3000精英齐聚天府百度安全会天下英豪论道AI安全
中新网11月20日电AI时代正在改变未来世界,AI思维也正在重塑安全边界,天府之国连日的阴雨也并不能阻挡超过3000名各界嘉宾和专业观众的热情。
11月16日至17日,“天府杯”2018国际网络安全大赛暨2018天府国际网络安全高峰论坛在成都举行,作为大会主办方之一,百度安全成为了各界关注的焦点。
在大会首日的开幕式上,百度安全总经理马杰作为首个企业代表上台发表了名为“百度安全开源技术矩阵,共建AI新时代开放生态”的主题演讲,系统阐述了AI时代百度安全对于中国网络安全未来发展的观点,详细介绍了百度安全在技术研发、生态建设和社会责任层面的最新进展。
“AI一定会让世界变得更好!”对于未来,马杰充满自信,而他的自信正来自于百度安全近年来在AI安全领域的潜心深耕和持续探索。如今,这一系列努力正在开花结果,并实现了与全行业的共享共建。
学界业界精英论道AI安全
在11月17日百度安全主办的AI安全分论坛上,来自学界和业界的专家学者、企业负责人与百度安全一道,分享了各自在AI时代网络安全领域的理论观点和最新进展。
在宏观层面,北京理工大学信息安全与对抗技术实验室主任、国家国防科技工业局科学技术委员会第一届成员罗森林教授以道家理念阐释了网络安全攻防的顶层思想和体系构建原则,“信息安全和对抗实质上是系统性问题,全量大于分量之和,且需要我们即见树木又见森林。”
在罗森林看来,“网络空间安全的态势将会越来越严峻!”他提出了六项基本原则,要求行业从特殊性、真实性等维度进行信息系统保护和利用的探索。“网络空间安全无时不有、无处不在,对于网络安全态势我们应该全天候全方位感知,构建强大的网络安全体系来服务于国家的网络空间安全战略。”
而在微观层面,北京大学软件安全研究小组主要负责人文伟平教授则以此前在业内影响巨大的“永恒之蓝”为切入点,探讨了漏洞攻防的技术发展。
文伟平表示,相比传统的漏洞分析、利用和修复技术,新的趋势正在向自动化、智能化发展。其中不仅包括机器学习与程序分析技术的结合,也包括将深度学习应用于漏洞分析之中,还包括结合人工智能技术的自动化漏洞利用和修复。但是,他同时指出,相关研究目前仍然处于发展阶段,暂时还不能替代人工的作用,发展空间仍然很大。
而在学术界理论研究的助力下,国内的安全企业界也正在通过实际行动,以AI为武器应对AI时代的安全挑战。
四叶草安全创始人马坤回顾了AI技术和全球网络安全事业的发展历程,并指出对于当前的网络安全对抗来说,AI正扮演着潘多拉魔盒和达摩克利斯之剑的双重角色。
“我们可以看到人工智能有了非常大的突破,但用AI对抗AI的方法,或者利用人工智能干一些坏事,已经有黑客在做了。”马坤警告,“攻击方式很多,像闪避攻击、药饵攻击、后门攻击、窃取攻击,截止到目前,我们已经获取到非常多的通过AI进行黑客攻击的事件和行为报告,而且我们也抓取到了一些病毒。”
实际上,AI时代网络安全的攻防将是一场持久战,黑白之间胜负的关键将更多聚焦于“前线”的对抗。为此,永信至诚高级副总裁兼首席战略官潘柱廷引入了“交锋面”和“能力链”等概念,“安全领域赢家才有用,处于第一线的交锋面是在安全攻防中最真的,考验的人与机器、系统的能力。”
潘柱廷认为,在AI时代的网络攻防中,养兵千日是错误的。“英雄不是养出来的,是打出来的,一定是练兵千日。”他提出,应在安全架构中构建一个“靶场”体系,模拟真实的场景进行演练和“修炼”,通过其来判断防御的措施是否有效并最终将成果投入到真实的安全对抗中。“让错发生在靶场,这是未来的一个方向。”
事实上,网络安全之路之所以曲折,还在与攻防双方的成本不对等。“勒索病毒花不了多少钱,但是成功获得以后的获益是很高的,它很难被追溯,给黑客一个很好的保护伞,可谓是低成本、高收益、零风险。”亚信安全终端安全产品总监汪晨在分享中这样评价当前的安全形势,而AI技术将为安全企业提供一种全新的武器。
据汪晨介绍,目前AI技术已经被应用到对未知恶意软件的识别当中。基于有监督学习,依靠海量的数据、精准特征及算法的积累和威胁检测模型,通过特征可视化后的样本训练、测试,最终实现机器学习。“我们有个病毒中心,对于新提交的一些恶意软件它的检测率都可以达到80%到90%以上,这样的话就可以有效的帮助用户提高对一些恶意软件的检测率。”
