https://chat.openai.com/[2]

note中记录的安全fix信息，最后通过这些差异分析判断软件漏洞修复是否及时，文档是否健全，来给用户选择软件提供参考并对软件维护者提出漏洞修复建议。在《Facilitating

安全工具开发首先，既然ChatGPT能够按照用户的要求编写代码，那自然就可以用来制作安全工具（不论是用于进攻还是防御）。目前已经有人指出通过ChatGPT可以生成实际可用的漏洞利用工具[4]：图1

Requests。虽然一些供应商在用户手册中对API的请求速率进行了限制，但是实际上并没有生效。针对该问题，建议使用具有随机或指数等待计时器的速率限制策略，即限制连续两次API请求时间间隔。4.5

一、背景介绍3GPP联盟通过技术规范(TS)33.501[1]发布了第五代移动通信系统的身份验证和密钥协议（即5G-AKA），它引入了公钥加密来隐藏用户的SUPI来提高移动用户的隐私性。然而，5G-AKA很容易受到来自主动攻击者的链接攻击，使用户的隐私处于危险之中。本文介绍一篇来自USENIX

一、前言在安全多方计算系列的首篇文章（安全多方计算之前世今生）中，我们提到了百万富翁问题，并提供了百万富翁问题的通俗解法，该通俗解法可按图1简单回顾。图1

向权重嵌入水印的方案（引自文献[3]）研究的实验验证了在深度神经网络通常过拟合的情况下，该方法不会对模型的准确性造成太大影响，且能够有效抵御窃取者对模型进行的fine

一、背景在数据爆炸的当今社会，数据本地化已经不能满足用户业务需求，越来越多的数据需要被共享，因此越来越多的用户选择数据上云服务器。然而，这会引入两个问题：一是云服务器大多都是第三方人员管理或者运维人员管理，二是大多数用户存储的数据总是以明文的方式出现。那么关于这部分未被加密的数据，云端的管理人员能够随意检查，更改，间接从服务器平台删除。一旦管理人员进行了这些恶意的操作，将导致一系列严重后果；如随意窥探用户的隐私信息，甚至恶意修改用户数据等，给用户带来了信息泄露和丢失的困扰。这意味着用户在云上上传的数据和信息越来越多，所带来的信息安全隐患就越来越大；如前段时间网络曝光的某公有云平台，私自窃取了用户的数据为己所用，投诉和协商无果后，已被告，一时也引起了不少的争议。另一方面，云平台可能会恶意的收集用户的行为习惯从中获取有用的分析数据，如分析某些平台的搜索数据，可以分析出一些商业价值的信息，这导致用户搜索的敏感信息泄露。二、可搜索加密概述为了解决上述提到的问题，用户所有的数据都可以密文的方式上传，这种存储方式降低了隐私泄露。但同时它也引入新的问题：比如，当云服务器有若干的密文数据时，他们怎么能找回本人的数据，而无需向终端输入任何有关该数据的明文内容。可搜索加密技术就可以很好的应对这个问题。通过该技术，用户可先分别加密数据和数据标签，然后将加密后的数据与标签一同存储在云服务器上。当用户搜索包含字“KW”的文件时，他能够发送关于关键字的标签（也称为陷门的文件）到云服务器。云服务器将接纳到的关键词陷门与每一个加密文件的标签进行匹配。假如匹配成功，则该文件中包含的关键字。此时，服务器再将匹配的文件发送给用户，然后用户在本地进行解密即可。从安全性上说，云服务器除了有可能猜到任何两个搜索文件是否包含相同关键字的外，对其他信息不清楚。总的来说，可搜索加密具有以下的安全性优势：可证明安全：即不可信服务器仅仅通过密文不能获得有关明文的任何信息；控制搜索：即不可信服务器不能在没有合法用户的认证下进行搜索；隐藏查询：即用户向服务器发起有关一个关键字的询问然而却不必向服务器表明关键字是什么；查询独立：即不可信服务器除了查询结果之外不能获得有关明文的任何信息。三、一种可搜索加密算法的原理及实践3.1算法核心部分描述文献[1]提出的可搜索加密方案的关键算法称为PAEKS，其伪代码实现如下：PAEKS算法是基于决定性双线性

一、引言2018年5月正式生效的GDPR是欧盟“史上最严”条例，是数十年来数据安全和数据隐私法规方面最重要的一次变化。随后，2019年生效的加州CCPA，对个人数据及信息保护提出了严格的界定和保护要求。至此，GDPR和CCPA对欧美国家在数据安全和隐私行业的立法产生了持续的影响。在我国，2021年6月10日，中华人民共和国第十三届全国人民代表大会常务委员会第二十九次会议正式表决通过了《中华人民共和国数据安全法》。历经三次审议和修改通过的《数据安全法》将于2021年9月1日正式施行。在数据安全和隐私保护方面，企业合规性是一个迫在眉睫的事情。随着对数据安全和隐私保护的重视和相关法案的出台，各种数据拥有者重新回到数据孤岛的状态。为了实现数据的可用不可见技术并使得互联网公司在合规下能利用大数据和AI技术做更多有意义的事情。在这个背景下，相应的互联网公司提出了一系列的解决方案，如：谷歌的联邦学习、腾讯微众的联邦学习、阿里的共享学习。其中，腾讯微众的联邦学习主要采用了同态加密。谷歌的联邦学习和阿里的共享学习则使用了秘密共享技术，这反映了对秘密共享的算法研究有着重要的意义。纵观区块链的发展脉络，其经历了初始的1.0阶段，发展成熟的2.0阶段，即将进入新的发展阶段。其吞吐率和挖矿资源浪费问题一是阻碍区块链发展的瓶颈。如何突破这一瓶颈，去中心化的区块链共识算法的突破是核心。运用秘密共享技术的应用去探索去中心化区块链共识算法的突破有很实际的意义。本文通过对秘密共享技术的介绍和思考，进一步探讨秘密共享的根源以及秘密共享在数据安全和区块链共识等领域的应用。二、秘密共享秘密共享（Secret

