从态势感知到人工智能
概念热度蹭得互不认识
在某安全大会上,公司A、B、C三家公司的员工碰到一起聊技术,碰巧3人都在做“态势感知系统”,但是聊着聊着发现:
- A做的是情报系统;
- B做的是服务器日志分析;
- C做的是用户画像做风控决策的依据。
三家公司理解的态势感知完全不一样。
可见,蹭概念热度有时蹭得大家互不认识了。
现在“态势感知”与“威胁情报”一直都很火,在我的理解里面,态势是预测,情报是事实。
但显然,目前大家对此概念理解是不一致的。
当文字“一”被读作“二”,文字“二”被读作“一”时,随着此种情况的增多,必然会导致沟通障碍。
最近看到一篇PPT,又提到一个新概念叫“纠缠感知”,是指对终端与服务端的态势感知。作为一个刚看过《蚁人2》的娃,有点怀疑作者也是个漫威迷。
最近“量子纠缠”的应用挺广的,前有通讯安全、针灸论文、后有纠缠感知(算是态势感知的进阶版)。除此之外,还有“平行安全”、“拟态安全”、“有限系统的不安全经络图”……
对于玩概念事件的思考与应对
- 提出新概念蹭热度的人,一定不是从事一线工作的人;
- 提出新概念蹭热度的人,一定是从事理论研究为主的人;
- 跨界知识的关联有时可能帮人更系统地掌握知识,有时可能让人走火入魔(所以我从不拿医学说信息安全);
- 被概念玩的人,一般是想法太多,读书太少(最近量子有点火,吓得我赶紧去读了本量子力学方面的书:《给孩子讲量子力学》),所以有空多读杂书;
- 关注和理解新概念,但不盲目跟进。早几年国外某著名安全会议上有人提出SSRF的概念,当时我还发在同事微信群了,后来没想到这概念达到业界公认的程度,也是搞web的同学必须掌握的知识点;
- 别以为精通“闭环”、“落地”、“赋能”、“大局观”等等专业术语就能搞好工作了……
- 当技术的发展需要哲学思想来带动的时候,就是技术发展受阻的时候。
无AI,不开会
最后互联网安全大会的PPT都公开了(下载地址:https://pan.baidu.com/s/18mZIJcwyhtRVkPyVNDHmig),最常见的一个关键词应该算是“人工智能”,各个分论坛基本都有个标题包含“人工智能”,过程都是建模型,搞算法,训练样本,应用业务,但实现细节、应用效果,大家一般都不谈,或者是过程搞得很牛逼,结局却很惨淡。
也不是说AI没用,它在生物识别、身份鉴别、风控、内容监管、以及一些黑灰产领域被应用得挺有成效的,但在漏洞领域,似乎仍处于探索的低迷阶段。
比如某篇挖PDF漏洞的议题,基于AI生成PDF样本,先拆分收集样本的obj、stream数据,再用AI训练构造文件模型,然后再按模型组装前面拆分的数据,思路不错,但从效果看,依然觉得这是项高投入低产出的工作:
因为从结果上看,这些偏门或者旧版本的PDF阅读器,直接暴力Fuzzing就有挖到一堆,完全没必要应用到AI上,纯粹是“会议式研究”:
不过也有看到不错的议题,比如基于符号执行挖掘内核double fetch漏洞,也是第一次看到符号执行在漏洞挖掘上效果这么好,但它跟AI无关就是:
