百度安全出席CERNET第二十五屆學(xué)術(shù)年會，聚焦高校網(wǎng)站安全風(fēng)險

原標(biāo)題：百度安全出席CERNET第二十五屆學(xué)術(shù)年會，聚焦高校網(wǎng)站安全風(fēng)險

10月22日-25日，CERNET第二十五屆學(xué)術(shù)年會暨會員代表大會在西寧召開。峰會以“IPv6下一代互聯(lián)網(wǎng)支持新時代教育科研大發(fā)展”為主題，由中國教育和科研計算機網(wǎng)CERNET管理委員會主辦。會議以教育部領(lǐng)導(dǎo)和國內(nèi)外著名網(wǎng)絡(luò)技術(shù)專家專題報告的形式，就推進(jìn)教育信息化的網(wǎng)絡(luò)和信息安全、云計算、教育大數(shù)據(jù)、IPv6新一代校園網(wǎng)絡(luò)技術(shù)和應(yīng)用、以及教育信息化與校園網(wǎng)的發(fā)展等專題進(jìn)行多維度的學(xué)術(shù)交流與分享探討。

與會，清華大學(xué)網(wǎng)絡(luò)科學(xué)與網(wǎng)絡(luò)空間研究院與百度安全聯(lián)合發(fā)布《高校網(wǎng)站安全與權(quán)威DNS系統(tǒng)測量報告》（以下簡稱《報告》）?！秷蟾妗芬匀珖?491個有效高校主域名為測量范圍，基于百度安全威脅情報、人工智能、大數(shù)據(jù)分析能力提取的1102個網(wǎng)址安全核心“黑詞庫”（注：How to Learn Klingon Without a Dictionary: Detection and Measurement of Black Keywords Used by the Underground Economy , IEEE Symposium on Security & Privacy, 2017，pp.751-769，清華大學(xué)與百度安全共同發(fā)表）和基于語義距離的檢測機制與方法，針對高校Web系統(tǒng)頁面篡改和黑產(chǎn)推廣問題、以及權(quán)威DNS安全性為維度進(jìn)行了全面測量。

測量結(jié)果顯示，以高校為代表的教育類網(wǎng)站，因其流量及網(wǎng)站搜索權(quán)重較高，正在面臨以博彩、色情為代表的傳統(tǒng)網(wǎng)絡(luò)黑產(chǎn)的威脅。通過搜索引擎可以發(fā)現(xiàn)，網(wǎng)絡(luò)黑產(chǎn)通過技術(shù)手段入侵大量教育類網(wǎng)站，篡改正常內(nèi)容以實現(xiàn)黑產(chǎn)展示，亦或重定向到博彩、色情網(wǎng)站以實現(xiàn)更大范圍的黑產(chǎn)推廣，所謂推廣感染類黑產(chǎn)。在針對高校主域名edu.cn多頻次的測量結(jié)果中，最高一次主域名感染比例達(dá)6.70%，而子域名感染具有明顯的關(guān)聯(lián)性，這意味著，一個主域名下很可能同時存在多個子域名被感染。

在巨大的經(jīng)濟(jì)利益的驅(qū)動下，網(wǎng)絡(luò)黑產(chǎn)正在不斷偽裝其面目、升級技術(shù)手段，試圖突破、繞過網(wǎng)址安全監(jiān)測與封鎖。值得注意的是，《報告》指出，此類推廣感染類黑產(chǎn)會使用各類偽裝技術(shù)來躲避檢測，因其隱蔽性，許多檢測工具往往難以第一時間暴露問題，導(dǎo)致感染頁面處理不及時。依據(jù)百度安全此前發(fā)布的《2017年網(wǎng)址安全治理數(shù)據(jù)》顯示，2017年全年全網(wǎng)被黑網(wǎng)站高達(dá)4000萬個。另據(jù)國家互聯(lián)網(wǎng)應(yīng)急中心（CNCERT）監(jiān)測統(tǒng)計結(jié)果顯示，網(wǎng)頁篡改的數(shù)量2017年相較2016年增長20%，其中針對政府等關(guān)鍵基礎(chǔ)設(shè)施行業(yè)的篡改數(shù)量漲幅則超過30%。網(wǎng)絡(luò)安全形勢依舊嚴(yán)峻。

清華大學(xué)網(wǎng)絡(luò)研究院網(wǎng)絡(luò)空間安全實驗室主任段海新認(rèn)為，黑產(chǎn)的檢測像其他攻擊與防御技術(shù)的研究一樣，是一個不斷博弈的過程，安全治理不可能一蹴而就。面對網(wǎng)絡(luò)安全新挑戰(zhàn)，需要政府、企業(yè)、學(xué)術(shù)等多方基于合作建立長效的檢測與治理機制。在這個過程中，企業(yè)依托內(nèi)部能力和數(shù)據(jù)資源，可以為黑產(chǎn)長期治理提供有效的數(shù)據(jù)和檢測機制。

百度安全網(wǎng)址安全中心研究員表示，教育行業(yè)是關(guān)系到國計民生的重點行業(yè)，是網(wǎng)絡(luò)安全法定義范疇中的關(guān)鍵基礎(chǔ)設(shè)施行業(yè)，其所面臨的網(wǎng)絡(luò)風(fēng)險不容忽視，企業(yè)應(yīng)履行相關(guān)安全保護(hù)義務(wù)。百度基于人工智能與大數(shù)據(jù)技術(shù)，在提供有效的數(shù)據(jù)監(jiān)控和檢測機制，以及漏洞掃描、網(wǎng)站體檢、漏洞修復(fù)建議等技術(shù)支持的基礎(chǔ)上，后續(xù)將持續(xù)關(guān)注針對教育網(wǎng)站的黑產(chǎn)行為，并協(xié)助公安機關(guān)開展黑產(chǎn)打擊。

生成海報

免責(zé)聲明：本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網(wǎng)站出現(xiàn)的信息，均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性，但不保證有關(guān)資料的準(zhǔn)確性及可靠性，讀者在使用前請進(jìn)一步核實，并對任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對有關(guān)資料所引致的錯誤、不確或遺漏，概不負(fù)任何法律責(zé)任。任何單位或個人認(rèn)為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識產(chǎn)權(quán)或存在不實內(nèi)容時，應(yīng)及時向本網(wǎng)站提出書面權(quán)利通知或不實情況說明，并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實情況證明。本網(wǎng)站在收到上述法律文件后，將會依法盡快聯(lián)系相關(guān)文章源頭核實，溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。