蠕虫传播检测——本质上是内网横向渗透检测

原创

bonelee 2023-06-01 11:36:53 ©著作权

文章标签 安全分析内网字节数 文章分类 Html/CSS 前端开发

©著作权归作者所有：来自51CTO博客作者bonelee的原创作品，请联系作者获取转载授权，否则将追究法律责任

蠕虫传播攻击特点：内网主机感染蠕虫后，会在内网进行大面积扩散，伴随着扫描行为。

因为使用扫描检测，并基于扫描事件的相似性（端口、扫描频率、扫描报文字节数、扫描的时间）可以检测蠕虫传播。

上一篇：RCE——远程命令/代码执行

下一篇：基于知识图谱的分布式安全事件关联分析技术研究——这就是我需要的安全知识图谱！底层引擎是知识图谱的关联分析！

提问和评论都可以，用心的回复会被更多人看到评论

发布评论

相关文章

内网横向技术（一）基础

域环境常见基础概念组织单元 (OU)组织单元是 Active Directory 中的一个容器对象，用于对网络对象（如用户、计算机、组）进行逻辑分组。OU 可以嵌套，形成层次结构，便于管理和组织网络资源。例如，一个公司可能会根据部门、地理位置或项目组来创建不同的 OU。安全标识符 (SID)安全标识符是一个唯一的 48 位数字，用于标识 Windows 系统中的安全主体（如用户、组、计算机）。每个

Windows 网络资源身份验证
网络端口存活检测

网络端口存活检测默认网络访问策略都是限制访问，开通后如何验证。一般使用telnet，服务器可能没装而无法使用，收集以下工具。查看远程服务器端口telnet使用telnet ip porttelnet 10.4.20.118 1521成功结果Trying 10.4.20.118...Connected to 10.4.20.118.Escape character is '^]'

IP TCP 网络访问
吸烟行为检测算法

吸烟行为检测系统通过获取视频图像，并利用图像识别技术来识别目标人物的人脸特征和香烟的特征。同时，系统还会分析人脸特征以确定人体嘴巴的位置，并判断香烟的一端是否位于嘴巴内部。如果香烟一端进入嘴巴内，系统将判定为存在吸烟行为。本文主要内容:详细介绍了摄像头下吸烟行为检测系统，在介绍算法原理的同时，给出Pytorch的源码、训练数据集以及PyQt6的UI界面。在界面中可以选择各种图片、视频进行检测识别，

xml 视频图像数据集
String：本质上是字符数组

String用来表示文本，即一系列 Unicode 字符。字符串是我们开发过程中频繁使用的对象，我们在软件界面上提示用户的所有一切都是字符串：不管是发票的日期还是发票的编号，或者是发票的金额虽然在定义数据类型时候分别应该是DateTime、double或string，但当界面呈现的时候，都是以文本的形式呈现，也就是string格式。字符串的声明非常的简单，使用””（双引

字符串开发 void 双引号都
致远OA漏洞——本质上是先url编码+gzip压缩来绕过检测

致远OA漏洞：https://mp.weixin.qq.com/s/ZyPwCytO7NLUuo9rfKtgyQ 可以看下其payload：https://github.com/fcre1938/seeyonAjaxGetshell/blob/main/get.py 关键点如下：可以看到是利用了url编码，再加入了一个gzip压缩。最好这个场景能够自动识别并解码。&

安全分析 ajax 3D xml
渗透测试-内网横向专题

测试-内网横向与提权专题中级-漫游内网之横向移动横向移动概述中级-漫游内网之横向移动横向移动概述获取域

网络 tcp/ip 安全内网斜杠
创业，本质上是一种逃避

2020年了，突然想说点什么

地理位置技术资料互联网公司
• 芯片（集成电路）本质上是电路

芯片的运行涉及多个层次，从芯片级到计算机级，让我们逐步探讨一下：芯片级原理：芯片（集成电路）本质上是电路，将这些电路系统制作在硅片上。这些电路可以接受或存储各种0和1的电平信号。根据接收的信号，电路完成不同的工作，不同的时序组合形成不同的指令（例如，0101代表加法，1010代表存储）。这样构成了指令集，例如RISC、MIPS等，针对CPU芯片的指令集。CPU芯片接收指令后，内部电路根据不同的指令

