1、创新与孵化：智慧安全的活力与源泉绿盟科技 刘文懋首席安全专家&创新中心负责人序：5GC安全：业务安全+基础设施安全案例：AUSF-通过SUCI窃取SUPISUCI错误的情况SUCI正确的情况AMFAUSFUDMNausf_UEAuthentication服务正常访问时的网元调用序列AUSFUDMNausf_UEAuthentication服务被攻击者利用，窃取SUPI时产生的网元调用序列UDRUDR攻击发起IP原理：利用Nausf_UEAuthentication服务，通过SUCI窃取SUPI异常场景下的网元序列特征：业务安全：网元异常行为检测目标：还原5G核心网多种业务场景的网元访问行为，构

2、建网元异常访问的检测基线，检测偏离基线的异常数据预处理模块用户特征提取原始数据业务特征提取特征提取模块调用序列还原检测引擎基线参数字典构建参数阈值计算基线构建模块检测方案业务流量进行序列还原特征参数提取数值参数关联计算检索对比基线寻找偏离基线的业务根据异常的序列特征与参数特征生成告警基础设施：云网边端融合的原生安全Host OS+Host Network网卡X:APP1容器Z:APP2容器命名空间1Y:APP1容器Linux bridge访问控制引擎入侵检测引擎特权容器数通引擎编排引擎网络入侵检测访问控制命名空间2安全编排层Host OS+Host bridge网卡APP1容器API Sec

3、GWNamespace1Namespace2API Sec GWAPP2容器API Sec GWNamespace3APP3容器API Sec GWNamespace2APPn容器Service Mesh安全编排层云：云原生安全能力网：云原生SASE/5G安全能力边：云原生MEC能力云原生：未知攻，焉知防 Metarget=meta+target https:/ 安装内核漏洞：metarget cnv install cve-2016-5195 安装Docker漏洞：metarget cnv install cve-2019-5736 安装Kubernetes漏洞：metarget cnv i

4、nstall cve- Kata-containers逃逸 先容器逃逸，再虚拟机逃逸 涉及：CVE-2020-2023CVE-2020-2025CVE-2020-2026 安全容器不是银弹！安全容器逃逸创新研究的变迁服务编排孵化度（落地相关）创新度（战略相关）微创新行业创新产品化研究探索技术创新车联网无人机区块链工控安全安全数据分析安全应用商店运营/PoC1年2年5年安全资源池物联网安全威胁情报移动安全Fuzz5G/MEC安全孵化度（落地相关）创新度（战略相关）微创新行业创新产品化研究探索技术创新MPC/FL/隐私合规量子安全区块链互联网资产测绘AISecOps云原生安

5、全运营/PoC1年2年3年容器安全物联网威胁分析数据安全5年天地一体化安全智能攻防威胁狩猎FuzzAI对抗创新研究2017创新研究2021#1 AISecOps：AI赋能安全运营安全运营成熟度分级AISecOps体系感知阶段识别检测认知阶段关联溯源预测决策阶段评估制定行动阶段响应反馈上下文线索风险策略效果经验，知识，任务行为数据环境数据情报数据知识数据安全运维的困惑防护设备告警数量过多运维人员无法全面排查对安全运维来说，“有用”的告警到底是什么呢？确实导致安全事件或指示已发生的安全事件攻击方试图利用漏洞但没能成功试探性的恶意行为就算存在漏洞也不会失陷误报攻击类告警，但实际并无恶意日志型低危告警

6、难以直接关联到恶意行为不想漏掉有用的告警不想看无用的告警准确率覆盖率理想情况安全运维人员引擎1：攻击意图识别引擎 找到攻陷事件感知：可扩展的多引擎告警评估技术高信心的漏洞利用C&C会话低试探性不在意漏洞是否存在高试探性想确认漏洞是否存在高利用性如果存在漏洞即构成攻击低利用性不打算实际利用漏洞误报告警非恶意行为批量抓鸡蠕虫传播漏洞扫描信息收集关注程度逐渐提高IPS告警：PHP代码执行漏洞GET/api.php?background=&code_len=4&font_color=&font_size=14&height=26&op=%24%40print(md5(31337)&width=120

7、HTTP/1.1Host:Cdn-Src-Ip:x.x.x.xX-Forwarded-For:x.x.x.xCookie:PHPSESSID=xxxx;PHPSESSID_NS_Sig=xxxxAccept:text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8User-Agent:Mozilla/5.0(Windows NT 10.0;Win64;x64)AppleWebKit/537.36(KHTML,like Gecko)Chrome/73.0.3683.103 Safari/537.36X-CCDN-Request

8、ID:908809e2b423bb7cd71a35fd2db52ab8IPS告警：PHP代码执行漏洞POST/configt.php HTTP/1.1Host:x.x.x.xAccept-Encoding:gzip,deflateUser-Agent:antSword/v2.1Content-Type:application/x-www-form-urlencodedContent-Length:1005Connection:closeneacik=%40基于网络大数据的关键信息基础设施安全的评价体系研究和应用开发广东科技厅重点专项华南理工工业互联网数据可信交换共享服务平台2020年工业互联网创

38、新发展工程清华、北邮智能网联汽车安全检测平台北理工省级工业互联网安全态势感知平台项目北京交大人工智能数据安全安全检测服务平台建设清华大学安全编排、自动化与响应（SOAR）技术和产品哈工程、哈工大移动边缘计算（MEC）网络安全防护技术和产品项目哈工程、南大面向工业互联网机器人开发及应用安全测试验证平台哈工大机器人创新中心数控机床安全防护技术中的密码应用重庆大学网络威胁深度分析软件2020年信息安全软件项目北理工内生免疫的算力服务网络框架2020年科技部重点研发计划北科大、北京大学深圳研究生院、清华、香港城市大学城市智能系统可信任机理与关键技术西安交大基于互联网资源设施风险监测系统与应用示范2020年河北省科技计划项目河北大学部分校企合作科研项目