PCA 入侵檢測方法研究 階段總結(jié)
1.PCA(主成分分析)算法原理:PCA主要用于數(shù)據(jù)降維,所以找尋變化大的元素,即方差大的維,去掉變化小的維,就是PCA算法的基本原理。
算法是根據(jù)樣本矩陣求出協(xié)方差矩陣,由協(xié)方差矩陣得到特征矩陣,再由樣本矩陣乘以這個特征矩陣就得到新的樣本矩陣。基于人臉識別的算法原理和具體流程:
(1)算法原理:利用K-L變換抽取人臉的主要成分,構(gòu)成特征臉空間,識別時將測試
圖像投影到次空間,得到投影系數(shù),與原人臉圖像比較識別。(2)具體流程:
1)訓練階段:
第一步:假設訓練樣本集,得出訓練樣本矩陣。第二步:計算平均臉。第三步:計算臉差值。第四步:構(gòu)建協(xié)方差矩陣。第五步:求得特征臉空間。
第六步:將人臉與平均臉差值投影到特征臉空間。
2)識別階段:
第一步:將待識別的人臉與平均臉的差值投影到特征臉空間。第二部:定義閾值。
第三步:采用歐式定理計算待側(cè)臉與樣本臉之間的距離。第四步:比較閾值和距離對人臉進行區(qū)分。
2.隨著Intenet的快速發(fā)展,我們要處理的信息數(shù)據(jù)越來越多,為了提高效率,我們采取特征提取的方法來提高效率。PCA在特征提取中的應用
擴展閱讀:入侵方法總結(jié)
相關搜索方法:
1,搜索網(wǎng)頁。
確定目標信息1,為以后發(fā)動字典和木馬**做準備;尋找網(wǎng)頁源代碼找注釋和隱藏域,尋找隱藏域中的”FORM”標記。例如:
可以發(fā)起SQL注入攻擊,為以后**數(shù)據(jù)庫做準備。相關工具:UNIX下的Wget,Windows下的Teleport。2,鏈接搜索
目標網(wǎng)站所在的服務器可能有其他具有弱點的網(wǎng)站,可以進行迂回**,而且可以發(fā)現(xiàn)某些隱含的信息。搜索方法介紹:通
過各種搜索引擎:[url=,],[/url]二,查點
A,確定目標的域名和相關的網(wǎng)絡信息。搜索方法;
Whois查詢,通過Whois數(shù)據(jù)庫查詢可以得到以下的信息:1,注冊機構(gòu):顯示相關的注冊信息和相關的Whois服務器;2,機構(gòu)本身:顯示與某個特定機構(gòu)相關的所有信息;
3,域名:顯示與某個特定域名相關的所有信息
4,網(wǎng)絡:顯示與某個特定網(wǎng)絡或單個IP地址相關的所有信息;5,聯(lián)系點:顯示與某位特定人員相關的所有信息
搜索引擎站:,舉例:Outputof:whois163.com@whois.internic.netRegistrant:
Netease.com,Inc.
36/FPeaceWorldPlaza,No.362-366HuanShiDongRoad
Guangzhou,Guangdong510060CN
DomainName:163.COM
AdministrativeContact,TechnicalContact:Netease.com,Inc.nsadmin@corp.netease.com36/FPeaceWorldPlaza,No.362-366HuanShiDongRoad
Guangzhou,Guangdong510060CN
+86-20-85525516fax:+86-20-85525535Recordexpireson24-Jan-201*.
Recordcreatedon15-Sep-1997.
