頂尖的網(wǎng)絡(luò)安全研究人員到底在關(guān)注什么哪些研究和安全事件？本期，雷鋒網(wǎng)邀請(qǐng)了CGC 機(jī)器人競(jìng)賽項(xiàng)目 UGA Disekt 的創(chuàng)始人李康從 2 月網(wǎng)絡(luò)安全領(lǐng)域的大事件及報(bào)告中摘選若干信息進(jìn)行相關(guān)閱讀推薦。

推薦人簡(jiǎn)介：李康目前就職于美國(guó)喬治亞大學(xué)，擔(dān)任計(jì)算機(jī)系教授，同時(shí)是喬治亞安全與隱私學(xué)院的負(fù)責(zé)人，他關(guān)注的研究方向包括系統(tǒng)與網(wǎng)絡(luò)安全，研究成果發(fā)表在多個(gè)學(xué)術(shù)會(huì)議上，包括 IEEE S&P，ACM CCS，NDSS 等。另，李康曾受邀在 BlackHat USA 和 ShmooCon 等會(huì)議上多次發(fā)表演講。李康具有十幾年的 CTF 安全攻防對(duì)抗比賽和組織經(jīng)歷，是多只 CTF 戰(zhàn)隊(duì)的創(chuàng)始人，包括 Disekt，SecDawgs，Boyd306戰(zhàn)隊(duì)，同時(shí)，他也是清華藍(lán)蓮花（Blue-Lotus）戰(zhàn)隊(duì)的啟蒙導(dǎo)師和 XCTF 聯(lián)賽的聯(lián)合發(fā)起人。

1.關(guān)于傳感器的安全風(fēng)險(xiǎn)

推薦閱讀：Risk of Trusting the Physics of Sensors.

鏈接：https://cacm.acm.org/magazines/2018/2/224627-risks-of-trusting-the-physics-of-sensors/fulltext

李康點(diǎn)評(píng)：傳感器的安全風(fēng)險(xiǎn)在過(guò)去被?家?泛忽視。隨著 IoT 萬(wàn)物互聯(lián)的發(fā)展，?量傳感器在被?泛部署。這些設(shè)備的可信度直接影響各種 IoT 和智能應(yīng)?的安全性。 最近對(duì)智能?箱的海豚音攻擊，對(duì)特斯拉?線傳感器的致盲攻擊，對(duì)?機(jī)指紋傳感器的欺騙攻擊，都是傳感器安全的相關(guān)例?。

Kevin Fu 和徐?淵教授在 Communications of the ACM 2018年??期刊上的這篇?章是對(duì)傳感器安全的?個(gè)精彩總結(jié)。

2. 深度學(xué)習(xí)安全—特征縮減

推薦閱讀：Feature Squeezing: Detecting Adversarial Examples in Deep Neural Networks

鏈接：https://evademl.org/docs/featuresqueezing.pdf

項(xiàng)?鏈接： Evade ML https://evademl.org/

李康點(diǎn)評(píng)：對(duì)抗性機(jī)器學(xué)習(xí)(adversarial learning)是?前深度學(xué)習(xí)???常熱的安全問(wèn)題。 對(duì)各種深度學(xué)習(xí)圖?分類(lèi)的對(duì)抗樣本攻擊層出不窮。過(guò)去有著名的?熊貓圖片通過(guò)干擾變成長(zhǎng)臂猿，近期?有關(guān)于 ICLR 多個(gè)防御?段被證明效果不佳。 

來(lái)?弗吉尼亞?學(xué)的許偉林最新的?作從特征縮減這個(gè)?度來(lái)提?深度學(xué)習(xí)系統(tǒng)的安全性。由于深度學(xué)習(xí)模型?般采??監(jiān)督模式，不直接設(shè)定采?哪些特征，所以在分類(lèi)時(shí)往往使?了眾多并不必須的特征。

這些特征導(dǎo)致攻擊者更容易找到對(duì)抗樣本。特征縮減的?的是減少深度學(xué)習(xí)系統(tǒng)中所使?的特征，從?增強(qiáng)深度學(xué)習(xí)抵御對(duì)抗樣本的能?。這個(gè)?作即將會(huì)在 2018 年 2 ?在圣地亞哥舉?的 NDSS ?會(huì)上發(fā)布。

3. 思科 VPN 系統(tǒng)

推薦閱讀：https://www.nccgroup.trust/globalassets/newsroom/uk/events/2018/02/reconbrx2018-robinhood-vs-cisco-asa.pdf

李康點(diǎn)評(píng)： 2018 年 1 ?，思科 VPN 爆出遠(yuǎn)程代碼執(zhí)行和拒絕服務(wù)攻擊的?危漏洞，影響眾多使?思科 VPN 的企業(yè)。 NCC Group 的這個(gè)報(bào)告詳細(xì)介紹了該漏洞的發(fā)現(xiàn)?法、Fuzz環(huán)境、漏洞成因以及攻擊步驟。 報(bào)告有?常詳細(xì)的分析內(nèi)容，強(qiáng)力推薦給對(duì)漏洞發(fā)現(xiàn)和利?有興趣的同學(xué)。

雷鋒網(wǎng)其他相關(guān)文章：BAT3 在 IoT 安全上湊齊了，我們問(wèn)了問(wèn)李康和楊卿 360 要怎么搞。

想看更多網(wǎng)絡(luò)安全報(bào)道？歡迎關(guān)注雷鋒網(wǎng)旗下微信公眾號(hào)“宅客頻道”（ID：letshome）。

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見(jiàn)轉(zhuǎn)載須知。