知乎应用程序协同工作
内网渗透测试：内网横向移动基础总结

内网渗透测试：内网横向移动基础总结横向移动在内网渗透中，当攻击者获取到内网某台机器的控制权后，会以被攻陷的主机为跳板，通过收集域内凭证等各种方法，访问域内其他机器，进一步扩大资产范围。通过此类手段，攻击者最终可能获得域控制器的访问权限，甚至完全控制基于Windows操作系统的整个内网环境，控制域环境下的全部机器。在这篇文章中，我们来讲解一下横向移动的思

横向扫面纵向扫描安全
JavaScript 闭包本质上是邪恶的吗？

JavaScript 闭包本质上是邪恶的吗？

javascript 开发语言 ecmascript 全局变量显式
领导力——胸怀，本质上是保持谦卑

千军易得，一将难求。一个卓越的企业领导者应该具备那些素质？优秀的思想品格，独特的领导方式，良好的心理素质……这些都与领导者的眼光与胸怀息息相关。因为，领导者最重要的两个任务就是决策和用人，而决策和用人都需要眼光和胸怀。胸怀宽广从低到高可分成七重境界：容人之短；容人之异；容人之过；容人反对；容人之长；容人分享；无私。1.容人之短不求全责备领导者要允许下属有短处，这属于领导者的底线标准。现实工作中不存

其他微信
使用深度学习检测TOR流量——本质上是在利用报文的时序信息、传输速率建模

可以通过分析流量包来检测TOR流量。这项分析可以在TOR 节点上进行，也可以在客户端和入口节点之间进行。分析是在单个数据包流上完成的。每个数据包流构成一个元组，这个元组包括源地址、源端口、目标地址和目标端口。提取不同时间间隔的网络流，并对其进行分析。G.He等人在他们的论文“从TOR加密流量中推断应用类型信息”中提取出突发的流量和方向，以创建HMM（Hidden Markov Model，隐马尔科

安全分析深度学习数据数据集
神经网络和反向传播算法——反向传播算法本质上是随机梯度下降，链式求导法则而来的

写得非常好，适合入门！神经元神经元和感知器本质上是一样的，只不过我们说感知器的时候，它的激活函数是阶跃函数；而当我们说神经元时，激活函数往往选择为sigmoid函数或tanh函数。如下图所示：计算一个神经元的输出的方法和计算一个感知器的输出是一样的。假设神经元的输入是向量，激活函数是sigmoid函数。神经网络是啥神经网络其实就是按照一定规则连接起来的多个神经元。上图展示了一个全连接(full c

机器学习神经网络权值激活函数
71：内网安全-域横向网络&传输&应用层隧道技术——端口转发本质上是属于传输层的隧道

71：内网安全-域横向网络&传输&应用层隧道技术思维导图必备知识点：1.代理和隧道技术区别?代理只是为了解决网络通信问题，有些内网访问不到，可以用代理实现隧道不仅是解决网络的通信问题，更大的作用是绕过过滤，突破防火墙/入侵检测系统。2.隧道技术为了解决什么?防火墙过滤问题、网络连接通信问题、数据回链封装问题在数据通信被拦截的情况下，可以利用隧道技术封装改变通信协议进行绕过拦截。

安全分析 IP DNS 内网
spark uniq 本质上就是单词计数

粗体部分示例：# dns_domain_info_list_rdd ==> [(src_ip, domain, domain_ip, timestamp, metadataid), ....] all_domains_list = dns_domain_info_list_rdd.map(lambda x: (x[1], 1)).reduceByKey(operator.add).m

spark sed
物联网安全——本质上是UDP RCE漏洞：tddp 协议

由一道工控路由器固件逆向题目看命令执行漏洞前言2019 工控安全比赛第一场的一道固件逆向的题目，好像也比较简单，好多人都做出来了。这里就分别从静态和动态调试分析复现一下这个命令执行的洞。赛题说明题目给的场景倒是挺真实的：路由器在处理 tddp 协议时出现了命令注入，导致了远程命令执行。就是后面做出来的这个答案的格式咋提交都不对…题目给了一个压缩文件，解压出来时一个 bin

