《Web安全之深度学习实战》是一本重要的书籍,它将Web安全与深度学习相结合,帮助读者从零基础开始学习智能化Web安全技术。本书首先介绍了如何打造自己的深度学习工具箱,包括TensorFlow和TFLearn等工具,使读者对深度学习有一个全面的了解。着重介绍了在生产环境中搭建深度学习平台所需的开源组件,帮助读者实际操作。更重要的是,本书以解决实际安全问题为主题,讲解了11个使用机器学习技术解决实际安全问题的案例,使读者能够将所学知识应用到实际工作中。本书是一本深度学习与Web安全领域的重要著作,不仅适合零基础学习者,也是AI+安全领域的一部不可或缺的力作。
Web安全之深度学习实战电子书封面
读者评价
全部是小demo。一半是各个深度学习算法的简单介绍,后面实战部分内容也是比较简单的样例。 比如在安全领域有个扫描器,其实就是模拟黑客攻击找漏洞,这里可能就会遇到网站登陆问题,以前是需要:网络安全工程师手动输入,如果能“自动识别注册和登陆界面”就能自动化了。以前就是通过模板找到登陆界面:就是登陆关键词如:sign up,Name,Email,Password,作者用深度学习就是通过word2vec找出这些词的相近的词。 其实生成基本不能用的吧,作者说到这里结束了。。。估计最多参考一下,还是要人工过滤,生成近义词结束了
本书作者是百度安全专家,他用风趣幽默的语言、深入浅出的方法诠释了卷积神经网络和循环神经网络这两大深度学习算法,及其在Web安全领域中的实际应用,非常实用,包括所有案例源代码,以及公开的测试数据,可极大地降低学习成本,使读者快速上手实践。
内容介绍
在现今的互联网公司中产品线绵延复杂,安全防御体系无时无刻不在应对新的挑战。哪怕是拥有丰富工作经验的安全从业者,在面对层出不穷的攻击手段和海量日志数据时也会望洋兴叹。深度学习在数据量以指数级不断增长的未来有可能是唯壹的出路。本书首先介绍如何打造自己的深度学习工具箱,包括TensorFlow、TFLearn等深度学习库的安装以及使用方法。接着介绍卷积神经网络和循环神经网络这两大深度学习算法的基础知识。特别着重介绍在生产环境搭建深度学习平台需要使用的开源组件,包括Logstash、Kafka、Storm、Spark等。随后讲解了使用机器学习技术解决实际安全问题的案例,本书针对每一个算法都给出了具体案例,理论结合实际,讲解清晰,文笔幽默,适合有信息安全基础知识的网络开发与运维技术人员参考。
目录
- 序
- 前言
- 第1章 打造深度学习工具箱1
- 第2章 卷积神经网络10
- 第3章 循环神经网络33
- 第4章 基于OpenSOC的机器学习框架47
- 第5章 验证码识别78
- 第6章 垃圾邮件识别88
- 第7章 负面评论识别109
- 第8章 骚扰短信识别128
- 第9章 Linux后门检测142
- 第10章 用户行为分析与恶意行为检测150
- 第11章 WebShell检测167
- 第12章 智能扫描器189
- 第13章 DGA域名识别204
- 第14章 恶意程序分类识别222
- 第15章 反信用卡欺诈232
.CSRF攻击原理,如何防御? CSRF(Cross-site request forgery)跨站请求伪造,也被称为“One Click Attack”或者Session Riding,通常缩写为CSRF或者XSRF,是一种对网站的恶意利用。尽管听起来像跨站脚本(XSS),但它与XSS非常不同,XSS利用站点内的信任用户,而CSRF则通过伪装来自受信任用户的请求来利用受信任的网站。与XSS攻击相比,CSRF攻击往往不大流行(因此对其进行防范的资源也相当稀少)和难以防范,所以被认为比XSS更具危险性。 原理:通过伪装来自受信任用户的请求来利用受信任的网站。是一种依赖web浏览器的、被混淆过的代理人攻击。 防御: 用户在浏览其它站点前登出站点;在浏览器会话结束后清理浏览器的cookie;尽量不要在页面的链接中暴露用户隐私信息;避免全站通用的cookie,严格设置cookie的域。
SQL注入攻击原理,如何防御? 原理:指的是通过构建特殊的输入作为参数传入Web应用程序,而这些输入大都是SQL语法里的一些组合,通过执行SQL语句进而执行攻击者所要的操作,使非法数据侵入系统。 防御: 1.对输入的数据进行过滤,过滤掉敏感字符。加密数据库。 2.在PHP配置文件中Register_globals=off;设置为关闭状态,作用将注册全局变量关闭。 3.提高数据库命名技巧,对于一些重要的字段根据程序的特点命名,取不易被猜到的 4.开启PHP安全模式Safe_mode=on; 5.采取辅助软件或网站平台来检测sql注入。
好久没写博客了,上次写博客还是在上学期.而且以前写博客都是写写一周做了些什么.这次分享一些自己学web渗透的一些心得吧(仅作个人心得,谨慎参照,有大佬路过还望指点一下~).此前一直在学Java web.这次趁着五一假期好好钻研了下web渗透.其实我一直觉得每个学计算机的人都有黑客梦,炫酷吊炸天啊......其实很早我就想学web安全.上学期在工作室学了一个学期的前端打了下基础.看了很多web安全的路线啊,入门书籍啊,视频啊,大佬经验啊.寒假的时候看道哥的《白帽子讲web安全》前面还好,勉强看的懂,越看越觉得自己还要学好多前置知识点。就放下了。个人觉得不太适合入门。有一定基础后再回头品味会比较好。其实我一直挺后悔自己学的太晚了,别人在我这个年龄都组队去打CTF了(我的目标就是作为一只web狗去参赛啊~) 。后来我从网上找了网易云的web安全微专业视频课程,说实话,看目录觉得课程很成体系。但每一节都很短,比如XSS,CSRF......都只是讲了原理,好吧其实也有实例,看完后好像理解了却难以加以运用。再后来,我看cracer的渗透测试视频,很详细,嗯,很详细手把手教学.可是不适合我,一方面是感觉他有点过时,很多案例我自己去试就实现不了.另一方面是觉得他讲的主要是工具方面的使用.其实我是比较喜欢原理的,比如SQL注入很多都是工具实现不了的,需要手工注入.其实我刚开始学渗透的时候是很受挫败的,找不到网站去测试,测试也大多失败.不过,说实话我的热情从没降低过,学渗透时候的那种感觉是难以言喻的快感.然后我发现了一个平台 实验吧 用虚拟机构建了攻防环境.真的玩的爽啊.其实类似的平台有很多i春秋啊什么的.