ISC2020安全分析技術(shù)分論壇集結(jié)技術(shù)大咖 云端共話技術(shù)賦能安全之路

　　8月13日，ISC2020技術(shù)日正式拉開(kāi)帷幕，備受關(guān)注的安全分析技術(shù)分論壇同步上線，360網(wǎng)絡(luò)安全研究院安全分析資深專家徐洋、綠盟科技伏影實(shí)驗(yàn)室負(fù)責(zé)人吳鐵軍、綠盟科技伏影實(shí)驗(yàn)室安全研究員趙光遠(yuǎn)、綠盟科技伏影實(shí)驗(yàn)室安全研究員杜元正、綠盟科技伏影實(shí)驗(yàn)室安全研究員傅政雄、阿里云安全專家程利軍受邀參會(huì)，針對(duì)多項(xiàng)網(wǎng)絡(luò)安全分析技術(shù)進(jìn)行深入交流分享，助推網(wǎng)絡(luò)安全技術(shù)創(chuàng)新發(fā)展。

　　360網(wǎng)絡(luò)安全研究院安全分析資深專家徐洋

　　當(dāng)前大數(shù)據(jù)、云計(jì)算等技術(shù)發(fā)展進(jìn)程不斷加快，數(shù)據(jù)量成指數(shù)級(jí)增長(zhǎng)，新技術(shù)創(chuàng)新發(fā)展伴隨的安全威脅與傳統(tǒng)安全問(wèn)題相互交織，各種網(wǎng)絡(luò)攻擊事件層出不窮，通過(guò)大數(shù)據(jù)分析解讀網(wǎng)絡(luò)安全事件成為了輔助網(wǎng)絡(luò)安全建設(shè)的一種有效手段。

　　360網(wǎng)絡(luò)安全研究院安全分析資深專家徐洋以《通過(guò)數(shù)據(jù)分析拿網(wǎng)站》為題，分享了在DNSMon系統(tǒng)WebInsight模塊背景下，如何通過(guò)數(shù)據(jù)分析來(lái)輔助滲透及威脅評(píng)估。徐洋分別介紹了DNSMon系統(tǒng)的基礎(chǔ)數(shù)據(jù)流和異常檢測(cè)，以及WebInsight模塊的流程和異常點(diǎn)，并總結(jié)道，“基礎(chǔ)數(shù)據(jù)處理分析可以有效的輔助滲透以及威脅評(píng)估；異常檢測(cè)模型總能‘意料之內(nèi)’地發(fā)現(xiàn)意料之外的異常威脅。”

　　盡管基礎(chǔ)數(shù)據(jù)處理分析可以有效起到輔助作用，但也存在著若干門檻。首先，最顯而易見(jiàn)的門檻是數(shù)據(jù)的獲取和處理，數(shù)據(jù)越多，覆蓋范圍越廣，數(shù)據(jù)的視野越大，數(shù)據(jù)的價(jià)值才越大;其次，有了數(shù)據(jù)以后，需要對(duì)其進(jìn)行多維度關(guān)系的提取和構(gòu)建，如不同安全場(chǎng)景在同一數(shù)據(jù)中的不同體現(xiàn)，以及同一安全場(chǎng)景在不同數(shù)據(jù)中的體現(xiàn)，如何將之有效串聯(lián)是關(guān)鍵;最后，數(shù)據(jù)處理和分析永遠(yuǎn)是為具體業(yè)務(wù)服務(wù)的，因此要抓準(zhǔn)業(yè)務(wù)對(duì)應(yīng)的關(guān)鍵數(shù)據(jù)和業(yè)務(wù)在數(shù)據(jù)中體現(xiàn)出的關(guān)鍵特征，徐洋以“數(shù)據(jù)海 vs 數(shù)據(jù)湖”來(lái)比喻海量數(shù)據(jù)和業(yè)務(wù)相關(guān)數(shù)據(jù)的關(guān)系。

　　綠盟科技伏影實(shí)驗(yàn)室安全研究員趙光遠(yuǎn)

　　疫情期間，一個(gè)針對(duì)家用IoT設(shè)備即家庭網(wǎng)關(guān)，進(jìn)行網(wǎng)絡(luò)劫持攻擊的惡意軟件被成功捕獲。通過(guò)對(duì)家庭網(wǎng)關(guān)的分析，攻擊者開(kāi)發(fā)了整套攻擊套件，實(shí)現(xiàn)了流量轉(zhuǎn)發(fā)，HTTP流量劫持與修改，以及廣告頁(yè)嵌入的功能。根據(jù)探測(cè)結(jié)果，此惡意軟件在全國(guó)范圍內(nèi)至少感染了三百萬(wàn)臺(tái)家庭網(wǎng)關(guān)設(shè)備。

　　針對(duì)此事件，綠盟科技伏影實(shí)驗(yàn)室安全研究員趙光遠(yuǎn)發(fā)表《疫情之下黑產(chǎn)的索財(cái)之道——隱匿在百萬(wàn)家庭網(wǎng)關(guān)中的盜竊者》主題演講，詳細(xì)描述了此次威脅事件中，與此惡意軟件相關(guān)的技術(shù)細(xì)節(jié)信息，并披露了其攻擊手法并復(fù)現(xiàn)了其廣告植入手段。

