9.3-9.6安全科荟参会总结[张晓欧,马小青]
· 190903-加密流量测量和分析
o 报告专家:
· 东南大学 程光
· 程老师主要做流量分析和测量的。相关参考资料有:《加密流量测量与分析》程光著(ISBN:9787564181956)
o 报告摘要:
· 为了满足用户隐私保护和网络安全的需求,需要对网络流量进行加密,传统面向非加密流量的识别技术难以识别和处理加密流量,因此实现有效的加密流量识别是网络安全与管理的重要保障。针对当前加密流量识别存在准确率低、鲁棒性差等问题,本报告主要介绍讨论如何从高速网络流量中提取反映加密流量内在规律的特征信息,实现加密流量的精细化识别。
o 报告重点内容:
· 报告重点介绍了加密流量分类方法,包括,加密流量应用服务识别(加密流量特征选择,加密流量分类方法,加密流量应用服务分类,加密协议识别),TLS加密流量分类方法(基于Markov链和集成学习的SSL/TLS加密应用分类,基于TLS流量长期被动测量的Tor行为分析),HTTPS加密流量分类方法(HTTPS语义推断,HTTPS应用识别),加密视频流量参数识别(SSL/TLS加密视频流量QoE参数识别方法,加密HTTP自适应视频流的实时视频清晰度质量分类-Safari案例)和加密恶意流量识别方法(使用上下文流数据识别加密的恶意软件流量。
o 报告照片拍摄:
· 鉴于已有pdf文件,照片仅供参考,安全科荟190903-加密流量测量与分析.pdf
o 报告收获:
· 程老师对于加密流量带来的挑战,现有分析方法,以及未来研究方向都做了非常详细的资料介绍,ppt内容十分丰富。
· 190906-网站数据安全评估工具和数据安全态势感知
o 报告内容:
· 数据安全检测工具-功能要点
§ 个人敏感信息加密的检测
§ 数据访问在线审计检测
§ 个人数据脱敏合规性检测
§ 数据的分类分级检测
· 数据安全态势感知-特性和价值
§ 安全设备的状态?数据安全设备集中管理
§ 数据的整体分布态势?数据梳理和分布态势-精细化的把我数据资产的现状
§ 数据整体流通态势?数据流向画像-把握数据资产流向状态,知晓其中的每一个细节
§ 数据被使用的整体态势?用户行为画像-把握使用者的每一个行为
§ 数据是如何被泄露的?智能溯源-把握数据的来龙去脉
§ 数据在泄露吗?智能告警-风险无处遁形
o 报告照片拍摄:
· 安全科荟190906-网站数据安全评估工具和数据安全态势感知
o 报告收获:
· 本报告旨在表明从亡羊补牢的角度,对数据安全检测工具和态势感知两方面进行介绍,侧重于介绍平台展示。
· 190906-基于网络测绘和 WEB访问日志的 IP 接入类型分析
o 报告专家:
· 杭州安恒信息技术股份有限公司 杨勃
o 报告摘要:
· 由于互联网中的IP接入方式的多样性,威胁情报在标记IP,或网络测绘在识别IP开放的端口时,都存在一块技术空白,即识别该IP是何种接入方式:动态IP、IDC、云平台、代理、专线网络出口、移动网络IP等。
o 报告重点内容:
· 通过对IP的动态访问特性与IP的测绘静态数据(包括IP的地理位置信息、端口号开放及端口服务类型数据、运营商信息等)结合分析,刻画IP接入方式(动态IP,IDC,代理,专线网络出口,移动网络IP等)的特性(IP的类型、行为方式、活跃情况及接下来一段时间的动态预测),采用UEBA分析技术识别接入类型,涉及到自然语言处理技术、大数据处理技术、机器学习和深度学习技术等,具体以ICD识别和代理服务器识别进行举例步骤说明。
o 报告照片拍摄:
· 安全科荟190906-网络测绘和PDNS两部分.pdf
o 报告收获:
· 了解学习了分析判别多样性IP接入方式的重要性(对于网络空间测绘具备可落地应用能力),以及这方面的分析思路。
· 报告ppt内容涉及相关研究资料较少,相关内容需要自己进一步搜索学习。
· 190906-基于 PDNS 日志的恶意域名与失陷主机异常行为分析
o 报告专家:
· 杭州安恒信息技术股份有限公司 杨勃
o 报告摘要:
· 大DNS数据是整个网络数据中的一小部分,数据量适中便于进行分析、处理和实验。恶意行为会在DNS数据中留下痕迹,因此可以通过提取有意义的特征来分析域名和恶意行为之间的关系。并且大部分的DNS流量数据都是未加密的,使得获取并实验成为了可能。为了提炼更广泛且有效的恶意主机情报,并能够通过主机异常通信的行为进一步确认主机已经失陷,实现用较小的计算资源开销发现互联网中的未知威胁与失陷主机,可采用基于PDNS日志进行失陷主机异常行为分析的方法,可有效弥补现有基于特征进行流量监测的响应度较低的问题。
o 报告重点内容:
