今年315晚会上,一只带着 logo 的神兽呼啸而过,成功地抓住了观众们的眼球。这只神兽名叫“麒麟”,晚会现场它代表的可不是古代神话传说,而是腾讯安全联合实验室最新研发的用于反电信网络诈骗的实时伪基站检测系统。
腾讯一直致力于将公司最先进的黑科技开放出来,默默地守护用户信息安全。除了晚会上亮相的麒麟,优图在人脸识别领域,玄武实验室在网络安全能力方面,都有不俗的表现。
这些黑科技都长什么样?让我们来认识一下吧。
“垃圾”和“诈骗短信”一直是网络安全的重点监控对象。其中伪基站能让覆盖范围内的手机脱离正常的公众移动通信网络,或者隔断与运营商的联系造成手机没信号,伪装成运营商的基站向用户手机大量发送垃圾短信和诈骗短信。
伪基站造成的危害不仅是干扰周边电磁环境,影响用户正常使用正常业务,还有可能导致用户落入诈骗团伙的骗局,严重威胁国家安全等。由于伪基站的隐蔽性和移动性强,打击伪基站一直是令警方头疼的一个难题。
诞生于2016年8月的“麒麟系统”基于大数据和机器学习的方法,配合精准的 LBS(基于位置的服务,如GPS定位系统),实时定位全国伪基站数据的传播轨迹,从而协助公安部门进行打击和抓捕。
“麒麟”还利用了腾讯手机管家海量的用户群体标记的黑产数据库,结合腾讯多年积累的黑产打击经验,通过机器学习,能够使云端的机器学习模型识别网址、电话等信息,找出恶意的网址和欺诈电话,实现对正在发布欺诈信息的伪基站50米内的精准定位。
截至目前,“麒麟系统”已经协助多地警方对伪基站进行精准定位,破获涉及1.1亿条个人信息的特大侵犯个人信息案,打掉了2个全国性电信网络诈骗团伙。
315晚会还提示了人脸识别领域的安全风险。原来,看似便捷安全高科技的人脸识别技术,可以有多种方法被破解。譬如,人们可以通过打印用户的照片将之置于镜头前进行识别破解;又或者,通过3D建模技术在屏幕上驱动用户的单张照片作出系统要求的摇头、张嘴、眨眼等动作;甚至,用“换脸工具”为自己套上对方的五官。
莫非真的是“道高一尺,魔高一丈”?
当然不是。
腾讯的“优图团队”一直高度关注活体检查的安全隐患和新的技术攻击,在几年前便已经开始了对活体检测的深入研究。他们依托多年的技术积累和实际业务运营经验,对人脸识别技术手段进行过多次安全升级。比如,除了上文提及的已经被破解的“摇头张嘴”简单活体识别模式,团队还实现了更加复杂的多数字随机唇语、语音图像同步检测、人脸纹理分析、面具检测、视频防翻拍等多维度防护手段,并将所有这些手段进行交叉融合,实现移动端+后台的强力防护体系。
目前,腾讯优图最常使用的是“唇语+人脸场景分析”解决方案,用户在进行人脸识别的时候需要念出系统指定的一串数字或词语,同时系统检测人脸背景环境是否异常,以此进行双重防护。
这两天科技领域的另一个重大新闻是,代表中国出征的“腾讯安全战队”在加拿大温哥华 Pwn2Own 2017 首日比赛中成功攻破了微软 Edge 浏览器,仅用了10秒。
Pwn2Own 被誉为黑客界“世界杯”级别国际赛事,Edge 浏览器被誉为是微软最安全的网页浏览器。据专家介绍,Edge 浏览器能够有效抵御网络黑客的攻击。因为微软在Edge 浏览器中设计了大量的漏洞防御措施,再和 Windows 10 强大的安全措施结合在一起,一般网络黑客极难成功对其进行漏洞攻击。
今年是 Pwn2Own 十周年,大赛设立了更多的目标命题,难度大大超过以往。而由腾讯安全联合实验室——“玄武实验室”组建的腾讯安全 Ether 战队是本次比赛中,第一支攻破微软 Edge 浏览器的团队。
成立于2014年6月的玄武实验室是腾讯信息安全研究部门,其研究的三大方向是:与传统基础网络相关的信息,如 Windows、Linux 等;围绕智能手机安全而展开的如 Android、IOS 系统;与各种智能硬件相关的设备,新的信息环境以及从中产生的数据信息。
这个实验室的负责人是于旸,早些年黑客圈知名大神级人物“TK教主”,但他不是干坏事的黑客,而是为互联网企业提供漏洞检测的“白帽黑客”。
“TK教主”有个令人望尘莫及的本事,能用不到100字的文字将枯燥晦涩的网络安全知识讲得性感无比,让文科生一秒爱上网络安全。
最后补充一句,玄武也是一种神兽,是龟蛇合体。龟代表防御,蛇代表攻击,这正是网络安全的一体两面。