Coremail&DataCon2021大数据安全分析竞赛颁奖仪式圆满举行,快来围观技术硬核点评吧!
2021-12-29 09:53:43 Author: www.4hou.com(查看原文) 阅读量:14 收藏

Coremail&DataCon2021大数据安全分析竞赛颁奖仪式圆满举行

12月27日,DataCon2021大数据安全分析竞赛颁奖典礼在京举行。

1640741410106512.jpeg

2021年DataCon大数据安全分析竞赛是Coremail、奇安信集团、清华大学网络研究院、蚂蚁集团共同主办,是国内首个以大数据安全分析为目标的大型竞赛,旨在选拔和培养积极防御型网络人才。

本届大赛的获奖战队代表,以及往届大赛优秀战队与全国数十家高校、研究院的安全专家、研究员等齐聚线上线下,共同探讨如何推动DataCon这一“数据安全分析竞赛第一品牌”进一步融入安全教学与科研发展,以及网络安全的高水平人才发掘和培养。

1640741435113501.jpeg

一、赛题介绍

邮箱账户异常登陆行为检测

在邮件安全赛道中,邮箱账户异常登陆行为检测赛题的设置是源于实际邮箱账户使用中受到的攻击行为。

赛题要求请参赛者详尽调研针对邮箱服务器登录中常见的攻击手段,在此基础上自行设计算法,检查出邮箱异常登录行为所对应的日志,同时需要检测出其中更具威胁的异常日志,这将获得更高分。

1640741469114847.jpeg

二、赛题解读

据Coremail邮件安全专家组透露,在出题的时候,他们面临着一个两难的选择。

赛题的原始数据包含了大量的噪音,这将会大大影响选手的参赛成绩,但如果去除噪音,那么Coremail专家组需要制造出某些考点对应的数据,与现实情况有所差距。

最后经过集体讨论,还是决定提供完全无修改的真实环境脱敏数据集。

Coremail专家组的出发点是希望让选手接触到真实的数据,能够了解工业界在处理现实问题时候遇到的各种数据噪音问题,也希望各位参赛选手能够开拓思路、用全新的角度来分析这个问题。

1640741509135844.jpeg

三、专家点评

1. 某些IP/账号发送的大部分是正常邮件,偶然一两封来自这些IP/账号的发送垃圾邮件的日志,可以认为可能是机器误判导致的,不少队伍能分析出这一点并通过一个阈值把大部分可能的误判都剔除掉了。

2. 有选手发现一些[IP,email]登录非常频繁,一秒甚至几秒就成功登录了多次,而且持续时间较长而认为这个行为比较可疑。这些登录行为很多是因为很多IMAP客户端都是同时创建多个IMAP连接,监控多个邮箱目录是否有新邮件到达导致的。

3. 如果单纯考虑登录地名称而不考虑经纬度的,有可能出现一些误判的情况:

比如用户的上班地点和居住地刚好在两个行政区,或者刚好在两个行政区之间用手机上网,就可能会导致较多的异常登录误判报警,本次比赛有队伍利用上了经纬度计算地理位置切换速度的方式来寻找可疑的登录了(虽然用了欧氏几何来计算地理位置的距离,但是这个不是大的问题,经纬度算地理位置距离的公式网上很容易找到)

4. 不少用户会有使用VPN的习惯,这个习惯可能会导致IP地理位置快速的切换,但是这类登录同样应该被认为是正常登录

5. 公司的出口IP往往会有大量的不同账号的成功登录记录,但是同时也会有不少账号的失败登录记录(比如已离职员工的电脑仍然开机,一些OA类的定时发信软件使用的发信账号密码已经修改等)。所以会出现同一个IP不断的使用同一个错误的密码尝试同一个账号的情况,这种情况不应该被判定为攻击行为。这种噪音北大的参赛队敏锐的发现了。

6. 很多邮件服务提供商(比如网易,qq, 微软等)都会提供邮件代收服务,所以有不少请求是来自这些服务供应商的,他们的特征一般都是短时间成功登录较大量的邮箱账号,而且都是特定的同一个协议(主要是POP)。这类登录由于是用户授权的,应该认为是正常登录,这种噪音北大的参赛队同样敏锐地发现了。

从竞赛结果看来,最终各参赛队伍本题的成绩相差不太大,这可能是数据里面的噪音影响过大导致的。一些对数据的分析比较精细和产生原因回溯比较好的参赛队伍,分数反而不是更高,这也提醒了专家组在往后出题时需要注意这一问题。

1640741542142433.jpeg

用真实数据集搭建开放比赛环境

考察理论基础更考验创新能力

多支在比赛中获得优异成绩的战队选手都表示:

在比赛中发现真实数据集的特征与预想中差距较大,尤其真实环境中的攻击流量可能完全出乎意料,更考验解题能力和创新思路。

来自武汉大学10T战队在参与过2020年邮件安全竞赛之后,再度参赛,并获得邮件安全赛道冠军。

战队成员表示,经过一年的研究生学习,对研读论文、调研学习一个新领域积累经验,在本次开放性的赛制下,接触到了更为真实的数据环境,让理论和实践有了全新结合。

没有标准解法的赛题,也更考验选手的完整思考和全面能力。

用数据“看见”安全威胁

需要更多“诊脉”高手

自2019年举办首次比赛,DataCon一直致力于通过更加接近真实的网络攻防场景设计竞赛的内容和形式,在赛题中融入最新研究成果,并将数据集合用于支撑前沿学术研究。

本次比赛中,更是紧扣数据安全主线,采取周密的数据安全评估,采取多样化的数据安全保护措施的前提下,为选手提供真实数据集。

据清华奇安信联合研究中心主任段海新介绍,本届DataCon大赛吸引了554支战队参赛,覆盖全国超100所高校,还有超80支企业战队,规模、人数、影响力均为往届之最。

同时,面向选手的调查结果显示,超过75%的参赛选手是硕士及以上学历,60%的选手具备机器学习、数据分析知识,有超过20%的选手参与过往届DataCon竞赛,且91.5%的选手愿意继续参赛。

在未来,Coremail也将继续努力,持续铸就邮件安全精品,致力于一站式解决所有邮件安全问题。

如若转载,请注明原文地址


文章来源: https://www.4hou.com/posts/pLPm
如有侵权请联系:admin#unsafe.sh