顾静, 阿里云 邓隽, 阿里云 Kubernetes 异常配置检测框架 我们来自阿里云容器服务 • 顾静，研发工程师 • 邓隽，技术专家 我们参与打造 • 容器服务（ACK/ASK） • 容器镜像服务（ACR） • 服务网格（ASM） • … 1 Kubernetes 典型异常 2 检测框架演进 3 生产实践 4 总结 Kubernetes 使用日常 • 应用部署 • FORWARD_IN_ZONES_SOURCE FORWARD_OUT_ZONES 容器网络不通 异常 VS 异常检测 ？ 云原生操作系统 自检 安全模式 检测工具 … 操作系统 NPD 运行模式 • 集群节点（DaemonSet /Standalong） 问题检测 • 硬件（CPU、内存、磁盘） • 操作系统（ NTP、内核死锁、文件系统异常） • Container Runtime（无响应） 需要特定版本来对接兼容的 K8s 版本 问题检测 • Kubernetes Conformance-testing（K8s 兼容性检查） • 节点上自定义数据的收集(依赖于自定义插件) 问题上报 • 需要采集和分析结果文件 Kube* CIS Kubernetes Benchmark 集群安全扫描 集群综合检查 执行 bpftrace 检测工具小结 工具 适用场景 局限性 kube-bench

基于静态分析的Rust内存安全缺陷检测研究 报告人：徐辉 报告日期：2022.11.25 复旦大学 大纲 一、问题背景 二、Rust指针缺陷检测方法 三、实验结论 四、论文发表心得 大纲 一、问题背景 二、Rust指针缺陷检测方法 三、实验结论 四、论文发表心得 Rust语言 ❑ 系统级安全编程语言 ▪ 内存安全 ▪ 并发安全 ▪ 效率 2006年 2011年 handling drop(_0) 返回值 Auto Memory Reclaim问题：示例2 创建未初始化的变量foo Panic将导致访问未初始化内存 大纲 一、问题背景 二、Rust指针缺陷检测方法 三、实验结论 四、论文发表心得 研究挑战和思路 ❑ 研究挑战：指针分析是NP-hard问题 ▪ 准确性：应采用路径敏感的指针分析算法，避免过多误报 ▪ 分析效率：应基于Rust MIR的特点对算法进行优化，使其可行 MIR的特点对算法进行优化，使其可行 ❑ 整体思路：基于编译过程中的生成的MIR进行静态分析 ▪ 路径提取：控制流图=>生成树 ▪ 别名分析：分析指针之间的关联关系 ▪ 模式识别：根据预定义的缺陷模式检测指针漏洞 路径提取 别名分析 模式识别 “SafeDrop: Detecting memory deallocation bugs of Rust programs via static data-flow

2023年04月 深度学习-目标检测 黄海广 副教授 2 01 目标检测概述 02 目标检测算法 03 YOLO算法 04 Faster RCNN算法 本章目录 3 01 目标检测概述 1.目标检测概述 02 目标检测算法 03 YOLO算法 04 Faster RCNN算法 4 1.目标检测概述 分类（Classification） 类别的信息，用事先确定 好的类别(string)或实例ID 来描述图片。这一任务是 最简单、最基础的图像理 解任务，也是深度学习模 型最先取得突破和实现大 规模应用的任务。 检测（Detection） 分类任务关心整体，给出的 是整张图片的内容描述，而 检测则关注特定的物体目标 ，要求同时获得这一目标的 类别信息和位置信息。 分割（Segmentation） 分割包括语义分割（semantic segmentation）和实例分割（ 分离开具有不同语义的图像部 分，而后者是检测任务的拓展 ，要求描述出目标的轮廓（相 比检测框更为精细）。 5 目标检测和识别 • 怎样检测和识别图 像中物体，如汽车、 牛等？ 1.目标检测概述 6 目标识别的应用 1.目标检测概述 7 难点之一: 如何鲁棒识别？ 1.目标检测概述 8 类内差异（intra-class variability） 1.目标检测概述 9 类间相似性（inter-class

