探索网络安全新困扰——全加密时代来临，网络安全何处去？| CNCC2021

随着加密技术广泛应用、新型网络技术不断更迭，网络结构日趋复杂、加密网络流量急速增长，尤其随着TLS1.3等加密协议的演进和推广，全加密时代已经来临。加密技术在保护用户隐私的同时也深刻改变了网络安全威胁形势，成为恶意服务的温床，而传统网安技术路线在面对恶意加密服务时往往无能为力。在此背景下，网络安全何处去？本论坛邀请来自学术界、工业界顶尖团队的一线前沿专家和学者，从加密协议脆弱性分析、流量安全前沿分析、未知加密应用分析、加密流量识别分类、加密公害行为研判、新型加密流量检测等多角度展开思辨，探讨和分享全加密流量分析面临的问题、技术路线、发展趋势，为全加密时代下如何维护网络安全提供可行建议。

熊刚

中国科学院信息工程研究所

中国科学院信息工程研究所研究员，博士生导师，第二研究室副主任，中国科学院大学网络空间安全学院教授。主要研究领域为网络测量与行为分析、信息对抗理论与技术、网络取证技术、海量数据挖掘与分析等。近年来，作为项目负责人承担十三五国家前沿科技创新专项。作为课题负责人承担国家科技支撑计划、国家信息安全计划课题20余项，参与973、863、中科院先导专项等多项课题。主持研发了多个重大信息安全平台和系统，在线成功应用，效果显著。作为第3完成人，获2013年度国家科技进步二等奖。2018年获评中国科学院“新时代科技报国”优秀共产党员。在USENIX Security、INFOCOM、ACSAC、WWWJ、CIKM、计算机学报、RAID、IWQoS等国内外重要会议期刊发表论文100余篇，申请专利16项，参与制定标准9项。培养指导博士生、硕士生30余人。

程光

东南大学网络空间安全学院

东南大学网络空间安全学院院长，博士生导师，东南大学网络空间国际治理研究基地执行主任。主要研究方向为加密流量测量和分析、网络安全主动防御、下一代网络处理器的内生安全。2017年被中央网信办评为“网络安全优秀教师”，入选江苏省“青蓝工程”、“333工程”、“六大人才高峰”、“华英青年学者”、“华英学者”。主持中央网信办、教育部“一流网络安全学院建设示范项目”、“网络空间国际治理研究基地”、“教育部网络空间安全新工科”等项目。2018年获国家教学成果一等奖，2014年获江苏省科学技术奖二等奖等。在网络空间治理相关领域承担国家省部级科研项目30项。在国内外顶级会议和期刊如IEEE/ACM ToN、IWQoS、Computer Networks、计算机学报、软件学报、中国科学等发表学术论文100余篇，发表SCI索引论文20余篇，出版专著7部。获得授权发明专利22项，已经成功转化5项专利，培养研究生100余人。

顾纯祥

战略支援部队信息工程大学 教授

讲者简介：战略支援部队信息工程大学教授，博士生导师，河南省网络密码技术重点实验室主任，部队高新人才工程学科拔尖人才培养对象，中国密码学会安全协议专家委员会委员。长期从事密码学与网络安全领域研究，承担国家重点研发计划、国防基础加强计划重点基础研究项目课题、部队重大装备研制等国家和军队重点科研任务20 余项，获省部级科技进步二等奖4项，发表论文50余篇，被SCI、EI检索30余篇，出版专著1部，获国家发明专利授权8项。

报告题目：加密网络协议脆弱性分析技术研究

报告摘要：加密网络协议是网络空间安全的核心组件，加密网络协议设计、实现过程中一个简单微小瑕疵，就可能导致整个网络密码系统的安全防线坍塌。报告将从加密网络协议的理论分析层面和程序实现层面两个角度出发，介绍密码协议脆弱性分析技术的研究进展，重点介绍了基于模型学习的加密网络协议脆弱性分析和漏洞挖掘方法等团队相关研究工作。

陶军

东南大学网络空间安全学院 教授

讲者简介：东南大学网络空间安全学院教授，博士生导师，中国教育科研网华东北地区主任、江苏省互联网协会副理事长、江苏省网络安全学会秘书长、江苏省计算机学会理事、国家网络空间国际治理基地（东南大学）副主任、中国计算机学会高级会员、江苏省计算机学会云计算专业委员会委员。从事互联网安全、IPv6 流量测量与分析、流量大数据分析技术和物联网安全方面的研究，2014年2月至2015年3月选派至教育部科技司负责推进教育行业信息系统建设和网络安全。主持完成3项国家自然基金，1项973子项目、2项863子项目、1项国家重点研发课题和6项省部级课题。已在人工智能和网络通信领域国内外顶级刊物和会议上发表SCI/EI论文90余篇，获得国家发明专利12项，软件著作权1项，主编专著2本。

报告题目：网络安全中的“攻守兼备，以静制动”——网络流量安全分析前沿研究技术分享

报告摘要：网络流量是网络数据的核心载体，是网络传输的具象表征。网络流量安全分析则是以网络流量为对象、以安全为导向的分析行为，旨在从网络流量中挖掘更多可用信息。目前，网络流量安全分析主要将网络层及以上的流量数据作为分析对象，是网络安全和治理的重要基础，为网络安全保护提供支撑。报告将从细粒度功能/行为级流量样本自动化标签，精细化、多点协同分布式加密流量分类与检测，非破密下的加密视频流量内容识别，协议级私有化加密流量分析与建模，轻量高效的DDoS攻击主动防御等方面，论述团队在流量安全分析方面的研究进展，最后归纳和总结未来流量分析的研究方向。