一、安全多方计算简介当前，数据被称为“新时代的石油”，数据只有流动（共享）起来才能产生更大的价值。各个国家已经深刻认识到了数据的重要性，并开始通过立法手段保护数据安全，各大机构/企业再希望像以前一样，粗暴的、毫无底线的收集和共享数据越来越困难。这就导致，如何在保证各机构/企业/个人数据私密性的前提下，实现多方数据的联合查询、统计与建模，成为了数据处理领域新的研究方向。安全多方计算技术刚好能够满足上述需求。安全多方计算（Secure

2021年6月10日，中华人民共和国第十三届全国人民代表大会常务委员会第二十九次会议正式表决通过《中华人民共和国数据安全法》（《数据安全法》）。自2020年6月28日以来，《数据安全法》历经三次审议与修改，确定将于2021年9月1日正式施行。其中，正式文相比今年4月下旬的二次审议稿，主要包括：（1）加大对违法行为的处罚力度。最高可处一千万元罚款，或违法所得的十倍罚款；（2）建立工作协调机制，加强对数据安全工作的统筹；（3）明确对关系国家安全、国民经济命脉、重要民生、重大公共利益等数据实行更严格的管理制度；（4）要求提供智能化公共服务应当充分考虑老年人、残疾人的需求，不得对老年人、残疾人的日常生活造成障碍；（5）进一步完善保障政务数据安全方面的规定。《数据安全法》对于我国的国家安全建设有着至关重要的意义，同时促进以数据为关键要素的数字经济健康发展。而对于企业来说，《数据安全法》是企业数据活动必须遵循的“行为规范”，是重要的法规监管依据。对于数字化企业或者正在数字化转型的企业来说，或多或少投入了一些企业数据安全建设工作。那么，企业是否完全满足《数据安全法》的合规性条款呢？基于此目的，我们对数据进行解读，具体参见下面的三列表格（其中第二列表格红色标注表示与二审稿的区别，由于相关条款修改不大，实际与我们4月发布的《从技术角度解读《数据安全法（草案）》二审稿》解读大体类似）。一方面希望给企业组织的数据安全合规提供一个技术层面的参考；另一方面希望达到抛砖引玉，与广大信息安全从业者互相交流、共同探讨出数据安全的最佳实践。章节《数据安全法》数据安全技术解读第一章

全文共2778字，阅读大约需要6分钟。RSAConference2021将于旧金山时间5月17日召开，这将是RSA大会有史以来第一次采用网络虚拟会议的形式举办。大会的Innovation

第十三届全国人大常委会第二十八次会议在2021年4月26日至29日对《中华人民共和国数据安全法（草案二次审议稿）》（《数据安全法（草案）》二审稿）等多部法律进行了审议，并将《数据安全法（草案）》在中国人大网（www.npc.gov.cn）已经公布，正式向社会公众征求意见。与一审稿相比，主要修改和完善了数据安全分类分级和重要数据保护制度、数据出境安全管理规定，新增了数据处理活动建立网络安全等级保护制度（等保）基础上、以及应对数据安全事件立即处置措施与机制。为了能够更好地理解法律条款，落地数据安全建设思路，绿盟科技对《数据安全法（草案）》二审稿作出技术的解读。由于二审稿中亮点之一增加了等保制度的衔接，而等保2.0系列标准涉及若干的数据安全要求与规定，我们单独进行研究，参考本公众号今天发布的另一篇文章《从技术角度解读等保2.0对数据安全的要求》。通过这些解读和梳理，我们一方面希望给企业组织的数据安全合规提供一个技术层面的参考；另一方面希望达到抛砖引玉，与广大信息安全从业者互相交流、共同探讨出数据安全的最佳实践。《数据安全法（草案）》二审稿数据安全技术解读第一章

简介本文涉及到的技术仅供教学、研究使用，禁止用于非法用途。2020年的倒数第二天，我们在CIS网络安全创新大会[1]上跟大家分享了一种针对Kubernetes集群的通用后渗透控制技术（简称k0otkit[2]），利用Kubernetes自身特性、动态容器注入、无文件攻击等技术，在容器逃逸后实现对集群所有节点（无论集群规模大小）的快速、隐蔽、持续控制，同时还介绍了针对这种技术的防御和检测方法。k0otkit的名称来自Kubernetes和rootkit。从该名称不难看出，我们希望k0otkit成为“Kubernetes集群内的rootkit”。k0otkit的新颖点在于：

"LastUpdateStatus":"Successful"}五、攻击场景复现上述的攻击者模型介绍中我们知道当攻击者拿到了shell权限后便可进行一系列攻击，其中主要通过对“可写目录”、“AWS

POST请求到http://localhost:8080/init，从而覆盖之前接收到的函数源代码，换而言之，攻击者构造的危险函数体将被执行，下述是简易的攻击流程图【6】：图4.

https://github.com/moby/moby/blob/a24a71c50f34d53710cccaa4d5e5f62169c5e1dc/oci/caps/defaults.go#L4

一、Serverless背景从“硬件”到“Serverless”的变革之路在“云”的概念还没有产生之前，开发者购买物理机，并在其上部署应用程序，企业将购买的机器放置数据中心，其网络、安全配置均需要专业的技术人员管理，在这种高成本运营模式下，虚拟化技术应运而生。首先映入眼帘的是虚拟机，依托物理机的网络、计算、存储能力，一台物理机上可运行多个虚拟机，因此很大程度上提升了资源利用率。在虚拟机成为当时的主流后，供应商想到了以编程的方式租用物理机，通过服务器池释放更大的灵活性，这些也渐渐成为了往后IaaS的基础。在2006年8月，由AWS推出的EC2（Elastic

/proc/sys/vm/mmap_min_addr65536可以发现，进程能够申请的最小地址值为65536。在这种设定下，我们编写以下测试代码去申请零地址处的内存并尝试修改其内容：#include

Cilium[1]是一种开源网络实现方案，与其他网络方案不同的是，Cilium着重强调了其在网络安全上的优势，可以透明的对Kubernetes等容器管理平台上的应用程序服务之间的网络连接进行安全防护。Cilium在设计和实现上，基于Linux的一种新的内核技术eBPF[2]，可以在Linux内部动态插入强大的安全性、可见性和网络控制逻辑，相应的安全策略可以在不修改应用程序代码或容器配置的情况下进行应用和更新。Cilium在其官网上对产品的定位称为“API-aware