商品检测篇：使用 RetinaNet 瞄准你的货架商品 扫码试看/订阅 《 TensorFlow 2项目进阶实战》视频课程 • 基础：目标检测问题定义与说明 • 基础：R-CNN系列二阶段模型综述 • 基础：YOLO系列一阶段模型概述 • 基础：RetinaNet 与 Facol Loss 带来了什么 • 应用：检测数据准备与标注 • 应用：划分检测训练集与测试集 • 应用：生成CSV 训练 RetinaNet • 应用：使用 RetinaNet 检测货架商品 • 扩展：目标检测常用数据集综述 • 扩展：目标检测更多应用场景介绍 目录 基础：目标检测问题定义与说明 目标检测问题 目标检测评估：Ground Truth 目标检测评估： Intersection over Union (IoU) 目标检测评估：Intersection over Union (IoU) Truth ??? = ???????????? ????? = Bounding Box Ground Truth 目标检测评估：准确率与召回率（以GT为中心） 目标检测评估：mean Average Precision（mAP） 基础：深度学习在目标检测的应用 目标检测近20年发展 Ref: Zou, Z., Shi, Z., Guo, Y. and Ye, J., 2019. Object

供应链各个环节的攻击急剧上升，已然成为企业主要的安全威胁。 缺点 低误报率 高检出率 集成灵活 只能检测已知 漏洞 优点 可见 100%资产覆盖 可治 90%效率提升 可防 100%流程覆盖 ü 建立资产台账 ü 分类分级标记 ü 关联责任人 ü 关联内外网业务 ü 漏洞及投毒检测 ü 自主可控率分析 ü 许可证合规分析 ü 自动化修复技术 ü 安全可信私有源 ü 供应链准入审查 过程持续验证 !"#$%&'( !"#$)*+,- !"#$%&' 安全开发-代码扫描SAST 源代码审计针对源代码缺陷进行静态分析检测。它在对目标软件代码进行语法、语义分析的技术上，辅以数据流 分析、控制流分析和特有的缺陷分析算法等高级静态分析手段，能够高效的检测出软件源代码中的可能导致严重 缺陷漏洞和系统运行异常的安全问题和程序缺陷，并准确定位告警，从而有效的帮助开发人员消除代码中的缺陷、 查看工程缺 陷 缺陷审计 派发线下整 改 创建检测工 程 安全测试-灰盒扫描IAST ① ① 灰盒审计与需求安全分析呼应，保障安全设计的落地 与CI/CD流水线集成，常态化检测，研发自行修复 IAST扫描结果提供DevSecOps常态化安全运营指标 通过将IAST集成到CI/CD流水线，在测试环境的构建过程中自动部署IAST检测逻辑，可以实现与功能测试同步进行的自动化 安全测试

废钢槽编号识别 • 皮带胶结头异常检测 • 皮带跑偏检测 • 烧结皮带跑偏检测 • 皮带托辊异常检测 • 分析监测烧结工序物料 成分 • 烧结皮带智能监测 • 烧结设备运行工况检测 • 料场生产计划智能配置 • 烧结矿成分预测 • 烧结矿质量预测 • 烧结烟气 S02 排放在 线预测与控制 • 构建能源消耗预测 • 智能故障诊断 • 挡板位移检测 • 皮带划痕、 撕裂、 跑偏检测预警 • 1球团皮带智能监测 1球团皮带智能监测 • 生球粒度分布在线 识别 • 球团1颗粒粒度检测 • 球团1现场生产安全 态势感知与预警 • 皮带机预测性维护 • 建立设备健康模型 • 焦化皮带智能监测 • 生产现场动作远程控制 • 焦化现场生产安全态势 感知与预警 • 部署打滑预测分析 • 能源计划 • 炼焦煤分级调湿工艺稳 定协调控制 • 焦化皮带智能监测 • 生产现场动作远程控制 • 焦化现场生产安全态势 感知与预警 • 部署打滑预测分析 • 能源计划 • 炼焦煤分级调湿工艺稳 定协调控制 • 危险物识别 • 人员安全监测 • 高炉料面温度检测 • 高炉料面可视化监控 • 炉顶布料效果评定 • 远程换钎 • 中间产品无人天车吊装 控制 • 废品无人天车吊装控制 • 铁水质量预报 • 高炉温度分布 • 高炉燃料比监测 • 高炉精准出铁预测 • 高炉炉况诊断 • 高炉燎铁能耗预测 • 高炉在含量智能预监