Databaselastupdatedon10-Feb-201*03:24:01EST.Domainserversinlistedorder:NS.NEASE.NET202.106.185.75NS3.NEASE.NET220.181.28.B,利用ARIN數(shù)據(jù)庫可以查詢某個域名所對應的網(wǎng)絡地址分配信息。
相關搜索地址:-bin/whois.pl
利用-bin/whois2.pl進行對IP地址的查詢,以搜集有關的網(wǎng)絡信息:
舉例:163.com->202.108.9.16
inetnum:202.108.0.0202.108.255.255netname:CNCGROUP-BJ
descr:CNCGROUPBeijingprovincenetwork
descr:ChinaNetworkCommunicationsGroupCorporationdescr:No.156,Fu-Xing-Men-NeiStreet,descr:Beijing100031country:CNadmin-c:CH455-APtech-c:SY21-AP
mnt-by:APNIC-HM
mnt-lower:MAINT-CNCGROUP-BJ
mnt-routes:MAINT-CNCGROUP-RR
changed:hm-changed@apnic.net201*1017status:ALLOCATEDPORTABLE
changed:hm-changed@apnic.net201*0124source:APNIC
role:CNCGroupHostmastere-mail:abuse@cnc-noc.net
address:No.156,Fu-Xing-Men-NeiStreet,address:Beijing,100031,P.R.Chinanic-hdl:CH455-AP
phone:+86-10-82993155fax-no:+86-10-82993102country:CN
admin-c:CH444-AP
tech-c:CH444-AP
changed:abuse@cnc-noc.net201*1119mnt-by:MAINT-CNCGROUPsource:APNIC
person:sunying
address:BeijingTelecommunicationAdministrationaddress:TaiPingHuDongLi18,XichengDistrictaddress:Beijing100031country:CN
phone:+86-10-66198941fax-no:+86-10-68511003
e-mail:suny@publicf.bta.net.cnnic-hdl:SY21-AP
mnt-by:MAINT-CHINANET-BJchanged:suny@publicf.bta.net.cn19980824
source:APNIC
知道了目標所在的網(wǎng)絡,可以進行迂回滲透,尋找薄弱點,進入目標網(wǎng)絡,然后在攻擊目標。C,DNS信息查詢
域名系統(tǒng)允許把一個DNS命名空間分割成多個區(qū),各個去分別保存一個或多個DNS域的名字信息。
區(qū)復制和區(qū)傳送:DNS服務器之間是采用區(qū)傳送的機制來同步和復制區(qū)內(nèi)數(shù)據(jù)的。區(qū)傳送的安全問題不在于所傳輸?shù)挠蛎畔,而在于其配置是否正確。因為有些域名信息當中包含了不應該公開的內(nèi)部主機和服務器的域名信息。相關工具:
1,Windows下,nslookup,SamSpade;2,UNIX下:nslookup,dig,host,axfr在Windows下的使用方法:c:\\>nslookup
Defaultserver:目標的DNS服務器Address:目標的IP地址
>settype=ANY//表示接受任何可能的DNS記錄
>ls-d163.com>zone.163.com.txt//獲得目標域的相關記錄,結(jié)果保存在zone.163.com.txt
D,通過Traceroute獲得網(wǎng)絡的拓撲結(jié)構(gòu)以及網(wǎng)絡網(wǎng)絡設備的地址。相關工具;
