简单聊一聊机器学习的事儿

没时间扯长篇大论了，简单说下吧。最近在立足于研究web日志平台，没想到做一款产品这么困难从找人要资料到自己设计功能UI交给设计师做图。当中感受也很大，原来我需要做的不仅仅是攻击还要清晰掌握攻击者是谁，攻击了啥。早在2015年之前初入工作时就抛出过问题。

没想到转眼工作三年这东西还能再用的上场。

其实现在平台仅仅是开始初步入手未来还有很长的路需要去走，如果可以的情况下还想准备开源(日后再说这些吧)。最近想到机器学习分析这种日志，想到的思路也很简单，直接通过对比正常数据，如

userid=xxxxxxx&paytype=1&totalfee=10000&channel=3&openid=xxxxxxx&index=0&latitude=xxxxx&longitude=xxxxx&citycode=010

上述是一条正常的数据

userid=xxxxxxx&paytype=1&totalfee=1&channel=3&openid=xxxxxxx&index=0&latitude=xxxxx&longitude=xxxxx&citycode=010

对比两条数据发现哪里有问题了吗？可见totalfee参数中由正常的值变成一个出现机率较少的情况，那么就可以先判断疑似攻击者在进行测试了。

还有就是hxxps://yongshao.com/index.php?m=&c=page&a=view&id=13

这也是一条正常数据

hxxps://yongshao.com/index.php?m=&c=page&a=view&id=13%27

但是攻击者在后面加了单引号也可以对它识别出疑似攻击。其实总的来一家甲方企业如果遭受的攻击数据较少的情况下可以通过这样的方式对攻击者进行识别，当然这里我也只是说说，要实现恐怕要在今年年底之后了吧~

还有就是知道攻击者是没有用的，我们还需要通过提炼多款工具的指纹加入到规则库里面，假如识别出某条规则库那么可以使程序展示采用什么手段，（也就是所谓的如何攻击）。

不仅如此我们还要做实时检测来自内部与外部的攻击行为，这样才能更好的识别有没有“内鬼”在对自身企业进行攻击测试，有时候可能不仅是内鬼还有可能是攻击者入侵进来了，同样需要多方面的检测把控！

本文其实没有讲太多的东西，仅仅是最近想到的一条思路罢了，等产品做得真正牛逼的时候就可以把它写成长篇大论出来了。

以上临时工所述

我司一概不负责