今年的阿里安全峰会招来了诸多合作伙伴，谈“聚力”和“赋能”，就像昨天FreeBuf在文章中谈到的那样。如果说峰会第一天算是阿里自己将这个理念抛出来的话，第二天的分论坛就是借由其他人之口，将这个口号坐实了。比如有些企业原本与安全行业的关系不大，却也成为嘉宾在分论坛上发言，不正是聚力和赋能的表现吗？
由于分论坛的内容实在太多（12个分论坛，而且还分设于北京国家会议中心的一楼和四楼），我们也分身乏术，所以从中挑选了几个比较有趣的话题，与大家做个简单的分享。
云安全分论坛
大数据安全：用数据积累经验
如果谈大数据安全，其实大量在本次阿里安全峰会列席的厂商都有大数据方面的经验。比如盘古实验室讲演的《移动应用安全数据分析实践》，这个课题的主要内容是盘古能够通过自家的数据分析工具，来追踪Android平台上的Rootware程序——就是那些会恶意Root你手机的程序。
不过其中有一家企业在会上谈数据，吸引了很多人的注意。即北京派网软件，也就是Panabit的CEO孙朝晖演讲的主题《无中生有——基于骨干网全量应用识别的威胁情报基础数据采集》。
虽然这个标题实在是长到读不下去，不过孙朝晖在现场的数据呈现的确还是颇吸引眼球的。其实Panabit在做的是，网络应用层流量分析、带宽优化和应用管理解决方案。他们手里握有大把的网络数据。孙朝晖从头到尾不止一次谈到：我们不是安全企业。但却因为拥有大量数据，因此不知不觉积累了威胁感知的经验。
由于并非安全企业，所以才记录所谓的“全量”日志，而不是特别针对安全企业关注的威胁数据。举两个有趣的例子，比如说Panabit能够精确锁定固网IP地址所在的地理位置。就是你在家用电脑上网，很轻易就知道你家的位置，精确度是可以到你住在哪个小区哪幢楼的。其实现方式在于，通过分析你日常相关的各种数据，比如与你相关的手机的地理位置信息，当然还有其他参考的数据类型——每天晚上你常呆的地方差不多就是你家了。
于此，安全领域常说的DNS劫持——在Panabit的流量分析中也就几乎一目了然了，因为DNS服务地理位置布局的突然变化，从地图上看非常明晰。这其实就是手握数据的威力。
看PPT左下援引的那篇文章是谁家的！
再举个例子，前年磊科路由器曝漏洞。某日凌晨3点，从Panabit的这种“全量”数据来看，绿色的“unkown数据”猛增，这是显然的异常情况，集中攻击UDP 53413端口的日志也很明确。其实此时出现安全状况是必然的，不过像孙朝晖所说的：“我们不是安全企业，没办法发布安全预警。”但也为后来的全网封堵起到了很大的作用。这也是数据的威力。
除此之外，还有一些实例，比如在网络流量中明确发现某个不知名域名的连接数暴增，甚至超过BAT，或者Windows 10升级提醒的访问量，这种数据获悉，便是典型的异常情况；再比如当年的QQ空间病毒爆发，其实通过流量也是非常容易发现问题的。这也就是数据，或者大数据分析，能够给我们在安全方面带来的好处了。
身份认证：让你的签名3D化
像上面Panabit这种跟安全企业并不是那么相关的例子，在阿里安全峰会上并不少见，这才叫聚力嘛！再比如浙江大学博导徐文渊分享的，他们在做的一个相关身份认证的项目。这位看起来非常年轻漂亮的女博导演说明显就是教导学生的样子，还特别重申：其实我们在做的这个事情，在技术上与安全没有太大的相关性。
浙江大学教授博导徐文渊 这场演讲时爆棚
我们上个月曾经撰文援引过Garnter对身份认证判断的趋势：密码这种东西很快会被生物计量，或者叫生物检测技术取代。就像我们所用iPhone手机上的指纹识别一样，安全性更强，而且也很方便。不存在弱口令的问题，也不需要人类去很复杂地进行记忆。
