Web安全之强化学习与GAN
内容总结
随着Web2.0、网络社交等一系列新型的互联网产品的诞生,基于Web环境的互联网应用越来越广泛,企业信息化的过程中,越来越多的应用都架设在Web平台上。Web业务的迅速发展吸引了黑客们的强烈关注,接踵而至的就是Web安全威胁的凸显。黑客利用网站操作系统的漏洞和Web服务程序的SQL注入漏洞等得到Web服务器的控制权限,轻则篡改网页内容,重则窃取重要内部数据,更为严重的则是在网页中植入恶意代码,使得网站访问者受到侵害。这使得越来越多的用户关注应用层的安全问题,Web应用安全的关注度也逐渐升温。
随着移动终端设备的大量涌现,移动互联网大众时代即将到来。对于企业来讲,企业通过移动终端对信息进行采集和实时处理,使得企业的信息流通高效,安全畅通。移动互联网用户的增多,如何抓住机遇,准确卡位市场成为诸多厂商竞争的焦点。那么部署企业移动应用到底存在哪些风险?仅仅靠技术能否实现对企业数据的安全管理?如果企业部署企业移动应用,如何打破不同系统之间的顺畅访问?
在互联网高度发展的今天,访问没有好的防护措施的企业的内部局域网对于外部的恶意访问者来说并非难事,他们通常可以窥探、非法获取甚至是恶意毁坏企业的宝贵数据和资料,从而对企业造成不可挽回的经济损失。当前绝大多数的企业都在物理层面采用了物理隔离的措施将本地局域网和互联网进行隔离,保证两个网络的不可互访,从而达到保护内网数据安全的目的。
具体措施
1.制订策略图
安全策略是整个行动循环的出发点,即安全对策的核心。
根据企业组织的理念并融合公司的经营方针和规章制度,在制订以后必须做到所有部门都严格遵守。
2.体制建设安全策略既然是所有公司员工都必须遵守的公司法律,就必须公布、加强员工教育和确立使其能长期执行贯彻的体制。
3.指导方针的确立制订
密码的运用、电子邮件、病毒对策等具体的实施手册。根据这些手册来检讨各种安全软硬件的选择与使用。
4.运营、监视、处理
对于采取了安全管理方式的网络系统,应更加注重其日常安全信息的搜集、个别安全问题的应对、网络管理、系统管理、故障处理的系统的运营和维护。
5.监察、诊断、评估
在进行这一系列的维护网络安全的措施时,非常重要的是必须定期的对其是否按照安全策略的规定正确执行进行监察、诊断、评价,从而通过对实际操作的分析来确认安全策略的成本是否过高、实际用户的负担是否过重、访问控制的标准是否过严而导致使用效率的降低、实际执行过程中是否现实从而对安全措施重新考核以修正其不合理的地方。通过这种Plan->Do->Check->Action地持续的循环过程才能逐渐形成一套更为合理、有效的安全策略。
总结
安全管理是一个持续运营的过程,更多的时候,我们以安全运营代替安全管理,主要突出运营。不能因为各种安全设备、防护策略做好后就高枕无忧。安全管理必须不断持续学习,时时关注,从各个方面、各个角度运营企业的安全设备和系统,保障企业的系统、数据安全不受侵犯。
内容介绍
《Web安全之强化学习与GAN》是作者AI安全领域三部曲的第三部,重点介绍强化学习和生成对抗网络的基础知识和实际应用,特别是在安全领域中攻防建设的实际应用。
主要内容包括:
AI安全的攻防知识
基于机器学习的恶意程序识别技术
常见的恶意程序免杀方法
如何使用强化学习生成免杀程序
如何使用强化学习提升WAF的防护能力
如何使用强化学习提升反垃圾邮件的检测能力
针对图像分类模型的攻击方法
针对强化学习的攻击方法
目录
- 第1章 AI安全之攻与防1
- 第2章 打造机器学习工具箱11
- 第3章 性能衡量与集成学习24
- 第4章 Keras基础知识34
- 第5章 单智力体强化学习55
- 第6章 Keras-rl简介72
- 第7章 OpenAI Gym简介87
- 第8章 恶意程序检测99
- 第9章 恶意程序免杀技术130
- 第10章 智能提升恶意程序检测能力139
- 第11章 智能提升WAF的防护能力150
- 第12章 智能提升垃圾邮件检测能力165
- 第13章 生成对抗网络184
- 第14章 攻击机器学习模型218
工具扫描 目前web安全扫描器针对 XSS、SQL injection 、OPEN redirect 、PHP File Include漏洞的检测技术已经比较成熟。 商业软件web安全扫描器:有IBM Rational Appscan、WebInspect、Acunetix WVS 免费的扫描器:W3af 、Skipfish 等等 可以考虑购买商业扫描软件,也可以使用免费的,各有各的好处。 首先可以对网站进行大规模的扫描操作,工具扫描确认没有漏洞或者漏洞已经修复后,再进行以下手工检测。
这是几点防御建议。 存储型 xss: 存储型XSS又被称为持久性XSS,它是最危险的一种跨站脚本,相比反射型XSS和DOM型XSS具有更高的隐蔽性,所以危害更大,因为它不需要用户手动触发。 允许用户存储数据的web程序都可能存在存储型XSS漏洞,当攻击者提交一段XSS代码后,被服务器端接收并存储,当所有浏览者访问某个页面时都会被XSS,其中最典型的例子就是留言板。 持久型 XSS 有以下几个特点: 持久性,植入在数据库中 危害面广,甚至可以让用户机器变成 DDoS 攻击的肉鸡。 盗取用户敏感私密信息