网络安全进化永不停歇 要为人工智能保驾护航
8月19至20日,第七届互联网安全大会(ISC 2019)在北京正式召开。作为亚太地区规格最高、规模最大、影响力最深远的安全峰会之一,今年大会以“应对网络战,共建大生态,同筑大安全”为主题,邀请了诸多网络安全专家、厂商参会,共同聚焦大安全时代中的网络安全问题。
近年来,人工智能作为最具颠覆性和战略性的核心关键技术,持续引起全球产业界、学术界和各国政府的高度关注。与此同时,网络安全作为国家安全的重要组成,其面临的威胁与挑战日趋严峻复杂。在8月20日下午的人工智能与安全论坛上,与会嘉宾围绕“智能化网络安全技术”这一主题,针对我国智能化网络安全理论研究、软硬件产品研发、行业应用、产业链整合等话题,展开了深入的交流。
图源:图虫创意
周鸿祎:网络安全进化永不停歇 为人工智能发展保驾护航
360集团董事长兼CEO、中国人工智能学会人工智能与安全专委会主任周鸿祎在致辞中谈到,我国2017年就制定了人工智能的行动计划,如今国内人工智能正处于攻坚期,正需要安全技术为其保驾护航。
随后,周鸿祎抛出两个问题:一个是如何利用人工智能技术加强我们在安全上的能力,第二个是人工智能本身作为一种计算机软硬件技术,它自身如何防止被攻击者利用。
周鸿祎指出,今后相当长一段时期内,网络攻防的本质还是人和人的对抗,人工智能还是不能取代人,我们要把人工智能变成一个有用的辅助工具,让其在安全的诸多领域发挥更大的作用。
目前,360公司推出的网络安全大脑就在探索利用人工智能深度学习的技术,对恶意样本进行归类,从中筛选可疑的线索。尽管目前尚未实现漏洞自动挖掘,但它已能使研发人员不再大海捞针。
周鸿祎还指出,安全市场最大的竞争对手并非国内的“友商” ,而是那些恶意的黑产,恶意的黑客甚至是其他国家的网军。这些人不断地改进攻击技术,不断挖掘各种漏洞,因此,维护网络安全的工作将永无止息。
最后,周鸿祎强调:人工智能技术是一把“双刃剑”,人工智能确实存在种种安全缺陷,我们找到这些缺点,就可以防范他们带来的安全威胁,使得人工智能技术可以更好地往前走。
对付黑客最有效的不是技术,而是人
随着人工智能的发展,今后网络攻防双方将大规模地利用人工智能技术,使攻防的节奏成指数级的递增。北京邮电大学信息安全中心主任杨义先的演讲聚焦在“以人为本”的网络安全问题。他强调对付黑客和安全最有效的手段不应该只是去靠技术打拼,而是要靠人。
杨义先指出,黑客攻击具有以下特点:第一,攻击的直接对象是热血的“人”,而不是冷血的“设备”。第二,是一种赛博式攻击 ,常常是需要与被攻击者之间进行多次信息互动,逐步诱导,黑客与被攻击的人之间并无直接的身体接触,所以黑客攻击的武器其实只是“信息”,攻击成果的表现形式也是“信息”。
杨义先强调:几乎所有的安全问题都是由人而起,黑客常常基于心理学成果,利用社会工程学,来攻击“人”。所以,只要掌握黑客的心理学,才让安全保卫者更为有效的防范黑客的攻击,而对于不做黑客,也不对付黑客的人来说来说,黑客心理学也可以大大提高防骗意识。
基于人机协同的漏洞挖掘是重要研究方向
近年来,深度学习与强化学习为代表的人工智能技术取得一系列突破性的成果,特别是在图象识别、语音识别等领域已经有了比较广泛的应用。360集团安全研究员邹权臣在演讲中表示,漏洞挖掘技术正在经历由专家辅助向更加自动化演进的过程,人工智能技术的发展为解决这些瓶颈问题提供了新的思路。
邹权臣指出,当前基于人工智能的漏洞挖掘技术还存在着一系列的挑战,这些挑战可能有一部分就是来自人工智能本身的缺陷和局限性引起的。这些局限性可能包括了本身的算法不够安全,还有就是不可解释性,模型场景化,数据饥饿等一系列的问题,对应到基于人工智能做漏洞挖掘的时,便面临着算法选择依赖经验,特征选择依赖专家知识,漏洞数据收集困难等一系列的问题。
