Command_line_detection.pdf
1.7 MB
#Linux #Detection
#راهنمای جیبی شناسایی تهدیدات لینوکسی 👆🏻
برای کسانی که هیچ sense از لینوکس ندارند خیلی خوبه
کانال آموزش کامپیوتر
@Engineer_computer
#راهنمای جیبی شناسایی تهدیدات لینوکسی 👆🏻
برای کسانی که هیچ sense از لینوکس ندارند خیلی خوبه
کانال آموزش کامپیوتر
@Engineer_computer
👍1
#GFW #Detection
در مقاله اخیر در کنفرانس USENIX تحلیل و بررسی انجام شده بر روی نحوه عملکرد دیواره آتش چین که به آن #GFW گفته میشود.
اولین نکته اشاره به پنج Rule برای تشخیص اکتشافی است که مبتنی بر تحلیل بایت های اولیه ارتباط TCP بخش Payload پروتکل است.
بر اساس این تحقیقات اگر شش بایت اول پکت های TCP بصورت تصادفی و از نوع Printable تولید شود، پکت عبور داده خواهد شد، اما اگر این شش بایت اول دارای کاراکتر محدوده [0x20,0x7e] باشد، پکت مسدود خواهد شد.
اما جالب است که GFW برای برخی پروتکل های عمومی معافیت هایی در نظر میگیرد، بطور مثال پروتکل TLS و HTTP در GFW دارای معافیت هستند و اگر سه بایت اول آنها مطابق با [\x16-\x17]\x03[\x00-\x09] باشد، ترافیک مجاز به عبور خواهد بود.
اما کاوشگر GFW همواره علاوه بر نظارت بر پکت ها، بر روی IP سرور های مشکوک شروع به صحبت با Port های معروف میکند، به عنوان مثال اگر بر روی Port هایی مانند 443 یا 80 باشد، کاوشگر درخواست استفاده به عنوان Proxy میکند، و اگر سرور پاسخ دهد آن IP مسدود خواهد شد.
https://www.usenix.org/system/files/sec23fall-prepub-234-wu-mingshi.pdf
@Engineer_Computer
در مقاله اخیر در کنفرانس USENIX تحلیل و بررسی انجام شده بر روی نحوه عملکرد دیواره آتش چین که به آن #GFW گفته میشود.
اولین نکته اشاره به پنج Rule برای تشخیص اکتشافی است که مبتنی بر تحلیل بایت های اولیه ارتباط TCP بخش Payload پروتکل است.
بر اساس این تحقیقات اگر شش بایت اول پکت های TCP بصورت تصادفی و از نوع Printable تولید شود، پکت عبور داده خواهد شد، اما اگر این شش بایت اول دارای کاراکتر محدوده [0x20,0x7e] باشد، پکت مسدود خواهد شد.
اما جالب است که GFW برای برخی پروتکل های عمومی معافیت هایی در نظر میگیرد، بطور مثال پروتکل TLS و HTTP در GFW دارای معافیت هستند و اگر سه بایت اول آنها مطابق با [\x16-\x17]\x03[\x00-\x09] باشد، ترافیک مجاز به عبور خواهد بود.
اما کاوشگر GFW همواره علاوه بر نظارت بر پکت ها، بر روی IP سرور های مشکوک شروع به صحبت با Port های معروف میکند، به عنوان مثال اگر بر روی Port هایی مانند 443 یا 80 باشد، کاوشگر درخواست استفاده به عنوان Proxy میکند، و اگر سرور پاسخ دهد آن IP مسدود خواهد شد.
https://www.usenix.org/system/files/sec23fall-prepub-234-wu-mingshi.pdf
@Engineer_Computer
#Ransomware #Detection Using #Machine_Learning
در مقاله ای از MDPI به موضوع نحوه تشخیص باج افزار مبتنی بر روش های تشخیص رفتار تهدید آمیز، مبتنی هوش مصنوعی پرداخته است.
در روش های قدیمی مرسوم، عموما مکانیزم های EPP اقدام به تشخیص مبتنی بر امضا، تشخیص مبتنی بر ترسیم رفتار مخرب یا Behavioral-Patterns و روش های Heuristic-Based Scanning پرداخته شده است.
حالا موضوعی به آن مبتنی بر هوش مصنوعی توجه شده است، بحث یاد گیری ماشین و ایجاد Dataset های بزرگ برای الگوریتم های یادگیری ماشین است.
با توجه به اینکه منابع Dataset در اینجا نقش خوراک الگوریتم را میبایست بازی کند، وجود Dataset های با کیفیت و جامع بسیار در امر یادگیری ماشین، کمک خواهد کرد.
این Dataset ها میبایست مدل های تشخیص آموزش دیده ای را به ماشین بدهند تا ماشین با تحلیل رفتار پردازش ها بتواند بهترین و دقیقا Pattern ای تشخیصی رو پایش کند.
که در این صورت ماشین میتواند هر بار بسیار سریع تر متوجه یک رفتار غیر طبیعی از یک برنامه توجیه یا Legitimate را تشخیص داده و واکنش مطلوب را سریعا نشان دهد.
https://www.mdpi.com/2504-2289/7/3/143
@Engineer_Computer
در مقاله ای از MDPI به موضوع نحوه تشخیص باج افزار مبتنی بر روش های تشخیص رفتار تهدید آمیز، مبتنی هوش مصنوعی پرداخته است.
در روش های قدیمی مرسوم، عموما مکانیزم های EPP اقدام به تشخیص مبتنی بر امضا، تشخیص مبتنی بر ترسیم رفتار مخرب یا Behavioral-Patterns و روش های Heuristic-Based Scanning پرداخته شده است.
حالا موضوعی به آن مبتنی بر هوش مصنوعی توجه شده است، بحث یاد گیری ماشین و ایجاد Dataset های بزرگ برای الگوریتم های یادگیری ماشین است.
با توجه به اینکه منابع Dataset در اینجا نقش خوراک الگوریتم را میبایست بازی کند، وجود Dataset های با کیفیت و جامع بسیار در امر یادگیری ماشین، کمک خواهد کرد.
این Dataset ها میبایست مدل های تشخیص آموزش دیده ای را به ماشین بدهند تا ماشین با تحلیل رفتار پردازش ها بتواند بهترین و دقیقا Pattern ای تشخیصی رو پایش کند.
که در این صورت ماشین میتواند هر بار بسیار سریع تر متوجه یک رفتار غیر طبیعی از یک برنامه توجیه یا Legitimate را تشخیص داده و واکنش مطلوب را سریعا نشان دهد.
https://www.mdpi.com/2504-2289/7/3/143
@Engineer_Computer
👍1