Windows下:Tracert支持ICMP協(xié)議
UNIX下:Traceroute支持ICMP和DNS協(xié)議,由于多數(shù)防火墻已經(jīng)過濾了ICMP,所以UNIX下的Traceroute是不錯的選擇,而且使用-pn選項可以自己指定使用的端口。三,網(wǎng)絡掃描
面對不同的網(wǎng)絡,應該采用不用的掃描方法:
1,對于內(nèi)部網(wǎng)絡,可用類型很多,ICMP協(xié)議是普遍要裝上的,在內(nèi)部網(wǎng)廣播ICMP數(shù)據(jù)包可以區(qū)分WINDOWS和UNIX系統(tǒng),發(fā)送類型為8的ICMP的ECHO請求,如果可以受到類型為0的ECHO回應,表明對方主機是存活的。相關工具介紹:
UNIX下的:fping&gping
WINDOWS下:Pinger特點:速度快,多線程。
2,對于外部網(wǎng)絡,可用類型也很多,涉及到的原理也有很多,例如:TCP掃描,UDP掃描,其實我是很不愿意用掃描工具的,很容易使對方感覺到**事件的發(fā)生,不論是防火墻還是**檢測系統(tǒng)都會或多或少的留下我們的腳印,如果遇到一個勤快的管理員的話,那么這次**很可能以失敗告終。但使用與否依各個喜好而定了:),有時候我們在測試網(wǎng)絡或者主機的安全性時,就不能忽視他的存在了,首先,安全測試不是**,全面的測試對抵御隱士和蠕蟲的攻擊是必要的,在這里推薦的端口掃描工具是NMAP,因為他帶有躲避IDS檢測的機制,重組了TCP的三次握手機制,慢掃描機制等等都是其他掃描工具無法比擬的,UDP掃描是很不可靠的,原因有下幾點:
這種掃描依靠ICMP端口不可達消息,如果發(fā)送端給目標一個感興趣的端口發(fā)送了一個UDP數(shù)據(jù)包后,沒有收到ICMP端口不可打消息,那么我們認為該端口處于打開狀態(tài)。不可靠的原因:
1,路由器可能丟棄UDP分組;2,很多的UDP服務不也不產(chǎn)生響應;
3,防火墻的常規(guī)配置是丟棄UDP分組(除DNS外);
4,休眠狀態(tài)的UDP端口是不會發(fā)送一個ICMP端口不可到達消息。
還有的掃描工具就是弱點掃描工具,這些工具綜合各種漏洞信息構(gòu)造漏洞數(shù)據(jù)庫,去探究存在漏洞沒有打補丁的主機,當然也有針對特定漏洞的檢測發(fā)現(xiàn)工具(腳本小子能用,網(wǎng)絡安全人員也弄用雙刃劍-:)
這里詳細介紹對目標操作系統(tǒng)類型的檢測原理:
Telnet標識和TCP/IP堆棧指紋:
1,網(wǎng)上許多的系統(tǒng)可以直接Telnet到目標,大多會返回歡迎信息的,返回的信息包含了該端口所對應的服務軟件的版本號,這個對于尋找這個版本的軟件的漏洞很重要,如果對方開了Telnet,那么可以直接得到對方的系統(tǒng)類型和版本號,這個對于挖掘系統(tǒng)的漏洞很重要(對于溢出來說,不同版本的系統(tǒng)和語言版本的系統(tǒng)來說,RET地址,JMPESP,地址是不同的)。2,如今越來越多的管理員懂的了關閉功能標志,甚至提供偽造的歡迎信息。那么TCP/IP堆棧指紋是區(qū)分不同系統(tǒng)的好方法。
1,F(xiàn)IN掃描
給打開的端口發(fā)送FIN包,RFC793規(guī)定不返回任何響應,例外的系統(tǒng)是:MSWindows,BSDI,CISCO,HP/UX,MVS和IRIX都返回一個RESET包。2,TCP初始序列號(ISN)采樣
這種方法利用了在實現(xiàn)TCP連接時使用不同的ISN模式識別系統(tǒng),可以分成多種模式:傳統(tǒng)的64K增加(舊UNIXOS),隨機增加(新版的Solaris,IRIX,FreeBSD,DigitalUNIX和Cray等),真正隨機(Linux2.0.*,OpenVMS和新版AIX等),Windows系統(tǒng)使用所謂的“時間依賴性”模型,即ISN的增加同某一個短固定的時間間隔有關系,有些主機始終使用固定的ISN,例如3COM集線器(使用0×803)和AppleLaserWriter打印機(0xC7001)。3,不分片位
