Batea是一款基于机器学习算法异常检测分支的上下文驱动的 *** 设备排序框架,而Batea的主要目标是允许并帮助安全团队使用nmap扫描报告自动过滤大型 *** 中感兴趣的 *** 资产。
Batea的工作原理是从nmap报告(XML)中构造所有设备的数字表示(numpy),然后应用异常检测 *** 来发现感兴趣或有价值的 *** 资产。我们还可以通过向 *** 资产元素的数字表示中添加特定的字符来扩展其功能。
*** 资产元素的数字表示是使用特征构建的,这些特征受到安全社区专业知识的启发,而无人管理的异常检测 *** 将允许工具将 *** 资产上下文或 *** 的整体描述用作排序算法的核心构建块。这里所使用的准确算法为Isolation Forest算法。
机器学习模型是Batea的核心。模型是在整个数据集上训练的算法,用于预测相同(和其他)数据点( *** 设备)的得分。除此之外,Batea还允许模型持久化。也就是说,我们可以重用预先训练的模型,并导出在大型数据集上训练的模型以供进一步使用。
$ git clone git@github.com:delvelabs/batea.git $ cd batea $ python3 setup.py sdist $ pip3 install -r requirements.txt $ pip3 install -e .
$ git clone git@github.com:delvelabs/batea.git $ cd batea $ python3 -m venv batea/ $ source batea/bin/activate $ python3 setup.py sdist $ pip3 install -r requirements-dev.txt $ pip3 install -e . $ pytest
# 完整信息 $ sudo nmap -A 192.168.0.0/16 -oX output.xml ? # 部分信息 $ sudo nmap -O -sV 192.168.0.0/16 -oX output.xml ? ? $ batea -v output.xml 工具使用样例 # 简单使用(以默认格式输出排名前五的资产) $ batea nmap_report.xml # 输出前三 $ batea -n 3 nmap_report.xml # 输出所有资产 $ batea -A nmap_report.xml # 使用多个输入文件 $ batea -A nmap_report1.xml nmap_report2.xml # 使用通配符 $ batea https://www.freebuf.com/articles/network/nmap*.xml $ batea -f csv https://www.freebuf.com/articles/network/assets*.csv #?你可以在预训练模型和导出训练模型上使用batea。 #?持久性的训练、输出和转储模型 $ batea -D mymodel.batea nmap_report.xml # 使用预训练模型 $ batea -L mymodel.batea nmap_report.xml # 使用预格式化CSV和XML文件 $ batea -x nmap_report.xml -c portscan_data.csv # Verbose模式 $ batea -vv nmap_report.xml
Batea的工作原理是将数字特征分配给报告(或一系列报告)中的每一台主机。这里的主机指的是从nmap报告派生的python对象,它们由以下属性列表组成:[ipv4, hostname, os_info, ports],其中的ports是端口对象的列表。每一个端口都有以下属性:[port, protocol, state, service, software, version, cpe, scripts],所有属性值默认为None。
Features是从FeatureBase类继承的对象,它实例化了一个特定的_transform *** 。这个 *** 始终将所有主机的列表作为输入,并返回一个lambda函数,该函数将每个主机映射到数值的numpy列(主机顺序是守恒的),然后将该列附加到扫描报告的矩阵表示形式中。Features必须输出正确的数值(浮点或整数),而不能输出其他值。
大多数特征转换都是使用简单的lambda函数实现的,只需确保为每个主机默认一个数值,以实现模型兼容性。
具体样例如下:
class CustomInterestingPorts(FeatureBase): def __init__(self): super().__init__(name="some_custom_interesting_ports") ? def _transform(self, hosts): """This method takes a list of hosts and returns a function that counts the number of host ports member from a predefined list of "interesting" ports, defaulting to 0. ? Parameters ---------- hosts : list The list of all hosts ? Returns ------- f : lambda function Counts the number of ports in the defined list. """ member_ports=[21, 22, 25, 8080, 8081, 1234] f=lambda host: len([port for port in host.ports if port.port in member_ports]) return f
接下来,我们可以使用batea/__init__.py中的NmapReport.add_feature *** 来向报告中添加新的特性:
from .features.basic_features import CustomInterestingPorts ? def build_report(): report=NmapReport() #[...] report.add_feature(CustomInterestingPorts()) ? return report
我们还可以使用预处理的数据来训练模型或进行预测。数据必须按(ipv4,port)索引,每行有一个唯一的组合。列必须使用以下名称之一,但不必全部使用。如果缺少列,则解析器默认为空值。
'ipv4', 'hostname', 'os_name', 'port', 'state', 'protocol', 'service', 'software_banner', 'version', 'cpe', 'other_info'
样例:
ipv4,hostname,os_name,port,state,protocol,service,software_banner 10.251.53.100,internal.delvesecurity.com,Linux,110,open,tcp,rpcbind,"program version port/proto ?service100000 ?2,3,4 ?111/tcp ?rpcbind100000 ?2,3,4 ?" 10.251.53.100,internal.delvesecurity.com,Linux,111,open,tcp,rpcbind, 10.251.53.188,serious.delvesecurity.com,Linux,6000,open,tcp,X11,"X11Probe: CentOS"
我们还可以输出数值矩阵和分数列,而不是常规输出,这对于进一步的数据分析和调试非常有用。
$ batea -oM network_matrix nmap_report.xml
Batea:【GitHub传送门】
黑客从哪里找相关问题 世界黑客排名相关问题 android黑客键盘怎么用 怎样简单黑掉一个网页(如何黑掉网页)...
挪威、芬兰、瑞典、丹麦四个国家,一般被合称为“北欧四国”。因为秀丽的自然风光和深厚的人文底蕴,北欧四国深受全世界游客的欢迎。虽然北欧四国在国内还相对小众,但越来越多的中国游客开始把目光转向这里,计划着...
罗心悦(罗心悦的现任老公) 一,大嫂香兰 因为香兰在剧中的打扮一直都十分土气,一口一个“俺”的,是一位任劳任怨的家庭主妇。这也使得不少观众忽视了她的颜值,然而越来越耐看的她如今却赢得昌盛街...
素颜霜怎么使用(素颜霜正确使用方法介绍)市场上的女性化妆品的种类非常多,素颜霜就是近几年很受欢迎的一款美妆产品,很多女性朋友都会使用素颜霜。那么素颜霜怎么用呢?这里就给大家带来详细的使用方法介绍。...
廉租房申请书范文(廉租房申请书范文大全 ) 大家都知道公租房、廉租房这些都是政府的保障项目工程,这部分的房子购买或租住的花费都要比市场上的要便宜实惠,所以也获得大批大批的群众去申请,申请廉租房除了得...
天使之谷三部曲有猪猪复刻版的不用什么虚拟光驱直接选择安装的,如果游戏中有问题可以到这个贴吧看,大部分问题都能解决 这是一个SLG战棋类的游戏,分章进行,初期只是些简单的招术,后期会有更多的新人物及新魔...