日本免费的高清毛片视频

  • <rt id="ks68k"></rt>
    <source id="ks68k"><wbr id="ks68k"></wbr></source>
  • <s id="ks68k"></s>
  • 400-077-787913998539835
    當前位置:首頁 > 新聞資訊 > 行業新聞

    騰訊大講堂:揭秘:黑產也“AI”,我們怎么辦?

    發表日期:2020-07-07文章編輯:網建科技瀏覽次數: 標簽:

    編者按:作為國內最大的社交巨頭,騰訊是如何借用 AI技術來解決所面對的安全挑戰?

    在6月30日舉辦的CCF-GAIR智能安全專場中,騰訊安全平臺部總監胡珀帶來了《從危到機,AI 時代下的安全挑戰》的演講。

    胡珀現任騰訊安全平臺部總監,騰訊安全平臺部Blade Team負責人,是國內首個漏洞獎勵平臺Tsrc負責人。

    騰訊大講堂:揭秘:黑產也“AI”,我們怎么辦? 網站維護怎么樣

    以及應急響應、前沿安全、安全培訓、安全研究、漏洞獎勵計劃等工作。

    以下是胡珀在現場的演講,宅客頻道做了不改變原意的編輯整理。

    騰訊大講堂:揭秘:黑產也“AI”,我們怎么辦? 網站維護怎么樣

    也會用到AI。大家不要以為AI只是停留在學術界或者是工業界,其實現在黑產也大量在使用AI,之前我們處理過一個案子,就是黑產用機器學習的算法來識別驗證碼,最高可以達到80%到90%的識別率,這個團伙被摧毀后,我們發現這是我們見過的科技含量最高的黑產之一。

    騰訊大講堂:揭秘:黑產也“AI”,我們怎么辦? 網站維護怎么樣

    被用到了實際環境,可能直接導致車毀人亡的嚴重情況。

    騰訊大講堂:揭秘:黑產也“AI”,我們怎么辦? 網站維護怎么樣

    第三個問題就是被污染,也就是在AI的底層框架存在的問題。

    比如谷歌的深度學習系統TensorFlow,Tencent Blade Team研究之后,發現它其實存在一些傳統的網絡安全問題,比如惡意構造一個模型文件,格式經過特殊構造就可以控制它整個AI系統,然后可以算出AI系統的設計或者架構問題。除此之外,如果引用了惡意的第三方組件,也會導致系統崩潰,拿到系統權限。

    這些漏洞我們都報給了官方,并拿到了致謝。這些系統如果底層出問題,被黑客利用,后果是災難性的,所以現在產業界、學術界都非常關注AI的底層架構安全。

    第四,許多智能設備都可能被控制。

    比如智能音箱可能被竊聽,我們團隊對市面上的一些智能音箱做了一系列研究,許多智能音箱都有安全問題,包括協議的解析和認證授權等,其實還是傳統的安全問題。如果大家感興趣,可以在今年8月份在拉斯維加斯的DEF CON上關注我們介紹智能音箱的漏洞技術細節的議題。

    智能音箱也存在被竊聽的問題,小米和亞馬遜都出現過安全問題,它們對協議的解析和認證授權有問題。

    如果大家感興趣,我們會在今年8月份,在拉斯維加斯講亞馬遜智能音箱的漏洞技術細節。

    騰訊大講堂:揭秘:黑產也“AI”,我們怎么辦? 網站維護怎么樣

    另外就是智慧城市,現在很多地方都引入了智慧城市,里面會用很多新的協議,比如 IoT 的協議,這個也存在許多安全隱患。

    我們選用騰訊大廈作為目標進行了測試,發現它所使用的智能樓宇設備協議和加密通訊存在一些技術風險,這就造成我們可以通過遠程控制某一層的會議室燈、空調、窗簾,包括插座等。

    我們當時放了一個無人機到頂樓,掛了一個信號發射器,實現了對整層樓的開燈關燈關窗簾的控制,在歐洲的HITB安全峰會上我們也詳細講了這個漏洞的技術細節。

    因為供應商是國外的,我們把問題報給官方,也修復了,做這個實驗本身就是希望把這個問題修復掉。

    騰訊大講堂:揭秘:黑產也“AI”,我們怎么辦? 網站維護怎么樣

    除了智能音箱、智慧樓宇等,我們還研究過無人機。

    2015年,Blade Team參加一個黑客比賽,遠程用電腦把無人機劫持了。我們破解了無人機的通訊協議,破解之后發現,只能夠抓到一部分無線電協議,就可以去模擬搖控器發出來的協議,把當時的無人機給劫持掉。

