2020绿盟科技黑客马拉松赛题及解题思路分享

  • A+
所属分类:逆向工程

黑客马拉松是绿盟科技的传统活动,秉承着选拔出面向网络安全行业、以实际问题为出发点、“创新又炫酷”的解决方案为比赛宗旨,算上今年已经成功举办5届。由于疫情影响,本次黑客马拉松面向公司内部举行。比赛于10月14日上午完美收官,经过与各方沟通,现分享本次黑客马拉松的赛题和解决思路,供业内同仁参考。

简介

2020年10月12日-14日,绿盟科技的传统特色活动“黑客马拉松”在北京成功举办。经过48小时的激烈角逐,10月14日上午,8支参赛队伍一一上台展示活动期间的成果。经过绿盟科技5位专家评委的提问、评分后,3支队伍分别荣获本次比赛的一二三等奖,分别是来自安全能力中心和系统架构部的联合战队“战鼓队”、来自SPG研发部的“TcFocus队”,来自运营公司ESM技术部和创新中心的联合战队“不要误报不要漏报只要正报队”,其余队伍获得优胜奖。在绿盟科技董事长沈继业和其他评委为获胜队伍颁奖之后,本届黑客马拉松比赛完美结束。其中,5名评委嘉宾分别为:范敦球(威胁情报与网络安全实验室高级技术总监),刘文懋(创新中心总监),叶建伟(系统架构部技术总监),王宁(金融售前技术部售前技术总监),彭超(运营商售前技术部售前技术总监)。

2020绿盟科技黑客马拉松赛题及解题思路分享    一等奖|战鼓队

2020绿盟科技黑客马拉松赛题及解题思路分享

二等奖|TcFocus

2020绿盟科技黑客马拉松赛题及解题思路分享

三等奖|不要误报不要漏报只要正报队

2020绿盟科技黑客马拉松赛题及解题思路分享

优胜奖|参赛队长及3位颁奖评委

2020绿盟科技黑客马拉松赛题及解题思路分享

大合影

赛题及解题思路分享

1威胁狩猎能力体系营销平台 

赛题介绍:威胁狩猎是近年来国内外的热点话题,旨在通过主动发现的方式,挖掘在网络空间中的各种威胁。此题目的立意是方便绿盟威胁狩猎能力体系对外营销,便于用户全面、系统、直观地感知绿盟威胁狩猎能力,提升产品品牌影响力。本题的重点在于可视化展示而非威胁狩猎算法的研究。该题目的大屏营销平台不仅是展示安全能力的看板,也是连接用户、增强用户安全感的渠道。题目的难点在于如何将威胁狩猎的安全理解和可视化展示有机结合,做到既专业又通俗。

解题思路:对威胁狩猎能力体系进行抽象,针对全球范围威胁进行监控,提供攻击组织刻画追踪及智能决策的能力,做到捕获、分析和处置的闭环流程展示。

2020绿盟科技黑客马拉松赛题及解题思路分享

2远程办公安全解决方案 

赛题介绍:此次疫情给远程办公的规模带来了剧变。而VPN等传统远程办公解决方案的资源消耗大、连接不稳定、数据不安全等问题被成倍放大。远程办公的稳定性、安全性亟待解决。需要设计稳定、安全的远程办公安全解决方案。
解题思路:使用SSL或国密的加密方式,使用代理协议代替VPN协议,提升远程办公的稳定性。通过“零信任”的思想完成安全性的要求。代理网关需解析、代理、动态检测多种协议,并形成用户画像,且要动态感知用户的习惯、IP变换等风险,根据风险进行动态告警、阻断、二次认证,以实现零信任的重要目标:“永不信任,始终验证”。

3基于机器学习的WebShell攻击检测 

赛题介绍:为了持久化对网站的控制,目前加密WebShell连接工具已成为主流,包括冰蝎,蚁剑等,纷纷加入了加密混淆机制。同时,https网站加密传输协议已经接近普及,加密WebShell混杂在大量加密的背景流量中,导致传统的基于特征匹配的WebShell检测方案已经不再适用。因此,针对加密流量中的WebShell检测目前没有较成熟的解决方案。

解题思路:针对加密流量中WebShell检测提出了可行的解决方案。首先搭建了靶场环境,并编写了自动化模拟工具,针对不同类型的webshell客户端模拟JSP/PHP连接,得到了20000+样本,构成数据集。然后提取数据集的文本和统计特征,并采用随机森林模型和light-gbm模型分别对http和https的流量进行训练和学习,实现了对加密流量中的WebShell的准确检测。

2020绿盟科技黑客马拉松赛题及解题思路分享

4利用击键行为的用户身份持续认证工具 

赛题介绍:身份认证技术在零信任网络安全中扮演着十分重要的角色。本题目要求实现一种用户无感的身份持续认证工具。该工具利用用户敲击键盘或鼠标的行为刻画用户的击键行为特征,以此建立身份鉴别模型。当在日常办公过程中,根据用户的实时击键行为,能够持续的进行用户身份认证,而不影响用户操作。其难点在于如何选择用户操作特征和检测模型,刻画用户行为指纹,准确识别非本用户的操作。

解题思路:总体上,利用用户的击键行为进行身份的持续认证,并对被识别的非本人操作下发处置策略。对于用户而言,实现无感和持续认证,避免首次认证被绕过而出现身份被盗用的风险。具体来说,通过收集用户操作过程中的键鼠行为,提取特征向量,比如按键时间特征、速度特征等,过滤掉操作停顿等带来的无效数据,用于训练检测模型;然后利用训练好的模型,以一定的时间窗口内的键鼠行为作为输入,进行用户身份的周期性检测,识别是否为本用户操作。对于非本人操作,可进行远程锁屏、截屏等闭环处置。

