日前,2018 ISC互聯網安全大會在北京國家會議中心舉行。京東安全受邀參與本屆大會,並分享了AI安全相關研究成果。京東首席信息安全專家Tony Lee在安全創客匯活動擔任創業大賽評委,並在會後向記者表示:“大數據和人工智能安全將成為安全的主戰場,京東安全將持續秉承‘開源’的態度,賦能京東生態。”
大數據安全保衛戰
華住酒店“脫庫”事件爆發,黑產竊取個人數據的消息再次甚囂塵上,成為全民焦點。然而,對大數據感興趣的除了黑客,還有其他的商業或情報機構。在ISC2018大數據安全分論壇上,京東安全技術專家趙彬以華爾街數據公司的數據獲取和分析相關商業市場為案例,介紹了當下企業大數據安全保護的必要性與相關保護措施。
趙彬表示:很多華爾街的數據公司,除了在網站上爬取公開的數據,還會利用隱秘的API來獲取敏感數據。有數據顯示,1個IP每天對1個API的爬取甚至多達18萬次。
對於大數據安全的保護,趙彬提出了系列解決方案,包括反爬蟲技術、CAPTCHA圖形驗證碼、AI人機識別等。
據瞭解,為了保障用戶數據安全,京東率先定義了數據脫敏規範。在任何情況下,所有對數據的使用都必須採用信息安全部定義的脫敏技術對敏感數據脫敏。這樣一來,即便有數據被黑產獲取,也不會對用戶造成實質影響。京東還基於大數據分析及設備指紋等技術,構建了事前、事中、事後多層次、立體化的防禦體系,讓黑產進不來、不能來、不敢來。
以AI對抗黑產
在AI技術的“賦能”下,黑產組織的犯罪行為呈現出高度組織化、規模化以及智能化的特徵。對此,京東安全技術專家蘇志剛在ISC2018人工智能與安全分論壇上提出了“以彼之道還施彼身”的策略,用AI對抗黑產。比如,黑產常常會用機器註冊,利用AI來模擬人類行為,從而最大化的提升效率。而這其中,機器註冊通過圖形驗證是最關鍵的一步。因此,京東反攻的第一步便是針對目前市面上所有的打碼平臺進行模型提取,同時找出黑產模型弱點,並自動產生只對機器註冊有效而對人註冊無效的對抗性樣本。
據瞭解,目前這項技術在京東已經得到了廣泛應用,使得黑產通過機器註冊驗證成功的概率從原來的76%下降到12%,而且還在對抗中不斷強化,可以說是用AI致盲了AI。
除此之外,京東安全還在大力發展AI解釋技術,從根本上理解AI的判斷邏輯,從而更能有針對性的作出反擊。
安全更重服務和運營在全球網絡安全的威脅下,沒有人可以獨善其身。特別是對於一些網絡安全領域沒有研究和積累的中小企業來說,面對AI、大數據等技術的集中爆發,隨時可能面臨黑客攻擊而無招架之力。因此,Tony Lee表示“今天的安全公司創業更加註重服務化、運營化,這是未來的趨勢。安全服務,未來也應該像水和電一樣,成為互聯網的便捷易用的基礎設施。”
據瞭解,目前京東安全在七大塊進行了部署,除了數據中心、智慧物流、大數據安全、賬號業務安全等,還有IOT安全、AI安全等新興方向。除了專注於自身業務安全,京東安全也在積極推動技術開源、安全社區的建設,賦能給第三方去使用這些技術。用Tony Lee的話說,要讓這些好用的技術,幫助更多中小企業走出“安全貧困線”。
閱讀更多 科技與創意 的文章
