上周，在拉斯維加斯的巴黎酒店會議中心，著名的天體物理學(xué)家Hakeem Oluseyi正在主持一場實時網(wǎng)絡(luò)安全競賽，而它的特別之處在于：參加比賽的主體不是人類，而是機(jī)器人。此次競賽由DARPA(美國國防部高級研究計劃局）舉辦，周四，競賽進(jìn)入決賽階段，七支入圍隊伍將爭奪200萬美元的獎金。從入圍選手有高校研究人員，到世界上最大的國防企業(yè)，網(wǎng)絡(luò)高手們在競賽上一決高下。在此期間，研究團(tuán)隊需要打造出七套“自動攻擊系統(tǒng)”。此舉旨在實驗性探索無人干預(yù)條件下的入侵、補(bǔ)丁、網(wǎng)絡(luò)防御方面的軟件程序。

在經(jīng)過了10小時、95輪的激烈角逐之后，DARPA宣布由卡內(nèi)基梅隆大學(xué)ForAllSecure團(tuán)隊打造的Mayhem“自動攻擊系統(tǒng)”贏得了比賽，獲得冠軍。亞軍為弗吉尼亞大學(xué)的TECHx團(tuán)隊打造的Xandra，季軍為學(xué)生團(tuán)隊Shellphish打造的 Mechanical Phish。

比賽結(jié)束后，冠軍機(jī)器人Mayhem將會參加一年一度的DEF CON，與人類進(jìn)行角逐。雖然沒人希望機(jī)器人贏得比賽，但此次比賽可以讓機(jī)器人比人類更快地解決某些Bug。

DARPA希望此次競賽能讓開發(fā)者更近地接觸到軟件修復(fù)機(jī)器人，打造在查找漏洞、編寫利用、以及部署補(bǔ)丁上比人類更強(qiáng)大的機(jī)器人。DARPA表示通過幾百萬行代碼來發(fā)現(xiàn)漏洞非常有必要，因為它能幫助加強(qiáng)如電力線和水處理廠這樣的基礎(chǔ)設(shè)施，以此來應(yīng)對網(wǎng)絡(luò)攻擊、保護(hù)隱私。

不過，現(xiàn)在沒有哪一個系統(tǒng)已經(jīng)上市。很多安全專家正在不斷掃描代碼，來發(fā)現(xiàn)潛在的問題。Hakeem Oluseyi表示：平均而言，專家要發(fā)現(xiàn)網(wǎng)絡(luò)漏洞需要312天，要修復(fù)它則需要數(shù)月或數(shù)年。

在比賽的過程中，參賽團(tuán)隊并不知道將要面對哪些bug，因此他們的機(jī)器人必須識別Bug，不斷測試以確定Bug、尋找不拉低計算機(jī)運(yùn)行速度的補(bǔ)丁，并使用它。

為了測試這些網(wǎng)絡(luò)安全機(jī)器人的極限，DARPA設(shè)計了多種Bug，包括一些著名惡意軟件（如Morris worm和Heartbleed）的簡化版本。此次比賽的成績評定標(biāo)準(zhǔn)包括快速有效運(yùn)用補(bǔ)丁、確認(rèn)競爭者的補(bǔ)丁，如果機(jī)器人運(yùn)用的補(bǔ)丁降低了軟件的運(yùn)用速度，則將扣分。美國雷聲公司的網(wǎng)絡(luò)工程師Corbin Souffrant表示：“如果你發(fā)現(xiàn)了某個Bug，但是需要花10個小時來運(yùn)行一個原本5分鐘的軟件，那么Bug修復(fù)將變得無意義。”

參賽團(tuán)隊Deep Red描述了系統(tǒng)完成任務(wù)的五個步驟：

• 機(jī)器人運(yùn)用一種叫做fuzzing的技術(shù)來讓程序超載，從而讓Bug出現(xiàn)。

• 機(jī)器人掃描1中發(fā)現(xiàn)的結(jié)果，來確定程序中的漏洞。

• 尋找數(shù)據(jù)庫中的補(bǔ)丁。

• 運(yùn)用補(bǔ)丁。

• 分析結(jié)果，來看其對程序修復(fù)是否有效。

以上每一個步驟都使用了AI技術(shù)來比較多種解決方案，并預(yù)測未來如何將之運(yùn)用于相似的情況之下。

在比賽現(xiàn)場，多個機(jī)器人在5分鐘內(nèi)發(fā)現(xiàn)并修復(fù)了某個SQL漏洞，但只有兩支團(tuán)隊能夠修復(fù)SendMail的某個Bug。另外，TECHx團(tuán)隊打造的Xandra發(fā)現(xiàn)了一個主辦方都沒有發(fā)現(xiàn)的Bug。

隨著互聯(lián)網(wǎng)的迅猛發(fā)展，人類受到的網(wǎng)絡(luò)威脅也越來越多。當(dāng)人類網(wǎng)絡(luò)專家絞盡腦汁修復(fù)Bug之時，殊不知機(jī)器人的此項技能已經(jīng)超過了人類?？傊?，不管是機(jī)器人修復(fù)專家還是人類修復(fù)專家，只要能更好地修復(fù)Bug，人類將會更安全，世界也將更美好。

Via:IEEE

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。