    攝像頭也是類似。2014年的時候,我們對國內的攝像頭做了一系列的安全評測,2014年是智能攝像頭元年,所以我們也要去跟進看一下。大家有沒有見過有部電影叫《竊聽風云》,里面有個橋段就是加了一個設備,把攝像頭替換掉,導致保安沒有發現有人進去了。

    有些攝像頭我們發現也是有這個問題的,我這里放了一個QQ公仔,攝像的 wifi 網絡被我劫持替換,就能控制它所有想要展示的圖像,我重新可以錄視頻,把公仔隱掉。

    騰訊大講堂:揭秘:黑產也“AI”,我們怎么辦? 網站維護怎么樣

    另外就是一些智能手機,因為智能手機現在用了越來越多的一些所謂的生物識別、智能識別,比如說人臉解鎖,人臉解鎖之前有很大的問題,但是我直接用照片,而且用二維的照片就可以解鎖。

    不過現在應該已經加了3D或者活體識別了,就沒那么簡單,但是我們目前在進行的一些研究中發現還是有機會的。所以后面有機會大家還可以看到我們的分享。

    另外就是有些手機可以支持智能設備解鎖,比如手環解鎖,只要手機靠近手環就解鎖了,不用輸密碼,這也是比較方便。

    但在設計的時候會出問題,解鎖的時候它只會檢測我的手環match地址,這個也很容易實現,我們可以直接解鎖他的手機。另外一些品牌手機可能采取的是指紋解鎖,但我們發現用一個類似的導電硅膠,直接把紙巾按上去就可以了,根本不需要指紋,這個硅膠按上去算法也通過了,最后解鎖也通過。就像現在的智能電鎖,也是類似的原理。大家會發現,現在的智能手機也是不夠靠譜的。

    前面我講的是智能設備本身的一些安全問題和供給場景演示,但除了他們本身存在的問題之外,AI技術還可能被黑產濫用。

    騰訊大講堂:揭秘:黑產也“AI”,我們怎么辦? 網站維護怎么樣

    騰訊大講堂:揭秘:黑產也“AI”,我們怎么辦? 網站維護怎么樣

    騰訊大講堂:揭秘:黑產也“AI”,我們怎么辦? 網站維護怎么樣

    這就是我們現在看到的,越來越多的智能設備鏈接到了網絡上,但是這些智能設備的安全防護又沒有傳統的pC防火墻,反而會被黑客黑掉,黑客就拿來挖礦、進行DDoS攻擊等等,這樣就會帶來很大的問題。

    這些就是一些惡意軟件,把物聯網設備拿來做DDoS攻擊,現在大量的IoT設備都連接上了網絡,包括路由器、攝像頭,很容易淪為黑客控制的工具。還有一些機器學算法也加入了黑產團隊。

    以上就是我講的第一部分,AI的安全問題,下面我來展開講一下第二部分,AI安全應用在具體場景下的應用,包括實戰等。

    騰訊大講堂:揭秘:黑產也“AI”,我們怎么辦? 網站維護怎么樣

    大概也是這三個方向:一個是會向傳統的生物特征轉變,第二個是研究工具有變化,以前是用特征工程來對抗黑客攻擊,現在可能會轉入機器學習的方法,可能用機器學習給它建一個域值和模型,通過模型來看它是否是黑客攻擊。

    騰訊大講堂:揭秘:黑產也“AI”,我們怎么辦? 網站維護怎么樣

    框架大概是這樣,可能就是有一個整體的平臺,再加上機器學習作為一個分析引擎,和其他的數據層、信譽庫等一起,協同進行合作。

    現在有一種很麻煩的攻擊,就是UDp模擬,包括協議都會模擬到正常的業務,這樣怎么做呢?還是會用機器學習相對好一點,在UDp模擬協議的特定場景之下,這種效果是非常好的。傳統的 DDoS 防護是通過一個量來發現,但機器學習可以通過很多維度解決這個問題。

    我們可以看一下,大概引入機器學習的實際效果。我們主要是應用在兩個層面,一個是DDoS,一個是黑客的入侵行為,我們看一下 DDoS 的效果。

    騰訊大講堂:揭秘:黑產也“AI”,我們怎么辦? 網站維護怎么樣

    騰訊大講堂:揭秘:黑產也“AI”,我們怎么辦? 網站維護怎么樣

    騰訊大講堂:揭秘:黑產也“AI”,我們怎么辦? 網站維護怎么樣

    騰訊大講堂:揭秘:黑產也“AI”,我們怎么辦? 網站維護怎么樣

    這是一個傳統的DDoS的模型,加上一個 AI 環節,用機器學習給所有商戶做畫像。在騰訊云上有很多這樣的小商家,可能它單個商戶面臨的流向不一樣,QQ空間和微信朋友圈流量非常大,小的商戶流量非常小,如果采取傳統的特征工程的方法不能很好解決,比如商戶做活動或者雙十一整體流量上升,就會有這樣那樣的問題。