浅谈机器学习在自动驾驶中的应用.https://www.aminer.cn/research_report/5cf6211900eea1f1d521d75d?download=false[2]

摘要：生物病毒与计算机病毒的特性、传播性有一定的相似性，通过新冠疫情的应对，可以反思网络安全防护的得与失，并分析相关的一些网络安全新趋势和新技术。序言2020年行将过半，谁也没有想到竟是如此多事之秋。新冠病毒在短短数月内席卷全球，疫情持续扩散和不断反复，也在改变了人们很多固有的认知，包括卫生医疗、公共安全、组织动员、经济政治等等。可以说，疫情也许在未来几年内趋于平静，但其对全球政治、经济、军事等方方面面产生的影响将会持续相当长的一段时间，世界格局也会发生深刻的变迁。计算机病毒的概念本身就是源于生物病毒，两者有一定的相似性，例如变种、传播、感染机理等。一旦恶意软件爆发，后果同样很严重。一个典型的例子是勒索病毒WannaCry借NSA永恒之蓝武器库之威在2017年发难，短短几天内感染了150个国家的20万计算机，后来甚至还瘫痪了台积电等厂商的生产线，还突破物理隔离、攻破内网的重要资产，极大冲击了人们对网络攻击和网络战争的固有观念。因此，分析、总结各国应对疫情的得失，或许对网络安全从业者应对未来网络攻击的防护思路有所启发。总体而言，疫情期间各国处置有如下几点值得探讨：一、经济（业务）发展

知识图谱构建安全知识图谱主要包含两部分：静态知识图谱和动态图谱。静态知识图谱是事先构建的安全知识图谱，融合了攻击模式库（CAPEC，ATT&CK），安全隐患（CVE,

摘要「云原生」生态正在迅速发展壮大，而专门针对云原生环境下的渗透测试进行介绍的资料却并不丰富。未知攻，焉知防。本文调研了当前已有的专门针对云原生环境进行渗透测试或类似安全评估的工具和开源项目，希望为渗透测试人员提供面对新环境的突破思路，帮助安全防御人员看到潜在脆弱点和更多攻击可能性，为云安全研究人员提供更多攻击侧的技术信息，实现以攻促防。一、前言本文所涉技术仅供学习交流，严禁用于非法用途。近年来，容器技术持续升温，全球范围内各行各业都在这一轻量级虚拟化方案上进行着积极而富有成效的探索，使其能够迅速落地并赋能产业，大大提高了资源利用效率和生产力。随着容器化的重要甚至核心业务越来越多，容器安全的重要性也在不断提高。作为一项依然处于发展阶段的新技术，容器的安全性在不断地提高，也在不断地受到挑战。与此同时，「云原生」同样方兴未艾。人们在实践中发现，简单地将主机、平台或应用转为虚拟化形态，并不能解决传统应用的升级缓慢、架构臃肿、无法快速迭代等问题。因此，云原生（Cloud

一、引言众所周知，网络安全风险评估从设备识别开始，所以能否对物联网设备进行精准的识别对物联网安全研究有着重要意义。在我的上一篇《物联网资产识别方法研究综述》中已经介绍了物联网资产的相关识别方法。在文章的最后提到了以一种基于机器学习与人工标记相结合的方法对物联网资产精确识别。如果采用机器学习的方法来解决识别，那么描绘物联网资产的特征就变得尤为重要。接下来本文就来介绍开放HTTP服务的物联网设备的特征。在介绍物联网设备特征之前，需要先了解什么是Banner？Banner就是一个网络服务的元数据，其中包含的信息可以由服务开发者进行自定义。比如：对于HTTP协议而言，Banner就是HTTP协议应答的Headers和Body，对于FTP协议，Banner就是欢迎字符串和运行某些命令的返回结果等。任何服务都可以设置Banner，内容会根据生成Banner的人和服务类型有所差异。所以利用Banner差异就可以提取到服务所对应的资产的一些特征。二、使用HTTP协议的物联网设备特征1web首页为登录页面

执行摘要通过绿盟威胁捕获系统，我们发现了一批具有特定行为和目标的攻击者，其攻击所用HTTP请求包中的User-Agent字段往往是确定内容：“Abcd”，主要感染目标涉及多款路由器和视频监控设备。这些攻击者从5月份出现活跃至今，近期依然捕获到其投递样本的行为，值得引起大家关注。本文的关键发现如下：这些攻击者在5月9日被初次发现，平稳一段时间后，6月6日又开始活跃，总数达到219个，其中在中国和越南的攻击者最多，占比70%。另外，在已知的资产情报数据中，这些攻击者有40%为物联网设备，其中79%为摄像头，17%为路由器。包含User-Agent:

CodeQL是一个白盒源码审计工具，它以一种非常新颖的方式组织代码与元数据，使研究人员能够“像查询数据库一样检索代码”，并发现其中的安全问题。GitHub于去年收购了开发CodeQL的公司Semmel，并与其联合成立了GitHub

