Chinaunix首页 | 论坛 | 博客
  • 博客访问: 3041248
  • 博文数量: 167
  • 博客积分: 613
  • 博客等级: 中士
  • 技术积分: 5473
  • 用 户 组: 普通用户
  • 注册时间: 2011-09-13 21:35
个人简介

人, 既无虎狼之爪牙,亦无狮象之力量,却能擒狼缚虎,驯狮猎象,无他,唯智慧耳。

文章分类
文章存档

2015年(19)

2014年(70)

2013年(54)

2012年(14)

2011年(10)

分类: 网络与安全

2014-09-26 11:06:49

      为期两天的2014ISC顺利结束,自己由于一些原因并没有听到最后,下午便提前回来了,整体感觉节奏比较紧凑,很多论坛继续了去年的话题:软件安全、企业安全、云计算与数据存储安全、电子取证、移动安全以及相关的法律法规等,可以说既有微观的技术交流,又有宏观的政策探讨。自己印象深刻的一个是智能汽车的破解,这个在前篇已经介绍过了,另一个印象深刻的则是大数据作为一个平台和技术在多个安全领域进行应用,比如利用大数据作为漏洞挖掘的工具,实现自动+半自动+被动三位一体的扫描模式发现0-day漏洞;或者作为电子取证的新平台;或者作为移动安全数据的来源等。大数据是一个平台,是一个工具,在不同的应用场景可以发挥不同的功效。好了,闲话少叙,我们接下来梳理下昨天听报告的几个要点。
一、APT防御技术论坛
   这个论坛自己就听了一个报告,也就是由安天实验室肖新光所作的关于“APT事件样本采集的度量”的演讲,肖在其中提到了分析的最近一次APT-HangOver针对中国攻击行为的时间链,其中通过捕捉分析到的样本,发现这是一起多达6个样本的协同攻击,每个样本分别负责记录键盘输入、特定格式文件搜索、文件信息上传等不同的任务。肖在此基础上继续分析发现的样本和已知恶意代码的同源性,提出可以从二进制文件的树形图形学上进行分析。当然,APT是一种有目标、有计划地攻击行为,其令人最大的恐惧在于其是一种完全未知的威胁。

二、WEB与应用安全
   自己在这个论坛上呆了很长时间,听了三个报告,由于人比较多,全程站着听的。首先是关于移动支付安全的一个演讲,由于自己来的时候已经开始,而且并未按照事先的安排作报告,因此自己并不清楚主讲人和题目,但是看报告的内容却提到了Android平台恶意代码的对策。其中有以下几点:
-1. 移动端应用攻击方式:获得原版程序--逆向分析--植入恶意代码--重新发布--用户恶意行为或欺诈
-2. 针对以上的攻击方式,报告提出了“反逆向、反篡改、反欺诈”的“三反”策略;
-3. 具体来说,实现程序的加壳加密,加壳密钥在内存中碎片化存放,加大黑客分析的难度;程序运行代码动态化,类似于DLL,使用时才加载入内存,不用时不加载;文件存储内存化,避免直接操作硬盘,争取都在内存中分析;


   接下来是林榆坚带来的“金融WEB应用漏洞分析方法”的演讲。金融系统当然对于安全的要求很高,一点疏漏都有可能造成巨大的经济损失,因此很多银行都雇佣专业的安全公司进行系统加固。漏洞扫描则是其中关键的一环,这里针对已有的fuzz自动扫描,提出了“三位一体”式的漏洞扫描体系:全自动+半自动+全被动,其实是逐次加入人工的干预进行漏洞扫描。
   对于全自动扫描而言,主要的技术是利用常见的漏洞扫描器,使用fuzz自动填充各种数据,触发业务逻辑混淆,从而导致服务出错,其关键技术和难点在于WEB2.0下的自动交互以及绕过防火墙技术,常见的产品如绿盟、知道创宇等都有相关产品;其不足在于无法处理高交互会话,且只能处理暴露给用户(搜索引擎)的页面,无法实现100%覆盖;
   对于半自动扫描,当然是为了改进上述问题引入的,主要思路是业务重放+URL镜像,即使用工具捕获HTTP流量,修改后实施重放攻击,可以检测水平权限绕过、订单修改等漏洞;其不足在于时间滞后、无法100%覆盖(存在孤岛页面)以及无法应对0-day攻击;
   所以我们还需要全被动的扫描方法,国外做的比较好的是Nessuss PVS,这种扫描方法不会产生网络流量:
 
   自己听的最后一个报告是董方做的关于“数据分析、关键词和地下产业”的演讲,其主题的关键有以下几点:
-1. 利用大数据平台分析网络日志,从中发现安全威胁和攻击行为;
-2. 大数据平台:Scribe + Storm + Redis + Mysql + Hadoop(全部都是开源软件)
-3. 分析的思路关键是寻找异常,从异常中找攻击;
-4. 利用访问深度、广度、频度以及参数污染度建立正常访问模型;
-5. 关键词筛选:传统关键词、人无法识别的关键词、关键词的组合筛选;



三、其他
   自己主要上午听了这些技术论坛,11:00左右又去逛了另外两个论坛:电子取证和国家战略,然后吃完中饭,下午听完一场报告后就提前打道回府了,因为下午主要是闭幕式了。
   这是网络战略论坛:


   下面是电子取证论坛,主题是”大数据取证“:

   中午吃饭的地方还是不错的,自助餐,自己全挑的鱼,还有果汁+甜品+水果,地方也很大,国家会议中心就是与众不同;但是不如去年的是,今年的T恤等纪念品只能花钱买,不如去年直接免费领了,而且饮用水也只给一瓶,明显不如去年随便拿好了:
阅读(2675) | 评论(0) | 转发(0) |
给主人留下些什么吧!~~