1、流量監測
流量監測中使用最多的就是蜜罐系統和ids系統。蜜罐系統可以對攻擊者訪問的日誌資訊進行網路行為分析,從殭屍網路的流量中找到某一家族的行為特徵。(例如通過什麼方式進入系統中,是郵件還是應用層漏洞或者是協議漏洞,)對該家族的殭屍網路進行攻擊手法剖析,並持續進行監測分析,發現殭屍網路通過更新後特徵的變化,發現殭屍網路家族的變化規律。當使用蜜罐發現殭屍網路的變化規律後其實就可以進一步**該殭屍網路的行為特徵的變化規律。把該殭屍網路的攻擊手法、特徵變化規律加入到現網的ids中,在出口對整網路的殭屍網路進行監測,發現該殭屍網路在網路中的規模,評估該殭屍網路的影響和損失比。
2、逆向分析
在攻擊追蹤定位過程中,樣本的逆向分析是非常重要的一部分。通過網路部署沙箱裝置,對進出的檔案進行還原,通過靜態啟發式檢測判斷樣本檔案是黑白灰檔案,黑、灰檔案丟到虛擬機器環境,把樣本放入模擬的主機進行行為分析,對樣本進行打分。並對可疑度非常高的樣本(打分高表示嚴重)進行人工逆向分析,確定木馬屬於哪個家族、連線的隱匿cc、惡意行為等。對樣本的逆向分析是非常準確的方法,可以評估殭屍網路的目的和維護程度。
3、受害主機取證分析
4、機器學習
在發現殭屍網路cc的網路攻擊檢測中 , 機器學習可看作是為了通過監督或者無監督的學習,從樣本中提取輸入引數,使用大量樣本進行訓練,並反覆調整引數和迭代。提高檢測殭屍網路cc的能力 。把機器學習技術應用於殭屍網路的檢測中 , 對網路中產生的大量資料流進行分析 , 並通過學習演算法自動產生規則 , 把這些規則編譯進專家系統 , 對殭屍網路cc進行安全檢測 , 從而自動化的識別殭屍網路攻擊能力。
有關Mat通道的資料結構的發現
最近因為做數字影象處理大實驗的原因學習了一下warpperspective函式的原始碼,在閱讀原始碼時碰到了一些困難,其中乙個就是關於mat不同通道的資料是如何組織的。於是我做了乙個小實驗,下面是實驗的 include include include include using namespace ...
節點間通訊的通道微調
erlang節點間通訊是可以配置的,預設的是inet tcp 當2個節點要溝通的時候,net kernel模組會負責建立必要的連線。inet tcp會呼叫底層的gen tcp進行資料傳送接受。rpc或者節點間的訊息互動都是通過這個port出去的。在分布節點間,有時候會有大量的訊息流動,那麼所有的訊息...
程序間的通訊 IPC通道
內部程序通訊,是指在同一臺計算機當中的不同程序之間進行通訊。對於兩個程序之間的通訊方式有很多種,比如檔案共享,socket通訊,管道等,這裡主要講的是通過ipc channel的方式 主要用到的命名空間有以下幾個 using system.runtime.remoting using system....