11月23-24日，由武汉大学空天信息安全与可信计算教育部重点实验室主办的第六届全国网络与信息安全防护峰会（XDef 2017）在湖北武汉举办，现场汇聚了来自主管政府部门、事企业单位、高校、科研院所及相关需求单位和民间团体的领导、专家、学者及同学们，本届峰会参会人数近500人。

本届峰会包括专家报告、网络安全人才培养论坛、大学生信息安全竞赛作品展等多个环节。其中专家技术报告18个，人才论坛报告3个，人才论坛设研讨会一场，作品展参展作品12件（8件作品将进行现场报告和展示）。

11月23日上午，公安部网络安全保卫局、国家计算机网络应急技术处理协调中心、教育部高等学校信息安全专业教学指导委员会，以及湖北省内各重要政府部门、武汉东湖新技术开发区、武汉东西湖经济技术开发区和武汉大学的相关领导，以及来自全国相关事企业单位、高校、科研院所及相关需求单位和民间团体的近400名专家、学者和同学们出席了本次开幕式。大会主席张焕国教授首先代表组委会致欢迎辞，随后封化民教授代表教育部高等学校信息安全专业教学指导委员会致辞，他对本届峰会的顺利召开表示祝贺，同时高度赞扬了XDef安全峰会在交流合作与人才培养方面所做的各项努力和成绩。

在峰会第一天，来自公安部网络安全保卫局、国防科技大学、电子科技大学、360公司等单位的10位专家带来了10场精彩的报告分享，说实话这是嘶吼编辑第一次参加学术氛围如此浓厚的峰会，会场中没有那些经常见到的会棍，全部都是来自“政、产、学、研、用”各方的专家及代表。嘶吼编辑努力听了一些，整理如下：

网络安全法出台背景下的网络安全等级保护工作

特邀演讲嘉宾：祝国邦 公安部网络安全保卫局处长

作为本届峰会第一个出场嘉宾，作为公安部主管部门专家代表，他的报告内容也体现了国家对网络安全的监管与保障工作需求。他今天的演讲内容是在网络安全法出台背景下的关键信息基础设施保护工作。

电力、石油、通信等都是国家重要的基础设施，但是他们的信息安全问题却比较突出，很少有专人维护，对于黑客来说，要入侵基础设施相对来说是非常容易的。那么怎么保护重要基础设施的安全呢？

祝国邦处长从更高层面对重要基础设施保护进行了阐述，可以总结为三个词：保护、保障、保卫。

1.  保护：重点保护关键信息基础设施运营者

2.  保障：网络安全机构、人员、经费、技术、装备、产品、服务、人才等

3.  保卫：国家采取措施，监测、防御、处置网络安全风险喝威胁，保护关键信息基础设施免受攻击、入侵、干扰和破坏。

网络基础设施的安全防护技术

特邀演讲嘉宾：苏金树 973首席科学家，国防科技大学教授，博士生导师

苏金树教授讲述了网络基础设施的安全防护技术，在深入讲述基础设施防护技术之前，首先我们要知道有哪些网络基础设施，比如交换机、路由器、防火墙、IDS、服务器、移动终端、传输线缆等都是重要的网络基础设施。但是这些基础设施却很少有人进行防护。

苏金树教授重点阐述路由器面临的安全问题，他表示针对路由器进行的攻击可分为两个层面，路由器本身层面和路由器协议层面。路由器本身层面可发生DoS攻击、缓冲区溢出、代码执行、内存崩溃，路由器协议层面可出现前缀劫持、路由黑洞、路由震荡、中间人劫持。

而对于路由器的安全防护也可以分为两个层面进行，比如协议安全和系统安全。

路由协议的协议安全防护方法有：

·  反向路径转发检测

·  TTL校验

·  S-BGP、

·  路由过滤

系统安全的防护方法有：

·  镜像签名验证

·  地址随机化

·  可信启动

·  安全补丁

用区块链技术构建虚拟资产的可信安全生态

特邀演讲嘉宾：张小松 长江学者特聘教授，电子科技大学教授，博士生导师

张小松教授分享的是用区块链技术如何保护虚拟资产的安全。

什么是虚拟资产

是指数字化、非物化的财产形式、如游戏币、电子发票、虚拟货币、数据资产等。其特点是存在于网络空间中，具有等同于实体资产的价值属性，可兑现，可转让。

怎样解决虚拟资产带来的困境呢？据张小松介绍，目前最为有效的方式就是使用区块链技术，区块链技术的本质就是：通过票p2p的分布式存储和运算，解决不可信任环境下的信任共识难题以及资产固化问题。