当前，企业内网所面临的安全威胁越来越严峻，其威胁程度已经超过了来自企业外部的威胁。因此越来越多的安全设备被部署在企业内网中的关键节点上，包括IPS/IDS，WAF等。这些安全设备每天会产生海量的告警。对于一个大型企业来说，这些安全设备一天产生的告警量会达到几十万甚至上百万条。如此巨量的告警会使得安全运维人员无从下手，进而导致运维人员无法及时有效的发现威胁度较高的攻击行为。因此需要对安全设备输出的告警进行评估，为运维人员提供具有高威胁度的告警，以提高安全运维的效率。一、告警评估的目的告警评估的目标是对安全设备产生的告警进行进一步的分析，找出具有较高高威胁度的告警。而那些具有低威胁度的告警并不能被视为误报。攻击者在对网络中的资产进行攻击的过程中往往会采用几种攻击方法进行多步尝试。在此过程中会触发很多的告警。这些告警中有很多是“无效”的。例如SSH登录失败告警，这类告警可能是正常用户在SSH远程登录服务器时输错密码导致，也可能是攻击者在尝试密码猜测。单纯从这类告警本身无法判断其威胁程度。对于安全运维人员来说，这类告警属于低危告警。而对于那些已经造成目标主机失陷或者具有明显攻击意图的告警是运维人员所关注的，这类告警就是所谓的高危告警。二、基于多维度关联的告警评估安全设备所产生的告警往往不是孤立存在的。告警之间往往会通过多种维度互相关联。其主要的关联维度包括以下几种：通过资产相关联：同一个源IP发起的攻击往往具有相似性，体现在其往往采用相同的攻击工具或者相似的攻击手法对网络中的多个资产进行攻击。通过检测规则相关联：每条告警都会有对应的检测规则，例如IPS规则，WAF规则等。通过同一条规则输出的告警，其往往具有相似的特征。通过payload相关联：告警的payload中保留着丰富的信息，包括攻击者的攻击手法，攻击者的具体操作等。通过这些特征可以对告警进行进一步的关联。为了能够从海量告警中找出具有高威胁度的告警，除了要对告警本身进行分析以外，还要考虑告警之间的关联信息。通过对关联信息的挖掘，可以有效减少对高危告警的漏报。三、基于图的告警关联分析图结构可以用来表示实体集之间的关联关系。由于告警之间存在着多种关联，所以采用图模型对告警进行建模，可以更好的对告警之间的关系进行描述。有了告警关联图后，可以对告警进行更加细致的评估。1告警关联图的构建图结构由顶点和边组成。顶点表示数据元素，边表示数据元素之间的关系。另外，图还分为有向图和无向图。因此，在建立图分析模型时首先需要定义顶点和边，然后根据已经定义的顶点和边来选择建立有向图还是无向图。在图分析算法中，顶点的定义方法较为灵活。在告警关联分析中，如前所述，告警之间通过多种维度相互关联。每一种关联方式可以定义一个图。下面针对以上提出的三种关联关系，分别简要介绍图的构建方法。资产关联图：网络中的资产对应着IP地址。因此在资产关联图中，可以将IP地址定义为顶点。如果需要进行更加细粒度的分析，例如需要精确到被攻击的服务，可以将IP和端口对定义为顶点。IP地址（端口）之间如果有通信，那么相应的节点之间就定义一条边。由于通信过程有明确的源/目的地址，因此资产关联图往往是有向图，如图

随着数据的积累，算力的提升，人工智能技术的演进，语音、图像、文本处理等应用场景自动化程度大幅提升，也让我们看到安全能力向着更高水平的自动化演进的曙光。技术平台的自动化、智能化水平，也逐渐成为网络安全攻防双方角力的重点。学术界和工业界纷纷尝试基于人工智能技术的安全分析方法，包括深度学习、机器学习、知识图谱等人工智能技术，已经逐渐应用到恶意软件检测、入侵检测、欺诈检测、行为分析等安全业务和应用中。不过，几轮炒作和试错下来，火热的期盼逐渐归于平静，安全技术发展归于辛苦的爬坡过程，实践上的不尽人意倒逼参与者思考，到底什么样的智能化方案才能够与安全场景契合？安全智能如何才能赢得人的信任，融入到自动化的大潮中去？本文从实践经验出发，总结了AISecOps（智能安全运营）的技术内涵、指标层次及能力分级，进而介绍AISecOps技术发展中的关键趋势——打造可信任的安全智能。一、AISecOps技术实践总结1AISecOps技术内涵人工智能+安全的技术融合给行业带来了新的期盼。无论是安全的AI还是AI的安全应用，都已成为学术、工业跨界的热点话题。AI技术在诸多单点安全技术和指定场景中，如恶意软件分类、恶意流量识别、入侵检测等，呈现出不错的效果。随着SIEM、SOAR等关键技术的产业化，安全能力不再停留在堆砌设备的阶段，数据、技术、流程与人员的“接口”被打通，安全运营逐渐得到行业各方的统一关注。而自动化安全运营，特别是基于AI技术的智能化方案，给我们描绘了美好的蓝图。AISecOps（智能安全运营）技术正是安全运营与人工智能技术的碰撞，也是安全技术的重要发展方向之一。近年来包括Splunk、Broadcom等网络和安全巨头都在重点布局AISecOps技术。AISecOps可覆盖很大的技术范畴，笔者从安全运营与AI技术融合的角度出发，概括AISecOps技术的内涵：AISecOps技术是以安全运营目标为导向，以人、流程、技术与数据的融合为基础，面向预防、检测、响应、预测、恢复等网络安全风险控制、攻防对抗的关键环节，构建具有高自动化水平的可信任安全智能，以辅助甚至代替人提供各类安全运营服务的能力。网络安全运营（SecOps）是一个面向业务目标、安全目标的结果导向性场景，技术能力只是网络安全运营成败的关键要素之一，而不是全部。人、技术、流程这三个要素，已成为安全运营中被广泛认可的铁三角。AISecOps在SecOps的基础上，更强调利用技术实现“数据”的利用与流动，挖掘融合不同层次中数据的价值，最终提供各任务层次的决策支持。图1

Server监听端口设置为6443之外，Kubernetes还提供了RBAC机制，其原理为通过不同角色具有的不同权限来访问不同的主体，关于RBAC机制笔者会在下面的授权章节进行详细介绍，API

近年来，大规模的数据泄露事件频频发生、个人信息违法交易与隐私侵权等问题愈发严峻。（《2019年国内外数据泄露事件盘点——个人信息保护刻不容缓》）在这样的背景下，全球掀起了监管不断强化的数据安全的立法热潮。欧盟的GeneralData

