作者:outx@SecQuan, nerd@SecQuan
今天是InForSec网络空间安全国际学术研究交流会的第二天。主要内容为网络空间安全领域的研究经验分享。
钱教授发现,在培养博士的过程中发现很难将自己挖掘idea的感觉教给学生,因此将他自身的研究经验进行总结,分享给大家。
首先在博士研究开始阶段,需要对研究环境和自身条件进行评估:
2.风格:攻击、防御、分析、系统构建
3.技术:人工分析、数据的驱动方法、程序分析
其次,针对思考Idea的套路,钱教授给出了六种方法:
2.同一问题换领域(window -> linux)
3.提高可用性(降低误报率)
4.老的问题,新的技术、新的数据集
最后也是最重要的一点,就是要保持过程与习惯。前面全是空话,只有多花时间去练习思考Idea才能真正掌握这种能力。
作者首先分享了其对于研究的一些理解和经验
计算机系统研究的维度
通常来说,开始一项研究往往由 Project/Paper 开始,向下是其具体的 Implementation,向上是其抽象的 Thesis/Theme。
对于 Thesis/Theme 来说,研究者需要将不同的 Claim 归纳为 Statement。然后需要再将这些 Statement 进行总结,带入自己的一些想法,以形成在自己研究领域中的 View/Insight/Philosophy。而对于不同的 Implementation,研究者需要再将其转换为 Tool/System/Platform,以方便纵向研究时能够较好地节省重复工作的成本。
综合来说,作为一名研究者,他应该既能写 paper 也能写工具,而读 pape 的目的是要去理解这些已有工作之间的关系,找出其中还没有做或者说还有待改进的地方。当你对于一个领域有一个稳定的 view 的时候才能够更好更深地去看待一个问题,以此来找 idea。
系统研究的维度
人与系统的相互影响如下
Q: 怎么选取和开启一条线的研究?
首先就是要多读这个领域相关的一些论文,在读这些论文的过程中需要体系化的总结。最终的目的是要发现一个缺失的研究点以此找到研究动机。其次,当要解决自己提出的问题,即当找解决方法的时候,可以找其他领域的解决方案然后将其映射到自己的领域里。当然,这个过程中会遇到一些新的挑战,这需要靠自己前期积累的一些背景知识来解决。
总的来说,找到一个感兴趣的新方向,第一是总结前几十年的前人的工作,完备自己的知识储备;第二就是读其他领域的论文,找到解决方案来解决遇到的研究问题。同时,当要将一条研究线做深的时候,后续的代码可以依据前一次实验的基础,例如将一个论文的实现做成 tool 或者 system。
端点监视解决方案记录用于攻击调查的审计日志
审计日志:
行为抽象中的挑战
Insights
Q: 分析者如何手动解释审计事件的语义?
WATSON
WATSON 是一种自动化的行为抽象方法,它聚集了审计事件的语义来模拟行为模式。它不需要专家对事件语义的了解来执行行为抽象。语义是从审计日志中的事件使用背景中自动获得的,这个背景被称为是事件的上下文语义。具体来说,WATSON 首先利用基于翻译的嵌入模型来推断审计事件的语义,其依据是日志中的语境信息。然后,WATSON 识别出与相关数据对象(即文件和网络套接字)相连的事件,并将其语义汇总为高级行为的表示。最后,WATSON 对审计日志中记录的类似行为进行聚类,并区分出其中的代表,供分析人员调查。
简而言之,WATSON 是一种自动的行为抽象方法,它聚合了审计日志的语义来建模行为模式。其输入为审计日志(Linux Audit),输出则是具有代表性的行为。
WATSON 弥补了低级审计日志与高级系统行为之间的语义鸿沟:
针对网络安全学术伦理的问题,张一铭博士首先从一个学生的角度进行分享。张博士在一次因Ethics问题被拒稿后,认识到自身的理解还有很多不到位的地方:
之后,张博士调研了学术会议CFP中对于Ethics的要求,有些问题是存在共性的:
为了指导之后的工作,张博士总结了与计算机领域相关的各类Ethics规范如贝尔蒙特报告、Menlo报告。其中的中心思想包括:公正、遵守法律、尊重人权、平衡风险和利益
针对网络测量领域,张博士针对数据公开和使用的伦理道德问题总结了一些规范:
并在论文中明确指出:
之后,卢康杰教授以他的角度,从Linux事件出发,如何看待网络安全研究中的Ethics问题。其研究课题是在严格的限制条件下(不增加功能、修改不超过5行代码、修复一个问题、本身不含有漏洞),通过提交补丁引入漏洞。而伦理问题出在工作的Case Study部分,Linux方面认为研究者持续蓄意引入漏洞,并未经允许对维护人员进行测试,导致禁止了来自明尼苏达大学的所有补丁,并要求re-review之前的所有提交。之后,各方对事件进行了细致调查,其实提交的补丁保证并未引入漏洞,并设计为尽量少地浪费维护人员的时间,但是并没有考虑到IRB等因素。事件结束后,研究者也并从中吸取教训:
安全学术圈招募队友-ing, 有兴趣加入学术圈的请联系secdr#qq.com