- 博客(10)
- 收藏
- 关注
RSS订阅原创 WWW‘24:ContraMTD: An Unsupervised Malicious Network Traffic Detection Method based on Contrastive Le
恶意流量检测一直是网络安全领域的研究热点,基于深度学习的检测方法正在成为一种新的研究范式。然而,它们大多是监督式方法,高度依赖于标记良好的数据,无法处理未知或不断演变的攻击。无监督方法减轻了对标记数据的需求,但现有方法通常仅限于通过历史比较从垂直角度检测异常,或者通过比较并发实体从水平角度检测异常。依赖单一角度的数据是不可靠的,而且它限制了模型的准确性和泛化性。在本文中,我们提出了一种基于对比学习的ContraMTD方法,该方法综合考虑了垂直和水平两个角度。
2024-10-27 23:31:06
1070
原创 CSUR‘21综述:A Survey on Encrypted Network Traffic Analysis Applications, Techniques, and Countermeasur
网络流量加密的应用正在持续增长。流行的应用程序使用加密协议来确保通信安全和保护用户隐私。此外,大量恶意软件通过网络流量传播,利用加密协议隐藏其存在和活动。进入互联网上完全加密通信的时代,我们必须迅速开始回顾网络流量分析和检测这一广泛领域的最新进展,以断定传统的流量处理系统是否能够无缝地适应即将全面采用的网络加密。在这份调查报告中,我们研究了通信信道加密后网络流量分析和检测的相关文献。我们注意到,研究界已经开始就如何在网络流量加密的情况下执行检测提出解决方案,我们对这些作品进行了演示和评述。
2024-09-14 16:00:23
1938
原创 USENIX23论文阅读:Subverting Website Fingerprinting Defenses with Robust Traffic Representation
匿名网络(如 Tor)容易受到各种网站指纹(WF)攻击。本文提出了一种名为鲁棒指纹(Robust Fingerprinting,RF)的新型 WF 攻击,它可以在各种防御措施下实施WF攻击。具体来说,我们开发了一种稳健的流量表示方法,该方法可生成流量聚合矩阵(Traffic Aggregation Matrix,TAM),以充分捕捉从 Tor 跟踪中泄露的关键信息特征。利用 TAM,攻击者可以训练一个基于 CNN 的分类器,该分类器可以学习不同防御所揭示的常见高级流量特征。
2024-07-12 17:10:43
1996
1
原创 NDSS23论文阅读:Detecting Unknown Encrypted Malicious Traffic in Real Time via Flow Interaction Graph Ana
加密流量目前应用很多,但是是一把双刃剑,因为加密流量允许攻击者隐藏恶意行为,例如恶意软件、漏洞利用和数据泄露。但是现在的加密流量检测没有得到很好地解决,利用深度包检测(DPI)的方法在加密攻击下是无效的。表1展示了现有的恶意流量检测方法。加密流量可以规避基于机器学习的检测系统。现有的加密流量检测方法是有监督的,依赖于先验知识,只能检测已知流量模式的攻击。现有的方法无法实现无监督检测,也无法检测出模式未知的加密流量。
2024-05-23 13:48:53
1848
1
原创 CCS‘20论文阅读:TrafficSliver: Fighting Website Fingerprinting Attacks with Traffic Splitting
为了改善隐私,匿名通信很常用,Tor是最流行的匿名网。因此,Tor成为了攻击目标,虽然Tor可以隐藏通信,但是无法隐藏传输数据包的数量、方向和时间。攻击者就可以利用这一漏洞进行网站指纹识别。WFP通过观察数据流模式,来识别匿名用户连接的内容。WFP攻击近年来不断提高,并应用在现实世界,但是由于带宽和延迟开销太大,防御措施很难抵御WFP的攻击。文章提出了两种WFP防御措施,称为TrafficSliver,有着合理的带宽和延迟开销。
2024-05-22 15:03:39
1473
1
原创 论文阅读:Automated Website Fingerprinting through Deep Learning
通过Tor访问网站所产生的流量,通过某些特征(数据包时间、大小、方向)可以确定网站的信息,这就是网站指纹攻击。但这种攻击取决于手动构建指纹的特征集,本文实现了自动化特征工程,通过深度学习实现网站指纹攻击。Tor是一种匿名通信工具,用于保护用户的隐私。Tor会对通信的内容和路由信息进行加密,单个节点只知道和它对接的节点,而不知道通信的起源和目的地。但是研究显示,Tor有严重的侧信道漏洞,可以通过加密网络数据包的方向和大小泄露。这种测信道信息对于特定网站来说是唯一的,因此可以形成网站指纹,用于分类。
2024-05-16 21:43:06
1433
1
原创 论文阅读:Deep Fingerprinting: Undermining Website Fingerprinting Defenses with Deep Learning
网站指纹识别可以让攻击者确定用户通过加密方式访问过哪些网站,并且网站指纹攻击是有效的。作者提出了深度指纹(Deep Fingerprinting),是一种针对Tor的网站指纹攻击,利用CNN设计了复杂架构。DF在没有防御的Tor流量达到了98%以上的准确率,对有防御的流量准确率仍然超过90%。Tor已经成为匿名浏览互联网的工具,然而Tor很容易受到流量分析的攻击。WF允许攻击者通过分析网络流量中的模式来识别加密连接中的网页。
2024-05-15 16:51:11
2424
7
原创 Python 读取npz文件太慢
使用Python读取npz文件的时候,如果直接操作data[‘arr_0’],速度会非常慢,因为每次操作data['arr_0']都会重新读取data.npz。这时候需要将data['arr_0']读取到一个list中,这样操作速度会快很多。
2024-05-14 14:56:33
693
2
原创 威胁情报的定义
目前被引用最多的威胁情报的定义是2014年Gartner在其 《安全威胁情报服务市场指南》(Market Guide for Security Threat Intelligence Service)中提出的:“威胁情报是一种基于证据的知识,包括了情境、机制、指标、隐含和实际可行的建议。威胁情报描述了现存的、或者是即将出现针对资产的威胁或危险,并可以用于通知主体针对相关威胁或危险采取某种响应。1.1 战略情报战略级情报为总结型的信息,站在全局的角度,为决策层提供参考。
2023-07-19 15:16:11
1391
翻译 卡巴斯基2023 年第一季度 APT 趋势报告
对样本的进一步分析显示,它是Oilrig的Lookout恶意软件的一个变体,我们在2020年早些时候曾报道过,它针对的是中东的一个外交部实体及其在世界各地的分支机构。虽然最初的进入方法仍不确定,但我们对所使用的恶意软件和工具的分析表明,威胁者可能继续使用从以前的入侵中获得的凭证进行操作,我们在这次活动中使用的一个工具中发现了这一点。虽然一些威胁者的TTP随着时间的推移保持一致,主要依靠社会工程作为在目标组织中获得立足点或破坏个人设备的手段,但其他威胁者则刷新了他们的工具集并扩大了他们的活动范围。
2023-07-03 15:26:54
440
1
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人