网警专家：紧盯网络空间安全最新情况，为网信军民融合提供信息支撑

本文原标题为“浙江公安厅网安总队总工程师蔡林：紧盯网络空间安全最新情况 为网信军民融合提供信息支撑”。

一、人工智能领域安全态势

近年来，人工智能在机器翻译，图像识别，语音识别等方面取得了显著的成就。在安全方面的应用，也是最近的研究热点。下面主要从两个方面来谈，一个是人工智能的应用带来的安全增益，另一个是人工智能自身面临的安全威胁。

（一）人工智能在安全领域的应用

在安全领域的应用主要分为两个方面，一个是在漏洞挖掘领域，一个是恶意代码分类领域。在漏洞挖掘领域，今年微软采用seq2seq 网络模型从大量的pdf 样本中学习pdf 文档的格式，从而构造出符合pdf 规范的样本，辅助模糊测试，提高了代码覆盖率和解析通过率。德国哥廷根大学提出使用聚类算法自动推断出包含在C 代码中的污点类型漏洞的搜索模式，这种推断出的搜索模式减少了代码的审查数量。在漏洞挖掘领域，应用人工智能取得了一定的成绩，但是也面临一些限制，主要体现在训练集规模比较小，准确率相对较低。下一步发展，需要储备收集大量的现实漏洞测试数据集，还要构造新颖的适合漏洞挖掘的网络结构，进一步提高预测准确率。

在恶意代码分类领域，Droid-Sec使用深度学习方法对现实中的Android app 进行分类训练，最终准确率可以达到96%。Olabisi Falowo 等人提出使用随机森林算法分类钓鱼邮件，准确率可以达到97%。Mohammed Al-Janabi等人使用监督机器学习分类模型来对社交网络上的恶意URL 进行识别，这些URL 可能用于钓鱼、广告、诈骗等，识别准确率可以达到92%。在有些应用领域，比如入侵检测领域，机器学习分类器的准确率相对较高，但是由于测试基数巨大，导致很小的误差也可能影响用户的正常使用。

（二）人工智能自身面临的安全威胁

人工智能在带来安全增益的同时，也面临新的安全威胁。目前公众对人工智能的关注，缺少对安全的考虑，我们把这个现象称为人工智能的安全盲点。下面具体介绍两类针对人工智能的攻击手段。

1、对于分类器进行逃逸攻击

逃逸攻击是指攻击者在不改变目标机器学习系统的情况下，通过构造特定输入样本以完成欺骗目标系统的攻击。虽然深度学习系统经过训练可以对正常输入达到很低的误判率，但是当攻击者用系统化的方法能够生成误判样本的时候，攻击的效率就可以接近100%，从而实现稳定的逃逸攻击。例如，攻击者可以修改一个恶意软件样本的非关键特征，使得它被一个反病毒系统判定为良性样本，从而绕过检测。攻击者为实施逃逸攻击而特意构造的样本通常被称为“对抗样本”,例如，研究者一直试图在计算机上模仿人类视觉功能，但由于人类视觉机理过于复杂，两个系统在判别物体时依赖的规则存在一定差异。对抗图片恰好利用这些差异使得机器学习模型得出和人类视觉截然不同的结果，如图1 所示。

攻击者生成对抗样本使系统与人类有不同的判断

通过特定的算法，对分类样本进行一定的干扰，可以导致分类器输出错误的结果。一个著名的逃逸攻击的例子是Ian Goodfellow 用熊猫与长臂猿分类的例子，攻击谷歌的深度学习系统。该深度学习系统利用卷积神经元网络本来能够精确区分熊猫与长臂猿等图片，但是当攻击者对熊猫图片增加少量干扰后，生成的图片对人来讲仍然可以清晰地判断为熊猫，但深度学习系统会误认为长臂猿。图2 显示了熊猫原图以及经过扰动生成后的图片。2016 年许伟林采用遗传编程随机修改恶意软件的算法，自动修改PDF 样本成功逃逸了两个号称准确率极高的恶意PDF 文件分类器：PDFrate和Hidost。该方法也可以对 Gmail 内嵌的恶意软件分类器进行攻击，并且只需4 行代码修改已知恶意PDF 样本就可以达到近50% 的逃逸率，10 亿Gmail 用户都受到影响。

