BCS参会记录

标签:BCS    2435人阅读 评论(0)


2019.08.22-23北京网络安全大会BCS——安全沙龙【张帅】

1、基于知识图谱的自动化渗透技术设计与实现

演讲嘉宾:司红星

四维创智(北京)科技发展有限公司CEO

概述:

漏洞检测是政企机构网络安全建设的重要手段之一,常用漏洞检测方法主要有两种:白帽子人工挖掘和漏洞扫描检测。前者依赖于工程师个人能力,很难实现标准化、规模化;后者大多采用全量FUZZ以及定制poc检测方法,甚至直接采用版本匹配漏洞库手段,已无法适应当前的网络安全形势。本议题主要探讨如何将AI技术应用于漏洞检测和攻防实践,涉及DPL语言设计等多种实现方法,并结合具体应用案例,分析AI技术在漏洞检测领域的应用效果。

个人感想:

本来想去听一下这个知识图谱是怎么用上去的,最后还只是讲了一些安全攻防相关和渗透测试流程一些点。

2、基于加密流量精分策略的安全业务性能优化

演讲嘉宾:陈玉奇

F5安全业务经理

概述:

安全需求不断提升,使越来越多的业务访问、API调用等开始使用加密技术。但传统安全业务机制往往不会对加密流量进行特别的区分处置,使得各种不同的安全设备对加密流量处置缺乏针对性。如IPS是二层处理,WAF是三层代理,态势感知是旁路监听,它们对加密流量的分析和监测需求是不一样的。本议题将结合多种业务场景,介绍如何进行加密流量的精细化分配以及相应安全设备的集群部署,以期实现对业务流量在不同安全设备之间的编排调度,确保安全设备在加密流量监测中发挥最大的安全效能。

个人感想:

  前半部分基本都可以听懂(涉及流量加密,加密情况下威胁检测的困难性、目前针对这种情况的安全产品部署现状),但是在后面介绍自己产品那一块没有听懂在讲什么(加密流量精分)。

3、基于骨干网大数据的威胁追踪与定位

演讲嘉宾:孙朝晖

北京派网软件有限公司CEO

概述:

与一般企业内网流量分析不同,骨干网中传输的数据规模是电信级的。因此绝大多数以内网数据为目标的流量分析技术都无法直接应用于骨干网。同时在骨干网做威胁分析也有利有弊:一方面数据覆盖面广,关联维度丰富;另一方面缺少被攻击目标的细节信息,威胁判定难度大。本议题将主要结合实践案例,介绍基于骨干网海量大数据的威胁分析方法,包括威胁模型的构造,全量日志的域名、URL和Flow表的关联分析,以及相应的多种人工智能引擎设计。最终实现在海量数据中快速发现未知威胁.并对威胁进行溯源定位。

个人感想:

  计划来听一下威胁追踪和定位以及在骨干网上的部署情况,但讲的完全不一样,孙总裁全程在介绍一些经典深度学习模型在威胁检测上的应用,感觉在上柳厅文老师的深度学习与安全课程。

4、基于神经网络的知识图谱安全技术应用

演讲嘉宾:马勇

奇安信集团数据安全技术事业部研发副总监

概述:

加入知识图谱作为先验知识进行威胁预测正在成为威胁情报系统、态势感知和SOC(安全运营中心)发展的新趋势。作为领域知识图谱的应用,传统的人工创建知识图谱的方式成本高,基于规则推理方式的知识图谱在应用效果、推理范围和深度方面受到一定限制。本议题介绍了目前可供落地的基于胶囊网络和图神经网络的知识图谱技术在威胁情报、态势感知等方向的应用方法和落地工程实施方案。

个人感想:

  马总本次报告主要介绍了图神经网络和知识图谱在安全分析中的应用并介绍了这两类知识的基本内容。但是感觉有一处讲的有问题:其提出使用NER(命名实体识别)技术自动提取关键词来缓解人工创建知识图谱的高昂花销,但是命名实体识别任务本身也需要标注语料,但目前好像并没有安全事件相关的标注语料。