邹权臣认为,基于人工智能的漏洞挖掘技术目前仍然有比较大的探索空间,未来可以加强机器学习算法与应用场景之间的适用性探索,因为很多场景还没有被开发出来,可以发挥更大的作用。
人工智能是扭转攻防信息不对称的必备条件
网络完全解决方案首席专家王雨辰表示,对抗方法论决定了由于因为网络安全攻防信息的不对称,导致现阶段的网络防御都要付出巨大成本。安全的目标是为了胜利,不是为了打仗。如果我们陷入对抗,杀敌一千,自损八百,我们已经输了一半了。因此,与其对抗攻击,不如建立易守难攻的安全环境。
王雨辰表示:信息安全体系的发展逐渐体系化,使得网络安全从外部安全威胁的对抗,到内部安全问题的维护中来,通过系统化方法,进一步降低安全保证成本,提升攻击成本。
在他看来,人工智能是未来扭转攻防信息不对称的必备条件,关键在于它要有效降低安全系统对安全知识的积累和有效使用的成本。
物理攻击会更加复杂,对算法鲁棒性的要求更高
随着人工智能系统在很多领域相继落地,人工智能本身的安全问题日益受到人们的重视。中科院信息工程研究所研究员陈恺通过实例向观众展示了如何利用声音、图像中的噪声信息“骗”过人工智能智能大脑,对抗自动驾驶目标识别系统。
陈恺表示,相对于数字情况下做攻击,物理攻击会更加复杂,对于人工智能算法鲁棒性的要求更高。因此,只有掌握了各种攻击方式对于人工智能造成干扰的原因,才更有能力制定相应的防御思路,在模型之前可以放一些检测器进行检测对抗样本,可以提升网络的安全性能。
人工智能解放稀缺医疗资源
北京大学肿瘤医院高级工程师张艺宝,谈到人工智能在他所从事的的领域的应用,他表示放疗从CT定位、到计量优化、再到质控和执行、最后到评效和随访,是一个“步步可AI”的流程。
张艺宝表示,对于放疗的高端设备,相当于一台高级单反相机,大多数人工智能当成傻瓜相机在用,真正疗效的好坏,很大程度上还取决于物理师的水平和经验。
“优质医疗资源,永远是稀缺的。人工智能给我们提供了一种可能,就是把我们从这种机械的重复性工作中解脱出来,让我们可以为更多的医院服务。”张艺宝说道。
人工智能助力自动化攻击模拟
自动化攻击模拟中的应用是当下提升网络安全水平的最佳实践之一,思睿嘉得创始人董靖表示,虽然现阶段攻击模拟已经是提升安全水平不可缺少的部分,但是攻击模拟也存在人力成本居高不下,整个信息环境、信息基础设施复杂化,风险等局限,只有做到自动化攻击模拟,才能时时刻刻,每天每周每个月都会去做。
AI思维要从娃娃抓起
“学习AI要从娃娃抓起”,码有引力公司创始人、重庆邮电大学高级工程师黄永洪认为,AI为教育带来STEAM教育的革命。黄永洪表示,人工智能、数学和程序之间相互转换,其实是比较容易的,但前提是我们要把这种概念融到数学教学过程中,要让人学会机器的思维。在STEAM教育里,以AI为主线,可以有效的提升兴趣和主动学习的能力,缩短学习的周期,同时还能有效实现自然科学和人文科学的融合。
在大安全时代下,网络安全的重要性已经被提到前所未有的高度,而人工智能最具颠覆性和战略性的核心关键技术,与网络安全的关系是相辅相成的。人工智能不仅可以大大提升网络安全工作的的效率,网络安全还要为人工智能的发展保驾护航。在本次ISC 2019人工智能与安全论坛上,充分显示出人工智能与网络安全领域的融合已经在网络、出行、医疗、教育等领域发挥重要作用。正如周鸿祎所希望的,如今ISC已经被打造成为成为一个百花齐放、百家争鸣的安全行业的交流会,各路专家各抒己见,展示交流最新的行业成果与见解,共同推进中国网络安全及相关产业的发展,共筑“大安全”。