📰 最近消息
通过分析采集到的恶意外连流量信息,发现来自同一家族的恶意外连流量间具有明显的相似性。如图3.1是通过两个不同的恶意样本产生的恶意外连信息,经过人工分析,判定两个恶意流量均是来自LokiBot恶意家族。可以看到两个流量间的相似性极高。图3.2则是两个来自Generic Trojan家族的恶意外连流量,同样有极高的结构相似性。
模板生成流程包括请求头字段提取,泛化,相似性计算,层次聚类,生成恶意外连流量模板5个步骤,如图4.1所示。
为聚类恶意流量,需要计算流量间的相似度,便于后续提取恶意流量模板。在计算相似度的过程中,恶意流量中不同字段的重要性是不同的。如图3.2中所示的恶意流量,明显url部分更加特别,不易与白流量中的url重叠。而Accept, User-Agent等字段内容则是常见值,无论是否是恶意流量都有可能出现。因此,在计算图3.2所示流量的相似度时,url应该有更大的权重,即url相似时表明它们更有可能来自同一恶意家族。而Accept,User-Agent等字段则应该分配较小的权重,因为难以通过这些字段内容区分恶意流量和白流量。
根据步骤3计算的相似度矩阵,利用层次聚类算法将请求头划分为若干类。每一类中的请求头都具有相似的结构,用于后续生产恶意流量模板。图4.5是采用10%的样本用于训练时生成的层次聚类图。
采用80%的黑样本作为训练集,20%的黑样本及全部白样本作为测试集,测试算法效果,绘制匹配阈值的PRC曲线如图5.1。可以看到随着召回率的提升,算法一直保持着较高的精度。最终选择了0.8作为匹配阈值,此时算法精度为93.56%,召回率为97.14%,F-值为0.9532。接单中,拖库,渗透,破解,提权,改单,爆破,DDOS攻击,Dns劫持,网站挂马,蠕虫病毒技术咨询:@changwaiguang
Telegram必备的搜索引擎,极搜JISOU帮你精准找到,想要的群组、频道、视频、音乐👉 t.me/jisou2?start=a_6854135031
为了方便后续的练习,我们先来创建一个表结构,SQL语句如下:MariaDB [lyshark]> create table person -> ( -> id int unsigned not null auto_increment, -> name char(50) not null default '', -> age int not null default 0, -> info char(50) null, -> primary key(id) -> );Query OK, 0 rows affected (0.00 sec)接单中,拖库,渗透,破解,提权,改单,爆破,DDOS攻击,D
MariaDB [lyshark]> select * from person;+----+---------+-----+------------+| id | name | age | info |+----+---------+-----+------------+| 1 | LyShark | 22 | Lawyer || 2 | Willam | 18 | sports man |+----+---------+-----+------------+2 rows in set (0.00 sec)MariaDB [lyshark]> insert into person(name,a
在person表中,同时插入3条新记录,有多条只需要在每一条的后面加,即可,SQL语句如上
#删除数据库: 手动删除数据库 lyshark并查询:MariaDB [(none)]> drop database lyshark;Query OK, 0 rows affected (0.00 sec) MariaDB [(none)]> show databases;+--------------------+| Database |+--------------------+| information_schema || mysql || performance_schema |+--------------------+3 rows in set (0.00 sec)