2017先知創新大會:尋找改變行業發展的中國原創安全技術

編者按：這是信仰的時代， 當我們計劃向太空移民， 用體內的晶片溝通， 光速穿梭到另一個城市， 當量子技術突破天空的限制， 我們相信一切盡在掌握。 

但這也是懷疑的時代， 當整個國家被無法預知的網絡攻擊入侵， 當我們無法控制自己的隱私和數據，我們發現，未來的危險，從來無法預知。

而先知大會承載著那些不斷突破技術邊界冒險者的思考，探究安全技術的下一拐點將在何處。

以下是先知創新大會（XIANZHI INNOVATION CONFERENCE）部分議題，雷鋒網(公眾號：雷鋒網)現場整理。

量子密碼的現有研究和未來趨勢

議題：量子和相對論密碼學：基於物理原理的信息安全

演講嘉賓：施堯耘 阿里雲首席量子技術科學家，之江實驗室副主任

「大型量子計算機出現後，目前廣泛使用的公鑰密碼系統都不安全了。所以可以肯定的是這些系統會逐步被替換成我們不知道如何用量子計算機破解的系統。這就是所謂的『後量子密碼學』，美國國家標準局現在正在收集候選協議。這個對公鑰密碼系統顛覆已經在進行中，即使大型量子計算機的出現還很遙遠。」這次的演講，會圍繞量子密碼的現有研究和未來趨勢，在中國做首次分享，技術本身和角度上都有創新點。

為黑客建立檔案庫

議題：跨瀏覽器設備指紋在黑客溯源中的應用

演講嘉賓：雲舒 默安科技CTO兼聯合創始人；程進 默安科技安全研究員

雷鋒網此前曾對默安科技有過介紹，聶萬泉的野心，不是營收翻 500%；默安科技：如何用機器學習算法為黑客做「蜜罐」。無論是原來的「幻盾」還是現在的「幻陣」，他們一直在對神出鬼沒的黑客進行溯源，這次他們的議題是如何通過設備指紋來為黑客建立檔案庫。

設備指紋是一項常用在風控領域的技術，但在黑客溯源領域還鮮有人使用，本議題研究了目前最新的設備指紋技術--跨瀏覽器設備指紋，並且將之用在黑客溯源領域，當面對APT攻擊的時候，利用該技術對能夠十分準確標記黑客，還原黑客整個攻擊路徑，溯源黑客行為，及時通知管理員處理，給予攻擊者一定的威脅。

程進介紹了多種最新的設備指紋特徵，如音頻指紋，WEBGL指紋，系統語言指紋，顯卡指紋，WEBRTC獲取IP的信息，等等，對這些新的和舊的設備指紋特徵，利用機器學習計算指紋相似度，生成跨瀏覽器指紋作為攻擊者唯一設備ID,用來識別，追蹤攻擊者，還原攻擊者的攻擊路徑，為黑客溯源引入新的技術和思路。

通過對網際網路「黑話」的檢測打擊黑產

議題：網際網路地下產業中的黑詞檢測及其應用

演講嘉賓：段海新 清華大學網絡科學與網絡空間研究院教授，網絡空間安全實驗室主任

你知道「平馬二中一」、「丁香五月天」、「咕嚕咕嚕出肉」都是什麼含義嗎？

如果你上網搜索完，可能會發現一個新世界。

段海新近年來一直從事網際網路「黑話」的檢測和研究。雷鋒網此前曾對此有過報導這位研究網絡黑產的清華教授總結了一本《黑產黑話寶典》。

「黑產詞」是伴隨黑產出現的產品同義詞及違法產品本身的關鍵詞的統稱。非法商販和買家通過協定新的詞彙表示一種產品，以此躲避監管。例如段海新的研究主要FOCUS在黑產次的檢測、黑詞和白詞的過濾、提取和判斷。此項話題是公眾非常有感知，但各大會議中很少介入的點。視角和互動性都有創新意義。

「MD5 碰撞技術」獲「先知獎」

在密碼分析領域，王小雲攻克了兩大國際哈希函數標準MD5和SHA1分析難題，給出兩算法的碰撞攻擊，MD5由圖靈獎獲得者Rivest設計，SHA1由美國國家標準技術所NIST與安全局NSA設計，兩算法是電子籤名等眾多密碼系統的核心技術。該工作震驚了世界密碼學界，引發了哈希函數分析與設計的研究熱潮。

