写点什么

腾讯朱雀实验室推出 Deep Puzzling,利用 AI 技术进行代码防护

  • 2021-11-29
  • 本文字数:1313 字

    阅读完需:约 4 分钟

腾讯朱雀实验室推出Deep Puzzling,利用AI技术进行代码防护

AI 技术不断演进,黑客利用 AI 来进行网络攻击的事件屡见不鲜,传统攻防手法往往乏力应对,在此背景下,通过 AI 进行代码防护,开始成为行业的技术趋势。

代码防护技术 Deep Puzzling


近日,全球顶级的信息安全峰会 HITB+Cyberweek 2021 正式举办,腾讯朱雀实验室专家研究员 Jifeng Zhu 和研究员 Keyun Luo 受邀参加,并进行了题为《Deep Puzzling: Binary Code Intention Hiding based on AI Uninterpretability》(《基于 AI 不可解释性的二进制代码意图隐藏》)的议题分享。会上,腾讯朱雀实验室展示了如何利用 AI 模型的特性,实现二进制代码的意图隐藏,有效防止代码被黑客逆向分析,从而保障核心代码的安全。


据了解,相比传统攻防技术,AI 算法具有诸多优势,例如,在复杂特征建模、内容生成、概率容错、不可解释性等方面拥有强大的能力。此次腾讯朱雀实验室推出的 Deep Puzzling(深度迷惑)技术正是利用了 AI 的这些特点,对代码进行深层次的安全布防。


据介绍,Deep Puzzling 通过将多种载荷编码到 AI 模型的参数中,实现高强度的代码意图隐藏,由此来“迷惑”黑客,令其无法反向分析其中的代码逻辑。这样即使黑客取得了 AI 模型文件,也很难猜透代码的真实意图。这项技术有效地提高了代码的破解难度,可以帮助更多代码拥有者守护自己的知识产权和信息安全,抑制 AI 型网络攻击的滋长。


Deep Puzzling核心能力


目前,朱雀实验室已将这项技术面向全球开发者开源,方便研究团队灵活取用,用前沿的 AI 技术助力网络安全的升级。


Deep Puzzling 开源地址:https://github.com/aisecstudent/DeepPuzzling

Deep Puzzling 工作原理


在 Deep Puzzling 技术框架里,有多个互相连接的模型,通过技术适应,保证让黑客无法通过修改输入数据的方式,来推测输出代码之间的逻辑关联,进而加大了逆向分析代码的难度,提高了核心代码的安全级别。


不仅如此,朱雀实验室还设计了一个检测模块,来验证这种方法的有效性。


Deep Puzzling工作原理演示


首先,通过读取海量的普通环境数据,构建一个“触发-生成-纠错”模型,端到端地实现了“目标定位-代码执行”步骤,然后直接生成载荷。


值得一提的是,这个系统还具备反调试能力。这种反调试能力并非传统的进程状态查看、时间分析、异常处理等,而是利用网络构造出没有任何“显式 if”判断含义的计算过程,这个计算过程处于黑盒中,很难得知其因果关联性,因而具有良好的数据密封性。


此外,由于 AI 模型产生的代码有一定的错误率,研究员们还设计了一种纠错模型,来进一步降低局部解码的错误率,使得 AI 模型大概率地输出精确的结果,以确保被计算机正确地执行。


大量反复稳定性测试有力地佐证了 Deep Puzzling 的可行性。朱雀实验室的研究员透露,“我们邀请过业界多位资深的逆向工程研究人员来尝试破解,均无法解出,更加验证了这是一个非常值得关注的新方向。”


据了解,早在 2018 年,就有前人尝试过利用 AI 技术来完成代码的意图隐藏。当时有研究人员提出了一种基于 AI 密钥的“包装”思路——DeepLocker,其工作原理为,只有特定目标经过 AI 模型产生的密钥才能解锁意图代码。这项研究展示了 AI 在意图隐藏方面的巨大潜力。


DeepLocker工作原理


不过,由于密钥解密代码的逻辑是暴露的,黑客仍然可以找到过程中的漏洞来盗取核心代码。而随着 AI 技术与网络安全结合得越来越紧密,基于 AI 技术的网络攻防手段也在日益完善成熟。

2021-11-29 14:012844

评论

发布
暂无评论
发现更多内容

业内首家!百度智能云智慧金融业务通过ISO37301合规管理体系认证

百度大脑

Flutter 容器盒子布局模型

岛上码农

flutter ios 安卓 移动端开发 3月月更

12 款最棒 Vue 开源 UI 库测评 - 特别针对国内使用场景推荐

蒋川

Vue vue admin

假如让你来设计SSL/TLS协议,你要怎么设计呢?

华为云开发者联盟

网络安全 HTTP 通信 SSL/TLS 协议 网络通信安全

全网渗透率达80%!“耳朵经济”将成为当下市场的流行趋势

易观分析

耳朵经济 在线音频

React Draggable 实现拖拽 - 最详细中文教程 - 卡拉云

蒋川

React

selenium操作元素遇到的异常

红毛丹

selenium

「架构实战营」模块四作业 考试试卷存储方案

hxb

「架构实战营」

Android TabLayout 选中 tab 文字加粗显示

逆锋起笔

android 3月月更 TabLayout android滑动标签

python 编辑器提示 do not use bare except

AlwaysBeta

Python vscode 编辑器 pycharm Python PEP

关于中国芯片,这些话如鲠在喉

脑极体

CompusAss校园社团小程序解决方案

CC同学

高精度轻量级目标检测产业应用,实现多类通信塔识别

百度大脑

惨,给Go提的代码被批麻了

捉虫大师

Go 开源 Code Review

Hoo虎符研究院|区块链简报20220307期

区块链前沿News

Hoo 虎符交易所 虎符研究院

小程序的第六年,我们还能怎么玩?

知晓云

小程序 微信 小程序生态 小程序运营

java高级用法之:无所不能的java,本地方法调用实况

程序那些事

Java Netty 程序那些事 3月月更

如何避免在面试中看走眼

Hockor

个人成长 面试经验

免费硬件、专属导师、豪华大礼|AI达人创造营第二期项目征集启动啦!

百度大脑

如何在 Vue 中使用 Chart.js - 手把手教你搭可视化数据图表

蒋川

Vue PDF pdf阅读器

《大饼卷一切》爆笑相声剧 今晚开票!

InfoQ 天津

Tech Talk 活动预告 | 为什么说 Serverless 是应用开发的未来?

亚马逊云科技 (Amazon Web Services)

Serverless

springsecurity默认用户生成

急需上岸的小谢

安全代码审计-PHP

网络安全学海

网络安全 信息安全 渗透测试 漏洞 代码审计

AI人脸识别测温一体机设计

DS小龙哥

3月月更

社区人物志|缪翎:见证开源世界的女性力量

ApacheDoris

大数据 开源 数据分析 OLAP apache doris

大画 Spark :: 网络(5)-Spark中的server端和client端

dclar

大数据 hadoop spark Spark 源码 大数据开发

appsmith 怎么用?评价如何

蒋川

appsmith

微服务工程中,基础组件应用

架构 分布式 微服务

2022 年了,还不了解 PWA ? 教你 VuePress 博客如何快速兼容 PWA

冴羽

JavaScript Vue 前端 vuepress PWA

腾讯朱雀实验室推出Deep Puzzling,利用AI技术进行代码防护_文化 & 方法_凌敏_InfoQ精选文章