目前許多系統(tǒng)在他們發(fā)送的包中使用IP“不分片”位,這主要是想獲得好的運行性能,不過也不是所有的操作系統(tǒng)都有此功能,即使有,其實現(xiàn)的方式可能也不同。因此利用次位或許有利于我們收集更多的有關目標OS的信息。
4,TCP初始窗
TCP初始窗只是簡單地測試返回包的窗口尺寸。Queso和Nmap可以對實際的窗口進行窗口跟蹤。在很多操作系統(tǒng)中是一個常數(shù)。例如:AIX是唯一使用0×3F25的操作系統(tǒng)。對于完全重新編寫代碼的NT5的TCP堆棧,使用0×402E.5,ACK值
如果發(fā)送一個FIN|PSH|URG,許多操作系統(tǒng)設置ACK等于初始序列號,而Windows和某些打印機將發(fā)送seq+1.如果發(fā)送一個SYN|FIN|PSH|URG到打開的端口,不同的Windows系統(tǒng)的實現(xiàn)將很不一致,有時返回seq,有時返回seq+1,甚至返回完全隨機的數(shù)值。6,ICMP錯誤消息機制
某些操作系統(tǒng)按照RFC1812的建議,限制不同錯誤消息的發(fā)送速率。例如:Linux內(nèi)核(在net/ipv4/icmp.h中定義)限制目標不可到達消息的產(chǎn)生速率為4秒種內(nèi)80個,如果超過這個限制將有1/4的懲罰。測試方法是發(fā)送一大串包到某些隨機選取的高端口,然后計算返回的不可到達包的數(shù)目。
7,ICMP消息引用(MessageQuoting)
RFC規(guī)定:ICMP錯誤消息將引用一小部分導致錯誤消息包的ICMP消息內(nèi)容。對于端口不可達消息,幾乎所有的實現(xiàn)都只發(fā)送所需要的IP頭+8字節(jié)。不過Solaris發(fā)送的內(nèi)容更多,而Linux發(fā)送的東西最多。這就是我們識別沒有打開任何端口的Linux和Solaris主機。8,ICMP錯誤消息回射完整性
主機對端口不可打錯誤消息將送回一小部分于是消息的內(nèi)容。某些機器送回的包中包括的協(xié)議頭部分已經(jīng)被改變。例如,AIX和BSDI送回的IP總長度是20字節(jié)。而系統(tǒng)BSDI,F(xiàn)reeBSD,OpenBSD,ULTRIX和VAXen則將原樣送回你所發(fā)送的IP標識符。某些系統(tǒng)(AIX和FreeBSD等)將送回不一致或等于0的校驗和。這同樣適用于UDP校驗和。Nmap對ICMP錯誤消息包進行九種不同的測試以標識系統(tǒng)之間的微笑差別。9,TCP選項
是實現(xiàn)TCP/IP協(xié)議時可選的一個部分功能,這跟不同的系統(tǒng)實現(xiàn)有關,這些選項都是挖掘可用信息的好方法。原因是:
1,他們都是可選項,不是所有主機都可以實現(xiàn)的;
2,如果你所發(fā)送的包中對某個選項進行了設置,只要目標支持,那么目標主機就返回此選項;3,可以在包中設置所有的選項進行測試。
例如:Nmap在每個探測包中設置所有的選項來進行測試:
WindowsScale=10;NOP;MaxSegmentSize=265;Timestamp;EndofOps;
從返回的的包中查看這些選項,就知道了什么系統(tǒng)支持他們。
還有一種被動操作系統(tǒng)識別方法,就是監(jiān)控不同系統(tǒng)之間網(wǎng)絡包的情況來判斷目標的操作系統(tǒng)類型,siphon被用來進行這方面的測試,這個工作原理如下:簽名:
主要TCP的四個字段判斷:1,TTL:出站的包的存活時間;2,Windowsize:窗口大小;
3,DF:是否設置了不準分片位;4,TOS:是否設置了服務類型。
綜合這些信息可以大概判斷出目標的系統(tǒng),但不能%100。四,查點
利用查點技術可以得到比前面講的更多更具體的有用信息,例如:帳戶信息等。1,Windows系統(tǒng)查點技術
利用NetBIOS規(guī)則,首先介紹NetBIOS,NetBOIS位于TCP/IP之上,定義了多個TCP和UDP端口。-TCP
(1),139:nbsession:NetBOIS會話。
例如:netuse\\\\IP\\ipc$””/user:”“.