她主持設計了我國哈希函數標準SM3，該算法被納入我國30個重要行業規範並廣泛使用，涵蓋計算機通信系統、數字證書、金融系統、國家電網、醫療保健、教育和交通系統等。此外，給出多個重要消息認證碼算法ALPHA-MAC、MD5-MAC等子密鑰恢復攻擊。

我是如何攻破那些安卓手機的

議題：Reloaded: Modern Android Devices Security Review

演講嘉賓：Flanker 騰訊科恩實驗室高級研究員

十年Android正值壯年。

Mobile Pwn2Own的舞臺上，攻與防螺旋發展，利用的手法也不斷演進，同時也促使廠商更注重Android平臺的安全性，其安全性正在發生革命性的提升。

層出不窮的新功能、特性和防禦機制會對漏洞的挖掘和利用帶來哪些新的影響？

Flanker以多個Android廠商旗艦為例，結合靜態逆向分析和動態fuzz方法，闡述了新形勢下漏洞挖掘的方法和實踐。

如何靜悄悄的用別人的帳戶為我買東西

議題：基於模擬態技術的物聯網感知安全

演講嘉賓：徐文淵 浙江大學電氣工程學院教授博導, 浙江大學系統科學與工程系系主任

設想一個場景：你正在與同事討論問題，放在一旁的手機卻在暗中「忙活」，比如打開購物網站下單、撥打電話、打開文檔和照片逐個查看。

這樣的場景並非是科幻電影場景，而是在先知大會中徐文淵演示的真實場景。雷鋒網此前也對這個團隊進行過報導鸚鵡用 Echo 購物成功？浙大「海豚攻擊」不服。

一般來講，人耳可以聽到的聲音在20至20000赫茲之間，而徐文淵團隊發起的語音攻擊，用的是20000至40000赫茲的超聲波語音指令。它像海豚的叫聲一樣，人耳是聽不見的。

浙江大學電氣工程學院徐文淵教授團隊經過上千次實驗後證實，利用智慧型手機普遍應用的語音助手，通過麥克風收集使用者語音，並將之加載至人耳無法聽見的超聲波上，可以實現對智慧型手機的遠程操控。

把最辛苦最繁瑣的漏洞挖掘工作交給 AI 去做

議題：《漏洞挖掘的工業時代尾聲，Android系統代碼審計新思路與AI漏洞挖掘的結合》

演講嘉賓：仲花 螞蟻金服巴斯光年安全實驗室高級安全工程師；此彼 螞蟻金服巴斯光年安全實驗室高級安全工程師

仲花&此彼在此議題中介紹了一種批量挖掘Android系統漏洞的全新角度，並關注被忽視的底層數據結構，以及通過代碼審計發現Android系統中攻擊面的方法，並展示相關實例。

最後，在結合現有的代碼審計方法論下，提出一種新的基於AI的漏洞挖掘系統設計。仲花&此彼表示，「我們找到了一種方法，能夠把最辛苦最繁瑣的漏洞挖掘工作交給 AI 去做，幫助企業做好網絡安全建設。」

通過機器學習幫企業判斷是真的用戶訪問還是攻擊

議題：基於生物行為特徵構建多尺度複合神經網絡安全模型

演講嘉賓：張振宇 極驗聯合創始人

傳統業務安全，往往基於單獨的業務數據進行分析建模，構建防禦系統，例如IP、設備指紋、歷史路徑、行為等，但是這些依然容易被黑產等攻擊者發現繞過，難以做到有效或自適應的防禦。

極驗在5年多對交互產生的生物行為特徵的研究基礎上，構建了多尺度複合神經網絡的安全模型，即在最細粒度的生物行為特徵作為基礎，通過層層抽象，分別建立生物特徵層、動作交互層、場景模型層、意圖習慣層等4個不同尺度又相互聯繫的安全模型，實現自免疫自適應的安全。