· 通过恶意域名的解析特征,识别恶意主机与域名情报:多源情报与网络测绘数据获得域名信息+多维数据关联分析+机器学习算法;已有成果参考《基于IP分布及请求响应时间的恶意fast-flux域名检测算法》(有监督检测方法)
· 通过与恶意域名通信的主机异常行为分析,确认失陷主机:基于时域、频域对恶意域名DNS请求进行分析&提取实现行为模型+通过五元组定向跟踪与恶意域名通信的主机行为轨迹+确认是否存在数据窃取、回传、命令控制行为。
o 报告照片拍摄:
· 安全科荟190906-网络测绘和PDNS两部分.pdf
o 报告收获:
· 收获一些较为细节的知识点,例如域名分析维度特征的举例,以及UEBA模型。
· 190906-可解释深度学习预测方法
o 报告专家:
· 北京航空天大学 王静远
o 报告摘要:
· 深度学习模型在表征提取、精准预测方面都有着非常卓越的性能,尤其是其强大的自动化表征学习能力和高度非线性的预测建模能力,可以大大提升数据处理效率。然而,深度学习在可解释性方面却存在着先天的不足,其“黑盒”的神经网络结构无法对预测结果做出清晰解释,因而很难应用于医疗、金融、安全相关的一些关键的决策场景。针对这一问题,我们以管理决策应用为背景,将计量经济学中的统计检验方法同深度学习模型相结合,对可解释的深度学习预测模型的设计进行了研究,所提出的方法能够分析输入变量对深度学习模型输出的影响,对深度学习模型的预测依据做出解释。研究成果在城市交通预测、时间序列预测、心脏病诊断、公共安全分析等领域进行了应用。
o 报告重点内容:
· 从计量经济学的角度,进行深度学习预测方法的解释,侧重于global explanation(why do you think a "cat" looks like)方面,即关注当前模型到底学到了什么。利用模型结果进行“预测”,基于概率梯度积分进行“解释”。
· 详细介绍了可解释深度学习预测的相关研究工作,包括:深度学习交通速度预测与拥堵分析,可解释的深度学习时间序列信号分析,深度模糊认知图(Deep Fuzzy Cognitive Map)-空气质量系统的影响关系分析。
o 报告照片拍摄:
· 安全科荟190906-可解释深度学习预测方法.pdf
o 报告收获:
· 除了报告提到的针对深度学习预测的可解释方法外,王老师还针对提问环节进行了其他知识点阐述,例如针对非对称问题如何平和准确率和召回率(根据应用场景、时间段、对象等进行不同的选择),对于过程可解释的决策树方法等。
· 190906-大数据驱动的行为计算研究
o 报告专家:
· 北京航空天大学 刘冠男
· 个人主页:http://sem.buaa.edu.cn/szdw/xxxtx/lgn/jbxx.htm
o 报告摘要:
· 随着信息技术的不断发展,人类许多“不可测”、“不可算”的行为活动都被记录下来,并且表现为多源异构的数据形态。为了更好地理解和应用人类行为模式来辅助社会治理、商业决策,“行为计算”的概念、理论与方法也应运而生。具体而言,对大规模多源异构的行为数据进行表征学习,从而检测内在的行为模式,并对未来的行为进行预测,是行为计算的内在逻辑。对富含价值的行为大数据有效分析,是保障国家安全,推动社会治理,以及提升商业智能的核心技术,也是提升网络空间数据价值转换能力,并能闭环反馈到物理世界辅助科学决策的关键。这其中包含了大量亟待解决的关键技术,为研究者带来了诸多的研究机会与挑战。
o 报告重点内容:
· 关于复杂关联行为表征学习,关联行为一般表现为高维关联矩阵,核心在于降维表征。分别提出了一种霍克斯过程的动态网络嵌入表示学习方法,一种融合多源关联行为的概率表征方法,表征城市结构,并预测社区的投资价值和人气(TKDD),和一种提出了一种多实体关联异构网络的表征方法,实现个性化的捆绑产品推荐。
· 关于多维序列行为表征与预测,针对如何表征多源序列行为,提出了一种基于循环神经网络来表征行为序列(ICDM2018);针对如何利用序列行为进行预测,提出了一种融合多元数据的自适应卡尔曼滤波模型,有效融合在线行为序列。
· 关于多视角感知与协同建模,针对如何有效定位和感知目标行为与群体,同时考虑序列行为与群组结构(概率模型(HMM)和矩阵分解模型融合(IEEE TKDE)——反诈骗,商业价值——潜在客户发现);针对如何协同建模多视角行为,融合动态行为和隐含网络结果相融合的深度学习。
· 基于行为计算的电信反诈骗落地成果,涉及有害信令分析,潜在受害用户分析,呼叫序列分析等方面
o 报告照片拍摄:
· 安全科荟190906-大数据驱动的行为计算研究.pdf
o 报告收获:
· 刘老师根据现有的信息数据,在对业务相关的数据建模与数据抽象方面,进行了详细的介绍。