KDD Cup 2020 多模态召回比赛季军方案与搜索业务应用 252 对话任务中的“语言 - 视觉”信息融合研究 267 ICDM 论文：探索跨会话信息感知的推荐模型 278 自然场景人脸检测技术实践 289 技术解析 | 横纵一体的无人车控制方案 304 目录 智能搜索模型预估框架 Augur 的建设与实践 作者：朱敏 紫顺 乐钦 洪晨 乔宇 武进 孝峰 俊浩等 1. 背景 样本对，而在验证集 （Val）和测试集（Test）中，每条 Query 会有多张候选图片，每条数据表示需 要计算相关性的 Query-Image 样本对。 ● 赛事主办方已经对所有图片通过目标检测模型（Faster-RCNN）提取了多个 目标框，并保存了目标框相应的 2048 维图像特征。因此，在模型中无需再考 虑图像特征的提取。 2.2 评价指标 本次比赛采用召回 Top 5 结果 图像的实例分割是计算机视觉中重要且基础的问题之一，其在众多领域具有十分重要 的应用，比如：地图要素提取、自动驾驶车辆感知等。不同于目标检测和语义分割， 实例分割需要对图像中的每个实例（物体）同时进行定位、分类和分割。从这个角度 看，实例分割兼具目标检测和语义分割的特性，因此更具挑战。当前两阶段（two- stage）目标检测网络（Faster R-CNN[2] 系列）被广泛用于主流的实例分割算法（如 Mask R-CNN[1]）。

.......................................................................................50 4.1.4 安全检测............................................................................................... 52 发布的《云原生安全技术规范》中给出了云原生安全框架[6]，如图 3 所示。其中，横轴是开发运营安全的维度，涉及需求设计（Plan）、开发（Dev）、 运营（Ops）,细分为需求、设计、编码、测试、集成、交付、防护、检测和响 应阶段；而纵轴则是按照云原生系统和技术的层次划分，包括容器基础设施安全、 容器编排平台安全、微服务安全、服务网格安全、无服务计算安全五个部分，二 维象限中列举安全机制（蓝色标注部分）已经基本覆盖全生命周期的云原生安全 原生安全 能力。此外，DevSecOps 涉及的能力范围几乎覆盖了横轴和纵轴的各个阶段， 如图中的紫色部分。最后，云原生安全体系中还包括了一些通用技术能力（黄色 部分），这一部分能力主要体现在检测和响应阶段，并会同时覆盖 DevSecOps 中运营阶段的能力。 云原生安全威胁分析与能力建设白皮书 13 图 3 云原生安全框架 由此可见，云原生安全可以简要归纳为两个方面，一是面向云原生环境的安

IO 性能，并提供更好的 资源控制和管理能力。主要功能包括：缓存写回控制、IO 优先级控制、写回策略调整等。 • 支持核挂死检测特性：解决 PMU 停止计数导致 hardlockup 无法检测系统卡死的问题，利用核间 CPU 挂死检测机制， 让每个 CPU 检测相邻 CPU 是否挂死，保障系统在部分 CPU 关中断挂死场景下能够自愈。 特性增强 15 openEuler 23.09 技术白皮书 基础设施和应用产生的数据量快速增长（每年增长 2~3 倍），应用大数据和机器学习技术日趋成熟，驱动高效智能 运维系统产生，助力企业降本增效。openEuler 智能运维提供智能运维基本框架，支持 CVE 管理、异常检测（数据库场景） 等基础能力，支持快速排障和运维成本降低。 A-Ops 通过挂载社区 CVE 漏洞 repo 源，进行 CVE 漏洞巡检，使用冷热补丁发布件（rpm 包）进行修复、回退和收编 等操作，提升运维效率。 应用场景 智能运维 平台 A-Ops 系统智能运维 硬件 外围包 内核 外设 Memory CPU Gala-x ragdoll diana apollo 日志分析 架构感知 异常检测 精准度量 智能算法 根因分析 在线调优 应用拓扑 系统数据湖 用户态热补丁 系统智能代理 系统自动配置 系统服务热替换(systemd、dbus、qemu等) 内核热替换 模块热替换 内核热补丁

(Core) ⾏行为是 ThinkJS 扩展机制中⼀一项⽐比较关键的扩展，⾏行为可以独⽴立调⽤用，也可以整合到标签 (tag) ⾥里⼀一起调⽤用，⾏行为 是执⾏行过程中⼀一个动作或事件。如：路由检测是个⾏行为、静态缓存检测也是个⾏行为。 标签 (tag) 是⼀一组⾏行为的集合，是在系统执⾏行过程中切⾯面处调⽤用的。与 EventEmitter 不同，标签⾥里的⾏行为是按 顺序执⾏行的，当前的⾏行为通过 http 请求时，会在对应的时机执⾏行如下的标签位： app_init 应⽤用初始化 path_info 解析 path 路径 resource_check 静态资源请求检测 route_check 路由检测 app_begin 应⽤用开始 action_init action 初始化 view_init 视图初始化 view_template 模版定位 view_parse path_info: [], // 静态资源请求检测 resource_check: ['CheckResource'], // 路由检测 route_check: ['CheckRoute'],