企業內網的每個角落都由 AI 守護

議題名稱：邊緣計算和縱深分析推動實現自適應安全

演講嘉賓：思睿嘉得總裁 董靖

全新縱深分析架構，與傳統SIEM和大數據平臺集中處理機制迥然不同，藉助邊緣計算和機器學習，將數據分析節點小型化，可部署至單臺伺服器或端點，對局部區域小規模數據集仍有極佳效果；分布於內網、邊界、數據中心、和混合雲，持續評估關鍵數據資產、網絡異常流量、用戶及設備惡意行為等風險，按照ATT&CK框架檢測未知攻擊，對內網橫向移動等有特效；集成網絡和終端調查取證和應急能力，亦可額外內置蜜罐和欺騙等模塊；宛若每個局部擁有小型SIEM，實現自適應持續檢測響應閉環，接受統一管理並可相互協調；部署只需快速接入伺服器或安裝端點軟體，無需巨資投入集中計算資源和帶寬，即可實現無處不在的智能安全分析，即使基礎設施架構頻繁調整仍能發揮效用。

AI存在哪些缺陷？AI本身是安全的嗎？

議題名稱：AI時代的攻防透視

演講嘉賓：百度首席安全架構師 武廣柱

AI時代，Cyberspace和現實物理世界的連結將前所未有的緊密。一方面，防禦方正利用AI從感知層、執行層、戰略層來強化Cybersecurity；而另一方面，攻擊方在繼續威脅傳統的系統安全的同時，也將帶來對AI自身的安全威脅。本次報告結合目前工業界和學術界的最新前沿進展，深入透析AI時代的攻與防。

用 iPhone X 演示 對 iOS 最新系統的越獄

議題名稱：移動系統漏洞攻防 - 永恆戰爭中的持續創新

演講嘉賓：阿里巴巴安全部 Pandora Lab 高級安全專家 宋楊

宋楊對 iOS 和安卓系統的安全機制進行了解析，以及對應的漏洞利用方法（比較通用）的研究，最終展示iOS最新系統越獄和 Android（華為或其他款）手機的Root的視頻。宋楊在現場用iPhone X演示了對 iOS 最新系統的越獄，不過現場沒有展示漏洞細節。

要關注深度學習框架中的安全隱患

議題名稱：深度學習框架中的漏洞與利用

演講嘉賓：360網絡安全北美研究院負責人 李康

深度學習引領著新一輪的人工智慧浪潮，受到工業界以及全社會的廣泛關注。儘管安全人員對深度學習系統的安全問題已開始關注，但對深度學習的安全研究大多集中在對抗算法以及數據汙染方向，對深度學習應用實現本身的安全並沒有給予足夠的重視。

通過分析常用的深度學習框架軟體實現，360 安全團隊在2017年夏天發現並公布了多個安全漏洞，涉及到的深度學習框架包括Caffe，TensorFlow，Torch等。 這些漏洞會導致多種對深度學習應用的威脅，包括拒絕服務攻擊，逃逸攻擊，以及通過深度學習系統漏洞來實現遠程劫持。 此次演講現場展示了這些深度學習框架中的安全隱患，目的是提醒公眾在期待人工智慧應用的同時關注人工智慧系統實現的安全問題。

AI模仿筆可能讓你傾家蕩產

議題名稱：從AI模仿筆跡看人工智慧帶來的安全新問題

演講嘉賓：中國金融認證中心機器學習實驗室高級研究員 李闖

李闖對 AI 模仿筆跡的原理進行了講解，原來AI模仿筆真的可能讓你傾家蕩產！

要辨別真實筆跡還是AI 模仿的，比辨別真假孫悟空還難。講師還分享了自己在極棒上演示的ai書法。此前雷鋒網(公眾號：雷鋒網)對此也有過報導AI模仿人類筆跡，汽車失控，屬於黑客的舞臺戰鬥不息。

寫在最後：

30年前，應用最為廣泛的安全技術鮮有來自中國的，而今，16位華人安全科學家分享了各自的前沿研究。在短短兩天內，來自阿里、騰訊、百度在內的頂級科學家，為我們展示了來自中國的原創安全技術。

今年「MD5 碰撞技術」獲「先知獎」，明年會是誰？

雷鋒網原創文章，未經授權禁止轉載。詳情見轉載須知。