区块链解决虚拟资产安全问题的三个特点：

· POW算法

· 密码算法

· 智能合约

精华提炼

1.  构建虚拟资产的可信安全生态，是实现数字经济对实体经济升级改造的必须

2. 建立可信可控的安全区块链平台，是构建虚拟资产可信安全生态的前提

3. 实现虚拟资产对实体资产的可信绑定，是构建可信安全生态的关键

如何破解网络安全人才培养困局

特邀演讲嘉宾：谭晓生 360公司首席安全官

随后，谭总继续分享了自己的网络安全人才培养观，这也是本次峰会上嘶吼编辑唯一认识的演讲者。

“没有网络安全，就没有国家安全”

“网络安全归根结底就是人才的竞争”

说实话，这句话用在哪个领域都合适，人才是一切竞争的基石，任何辅助工具都只能当陪衬，当作提高人才工作效率来用。

网络安全人才现状

行业总体需求：人才缺口高达95%。当前中国重要行业信息系统和信息基础设施需要各类网络空间安全人才70万，预计到2020年这个数字就增长到140万，并会以每年1.5万人的增速递增。而近三年来，高校学历教育培养的这类人才只有30.667人。

那么我们需要什么类型的网络安全人才呢？是攻击型的，研究型的，还是防御型的呢？

攻击型人才奇缺，即使是国内重点大学一年也培养不出几个来。目前国内的攻击型黑客大部分来自民间，他们全部都是按照自己的兴趣爱好走进安全行业的，他们大多没有高学历，并且也不是计算机专业出身。

其实当前我们需求更多的是防御性人才，站在明处做好政府、企业的安全防护。防御型人才需要做到：强烈的责任心、快速学习能力、很强的动手能力。

网络人才缺失非常严重，造成人才缺失的一个很重要原因是高校缺少网络安全教师，同时高校的评价体系也难以有效推动高水平实战型攻防人才的培养。可想而知，没有足够强大的师资力量，没有激励性的评价体系，当然就不会有批量科班网络安全人才出现。怎样做好网络安全人才培养，需要高校和企业共同努力才行。

海豚音攻击：听不见的指令

演讲嘉宾：张国明 浙江大学博士生

前不久，浙江大学研究出来了一种新型攻击，震惊全界，国内外媒体头条都是浙江大学的这一成就，该研究成果发表在今年10月底美国达拉斯召开的全球顶尖学术会议CCS2017上，并获得最佳论文奖。就在今天，该论文的第一作者，浙江大学电气工程学院博士生张国明详细讲解了他们研究的海豚音攻击的具体原理，并进行了攻击效果展示。

目前的智能设备上都有语音助手，大大方便了我们的生活和工作，比如打开浏览器、购物、打电话、导航等。但是语音助手也可以被恶意利用，比如被不法分子窃取个人敏感信息，被诈骗，被恶意玩弄等。

所谓的海豚音攻击，其实就是利用一种我们正常人听不见的声音频率，然后执行语音攻击。海豚音攻击可以完成的操作非常多，比如网上购物、监视和拨打付费电话、暴露隐私等。

至于怎么防护海豚音攻击，可以考虑从硬件过滤和软件检测两个方面来实施，当然在咱们的设备没有部署对应防护方案之前，最简单粗暴的方式还是关闭手机的语音助手吧。

高级持续性威胁现场取证

演讲嘉宾：吕志泉 国家互联网应急中心运营部博士

什么是APT攻击？顾名思义就是高级持续性攻击。为什么APT攻击非常可怕呢？因为攻击者实力背景雄厚多为国家级顶级黑客，技术能力强，危害性强，可长时间潜伏在目标系统中，目前发现的APT攻击最长隐藏时间可长达数十年之久。

我们知道的最为知名的APT攻击事件可能要数震网事件、棱镜事件、方程式事件等。而曝光APT活动过程中，维基解密功不可没，近几年维基解密不断曝光美国NSA、英国CIA当局那些不为人知的黑客活动。

攻击过程

下图详细描述了在典型APT攻击中从攻击开始直至攻击完成涉及到的具体过程。

APT攻击方式主要有两种：鱼叉攻击和水坑攻击，其中鱼叉攻击使用次数最多。

本次，国家互联网应急中心运营部博士吕志泉主要讲述了APT现场取证的相关内容，APT取证面临的挑战有如下几点：

· 对手强大

· 技术缺乏

· 人员受限

· 实操受限

· 分析困难

APT取证的核心是能否找到恶意样本，如果能找到样本，那就相当于攻击者留下了致命性证据。

APT取证过程如下：

· 内存取证

· 数据恢复

· rootkit检测

· 追踪溯源

· 同源分析

· 社工分析

机器学习在人机对抗上的应用

演讲嘉宾：王海鹏 腾讯安全平台部高级工程师

机器学习的快速发展，给安全领域的人机对抗带来了新的技术和思路，同时也带来全新的挑战。一方面新的技术可以处理一些传统手段难以解决的问题，另一方面黑产也在利用最新技术持续挑战我们的对抗策略。