安全分析 v8 v9 lua
逻辑学本质上是反心理主义的

当然，虽然我认为将“可能世界”定义为“逻辑上一致的（或无矛盾的）世界”并不会如刘易斯所言将导致逻辑循环，然而，世界上最好的定义，我不认为这个定义。因为，这个定义，“可能世界”，直观的感觉是通常不对外公布。同时，我认为，世界的可能性“，”必须在逻辑上一致，这也是可以讨论的。关于可能世界的第二种定义，是，“我们可以想像的可能性的世界，包括所有的世界，或也就是我们能想像的任何一个世界都

职场 2 休闲
工业互联网本质上不是“网”

从字面来看，工业互联网是跟物联网、互联网类似的网络，但实质上，工业互联网并不是这类纯粹意义的网络，而是工业系统，是将物理形式的投射

工业4.0 工业互联网数字化转型数字孪生智能制造
QTime的本质上是一个int，QDateTime本质上是一个qint64

研究这个问题的起因发现使用<=比较时间的不准确，所以怀疑是一个浮点数（Delphi里的time就是一个浮点数）。结果却发现是一个int 但是整数的比较，为什么会不准确呢？不是很理解。。。非得减去一秒之后，比较才准确。让我再想想。。。看到里面有一个QDateTimePrivate，略加研究之后发现 Read More

#endif css bootstrap #ifndef #if
内网渗透技巧之横向控制

对象信...

mimikatz kerberos authenticator 时间戳计划任务
Android 震动amplitude max value

Vibrator框架 APP简单震动实现一定要在AndroidManifest.xml中注册// 震动效果的系统服务 vibrator = (Vibrator) getSystemService(VIBRATOR_SERVICE);VibratorService来源：在SystemServer启动的时startOtherServices()中将VibratorService 添加至Servic

android java 前端 ide
python怎么调用另一个文件的__main__

文件操作+模式： r+t w+t a+t r+b w+b a+b 可读可写，其他功能与人，r，w，a相同f.seek(offset,whence) 文件指针移动 offest的单位为b

python 函数体文件名函数定义
nacos 连接到的mysql 信息

因为是Linux安装，所以下载的是tar.gz的下载完之后直接用的MobXtrem上传到任意文件夹中，然后用下面的命令解压到当前文件夹：tar -zxvf nacos-server-1.4.2.tar.gz然后进入到bin文件夹下面，执行单机命令启动：./startup.sh -m standalone这个时候就已经可以访问页面域名/ip:8848/ncaos访问到控制台页面，一开始

nacos 连接到的mysql 信息 mysql 数据库置数据
mysql ibdata1过大会造成什么影响

前言删除表，大家下意识想到的命令可能是直接使用DROP TABLE "表名"，这是初生牛犊的做法，因为当要删除的表达空间到几十G，甚至是几百G的表时候。这样一条命令下去，MySQL可能就直接夯住了，外在表现就是QPS急速下降，客户请求变慢。解决办法1.业务低峰时间手动执行删除这个可能就需要DBA不辞辛劳，大晚上爬起来删表了。2.先清除数据，最后再删除的方式譬如1000万条数据，写脚本每次删除20万

mysql ibd删除 mysql 硬链接 MySQL
access创建SQL查询

随着用户对于企业级高性能数据库的需求的增长，用户时常要从Microsoft Access Jet引擎的文件-服务器环境下转换到MicrosoftSQL Server的客户-服务器环境。Microsoft Office 2000中的Access 2000 Upsizing Wizard可实现将数据表和查询转移到SQLServer 7.0中。如果您用的是Acc

access创建SQL查询 access 数据库服务器 SQL Server

官方博客	全部文章	热门标签	班级博客
了解我们	网站地图	意见反馈

鸿蒙开发者社区	51CTO学堂
51CTO	软考资讯