一、前言近些年，API安全在安全领域越来越多的被业界和学术界提及和关注。OWASP在2019年将API安全列为未来最受关注的十大安全问题。事实上随着应用程序驱动的普及，API接口已经是Web应用、移动互联网以及SaaS服务等领域的重要组成部分，无论是我们在网上购物，或者是在银行交易，甚至在医院看病挂号都会伴随着对API接口的访问和控制。由于对API接口的访问与控制伴随着数据的传输，其中不乏大量的用户隐私数据以及重要文件数据，因此越来越多的非法黑客将API接口作为攻击的目标，并通过非法控制和使用API接口窃取数据等。所以没有安全的API服务，就会带来生产生活上的巨大不便和潜在风险。所谓API安全防护就是对API的完整性进行有效的保护。目前API安全防护措施主要集中在访问授权认证机制，访问频率与访问量的限制与负载平衡，以及数据在网络通信过程中的数据隐私保护。其解决方案主要围绕TLS、SSL以及访问控制等技术手段进行防护。二、API安全发展趋势目前随着互联网、物联网等快速发展，越来越多的开发者会使用API接口为客户提供各种微服务并通过云原生应用快速部署容器进行快速迭代开发。因此无论是在互联网访问网络资源或者事通过物联网进行系统应用的控制都会利用API接口。由于在API接口既能够起到连接服务的功能，又可以用来传输数据，因此API的安全防护非常重要也非常敏感。目前已经出现了多起因为API被攻击或者存在漏洞而出现的数据泄漏的事故，例如2018年国内发生的华住信息泄露事件导致大量的用户个人信息以及开房信息被泄露，以及2019年Instagram因API接口漏洞导致用户数据以及照片被泄露。这一类API安全被破坏的情况一旦出现在数据敏感的重要领域，例如金融行业，医疗行业等，就会引发恶劣的社会影响，一旦被泄漏的数据被黑客非法使用都可能带来经济上甚至政治上的不良影响。因此对API安全进行防护，既有利于用户安全的使用API所提供的服务，又能够为用户的隐私数据进行保驾护航。一般而言，我们说提到了的API安全防护是指WebAPI安全防护，其中一个主要的关注问题在于经过API接口建立起来的用户和服务之间的通信数据如何防护。目前大部分开放的API接口都属于REST(表述性状态传递)接口或者是SOAP(简单对象访问协议)接口。RESTAPI接口是通过HTTP协议建立连接并使用TLS(传输层安全性)进行加密，确保在服务连接过程中数据被加密并防止数据被篡改。此外RESTAPI也可以利用JSON的数据传输格式进行文件的数据传输。SOAPAPI接口是通过Web服务安全性的内置协议建立服务连接并传输数据，并且支持W3C（万维网联盟）和OASIS（结构化信息标准促进组织）两个标准机构制定的标准。由于内置协议中自定义了加密和身份认证的规则集，因此食用SOAPAPI在安全措施上更受欢迎，但这也意味着使用SOAPAPI会带来更多在身份认证的方面的管理和授权。由于RESTAPI不需要存储或者对数据进行重新打包封装，因此RESTAPI的数据传输速度比SOAPAPI会更快。但是对于处理敏感数据比较多的场景下使用SOAPAPI会更加安全。三、API安全防护措施为了提高API安全性，根据OWASP提出的API威胁所包含的拒绝服务攻击、窃取隐私数据、未授权访问等类型的攻击威胁，安全厂商可以在以下方面进行应用或者提升，以保障用户的API服务使用体验。1）使用令牌技术，通过令牌建立API接口的可信身份，然后使用属于可信身份的令牌才能够实现对服务和数据资源等进行访问以及控制。2）使用加密和签名技术，例如在RESTAPI中使用TLS等加密方式对数据进行加密，保证数据在传输过程中被加密并防止被篡改。使用签名技术可以保证只有拥有数据访问权限的用户才能够对数据进行解密并对数据进行修改。3）主动识别API中的漏洞。可以使用检测嗅探器对API安全进行检测并检查数据被泄漏的情况，确保在网络环境下API服务的安全性，实时追踪API接口是否被非法黑客进行攻击以及漏洞被利用的情况。4）使用API安全网关。目前API安全网关已经被作为防护API安全的一个关键技术被使用，由于API安全网关可以用来控制和管理API接口的使用情况，同时也可以对使用API接口和服务的用户进行身份认证，因此在保护数据和API安全性上具备一定优势。5）通过对API接口的访问频率进行限制。因为由于业务的不同，API接口被调用的情况也会不同，通过分析和监测API接口被访问和调用的频率来确保API接口未被攻击者攻击以及数据被泄漏。一般来说被攻击的API接口往往会出现被调用次数增多或者频率与正常情况出现较大差异，因此通过限制API接口被访问的情况，进行限流等方式可以防护API出现被攻击者攻击甚至是拒绝服务的情况。API的安全防护离不开业务层面上对API接口的开发和对API接口的管理。一般来说API接口的安全开发需要开发人员具备API安全开发的知识和意识，并遵循安全开发规范对API接口进行开发和部署，而API接口的管理可以通过管理平台对其进行安全防护，例如使用基础的用户名密码的方式进行身份验证，或者通过API密钥即令牌字符串进行安全防护，或者基于OAuth框架进行用户身份信息的验证以及基本信息的校验。事实上对API的安全防护是一件从开发到应用到运营维护整个阶段都要参与和防护的过程，这一点和传统的Web安全防护等网络防护有所区别又有相似之处，是一件很有价值和意义的安全防护工作。现在市场上已经出现了一些API安全防护的产品，例如红帽提供的3scaleAPI管理，能够持续的对API进行管理和防护。它不仅可以管理API、应用和开发者角色的API管理器，也可以执行API管理器策略和流量管理，并支持多身份认证协议的身份提供商中心。在API网关方面，Amazon提供的API网关可以解析到期的时间戳令牌，检查客户端身份是否有效，以及使用公钥来确认签名等。此外，GOKU安全网关也可以实现网关系统的要求并具备一定的定制化特点。在不同API安全网关产品中，安全性、便捷性和个性化是最重要的几个影响因素，网关不仅要求API安全性和可用性有安全保障，也会避免隐私数据在网关传输过程避免被泄漏。Google收购的Apigee能够给客户提供一个跨云的API管理平台，通过主动探测API流量结合上下文进行分析并产生警报，为API服务提供实时上下文监控并快速诊断的能力以及采取补救的措施。四、API安全未来趋势目前来看，API安全网关是各个企业保护API安全的有效手段。API安全网关是一种便捷的保护API安全的工具，API安全网关可以利用流量过滤以及监控等方式对入侵进行检测并防止黑客攻击。即使目前市场上已经出现了一些API安全防护产品和解决方案，但是由于在API海量数据中检测威胁并进行防护还是面临着很多挑战，在复杂多样的环境下进行防护是很难做到防护的智能化。此外攻击者的攻击手段日新月异，变化很快，如果设计弹性的管理系统对API服务进行安全监控是未来需要解决的问题。在未来智能API安全解决方案会成为解决API安全问题的一个有效方法，而且已经在业界多次提及。使用人工智能和机器学习技术在海量API流量中进行威胁发现和安全防护，并利用AI模型的学习能力，在不同环境下动态的对API正常行为模式进行学习与积累，将有关行为的前置知识学习出来，然后自适应的在环境下对API异常活动进行识别并阻断，实现API安全的智能安全防护策略。五、总结如今API安全已经成为提供API服务的企业之间以及企业内部都需要关注的一个安全问题，一旦没有很好的保护好提供服务的API，不仅会对用户的使用体验以及个人隐私带来威胁和风险，而且可能会使企业面临安全威胁和风险。对于开发人员来说，为了提高API安全性需要在设计和开发阶段，对API的安全性进行良好的构建和设计，此外要遵守API安全开发规范进行实施。对于管理人员来说，应该使用API管理平台对API服务所面临的风险进行检测和防护。参考链接：[1].https://www.usenix.org/conference/usenixsecurity18/presentation/oneill[2].https://www.ndss-symposium.org/ndss2014/workshop-usable-security-usec-2014-programme/should-i-protect-you-understanding-developers-behavior-privacy-preserving-apis/[3].https://www.aqniu.com/news-views/37485.html[4]

