ISC2019第七届互联网安全大会参会记录

8月19日-20日我参加了在北京怀柔雁栖湖国际会展中心举办的第七届互联网安全大会。这次会议以“应对网络战、共建大生态、同筑大安全”为主题。会议的第一天主要从宏观的角度阐述了当前的网络形势，邀请了各国政府相关人员介绍本国在网络安全方面建设的经验。第二天主要为各个主题的分论坛。

下面我将在这次会议上听取的部分报告与大家分享，并把拍摄的一些PPT作为附件上传，供大家参考。

网络监控与响应论坛

——从NTA到XDR

当看到论坛小标题中NTA和XDR这两个词时，我完全不知道是在讲什么，我意识到我对安全领域的认识其实是非常不充分的。

同时我也想到，要想真正理解安全厂商们做的事情，首先要理解他们所提出的术语。

何谓NTA？

NTA（网络流量分析）产品一方面用于流量趋势分析，威胁分析，恶意行为监测，另一方面NTA通过流量梳理与分析，为网络管理者进行网络规划与优化、网络监控等工作提供数据仓库。无论是流量趋势分析还是恶意流量检测，很重要的一点是网络取证能力。通过监控网络流量、连接和对象来识别恶意的行为迹象。

何谓XDR？

国内厂商亚信安全将EDR、NDR、MDR和SOAR所构成的精密编排的自动化检测和响应体系定义为XDR。是应对网络空间中高级威胁的更为精密的解决方案。

一位演讲者说，他的从业经历恰好是经历了从NTA到XDR的转变。当前网络安全对及时性的需求大大增加，从之前几小时内处理数据进行分析告警，到现在需要分钟级别的应急响应，越来越快的反应速度是一种趋势。

安赛科技创始人CEO 林榆坚

《ATT&CK 模型》构建 Web 纵深防御

Construction of Web Defense in Depth Based on the ATT&CK Mode

ATT&CK（ Adversarial Tactics, Techniques, and Common Knowledge）是一个反映各个攻击生命周期的攻击行为的模型和知识库。

它是一种建模工具，使用ATT&CK模型及建模字典，用来改进攻击描述。模型更明确，更易于表达。

可以利用ATT&CK模型建立威胁模型来对问题进行分析，找到每个具体要点在模型中的坐标，建立和提升自己的防御体系。

中国科学院大学网络空间安全学院教授博士生导师副主任 熊刚

加密数据流量测量与行为分析

Encrypted Data Flow Measurement and Behavior Analysis

熊老师提出了在加密流量下的封闭数据集和开放数据集中，可以归结出已知威胁、未知威胁 、·已知对抗、未知对抗四个维度，这四个维度分别对应于加密网络行为对抗、未知威胁对抗、加密网络行为检测、潜在威胁发现四类问题，并介绍了每类问题下团队所取得的研究进展。

瀚思科技首席科学家 万晓川

从检测到响应，机器学习的应用演变

From Detection to Response: The Application Evolution of Machine Learning

演讲者主要介绍了当前机器学习在安全领域的应用，并且从检测和应急响应两个方面介绍了对机器学习的要求。从机器学习的应用推进历史讲起，并且介绍了在实际应用当中的一些经验之谈。

模型的可解释性对于安全领域非常重要，能够真正让人明白问题出在哪里，模型不是万能的，还需要安全人员的经验辅助。而当前深度学习在安全领域的效果还不是很好，并且是难以解释的。

电子数据取证理论与实务论坛

——面向新技术和新规范的电子数据取证理论与实战

这个论坛主要探讨了新型智能设备取证、云计算和大数据环境下的取证、电子数据取证的生态体系建设、人才培养等议题。电子数据作为重要的证据种类，一直是网络犯罪侦查的重点和难点，也是网络安全厂商要依法支持办案的焦点。

中山大学副所长教授卢伟 

政务大数据应用中的隐私保护与对抗

Privacy Protection in the Application of Big Data of Government Affairs

政务大数据系统的构建，能够真正方便市民通过微信等便捷的渠道进行各类手续办理，对于提高行政办事效率起到很关键的作用。

然而在实际中，情况要复杂很多，各个部门采用的系统和数据结构多种多样；有些数据是需要共享的，而另一些数据是需要隔离等等。

演讲者介绍了几项关键技术，包括：针对程序浮动的隐私保护技术，针对非结构化数据的隐私保护技术，面向数据共享场景的隐私保护技术。另外还涉及组织监管体系，安全运维体系，以及最终构建的大数据平台的建设经验。

广州市公安局网络警察支队警务技术一级主管 冯聪 

对诈骗犯罪涉案新型设备的取证

Evidence Collection from Newtype Equipment Invoived in Fraud Crimes

主要介绍了几种涉及诈骗犯罪的新型设备：VoIP、GoIP、短信嗅探设备和呼叫中心系统的取证要点。方法是查到VoIP，GoIP等犯罪分子的具体设备地点后，直接对其关键设备进行取证。

对于VoIP取证时，主要有三个步骤：从VolP 语音关提取设置参数等数据；从VOS 平台提取实际设置 IP 和端口、以及对应管理账号密码的关键信息；获取数据呼叫数据（CDR)，改号规则等电子数据。

安全大数据论坛

——用数据洞见威胁

美团安全工程师 李中文 

大型企业威胁情报运营与思考

许多企业购买了很多安全厂商的产品，却淹没在无数的告警之中，演讲者介绍了如何在实际应用中如何减少告警，和将告警转化为可被人执行和修复问题，建立真正的威胁情报能力的实际经验。

Alibaba Cloud

Alibaba Cloud security: practical data-driven threat intelligence

阿里云提出了基于数据驱动的威胁情报系统，思路大致是结合图随机游走的方式和自动构建知识图谱来实现系统自动判断威胁的种类，具体细节没有听懂。

总结

值得一提的是，由于5G建设的加快，可以看到参会的一些厂商对于IoT（物联网）的安全问题更加重视，如360提出的城市安全大脑。

这次会议是我第一次参加安全方面的会议，之前对一些安全产品没有什么概念，通过参加这次的活动，从中了解到不少新鲜的事物，但也可能错过了某些部分。以后还要多参加类似的会议，不断了解学习，才能对安全领域有更深的理解。同时，感到写参会总结也并不是一件容易的事情，写的过程同时也是思考总结的过程，而这个过程还是有点痛苦的，写的时间也比预想的时间要长，可能还需要不断练习吧。

以上。

2019.08.25