可能性不大；另外一种可能性就是利用自己的蜜罐或者少量的一些探针来进行监视，然后利用一定的流量估计方法，估计出全部的，以上仅仅是推测。而扫描流量的特征，可能就是从TCP包的角度，例如一些扫

2020/06/10 -本篇随笔主要记录自己在阅读文章[1]时的笔记；这篇论文居然是2001年时候发表的，但是哪怕近几年也有人在研究这个东西，没有时间去看具体的发展历程了，这篇论文也不知道质量怎么样，就先边看便记录。问题：不管什么时候，你总能看到各种安全厂商说自己面临的困难就是，每天面临大量的警报，需要从中找出真正的警报，同时降低误报率。这个时候就是关联分析出场的时候，然而，我对解决方案却没有...

（20210215 - 这篇文章是很久之前记录在简书的草稿箱中的，这次翻出来，就迁移过来）2020/07/10 -0. 引言本文主要是阅读了文章[1]的简单总结，简单记录一下知识点，后续会安排更多的文章来具体描述。1. Fuzz测试在我之前的理解中，Fuzz测试就是通过构造不规则的输入，从而触发程序的某种bug；虽然也知道几款工具，但是只是停留在了解阶段。传统的漏洞挖掘包括三种方法：白盒代码审计，灰盒逆向工程，黑盒测试，Fuzz测试属于其中的黑盒测试。现在有了人工智能及深度学习的帮助，能够借助更多

20210204 -引言去年大概也是这个时候，关注过这部分的内容。虽然之前也看到过很多大公司在招聘时有这方面的需求。威胁情报比较容易理解，att&ck就不是很理解了。毕竟没有做过真实的应急响应以及相关的分析。这里就简单把之前的阅读文章留下来。ATT&CKUsing ATT&CK to Advance Cyber Threat Intelligence — Part 1Using ATT&CK to Advance Cyber Threat Intelligenc

2020/03/24 -本篇文章[1]来自FreeBuf，阅读后增加自己的理解。引言本篇文章主要利用机器学习方法来实现恶意软件的加密流量检测。文中介绍，一些企业为了防止这类威胁，会使用硬件HTTPS中间人的方式，也就是我之前自己弄的那个HTTPS中间人攻击的平台。文中指出缺点在与** 使用拦截器的问题在于它昂贵，计算要求高，同时造成网络性能下降，而且它不尊重HTTPS的原始想法，即拥有私...

20201206 -1. 引言机缘巧合，自己居然有生之年又接触到了这个东西。但是多学点东西也没什么坏处，就当扩宽视野了；不过，以前这种事情，都没有记录，挺可惜的，所以这次记录一下。关于物联网固件的分析，涉及的东西还是很多的，可能某个领域的小伙伴会专门去攻击他web方面的漏洞，通过这个角度来找到信息泄露，远程执行的一些漏洞。但是完整的固件分析并不是这么片面，涉及的东西还是很广的。所以，这里简单记录一些，学习到的一些东西，不是专业认识，仅仅是在看了几篇文章，几篇论文，记录下自己的学到的东西。2. 固件

20201030 -本篇论文[1]是在了解设备指纹的时候看到的，一开始没仔细看，这两天正好集中整理一下；但是这篇文章说实话，不敢苟同，我仔细读了读就感觉有很大问题，看不到具体的干货，文章地址是[1]。看了一下他这里的一个同行评议，无话可说。我在阅读的时候，也感觉不流畅，最起码算法不清楚，数据的采集过程不清楚。当然这篇文章不是来批判这个论文的，而是记录一下相关工作，这部分对不对的，倒是可以再去看。（唉，读这个相关工作的时候都觉得不通顺。。）nmap首次采用主动探测方式向目标的存活端口发送12个T

2020/06/02 -引言在Bing搜索关键词"malware"和"machine learning"，发现了这本白皮书《Machine Learning Methods for Malware Detection》。个人阅读完之后，感觉干货十足，满满的诚意。从整体的内容上，加上具体的核心技术，都非常值得深入阅读。这里记录一下这部分内容，从他提出的观点，使用的技术，进行简要的记录。个人...

Security Data Science Learning Resources

20201011 -本篇文章是给出一个引子，之前的时候在一些文章中看到过他们采用HMM的方式来进行安全数据中的异常检测，如果是那种类似用户行为的方式，我还能理解，但是我记得我看到过一篇文章说的是利用HMM进行web请求的建模，然后识别恶意的请求。但是这种形式应该如何建模呢？或者说，怎么将这些内容利用HMM的形式给表达出来呢？虽然我知道可能隐藏的内部变量是通过异常和正常来区分，但是具体来实现还是不是非常明确。这个是挺值得思考的过程，在以往机器学习的经验中，都是利用那种关系型数据，或者是直接利用深度学习就