首先，王海鹏博士对当前黑产对抗形势及机器学习的发展进展进行了介绍，并指出随着激烈的黑产对抗与AI的快速发展，两者的交叉给我们带来了非常多的机会和挑战（灵活多变的对手，海量的数据，广泛的业务等），机器学习带来了算法上的提升，其在业务安全、流量安全、内容安全、主机检测、网络入侵检测、数据安全、风控安全等方面都会发挥作用。之后，王海鹏博士结合Webshell攻防以及验证码攻防两个方面的案例介绍了当前的最新发展技术，以及他们在人机对抗攻防两侧上的一些机器学习尝试和检测效果。他最后指出，尽管AI在自然语言处理、图像识别等非安全领域已经取得了较大进展，但我们要避免拿来主义，应当结合安全业务的特点来有效引入和改造AI，以更好地服务与安全防护工作。

用机器学习重构恶意代码检测体系

演讲嘉宾：乔伟 安天移动安全副总经理，联合创始人

安天移动副总经理乔伟从AV中的老三样和经典体系开始介绍，然后对1990～2016反病毒引擎架构和线路上的演进情况进行了分析，他指出，PC时代的恶意软件是速度和深度的对抗，而在移动平台下，恶意代码攻击的前提发生了变化，新平台也带来了最大的差异化，移动时代的恶意软件的广度与个性化差异明显，移动威胁的核心对抗逻辑已经发生了倒置，攻击入口以及攻击目标碎片化和长尾现象进一步加剧，他通过对比移动威胁与传统威胁在传播模型、攻击路径以及威胁上下文场景的不同，展现了移动威胁对抗的特殊性，而这些也直接驱动出机器学习的对抗动机。

之后，他在报告中从机器学习的视角对移动恶意代码后端工程化对抗体系、恶意代码识别引擎体系、样本捕获与交换体系进行了拆解，并介绍和分享了如何基于人机协同的工程化体系合理的引入机器学习进行重构。

非PE攻防之道

演讲嘉宾：杨龙 猎豹移动公司安全研究员

非PE文件是一类可执行文件，优点是：类型多、门槛低、免杀、隐蔽；但也存在致命缺点：明文、存在限制。

猎豹移动安全研究员杨龙详细分析了非PE攻防问题。在本次报告中，他从攻击套路、权限提升以及持续驻留等角度讲解了目前在网络攻击中涉及到的部分具体技术。他表示非PE攻击的套路无非就是鱼叉攻击和水坑攻击，这也是目前市场上比较常见的两种攻击类型，并对攻击载荷和执行绕过技术进行了介绍。之后对多种UAC机制突破、后门技术等进行了讲解。

对于我们普通用户来说，最关心的可能还是如何进行预防，杨龙也给出了几个建议。对于个人用户，尽量安装一款防护软件，使用标准用户而非管理员账户，对不明邮件、链接保持谨慎。

对于学校企业来说，增强人员安全意识，及时安装补丁，使用Device Guard或者Applocker，制定好内网安全策略，不定期排查。

对于杀软厂商来说，预防白名单攻击，更彻底的Powershell拦截，提供可定制化的防护。

基于威胁情报的web云安全防护实践

演讲嘉宾：程磊 知道创宇政企事业部华中区总经理

面对不断变幻的网络安全威胁，传统的规则防御与追踪手段已愈发暴露出越来越多的缺陷与不足。

在本报告中，程磊从Web安全防护面临的问题和挑战、威胁情报的挖掘、以及基于威胁情报的云安全防护实践等方面进行了介绍。

在威胁情报挖掘方面，他们基于经验特征、数据统计挖掘、外部及内部数据关联、防火墙规则及网站画像等多个角度从海量运维web日志异常挖掘有安全价值的异常信息（单点异常、上下文异常、集体异常等），去发现0Day漏洞利用、敏感数据泄漏、网络资产暴露、以及各类业务安全事件等。

以上仅为峰会第一天的部分精彩议题集锦，第二天还会有更多的精彩议题分享。读者朋友们，嘶吼编辑还会继续为大家呈现更多内容，继续关注哦！