互联网安全论坛(Internet Security Forum,后文简称ISF)是由中国信息安全研究小组(China Information Security Research Group,后文简称CISRG)主办的小型国际安全研讨会。ISF 的规模不算国内最大的安全会议,却是国内最有趣最有特色的安全会议之一,每年的ISF 总能邀请最好的嘉宾谈论最有趣的安全主题,给予听众一场安全主题的嘉年华之旅。
今年ISF的主题是社交网络与隐私。现在的网络特别是社交网络已经成为了人的第二生活世界。在传统的Web时代,人们只是在网上写写小说,聊聊技术,培养自己在网络中的虚拟角色。随着社交网络的发展,人们开始不仅越来越多的关注自己在虚拟世界中的活动,同时更多地把自己在现实世界中的角色带进了网络中的虚拟角色,我在哪,我在干什么,我和谁在一起,我在想什么,我在吃什么,我在看什么,“我”的一切都通过社交网络传递给了我想传达的人,以及我不想传达的人。当人们享受着社交网络带来的生活改变同时,黑客和地下经济产业链的黑手们也没有忘记利用这种改变来为自己带来谋取的利润,今年的嘉宾们就社交网络可能带来的威胁和应对措施进行了精彩的讲演。下面简要介绍其中一些精彩的演讲。
来自美国北卡罗来纳大学的吴鑫涛副教授介绍了社交网络隐私中一个对研究者最重要的部分:如何保证社交网络的研究数据中的用户隐私。社交网络的发展让社交网络中的数据(用户的信息,用户和用户之间的关系)成为研究者用以研究社交网络特性和新技术的基础,但是,如果这部分数据没有很好的处理数据隐私,那么攻击者可以根据其中暴露的数据窃取用户隐私。最简单的方法是进行用户的匿名,但是由于社交网络数据的特殊性,仅仅进行匿名不足以保护用户数据,根据一份研究显示,在美国如果攻击者能获得一名用户的邮政编码和生日信息,那么他可以根据手头各种来源的用户信息库以69%的概率识别出该用户的身份,如果再加上用户的性别信息,那么更有87%的概率可以识别出用户。除了基础的社会信息特征,社交网络更提供了用户的朋友关系这种特殊的特征,即使你已知一个人的朋友有哪些,那么你有很大的概率能够知道这个人是谁,如果更学术一点,你甚至可以根据一个人的朋友数量和关联关系的结构识别出一个人是谁。因此社交网络数据的隐私保护更多的是如何将这种社会信息和朋友信息的关联特征隐藏起来。社会信息的隐藏可以通过从统计意义上修改用户的社会信息实现,而朋友关系的结构隐藏则需要图论知识的引入和应用。同时从另一个意义上说,如果每个人的朋友关系有其特殊的特征,那么攻击者设置的恶意用户也必有其结构上的特殊之处,那么识别出这种特殊的朋友关系图就可以发展一些社交网络中的恶意用户,如SPAM用户。吴鑫涛副教授在讲演中精彩的介绍了如何通过图论的方法来进行隐私的隐藏和恶意用户的识别,如隐私保护K-匿名法,以及基于特征值和特征向量的恶意用户检测算法。
社交网络的取证初探
来自中科院高能物理所的许榕生教授给大家带来的是社交网络中的取证问题的研究。许教授也是一位互联网的“潮人”,无论是流行的开心网,还是新兴的新浪微博,许教授都亲自体验过,并拥有大量的粉丝。同时他也用自身的经验体验到社交网络带来的新的机遇与挑战。在传统的取证中,取证的对象是受害者的主机,可在社交网络中,取证的对象是架在互联网上的服务器,并且随着云计算的应用,需要调查的用户数据可能是在很多台服务器中流动。面对新形势下的挑战,取证该如何发展,许榕生教授认为现在还看不到一个确定的答案,惟一知道的是很难,但同时也是所有安全人员必须去面对的挑战。另一方面,许榕生教授从社交网络的使用者角度提出,面对新的威胁,用户的安全素质必须提高,并以著名的STOP.THINK.CONNECT网站为例,说明美国的国家和民间安全组织是如何来提高全民的上网安全素质的。
特别声明:本站注明稿件来源为其他媒体的文/图等稿件均为转载稿,本站转载出于非商业性的教育和科研之目的,并不意味着赞同其观点或证实其内容的真实性。如转载稿涉及版权等问题,请作者在两周内速来电或来函联系。