2019年1月20日,北京中关村集成电路设计园,一场机器人与机器人之间的漏洞挖掘争夺赛如期上演。
和以往大多由网络安全技术人员赤膊上阵进行技术比拼的竞赛不同,此次BCTF-RHG漏洞挖掘挑战赛完全是由各站队编写的机器人程序之间展开的角逐。
机器人网络攻防赛源于2016年美国DEF CON引入的CGC(Cyber Grand Challenge)赛事,是第一场在CTF竞赛中由机器人程序完成且过程中没有人类参与的竞赛。此后,国内开始引入此类赛事,2017年由永信至诚等多家单位举办的“首届国际机器人网络安全大赛”开启了国内CTF竞赛的全新模式。
基于永信至诚研发的国内第一个机器人网络安全竞赛平台——RHG,后续又举办了DEFCON CHINA BCTF 2018、中国网络安全对抗赛-智能安全破解挑战赛、2018“黄鹤杯”机器人网络安全大赛(RHG2018)等多场人工智能网络安全赛事。
BCTF-RHG漏洞挖掘北京分站赛况实时展示
随着AI技术的迅速发展,学术及产业界意识到人工智能在网络安全应用中的巨大潜力。在此环境下,竞赛自然成为推动AI及网络安全自动化技术进步的重要方式。所以,此次由百度安全主办、永信至诚承办的BCTF-RHG漏洞挖掘北京分站赛继续拉开了2019人工智能网络安全大赛的序幕。
激烈角逐 RAD战队首获冠
作为在2019DEF CON CHINA中举办的BCTF总决赛的预选赛,此次竞赛吸引了蝉联两届人工智能网络安全攻防大赛冠军的国防科技大学Halfbit战队,国内外知名的LANCET、Mech-Whale战队,深耕产业和科研领域的丁牛科技DigApis战队,全球能源互联网研究院有限公司RAD战队等十支战队齐聚。各战队在KR实验室悉心打造的20个人工智能攻防赛题场景中,展开激烈角逐。
大赛于当天上午10:30正式开启,在场观众虽不能明显感受到比拼的激烈程度,但每支站队均为自己的作品(自动化漏洞挖掘机器人)捏着一把汗。赛后来自全球能源互联网研究院有限公司的RAD战队在接受智会社采访时多次用“紧张”一词描述比赛开始时的感受。
相信这样的感受同多支战队的体会是一样的,比赛开启55秒,联合战队OutIsland连破三题拿到一血,这惊人的一幕着实另其他战队羡慕(心恨)不已。
随后RAD战队展开激烈追赶,并在10点31分59秒以四题收割的战绩超越OutIsland成为第一名。最终RAD战队以此成绩保持到6个小时的赛程结束并获得冠军。
全球能源互联网研究院有限公司RAD战队获得第一名
第一次参加RHG竞赛即获得冠军,RAD战队可谓是名副其实的黑马。队长张波表示,“我们在2017年就关注RHG比赛,18年初开始着手研发机器人程序。公司内部整个红队队伍有七十多人做漏洞挖掘相关工作,平时就编制了不少挖掘工具和挖掘脚本。此次机器人漏洞挖掘原型系统在2018年8月份成型,之后不断用此前比赛的样题进行测试,并邀请专业老师进行技术指导,算是做了不少准备。”
“相比高校队伍,我们可能在工程性和机器人功能性方面略有优势,机器人的性能优化和稳定性方面在比赛中是很重要的。”谈到自身的优势,张波如是说。
其实一个程序的鲁棒性尤为重要,在机器人比赛中也是如此。永信至诚CTO张凯表示,有几个战队的机器人在比赛中同平台的通信次数有限,甚至尝试一次失败后就再没有任何反应,这非常令人遗憾,意味着战队机器人的解题能力没有能够有效发挥,而排名靠前的战队在程序鲁棒性问题上考虑的相对更充分一些,值得一提的是中国海洋大学战队的机器人在最初阶段的沉寂后,比赛进行4小时的重启战略,帮助战队成功夺得本次竞赛的第四名,所以建议战队在设计机器人时还是应充分考虑一些意外情况的发生。
未来的安全对抗是自动化与自动化的对抗
当然,不同战队有自身不同的强项,总体看来人工智能技术在漏洞挖掘方面有着独到的作用。从此次比赛60秒内被攻破5题,足以看出在速度方面机器人有着人类无可比拟的优势。
机器的计算能力远超人类,人计算一个测试用例,机器可以计算十个、百个。从震网病毒到永恒之蓝,可以发现病毒在自动化传播方面已经产生威力,所以与之对应,防守方亟需人工智能技术加持以提升自动化防御水平。
人工智能漏洞挖掘即是AI在安全领域应用的有益探索,产业界已经展开广泛的研究,甚至推出相关的产品方案。IDC预测,2022年,逾50%的安全警报由采用人工智能的自动化过程处理。张凯直言,未来的网络安全对抗一定是自动化和自动化的对抗,AI安全的发展之路令人兴奋。
当然,目前来说机器挖掘漏洞也存在局限性,就像张波所说,由于实际环境中的代码量远超比赛题目的代码量,所以目前在实际工作中只能用它来做模糊测试,但要用它进行漏洞的自动化利用,目前还很难。还存在漏洞挖掘路径爆炸等很多性能上面的问题,需要进一步解决。
国防科技大学的张斌博士在当天下午的人工智能安全的进阶沙龙也指出,由于软件特性和漏洞特征难以描述,在机器自动分析与利用中人工经验难以建模。不过虽然这条路还有很长的距离要走,但每一个人均认可AI安全的发展之路。
张凯在采访中也指出,RHG平台也在不断升级和进化,包括提供数据接口等供各战队机器人程序持续优化,提升AI能力水平。
培育人工智能网络安全的未来
据介绍,2019年BCTF-RHG将以系列比赛的方式,分别为不同模式的智能机器人提供训练场所和竞技机会。百度安全与永信至诚将结合自身技术优势,一起培育人工智能网络安全的未来。
此次BCTF-RHG漏洞挖掘北京分站赛前五名获得了DEF CON CHINA中举行的BCTF总决赛的入场券,未来的几个月永信至诚还将联合举办针对Web类的复杂场景的AI攻防赛等。
“RHG诞生两年来,不仅为科研院所和企业搭建了一个交流的平台,更有多领域行业通过大赛,发展机器人并拓展自动化在网络安全的应用。每一次技术变革都是通过大量累积而突然飞跃,我们虽然还要很长的路要走,但是我们都是能够改变未来的探索者。”张凯说。
永信至诚网络靶场推出以来,共支撑了全国大大小小300余场网络安全竞赛,涵盖包括RHG等7、8种模式。可以说,竞赛模式把中国的网络安全环境变“活”了起来,以网络靶场平台来引领竞赛模式持续性革新,推动中国的网络安全产业发展和变革十分必要。
