作者：outx@SecQuan, nerd@SecQuan

今天是InForSec网络空间安全国际学术研究交流会的第二天。主要内容为网络空间安全领域的研究经验分享。

Session 3: 研究经验分享

如何在计算机应用领域寻找研究想法

钱教授发现，在培养博士的过程中发现很难将自己挖掘idea的感觉教给学生，因此将他自身的研究经验进行总结，分享给大家。

首先在博士研究开始阶段，需要对研究环境和自身条件进行评估：

• 首先需要考虑所在课题组的大小和导师的风格。导师更多地给予辅导和idea可以让学生易于上手开展研究，但是同时需要加强思考能力的锻炼。
• 论文需要读，虽然耗时（起步的时候一篇论文4-5小时），但是随着论文阅读量的提升，并非每篇论文都需要逐句逐字的理解，而是需要形成自己的taste，找到自己可以做的想法。在看论文的时候，要经常问自己三个问题：1.什么类型的论文让你感兴趣；2.为什么感兴趣；3.论文作者怎么想出这个idea的。
• 细分拆解网络安全，找自己具体的兴趣点，例如根据领域、风格或技术来找自己感兴趣的部分：1.细分领域：系统、网络、硬件、社工

2.风格：攻击、防御、分析、系统构建

3.技术：人工分析、数据的驱动方法、程序分析

其次，针对思考Idea的套路，钱教授给出了六种方法：

• 画表格填空，将已有的问题和已有的方法进行交叉，查看尚未被研究的课题，具体来讲，可能这几种情况：1.假设条件过强，削弱一些限制条件

2.同一问题换领域（window -> linux）

3.提高可用性（降低误报率）

4.老的问题，新的技术、新的数据集

• 扩展角度，拆解问题(某些相近的角度只有你在该领域研究时才能发现，例如从TCP侧信道扩展到UDP侧信道)
• 造锤寻钉，这一部分是针对部分有特殊长处的人或课题组，结合已有成果和能力，考虑是否有些工作只有自己能做，别的人或课题组做不了的。
• 注意发现实验时出现的有趣现象（已有知识无法解释、出乎意料、并非只在极特殊场景出现），即使只是很小的一点。在其背后进行深挖，可能能产出一个不错的工作。
• 重现前人工作过程中，更有可能发现别人存在的问题，针对问题做出改进。
• 可以不止着眼于学术圈，可以从工业界、新闻、大型事件中提取灵感。

最后也是最重要的一点，就是要保持过程与习惯。前面全是空话，只有多花时间去练习思考Idea才能真正掌握这种能力。

Understanding Audit Logs: Techniques, Experience, and Requirements

作者首先分享了其对于研究的一些理解和经验

计算机系统研究的维度
通常来说，开始一项研究往往由 Project/Paper 开始，向下是其具体的 Implementation，向上是其抽象的 Thesis/Theme。
对于 Thesis/Theme 来说，研究者需要将不同的 Claim 归纳为 Statement。然后需要再将这些 Statement 进行总结，带入自己的一些想法，以形成在自己研究领域中的 View/Insight/Philosophy。而对于不同的 Implementation，研究者需要再将其转换为 Tool/System/Platform，以方便纵向研究时能够较好地节省重复工作的成本。

综合来说，作为一名研究者，他应该既能写 paper 也能写工具，而读 pape 的目的是要去理解这些已有工作之间的关系，找出其中还没有做或者说还有待改进的地方。当你对于一个领域有一个稳定的 view 的时候才能够更好更深地去看待一个问题，以此来找 idea。

系统研究的维度
人与系统的相互影响如下

• 系统对系统的影响
  系统与系统之间往往是孤立的，相应的要分析系统与系统之间的关系也就是分析不同系统之间的关联性
• 系统对人的影响
  系统需要人来操作，相应的系统赋予了人有一定的责任来对系统负责
• 人对系统的影响
  在系统中加入人的因素，而人往往是一个完备系统中的弱点。
• 人对人的影响
  人对人的影响往往更多是在人类社会中的法律，伦理等问题上的影响。

Q: 怎么选取和开启一条线的研究?
首先就是要多读这个领域相关的一些论文，在读这些论文的过程中需要体系化的总结。最终的目的是要发现一个缺失的研究点以此找到研究动机。其次，当要解决自己提出的问题，即当找解决方法的时候，可以找其他领域的解决方案然后将其映射到自己的领域里。当然，这个过程中会遇到一些新的挑战，这需要靠自己前期积累的一些背景知识来解决。

