人工智能篇
人工智能目前处于高数发展阶段,所涉及的安全问题也很多
ai所收集的数据有泄露的风险(数据安全)
ai进行工作的时候可能因为收集的恶意信息而产生错误(对抗攻击)
ai模型被逆向窃取的风险,涉及到知识产权被侵犯的问题
ai被用作与恶意网络攻击的风险
同时要搞好ai安全就要了解ai
想学好ai要搞好基础
大学数学基底要好,线代,高数,概率论
ai的学习理论,机器学习与深度学习
以及ai的主流编程语言python
在线学习平台有coursera,udmemy,edx等等
参加实践项目,竞赛
主要是要学会用,用ai去辅助安全工作的开展
通讯协议篇
一,保密性
1.数据泄露,通讯协议的数据加密没有或不够完善或老旧,导致信息泄露,如未加密的http协议,可以被监听,早期的DES加密,密钥长度不够,可以被暴力破解
2.密钥的储存与分发问题,在期间密钥泄露将使后续通讯不再安全
二.完整性
1.攻击者可以篡改通讯过程中传输的数据,破坏数据的完整性,如burp,更改网购订单的数量与金额
缺少有效的检测数据完整性机制的通讯协议,容易受到这种攻击
2.重放攻击:攻击者收集通讯中的数据,稍后进行重复发送这些数据,来达到欺骗系统的作用,可以通过系统检测多次重复访问封ip来遏制
三.身份验证
1.假冒身份,攻击者通过假冒合法用户去骗取私密信息,如钓鱼网址
2.身份验证漏洞,协议的验证过于简短可以被暴力破解,还有身份验证的中间人,窃取信息
四.可用性
1.拒绝服务,通过发送大量的无用数据包,占用服务器资源,使得系统瘫痪,无法使用.如DDos攻击
2.协议存在漏洞,使得系统在特定条件下无法工作,如协议死锁,资源泄露
五.协议实现
1.协议可能有编程错误,使得存在缓冲区溢出漏洞,内存泄露
2.第3方库和组件存在漏洞
六.协议设计缺陷
1.协议设计之初没有考虑安全因素,如没有严格要求数据类型的长度等,导致可以缓冲区溢出
2.协议升级可能会带来新的安全隐患
七.移动通讯协议安全
1.移动设备通过无线网络连接,无线网络容易被监听,本身的移动性也容易连接到不安全的网络
如wifi钓鱼攻击
2.在app中通常使用特定 的通讯协议,若没有考虑安全因素,会导致信息泄露,安装危险软件
应用更新时同样具有安全隐患
八.物联网通讯协议安全
1.物联网设备往往不能具备完善的安全防御,容易被攻击,一个设备被攻击就会影响到整个物联网
如打印机,摄像头这样的设备
2.异构性:设备不同的通讯协议与技术,不同的厂商,导致防御方法都不一样,安全防御难度大
九.工业控制系统通讯协议安全
1.工业控制系统要求很高的实时性(winc),(windows)安全防御的非实时性可能会导致通讯间隔,系统难以运行,要平衡实时性与安全性
2.工业控制系统设备与传统it的联合,会导致工业设备会受到传统it的危险入侵,如病毒与恶意软件
