在多位队友的强力带飞下，我们有幸拿到了 Datacon2025 互联网威胁分析赛道的冠军。本次比赛分为“异常流量检测”和“僵尸网络协议逆向”两个赛题，我主要负责前者的一部分算法设计，以及后者的运维，取得了不少心得。

在实验室公用 Linux 服务器的多用户环境下，经常需要一个由多人平行读写执行的共享目录。但遇到一些问题，探索后发现与 umask、sgid、目录可穿越 (x)、ACL继承都有关，暴露出自己在 Linux 运维功底方面的缺陷。特此记录，以供参考。

ProvG-Searcher 提出了三阶段的图划分方案及图缩减方法，实现了基于 GNN 的子图匹配算法，梳理并解决了威胁狩猎实践中的几个关键挑战。最近对其进行了简要阅读和学习，对我认为重点的部分做了笔记。

ShadowKube 将行为监控与影子蜜罐相结合，有效检测和中和异常行为。通过建立行为基线以识别偏差，并将被攻陷的节点转换为蜜罐，从而隔离并捕获攻击者，从而减轻其造成的威胁。最近最这篇文章进行了学习，并基于自己的理解，整理了简单而非详细的阅读报告。

作为一个 6 年的 Mac 老用户，拿到了一台 X86 的工作机。最开始我是比较抵触用 Linux 作为个人工作站的，但后来发现 Arch 的生态和社区真的令人惊叹。经过短短几天的探索，我几乎可以依靠开源快速解决任何问题。第一次深刻感受到了自由和开源的力量。

2025年夏天，在两位学弟的技术和努力、以及学校网信部门老师的有力支持下，本科实验室的 Proxmox 虚拟化集群成功迁移至数据中心机房。在此期间我远程提供了一些力所能及的帮助，也学到了一些经验。在此记录下来，供自己和有类似需求的同学参考。

本文是我在国科大《网络攻防基础》课程上完成的大作业，实现了一个玩具型的分布式网络抓包和安全分析系统，具备基础的流量分析可视化、以及一些安全洞察和检测能力。

使用注意力机制挖掘潜在重点行为，建立边以增强图表示；首次将强化学习引入溯源图分析，采用强化学习进行邻居选择，在抵御对抗方面效果明显。

MAGIC 是「图学习+嵌入向量范式」的节点级别溯源图 HIDS，设计图注意力网络（GAT）和掩码图学习，通过对节点类别和边存在性的重构，来引导模型从良性数据上学习一个编码器。随后采样良性节点进行编码，并计算 KNN 平均距离作为良性基线。检测阶段对亦节点进行编码嵌入，KNN 寻找良性节点邻居并计算平均距离，与良性基线共同计算得到异常分数。文章发表在 USENIX 24'，作者来自复旦大学、中山大学等。

本文是我在《网络与信息系统安全》课程上完成的实验报告，简单整理了一下，涵盖 Snort3 在 Ubuntu 平台上的编译安装、规则维护、分析恶意流量并编写自定义规则；sqli-labs 简单测试和防御。