目录

• 1.背景介绍
• 2.检测系统
• 3.测量与分析
• 4.校园网部署实践

清华大学网络安全实验室杨皓为大家揭秘了在线博彩那些不为人知的故事。非法在线博彩的泛滥对社会带来巨大的负面影响，很多国家均颁布了相关法律进行禁止。尽管如此，由于其所带来的巨大利润，非法在线博彩网站仍然蓬勃发展。研究团队针对中国的非法在线博彩产业链进行调研分析和追踪，揭秘那些隐藏在这些非法行业背后的故事。

这个议题来自于某互联网大厂的资深安全工程师spoock。Osquery是一个开源的全平台的信息采集软件，全平台意味着它能够适配于Windows，Linux，Mac，Ios，Andriod，并能够通过非常简单的Query语句进行系统信息查询，所以被广泛用于运维、监控，而由于其监控能力的丰富，也有越来越多的安全工程师开始利用osquery进行主机入侵侦测、终端准入访问控制的探索。Spoock带来的议题就是他们在尝试使用osquery作为主机入侵侦测系统agent过程中的一些心得和踩坑经历。

作为一个web渗透转型二进制的安全工程师，他很感慨的说：“人生不要给自己设限”。他一边详细阐述Osquery的原理，一边感谢来自于osquery社区的支持，同时也毫不客气的吐槽踩过的深坑，例如osquery自身监控机制watch dog与cgroup冲突导致CPU飙高的情况，单个db文件过大的问题等。每一点都显示出Spoock对于技术的热爱与执着。值得一提的是，Spoock打着石膏的脚和拄着的双拐在场内外都引起了不小的关注，在此提醒各位，过马路不要看手机…

最后，他还分享了其所在公司使用osquery作为HIDS的部署、使用情况。作为一家超大体量的互联网公司，需要充分考虑稳定性、兼容性、低损耗、低侵入性等问题，而作为一个自研的解决方案，osquery出色的完成了其设计初衷的使命。

• •关于我
• •Osquery介绍
• •Osquery检测原理分析
• •Osquery的优缺点
• •Osquery?HIDS?

这个议题来自于携程资深数据安全工程师挖土。数据安全是当前安全领域最为火热的话题之一，很多企业受困于敏感信息访问监控、预警、追溯能力的不足，在信息泄露事件发生时往往束手无策。

针对企业内部的后台系统的敏感数据访问监测，挖土带来了他的解决方案：利用suricata（一个开源的网络入侵侦测系统），通过luajit的敏感信息正则表达式匹配，实现对内部运营系统向用户返回的response中敏感信息的监测。为了能够将request/response匹配到用户，实现更细粒度的监测、告警，挖土选择了通过setcookie的方式，将加密后的用户信息埋在session cookie中，从而实现了从请求到用户的关联追溯。

• 数据泄漏现状
• 运营后台溯源/分析系统
• 一条http流量还原的路径

作为移动样本分析师，看到每天平均有10W+的样本收录。

如何对每天的情况有一个主动的把握，今天有哪些新增的威胁，有哪些爆发的情况，接下来可能有怎样的变异？徐文博基于流量的数据分析，尝试着对这个问题做出回答。

这几年，各个互联网大厂的安全部门都开始自己做数据分析(各种日志，流量等数据)，一方面是从数据分析得到安全情报本来就是一个切实可行的策略，另一方面，企业的数据越来越多，各种开源的数据处理框架和技术也越来越成熟，这使得自主建设日志分析系统已经成为很多企业的安全部门之前想做现在可以做的一件事情，这个主题将介绍平安壹钱包的大数据日志分析之路，包括背景，数据采集，数据格式化，缓存和输出，实时计算，安全策略，结果处理(存储和展示)的一些经验分享。

alibaba Cloud security:practical data-driven threat intelligence

随着云计算的大规模普及，公有云的安全趋势已逐渐从"监控已知漏洞"发展为"感知未知威胁"。一方面，客户的自研代码和独特的业务场景带来了个性化的攻击面；另一方面，黑灰产的武器库日趋成熟，其中不乏未披露的漏洞攻击手段(0day)。传统漏洞情报驱动的应急响应已经不能适应云环境复杂的攻击形态，如何在入侵后自动定位攻击源以及入侵原因，已经成为云环境威胁检测技术的重中之重。

