百度安全出席CERNET第二十五屆學術年會，聚焦高校網(wǎng)站安全風險

原標題：百度安全出席CERNET第二十五屆學術年會，聚焦高校網(wǎng)站安全風險

10月22日-25日，CERNET第二十五屆學術年會暨會員代表大會在西寧召開。峰會以“IPv6下一代互聯(lián)網(wǎng)支持新時代教育科研大發(fā)展”為主題，由中國教育和科研計算機網(wǎng)CERNET管理委員會主辦。會議以教育部領導和國內外著名網(wǎng)絡技術專家專題報告的形式，就推進教育信息化的網(wǎng)絡和信息安全、云計算、教育大數(shù)據(jù)、IPv6新一代校園網(wǎng)絡技術和應用、以及教育信息化與校園網(wǎng)的發(fā)展等專題進行多維度的學術交流與分享探討。

與會，清華大學網(wǎng)絡科學與網(wǎng)絡空間研究院與百度安全聯(lián)合發(fā)布《高校網(wǎng)站安全與權威DNS系統(tǒng)測量報告》（以下簡稱《報告》）。《報告》以全國2491個有效高校主域名為測量范圍，基于百度安全威脅情報、人工智能、大數(shù)據(jù)分析能力提取的1102個網(wǎng)址安全核心“黑詞庫”（注：How to Learn Klingon Without a Dictionary: Detection and Measurement of Black Keywords Used by the Underground Economy , IEEE Symposium on Security & Privacy, 2017，pp.751-769，清華大學與百度安全共同發(fā)表）和基于語義距離的檢測機制與方法，針對高校Web系統(tǒng)頁面篡改和黑產推廣問題、以及權威DNS安全性為維度進行了全面測量。

測量結果顯示，以高校為代表的教育類網(wǎng)站，因其流量及網(wǎng)站搜索權重較高，正在面臨以博彩、色情為代表的傳統(tǒng)網(wǎng)絡黑產的威脅。通過搜索引擎可以發(fā)現(xiàn)，網(wǎng)絡黑產通過技術手段入侵大量教育類網(wǎng)站，篡改正常內容以實現(xiàn)黑產展示，亦或重定向到博彩、色情網(wǎng)站以實現(xiàn)更大范圍的黑產推廣，所謂推廣感染類黑產。在針對高校主域名edu.cn多頻次的測量結果中，最高一次主域名感染比例達6.70%，而子域名感染具有明顯的關聯(lián)性，這意味著，一個主域名下很可能同時存在多個子域名被感染。

在巨大的經濟利益的驅動下，網(wǎng)絡黑產正在不斷偽裝其面目、升級技術手段，試圖突破、繞過網(wǎng)址安全監(jiān)測與封鎖。值得注意的是，《報告》指出，此類推廣感染類黑產會使用各類偽裝技術來躲避檢測，因其隱蔽性，許多檢測工具往往難以第一時間暴露問題，導致感染頁面處理不及時。依據(jù)百度安全此前發(fā)布的《2017年網(wǎng)址安全治理數(shù)據(jù)》顯示，2017年全年全網(wǎng)被黑網(wǎng)站高達4000萬個。另據(jù)國家互聯(lián)網(wǎng)應急中心（CNCERT）監(jiān)測統(tǒng)計結果顯示，網(wǎng)頁篡改的數(shù)量2017年相較2016年增長20%，其中針對政府等關鍵基礎設施行業(yè)的篡改數(shù)量漲幅則超過30%。網(wǎng)絡安全形勢依舊嚴峻。

清華大學網(wǎng)絡研究院網(wǎng)絡空間安全實驗室主任段海新認為，黑產的檢測像其他攻擊與防御技術的研究一樣，是一個不斷博弈的過程，安全治理不可能一蹴而就。面對網(wǎng)絡安全新挑戰(zhàn)，需要政府、企業(yè)、學術等多方基于合作建立長效的檢測與治理機制。在這個過程中，企業(yè)依托內部能力和數(shù)據(jù)資源，可以為黑產長期治理提供有效的數(shù)據(jù)和檢測機制。

百度安全網(wǎng)址安全中心研究員表示，教育行業(yè)是關系到國計民生的重點行業(yè)，是網(wǎng)絡安全法定義范疇中的關鍵基礎設施行業(yè)，其所面臨的網(wǎng)絡風險不容忽視，企業(yè)應履行相關安全保護義務。百度基于人工智能與大數(shù)據(jù)技術，在提供有效的數(shù)據(jù)監(jiān)控和檢測機制，以及漏洞掃描、網(wǎng)站體檢、漏洞修復建議等技術支持的基礎上，后續(xù)將持續(xù)關注針對教育網(wǎng)站的黑產行為，并協(xié)助公安機關開展黑產打擊。

生成海報

免責聲明：本網(wǎng)站內容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網(wǎng)站出現(xiàn)的信息，均僅供參考。本網(wǎng)站將盡力確保所提供信息的準確性及可靠性，但不保證有關資料的準確性及可靠性，讀者在使用前請進一步核實，并對任何自主決定的行為負責。本網(wǎng)站對有關資料所引致的錯誤、不確或遺漏，概不負任何法律責任。任何單位或個人認為本網(wǎng)站中的網(wǎng)頁或鏈接內容可能涉嫌侵犯其知識產權或存在不實內容時，應及時向本網(wǎng)站提出書面權利通知或不實情況說明，并提供身份證明、權屬證明及詳細侵權或不實情況證明。本網(wǎng)站在收到上述法律文件后，將會依法盡快聯(lián)系相關文章源頭核實，溝通刪除相關內容或斷開相關鏈接。