在图片中添加扰动导致深度学习系统的错误识别实例

另外，预埋后门神经网络也是需要提防的一种攻击手段。深度学习网络的训练通常需要在许多GPU上进行几周的计算，因此，许多用户将训练过程外包给云端，或者依靠预先训练的模型，然后对特定任务进行微调。但是外包训练引入了新的安全隐患：攻击者可以创建一个插入后门的神经网络，该网络在用户的训练和验证示例中具有最佳的性能，但是遇到特定的输入时会触发后门导致分类错误。创建了一个插入后门的美国街道标志分类器，遇到特定的停车标志图片时，后门网络将停车标志标识为速度限制，实现逃逸攻击。随着自动驾驶的普及，可以想象， 如果在自动驾驶过程中，将停车标志识别为速度限制，对行车安全危害有多大。

逃逸攻击就是要把百分之零点零零一的误判率变成百分之百的攻击成功率

2、基于软件漏洞进行对抗攻击

深度学习框架所依赖库的漏洞，将直接影响深度学习应用自身的安全。深度学习框架的使用可以让应用开发人员无需关心神经元网络分层以及训练分类的实现细节，更多关注应用本身的业务逻辑。开发人员可以在框架上直接构建自己的神经元网络模型，并利用框架提供的接口对模型进行训练。每种深度学习框架都是实现在众多基础库和组件之上，很多深度学习框架里还包括图像处理、矩阵计算、数据处理、GPU 加速等功能。图3 展示了典型的深度学习应用组件和它们的依赖关系。Caffe 除了自身神经元网络模块实现以外，还包括137个第三方动态库， 例如libprotobuf,libopencv, libz 等。谷歌的TensorFlow框架也包含对多达97 个python 模块的依赖，包括librosa,numpy 等。系统越复杂，就越有可能包含安全隐患。任何在深度学习框架以及它所依赖的组件中的安全问题都会威胁到框架之上的应用系统。

深度学习框架以及框架组件依赖

以手写图像识别为例，攻击者可以构造恶意的图片，使得人工智能系统在分类识别图片的过程中触发相应的安全漏洞，改变程序正常执行的控制流或数据流，使得人工智能系统输出攻击者指定的结果。攻击思路基本分为两种：

一是基于数据流篡改可以利用任意写内存漏洞，直接将AI 系统中的一些关键数据进行修改( 如标签、索引等) ，使得AI 系统输出错误的结果。

二是通过常规的控制流劫持( 如堆溢出、栈溢出等漏洞) 来完成对抗攻击，由于控制流劫持漏洞可以通过漏洞实现任意代码的执行，因此必然可以控制AI 系统输出攻击者预期的结果。

360Team Serious 团队发现了数十个深度学习框架及其依赖库中的软件漏洞。发现的漏洞包括了几乎所有常见的类型，例如内存访问越界，空指针引用，整数溢出，除零异常等。这些漏洞潜在带来的危害可以导致对深度学习应用的拒绝服务攻击，控制流劫持，以及潜在的数据污染攻击。

二、从网络空间到物理世界的安全威胁

传统PC 端的安全危害，往往是窃取机密信息或者个人隐私，但是随着物理世界的信息化改造，以及万物互联的趋势，信息安全将直接影响现实世界的安全，下面简要介绍车联网、物联网、工控网领域的安全威胁的特点。

（一）信息系统安全性普遍较差，漏洞频发

车联网、物联网、工控网自身发展时间较短，其安全设计意识相对传统PC 端也相对较差。

1、安全认证缺失，弱口令和硬编码口令盛行。

比如工控网络中PLC 通信很多都是无认证的，导致攻击者可以轻易远程控制PLC。摄像头设备大量存在着弱口令和硬编码口令的问题，导致攻击者可以轻易登录设备。

2、安全编码能力较弱，漏洞频发。

近年来工控安全漏洞数量增长趋势

比如施耐德PLC 的缓冲区溢出漏洞（CVE-2015-7937），特斯拉汽车固件远程代码执行漏洞，三星室内IP 监控摄像头远程控制漏洞等。图5 为近年来工控领域的漏洞增长趋势。

3、漏洞缓解技术相对滞后。

经过这么多年发展，PC 端已经设计了很多缓解栈溢出漏洞的漏洞缓解措施，阻碍漏洞利用成功，但是在物联网嵌入式设备中，这些防护措施往往没有实现。因此在历届geekpwn 比赛中，参赛人员可以轻松获取摄像头，路由器，智能家居的远程控制权限。

（二）安全防护手段低级

PC 端网络安全防护手段丰富多样，有防火墙、杀毒软件、蜜罐、入侵检测系统、数据防泄漏系统等等。但是受限于物联网、车联网、工控网的智能设备计算能力较弱，稳定性高于安全性的特点，往往采取低级的安全防护手段。比如工控网络中，大多数设备的安全是建立在物理隔绝的基础之上的，隔离网络中的系统往往很久没有更新补丁，存在或多或少的漏洞，而且缺乏杀毒软件的保护（或者病毒库没有及时更新），隔离网络一旦暴露在互联网下或者攻击者通过摆渡攻击进入隔离网络，风险巨大。再比如目前车联网缺乏严格的权限隔离安全防护措施，部分车辆的车载娱乐系统与车辆控制CAN 总线没有做好隔离，攻击者一旦通过蓝牙或者wif i 攻陷车载娱乐系统，将可以进一步通过CAN总线控制车辆的行驶。