本技术正是基于上述背景，结合多种云产品日志，通过大数据分析引擎对数据进行加工、聚合、可视化，形成攻击者的入侵链路图。该方案完全自动化，不依赖漏洞先验知识，具有0day识别能力。便于安全运营人员在最短时间内定位入侵原因、制定应急决策。

在本议题中，我们首先通过数据描述公有云威胁形态，之后将阐述基于统计和实时图计算的自动化入侵溯源方案，并通过真实案例展示其效果。

2018年12月19日，德国信息技术安全、隐私及责任中心（CISPA）张阳博士在清华大学以《现代隐私权：“社交网络与机器学习模式”案例研究》为题，带来了一场精彩的报告。

他在报告中分享了他们在社交网络数据和机器学习模型的隐私风险评估方面的最新工作。他指出，我们关注在线社交网络中流行的位置打卡（location check-in）和话题标签（hashtag），我们的研究结果表明基于位置打卡数据可以有效推断用户社交关系，同时基于话题标签可以精确地定位用户的地理位置。但是在机器学习模型中训练数据存在隐私风险，我们通过放宽攻击模型的多种假设之后，展示了攻击者可以更快更有效地针对机器学习分类器发起成员关系推断攻击。最终结果揭示了，未来机器学习模型需要一种更通用的评估方法。

张阳博士本次演讲的相应研究论文已发表于CCS 2017、WWW 2018和NDSS 2019，附件为他此次报告PPT，供大家学习参考。

• •Social network privacy
• •Machine learning privacy

• 01 业务面临风险
• 02 业务安全能力
• 03 进阶思考

MesaTEE SGX 借助Intel SGX 重新定义人工智能和大数据分析

• 适用于隐私保护计算的Intel SGX
  • •Intel SGX 背景
  • •基于Intel SGX 构建隐私保护计算软件栈所面临的挑战
• Hybrid Memory Safety
  • •经验法则
  • •Intel SGX 实践
• 塑造安全并且可信的人工智能/大数据分析框架
  • •可信到底指什么？
  • •使用Intel SGX 实现可信赖的人工智能和大数据分析

英特尔SGX为其“安全飞地”提供完整性和机密性保证，以保护用户的数据。尽管存在侧通道漏洞，但Intel SGX似乎是业内最实用的解决方案，具有最清晰的安全边界、众多手册和远程认证服务。目前，没有任何东西（包括trustzone、sev等）能与IntelSGX竞争。很容易理解，内存安全对IntelSGX非常重要。Intel SGX旨在保护用户隐私和私钥，而SGX Enclaves中的简单缓冲区溢出将泄漏这些宝贵的数据/密钥，并导致数十亿美元的损失。内存损坏是英特尔SGX飞地的第一个敌人。我们需要一个完整的解决方案来构建内存安全的IntelSGX飞地。在本文中，我们将介绍MesateSGX软件栈。MesateSGX软件栈提供了用rust/rpython编写的内存安全库，并提供了一系列有用的内存安全库，如序列化程序/反序列化程序、TLS终止、更多的加密原语、FastML库、WASM解释器，甚至还有一个内存安全的pypypy解释器。开发人员可以使用这些库轻松开发IntelSGX应用程序，并通过几个简单步骤将更多rust/python库移植到Enclaves中。我们在SGX软件设计和实现中遇到了大量的陷阱，并希望在本文中与大家分享。这些陷阱通常与可信/不可信的输入和分区方法/哲学有关。他们相应的解决方案以前没有介绍过，我们认为我们应该将我们的故事作为“当前已知的最佳实践”来分享。我们将详细讨论“混合内存拇指安全规则”的理念，以及面向安全的标准库设计、基于认证的TLS、安全快速的解释程序/ML实现等，我们坚信这一讨论将使Bluehat的用户受益匪浅。一种新型的面向安全的软件设计与实现。