指纹识别就属于典型的Biometric技术，徐文渊将之译作“生物识别”，也就是我们所说的生物计量。其实这类技术很多样，像是掌纹识别、虹膜识别、耳朵内部结构识别、心率识别，这些都早就有产品问世了。还有行为式的Biometric，如通过一个人的走路方式来认证他的身份。
问题是，Biometric存在一个巨大的安全缺陷，即像指纹这样的信息，一旦被黑客拖库或者叫盗用，也就意味着你被终生破解了——因为你的指纹信息无法像密码一样再重置成新的。美国就曾经发生过指纹库被盗事件（iPhone的指纹其实是存储在A系列芯片的Secure Enclave中的，理论上不存在被拖库的可能性）。
所以浙江大学在研究的这个项目叫做“三维口令身份验证技术”。理念是虽然也是生物识别，但可被更改，其实说白了就是一种手写签名的技术——很多人应该知道，很早以前普遍认知人类具有唯一性的东西包括DNA、指纹、笔迹。所以其实手写签名是个很不错的身份验证手段。但从技术上来说，其实施还是有难度的，比如说黑客的笔迹模仿如何解决，而且我们每次签名的笔迹肯定也都是有差异的，程序如何做容差。
他们选择的解决方案是首先用Kinect（Xbox Kinect在开发领域的应用的确还是相当广泛）对签名动作建模、收集数据——对Kinect了解的同学应该知道，它能够实现3D建模。所以这种签名是3D的，将3D签名的特征提取出来，如手指的姿势、如何移动等，就能做到身份认证了。
在具体实现上，当然比我们想得要复杂很多了。比如解决我们两次签名存在差异，如何实现准确认证的问题，采用一种名为Dynamic Time Warping的技术，找到两次签名某些曲线的相似性等等。不过这种3D签名的麻烦程度，还是比指纹识别，甚至密码输入都还要麻烦的，不知未来是否会有普及的可行性。
漏洞挖掘：棘手的业务逻辑漏洞
FreeBuf实际上是阿里安全峰会分论坛中“安全攻防论坛”的出品方，我们给出的就是安全方面的干货了。漏洞盒子高级安全研究员陆柏廷演讲主题《典型业务逻辑漏洞挖掘》还是吸引了不少与会者前往观摩的。
漏洞盒子高级安全研究员陆柏廷
所谓的业务逻辑漏洞，举个例子，比如说阿里安全峰会，并没有对入场嘉宾开设安检程序，这可以算是个典型的业务逻辑漏洞——这是陆柏廷开场的时候告诉我们的。实际上，在各个不同的业务场景上都可能存在这样的漏洞。比如说企业常用到的门禁卡，漏洞来源于开发人员，这是个身份认证场景。
举个比较实际的权限跨越的例子，捕获到某客户端与服务端通讯的一个Cookie Session，是这样的：
Cookie: SESSION=USER-334dsf9ref8erg390g
捕获多条之后，发现这里面USER-后面的这个数字始终是3。如果将这个数字改成2，再发往服务端，发现权限就从普通用户变为VIP用户了。这就是非常典型的权限跨越，可以想见，这个数字若为1，代表的就可以是admin权限了。
除此之外，还有针对我们进行网上交易的篡改：比如网上下单购买虚拟币，如果仅采用局部验证的方式，那么通过篡改数据，花更少的钱买到相应量的虚拟币也是完全可行的；还有如用肯德基应用，抢兑积分或者某款产品，通过并发请求（甚至都不需要做什么复杂的，进行非常快速的点击都能成功），原本限定一个人仅一次的机会，变成了多次。
要解决这些问题，看似毫无头绪，但如果能够针对业务场景建模，对业务流程进行梳理，以及进行风险点识别，还是能够起到很大作用的。这其中业务场景的建模，需要具体问题具体分析，就算是相同的行业、相同的业务系统，业务场景实际上也会有差别；不同的行业就更不用说了。然后采用已知风险对照，或者STRIDE分析法，进行风险点识别，比如上面谈到的交易可被篡改的情况，做出改进。