一、背景三年前左右，在2017年4月14日，一个神秘的黑客组织影子经纪人（ShadowBrokers）在互联网上公布了一系列的黑客工具和漏洞，这些曾经被NSA利用的工具/漏洞一定程度上给互联网带来了大地震。这批泄露中涵盖多种黑客工具和不同的漏洞，例如Windows的“永恒之蓝”漏洞，就是造成WannaCry以及后来NotPetya勒索软件席卷全球的最大元凶。除此之外，研究人员还发现了更多未知内容，尝试解读出其中隐藏的各种秘密。二、关于Sigs.py文件自从3年前影子经纪人泄露这批黑客工具以来，全球各地的安全研究人员就在积极研究，尽管可能出于不同目的，但总是想从中挖出点有用的信息来，整出一些大新闻。除了声名远播的“永恒之蓝”漏洞，其中还有一个名为sigs.py的文件，让很多研究人员大为痴迷。Sigs.py这个文件据说是作为一个精简版的恶意软件扫描器，被NSA部署在目标系统中，通过扫描目标系统是否存在一些行为特征，从而判断目标系统中是否还有其他APT存在。这个文件中包含44个特征指纹（Signatures）用来检测其他APT组织的行为，编号为1-45号，其中不包括第42号。如果研究人员的推测是正确的，那么这个文件就表明NSA掌握至少44个APT组织的恶意行为特征，这远超目前公开的APT数量。下图是sigs.py文件的部分内容：到目前为止，研究人员已经解开了29个特征的谜底，对应到了各自的APT特征。15个特征的归属仍然是个迷，再一次间接表明NSA在识别各种APT行动上的能力。下面是研究人员暂时还没有解开的特征序号：三、代号37在4月22日举行的OPCDE虚拟网络安全峰会上，卡巴斯基和谷歌前研究员胡安·安德烈斯·格雷罗·萨德（JuanAndres

不同类别数据之间的区分性图2.3为同类流量数据的一致性情况，随机选取了两类数据，每一类数据中随机选取了9张图片。可以看出，1和7类别的数据的内部9张图片的纹理特征非常相似。

近日，绿盟科技、北京航空航天大学、中国移动研究院联合推出《企业级区块链安全白皮书》，旨在对企业级区块链的概念、架构、技术、安全等进行一个全面的介绍，使读者对企业级区块链相关的内容有一个较为深入的了解。借由本白皮书，我们也想推动安全厂商、高校与区块链服务商、用户的紧密协作。我们深信，跨界合作，共同探索，才能推动企业级区块链安全生态的构建，更好地服务于企业级区块链的用户，真正实现企业级区块链的价值。观点1：

一、什么是WEB前端混淆防护？在介绍“WEB前端混淆防护”之前，我们先来了解一下“WEB前端混淆”。一般来说，WEB前端混淆技术可以在不影响页面呈现和用户交互的情况下，将HTTP会话报文中的关键内容（请求参数、HTML、JS等）转换为难以阅读和修改的形式。这种做法不仅能够保护前端源码的知识产权，还能妨碍访问者通过浏览器人工交互以外的方式访问WEB站点。长久以来，互联网行业广泛将WEB前端混淆技术运用到反爬虫、防薅羊毛等诸多场景中，展现出了良好的实际价值。而WEB前端混淆防护，就是将WEB前端混淆技术作为一种应用安全防护措施来使用。由于WEB前端混淆会对浏览器之外的访问方式造成妨碍，因此能够有效阻止各类自动化WEB应用攻击手段（如WEB应用扫描），并迫使那些技艺不精、信心不足、或者不针对特定目标的攻击者放弃进攻，最终达到保护应用安全的目的。二、WEB前端混淆防护在企业安全的现状近些年来，企业安全领域中越来越频繁地出现利用WEB前端混淆来妨碍安全测试的案例，甚至出现了一些专门的WEB前端混淆防护产品。他们巧妙地利用了安全测试资源紧张的特点，通过WEB前端混淆来拖延安全测试工作的开展，导致测试人员因无法在短时间在完成测试而被迫承认被测系统是“安全的”。即使测试人员本身技艺纯熟，能够设法绕过前端混淆措施，也至少可以导致很多漏洞利用工具难以使用，显著降低其测试效率。从目前已知的几个WEB前端混淆防护部署案例来看，此种防护方案确实能够有效掩盖应用系统中的漏洞，进而在安全评估和合规检查中取得更好的成绩。众所周知，在经典安全实践中，安全加固操作最为有效的方法是从根本上修补或移除存在漏洞的功能模块，其次是切断攻击者利用漏洞的途径。但WEB前端混淆既不从根本上修补漏洞，本身也不影响攻击者对漏洞的利用。如果攻击者认为攻击得手后利益庞大，那么WEB前端混淆防护只是一次性地提高了攻击者利用漏洞所需的成本，即攻击者需要先完成对前端混淆代码的逆向分析。由于逆向分析可以离线完成，WEB前端混淆防护甚至可能完全不会对入侵行为产生告警。因此，一般认为WEB前端混淆是一种有价值的补充防护措施，而不适合单独部署使用。本文将针对性介绍这些混淆防护的机制，并探讨在安全测试中突破这些机制的可行性。三、WEB前端混淆防护的常见形式笔者收集整理了一些WEB前端混淆防护中常用的技术手段，供参考。需要注意的是，实战中的各种手段往往会结合使用，互相补强，需要灵活应对。1通信保护不论对于自动扫描还是人工测试来说，HTTP请求的构造、变造、篡改、重放都是非常重要的操作，而下列措施直接提高这些操作的执行难度：

