访谈 | DataCon国内首届大数据安全分析比赛
作者:星期一, 五月 27, 20190

比赛简介:

DataCon大数据安全分析比赛是奇安信集团、清华大学主办利用安全攻防方面的丰富经验和真实数据资源,考察参赛选手数据分析和检测防御能力,提高实战水平。大赛于5月中下旬正式收官,自4月1日开赛以来,历经近两个月的鏖战,最终阿里云安全能力建设团队夺得了DNS恶意流量检测方向的冠军;广州大学loom夺得了恶意代码行为分析方向的冠军;清华大学BlueThanos夺得了攻击源和攻击者分析方向冠军。安全牛采访了DataCon大数据安全分析比赛主要出题人郑晓峰和常月,详细了解比赛进展。

一、贴近实战化 首届大数据安全分析比赛

安全牛:据了解,比赛的定位是国内首个聚焦大数据安全分析的比赛,可以先介绍一下此次比赛的大致情况吗?

郑晓峰:本次比赛的背景主要是契合现今大数据场景下如何使用海量数据解决安全问题,CTF类型的比赛近几年也十分火热。其实我们一直是安全竞赛的领域里最初的发起者,奇安信集团在清华设立了研究中心,包括蓝莲花战队在内,都见证了安全竞赛对国内的安全从业者的促进作用,以及对产业人才需求的支撑。而且我们很了解大数据分析能够给整个安全产业和工业界带来怎样的影响。

但是传统CTF赛事、政府部门或企业单位均十分看重“攻”的能力。所以本次比赛是两个聚焦,第一是如何在大数据背景下分析和防御网络安全问题,发现具备从事这类工作技能的人才并给予鼓励。除去热衷于“攻”的比赛,也能够让他们聚焦到“防”,借此机会从该层面上培养并挖掘人才。比赛最大特点是强调“实战化”,模拟真实网络环境,基于模拟的实网数据进行比赛,接近于真实网络环境的真实攻防对抗场景。

安全牛:从防御的层面来看,举办本次比赛的初衷是什么,是否达到预期效果?

郑晓峰:达到了,甚至超出了预期。综合各类提交结果我们发现,本次比赛的影响面广、行业关注度高、参赛队伍能力和水平高,高标准的实现了我们发起和设计此项比赛的目标,这也反映了大数据安全分析对今天网络安全领域的重要性,大数据安全分析人才对于行业的稀缺性。

常月:第三道题目相对复杂,更多的是考察团队协同工作和自由发挥能力。我们是做大数据平台的态势感知产品,处于大数据驱动环境下时,思维转换以及数据分析的能力越来越重要。通过这个比赛,我们希望让社会大众重视安全行业,一是从社会影响,培养大众安全意识,二是发现人才,挖掘真正有才能的人。开放式的比赛考察方式旨在希望让参赛者在可发挥的空间内创建良好的平台锻炼自己。

二、前沿探索 高仿真数据集

安全牛: 为培养大数据分析方向的安全人才,比赛在数据集方面做了哪些准备和工作呢?

郑晓峰:赛题分别对应三部分数据集。首先介绍DNS相关的第一部分数据集,DNS是互联网基础协议之一,一直是互联网通信的重要研究内容,之所以将第一个点聚焦到最基础的问题上,原因是DNS设计之初缺乏安全性考虑导致安全事件频发,一些政府部门或机构防御攻击时也会首先从DNS层面出发。所以我们选取了现实攻防领域中发现的安全问题埋入数据集,完成脱敏处理后提供选手做大数据分析,从主流防御者或者企业安全分析的视角考察选手的综合能力。

第二份数据集,恶意代码行为监测也是一个很传统的问题,通过恶意软件代码识别,考察参赛者如何快速准确地从大量样本动态特征中检测出恶意样本。这个也是从我们精心筛选的数据集挑出,已经经过了一些处理之后现在用来做比赛或者进行一些安全分析。

常月:第三个主要是针对Web方面,我们的理念强调 “知己知彼知威胁”,是指不仅要了解自己的资产范围,还要了解对方的情况。“知彼” 指的是黑客或者攻击者。它针对攻击源和攻击者分析的内容,比如日常上网行为、IP基础信息和Web告警、域名信息、WHOIS信息,以及和终端相关的基础数据等。

三、联合高校 弥补不足

安全牛:安全竞赛虽然在发现人才和增强网络安全意识有良好的推动作用,但毕竟获得优异成绩者在少数,如何看待安全竞赛对于人才培养的意义?

