kl195375的博客

原创 进程与线程

进程：由程序，数据集，进程控制块组合而成。是程序在数据集上的一次动态的执行。程序：决定了进程有什么样功能，并如何实现这些功能。数据集：进程执行时所需要的资源。进程控制块：系统识别进程唯一的标识，记录和恢复进程的状态。进程是程序的一个实体，是系统资源分配与调度的基本单位，是操作系统结构的基础。进程切换内核有能力将在cpu上运行的进程进行挂起，在内存中开辟空间用于储存挂起进程的状态及所需要的资源。 并恢复之前被挂起的进程。进程切换极耗费资源。线程是进程的一个实体，由进程ID，程序计数器，寄存

原创 冯诺依曼计算机体系

冯诺依曼计算机体系1.存储器（指的是内存与外存）操作系统内核可以直接其中内存被分为用户空间与内核空间。

原创 同步，异步，阻塞，非阻塞

要分层次进行分析“阻塞”与”非阻塞“1.进程间通信层面《操作系统概念（第九版）》中说明：进程间通信是通过调用send()和receive()原语实现的。调用方案有多种，信息的通过是阻塞与非阻塞二者之一。同时在此层面同步和异步与阻塞和非阻塞意义相同。阻塞接口：会等待信息返回，且等待时会导致进程被挂起。非阻塞接口：会立刻返回调用，使进程能够正常运行，稍后会返回结果通知。阻塞发送：发送信息被阻塞，直到信息被接收。非阻塞发送：信息被发送后可直接进行其他操作。阻塞接收： 调用receive()后被阻

原创 python cv2

import cv2img=cv2.imread(path) #从相应地址读取图片cv2.imshow(img)#显示相应图片cv2.resize(img,(size,size))#重置图片大小cv2.WaitKey（0）#等待键盘相应，其他数字为等待时间毫秒为单位。cv2.destroyAllWindows() #主要作用是清除所有show出来的图像...

原创 PCA（Principal components analysis）主成分分析的理解

PCA可以用于数据的降维，也可以用于特征的选择。降维后所有特征都是新的特征，无法明确其具体的意义。设C为原样本集，P为基。新的数据为T。C类似于原有坐标点，P是坐标系的基，通过矩阵乘法可以获得新的坐标点T。通过这种方法获得的T便是降维后的数据集。在这里我们需要获得P。两数据之间不存在相互关系时，方差为0.可以利用这个关系建立协方差矩阵新数据的协方差为M：为T的协方差矩阵，格式如下:原数据的协方差为D：M与D之间的关系为：优化协方差M也就是令协方差矩阵对角化：优化方式是利用拉格朗日

原创 IG （information gain）

IG(t)=H( C )-H(C/T)特征T的信息增益等于：整体C的信息量减去已知特征t时的信息量。信息量通过熵来表达。H( C )是整体的信息熵Ci为类别H（C/T）是已知特征T时的信息量，一般只存在两种状态，有特征T为t，没有特征T,为*t。所以...

原创 K-NN

k临近算法：核心：计算样本之间的距离，并将相近的k个样本排列出来。分类到临近样本数量的类别。

原创 随机森林（random forest）

1.类似于决策树集合，从集合中选择效果最佳的分类模型。2.属性建立：从M个属性中选取m个属性，m<<M远小于。利用规则确认节点属性，如信息增益等。分裂属性直至无属性可选为止。3.训练模型：从总样本中放回式选取n个样本训练模型4.选择模型：选择最佳的分类效果的模型。...

原创 UDP用户数据报协议（User Datagram Protocol）

与TCP同样是处于传输层的传输协议，位于IP协议上层。提供不可靠，不面向连接的传输。传输完整的数据报。在丢失数据时不会进行重发。UDP协议提供多连接。多用于不同计算机之间连接。UDP协议基本上是IP协议与上层协议的接口应用层访问UDP协议，并通过IP协议传输数据，IP协议的数据部分即UDP协议的数据报。IP协议头部表明了源主机与目标主机的地址，UDP协议头部表明源端口与目标端口。UDP协议头部为四部分：源端口，目标端口，数据报长度，检验和。UDP协议与TCP协议使用端口号为不同应用保留不同的数

原创 TCP协议（Transmission Control Protocol）

TCP协议是传输层常用传输协议。（Transmission Control Protocol）1.可靠性2.面向连接3.基于字节流4.在网络状态不佳时会降低重传给系统带来的宽带开销5.通信连接维护是面向连接的两个端，忽视中间网段与节点。为了满足这些特点，TCP协议做出了如下规定：1.数据分片：发送端会将数据分片，并在接受端重组。TCP控制分片数据的大小以及数据分片和重组。2.到达确认：接受端在接受数据分片后会给发送方发送确认。使用累积确认，以减小宽带消耗3.超时重发：发送端在发送数据分片时

原创 NIDS and HIDS

NIDS: network intrusion detection system基于监控传入流量的检测系统HIDS: host-based intrusion system基于监控系统情况的检测系统

原创 Fuzzy Theory

模糊理论 （Fuzzy Theory） 是指使用了模糊集合的基本概念或使用连续隶属度函数的理论。可分为：模糊数学，模糊系统，不确定性和信息，模糊决策，模糊逻辑与人工智能。模糊集合用来表达模糊性概念的集合。1965年美国学者扎德创建了一种描述模糊现象的方法–模糊集合论jiang...

