大数据驱动的智能化网络安全

2017年4月17日，网络安全研究国际学术论坛InForSec在南京举办了以“大数据驱动的智能化网络安全”为主题的学术论坛。本次论坛分“大数据与网络空间安全”论坛及“漏洞挖掘与智能攻防”论坛，分别由清华大学教授段海新及美国乔治亚大学教授李康主持。

来自清华大学、复旦大学、浙江大学、东南大学、中科院软件所、中科院计算所等高校和科研机构专家、学生以及百度公司、奇虎360、启明星辰等企业界的研究技术人员共170多人现场参与了会议。同时，来自国内外近百名安全研究领域的研究人员通过网络直播参与了研讨。

图：论坛主持人段海新 清华大学网络科学与网络空间研究院教授

论坛邀请了浙江大学教授陈焰、东南大学教授程光、百度商业安全部首席架构师武广柱、百度资深研发工程师姜辉、360网络安全研究院刘亚、中国科学院软件所研究员苏璞睿、中国科学院计算所研究员武成岗、美国乔治亚大学教授李康、清华大学副教授张超等做了精彩的学术报告。

图： 陈焰 美国西北大学教授、浙江大学“千人计划”教授

美国西北大学教授、浙江大学“千人计划”教授陈焰在会上做“APT Shield: A Fine-grained Detection System for Remote Access Trojan in the APT Attacks”的主题报告，他首先介绍了APT恶意软件的背景及一些基本的思路，在具体实施过程中分为两部分，第一部分是PHF检测器的生成，第二部分是分类器签名生成。他表示，这是一种新的、实时的RAT检测方法，随着第三方各种攻击的评估，该方法表现出非常高的实时精度。

图：程光 东南大学计算机科学与工程学院党委书记

东南大学计算机科学与工程学院党委书记程光教授在会上做“面向全流量的网络APT智能检测方法”的主题报告，他指出，全流量数据并非全网、全数据量，而是对所需保护对象的全流量采集和长期数据存储，APT的智能检测能从海量的网络流量中进行数据挖掘，恶意事件的关联分析和规则挖掘，根据已发现的特征或知识对未知的APT攻击进行判定，对APT攻击进行预测和泛化，对APT检测的动态性、大规模、复杂性进行自动管理和优化。同时还对APT智能检测架构和检测方法进行了具体阐述。

图：武广柱 百度商业安全部首席架构师

百度商业安全部首席架构师武广柱、百度资深研发工程师姜辉共同做题为“Using Machine Learning to Combat Financial Fraud”的报告，主要从钓鱼网站检测与挖掘，金融犯罪关联事件挖掘，同时还介绍百度利用机器学习技术构建的金融交易风险系统的算法和架构，通过分析，详细描述了他们在金融犯罪打击领域所做的工作。

图：刘亚 360网络安全研究院

360网络安全研究院刘亚在会上做“Mirai botnet的演进”的主题报告，他首先列举了Mirai相关的博客和开放数据，描述了Mirai传播方式的变化及样本的捕获，并介绍了他们基于hontel开发了一个定制的Telnet蜜罐。对于如何检测Mirai变种，如何对典型变种分析？他也进行了详细的描述，包括DGA变种、SSH scanner 变种以及一个支持多种伪HTTP agent的变种。

图：苏璞睿 中国科学院软件所研究员

中国科学院软件所研究员苏璞睿在会上做“自动攻防第一步：如何实现漏洞自动利用？”的主题报告，他指出，软件漏洞的发现与利用是对抗的焦点。确定高危漏洞，能够优化资源配置；提取漏洞利用特征，提升防御能力。典型漏洞利用过程是通过构造特定输入，触发可实现特定目标的执行路径。同时还介绍了他们在日常工作中的具体实践，包括2017年KingKong软件深度分析公益技术平台的建立。

图：武成岗 中国科学院计算所研究员

中国科学院计算所研究员武成岗在会上做“抵御内存泄露攻击的持续随机化技术——RERANZ”的主题报告，对RERANZ这项技术进行了详细阐述，包括提出的背景，RERANZ的思路，面临的挑战等等。他指出，RERANZ可以重新随机化受保护进程中的所有代码。能够避免识别和更新代码指针，基于数据累积的再随机化策略，异步重新随机化。不需要任何源代码，支持通用应用功能。

图：李康 美国乔治亚大学教授

美国乔治亚大学教授李康在会上做“Vulnerability Discovery: Practical Challenges & (Partial) Solutions”的主题报告，分析了漏洞发现过程中面临的挑战，并就部分解决方案进行了阐述。

图：张超 清华大学网络科学与网络空间学院副教授

清华大学副教授张超在会上做“New Trends in Vulnerability Discovery”的主题报告，他表示，在寻找复杂漏洞时，传统的静态/动态分析是有用的但非常有限。智能模糊和符号执行是工业和学术界使用的流行技术，机器学习和大数据可以在许多方面提高漏洞发现效率。　　

自由论坛

现场提问

会上，来自企业和学校的专家还对大数据驱动的智能攻防竞赛进行了热烈讨论，并发布了赛事计划。在XCTF 2017总决赛中，将新增“大数据安全能力竞赛”环节，竞赛内容主要是智能漏洞检测：包括分析/训练主办方提供的已知漏洞数据集；构建自动化分析系统，或者训练相关模型；预测或者挖掘目标程序中的安全漏洞；基于漏洞信息进行漏洞利用等方面。