总的来说，找到一个感兴趣的新方向，第一是总结前几十年的前人的工作，完备自己的知识储备；第二就是读其他领域的论文，找到解决方案来解决遇到的研究问题。同时，当要将一条研究线做深的时候，后续的代码可以依据前一次实验的基础，例如将一个论文的实现做成 tool 或者 system。

端点监视解决方案记录用于攻击调查的审计日志
审计日志：

• 表示 OS 级活动的事件历史记录
• 通过数据证明为安全事件提供可见性

行为抽象中的挑战

1. 事件语义推断：日志记录一般用途的系统活动，但缺乏高级语义的知识
2. 个人行为识别：审计日志的数量是十分庞大的

Insights
Q: 分析者如何手动解释审计事件的语义？

1. 通过审计事件中的上下文信息来揭示系统实体和关系的语义。提取这种上下文语义的一般方法是采用嵌入模型，目的是将系统实体和关系映射到嵌入空间（即数字矢量空间）。
2. 识别基于数据对象的信息流的行为。文中具体指的是属于个人行为的审计事件，主要是围绕着用户的预期目标，可以反映为一系列应用于数据对象的系统操作。如下图做一次审计事件的简化。

WATSON
WATSON 是一种自动化的行为抽象方法，它聚集了审计事件的语义来模拟行为模式。它不需要专家对事件语义的了解来执行行为抽象。语义是从审计日志中的事件使用背景中自动获得的，这个背景被称为是事件的上下文语义。具体来说，WATSON 首先利用基于翻译的嵌入模型来推断审计事件的语义，其依据是日志中的语境信息。然后，WATSON 识别出与相关数据对象（即文件和网络套接字）相连的事件，并将其语义汇总为高级行为的表示。最后，WATSON 对审计日志中记录的类似行为进行聚类，并区分出其中的代表，供分析人员调查。

简而言之，WATSON 是一种自动的行为抽象方法，它聚合了审计日志的语义来建模行为模式。其输入为审计日志(Linux Audit)，输出则是具有代表性的行为。

WATSON 弥补了低级审计日志与高级系统行为之间的语义鸿沟：

• 在基于日志的 KG 中使用上下文信息（事件语义推断）
• 在语义上聚类相似行为（行为总结）

网络安全和网络测量研究中的Ethics问题

针对网络安全学术伦理的问题，张一铭博士首先从一个学生的角度进行分享。张博士在一次因Ethics问题被拒稿后，认识到自身的理解还有很多不到位的地方：

• 不同会议可能有不同的要求
• 局限于常识性理解，不知道安全研究人员具体要遵守的规范
• 需要在论文中具体针对Ethics讨论什么

之后，张博士调研了学术会议CFP中对于Ethics的要求，有些问题是存在共性的：

• 需要通过伦理道德委员会审查并通过
• 主动上报Ethics风险
• 如何处理敏感数据
• 如何处理披露漏洞带来的风险
• 如果不符合要求，会因Ethics被拒稿
• 需要写清楚各类经济关系和非经济关系

为了指导之后的工作，张博士总结了与计算机领域相关的各类Ethics规范如贝尔蒙特报告、Menlo报告。其中的中心思想包括：公正、遵守法律、尊重人权、平衡风险和利益

针对网络测量领域，张博士针对数据公开和使用的伦理道德问题总结了一些规范：

• 完全匿名化
• 完善的使用规范
• 和使用者保持交流
• 心怀感激地使用数据

并在论文中明确指出：

• 数据收集方法（如控制发包速率，对整体无危害）
• 如何规避伦理道德风险
• 。。。。。。

之后，卢康杰教授以他的角度，从Linux事件出发，如何看待网络安全研究中的Ethics问题。其研究课题是在严格的限制条件下（不增加功能、修改不超过5行代码、修复一个问题、本身不含有漏洞），通过提交补丁引入漏洞。而伦理问题出在工作的Case Study部分，Linux方面认为研究者持续蓄意引入漏洞，并未经允许对维护人员进行测试，导致禁止了来自明尼苏达大学的所有补丁，并要求re-review之前的所有提交。之后，各方对事件进行了细致调查，其实提交的补丁保证并未引入漏洞，并设计为尽量少地浪费维护人员的时间，但是并没有考虑到IRB等因素。事件结束后，研究者也并从中吸取教训：

• 最好获得被测人员的许可
• 确保实验设计的安全性
• 需要IRB审核，甚至可以咨询律师，确定是不是针对人类的研究，是否涉及人权等敏感内容
• 增强伦理道德意识，谨慎对待，寻求别人的意见
• 考虑技术以外的影响，尤其是社会和公众的反响
• 学校和公司应开展学术伦理道德的相关课程和培训

安全学术圈招募队友-ing, 有兴趣加入学术圈的请联系secdr#qq.com