站長資訊網11月23日GITC2017全球互聯網技術大會在北京國家會議中心召開,本次大會以“大象無形”為主題,寓意在大數據、人工智能時代,通過技術的發展和傳承,讓互聯網行業得以持續創新發展,催生出更多的產品創新和應用創新。
百度安全通過發揮威脅情報、大數據、深度學習三者合力支撐構成的技術優勢,已提前布局,在AI的基礎層、平臺層、應用層等,都推出了相應的安全方案。在本屆大會上,百度安全攜旗下多款安全產品和解決方案亮相GITC2017大會,展示AI安全生態建設成果。
AI時代,安全問題更加集中化
AI安全主要是兩個方面的問題:第一是傳統安全遇到的幾乎所有問題在AI安全時代都存在,而且云、管、端上的傳統安全問題更加集中了。第二是AI時代還誕生了新的安全挑戰,也就是針對機器學習本身的安全問題。
“現在我們經常說的機器視覺僅僅是一個開端,語音交互里面也會有一些欺騙手段,比如大家之前在百度的一些活動上看到的,已經可以用機器去模擬一個人的聲音去說話,是不是我們的聲音也面臨挑戰?”百度安全事業部總經理馬杰表示,各種機器學習里面用到的新技術,都可能存在相應的安全挑戰,這些是傳統安全領域所沒有的。
AI時代的安全問題不斷凸現,但一個很現實的問題是,攻防本身是非常不對等的。正如馬杰所言:“防御就像是在修長城,哪兒都要防御,但是攻擊者只要在墻上鉆個洞就可以實現攻擊了。”
安全是動態平衡的過程
AI是一把雙刃劍,用在安全專家手里,能夠更快、更高效地做好防御,用在黑客手里,就可能造成“永恒之藍”那樣席卷全球的災難。
在百度安全馬杰看來,安全是一個動態的過程,當進入到某一個攻防的均衡狀態的時候,其實相對是安全的。問題在于現在攻防雙方在AI安全方面的研究都還比較薄弱,所以誰略微有一點進展,誰就有優勢。“在AI研究相對薄弱的時候,雙方研究越少,空白領域越多,攻擊者越有優勢,鉆哪都能鉆出一個洞來。到了攻守雙方到了相對平衡狀態時,云、管、端各個環節雖然問題多,但是都有解決方案,所以攻就不是那么容易了。”
而AI安全是一個龐大而復雜的生態系統,因此需要整個生態共同構建,這也正是OASES聯盟的初衷,聯合終端企業、安全企業、專家學者、研究機構的力量,共同建設AI安全攻防。正如馬杰所言:“現在很多學者在研究AI安全,我認為研究走在前面,工業界就可以很快跟進,只要研究有成果,動態平衡的狀態就可以很快建立。”
云管端一體化的AI安全方案
11月初,百度安全發起成立了OASES智能終端安全聯盟,并且宣布向聯盟成員開放了其在AI生態上的多項安全能力。這些能力正是百度安全針對智能終端系統給出的云、管、端一體化的解決方案。這些方案也結合了百度安全大數據能力,以及機器學習的實踐。
在本次活動上,百度安全也展示了這些方案的功能特點及使用,包括針對智能終端系統碎片化安全問題的KARMA自適應內核熱修復方案;針對終端應用的OASP應用簽名安全方案;針對傳輸通信安全的Mesalink通信協議棧;針對云端安全防護的OpenRASP自適應安全方案。
在GITC的安全論壇,百度安全事業部技術總監馮景輝著重介紹了互聯網企業如何利用自適應安全技術來構建安全的運維放線:“安全運維人員總是面臨很多困惑,比如研發修復漏洞速度慢,開源軟件漏洞頻發、WAF報警太多誤報率高,而且還時常被繞過。Gartner提出的自適應安全架構雖然不是銀彈,但卻是與黑客“短兵相接”的利器。”
最近,百度安全向業界開源了一款基于大數據安全以及自適應安全架構的安全軟件OpenRASP,它將保護引擎集成在了應用內部,實現了零規則、開源和插件化。與傳統安全方案相比,它的優勢也非常明顯:首先,傳統防護產品主要依賴請求特征,OpenRASP是通過監控應用的執行邏輯和行為來實現防護;其次,OpenRASP可以實現應用的熱補丁,比如可以永久免疫Struts系列漏洞;最后,OpenRASP實現了編碼規范檢查、服務器安全基線檢查,這也是傳統防護產品無法實現的。
特別提醒:本網內容轉載自其他媒體,目的在于傳遞更多信息,并不代表本網贊同其觀點。其原創性以及文中陳述文字和內容未經本站證實,對本文以及其中全部或者部分內容、文字的真實性、完整性、及時性本站不作任何保證或承諾,并請自行核實相關內容。本站不承擔此類作品侵權行為的直接責任及連帶責任。如若本網有任何內容侵犯您的權益,請及時聯系我們,本站將會在24小時內處理完畢。