常月:本次比赛是关于安全数据分析的,选拔的人才有机会加入奇安信集团。我们是态势感知事业部,从产品定位上讲要首先懂数据分析,所以更加注重综合能力,比如人员是否了解团队提交的源代码、规则和分析能力等。通过解题,能够了解选手对题库的理解程度和对安全分析工具和方法的应用能力。

面向高校我们更倾向于选拔有潜质的人,我们有成熟的产品和优良的数据环境,可以通过让他们参与关键性项目积累经验。对于奇安信集团而言,我们也是希望能在这个方面做得更好,使更多优秀的人才加入碰撞出火花。奇安信集团在绵阳基地成立了人才培养模式,为了保证数据质量和安全能力的提升,进驻客户现场帮助完成安全数据分析,也陆续的输出了很多安全能力。

郑晓峰:其实在CTF出现之前很多企业是走在行业前沿,而现在参加此类比赛很多选手是在校生,他们能够在世界级的攻击竞赛上获得优异成绩。在谈及人才培养的话题时,首先要了解被企业频繁提及的需求和安全问题。我们联合了包括清华大学、中科院在内的很多高校,推动人才培养机制的前进。思考能否集合奇安信包括高校和社区的能量、建立防御比拼的氛围,弥补安全行业在人才培养机制上的不足。

四、比赛经验和总结

安全牛:培养实战性人才,本次比赛中有可以应用到实际防御检测分析环境中的解决方案吗?

郑晓峰:三个方向都是我们面临的业务需求,从这些角度进行分析我们对DNS的研究,也是出于行业研究前沿水平的。另外一个方面是在了解到这些安全问题之后,会尽快的将它们落地到安全产品中去,比如DNS安全流量分析等,包括配合一些监管部门做宏观层面的安全监控。

安全牛:在比赛选手、平台、赛制、评分过程等方面有遇到哪些问题吗,以及未来比赛有什么计划?

郑晓峰:整个比赛对组织者最大的问题有两点:一是如何把题目设置成开放式,并且是参赛团队力所能及,二是如何提供一个能够公开并同时满足大数据背景的高仿真数据集。在比赛准备阶段我们筛选了很多题目和数据集,最后决定从DNS恶意流量检测、恶意代码行为检测和攻击源与攻击者分析这三个方向出发,满足第一阶段的考察要求。因为是涉及大数据分析的比赛,参赛者中有非信息安全相关专业的人员也参与到比赛中来且成绩优异。所以借助比赛,不仅通过纯算法或深度学习的内容,而是结合两部分的智慧,让彼此之间更好的融合。

总的来说,大数据安全分析不仅需要更多的机器学习、深度学习等人工智能技术应用来提升效率,更需要懂数据、通业务、知攻防的实战性分析人才来提升整体能力,人+系统的人机互补模式才是建立和提升安全分析能力的有效途径。本次比赛取得了令人满意的效果,我们希望未来逐步完善这个比赛,让比赛更加合理、更加有趣,从而能够吸引到更多的参赛人员和团队,将其发展成为一个国际性的赛事。

比赛结果公布:

经过激烈角逐,获得DNS恶意流量检测方向一二三等奖的团队分别是:

一等奖:阿里云安全能力建设团队

二等奖:清华大学THU Team 1

三等奖:清华大学DeepDeer。

获得恶意代码行为检测方向一二三等奖的团队分别是:

一等奖:广州大学loom

二等奖:电子科技大学nstl

三等奖:东北大学单排solo。

获得攻击源与攻击者分析方向一二三等奖的团队分别是:

一等奖:清华大学BlueThanos

二等奖:中科院信息工程研究所 汤.元

三等奖:东南大学无网不破。

安全牛评

随着网络安全形势的日益严峻,网络人才短缺现象愈发严重,尤其是政企机构急需的安全分析型人才。为加快网络安全人才培养的步伐,我国每年都会举办许多安全比赛,大多数以攻防对抗演练为主,但是对于企业所需要的攻击和分析检测能力,这类比赛是远远不够的。大数据安全分析比赛在人才培养上填补了空缺,有效提升在校生和从业人员的数据分析、攻击检测的实战水平,为国家和社会培养网络实战安全人才。

相关阅读

公平公正:坚守四年“极客”精神的XCTF

从信息安全铁人三项赛看高校网络安全人才培养新模式

从DataCon大数据安全分析比赛看网络安全人才的发现与培养

 

申明:本文系厂商投稿收录,所涉观点不代表安全牛立场!


相关文章