2015年7月4日 星期六

7/4 晨摘

  • 資訊安全:
1.窃密型WebShell检测方法 by 迷路的指南针

传统WebShell检测方法:

(1)静态检测:对脚本文件中所使用的关键词、高危函数、文件修改的时间、文件权限、文件的所有者以及和其它文件的关联性等多个维度的特征进行检测。

(2)动态特征检测:通过Webshell运行时使用的系统命令或者网络流量及状态的异常来判断动作的威胁程度。

(3)日志分析:通过大量的网站web日志文件建立请求模型从而检测出异常文件。

(4)统计学:NeoPi是国外流行的一个基于统计学的Webshell后门检测工具,它使用五种计学方法在脚本文件中搜索潜在的被混淆或被编码的恶意代码。

  • 信息熵(Entropy):通过使用ASCII码表来衡量文件的不确定性;
  • 最长单词(LongestWord):最长的字符串也许潜在的被编码或被混淆;
  • 重合指数(Indexof Coincidence):低重合指数预示文件代码潜在的被加密或被混效过;
  • 特征(Signature):在文件中搜索已知的恶意代码字符串片段;
  • 压缩(Compression):对比文件的压缩比。

窃密型WebShell检测方法:

(1)基于数据库操作审计的检测方式:在WEB服务器上部署代理型Agent,代理型Agent可以代理所有的数据库操作过程,精确的检索出异常操作,并且较审计型检测速度快。代理型Agent可以经过优化后与中间件进行深度结合能够追踪到发起数据查询请求的具体脚本文件。

(2)建立机器学习日志分析系统:直接在数据库服务器上增加日志审计客户端,可以实时的审计数据库操作记录。

2.用面包和无线接收器黑一台电脑 by FreeBuf

原理:不同的电脑操作,比如玩游戏或者加密解密一个文件,他们无线电波活动信号都各有其特点,这取决于CPU电源使用。

攻击者可发送一封包含加密段落的电子邮件给目标计算机,当计算机开始解密这封电子邮件时就开始监视电波信号,对于攻击者来说就可以提取用于保护数据的密钥。

3.北美IPv4地址即将用尽 by FreeBuf

美国网络号码注册机构(ARIN)负责分发互联网地址,警告说由于可用地址池中的IPv4枯竭,已无法满足大量IPv4地址的分配需求。

周三,ARIN初次激活了一个叫做“IPv4请求未满足政策”,列出了一个为服务器申请IP地址请求的候补名单。网络服务提供者(ISPs)目前只有三种选择:

(1)可以选择一个更小的区块(局限于512和256地址)
(2)可以加入未满足请求的候补名单,继续抱希望于所需要大小的区块在未来能够使用
(3)可以从其他有多余地址的机构处购买

  • 企業管理:
1.打造终极营销机器的两大障碍 by Shann Biglione

(1)头衔名目繁多,目标不明确
(2)等级结构扼杀激情与好奇心

2.如何激励你不喜欢的下属 by 利亚纳·达韦

(1)增加你们相处的时间
(2)增加你们相处的时间
(3)发掘不得体行为的根源

3.李開復:一場大病之後,我修的7個死亡學分 by 李開復

(1)健康無價
(2)一切的事物的發生有它的理由
(3)要珍惜我們的緣份,學會感恩和愛
(4)學會如何生活,活在當下
(5)經得住誘惑
(6)人人平等,善待每一個人
(7)我們的人生究竟是為什麼?

如欲閱讀更多文章摘要,請見 每日晨摘

沒有留言:

張貼留言