ProvG-Searcher 提出了三阶段的图划分方案及图缩减方法，实现了基于 GNN 的子图匹配算法，梳理并解决了威胁狩猎实践中的几个关键挑战。最近对其进行了简要阅读和学习，对我认为重点的部分做了笔记。

ShadowKube 将行为监控与影子蜜罐相结合，有效检测和中和异常行为。通过建立行为基线以识别偏差，并将被攻陷的节点转换为蜜罐，从而隔离并捕获攻击者，从而减轻其造成的威胁。最近最这篇文章进行了学习，并基于自己的理解，整理了简单而非详细的阅读报告。

作为一个 6 年的 Mac 老用户，拿到了一台 X86 的工作机。最开始我是比较抵触用 Linux 作为个人工作站的，但后来发现 Arch 的生态和社区真的令人惊叹。经过短短几天的探索，我几乎可以依靠开源快速解决任何问题。第一次深刻感受到了自由和开源的力量。

2025年夏天，在两位学弟的技术和努力、以及学校网信部门老师的有力支持下，本科实验室的 Proxmox 虚拟化集群成功迁移至数据中心机房。在此期间我远程提供了一些力所能及的帮助，也学到了一些经验。在此记录下来，供自己和有类似需求的同学参考。

本文是我在国科大《网络攻防基础》课程上完成的大作业，实现了一个玩具型的分布式网络抓包和安全分析系统，具备基础的流量分析可视化、以及一些安全洞察和检测能力。

使用注意力机制挖掘潜在重点行为，建立边以增强图表示；首次将强化学习引入溯源图分析，采用强化学习进行邻居选择，在抵御对抗方面效果明显。

MAGIC 是「图学习+嵌入向量范式」的节点级别溯源图 HIDS，设计图注意力网络（GAT）和掩码图学习，通过对节点类别和边存在性的重构，来引导模型从良性数据上学习一个编码器。随后采样良性节点进行编码，并计算 KNN 平均距离作为良性基线。检测阶段对亦节点进行编码嵌入，KNN 寻找良性节点邻居并计算平均距离，与良性基线共同计算得到异常分数。文章发表在 USENIX 24'，作者来自复旦大学、中山大学等。

本文是我在《网络与信息系统安全》课程上完成的实验报告，简单整理了一下，涵盖 Snort3 在 Ubuntu 平台上的编译安装、规则维护、分析恶意流量并编写自定义规则；sqli-labs 简单测试和防御。

《KAIROS: Practical Intrusion Detection and Investigation using Whole-system Provenance》是图级别溯源图IDS的方法，发表在S&P24，本文是对其简单阅读和复现的记录。复现过程中遇到了几处环境问题，做了对应解决。

前段时间去北京环球影城游玩，用DJI Action 4记录了30GB的游览视频。回家后突发奇想，能否通过人脸识别技术分析出在不同景点反复碰面的游客？随即使用InsightFace和Faiss向量数据库，构建了简单的视频人脸识别和时序分析工具，寻找那些与我们一样在环球影城转圈圈的陌生人。