（三）攻击趋势

针对工业控制系统的攻击，复杂度较高，呈现出国家级对抗的形式，危害也更巨大，比如2010 年爆发的“震网”事件，“震网”病毒也成为了第一个真正意义上的网络战武器。2016 年12 月针对乌克兰电网的黑客袭击事件，造成其首都基辅断电超一小时，数百万户家庭被迫供电中断。

针对物联网设备的攻击，趋向于构建僵尸网络或者挖矿机。比如2016年10 月由于Mirai 病毒感染物联网设备，形成了一个超大型的僵尸网络向美国DNS 公司服务器发起了DDos 攻击，导致半个美国的网络瘫痪。今年9月开始，新的僵尸网络IOTroop 正在快速增长，在过去的一个月里已经感染了100 万家企业和机构，其中包括医院，国家运输系统，通讯公司和政治机构，将带来超过Mirai 的安全威胁。

与Mirai 类似, 恶意软件的目标是有网络连接设备, 如由D-Link，TP-Link，Avtech，Netgear，MikroTik，Linksys，Synology 和GoAhead 制造的路由器和无线 IP 摄像机。

针对车联网的攻击，目前主要体现在研究演示的阶段，比如geekpwn 比赛，安全会议等，目前还没有公开的攻击案例。但是随着车联网的普及，这方面的风险也不容小觑。

三、APT 攻击态势

APT 攻击（Advanced Persistent Threat，高级持续性威胁）堪称是在网络空间里进行的军事对抗。攻击者会长期持续的对特定目标进行精准的打击。

( 一）APT 攻击者与攻击目标分布

截至2016 年12 月，360 追日团队共监测到全球41 个安全机构及安全专家发布的各类APT 研究报告100 份，涉及相关APT 组织43 个（只统计了有明确编号或名称的APT 组织），涉及被攻击目标国家38 个。表1 给出了360 威胁情报中心监测到的全球各国关于APT研究情况的对比。

表1 全球各国APT研究情况对比

从表1 中可以清楚看出，无论是从研究报告的数量、研究机构的数量，还是涉及APT 组织的数量来看，美国在全世界都处于遥遥领先的地位。从报告数量和参与研究机构的数量来看，中国排名全球第二。

总体而言，从全球范围来看，在APT 研究领域，美国和俄罗斯目前还是处于绝对领先的地位。并且这两个超级大国都拥有数目庞大的安全初创团队和初创公司在关注、狙击以及深入研究APT 攻击。国内研究机构关于APT 的研究水平，目前最多只能算是全球第二梯队的排头兵。

造成中国APT 研究水平明显落后于美俄等国的主要原因有以下两个方面。

首先是国内能力型厂商的缺乏。APT 攻击针对性强，隐蔽性高，普通的民用安全技术往往很难有效防御，甚至根本无法发现。目前在国内，除了360、安天等少数机构外，其他真正有能力发现和研究APT 攻击的厂商、机构非常有限。

其次是美俄两国， 特别是美国，非常善于通过公开威胁事件及情报共享等方式，提高国内机构与企业的整体安全防护水平，同时借此对其他国家施加政治压力。APT 攻击的研究与披露，已经成为大国政治与战略博弈的重要棋子。

表2 全球APT研究关注被攻击国家排行

从表2 可以看出，次数最多的被攻击国家依次是：中国、美国、印度、俄罗斯、乌克兰、巴基斯坦、伊朗、韩国、日本、以色列、土耳其、埃及和沙特阿拉伯。

从上表中可以看出，无论是从相关研究报告的数量来看，还是从攻击组织的数量来看，中国都是全球APT 攻击的第一目标国。各家报告披露的攻击美国的APT 组织数量与中国相同，也是9 个。

（二）APT 攻击的特点与趋势

网络空间已经成为大国博弈的新战场。如果说震网病毒事件、乌克兰停电事件表现出了“弱小国家”的基础设施在面临网络空间非常规打击时的脆弱性，那么2016 年DNC 邮件泄漏直接影响美国大选结果的事件，则充分说明：即便是当今世界唯一的超级大国，在网络攻击面前也同样脆弱，其政治、经济、社会心态等各个方面都有可能受到网络攻击的深远影响。