20201005 -阅读了三篇与安全相关的文章，这里记录一下。1. 以“威胁应对”为中心,看企业信息安全能力建设这篇文章发表在了很多地方，发表的念头也比较早了，都过了两年了。对企业的安全能力，从架构上，最后到以后的安全产品都进行了介绍，同时也分析了一些自己的见解。其中一个透露出来的一个点我比较认同：通过各种采集方式尽可能拿到最多的数据源，将这些数据源汇总到类似SIEM的平台后，能够凸显能力的地方，是对这些数据进行建模的能力，这个才是关键。通过各种开源组件搭建各种平台，不管是拼凑的，还是自研的，本质上只

20200922 -0. 引言这篇文章记录ATT&CK的一些材料阅读，不过题目没有非常明确。因为这部分仅仅是记录了一篇文章，不过这篇文章是一系列文章的第一小节，大题目就是Getting Started的部分，所以，这篇文章就命名为入门。1. ATT & CK在威胁情报的应用本部分内容参考学习了文章《Getting Started with ATT&CK: Threat Intelligence》。现在众多的安全团队在使用威胁情报（CTI，Cyber Threat Intell

20200915 -0. 引言之前关注过利用ICMP等方式进行信息传输的方式，这次看到了一个DNS隧道来传递信息的方式，这两种方式更为隐蔽，一般来说，内网都会对这两种形式的流量放行。当然，现在知道了存在这种传输信道，肯定是要对一些异常的请求加以关注。本次就阅读文章《探秘-基于机器学习的DNS隐蔽隧道检测方法与实现》进行记录。1. DNS安全之DNS隧道关注过DNS安全，主要是从域名上来进行分析，印象最深的莫过于DGA的检测。对于本篇文章重要分析的DNS隧道并不是非常了解。1.1 DNS隧道传输方式

20200915 -1. 文章记录1.1 大型互联网企业威胁情报运营与实践思考本篇文章是美团安全部分发表在安全脉搏的一篇文章，文章按照以下脉络进行阐述。1）企业威胁定义2）如何评估企业威胁情报质量3）威胁情报体系构建4）威胁情报体系运营以上四个角度进行了阐述，在最终讲解了一个利用自然语言处理的技术来产出情报的案例。其中威胁情报的体系由数据+平台+运维团队来构成。我觉得在威胁情报产出的过程中，非常值得思考。数据的来源，然后怎么加工成情报，同时利用哪些技术可以将信息处理为情报的过程是非常关键

20200828 -0. 引言之前的关注过利用深度学习来进行密码生成的内容，但是没有进行具体记录。今天正好把之前的文章给记录以下。主要是阅读了三篇文章，其中两篇是针对DeepPass那篇论文来进行讲解，大致上传达了论文的思路，没有进行深度的剖析，后续的时候我会深入阅读这篇论文来进行记录（其实已经阅读完了，只不过当时将重心放在了GAN的学习上，没有放在这个功能上），另外一篇是利用LSTM进行密码的猜解）。文章列表：（1）PassGAN: A Deep Learning Approach to Pas

20200828 -0. 引言本篇文章介绍《Auto-detection of sophisticated malware using lazy-binding control flow graph and deep learning》的阅读过程，因为本身对CFG的内容比较感兴趣，所以在此记录。1. 论文概要本篇论文发表于Elsevier2018年Computers & Security，从论文名字来看是一篇利用CFG和深度学习来进行恶意软件检测的内容。摘要（经过自己阅读后凝练）：当前反病毒

20200827 -0. 引言今天编写文章《DGA生成与检测 - 论文《DeepDGA: Adversarially-Tuned Domain Generation and Detection》阅读》时，那篇论文最后的实验中提到了增强机器学习模型的内容，顺着这个思路在谷歌上进行了简单的搜索，找到了两篇材料，本篇文章就对这两篇文章的内容进行简单的记录。1. 简介（1）Protecting the protector: Hardening machine learning defenses agains

202008270. 引言DGA检测在网络安全中非常重要，通过检测DGA能够及时发现恶意软件；本博客中针对DGA检测的内容进行了简单的整理，见《DGA - 研究内容整理》。本身对GAN应用于安全领域有着极大的兴趣，所以本篇文章对使用GAN进行DGA域名的论文《DeepDGA: Adversarially-Tuned Domain Generation and Detection》进行记录。1. 论文简单概要本篇论文发表于2016年，内容并不算多，总计10页PDF，但是个人觉得，有些地方读起来比较晦涩

20200825 -0. 引言（本人非专业认识，仅仅是阅读后的一点理解）本篇文章是基于阅读华为的白皮书《AI Security White Paper》之后的一些记录。关于白皮书的下载可以通过谷歌搜索得到。这本白皮书中的内容，跟之前了解到的AI安全的讲解有些不一样，个人感觉应该是切入的视角不一样。之前的一些文章或者白皮书，都从攻击者是否对模型了解分为白盒、灰盒等类别，这里并没有按照这种分类方法，而是直接攻击类别的角度。本篇文章将记录白皮书的核心内容，并阐述一些自己的理解。1. AI与安全AI与