2020绿盟科技黑客马拉松赛题及解题思路分享

5基于ISOP的分析建模APP 

赛题介绍:题目的来源是一次算法模型的售前PK,我们作为第三方将我们的算法模型接入到友商的分析建模平台中。友商的分析平台功能比较全面,涵盖了分析建模的整个生命周期。同时也有作为平台厂商的友商参加了模型PK。这种天然的优势让我们意识到绿盟需要建立自己的分析建模平台。本题需要完成基本的分析建模流程,并以APP的形式落到ISOP产品中,便于逐步丰富并扩展分析建模能力以及相应的算法模型,使平台不断完善并具备完整的分析能力。具体来说需要满足以下两大要求:1. 基于ISOP平台提供原生的机器学习算法库,用户可按需选择特征进行计算并输出结果;2.开放平台计算能力,可兼容第三方厂商的算法。

解题思路:分析模型平台从无到有的难度很大,尤其涉及模型算法的平台,要考虑兼容、性能、准确度、输入输出等多方面的问题。首先需要建立自己的主流程框架,剥离数据处理、模型分析、数据输出等模块,在此基础上实现了包括支撑自研算法和第三方算法的能力。相关模型只需要提供jar包和简单配置文件就可以使用ISOP平台对数据进行分析,并输出相应的告警。用户层面可以通过随意动态拖拉拽的方式实现建模过程。该项目开放了ISOP的基础数据能力,提升了平台的分析能力。

2020绿盟科技黑客马拉松赛题及解题思路分享

6基于智能运维(AIOps)的平台运行状态分析和预测 

赛题介绍:为提升大数据平台运维能力,提高故障告警准确率,减少人工运维时间,以此出题,以对大数据组件log和环境采集信息进行分析,输出各组件运行状态,提供智能生成动态基线和状态趋势预测的能力。题目难点在于如何将传统的运维监控与机器学习相结合做到智能运维,实现监控与预测相结合,做到快人一步发现问题、自动处置修复问题,从而保证平台和大数据组件平稳运行。

解题思路:借助统计算法及机器学习算法 (3-sigma,iforest,xgboost等) 通过创建丰富的样本库 ,建立并训练模型,周期性的采集数据,丰富样本库,同时进行周期性训练,从而实现自动识别异常并预测系统将来的状态。如果有异常则提醒客户及时处理;针对常见高频异常问题,如磁盘使用率高、组件负载高等,可以实现智能修复,使系统及时恢复正常。

2020绿盟科技黑客马拉松赛题及解题思路分享

7云原生环境下可编排WAF的架构设计 

赛题介绍:未来应用生态将充分利用云上的特性,实现大规模、高可用、高可靠的运维能力。而安全产品如何融入是非常具有挑战性的。除了将WAF DOCKER化外,还需要支持云原生环境微服务的状态调度,从而与业务系统无缝的融合,共同伴生。提出该题目,希望设计改变WAF架构体系,支撑未来同时防御数千容器的编排需求。题目的难点在于,现有WAF体量大,无法直接塞进容器;现有WAF的所有策略下发方式都不适用于云原生环境。 

解题思路: 对现有WAF组件进行了精心裁剪,并对保留下来的组件进行必要的适配与修改,能够在云原生环境中被统一编排、管理、运行和防护,最终达到轻量级容器的要求和WAF独有的管理方式。通过该方案,WAF可适配istio和envoy的云原生的环境,可以被轻松部署、编排和管理。

8基于海量多源异构数据的团伙发现 

赛题介绍:为了方便研究员和运维工程师快速从海量异构数据中定位到真正值得关注的事件,出此题目,希望能够基于包括IDS、TAC、WAF等告警或原始流量数据发现潜藏在海量异构数据背后的攻击团伙特征

解题思路:主要解决从不同设备的海量日志中挖掘潜在的攻击团伙。该系统主要利用Flink的实时流式接入完成日志的归一化,特征提取和信息增强;存储选用JanusGraph图数据库进行团伙建模、查询展示、统计分析和小规模的团伙发现,支持亿级节点和边的存储;前端主要采用vis.js进行图的展示、渲染和交互,然后通过JanusGraph对接Spark GraphX完成大规模离线团伙发现,同时实现Louvian、LPA等团伙发现算法。

2020绿盟科技黑客马拉松赛题及解题思路分享

本公众号原创文章仅代表作者观点,不代表绿盟科技立场。所有原创内容版权均属绿盟科技研究通讯。未经授权,严禁任何媒体以及微信公众号复制、转载、摘编或以其他方式使用,转载须注明来自绿盟科技研究通讯并附上本文链接。

关于我们


绿盟科技研究通讯由绿盟科技创新中心负责运营,绿盟科技创新中心是绿盟科技的前沿技术研究部门。包括云安全实验室、安全大数据分析实验室和物联网安全实验室。团队成员由来自清华、北大、哈工大、中科院、北邮等多所重点院校的博士和硕士组成。

绿盟科技创新中心作为“中关村科技园区海淀园博士后工作站分站”的重要培养单位之一,与清华大学进行博士后联合培养,科研成果已涵盖各类国家课题项目、国家专利、国家标准、高水平学术论文、出版专业书籍等。

我们持续探索信息安全领域的前沿学术方向,从实践出发,结合公司资源和先进技术,实现概念级的原型系统,进而交付产品线孵化产品并创造巨大的经济价值。

2020绿盟科技黑客马拉松赛题及解题思路分享

长按上方二维码,即可关注我们

本文始发于微信公众号(绿盟科技研究通讯):2020绿盟科技黑客马拉松赛题及解题思路分享

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: