攻防兼备的实战型网络安全人才培养实践,技术创新,变革未来,,,目录,,,,,,,,,,培养模式,,,,,,,,,,,,,,,,,,,,,,,授课方法 科研思路 实战演练,中国科学院研究生两段式培养模式,中国科学院大学(简称“国科大”)与中国科学院各研究所在管理体制、师资队伍、培养 体系、科研工作等方面“共有、共治、共享、共发展”,实现高度融合通过科教融合, 汇聚中科院优质资源,适当引入外部资源,为学生提供最好的教育资源力争使研究生在一年的集中学习环节中把所涉及 的知识学深、学扎实,为后几年进入研究阶段的 学习打好基础第一阶段校园集中授课 以课程建设为抓手,,第二年回到各研究所,进入课题组,边进行科研 实践,边进行学科专业课和特色课程的学习,在 导师的指导下完成研究生的科研论文第二阶段研究所科研 学习与科研实践相结合,深度科教融合,,核心使命:培养造就高质量创新创业人才!,高质量创新创业人才的评价要素是什么?,,,,理论知识,,,,实践能力,,,,创新思维,,,,创业能动性,目录,,,,,,,,,,培养模式,,,,,,,,,,,,,,,,,,,,,,,授课方法 科研思路 实战演练,第一阶段,校园集中授课,,,,,,学习资料多 攻防技术发展迅速, 大量论文、书籍、 帖子、报告、 站点、开源项目,,,,,安全资讯多 网络安全事件频发 群安全简讯 朋友圈转发文章 互联网新媒体,,,,,,CTF赛事多 校赛/ 省赛/ 国赛 高校主办/ 校企合 办/ 企业独立组织,,引导竞赛观?,,课程怎么教?,,如何划重点?,,,多参赛就好?,,,上课学什么?,,,哪些值得看?,,,,老师 视角 学生 视角,授课方法,知识链牵引,,工具产品,了解国内外 工业界情况,,,事件案例,加强代入感 让知识可见,,,学术成果,紧跟国内外 学术界进展,,,,,,,,,,,,,,,,,,,理论 体系,,,,,理论 体系,,,保证知识的系统性,攻防实践,加深对课堂讲 授内容的理解,,授课方法:以Web安全技术为例,,,,攻防实践,在攻防实践方面,把CTF比赛引入授课过程中,针对授课内容知识点设计题目,成绩纳入期末总成绩。
采用“单人组队比赛、课堂集中解题、随时随意讨论“的形式,确保每一位学生都能体验基于CTF的 攻防实践过程,进而加深每一个人对课堂讲授内容的理解,建立Web安全形象思维和安全意识目录,,,,,,,,,,培养模式,,,,,,,,,,,,,,,,,,,,,,,授课方法 科研思路 实战演练,第二阶段研究所科研,,【立足业界需求】在“理论体系-学术成 果-工具产品-事件案例-攻防实践”知识 链条牵引下,立足业界需求,依托研究所 科研项目,聚焦兴趣点提炼科学问题】充分调研国内外学术界、 工业界研究现状,自主提出关键科学问题,,并开展系统深入的研究 【真实场景验证】研发原型系统,在真实 环境下部署,测试功能和性能研究方向,,,,,,,业界 需求,,,,科研 项目 兴趣 爱好,,,,如何有益于解决真实业务场景问题?,如何开展科研实践?,网络安全的本质在对抗,对抗的本质在攻防两端能力的较量要以技术对技术,以技术管技术, 做到魔高一尺、道高一丈节选自419讲话】 从攻击者视角分析问题,以防御者视角解决问题,用实战演练检验效果攻防角色互换,,,科研思路:以软件供应链安全为例,近些年,从XcodeGhost事件,到Xshell后门、python pip源欺骗性污染钓鱼。
软件供应链 安全事件频发,且具有威胁对象种类多、极端隐蔽、攻击成本低回报高、检测困难等特性 软件供应链是指由软件开发环节,交付环节和使用环节组成的功能链而软件供应链污染则 是在软件供应链中的各个环节中,利用不同的技术对软件进行污染源代码,,,,内部组件,,外部组件,,,执行逻辑,,,应用程序,,,,,,开发交付使用,,,,需求,,设计,,,,,下载,,分发安装,,运行,,升级,,编写编译生成,软件供应链安全威胁模型图,2018年软件供应链安全大赛“C源码专题赛”分站赛第一名,2018功守道阿里软件供应链安全大赛,是聚焦软件供应链安全范畴内泛化的攻击面与应对技 术、策略,面向业界、学术领域,采用对抗为主的全新挑战赛形式 中科院信工所团队作为防守方从防御的角度检测题目中是否存在软件供应链安全风险点在C 源码专题赛分站赛3的183个待检测样本中,发现恶意后门数量81个,正确解题数量115道 获得C源码专题赛分站赛第一名,并直接晋级总决赛2018年软件供应链安全大赛“C源码专题赛”比赛过程,,,,,恶意行为 分类建模,总结几十种模型: 敏感函数集合+上下文 约束关系,单点恶意行为:系统 敏感信息采集等; 二阶段恶意行为:用 户操作历史的读取和 无校验网络传出; 复合恶意行为:键盘 hook等。
C源码 样本下载,,183个待检测 C源码样本,,比赛3小时,提交结果5次,发现恶意后门数量81个,正确解题115道污点分析 模型匹配,基于LLVM pass框架的 中间代码表示,进而检 测恶意行为,C源码中间代码表示; 污点分析:发现疑似 敏感行为; 模型匹配:I/O操作 网络传出误报过滤 结果提交,,实现C源码恶意后门自 动化检测系统,基于路径可达性分析 的误报过滤2018年软件供应链安全大赛“C源码专题赛”解题举例,,int s; char buff1024; DIR *dir_path; struct sockaddr_in sockaddin; struct dirent *path; memset(buff, 0, sizeof(buff)); dir_path = opendir(/tmp); if (dir_path) while ((path = readdir(dir_path)) != NULL) sprintf(buff, %sn%s, buff, path-d_name); closedir(dir_path); ,if ((s = socket(PF_INET, SOCK_STREAM, IPPROTO_TCP)) < 0) goto Exit; memset(,,,污染源,收集“/tmp” 目录下,所有 文件的文件名,无校验 网络输出,,污点分析:发现污点数据流向 send函数(敏感操作),疑似 敏感行为,进行深度检测分析;,模型匹配:I/O操作网络传出,,进行敏感行为模型匹配,发现 执行时可触发敏感行为,进行 触发点定位。
知识链牵引+攻防角色互换,形成基于“理论体系-学术成果-工具 产品-事件案例-攻防实践”知识链牵 引的授课思路,以及“从攻击者视角 分析问题,以防御者视角解决问题, 用实战演练检验效果”攻防角色互换 的科研思路攻防兼备的实战型网安人才培养实践,目录,,,,,,,,,,培养模式,,,,,,,,,,,,,,,,,,,,,,,授课方法 科研思路 实战演练,2017贵阳大数据及网络安全攻防演练“安全成果一等奖”,,2017贵阳大数据及网络安全攻防演练,是在真实网络环境中,针对真实目标的渗透测试演练 中科院信工所评测团队,针对相关目标发现并提交重要漏洞50多个,率先攻破多个重点或核 心目标,控制重点及核心目标关键服务器近30台,突破五家单位系统的内网并控制大量内网 主机,包括工控领域系统 荣获最高奖项“安全成果一等奖”2017贵阳大数据及网络安全攻防演练“安全成果一等奖”,,,系统突破,明确漏洞造成的 影响,进一步的 提权、内网渗透,,,,漏洞利用,漏洞扫描、漏 洞挖掘与利用、 手工渗透测试,,,,信息搜集,侦查域名、子域 名、开放端口, 识别系统信息,,明确目标,,17个真实目标,,含4个核心目标、,8个重点目标,,,,,,,,8天12小时,5人,提交漏洞50多个,控制关键服务器近30台,突破并控制五家单位系统的内网主机。
形成报告,,总结漏洞成因、,利用方法、防御,手段,形成报告,,全国高校网安联赛(X-NUCA),,中国科学院 深圳市人民政府 中国网络空间安全协会,,,,指导 单位,,中国科学院大学网络空间安全学院 湖南合天智汇信息技术有限公司 北京永信至诚科技股份有限公司,,,,承办 单位,,中国科学院信息工程研究所 深圳市科技创新委员会,,,,主办 单位,,深圳市南山区人民政府 360企业安全集团 深圳大学,,,,协办 单位,,中国科学院信息工程研究所于2016年创办的“全国高校网安联赛(National University Cybersecurity Association,简称X-NUCA)”,是面向全国高校学生的网络安全技能赛,推出“竞赛+”模式,大赛 秉承“寓学于赛,以赛促学”的理念,旨在更好地促进网络安全人才的培养和选拔第一届 X-NUCA2016,五期线上赛,总决赛北京,2016全国高校网安联赛(X-NUCA2016),第一届全国高校网安联赛(X-NUCA2016)比赛历程,,,,,,,,,,,,,,,,,,,,,,,,,,2016年7月,2016年12月 总决赛,,,线上解题模式+线下攻防模式,存在问题:重技巧、轻实战,脱离真实网络攻防场景,2017全国高校网安联赛(X-NUCA2017),,,,,,,12月19-22日,年度总决赛,,,,,,Web安全 靶场渗透专题赛,8月26日,,,,,,10月8日,Windows 7 靶场评测专题赛,,,,,,,11月25日,企业安全众测 靶场挑战赛,,,,第二届全国高校网安联赛(X-NUCA2017)比赛历程,基于网络靶场的网安联赛,X-NUCA2017利用网络靶场技术,为参赛者提供接近于真实互联网环境的网络攻防对抗场景。
如何设计接近于真实互联网环境的网络攻防场景?,,,,,,,网络区域设定,划分公网、内 网、专网环境,,网络场景选取,源于真实互 联网环境,,网络拓扑抽象,定位关键网 络节点,,,攻防题目设计,立足攻防实战 经验,以X-NUCA2017总决赛团队赛比赛环境为例,网络场景选取,,公网部分:与互联网连接, 用于处理一般性事务,或对 外的门户网站 内网部分:一般是单位内部 局域网络,用于日常办公、 对公网区域管理等此区域 内可能会存储业务系统中的 较敏感信息 专网部分:一般用于与总部 交换核心数据或处理特殊业 务,属于业务中核心的部分以X-NUCA2017总决赛团队赛比赛环境为例,网络拓扑抽象,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,比赛选手,,,,,,,,,网关 服务器,,,,,以X-NUCA2017总决赛团队赛比赛环境为例,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,比赛选手,,,,,,,,,网关 公网 内网 专网 服务器,,,,,,一个 公网 。