(2),42:WINS:WindowsInternet名字系統(tǒng)(UDP端口也是42)。-UDP
(1)137:nbname:名字查詢。
例如:nbtstat-AIP//03中顯示的不是計算機名就是用戶名(2)138:nbdatagram:UDP數(shù)據(jù)報服務
例如:netsend/d:domain-name“Hello”
得到用戶名利用到了IPC$空會話和sid工具。sid工具由兩個小工具組成:user2sid和sid2user.user2sid獲得用戶名或組名的sid;sid2user則是輸入一個sid而獲得相應用戶名的和組名,sid就是在創(chuàng)建用戶時而創(chuàng)建的,相當于UNIX系統(tǒng)下的UID,WIN系統(tǒng)權限的檢查就是通過對SID的檢查的。一個sid是由一長串數(shù)字組成的,其中包括兩個部分,前一部分用來唯一標識一個域,后一部分唯一標識一個用戶名,這部分數(shù)字被稱作rid,既相對標識符,rid有一定的規(guī)律,其取值總是從500開始的,超級管理員的rid總是500,而GUEST用戶的rid總是501;而新建立的帳戶的rid從1000開始。具體的步驟:
c:\\netuse\\\\IP\\ipc$””/user:””
c:\\user2sid\\\\IPguest//得到了SID的前半部分s-1-5-21-1123561945-1580818891-1957994488-501
s是sid的前綴,后面跟的是1表示版本號,5用于標識發(fā)放sid的授權實體,5指NT/201*。21-1123561945-1580818891-1957994488唯一地標識域和工作組。不同的用戶只是最后的相對標識符不一樣,F(xiàn)在用sid2user查詢系統(tǒng)的用戶名了:
c:\\sid2user\\\\IP521112356194515808188911957994488500nameiscookiedomainiscondor
c:\\sid2user\\\\IP5211123561945158081889119579944881001
SNMP查點:通過默認的管理群字符串PUBLIC讀取特性,可以得到系統(tǒng)的一些信息,具體有:接口表,路由表及ARP表,TCP表和UDP表,設備表和存儲表,進程表和軟件表,用戶表,共享表。
SNMP工具,snmputil.exe
例如:
1,或者網(wǎng)絡接口數(shù)目:
c:\\snmputilgetlocalhostpublic.1.3.6.1.2.1.2.1.02,顯示所有的SNMP變量內(nèi)容
c:\\snmputilwalklocalhostpublic.1.3
2UNIX類系統(tǒng)的查點技術
1,$showmount-e//前提2049號端口開著(NFS)2,$finger@還有rusers3,$telnet25vrfyroot//證實是否有rootexpnadm
quit
五,具體的分析漏洞
針對特定目標進行了以上分析后,總結(jié)出最好的**思路,選擇**工具,做好**的準備工作是必須,有時**時間的選擇也是很重要的,因為會涉及到正常的公司網(wǎng)絡的正常通信,甚至會使惡意的網(wǎng)絡在你**測試就發(fā)生了,最直接的漏洞利用方法,我認為是溢出漏洞了,因為他直接就可以得到對方的系統(tǒng)權限,返回一個和在本地一樣的SHELL環(huán)境,此時無所不能:溢出攻擊的分類有:
1,WINDOWS下的和UNIN下的
一般原理,就用戶提交的參數(shù)范圍超過了在內(nèi)存中保存的本地變量的范圍,而程序或者系統(tǒng)并沒有對輸入的參數(shù)進行合理的長度檢查,導致了被調(diào)用函數(shù)的返回地址被覆蓋,如果用一個跳轉(zhuǎn)到我們提交的shellcode的地方的地址代替,那么我們的shellcode就可以運行,成功得到了目標的系統(tǒng)權限。
此外還有格式化串漏洞,導致這個漏洞的原因是在處理用戶數(shù)據(jù)的參數(shù)時沒有過濾用戶提交的,格式化符號,例如%n這個將允許輸出的參數(shù)的個數(shù)保存在內(nèi)存中,惡意構(gòu)造此漏洞用戶將會向內(nèi)存的任何位置寫SHELLCODE的地址。2,常見漏洞類型