    如果用AI畫基線,比如取前面三個月或者前面一個月的數據,引入機器學習生成一個模型,通過檢測模型來看是否是DDos的攻擊或者活動量突增。這樣的話,平時就不僅是流量的大小,還包括原Ip的屬性,或者原端口、整個Ip的值,我們會把整個協議讓機器自己去學,讓它自己提特征出來,大概會選出很多維度,我們會用這個維度做模型。如果它某一天或者某一個時刻偏離這個模型,就可能是遭到DDos攻擊。

    騰訊大講堂:揭秘:黑產也“AI”,我們怎么辦? 網站維護怎么樣

    最后平均準確率從80%到了96.4%,效果還可以,但機器也有誤報,我們現在采取雙引擎在跑,避免出問題。

    騰訊大講堂:揭秘:黑產也“AI”,我們怎么辦? 網站維護怎么樣

    在反入侵上也是類似,比如說我們的系統管理員登陸服務器,登陸之后可能會做一系列的運維,或者是部署操作,但它是個有限的集,同時它可能會在某一個特定的時間,或者會有特定的習慣,反正是有規律的。

    這個規律如果通過特征工程很難做,但通過機器學習,可以很好地為服務器的每一個管理員帳號進行精準畫像,這樣就可以解決黑客冒用帳號的攻擊方式。

    現在大部分情況是黑客直接拿一個帳號密碼,冒充管理做操作,但它的操作跟管理員是不一樣的,一個是時間,還有一個是翻找文檔,或者是偷數據的行為,但這些是正常運維管理員和普通用戶不會出現的行為。所以完全可以通過這種模型,直接算一個匹配度,同時把它標注出來。

    騰訊大講堂:揭秘:黑產也“AI”,我們怎么辦? 網站維護怎么樣

    騰訊大講堂:揭秘:黑產也“AI”,我們怎么辦? 網站維護怎么樣

    騰訊也有在做這塊東西,效果就是我們的幾次演習,拿到管理員帳號做進一步滲透的時候,他會明顯發現有異常,會告警出來,效果還可以。

    今天我總結一下,講了兩部分:一部分就是AI本身的安全問題,其實我們可以看到,隨著現在AI和智能設備越來越應用到我們的生活,有很多各式各樣的安全問題,不管是智能音箱、智能插座還是智慧樓宇等,一定會有很多黑客盯著,學術界、產業界最好提前發現解決,避免出更大的事故,畢竟以前的互聯網都是信息化的東西,現在跟物理世界結合之后,可能會產生很大很嚴重的影響。

    第二部分是把機器學習方法應用到傳統的安全場景,在某些特定場景下,AI絕對是優于人類或者傳統的特征工程,但在某些場景我們還需要繼續探索。

    問答環節:

    雷鋒網:今天幾大巨頭都帶來了AI+安全的演講,與他們相比,騰訊在這方面的戰略上有哪些不一樣?

    胡珀:我覺得騰訊的AI+安全所面臨的場景會更豐富一些,大家都知道,騰訊主要的業務包括游戲、社交、支付等,所以我們AI+安全會圍繞這些場景做一些配套的工作,比如QQ上的登錄,QQ上的垃圾信息打擊,然后微信的登錄、微信這一塊的,都用到機器學習來保護賬戶的安全。

    除此之外,我們也會在其他領域,比如騰訊在布局智能醫療,我們會配合騰訊的AI戰略,在AI+醫療方面針對安全方面做一些定制化的工作,其他比如智慧零售和智慧樓宇也會在AI安全方面有研究。

    雷鋒網:能以具體場景為例講一下你們的AI+安全如何落地嗎?

    胡珀:比如智慧樓宇,它其實就是一個傳統的樓宇加上一個 AI 的學習框架組成的,其實它有兩個問題:

    1.它的 AI 學習方法有沒有問題。

    2.它的傳統樓宇層有沒有問題。

    甚至是他們兩者結合起來之后,會不會有新的問題出現?這都是我們要研究的東西。

    雷鋒網:您在騰訊工作了11年,從最開始的 pC 安全、移動安全、物聯網安全再到 AI 安全這塊,請問是不是安全人員以后都要對AI方面有所積累?以后這會是一個硬性的要求嗎?

