中国史上首场人机协作大赛,就在第三届XCTF总决赛!

  XCTF联赛小秘       2017-09-01 10:43:15 831  0


由赛宁网安总体承办的XCTF国际联赛,已连续举办至第三届,多年来联赛一直在网络安全行业深耕,致力于打造国内最具影响力的专业安全赛事,培养网络安全行业优秀人才。凭借多年积累,在竞赛平台、题目部署、CTF团队、赛事运营等方面具有无可比拟的优势,深受业界认可。今年的第三届XCTF联赛总决赛将于9月11至13日在国家会议中心举办,总决赛的其中一大亮点就是首次在国内CTF赛事中引入AI人工智能。


总决赛创新升级,中国史上首场人机攻防大战

第三届XCTF联赛总决赛,最大的创新就是AI赛制的引入。本届总决赛要求每支战队自主开发AI辅助自动化漏洞挖掘工具,在比赛现场服务器部署AI工具,配合战队一同参与XCTF Finals 2017。

Day 1(9.11)部署AI程序和平台测试;Day 2(9.12)采用AI工具独立地自动化进行漏洞发现与挖掘、人类战队基于AI工具发现漏洞信息进行漏洞利用的解题(Jeopardy)赛制;Day3(9.13) 采用AI工具辅助战队进行互攻互守的攻防(Attack & Defense)赛制。

这种创新的赛制,与美国国防部DARPA组织的CGC (Cyber Grand Challenge)赛制有些类似,此前,我们也特意对XCTF指导委员会委员李康教授进行了采访,探讨这两者之间的差别,李康教授现任乔治亚大学终身教授,360网络安全北美研究院负责人,网络安全对抗赛CTF最早的实践者,组建的Disket在2015年美国国防部DARPA组织的CGC资格赛中闯入决赛。


网络安全对抗赛CTF最早的实践者、美国乔治亚大学终身教授李康教授

李康教授介绍到, CGC大赛由美国国防部先进项目研究局(DARPA)发起的,旨在推动计算机程序自动攻防的能力,这也是美国政府应对日渐紧缺的安全技术人才的一项举措。在去年的CGC赛场上,比赛开始后,自动攻防系统在不依靠人力的情况下,自行根据对场景的判断发起攻击。这考验的是程序本身如何在充分理解赛制的前提下对场景做出判断,从而自动进行渗透或加固等攻防行为。

CGC比赛是完全由各个科研机构开发的智能攻防的程序,在很昂贵的超级计算机环境里部署,自动化地进行漏洞挖掘和利用的攻防对抗。不完全统计,CGC两年赛期可能DARPA投入超过3000万美金,单是冠军奖金就200万,国内的比赛很难去比。我们无法获得政府几千万美金的资源投入。

其实对CGC来说,其漏洞利用的自动化挑战也是简化过的,过程也无法真正对Linux或者Windows的服务自动化生成exploit,攻陷漏洞来获得目标赛题环境shell。这次XCTF联赛组委会做了细致策划和确认,借鉴CGC,但不以AI为主,而是AI辅助人类队伍并肩作战。

AI助手的首次登台亮相,能做到几分?

XCTF联赛创始人清华大学诸葛建伟副研究员表示,AI就相当于人类调教出一只用起来得心应手的坐骑,然后骑着坐骑一起PK。所以在赛制设计上,第一天的比赛,我们要人类队伍设计的AI能独立发现赛题环境里的安全漏洞。”


XCTF联赛创始人清华大学诸葛建伟

“在本届XCTF联赛决赛前一个月,每个参加决赛的战队可以着手研究,用于漏洞挖掘的AI程序。在决赛第一天,在特定的比赛环境下,各个参赛队伍启动事先研发的AI程序,让其独立工作自动寻找网络服务上的漏洞,在漏洞利用环节,我们认为国内的队伍还不具备能够自动化实现AI进行漏洞利用的阶段能力,所以漏洞利用还是留给人类队伍去做。到了第二天,人类队伍会和AI共同配合进行攻防对抗。”

“我们相对CGC的优势在于,我们会用完全实际的操作系统平台,和一些程序的实际执行格式和它的指令集作为赛题环境——CGC是Linux基础上简化后的版本,不是真实Linux环境上的可执行文件,所以CGC参赛队伍研发出来的机器人也无法在真实网络环境和系统上发现和利用漏洞。”

“对于这次XCTF决赛的参赛队伍来说,最大难度就是在漏洞发现环节,其设计的AI能够自动去运行、自动分析题目、赛题环境的样本,尝试发现导致系统程序崩溃和程序异常的漏洞;还有一点就是他们开发的AI机器人程序是否足够鲁棒,这也是CGC比赛各队伍投入工程开发最多的一个地方”。

XCTF联赛带领国内CTF又向国际化迈进一步

由赛宁网安总体承办的XCTF国际联赛,已连续举办至第三届,多年来联赛一直在网络安全行业深耕,致力于打造国内最具影响力的专业安全赛事,培养网络安全行业优秀人才。凭借多年积累,在竞赛平台、题目部署、CTF团队、赛事运营等方面具有无可比拟的优势,深受业界认可。


XCTF联赛可以说是国内CTF赛事的发源与启蒙,在国内还不知道CTF为何物的时候,XCTF联赛发起人诸葛建伟便带领着蓝莲花去国际CTF见世面,随后蓝莲花把这一赛制引入中国,发起百度杯CTF。随后创办了XCTF联赛,这算是XCTF联赛带领国内CTF走向国际化的第一步。

XCTF联赛带领国内CTF走向国际化的第二步,用诸葛建伟老师话说,叫做请进来,走出去。在去年第二届XCTF联赛的时候,XCTF联赛就开始定位为国际联赛,先“请进来”,请国际的队伍到国内来参加XCTF联赛组织的比赛,陆续举办了北京站BCTF、上海站0CTF、杭州站ALICTF、西安站SSCTF、福州站RCTF,线上赛逾两千多支国际战队,三十多支国际战队受邀现场参赛;而第三届XCTF联赛,在举办国际赛的基础上,还坚持“走出去”,首次出海新加坡举办了HITB GSEC CTF,这也是国内的CTF“第一次出海办比赛”,之前还没有中国的队伍在国际上办网络安全对抗赛。

今年的XCTF联赛总决赛,这一次赛事又尝试创新升级,将CGC的赛制加以借鉴及运用,向人工智能迈进,带领着国内的CTF又向国际化迈进一步,作为行业的先行者总是在做很多的尝试,从将CTF引入国内,到走出国门,继而向最前沿的AI发展,多年来,不断地为安全行业传递新生力量,培养人才,中国史上首场人机协作大战,就在今年的总决赛!

攻防未来,未来已来,你来不来!

第三届XCTF国际联赛总决赛

主办:国家创新与发展战略研究会

承办:赛宁网安、清华大学Musec项目组

命题:蓝莲花(Blue-Lotus)战队

唯一竞赛平台支持:赛宁网安

赛事的精彩是因为有你们的热情参与,赛事的保障是因为有技术人员的幕后付出,而赛事的顺利开展还要感谢我们的赞助商、合作伙伴!

第三届XCTF联赛自筹办以来一直得到众多企业和合作伙伴的支持,这里要特别感谢XCTF联赛白金赞助商:百度安全、360;金牌赞助商:蚂蚁金服、启明星辰。

赞助商征集:maly@cyberpeace.cn


请先登录
+1 已点过赞
0
分享到:
登录后才能发贴或参与互动哦! 点击登录

全部评论 (0)