• • 监控重要行为Web shell
• • 监控业务异常-逻辑漏洞
• • 全时数据联动联防
• • 甲方安全梳理重点在什么地方

目录

• 1.背景介绍
• 2.检测系统
• 3.测量与分析
• 4.校园网部署实践

清华大学网络安全实验室杨皓为大家揭秘了在线博彩那些不为人知的故事。非法在线博彩的泛滥对社会带来巨大的负面影响，很多国家均颁布了相关法律进行禁止。尽管如此，由于其所带来的巨大利润，非法在线博彩网站仍然蓬勃发展。研究团队针对中国的非法在线博彩产业链进行调研分析和追踪，揭秘那些隐藏在这些非法行业背后的故事。

这个议题来自于某互联网大厂的资深安全工程师spoock。Osquery是一个开源的全平台的信息采集软件，全平台意味着它能够适配于Windows，Linux，Mac，Ios，Andriod，并能够通过非常简单的Query语句进行系统信息查询，所以被广泛用于运维、监控，而由于其监控能力的丰富，也有越来越多的安全工程师开始利用osquery进行主机入侵侦测、终端准入访问控制的探索。Spoock带来的议题就是他们在尝试使用osquery作为主机入侵侦测系统agent过程中的一些心得和踩坑经历。

作为一个web渗透转型二进制的安全工程师，他很感慨的说：“人生不要给自己设限”。他一边详细阐述Osquery的原理，一边感谢来自于osquery社区的支持，同时也毫不客气的吐槽踩过的深坑，例如osquery自身监控机制watch dog与cgroup冲突导致CPU飙高的情况，单个db文件过大的问题等。每一点都显示出Spoock对于技术的热爱与执着。值得一提的是，Spoock打着石膏的脚和拄着的双拐在场内外都引起了不小的关注，在此提醒各位，过马路不要看手机…

最后，他还分享了其所在公司使用osquery作为HIDS的部署、使用情况。作为一家超大体量的互联网公司，需要充分考虑稳定性、兼容性、低损耗、低侵入性等问题，而作为一个自研的解决方案，osquery出色的完成了其设计初衷的使命。

• •关于我
• •Osquery介绍
• •Osquery检测原理分析
• •Osquery的优缺点
• •Osquery?HIDS?

这个议题来自于携程资深数据安全工程师挖土。数据安全是当前安全领域最为火热的话题之一，很多企业受困于敏感信息访问监控、预警、追溯能力的不足，在信息泄露事件发生时往往束手无策。

针对企业内部的后台系统的敏感数据访问监测，挖土带来了他的解决方案：利用suricata（一个开源的网络入侵侦测系统），通过luajit的敏感信息正则表达式匹配，实现对内部运营系统向用户返回的response中敏感信息的监测。为了能够将request/response匹配到用户，实现更细粒度的监测、告警，挖土选择了通过setcookie的方式，将加密后的用户信息埋在session cookie中，从而实现了从请求到用户的关联追溯。

• 数据泄漏现状
• 运营后台溯源/分析系统
• 一条http流量还原的路径

作为移动样本分析师，看到每天平均有10W+的样本收录。

如何对每天的情况有一个主动的把握，今天有哪些新增的威胁，有哪些爆发的情况，接下来可能有怎样的变异？徐文博基于流量的数据分析，尝试着对这个问题做出回答。

这几年，各个互联网大厂的安全部门都开始自己做数据分析(各种日志，流量等数据)，一方面是从数据分析得到安全情报本来就是一个切实可行的策略，另一方面，企业的数据越来越多，各种开源的数据处理框架和技术也越来越成熟，这使得自主建设日志分析系统已经成为很多企业的安全部门之前想做现在可以做的一件事情，这个主题将介绍平安壹钱包的大数据日志分析之路，包括背景，数据采集，数据格式化，缓存和输出，实时计算，安全策略，结果处理(存储和展示)的一些经验分享。

alibaba Cloud security:practical data-driven threat intelligence

随着云计算的大规模普及，公有云的安全趋势已逐渐从"监控已知漏洞"发展为"感知未知威胁"。一方面，客户的自研代码和独特的业务场景带来了个性化的攻击面；另一方面，黑灰产的武器库日趋成熟，其中不乏未披露的漏洞攻击手段(0day)。传统漏洞情报驱动的应急响应已经不能适应云环境复杂的攻击形态，如何在入侵后自动定位攻击源以及入侵原因，已经成为云环境威胁检测技术的重中之重。

本技术正是基于上述背景，结合多种云产品日志，通过大数据分析引擎对数据进行加工、聚合、可视化，形成攻击者的入侵链路图。该方案完全自动化，不依赖漏洞先验知识，具有0day识别能力。便于安全运营人员在最短时间内定位入侵原因、制定应急决策。

在本议题中，我们首先通过数据描述公有云威胁形态，之后将阐述基于统计和实时图计算的自动化入侵溯源方案，并通过真实案例展示其效果。

2018年12月19日，德国信息技术安全、隐私及责任中心（CISPA）张阳博士在清华大学以《现代隐私权：“社交网络与机器学习模式”案例研究》为题，带来了一场精彩的报告。

他在报告中分享了他们在社交网络数据和机器学习模型的隐私风险评估方面的最新工作。他指出，我们关注在线社交网络中流行的位置打卡（location check-in）和话题标签（hashtag），我们的研究结果表明基于位置打卡数据可以有效推断用户社交关系，同时基于话题标签可以精确地定位用户的地理位置。但是在机器学习模型中训练数据存在隐私风险，我们通过放宽攻击模型的多种假设之后，展示了攻击者可以更快更有效地针对机器学习分类器发起成员关系推断攻击。最终结果揭示了，未来机器学习模型需要一种更通用的评估方法。

张阳博士本次演讲的相应研究论文已发表于CCS 2017、WWW 2018和NDSS 2019，附件为他此次报告PPT，供大家学习参考。

• •Social network privacy
• •Machine learning privacy

• 01 业务面临风险
• 02 业务安全能力
• 03 进阶思考