计算机科学互联网公司网络安全实习报告

计算机科学互联网公司网络安全实习报告一、摘要

2023年6月5日至8月22日，我在一家领先的互联网公司担任网络安全实习生。核心工作成果包括：参与设计并部署了3套基于机器学习的异常流量检测模型，准确率提升至92%，日均处理网络日志1.2亿条，误报率降低15%；协助完成5次漏洞扫描与渗透测试，发现并修复了23个高危漏洞，其中12个被权威数据库收录；通过应用Python脚本自动化日志分析流程，将常规响应时间缩短40%。专业技能方面，深度实践了SSL/TLS协议逆向分析、BPF数据包捕获技术，并运用Snort规则集优化入侵检测系统。提炼出的可复用方法论包括：结合时间序列分析构建攻击行为基线、利用随机森林算法动态调整威胁评分权重，这些方法在后续的CISCO安全设备配置中验证了效率提升30%。

二、实习内容及过程

实习目的主要是想把书本上的网络安全知识跟实际工作对接上，看看攻防对抗在业界到底是怎么跑的，顺便积累点项目经验。

实习单位是那种用户量挺大的互联网平台，业务线多，对网络安全的依赖程度高，技术栈也挺新的，用了不少云原生架构和微服务。

实习内容挺杂的，初期主要是跟着师傅看日志，分析Web攻击特征，用Wireshark抓包逆向工程，弄了半个月的Nginx访问日志统计，画了些流量趋势图，发现异常峰值跟某个已知APT组织手法有点像，后来写了个Python脚本自动提取特征，效率确实高不少。

中期参与了一个应急响应项目，7月12号晚上系统突然飘红，说是某个CDN节点被挖了SSRF漏洞，我负责梳理受影响的服务，花了3小时把所有微服务的端口映射关系摸清楚，用BurpSuite配合自建代理抓了2小时payload，最后定位到是某个第三方SDK组件版本太老了，赶紧推了个补丁，整个事件从发现到修复才花了4小时，比预定时间快了1倍。

后期参与建设了块新的WAF策略，主要是研究CC攻击防护，8月初搞了个实验环境，用Python模拟分布式爬虫，调了20多天的规则，把误拦截率从8%压到1.5%以下，期间把机器学习的异常检测模型也搭了个雏形，用随机森林分类器，准确率92%，不过对零日攻击还是有点懵，这个是后续要重点攻克的点。

遇到过俩坎，一个是渗透测试时某个API接口鉴权逻辑太绕，绕了四五天都没摸透，后来问了师傅，他说得用Fiddler录个会话，再反编译客户端APP的JNI层代码，我才搞明白是用了啥自定义加密算法，这下明白为啥业界都说移动端安全难搞了；另一个是做日志分析时数据量太大，几百G的原始日志直接开不动，最后学了点Spark的基础用法，分块处理才搞定。

实习成果就是那套半成品的异常流量检测模型，还有应急响应里那个漏洞复盘文档，数据倒是挺实在的，比如7月那次事件中我负责的模块误报率从平时的3%直接降到了0.8%，这个数字还是挺有成就感的。

这段经历让我觉得网络安全这行得持续学，新技术天天在冒，像SASE、AI攻防这些新东西都得跟着跑，思维上最大的转变是意识到安全不是搞个设备摆在那儿就能搞定，得懂业务，得会跟业务部门沟通，有些风控策略太激进了，业务根本没法用，得找平衡点。职业规划上，我打算先往应用安全方向发展，毕竟漏洞挖掘和应急响应跟我的技术背景对得比较拢，要是真想搞纯理论研究，可能还得再沉淀几年。

实习单位吧，管理上感觉有点乱，不同团队的交接流程不清晰，有时候需求变更得临时抱佛脚；培训机制也一般，就发了本过时的内部文档，很多技术细节都得靠师傅带；岗位匹配度嘛，感觉我学的知识跟实际项目需求还是有点偏差，比如数据分析和机器学习那块儿接触得不够深。

改进建议的话，希望单位能搞个更系统的培训体系，至少把常用的工具链都给梳理出来，比如搞个在线靶场，或者定期搞点技术分享会，别啥都靠师傅带；管理上可以弄个统一的工单系统，需求变更得走流程，别临时喊停；岗位匹配度这块，建议实习前能跟导师多聊聊，明确实习期间能接触到哪些项目，我这次就差点把数据挖掘这块给荒废了。

三、总结与体会

这8周，从6月5号到8月22号，感觉像坐过山车，每天接触新东西，脑子一直嗡嗡的。最大的价值闭环是，当初在学校啃那些加密算法、网络协议的书本，真用到分析流量日志、看漏洞细节的时候，才觉得那段时间没白费。比如7月12号那个晚上，系统告警，我靠之前学的IDS原理和脚本能力，加上师傅的指导，3小时把问题定位出来，那一刻觉得挺值的，把理论知识转化成了实际生产力。

对职业规划的影响挺大的。实习前想搞纯理论，现在觉得还是得接地气，至少先在应用安全或者安全运营干几年，把东西都摸透了再说。我打算接下来把机器学习那块补上，9月份的CISSP考试也报名了，想趁热打铁把体系知识系统化，毕竟那套异常检测模型虽然搞出来了，但模型泛化能力还差得远，得靠证书学习来补短板。

行业趋势这块，感觉现在AI攻防已经是个绕不开的话题了，像我在8月初那个项目里尝试的基于机器学习的WAF策略，虽然才刚起步，但确实能过滤掉大部分常规攻击，而且成本相对硬件设备低不少。不过也发现个问题，这些模型特别容易受零日攻击干扰，得持续更新特征库。另外，零信任架构好像也在慢慢落地，虽然我接触得不深，但感觉未来网络边界会越来越模糊，安全策略设计得越复杂，对工程师的要求也越高。

心态转变挺明显的。以前做实验，数据跑通了就完事了，现在不一样，得考虑成本、效率，还得考虑业务能不能接受。比如做日志分析，以前为了精度可以无限加机器，现在得想怎么用Spark分治，怎么跟运维扯皮争取资源。最直观的是抗压能力，8周里加过两次班，一次是那个应急事件，另一次是模型调优卡住了，连续改了十几个小时，第二天眼睛都花了，但硬是扛下来了。这种感觉很奇妙，以前觉得加班就是熬时间，现在觉得是成长的必经之路，至少知道啥时候该死磕，啥时候该求助。

以后搞网络安全，得持续学习，不能停。学校里学的知识是基础，但业界的东西更新太快，得靠自己的热情去追。实习里发现的问题，比如数据挖掘能力弱，机器学习实践少，这些都是后续要重点攻克的，毕竟现在很多安全产品都在用这些技术。总的来说，这次实习像给我灌了盆冷水，也浇灭了点浮躁，知道自己在哪方面得使劲了。

四、致谢

感谢那家互联网公司给我这次实习机会，让我能在真实环境中摸爬滚打。特别感谢我的实习导师，那段时间跟着他学到了很多，不仅技术层面上了新台阶，对项目流