大數(shù)據(jù)驅(qū)動(dòng)的智能化網(wǎng)絡(luò)安全

2017年4月17日，網(wǎng)絡(luò)安全研究國際學(xué)術(shù)論壇InForSec在南京舉辦了以“大數(shù)據(jù)驅(qū)動(dòng)的智能化網(wǎng)絡(luò)安全”為主題的學(xué)術(shù)論壇。本次論壇分“大數(shù)據(jù)與網(wǎng)絡(luò)空間安全”論壇及“漏洞挖掘與智能攻防”論壇，分別由清華大學(xué)教授段海新及美國喬治亞大學(xué)教授李康主持。

來自清華大學(xué)、復(fù)旦大學(xué)、浙江大學(xué)、東南大學(xué)、中科院軟件所、中科院計(jì)算所等高校和科研機(jī)構(gòu)專家、學(xué)生以及百度公司、奇虎360、啟明星辰等企業(yè)界的研究技術(shù)人員共170多人現(xiàn)場參與了會(huì)議。同時(shí)，來自國內(nèi)外近百名安全研究領(lǐng)域的研究人員通過網(wǎng)絡(luò)直播參與了研討。

圖：論壇主持人段海新 清華大學(xué)網(wǎng)絡(luò)科學(xué)與網(wǎng)絡(luò)空間研究院教授

論壇邀請(qǐng)了浙江大學(xué)教授陳焰、東南大學(xué)教授程光、百度商業(yè)安全部首席架構(gòu)師武廣柱、百度資深研發(fā)工程師姜輝、360網(wǎng)絡(luò)安全研究院劉亞、中國科學(xué)院軟件所研究員蘇璞睿、中國科學(xué)院計(jì)算所研究員武成崗、美國喬治亞大學(xué)教授李康、清華大學(xué)副教授張超等做了精彩的學(xué)術(shù)報(bào)告。

圖： 陳焰 美國西北大學(xué)教授、浙江大學(xué)“千人計(jì)劃”教授

美國西北大學(xué)教授、浙江大學(xué)“千人計(jì)劃”教授陳焰在會(huì)上做“APT Shield: A Fine-grained Detection System for Remote Access Trojan in the APT Attacks”的主題報(bào)告，他首先介紹了APT惡意軟件的背景及一些基本的思路，在具體實(shí)施過程中分為兩部分，第一部分是PHF檢測器的生成，第二部分是分類器簽名生成。他表示，這是一種新的、實(shí)時(shí)的RAT檢測方法，隨著第三方各種攻擊的評(píng)估，該方法表現(xiàn)出非常高的實(shí)時(shí)精度。

圖：程光 東南大學(xué)計(jì)算機(jī)科學(xué)與工程學(xué)院黨委書記

東南大學(xué)計(jì)算機(jī)科學(xué)與工程學(xué)院黨委書記程光教授在會(huì)上做“面向全流量的網(wǎng)絡(luò)APT智能檢測方法”的主題報(bào)告，他指出，全流量數(shù)據(jù)并非全網(wǎng)、全數(shù)據(jù)量，而是對(duì)所需保護(hù)對(duì)象的全流量采集和長期數(shù)據(jù)存儲(chǔ)，APT的智能檢測能從海量的網(wǎng)絡(luò)流量中進(jìn)行數(shù)據(jù)挖掘，惡意事件的關(guān)聯(lián)分析和規(guī)則挖掘，根據(jù)已發(fā)現(xiàn)的特征或知識(shí)對(duì)未知的APT攻擊進(jìn)行判定，對(duì)APT攻擊進(jìn)行預(yù)測和泛化，對(duì)APT檢測的動(dòng)態(tài)性、大規(guī)模、復(fù)雜性進(jìn)行自動(dòng)管理和優(yōu)化。同時(shí)還對(duì)APT智能檢測架構(gòu)和檢測方法進(jìn)行了具體闡述。

圖：武廣柱 百度商業(yè)安全部首席架構(gòu)師

百度商業(yè)安全部首席架構(gòu)師武廣柱、百度資深研發(fā)工程師姜輝共同做題為“Using Machine Learning to Combat Financial Fraud”的報(bào)告，主要從釣魚網(wǎng)站檢測與挖掘，金融犯罪關(guān)聯(lián)事件挖掘，同時(shí)還介紹百度利用機(jī)器學(xué)習(xí)技術(shù)構(gòu)建的金融交易風(fēng)險(xiǎn)系統(tǒng)的算法和架構(gòu)，通過分析，詳細(xì)描述了他們?cè)诮鹑诜缸锎驌纛I(lǐng)域所做的工作。