5、实战化下的全流量威胁发现实践

演讲嘉宾:唐伽佳

奇安信集团大数据与威胁分析事业部产品总监

概述:

在攻防演习中,作为防守方,面对“隐蔽”的网络攻击,如何才能有效防御呢?只有沿实战化的攻击路径做纵深检测才能全面应对“组织化”攻击挑战。攻击方在组织入侵攻击时,常见的攻击步骤为信息收集、漏洞分析、渗透攻击和后渗透攻击等。议题结合攻击者的入侵路径与攻击方法,总结出了互联网突破-威胁检测,内网拓展-威胁检测,关键产品、系统攻击-威胁检测方案,数据驱动的威胁分析能力体系等内容以及相关实例。

个人感想:

  感觉这是两天来讲的最好的一个技术汇报,唐珈佳老师介绍了当前内网安全存在的问题,以及内网渗透的主要形式,然后介绍其开发的一套全流量威胁发现模型的详细部署情况,通过这些关键区域进行必要设备的部署(流量镜像设备、诱捕设备),能及时观测到全网的流量情况以及威胁告警情况。从其展示的情况来看,基本能覆盖大部分的渗透攻击形式。

6、网络空间拓扑测绘及波动检测技术

演讲嘉宾:王永

郑州艾文计算机科技有限公司董事长

概述:

议题介绍网络空间拓扑测绘技术与应用实践,从网络空间拓扑测绘、超高精度IP地理位置定位和全球网络波动监测3个方面展开。网络空间地图采用“静动双态、点线面体四级”的总体思想,构建以IP地理位置定位、网络拓扑探测为主的静态分析能力和以网络波动监测为主的动态感知能力。以IP地理位置为“点”、网络拓扑为”线“、网络波动为”面”,构建重点网络目标空间的动静态、可感知、可定位、可视化的立体化网络空间,可比媒体更快发现网络断网和网络劫持事件,并分析背后深层次原因。

个人感想:

  这个是中间才开始听的,介绍了IP定位能达到街道级别的技术、近些年出现的BGP路由劫持事件,介绍了检测方法,华为和思科竞争出现的全球性劣势地位(思科控制了绝大多数上游路由),总的来说,该公司进行了很多网络空间测绘的任务,而且基本都是覆盖全球的测绘

7、基于终端多维数据的攻防对抗与用户行为画像

概述:

  以往终端安全建设更加偏重于集中管控,防病毒打补丁,数据防泄露等传统领域,而对其他一些更有价值的数据,如非安全类的终端数据、终端异常行为等没有很好利用和分析。但实践发现,对终端数据的深度挖掘不仅可以发现更多潜在威胁,且还能对高级攻击进行及时发现与防御。本议题将主要结合实践案例,介绍终端安全运营成熟度提升的最佳实践与常见问题;结合内部红蓝对抗过程实例,展示通过终端安全检测发现准APT多别的样壬投递与攻击;以内部安全大数据处理平台为例,分享通过终端数据结合其他安全日志数据,吏細电前行行为画像和异常行为检测。

个人感想:

  比较贴近攻防类,其多维数据是自己构建的,通过在日志中加入一些用户的信息以及事件触发的信息,来构造最终的多维数据便于进行用户画像。

总结

        总的来说,这次参会还是有一定收获,对自己正在进行的追溯定位调研提供了一些帮助。感谢钟师兄给的门票!!!

附录

相关会议记录链接(录音、图片):

链接:https://pan.baidu.com/s/1AzDOwaWd6sVBjILX1-P7LQ 

提取码:ypau 

复制这段内容后打开百度网盘手机App,操作更方便哦


查看评论

暂无评论

发表评论
  • 评论内容:
      
首页
团队介绍
发展历史
组织结构
MESA大事记
新闻中心
通知
组内动态
科研成果
专利
论文
项目
获奖
软著
人才培养
MESA毕业生
MESA在读生
MESA员工
招贤纳士
走进MESA
学长分享
招聘通知
招生宣传
知识库
文章
地址:北京市朝阳区华严北里甲22号楼五层 | 邮编:100029
邮箱:nelist@iie.ac.cn
京ICP备15019404号-1