所示，与去年我们报告中的数据相比，有13个国家的暴露数量出现了下降，下降数量在几千到上万不等，韩国和伊朗的暴露数量是上升的。虽然排名前五的国家没有变化，但是韩国的数量从去年的第五位上升到了第二位。图

物联网卡是运营商应用在物联网业务中的SIM卡。由于很多物联网卡会存在着被违规使用的情况，因此需要对物联网卡的业务使用行为进行检测，及时发现被异常使用的物联网卡。随着物联网业务的发展，异常检测的方法也在不断地发展，以更好的适配物联网卡的业务场景和异常场景。本文分三个阶段对异常检测方法的发展过程进行简要的介绍。物联网卡是运营商应用在物联网业务中的SIM卡。依据功能不同，物联网卡分为两类：专网卡：一种应用于物联网业务中的SIM卡，号码为13位，有短信和流量的功能，没有语音功能。现网卡：一种应用于物联网业务中的SIM卡，号码为11位，与普通手机号码的号段相同，具有语音，流量和短信功能。由于很多物联网卡的功能与普通手机卡的功能相同，所以物联网卡会存在着被违规使用的情况。其中，现网卡与个人的手机卡功能完全相同，但往往收费更加优惠，导致很多的现网卡被违规使用在个人手机业务中，或者被用来拨打骚扰电话，进行电信诈骗等非法活动。对于专网卡来说，其没有语音功能，同时短信功能受限，只能与平台通信，所以专网卡不会被当做个人手机卡使用。但是专网卡一般都具备上网功能。因此大量的物联网卡被用来进行违规上网。近年来，随着物联网的快速发展，被销售和激活使用的物联网卡数量也快速增加，物联网卡被违规使用的现象也随之越来越严重。因此需要对物联网卡的业务使用行为进行检测，及时发现被异常使用的物联网卡。随着物联网业务的发展，异常检测的方法也在不断地发展，以更好的适配物联网卡的业务场景和异常场景。本文将异常检测方法的发展过程分成了三个阶段，并分别对每个阶段所采用的方法进行简要的介绍。一、探索阶段在这个阶段，物联网设备开始大规模的接入到网络中，物联网卡的需求量激增，被异常使用的物联网卡数量也随之增加。而这个时间阶段正是机器学习，尤其是深度学习的概念被炒得最火热的年代。因此该阶段出现的针对物联网卡业务安全检测的方案往往都采用机器学习的方法。其总体的思路大致分为两类：分类检测和异常检测。1分类检测分类检测属于监督学习方法。在进行检测之前首先要训练分类模型。例如检测物联网卡所应用的行业与合同规定的行业是否匹配，其检测方法如图

——物联网资产识别方法研究综述一、引言大量互联网上暴露的物联网设备和服务，已成为攻击者发动大规模DDoS攻击的首选。在物联网相关的安全问题越来越引起关注的背景下，对这些资产进行分析和梳理是有必要的[1]。细粒度的识别物联网设备能够为进一步对设备的属性研究及安全分析提供数据支撑，针对不同类别、环境等因素寻找物联网设备的安全漏洞，从各个方面和角度进一步采取有效的安全措施，加强物联网设备的安全防护和修补。只有真正的掌握了物联网资产信息，在安全防护上才能做到“量体裁衣，因材施教”。在威胁狩猎方面，如果我们捕获了被恶意利用的物联网设备，并已经对这些设备做到精准识别，那就可以通过指纹搜索出互联上暴露出的该类型全部的设备，将这些设备列入重点观测对象，通过预提前的防策略来减低未来攻击带来的影响。网络安全风险评估从资产识别开始，所以能否对物联网资产进行精准的识别对物联网安全研究有着重要意义。二、物联网资产识别方法综述一般通过对全网的地址进行探测，来获取暴露在互联网上的资产。具体地，首先采集全网的网络地址的端口存活情况，接着对这些地址存活的端口发送指定协议探测包，获取到存活端口的响应信息，这部分的响应信息被称为标语（Banner）。往往返回的Banner中会存在一些可用来识别设备的信息，这类信息被称为设备指纹。物联网资产的识别属于设备识别的细分领域，接下来主要介绍物一些联网资产识别方法。1基于Banner匹配的指纹发现方法基于Banner匹配的指纹生成方法包括三个步骤：（1）获取物联网产品相关信息（2）收集网络空间探测数据，提取Banner（3）将产品信息与Banner进行匹配。具体的，首先是在物联网设备相关厂商官网或电商网站中进行搜索，找到这些物联网设备的产品相关信息，例如厂商、设备类型、型号/版本等（如图1）。接下来将收集到的资产信息在探测返回Banner中进行正则匹配，如果匹配成功，则识别成功输出指纹。

Vulnerabilities.https://www.exploit-db.com/exploits/40500关于格物实验室格物实验室专注于工业互联网、物联网和车联网三大业务场景的安全研究。