UNIX下的本地漏洞很多,挖掘起來也較容易,他主要有以下幾種類型:1,環(huán)境欺騙
一般指PATH環(huán)境變量的欺騙,就是說如果一個特權的程序執(zhí)行了一個外部的命令,那么我們可以簡單的構(gòu)造這個外部命令程序,然后修改PATH使這個特權程序能夠去首先執(zhí)行我們構(gòu)造的外部命令程序,而這個外部的命令程序是一個去得SHELL的程序例如:bash$cat>ps#!/bin/sh>EOF
而這個特權程序是:
bash$cat>test.cintmain()>{
>setuid(0);
>system(“ps-ef”);/*程序調(diào)用了外部命令,但沒有給出這個命令的絕對路徑,這個是PATH欺騙的前提*/>}>EOF
編譯后的test文件具有s為,屬主是root.這樣設置是因為程序test執(zhí)行時會以root身份運行特權命令,這樣在他運行時由于調(diào)用的是我們偽造的ps命令程序,所以會產(chǎn)生一個root權限的SHELL環(huán)境。2,競爭條件
一般指時序競爭,例如:
fp=fopen(“test.log”,”w+”);
chown(“test.log”,getuid(),getgid());
原理也很簡單,就是如果當前的程序運行時權限是euid=root,uid=當前用戶,由于文件test.log在打開會執(zhí)行將文件的屬主改為當前用戶,所以我們可以在執(zhí)行完fopen之后,chown之前刪了test.log,而創(chuàng)建了一個到/etc/passwd的符號鏈接,這樣就會將/etc/passwd文件的屬主改為當前的用戶,當前的用戶就可以在passwd文件中將自己的uid改為0,這樣就取得了system權限。3,溢出和格式串漏洞
導致這些漏洞的數(shù)據(jù)來源主要是:1,命令行參數(shù)2,環(huán)境變量
3,特定格式文件的讀取4,用戶交互十的輸入
緩沖溢出的漏洞是有以下一些函數(shù)引起的:1,strcpy2,strcat3,sprintf4,vsprintf
格式化串的漏洞和以下一些函數(shù)有關:1,print/vprintf2,fprintf/vfprintf3,sprintf/vsprintf
4,snprintf/vsnprintf
利用工具有objdump,elfedump查看目標是否有不安全的以上不安全的函數(shù),如果有可以進行黑盒測試,進而進行返匯編分析程序的上下文和執(zhí)行流程,利用strings可以靜態(tài)查找目標的環(huán)境變量。
六,攻擊WWW
現(xiàn)在的**事件,攻擊WWW居多,原因也很簡單,那就是程序員在編寫WEB腳本程序時更本不注重安全因素,導致了上傳shell,提升權限之類的嚴重后果,**滲透測試主要通過以下幾個方面進行測試:
1,搜索SQL注入點;
2,搜索特定目錄和文件,例如:上傳程序文件,這個利用價值也很大;
3,尋找管理員登陸網(wǎng)頁,進行字典或者SQL饒過**;
4,尋找WEB程序的源代碼,進行漏洞挖掘,主要涉及的漏洞類型有:SQL注入,文件包含漏洞,目錄跳轉(zhuǎn)漏洞,以腳本文件格式保存錯誤日志漏洞,上傳漏洞;
5,在代碼審核時,不要忘記對程序員犯的邏輯錯誤進行查看,例如:函數(shù)書寫錯誤6,總是,漏洞的成因歸根到底是由于對用戶的輸入沒有進行嚴格的過濾。七,其他的**
1,針對數(shù)據(jù)庫MSSQL,MYSQL,ORACLE等數(shù)據(jù)庫的**;2,針對路由,防火墻,IDS等網(wǎng)絡設備的滲透3,無線**滲透
八,**滲透以后
1,在成功得到系統(tǒng)級別的權限以后,就要在目標留下后門方便以后進入,當然清楚日志是最為重要的收尾工作,這些方面也有很多的技術可以討論,例如:后門的隱藏(WIN下的ADS是一個不錯的隱藏程序的東東,日志的有選擇刪除及其偽造等等,這里就不詳談了。。
友情提示:本文中關于《PCA 入侵檢測方法研究 階段總結(jié)》給出的范例僅供您參考拓展思維使用,PCA 入侵檢測方法研究 階段總結(jié):該篇文章建議您自主創(chuàng)作。
來源:網(wǎng)絡整理 免責聲明:本文僅限學習分享,如產(chǎn)生版權問題,請聯(lián)系我們及時刪除。