安天肖新光 12月推出校園網路安全探雲計畫

2021-06-08 13:49:12 字數 2605 閱讀 8441

安天肖新光:12月推出校園網路安全探雲計畫

2023年10月23日17:19  

23日進入會議第二天,在分會之「網路安全新技術」會上,安天實驗室首席技術構架師肖新光發表了關於「反掛馬技術的發展、侷限與展望」的演講。他表示,安天實驗室在反掛馬和惡意位址發現有三套體系,一是獵狐頁面探測體系;二是銳甲終端沙箱體系;三是堆疊追溯體系。

此外,肖新光還透露,面向校園網的公益性計畫探雲計畫將在12月1日正式推出,該計畫是建立分布式的,可以建立自由流量的分布實驗床,提供雲支撐中心,提供載體裝置,以高校網通過實驗床來獲取安全狀況,從而運用相關技術來解決校園網路的安全威脅。(文/郭曉峰)

以下是安天實驗室首席技術構架師肖新光發言實錄:

主持人賈焰:范先生提了乙個很重要的問題是web應用的安全和資料庫本身的安全,是又乙個值得研究的核心領域,謝謝范先生。有請下一位演講嘉賓是肖新光先生,安天實驗室首席技術架構師,武漢大學客座教授、兼職教授,參加了29屆奧運會網路安全保障工作,他報告的題目是「反掛馬技術的發展、侷限與展望」。

肖新光:今天時間非常倉促,中午賈老師給了乙個任務,沒辦法,是我在武漢大學已經講過的報告,按照我以往地習慣從不在兩個會場講乙個內容,但是今天會嘗試加入新的內容。

關於反掛馬技術的演進與探索,我們給大家帶來一些有關資訊。首先,用乙個非常老的示圖來看一下從蠕蟲至今所帶來的掛馬現象。

(圖)2023年7月7日黑龍江主節點全網病毒

掃瞄日誌,完全由蠕蟲組成。

(圖)2023年7月的主節點全網病毒也由蠕蟲組成。

在2023年1月4日,病毒全庫統計有2304種,蠕蟲5170種,特洛伊木馬有10554種,木馬的數量隨後提公升的速度也是相當快的。

因為作業系統、地下經濟的利益化、小眾化導致了這種趨勢的產生,漏洞的挖掘技術也使得木馬越來越多。瀏覽器掛馬的原因是源於瀏覽器是怎樣工作的。

在這種情況下,由於瀏覽器曾經攻防標準,也成為攻防的源頭,業內對瀏覽器也進行了主要的防護應對。當前主要的惡意位址發現技術,主要是進行頁面探測,客戶端防護和行為監控,或者是基於流量的監測過程。

那麼,安天實驗室在反掛馬和惡意位址發現有三套體系,一是獵狐頁面探測體系;二是銳甲終端沙箱體系;三是堆疊追溯體系。

獵狐是2023年在奧運安全保障背景下提出的,曾經發現過用於奧運保障的徑向掛馬現象。我們為獵狐配套提供傳統的指令碼檢測,用來尋找指定字串的過程,對發現的指定字串進行語法處理和壓縮。獵狐系統本身也有一定的優勢,它能夠在乙個複雜的掛馬頁面中分析頁面中的複雜關係,同時提供乙個檢視,提供形象分析,並分析其掛馬的源頭。

銳甲是乙個完全免費瀏覽器安全防護工具,發現過多次主流站點和金融機構的掛馬事件,包括兩家國有銀行**的掛馬事件。同時,它提供搜尋引擎相關標註。銳甲技術點的核心是監控檔案程序和檔案配建,其他的技術沒有太大的差異。

堆疊追溯的意義,通過堆疊追溯分析出頁面進行掛馬的實施情況。如,在2023年7月7日-8日之間,我們採用銳甲發現了大量的掛馬攻擊。

哈爾濱某大學出口獲得了雙向流量600m的資料,我們對相關的url進行去重,平均每天發現242新病毒樣本,其中90%為木馬檔案。那麼,我們可以發現木馬掛馬存在一定規律,也有值得總結的地方,比如有.cn的新網域名稱,只要對這些網域名稱進行封鎖處理就可以了,這樣其他的配套站點就會完全失效。當然,也有採用ip方式的,但它們基本上是集中的,也在乙個站點上平均要懸掛十個以上的掛馬**。

我覺得基於掛馬站點進行分析很重要的一點是能夠進行關聯分析,通過這種關聯分析,我們在05年協助公安機關協查了很多入侵案件,但之後就不行了。因為,沒法判斷樣本的關聯關係,就無法找到它們之間的關聯。那麼,我們通過同乙個站點放過哪些不同木馬,以及同乙個木馬存在於哪些不同站點來梳理整個中國地下掛馬網路的關聯結構和它的家族譜系,以此作為乙個研究節點。同時,我們可以看到僅在乙個校園網出口的600m節點就能夠取得這樣的捕獲效果,如每天242個新病毒樣本,有這麼強的捕獲能力,還為廠商提供新的樣本。

探雲計畫得到了清華大學等高校在內的很好支援,它實際上是面向校園網的公益性計畫,建立分布式的,可以建立自由流量的分布實驗床,提供雲支撐中心,提供載體裝置,從高校網通過實驗床來獲取安全狀況,從而運用我們的技術來解決校園網路的安全威脅。

掛馬的角色和資源關係,攻擊者通過某個脆弱站點進行攻擊,在網路上分布了很多的地下icp資源,攻擊者對站點進行探測並找到站點其中的脆弱站點,對脆弱站點實現入侵,同時在入侵過程中建立掛馬和相關的icp資源的關聯,通過這些關聯來對脆弱站點掛馬,最終控制終端使用者。那麼,站點仍是正常站點,脆弱站點成了掛馬站點,終端使用者則成了嫌疑人。

從站點防護的角度來看也是乙個大面積的事情,不是我們的工作,去掉五角的兩個角,我們把自身鎖定在掛馬站點、放馬站點和受威脅終端方面,針對這三個方面提供頁面獲取、流量分析、終端保護和雲端分析等一系列體系,最後達成各種安全手段互聯互通,實現三位一體的綜合技術手段,這樣才能更好地避免單一手段所帶來的不足,形成乙個綜合的、立體的捕獲能力和分析手段。

主持人賈焰:我們知道木馬是身邊最危險的敵人,今天肖新光先生對這個問題為我們做了乙個非常深入地剖析。感謝大家參加峰會,峰會到此結束,謝謝大家!

2009網路安全應急年會

科技人物·it名博

tech.qq.com

手機看新聞  |

一鍵訂閱新聞  |

it論壇  |

大  中

安恆月賽 2023年12月

沒啥好說的,什麼牛不能跑?蝸牛 題目 解題思路 拿到題目後,掃了一波 發現 admin.php 進入檢視,顯示無法進入 檢視頁面資訊,發現user登入資訊,在儲存值可更改。將其先進行url decode,dxnlcg 然後,base64 decode,user。然後,考慮到admin登入,於是將ad...

安恆杯12月月賽

這次的月賽可以說非常適合我這種菜雞做了請求包中發現乙個user base64 解碼得到user,構造admin 然後base64提交 發現跳轉到後台admin.php 試了乙個ls發現有回顯,應該是個命令執行漏洞 構造 cmd ls ifs 成功回顯 然後讀取flag cmd cat ifs ffl...

2018安恆杯12月月賽復現

萌新因為種種原因沒有做安恆12月的月賽題,正巧這幾天發現復現,又學到了新知識!題目index.php給出原始碼 error reporting 1 include flag.php class baby if file get contents filename if isset get data ...