威胁情报：用蜜罐收集情报
阿里安全峰会分会场中有个比较有趣的存在，即“创新沙盒论坛”。这个论坛会有初创企业的负责人在限定时间内进行演讲，结束后还要接受现场嘉宾的质问，整个论坛结束后再进行评选。我们在其中关注到一个很有意思的项目叫“幻云”。
锦行网络安全研究员胡鹏
做幻云主题演讲的是锦行网络安全研究员胡鹏。这家公司所推的幻云，实际上也是款安全产品，我们几乎可以将之类比为“蜜罐”。会看到这儿的小伙伴应该对蜜罐不会陌生，这东西是故意吸引黑客前来攻击的、伪装的目标，能够很大程度用来收集情报。幻云差不多也是如此，不过因为已经升级到企业产品，所以在实现上显得更有针对性。用胡鹏的话来说：
“幻云的第一步就是为攻击者提供很好的体验，让他们在场景中很好地展示自己。”
不严谨地说，幻云其实就类似于一个深度交互的蜜罐。比如说将这个蜜罐放在企业网络中，其中的很多业务数据都对这家企业进行了仿真，而且是动态的。这样一来，黑客进入蜜罐看到企业的业务数据也会很开心，并且“很好地展示自己”。
按照胡鹏的说法，幻云是按照客户的业务特点来搭建环境，所以就攻击情报的收集这一点具备了不错的优势，胡鹏称之为“上下文环境”优势，其实就是contextual，甚至引导攻击者看到企业想让他看的东西。利用这些威胁情报，企业不仅可以分析攻击行为，还可以更有针对性地应对未来的攻击，甚至预测攻击者的攻击意图。
比如索尼可能很关心今年圣诞节是否还会不会受到攻击，这其实是幻云期望能够做到的事。如果实际使用中真能达到胡鹏所述的理想效果，威胁情报才真正显得有价值。
机器学习：算法是核心
要说针对安全问题的发现，或者针对风险的监控，现场听来最高大上的就是机器学习了。如东巽科技CTO李薛演讲的主题《机器学习在恶意样本检测方面的实践之路》，还有杭州邦盛金融技术总监孙斌杰谈的《利用机器学习进行业务风险实时监控》。
机器学习这些年虽说已经有了长足的发展，在很多人看来却依旧有些遥远。其实在听这两个主题的过程中，现场的很多观众也多少会有这种体会。这两位技术大神现场都把主要精力放在了对机器学习算法的探讨上——虽然没有谈很具体，还进行了各种类比的解读，从策略方面大致地谈算法，却仍旧让很多人听来一头雾水。
东巽科技CTO李薛
尤其李薛还说到在进行算法调优过程中做出了众多努力，还是遇到了重重阻碍。比如说当针对机器学习算法研究过于深入的时候，会陷入“过拟合”的问题中，即考量的特征集过大，模型过于复杂——所以就有了解决过拟合问题的方法；再比如研究算法过程中遭遇到不平衡数据集的问题，光听着这名字就已经让人头疼了。
而且实际在算法产生以后，真正考虑应用到业务的时候，在这里自然就是进行恶意样本的检测了，还是遭遇了大量的问题。用李薛的话来说，是“还是有很多坑”，都需要一一解决。比如加入聚类算法，对木马、蠕虫、广告，甚至更细的维度进行分类；还有对输入数据的优化、将维去噪等等。
杭州邦盛金融技术总监孙斌杰
孙斌杰在谈自家产品的时候，也大量提到了算法策略，虽然他谈得比较抽象——针对“利用机器学习进行业务风险实时监控”的问题，比如在网上交易过程中，如何划分那些存在安全问题的流量是个问题。我们想要通过画一条线的方式来彻底对合法和非法流量进行划分，想想都觉得不可能，但通过决策树反欺诈策略还是有搞定的希望，多划几条线，就可以将这个范围缩小；或者通过支持向量反欺诈策略，即划出更多的维度来，还是有画条线切分两类数据的可能性…说得如此抽象，我们大概也很难参透具体实施过程了。
其实孙斌杰在谈自家企业过程中，说了内部人员组成。似乎若真的去搞机器学习，则需要各方面的人才，比如他谈到搞这套系统需要考量针对机器学习运算的硬件GPU加速——这恐怕是很多安全人才根本就不曾涉足的领域（GPU通用计算！）。
虽然最后机器学习这部分，我们似乎都没有往安全的方向谈什么具体的东西（因为机器学习若扩展到其他领域，大抵上也有类似的困惑）。不过总结到一个点上，恰是因为这种复杂性，我们才说现在的安全需要“聚力”和“赋能”嘛，谁又能凭一己之力将安全的万事搞定呢？
文章不错？ 扫微信打赏一下吧~
【声明】:8090安全小组门户(http://www.)登载此文出于传递更多信息之目的，并不代表本站赞同其观点和对其真实性负责，仅适于网络安全技术爱好者学习研究使用，学习中请遵循国家相关法律法规。如有问题请联系我们，联系邮箱hack@ddos.kim，我们会在最短的时间内进行处理。
最后编辑于：作者：' Zhao Huan
China 8090 securty team 负责人有趣的探究题目：政治议题篇
　　本年文凭试卷一的题目又引起了一阵子的讨论，笔者认为都是自然现象。彷彿在大众心中都有一种“泛政治议题敏感”的迷思。坦言也有不少中四同学分享过他们曾惧怕政治类议题，大概都是跟社会大众的“泛政治议题敏感”无异，认为涉及政府、政治等议题都是复杂的，在欠缺了解的情况下敬而远之。　　但同时由高中通识科课程开展至今，大部分同学在完成该部分议题教学后，都表示“没什么大不了，只要明白几种概念，细心分析资料就可以了！”甚至有同学以这种“泛政治议题敏感”现象作为专题探究方向，进一步思考这种敏感现象的成因及呈现方式，成为一道有趣味的探究题目！　　或许大家会猜想这题目定必属于那类品学兼优的学生，对社会政治议题充满兴趣，甚至活跃于学运、社运界等……。大家想多了！这位同学正于本地某自资大专修读商学副学位课程。这足以证明，通识科的独立专题探究可以成为将好奇心变成自学活动的一个平台！　　利用传播学的探究方式　　言归正传，这位同学基于对于社会上那种“泛政治议题敏感”的现象，利用了三种探究方式：传播学的一些理论整理、聚焦小组和访问进行探究。当然在整理和搜寻传播学的资料时，老师的指导和协助成了关键！但作为他的指导老师，我所做的并不多，只是鼓励他将文章搜集和阅读的范围收窄于传媒报道与政治相关新闻时的取材与表达方法等方向之上，并?同学踏进中央图书馆，于知识的海洋中“畅游”。　　同学再以另外两种质性的探究方法求证：他找来校内不同年级的同学、家长和老师进行了聚焦小组和深度访谈，数个月的资料搜集和整理，再将探究所得有系统地编写成报告。或许大家会问“为何他不用问卷调查的方式？”他的回覆直接而爽快：我想知道的东西是质性的，聆听不同人的想法才恰当。这正正道出了进行探究过程中，探究方法要相应，别“人有我有”呢！　　这位同学的上品之作，令我印象最深刻的不是其探究方法或探究所得，而是他的探究原因。他对于这种“泛政治议题敏感”现象的好奇，正正源于坊间对于文凭试内政治类题目的反应所衍生出来的。　　通识科的吸引之处，大概就是这种多元思考，大胆假设，小心求证，更要勇于求真的科学精神！香港通识教育教师联会 罗洁玲
责任编辑：大公网
历来商家的广告都离不开香车、美女、帅哥&&IT界有女神百慕大之称，似乎IT很少会...
官方微博：
热线电话：+86-10-
官方微信：大公网
关注方式：
打开微信朋友们扫一扫关注
大公报总机：+852-&&&&&大公网：香港 +852-&&&&&北京 +86-10-&&&&&（值班电话）：+86-10-
大公网版权所有,未经允许,不得转载 中国大公网络有限公司}