5555端口是安卓adb服务默认监听的端口，由于早期版本缺乏认证过程，导致其成为了僵尸网络热衷利用的目标，目前安全团队对5555端口上相关攻击的研究通常集中在adb服务。近期我们对5555端口上的恶意流量进行了深入分析，发现除针对adb服务的探测和攻击活动依然活跃外，还存在多种针对其他漏洞和服务的攻击：1）针对adb服务的探测和攻击我们发现5555端口上针对adb服务的探测和攻击非常稳定，没有明显的上升下降趋势，说明攻击者已经将adb服务纳入常规的攻击目标。2）针对AVTECHCamera/NVR/DVR的攻击该漏洞针对AVTECH摄像头的Web服务，我们发现攻击者使用了固定的主机进行攻击、短时间内快速提升或降低攻击频率能力强，且该攻击并非仅针对5555端口，80、631、52869等端口上也存在该攻击。3）针对MVPower

v1的notify_on_release特性，详情可参考文献[10]。在普通容器中，由于不具有SYS_ADMIN权限，以及AppArmor的限制，这种攻击无法成功。因此，特权模式是危险的。

Threat Hunting, https://www.rsa.com/en-us/blog/2017-07/hypothesis-in-threat-hunting[2].Hossain

研究目标包括僵尸网络威胁，DDoS对抗，WEB对抗，流行服务系统脆弱利用威胁、身份认证威胁，数字资产威胁，黑色产业威胁及新兴威胁。通过掌控现网威胁来识别风险，缓解威胁伤害，为威胁对抗提供决策支撑。

一、背景上一篇文章《近期黑客攻击我国视频监控设备的情况分析》我们叙述了境外势力在2月13日左右针对国内视频监控设备的攻击行为总体情况。接下来我们对近一个月来视频监控设备的后续威胁情况进行持续追踪和分析。本文采用的数据是绿盟威胁捕获系统从2月15日~3月15日所捕获的日志数据。二、整体情况分析图

在大数据时代下，数据被大量的收集、处理、加工、提取和挖掘，其中一类与个人相关的隐私数据，比如个人基本信息、财产信息、搜索信息、社交信息、网购行为信息等具有广泛的挖掘价值，可用于个人的精确画像、定向推广等2C业务开展。伴随大数据的采集、存储和应用的增长，个人隐私面临的威胁与挑战日趋严峻——既有来自内部员工的非法查询与拷贝，也有外部黑客攻击导致的重大数据泄露。为了平衡数据利用与隐私保护的双重需求，数据脱敏成为当前绝大数企业在数据安全治理与建设过程中的必选技术与措施，在数据分析、产品测试、培训等场景中有广泛应用。然而，数据脱敏是否真的是解决大数据时代下隐私问题与挑战的“一剂特效良药”（一劳永逸，药到病除）？或者说，脱敏后的数据是否真的达到了绝对的隐私安全（任何攻击者均无法攻破脱敏数据集）？如果不是，那么不同是脱敏方法、脱敏产品/系统的真实效果如何？如何比较它们的脱敏效果（隐私保护能力）？这引出一个重要的研究课题——数据脱敏的效果评估问题，即脱敏数据集的残余隐私风险如何定量刻画的问题。本文是大数据下的隐私攻防系列文章的第一篇《数据脱敏后的隐私攻击与风险评估》，笔者尝试将国外相关的评估技术与理论进行梳理和分析；后续第二篇《身份证号+手机号如何脱敏才有效？》，将在真实的身份证号+手机号脱敏数据集上实践与应用。通过系列文章希望达到了解风险、分析风险，刻画风险并最后控制风险的目的。抛砖引玉，以期进一步推动数据脱敏系统/产品组合的进一步完善与闭环。一、背景据国外情报机构RiskBasedSecurity（RBS）2019年Q3季度的报告统计，数据泄露近年来呈爆发和递增的趋势，如图1所示：2019年公开披露的泄露事件数量达到5183次！累计泄露数据记录规模达到79亿条！图1

）是由MITRE公司提出，是一个攻击行为知识库和模型，主要应用于评估攻防能力覆盖、APT情报分析、威胁狩猎及攻击模拟等领域。该标准自从2018

近几年，威胁情报在网络安全领域展现出其独有价值，结合大数据技术、人工智能技术，威胁情报可为企业提供决策支撑信息，降低企业整体风险，具有光明的应用前景，可威胁情报的一些内在缺陷却阻碍了其抵御风险的有效性，如准确率、覆盖率，本文以IP黑名单为例，介绍其使用中缺陷和提升准确率的最新研究成果[1]。一、背景IP黑名单记录了攻击者的历史信息，是威胁情报的重要组成部分，经常被企业用作于各种类型的防御，如垃圾邮件过滤、恶意流量识别等，被集成到多种类型的安全产品中，IP黑名单经常被用于做入侵防护或应急响应，在大规模网络攻击中过滤已知攻击者的流量，可以说是纵深防御体系中的第一道屏障，例如，在企业遭受DDoS攻击的时候，IP黑名单可用于过滤所有已知攻击源，降低链路负载，为了实现有效的防御，IP黑名单必须非常准确，识别出大部分攻击者的IP并且放行合法流量。在现实应用中，企业采集到的IP黑名单往往有很大的缺陷，很难做到对攻击源的精准识别，原因大致有如下几个方面：1.

"https://raw.githubusercontent.com/istio/istio/release-1.4/security/tools/jwt/samples/jwks.json"

一、前言Logo识别技术是现实生活中应用很广的一个领域，比如一张照片中是否出现了Adidas或者Nike的商标Logo，或者一个杯子上是否出现了星巴克或者可口可乐的商标Logo。学术上早在2013年开始就已经陆续使用深度学习做相关的研究，而业界Logo识别已经开始商业化，包括谷歌，百度，阿里等公司都在AI开放平台开放了API给大家提供Logo识别的使用接口。在安全领域Logo识别技术的应用也很广泛，例如敏感信息挖掘，垃圾邮件过滤等方面都有涉及Logo识别相关的应用。2020年RSA创新沙盒中inky公司在恶意邮件识别系统中也用到了这一关键技术。实际上Logo识别技术和目标检测（Object