针对基础设施的破坏性攻击日益活跃。自从震网病毒被发现至今，针对基础设施进行破坏的网络攻击活动就一直没有停止。一系列针对基础设施的破坏性攻击被曝光，而且尤以工业系统和金融系统遭受的攻击最为严重：乌克兰停电事件、沙特Shamoon2.0 事件、孟加拉央行被窃事件、台湾第一银行及泰国邮政储蓄银行ATM 被窃事件，都属于非常典型的破坏性攻击。也正是由于这些破坏性攻击的存在，才使APT 攻击更加引人关注。

针对特定个人的移动端攻击显著增加。摩诃草、蔓灵花等针对中国发动攻击的APT 组织都被发现使用了移动端专用木马程序，其中即有适配安卓系统的，也有适配苹果系统。客观而言，移动终端上存储敏感或机密文件的可能性要比PC 终端小得多。因此，攻击PC端的APT 专用木马也要比攻击移动端的专用木马多得多。但是，移动端也有其特殊的攻击价值，特别是攻击移动端客观上可以实现对设备持有者日常活动的贴身监测，并且能够获取目标人的关系网信息。

多向量多人协同攻击特点。多向量是指APT 攻击往往涉及到多个漏洞的组合利用，比如三叉戟漏洞攻击，利用的CVE-2016-4655，CVE-2016-4656，CVE-2016-4657，分别为webkit漏洞，内核信息泄露漏洞，内核内存损坏漏洞，相结合达到突破iOS系统权限。万物互联，人是安全的尺度。比如今年揭露的黑客卧底京东，被举报后牵出一支犯罪团伙，该犯罪团伙多人协同，从内向外突破京东的层层安全防护，形成一整套完整的地下黑色产业链。

四、供应链威胁

供应链是指由供应商、制造商、分销商、零售商直到最终用户所连成的网链结构。比如惠普台式电脑主要由主机和显示器组成，主机又包括电源、内存、CPU 等硬件和操作系统、应用软件等，原器件大多都来自不同的厂商，这些厂商的集合就是供应链。

前不久，惠普电脑的音频驱动程序被瑞士一家安全公司发现隐藏了内置的键盘记录器，可收集个人文档、网络账户和密码等一切键盘输入信息。该安全公司的报告发布后引起业界一片哗然，人们对惠普电脑全球范围内的隐私泄露及危害网络安全的行为深表担忧。

惠普键盘记录器事件只是网络安全领域的冰山一角。在网络空间中，最核心的器部件莫过于计算芯片、存储芯片、数据库、交换机等设备。这些都是数据产生、存储、处理和传输的重要器件，它们若出现了问题，可能给用户带来诸多方面的影响。下面从源码编写，源码编译，软件分发与下载，软件更新等不同阶段分析供应链威胁。

（一）源码编写阶段

在源码编写阶段就预埋了后门。Xshell 是NetSarang 公司开发的安全终端模拟软件，2017 年7 月18 日发布的软件被发现有恶意后门代码，该恶意的后门代码存在于有合法签名的nssock2.dll 模块中。逃过杀毒软件的检测，并且将用户的登录凭证上传到攻击者服务器。

（二）源码编译阶段

攻击者发布被植入后门的编译器，开发者再使用该编译器编译源码，从而在编译阶段插入了攻击代码，编译生成含有后门的应用程序。用户下载安装该应用程序，导致信息泄露。典型的攻击事件是2015 年9月的XcodeGhost 事件，此次被感染的APP 数量超过四千个，包括用户群非常庞大的QQ、微信、滴滴打车等应用。

（三）软件分发与下载阶段

为了获得免费软件，用户往往从第三方网站下载盗版或者破解软件，但是安全性难以保证。比如用户在百度旗下两个网站www.skycn.net、soft.hao123.com下载任何软件时，都会被植入恶意软件，使得软件分发与下载环节受到污染，百度方面在3 月3 日也发表声明承认问题真实存在。

（四）软件更新阶段

攻击者首先攻陷软件官网，篡改软件更新源，然后在用户的软件更新阶段，植入恶意代码，此种类型的攻击手段呢也称为水坑式攻击。比如，安全公司在2014 年披露了Havex 木马攻击事件，攻击者通过篡改供应商ICS/SCADA 网站， 使得通过这个网站上下载的软件升级包中包含恶意间谍软件，当用户下载这些软件并安装时实现对目标用户的感染。此次攻击事件针对能源电力运营商，主要为电力公司、石油管道运营商和能源产业控制系统（ICS）设备制造商。大多数受害者都位于美国、西班牙、法国、意大利、德国、土耳其和波兰，1500台机器被控制。

本文刊登于《网信军民融合》杂志2017年12月刊

声明：本文来自网信军民融合，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。