    胡珀:這不一定,安全整個領域還是很大的,比如說他不做類似數據處理分析這塊的工作,他可能就不需要了解人工智能相關的知識。如果只是一個負責軟件漏洞挖掘的安全工程師,那他就不需要。

    不過如果他是負責相關業務安全或者數據安全的,還是懂一些會比較好,因為他引入一種新的方法就可能會提升他的效率。

    現在AI這么火,未來肯定會有越來越多的這種開源的框架、工具,去幫助安全人員去工作,提升效率,所以我覺得可能是這樣一種場景,你懂技術,可以直接調用一個庫,去調用這些AI的方法,這就會非常簡單了,而且現在已經有這樣一種趨勢了。

    雷鋒網:你剛才在演講中提到的宙斯盾所擁有的 DDoS 防御與其他的防御系統有何不同??

    胡珀:我覺得特點有兩個:

    第一,因為騰訊的業務非常大,類型也很多,所以這個抗DDoS的要求會很高,是個通用型的產品。

    第二個是幫騰訊云上的商戶做,把它防護的每一個業務當成一個商戶的話,它能適配不同的流量模型和類型,針對每一個商家,都是不同的模型,而不是一種一刀切的形式。

    像傳統的廠商或者是說傳統的方法,都是用一刀切的方式,就是我加一些黑特征,只要他命令這個特征,我就認為是攻擊,就把它攔掉。但是這可能會造成誤殺,比如它搞了一個活動,然后流量跟以前不一樣了,現在用機器學習的方法,會有一些調整,減少誤殺。

    雷鋒網:在AI+安全領域,你有沒有特別欣賞的公司?

    胡珀:其實我們重點是看哪些公司能把AI應用在安全場景,然后對自身企業的安全防護會產生不錯的效果。

    本文來源:雷鋒網

    如沒特殊注明,文章均為網建科技原創,轉載請注明來自http://www.daherba.com
    相關新聞

    11月小米新機第一次體驗:一個不發燒生的驚人耐力怪獸

    11月小米新機第一次體驗:一個不發燒生的驚人耐力怪獸 終極性價比是Redmi獨立運營后的產品理念。這...

    日期:2020-12-01

    來自西藏布達拉宮的祝福,感受藏傳佛教創作之美

    來自西藏布達拉宮的祝福,感受藏傳佛教創作之美 今年是特殊的一年。這一年有太多的起起落落,讓我們...

    日期:2020-12-01

    榮耀和華為‘分手’,怎么走?任給了一個答復

    榮耀和華為‘分手’,怎么走?任給了一個答復 小米CEO在新機發布會上說,他想超越華為,以至于被網友造出...

    日期:2020-11-30

    全球PC市場重新洗牌:戴爾險勝三星,蘋果第二,榜首難以撼動

    全球PC市場重新洗牌:戴爾險勝三星,蘋果第二,榜首難以撼動 隨著智能手機性能的提升和功能的豐富,平板...

    日期:2020-11-30

    華為WATCH GT 2 Pro體驗:傳統但更科技,入門有三個驚喜

    華為WATCH GT 2 Pro體驗:傳統但更科技,入門有三個驚喜 說到智能手表,經過幾年的迭代更新,它無疑已...

    日期:2020-11-30

    模仿蘋果!小米新服務上線,售后缺點一口氣補上

    模仿蘋果!小米新服務上線,售后缺點一口氣補上 今年,小米向高端手機市場邁出了非常成功的一步,三大數...

    日期:2020-11-30

    《令人心動的offer2》干貨滿滿,TCL 75C8至臻QLED TV帶你走近職場!

    《令人心動的offer2》干貨滿滿,TCL 75C8至臻QLED TV帶你走近職場! 請...

    日期:2020-11-30

    北大在線名人造勢,艾泊背書,紅米千元機命王,盧加薪預期

    北大在線名人造勢,艾泊背書,紅米千元機命王,盧加薪預期 11月26日,紅米note 9發布會如期召開。之前有...

    日期:2020-11-30

    最小的5G手機上市了,配備了和iPhone一樣的攝像頭,但是800塊錢的價格更便宜

    最小的5G手機上市了,配備了和iPhone一樣的攝像頭,但是800塊錢的價格更便宜 受各種外部因素影響,蘋果...

    日期:2020-11-30

    坐擁4800萬粉絲,國貨之美去IPO,深得騰訊和阿里青睞

    坐擁4800萬粉絲,國貨之美去IPO,深得騰訊和阿里青睞 近年來,美容市場已經成為中國消費領域的“黑馬”...

    日期:2020-11-30

    日本免费的高清毛片视频
  • <rt id="ks68k"></rt>
    <source id="ks68k"><wbr id="ks68k"></wbr></source>
  • <s id="ks68k"></s>