圖：劉亞 360網(wǎng)絡(luò)安全研究院

360網(wǎng)絡(luò)安全研究院劉亞在會(huì)上做“Mirai botnet的演進(jìn)”的主題報(bào)告，他首先列舉了Mirai相關(guān)的博客和開放數(shù)據(jù)，描述了Mirai傳播方式的變化及樣本的捕獲，并介紹了他們基于hontel開發(fā)了一個(gè)定制的Telnet蜜罐。對(duì)于如何檢測Mirai變種，如何對(duì)典型變種分析？他也進(jìn)行了詳細(xì)的描述，包括DGA變種、SSH scanner 變種以及一個(gè)支持多種偽HTTP agent的變種。

圖：蘇璞睿 中國科學(xué)院軟件所研究員

中國科學(xué)院軟件所研究員蘇璞睿在會(huì)上做“自動(dòng)攻防第一步：如何實(shí)現(xiàn)漏洞自動(dòng)利用？”的主題報(bào)告，他指出，軟件漏洞的發(fā)現(xiàn)與利用是對(duì)抗的焦點(diǎn)。確定高危漏洞，能夠優(yōu)化資源配置；提取漏洞利用特征，提升防御能力。典型漏洞利用過程是通過構(gòu)造特定輸入，觸發(fā)可實(shí)現(xiàn)特定目標(biāo)的執(zhí)行路徑。同時(shí)還介紹了他們?cè)谌粘９ぷ髦械木唧w實(shí)踐，包括2017年KingKong軟件深度分析公益技術(shù)平臺(tái)的建立。

圖：武成崗 中國科學(xué)院計(jì)算所研究員

中國科學(xué)院計(jì)算所研究員武成崗在會(huì)上做“抵御內(nèi)存泄露攻擊的持續(xù)隨機(jī)化技術(shù)——RERANZ”的主題報(bào)告，對(duì)RERANZ這項(xiàng)技術(shù)進(jìn)行了詳細(xì)闡述，包括提出的背景，RERANZ的思路，面臨的挑戰(zhàn)等等。他指出，RERANZ可以重新隨機(jī)化受保護(hù)進(jìn)程中的所有代碼。能夠避免識(shí)別和更新代碼指針，基于數(shù)據(jù)累積的再隨機(jī)化策略，異步重新隨機(jī)化。不需要任何源代碼，支持通用應(yīng)用功能。

圖：李康 美國喬治亞大學(xué)教授

美國喬治亞大學(xué)教授李康在會(huì)上做“Vulnerability Discovery: Practical Challenges & (Partial) Solutions”的主題報(bào)告，分析了漏洞發(fā)現(xiàn)過程中面臨的挑戰(zhàn)，并就部分解決方案進(jìn)行了闡述。

圖：張超 清華大學(xué)網(wǎng)絡(luò)科學(xué)與網(wǎng)絡(luò)空間學(xué)院副教授

清華大學(xué)副教授張超在會(huì)上做“New Trends in Vulnerability Discovery”的主題報(bào)告，他表示，在尋找復(fù)雜漏洞時(shí)，傳統(tǒng)的靜態(tài)/動(dòng)態(tài)分析是有用的但非常有限。智能模糊和符號(hào)執(zhí)行是工業(yè)和學(xué)術(shù)界使用的流行技術(shù)，機(jī)器學(xué)習(xí)和大數(shù)據(jù)可以在許多方面提高漏洞發(fā)現(xiàn)效率?！　?

自由論壇

現(xiàn)場提問

會(huì)上，來自企業(yè)和學(xué)校的專家還對(duì)大數(shù)據(jù)驅(qū)動(dòng)的智能攻防競賽進(jìn)行了熱烈討論，并發(fā)布了賽事計(jì)劃。在XCTF 2017總決賽中，將新增“大數(shù)據(jù)安全能力競賽”環(huán)節(jié)，競賽內(nèi)容主要是智能漏洞檢測：包括分析/訓(xùn)練主辦方提供的已知漏洞數(shù)據(jù)集；構(gòu)建自動(dòng)化分析系統(tǒng)，或者訓(xùn)練相關(guān)模型；預(yù)測或者挖掘目標(biāo)程序中的安全漏洞；基于漏洞信息進(jìn)行漏洞利用等方面。