如同马杰在开幕式演讲中探讨AI思维与互联网思维差别时所提及,AI时代的一个典型特点便是软硬结合,成都为远信安总经理陶育源所关注的正是“硬”的方面,他的公司正在研究用于硬件设备的信息安全芯片。
“我们认为一个很关键的问题是社会本身身份的安全,我怎么去识别这个设备。”陶育源解释称,在过去厂商可以为每台设备发放证书,但在万物互联时代设备是难以计数的。“即便你有钱给每个设备发放证书,但证书需要运行,是不是你所有的设备都有能力去运行这些设备呢?一个汽车可以,如果只是一个锁呢?你可能没有能力做这件事情。”陶育源给出的方案是通过芯片内置证书,利用接口调用在降低计算及存储需求的同时实现云端与设备端的双向认证。
实际上,AI时代的网络安全已经变成了一个多维度的博弈,“传统的视角已经无法覆盖非中心化的数据结构,传统安全的思维和方法也无法保护AI时代的信息厚度。”在百度安全产品总经理韩祖利看来,构建一套完整数据生命周期管理体系势在必行。
这不仅涉及数据的采集、传输、存储、处理、交换和销毁等安全问题,也包括规划与规程、数据与系统资产、组织人员、服务规划、数据供应链和合规性等管理策略。“在利用数据为用户创造价值的同时,确保用户隐私的安全及应用的合规。”韩祖利表示。
AI时代的到来,为网络安全领域的玩家们带来了新的挑战,也创造了新的机遇。但从潘多拉魔盒到“交锋面”,从“靶场”到芯片,再到数据生命周期管理体系构建,如今的安全攻防已然不是场单打独斗的战役,合作正在成为全行业的关键词。
构建AI时代安全新格局
一直以来,百度安全始终是开放共赢理念的支持者和推动者,并致力于让更安全的AI驱动产业互联网的变革。
在技术层面,百度安全将KARMA系统自适应热修复、MesaLink TLS下一代安全通信库、MesaLock Linux内存安全操作系统、MesaTEE下一代可信安全计算服务、OpenRASP下一代云端安全防护系统、AdvBox对抗样本工具包和HugeGraph大规模图数据库七大技术汇成“七种武器”全面开源,全面解决云管端以及大数据和算法层面的一系列安全风险问题。
在平台层面,百度安全推出了一系列针对智能手机、智能电视、智能音箱、智能家居、智能车载、服务器等智能终端和智能车机的安全解决方案。整合百度安全的技术能力及在安全领域18年最佳实践的总结与提炼积累,为行业提供可靠而便捷的安全保障。
而在生态层面,百度安全则积极保持着与学界、业界及政府机构的多层次开放协作。
一方面,百度安全与众多国内外顶尖高校建立了长期合作并成立联合实验室,开展前沿技术研究,连续五年支持中国安全战队走出国门;另一方面,百度安全也在今年将具有26年历史的国际顶级极客大赛DEF CON首度引入中国,打造全球网络安全交流平台,让国内外技术高手同台切磋技艺;同时,组建百度安全应急响应中心BSRC,创建了一支中国互联网安全的“蓝军”。
而以技术赋能、标准驱动、生态共建为支点,在保证百度自有AI生态内的安全基础上,百度安全也将自身的安全能力对外开放给更多行业和生态合作伙伴,以共同应对AI时代所面临的各种安全挑战,实现产业共赢。
此外,百度安全也在积极践行社会责任。包括不久前在公安机关“滤网行动”中配合侦破国内首例手机访客营销黑产在内,百度安全迄今已协助破获全国多起电信诈骗、DDoS黑产、撞库黑产、伪基站黑产、流量劫持黑产、用户隐私窃取黑产等重大案件。全方位实现从警务数据整合治理到分析挖掘,助力智慧公安新业态。
AI让世界更美好
在本届大会的闭幕式上,作为发起者之一,百度安全还出席了天府杯国际网络大赛安全联盟的成立仪式,并与产学研各界代表一道共同点亮了象征联盟诞生的水晶球。
正如马杰在开幕式演讲中所呼吁,“安全不是任何一家公司、一个社区、一个生态能够独立解决的事情,需要以更开放的态度,更广泛的合作来共同应对,在开放包容、多元互鉴中寻求共赢。”百度安全正集结所有安全圈的力量,在AI时代构建开放生态,与合作伙伴们一起共同为网络安全创新和发展贡献中国智慧。
借AI之力,让中国的网络安全事业更繁荣;以AI之名,让世界变得更美好。
