1、!#$%&()*+,-./012345#$%&()*+,-./012345陈伟斗象科技 安全算法专家!#$%&()*+,-./012345#$%&()*+,-./012345陈伟斗象科技 安全算法专家录录!#$%&()01*+,-./()00389:;?055G5G时代物联威胁时代物联威胁1564232020年1月21日,三菱电机遭受大规模网络攻击影响,个人及客户等信息可能外泄三菱电机遭网络攻击2020年11月24日,特斯拉Model X遭遇黑客中继攻击,3分钟可开走汽车特斯拉 Model X被攻击2019年,台湾合勤和利凌所生产设备的高危漏洞被攻击者利用组建僵尸网络发动

2、分布式拒绝服务攻击台湾合勤和利凌设备受攻击2019年,物联网供应商Wyz大约240万客户的详细信息遭泄露。物联网供应商信息泄露2016年10月，有史以来最大的DDoS攻击是使用IoT僵尸网络在服务提供商Dyn上发起的。Mirai僵尸网络2017年,St.Jude生产的心脏起搏器设备,攻击者可以轻松获得Root权限可破解的心脏设备物联网设备多，未来到2025年物联网设备规模会达到60亿，容易被攻击的设备多。影响面大，针对物联网设备的攻击会危及工厂设备运转、扰乱社会正常秩序等。危害严重，可能会对人的生命和财产安全造成严重危害。攻击隐蔽性强，黑客通过n个物联网设备层层渗透，无法简单溯源攻击路径。01

3、0302045G5G时代物联威胁时代物联威胁5G5G时代物联威胁时代物联威胁车联网游戏设备智能家具工业控制健康穿戴设备智慧城市智慧农业端口扫描勒索软件中间人攻击恶意软件0日漏洞DDOS僵尸网络APT攻击5G5G物联攻击威胁：物联攻击威胁：AI+AI+数据威胁分析技术数据威胁分析技术网络流量分析文件分析主机日志分析 暴力破解 端口扫描 协议异常 SQL异常 资产异常 隐蔽隧道 Webshell 木马 恶意病毒 间谍软件 网络蠕虫 后门程序 僵尸网络 勒索软件 暴力破解 登录异常 反弹Shell 恶意请求 恶意提权 驻留后门 挖矿木马 安全专家安全专家漏洞盒子漏洞盒子AI模型平台模型平台AIAI算

4、法模型算法模型DGA检测模型DNS隧道检测模型恶意加密流量检测模型基线检测模型Webshell检测模型ICMP隧道检测模型恶意文件检测模型僵尸网络检测模型流量异常检测模型攻击路径预测网络风险评估异常入侵检测监督学习监督学习非监督学习非监督学习深度学习深度学习群体智能群体智能海量险分析挑战海量险分析挑战挑战海量数据风险危害海量风险分析潜在关联性资产影响程度攻击路径攻击画像图数据库图数据库海量攻击险分析海量攻击险分析攻击者分析攻击者分析资产分析资产分析风险分析风险分析险重要度险重要度资产威胁态势资产威胁态势资产画像资产画像险图排序险图排序分析最攻击路径最攻击路径攻击者画像攻击者画像攻击者失陷主机中

5、转设备如何溯源真实攻击路径？如何溯源真实攻击路径？NPNP问题问题近邻法神经网络模拟退火算法穷举法蚁群算法介绍蚁群算法介绍!#!#$%&()*+,-./012*3&,-.456789!+,:;?ABCDEFGFHD*IJ.KLMN-KLOP*Q5RSTUV78WXY9Z*&_WSTQabcdQ9$&!efghijhklmWnopq*32+!rs-9tuv&wxpyz|l*&Qghnpq9蚁群算法原理蚁群算法原理!#$%&()*+,-./0123./蚂蚁转移规则蚂蚁转移规则456789456789:;?A=?A,BC+BC+AADEBFGHIDEBFGHII;./(,)JD#$%KLMH./(,

6、)NODPQR#$S9TUVWXYZ=*M(,)_DNOabcdefgh.Dijklmno#$%mijklEBFGDpqrLI89;=stuDvwxSXyz|tu=()()()(),0信息素更新规则信息素更新规则+=;./=;./(,)JD#$%RHJD#$%RHH#$%Q(1 )./()HQD#$%01 HD#$%S;9TUV#$%DH23#H#$%S4H“”./DL;iS./LXXHijQ h._ijCDijHQ h.ij_Dijkl!+=1 !t+!()!=.#$%&!#()!=#=采蚁群优化的路径预测采蚁群优化的路径预测ijUV=Dij./!#$%&()*蚁群算法应蚁群算法应应用场景应

7、用场景分析失陷服务器最可能的被攻击路径思路思路拉取最近n天内的风险事件，构造攻击图模型设计蚁群算法信息素计算公式：最小攻击代价最小攻击代价or最大攻击关联度最大攻击关联度应用蚁群算法查找最优路径蚁群算法整体架构整体架构攻击图模型攻击图模型$%&$%&构造攻击图模型构造攻击图模型使用neo4j图数据库构建攻击图按照风险检出时间顺序构建攻击图模型攻击路径追溯攻击路径追溯-最攻击代价路径最攻击代价路径漏洞等级漏洞等级攻击途径攻击途径资产安全性资产安全性攻击代价分析攻击复杂度攻击复杂度漏洞数量漏洞数量信息探测漏洞利用命令控制持久化横向移动渗透破坏攻击代价计算攻击代价计算VV“”DBCD“B 78“”D-FGD“-“DD”E“$W计算公式：=*+*,+*-*+:V*,:78*-:蚁群算法效果蚁群算法效果红线红线:真实攻击路径蓝线蓝线:算法预测路径攻击路径追溯攻击路径追溯-真实攻击路径真实攻击路径时空特征时空特征执相似命令执相似命令相似攻击相似攻击payloadpayload同一攻击者分析相似相似UAUA攻击具攻击具漏洞利关联性漏洞利关联性同攻击者关联度计算同攻击者关联度计算GD-FEEDFH-FEEDFH-DCF-FEEDFH-#$Z.W公式：=.,+/,+0,.,:/,:0,:蚁群算法效果蚁群算法效果红线红线:真实攻击路径蓝线蓝线:算法预测路径THANKS