ISC2020安全分析技术分论坛重磅开启 一网打尽前沿网安黑科技

　　8月13日，ISC2020技术日正式拉开帷幕，备受关注的安全分析技术分论坛同步上线，360网络安全研究院安全分析资深专家徐洋、绿盟科技伏影实验室负责人吴铁军、绿盟科技伏影实验室安全研究员赵光远、绿盟科技伏影实验室安全研究员杜元正、绿盟科技伏影实验室安全研究员傅政雄、阿里云安全专家程利军受邀参会，针对多项网络安全分析技术进行深入交流分享，助推网络安全技术创新发展。

　　360网络安全研究院安全分析资深专家徐洋

　　当前大数据、云计算等技术发展进程不断加快，数据量成指数级增长，新技术创新发展伴随的安全威胁与传统安全问题相互交织，各种网络攻击事件层出不穷，通过大数据分析解读网络安全事件成为了辅助网络安全建设的一种有效手段。

　　360网络安全研究院安全分析资深专家徐洋以《通过数据分析拿网站》为题，分享了在DNSMon系统WebInsight模块背景下，如何通过数据分析来辅助渗透及威胁评估。徐洋分别介绍了DNSMon系统的基础数据流和异常检测，以及WebInsight模块的流程和异常点，并总结道，“基础数据处理分析可以有效的辅助渗透以及威胁评估；异常检测模型总能‘意料之内’地发现意料之外的异常威胁。”

　　尽管基础数据处理分析可以有效起到辅助作用，但也存在着若干门槛。首先，最显而易见的门槛是数据的获取和处理，数据越多，覆盖范围越广，数据的视野越大，数据的价值才越大；其次，有了数据以后，需要对其进行多维度关系的提取和构建，如不同安全场景在同一数据中的不同体现，以及同一安全场景在不同数据中的体现，如何将之有效串联是关键；最后，数据处理和分析永远是为具体业务服务的，因此要抓准业务对应的关键数据和业务在数据中体现出的关键特征，徐洋以“数据海 vs 数据湖”来比喻海量数据和业务相关数据的关系。

　　绿盟科技伏影实验室安全研究员赵光远

　　疫情期间，一个针对家用IoT设备即家庭网关，进行网络劫持攻击的恶意软件被成功捕获。通过对家庭网关的分析，攻击者开发了整套攻击套件，实现了流量转发，HTTP流量劫持与修改，以及广告页嵌入的功能。根据探测结果，此恶意软件在全国范围内至少感染了三百万台家庭网关设备。

　　针对此事件，绿盟科技伏影实验室安全研究员赵光远发表《疫情之下黑产的索财之道——隐匿在百万家庭网关中的盗窃者》主题演讲，详细描述了此次威胁事件中，与此恶意软件相关的技术细节信息，并披露了其攻击手法并复现了其广告植入手段。

　　演讲尾声，赵光远对此威胁事见进行了总结，包括攻击者使用的广告劫持技术并非是新技术；攻击者对家用网关及其控制与维护方法非常熟悉；本次事件中发现的恶意软件并非所有感染模块，攻击者反侦察能力极为敏锐等特点。

　　赵光远表示，“如果此攻击工具持续演变下去，也许会成为威胁极大的一个恶意软甲家族，本次在ISC2020上是首次公布此恶意软件，希望能够引起业界重视。”

　　绿盟科技伏影实验室安全研究员杜元正

　　绿盟科技伏影实验室安全研究员杜元正分享了关于“图卷集神经网络的样本家族分类”的相关研究进展。目前，可执行程序黑白二分类的技术相对成熟，在此基础上进行由功能、代码复用情况对恶意可执行程序进行多分类成为下一个突破方向。

　　演讲中，杜元正分享了其研究团队针对此方向的研究历程，团队首先使用API\LIB调用序列作为特征对可执行文件进行分类，但由于恶意样本家族之间的API\LIB调用序列的特异性不足，导致分类结果不理想。随后更换特征提取思路，以恶意样本的控制流图(Control Flow Graph, CFG)作为特征、使用可以采集图特征的图卷积神经网络（Graph Convolutional Nerual Network）进行多分类。

　　杜元正表示，使用恶意样本控制流图作为多分类特征，然后使用图卷积神经网络对分类特征进行分类，理想环境下分类效果拔群。与此同时，研究团队在此过程中遇到了两个工程问题但最终得以解决，其一是缺数据，最终通过做数据增强成功解决，其二是关于壳保护技术，研究发现利用“壳函数不会调用恶意样本自定义函数、恶意样本自定义函数不会调用壳函数”的这一特点，能够成功分离壳特征。

　　阿里云安全专家程利军

　　相关调查显示，当今互联网中的流量有一半来自于机器工具，其中恶意流量的占比在逐年在上升。攻击者采用各式各样的工具对互联网中的业务进行攻击，对用户造成了极大的危害，机器流量识别面临着严峻挑战。当下，攻击者的技术在飞速进步，且攻击手法会快速变型，对抗局面十分激烈；而传统基于特征识别恶意流量的防御思路已经失效，如何识别并管理这些机器流量，成为了保护客户安全的重要议题。

　　会上，阿里云安全专家程利军针对此问题发表《行为分析在机器流量识别中的应用》主题演讲，针对基于统计、单点、以及绘画序列的行为分析分别进行了详细分析。程利军表示，“利益越大，诱惑就越大，黑产在机器流量对抗上的强度也会变大。这要求我们随着对抗的升级，不断升级检测模型。”

　　ISC2020技术日当天，还有网络空间测绘、漏洞管理与研究、移动安全等多个分论坛同步上线。未来几天，ISC2020产业日、人才日等主题日将陆续开启，还有ISC夜谈、ISC Talk、CXO等特色活动持续开播，广大观众可登陆ISC 2020官网关注。