　　演講尾聲，趙光遠(yuǎn)對(duì)此威脅事見(jiàn)進(jìn)行了總結(jié)，包括攻擊者使用的廣告劫持技術(shù)并非是新技術(shù);攻擊者對(duì)家用網(wǎng)關(guān)及其控制與維護(hù)方法非常熟悉;本次事件中發(fā)現(xiàn)的惡意軟件并非所有感染模塊，攻擊者反偵察能力極為敏銳等特點(diǎn)。

　　趙光遠(yuǎn)表示，“如果此攻擊工具持續(xù)演變下去，也許會(huì)成為威脅極大的一個(gè)惡意軟甲家族，本次在ISC2020上是首次公布此惡意軟件，希望能夠引起業(yè)界重視。”

　　綠盟科技伏影實(shí)驗(yàn)室安全研究員杜元正

　　綠盟科技伏影實(shí)驗(yàn)室安全研究員杜元正分享了關(guān)于“圖卷集神經(jīng)網(wǎng)絡(luò)的樣本家族分類”的相關(guān)研究進(jìn)展。目前，可執(zhí)行程序黑白二分類的技術(shù)相對(duì)成熟，在此基礎(chǔ)上進(jìn)行由功能、代碼復(fù)用情況對(duì)惡意可執(zhí)行程序進(jìn)行多分類成為下一個(gè)突破方向。

　　演講中，杜元正分享了其研究團(tuán)隊(duì)針對(duì)此方向的研究歷程，團(tuán)隊(duì)首先使用API\LIB調(diào)用序列作為特征對(duì)可執(zhí)行文件進(jìn)行分類，但由于惡意樣本家族之間的API\LIB調(diào)用序列的特異性不足，導(dǎo)致分類結(jié)果不理想。隨后更換特征提取思路，以惡意樣本的控制流圖(Control Flow Graph, CFG)作為特征、使用可以采集圖特征的圖卷積神經(jīng)網(wǎng)絡(luò)(Graph Convolutional Nerual Network)進(jìn)行多分類。

　　杜元正表示，使用惡意樣本控制流圖作為多分類特征，然后使用圖卷積神經(jīng)網(wǎng)絡(luò)對(duì)分類特征進(jìn)行分類，理想環(huán)境下分類效果拔群。與此同時(shí)，研究團(tuán)隊(duì)在此過(guò)程中遇到了兩個(gè)工程問(wèn)題但最終得以解決，其一是缺數(shù)據(jù)，最終通過(guò)做數(shù)據(jù)增強(qiáng)成功解決，其二是關(guān)于殼保護(hù)技術(shù)，研究發(fā)現(xiàn)利用“殼函數(shù)不會(huì)調(diào)用惡意樣本自定義函數(shù)、惡意樣本自定義函數(shù)不會(huì)調(diào)用殼函數(shù)”的這一特點(diǎn)，能夠成功分離殼特征。

　　阿里云安全專家程利軍

　　相關(guān)調(diào)查顯示，當(dāng)今互聯(lián)網(wǎng)中的流量有一半來(lái)自于機(jī)器工具，其中惡意流量的占比在逐年在上升。攻擊者采用各式各樣的工具對(duì)互聯(lián)網(wǎng)中的業(yè)務(wù)進(jìn)行攻擊，對(duì)用戶造成了極大的危害，機(jī)器流量識(shí)別面臨著嚴(yán)峻挑戰(zhàn)。當(dāng)下，攻擊者的技術(shù)在飛速進(jìn)步，且攻擊手法會(huì)快速變型，對(duì)抗局面十分激烈;而傳統(tǒng)基于特征識(shí)別惡意流量的防御思路已經(jīng)失效，如何識(shí)別并管理這些機(jī)器流量，成為了保護(hù)客戶安全的重要議題。

　　會(huì)上，阿里云安全專家程利軍針對(duì)此問(wèn)題發(fā)表《行為分析在機(jī)器流量識(shí)別中的應(yīng)用》主題演講，針對(duì)基于統(tǒng)計(jì)、單點(diǎn)、以及繪畫(huà)序列的行為分析分別進(jìn)行了詳細(xì)分析。程利軍表示，“利益越大，誘惑就越大，黑產(chǎn)在機(jī)器流量對(duì)抗上的強(qiáng)度也會(huì)變大。這要求我們隨著對(duì)抗的升級(jí)，不斷升級(jí)檢測(cè)模型。”

　　ISC2020技術(shù)日當(dāng)天，還有網(wǎng)絡(luò)空間測(cè)繪、漏洞管理與研究、移動(dòng)安全等多個(gè)分論壇同步上線。未來(lái)幾天，ISC2020產(chǎn)業(yè)日、人才日等主題日將陸續(xù)開(kāi)啟，還有ISC夜談、ISC Talk、CXO等特色活動(dòng)持續(xù)開(kāi)播，廣大觀眾可登陸ISC 2020官網(wǎng)關(guān)注。