王平辉

西安交通大学电子与信息工程学院 教授

讲者简介：西安交通大学电子与信息工程学院教授，国家优秀青年科学基金获得者。2002年至2012年就读于西安交通大学并获学士和博士学位，曾任香港中文大学、加拿大麦吉尔大学和新加坡国立大学博士后、华为香港诺亚方舟大数据实验室研究员。作为项目负责人主持国家重点研发计划项目课题、国家自然科学基金优秀青年科学基金项目、教育部-中国移动“人工智能”建设项目等。主要研究方向为大数据、智能服务、智能运维与网络安全等，在SIGMOD、KDD、VLDB、NeurIPS、ACL、IEEE TKDE、IEEE TIFS等CCF-A类会议和期刊上发表学术论文40余篇。

报告题目：加密网络未知应用分析与识别

报告摘要：识别网络中的应用类型是企业构建精细化网络应用感知、为用户提供差异化服务、精细化网络安全态势感知、以及精细化网络运维管理等业务的重要基础。传统的应用识别往往依赖于DPI等技术，通过分析网络流量的明文数据特征来识别应用类型。随着加密技术的普及，这类明文特征不复存在，使得传统的应用识别方法不再有效。与此同时，网络中不断出现大量新的应用类型，例如新型IoT设备、App应用、网络服务等，如何及时发现网络中的新型未知应用是应用识别技术的新挑战。报告将阐述加密网络未知应用分析与识别问题的几种解决方案，包括一种高效网络流量在线过滤系统的设计、基于主动学习的网络未知应用发现技术，以及基于小样本学习的网络未知应用识别技术。

石俊峥

中国科学院信息工程研究所 副研究员

讲者简介：中国科学院信息工程研究所副研究员。研究方向为网络测量与行为分析，长期从事加密流量识别、网络空间资源测绘等相关技术研究，作为负责人主持10余项国家信息安全计划课题及重大工程项目，在ECML-PKDD、GLOBECOM、ISCC、IFIP、ICCS、IPCCC等网络及安全会议上发表论文20余篇。

报告题目：基于节点时空属性的加密应用流量识别

报告摘要：随着TLS1.3、QUIC、DoT、DoH等新型加密协议的迅速普及，当前的网络应用流量呈现全加密化趋势，现有的基于载荷内容检查的流量识别方法在未来或将全面失效，基于流量识别技术的网络管理和流量计费等业务面临着巨大的挑战。当前，针对全加密流量识别的相关研究更多聚焦于加密流指纹构建方法上，对产生加密流量的网络节点隐含的属性信息利用较少，本报告将介绍利用网络应用客户端和服务节点的时空属性信息提升识别全加密流量效果的相关工作，并报告团队在加密流量识别领域的最新研究进展。

王永剑

公安部第三研究所 副研究员

讲者简介：公安部第三研究所副研究员。长期从事网络空间治理相关技术研究，围绕网络黑灰产业的生态和技术链条、分发渠道等开展了深入跟踪和研究，承担了科技部973项目、重点研发计划项目以及公安部相关科研工作，在加密网络公害分析研判方面有深入研究。

报告题目：加密网络公害行为分析与研判

报告摘要：诈骗、赌博、色情等网络公害行为逐步呈现体系化、中台化的趋势，围绕形成了上下游协同、分工明确的产业链条，通过加密手段隐藏是最常见的手段之一。本次报告将剖析典型的加密网络公害行为，从信息流、技术链、推广链等环节入手，研究如何融合采用综合手段，发现隐藏在加密手段背后的网络公害类行为、团伙等。

陈周国

中国电子科技集团公司第三十研究所 研究员

讲者简介：中国电子科技集团公司第三十研究所研究员，网络基础技术专家，现主要从事网络内容分析，大数据技术方向的研究。

报告题目：新型加密流量的深度指纹分析与检测技术

报告摘要：近年来，在加密网络流量呈爆炸增长的形势下，新型加密协议也不断涌现，如TLS1.3、QUIC等。新型加密流量具有更强的隐私性，难以精准检测，给网络安全带来了巨大挑战。在难以人工提取差异性特征时，利用深度学习自动提取加密流量特征、构造深度指纹，能有效提高加密流量检测的准确性。报告将着重介绍加密流量深度指纹的构造方法，以及基于深度指纹的新型加密流量检测技术，包括TLS1.3、QUIC协议的加密网页及应用检测，以及通过深度指纹分析识别Tor隐藏服务的方法。此外，报告还将对新型加密检测技术所面对的困难与挑战进行展望和讨论。

赵咏

华为技术有限公司 应用识别技术专家

讲者简介：华为技术有限公司应用识别技术专家。中科院计算所博士毕业，2006年起在流量分类领域进行研究，曾参与多个国家项目技术攻关，发表论文20余篇。现任职华为应用识别组件首席专家，负责应用识别公共技术能力的构建。

报告题目：流量全加密时代的流量分类技术

报告摘要：RFC 9000的公布标志着QUIC协议正式成为Web内容承载协议之一。作为谷歌、Facebook等公司力推的新一代协议，QUIC协议将加密做到了极致，与DoH等DNS加密方案相配合，可以实现Web内容的全加密。在世界范围内，QUIC流量已经占到了10%，成为不可忽视的流量组成部分。未来，在几大互联网公司的推动下，QUIC将会成为主要的线上流量，而对于此类全加密流量的识别已经成为业界的研究重点。报告将分享当前QUIC流量的使用情况和演进路线，分析QUIC及DoH对流量识别领域的影响，介绍华为公司对于全加密流量识别技术的探索和思考。