杭州景点分布与高德地图API

0x00 前言

杭州为中国八大古都之一，因为风景秀丽，自古有“人间天堂”的美誉。杭州现有西湖、千岛湖（淳安县）、西溪湿地共三个国家5A级旅游景区，除此以外的各类景点更是繁多。这篇文章要做的是对那些值得游玩且评价较高的景点进行统计、标记其在高德地图上分布，作为备忘，方便以后有需要时候查看浏览甚至在规划短途旅游时候作为参考资料。

0x01 景点信息筛选

景点信息取材于大众点评网，维基百科和蚂蜂窝等，然后按照自然景观、人文景观、特色大学校区等进行筛选。比如西湖十景属于自然景观，博物馆属于人文景观，中国美院象山校区属于特色大学校区。结合游客对景点的评价与景点本身的知名度，在进行一轮筛选后，最终只保留了87个景点（仅杭州市区），利用高德坐标拾取器获得这87个景点的地理坐标。最后的数据形式如下：

苏堤春晓（西湖十景之一）	120.13796,30.24388	
曲院风荷（西湖十景之一）	120.135502,30.251182
平湖秋月（西湖十景之一）	120.14612,30.252218
断桥残雪（西湖十景之一）	120.151195,30.258105
柳浪闻莺（西湖十景之一）	120.158,30.239366
花港观鱼（西湖十景之一）	120.142121,30.232194
三潭印月（西湖十景之一）	120.145409,30.238695

Read More»

用netfilter/iptables实现网关屏蔽恶意IP和URL

0x00 前言

经常存在这样一种应用场景，需要网关实现对一些恶意IP和URL屏蔽（如钓鱼网址），防止客户端访问。本文以此作为出发点，以Linux网关为例，利用Linux系统的netfilter/iptables实现屏蔽恶意IP和URL。

0x01 实验环境的网络拓扑

实验环境只需要一台笔记本电脑；由这台由物理计算机利用VMware Workstation虚拟机软件虚拟出2台虚拟机：VM1、VM2。其中，VM2是用户上网系统，VM1为VM2的Linux网关，实现数据包正常转发、恶意URL阻断、告警页面跳转等功能。宿主机（Host Machine）的无线网卡可以访问互联网，它与VM1之间通过VMware NAT模式进行网络通讯，即保证了VM1也能访问互联网。

Read More»

用机器学习检测Android恶意代码

0x00 前言

注：本文已在乌云知识库发表

前段时间在乌云知识库上面看到一篇比较有意思的文章利用机器学习进行恶意代码分类 。这篇文章对Kaggle上的一个恶意代码分类比赛中冠军队伍所采用的方法进行了介绍，展现了机器学习在安全领域的应用与潜力。但是这个比赛的主题是恶意代码的分类，没有进一步实现恶意代码的检测；其次比赛的代码只是针对Windows平台的PE格式，缺少对移动应用的研究。受此启发，尝试利用机器学习方法在Android平台对恶意代码进行检测，最终得到了一定的检测效果。

0x01 背景知识

安卓恶意代码检测方法

目前恶意软件检测方法主要有基于特征代码(signature-based)的检测方法和基于行为(behavior-based)的检测方法。基于特征代码的检测方法，通过检测文件是否拥有已知恶意软件的特征代码(如一段特殊代码或字符串)来判断其是否为恶意软件。它的优点是快速、准确率高、误报率低，但是无法检测未知的恶意代码。基于行为的检测方法，则依靠监视程序的行为与已知的恶意行为模式进行匹配，以此判断目标文件是否具备恶意特征。它的优点可以检测未知的恶意代码变种，缺点是误报率较高。

基于行为的分析方法又分为动态分析方法和静态分析方法。动态分析方法是指利用“沙盒或模拟器”来模拟运行程序，通过监控或者拦截的方式分析程序运行的行为，但是很消耗资源和时间。静态分析方法则是通过逆向手段抽取程序的特征，分析其中指令序列等。本文采用静态分析的方法进恶意行代码检测。

Read More»