原创 intrusion detection system(IDS) anomaly and misue

anomaly(异常检测)：将正常行为作为标签，所有不同于正常行为的其他行为被标为攻击行为。misue（误用检测）：将已知的恶意行为作为标签，其他行为被标为正常

原创 CNN（convolutional neural network）

原创 共轭（conjugate）

共轭（conjugate）：数学上的共轭：共轭复数：实数部分相同而虚数部分互为相反数的两个复数矩阵的共轭转置：把矩阵转置，再把每一个数换成它的共轭复数...

转载 酉矩阵（unitary matrix）

1.酉矩阵（unitary matrix）若n阶复数矩阵A满足则称A为酉矩阵,记之为A。其中,是A的共轭转置。2.性质如果A是酉矩阵1.=2.也是酉矩阵；3.det(A)=1;行列式determinant,方阵所对应的行列式充分条件是它的n个列向量是两两正交的单位向量。两两正交意味着互相垂直乘积和为0...

原创 模拟处理器

处理器（CPU）计算机的主要设备之一，电脑中的核心配件。中央处理器（central processing unit）作为计算机系统的运算与控制核心，是信息处理与程序运行的最后执行单元。cpu自生产以来，在逻辑结构，运算效率及功能外延上取得了巨大发展。功能：解释计算机的指令，处理计算机软件中的数据。cpu是计算机中负责读取指令，针对指令译码并执行指令的核心部件。计算机系统中所有软件层的操作，最...

原创 召回率与精确率（recall,precision）

recall:针对被分类的类A中样本，有多少被分类到了类A中（被正确分类到A中的原A类样本数）/原类A总样本数precision：被分类到A中的样本有多少是原A类的样本，（被正确分类到A中的原A类样本数）/被分类A的总样本数...

原创 CIG（class-wise information gain）

计算特征f分别在B类M类中的CIG值。能够有效的提取有效特征。

原创 BHO (brower helper object)

浏览器帮助对象是一种由DLL模块设计作为一种插件为微软的IE web浏览器提供额外的功能。 windows 10 的IE11依然对BHO支持。但默认的浏览器Mircrosoft Edge不再支持BHO。BHO可以显示浏览器不能显示文件格式。问题：...

转载 间谍软件 Spyware

在用户不知情的情况下，在其电脑上安装后门，收集用户的个人信息的软件，能够消弱用户对其使用经验，隐私及系统安全的物质控制能力；消耗电脑资源包括安装包上的程序一般编写十分简陋；收集或散布用户的个人信息。后门：指绕过安全机制从比较隐秘的通道来获取访问与控制系统或软件。在软件开发时设置后门方便修改与测试...

原创 Feature

1.< Android Malware Detection Based on Convolutional Neural Network>All software — APK Tool > Android APK file folder && Androguard(使用python编写的逆向工具，可以做android APP的静态分析)Android ...

转载 HoneyClients

信息安全的本质是持续对抗。蜜罐与蜜网：通过设置‘假目标’来增加攻击成本，通过观察攻击者在蜜罐与蜜网中的攻击行为，来全面的了解攻击者。蜜罐与蜜网被攻破的结果是可预测的同时也是可控制的。蜜罐(Honeypot)定义：A security resource who’s value lies in probed ,attacked or compromised .两个重要的特点：没有业务上的用途...

原创 malware

malwaremalious software代表了能够对计算机有威胁的软件程序有如：病毒（viruses）,worms,Trojan等。对其分类一般为软件的行为目的及传播的途径。检测的方法三种类型：静态，动态以及静动结合的检测方式。根据检测的对象及技术分类器的不同所使用的分类特征也是不同的。静态特征一般是以软件的代码，反编译的编译内容为原数据从中提取有用的特征。基于签名的检测：签名指...

原创 躲避检测的技术

1.混淆技术（obfuscation tech）混淆技术2.packing3.anti-debugging4.anti-virtualization

原创 논문의 목표와 기여

1.< a mobile malware detection method using behavior features in network traffic >1.网络流量与机器学习方法有效结合。有效结合检测结果97.87%。2.网络流量将镜像到服务器然后进行数据分析，这将会使得移动端的消耗大大降低。3.将针对两种网络接口进行检测。（HTTP标头 与 TCP流）HTTP协议...

原创 classifier - related paper

1.< malware detection based on deep learning algorithm> -Ding yuxin Zhu siyiDeep belief network ：基础框架 Restricted Bolizmann Machine RBM 受限玻尔兹曼 机。前层有 autoencoding 的功能能够有效的将数据的基础结构表现出来，并能降低特征向量的维...

原创 feature select - related paper

1.< malware detection based on deep learning algorithm> -Ding yuxin Zhu siyifeature :Opcodeselect mothed: n-grams.select rule: document frequency

原创 feature extract - paper

1

原创 pre-processing预处理- related paper

1.< malware detection based on deep learning algorithm> -Ding yuxin Zhu siyiPE parser: PE解析器 IDA pro 一种递归下降的反汇编器解压缩文件：PEiD

原创 Dimensionality Reduction

1.T-SNE2.Autoencoding

原创 dataset - related paper

1.< Generative Malware outbreak Detection>

原创 PDF malware

1.PDF文件完全可视的结构1.内容储存的一般结构Header // 由%引入，单文本包含PDF版本信息Body //一系列的对象，定义了文件执行操作，还可以包含压缩的，未压缩的嵌入式数据，每个对象都有一个唯一的参考号，通常由序列号0 obj1，number为正确的对象号，每个对象以endobj结束。Cross-Reference(X-Ref) Table // 偏移量列表，指示文件中每个...

原创 pre-processing(预处理)

程序设计领域：指的是程序源代码被翻译成目标代码的过程中，生成二进制代码之前的过程。 网络安全数据：源于数据不完整，拥有噪音，不一致，重复，高维度等方面。1.数据清洗过程： 进行格式转换，垃圾过滤，数据去重，格式清洗等操作不完整数据，不一致数据，噪音数据第一件事是检测偏差；第二件事是数据规整；2.数据集成将若干个分散的数据源中的数据，逻辑的物理的集合在一个统一的数据集合中，核心...

原创 Disassembly(反汇编）

将目标代码转换为汇编代码的过程，换句话说是将机器语言转换为汇编语言。可执行文件（是机器语言）反汇编器使用的汇编语言不同通常使用的反汇编器不同获得的反汇编程序与源程序会存在有些不同，执行效果相同，但代码会发生改变，执行效果相同。...

转载 GAN(Generative Adversarial Net)

对另一篇GAN的理解：GAN的思想原理来源于二人博弈（two-player game），博弈双方的利益为常数，一人利益增加，另一人利益必然减少。GAN中有两个类似的博弈者，一个是生成器（generator），一个是判别器（discriminator），各自有各自的功能。相同点：两个模型内部都可以理解为 黑匣子，输入输入样本，得到一个输出。中间模型可理解为映射函数。不同点： （功能）生成...

翻译 超平面（Hyperplane）

（向量）超平面是n维欧氏空间中余维度为一的线性子空间,也就是（n-1）维度，同时n>3才被称作“超”平面。 是一种纯粹的数学概念，不是现实的物理概念。因为是子空间，所以超平面一定经过原点（所有向量减去本身是零向量，所有非空子空间都会包括零向量）...

转载 PE(Portable Executable)

PE格式是微软环境中可移植可执行文件（如exe,dll,vxd,sys,vdm等）的标准文件格式。简化的PE格式Dos MZ Head 与 Dos stub和称Dos文件头，PE文件的第一个字节起始于MS-Dos头部，被称作IMAGE_DOS_HEADER，紧随Dos stub的是PE文件头（PE header），PE Header 是PE相关结构NT映像头（IMAGE_NT_HEADER...

翻译 混淆技术（Obfuscation techniques）

混淆技术被病毒制作者大量使用于躲避防病毒扫描程序的检测。现有的恶意软件种类有：加密（encrypted）,寡态（oligomorphic），多态（ploymorphic），变形（metamorphic）。多态与变形恶意软件中常用的混淆技术。死码插入（Dead-Code Insertion）程序无效指令改变其外观，但保证其行为。例如：通过插入无效指令nop可以轻松地对原始代码进行模糊处理...

转载 Bat algorithm (BA)

论文：A newmetaheuristic bat-inspired algorithm算法描述step1:初始化种群，即在D维度空间中随机散布初始蝙蝠，最大脉冲音量A0, 最大脉冲率R0 ， 搜索脉冲频率范围 【fmin ， fmax】，音量衰减系数α， 搜索频率的增强系数γ ， 搜索精度ε ， 最大迭代次数 iter_max。step2：随机初始化蝙蝠位置xi ， 并根据适应度值寻找当前...