2019年1月21日,《麻省理工科技评论》公布了2018年“35岁以下创新35人”(Innovators Under 35 China)中国区榜单。从榜单中,我们看到更多中国创新科研力量的崛起,也看到跨学科、跨领域、并且对落地应用有更强烈企图心与使命感的科研创新,这其中涵盖人工智能研究与应用、NLP、脑科学、新材料、新能源、生命科学、生物科技、自动驾驶等多个不同领域。我们将陆续发出对35位获奖者的独家专访,介绍他们的科技创新成果与经验,以及他们对科技趋势的理解与判断。
关于Innovators Under 35 China榜单
自 1999 年起,《麻省理工科技评论》每年都会推出“35岁以下创新35人”(Innovators Under 35 China)榜单,旨在于全球范围内评选出被认为最有才华、最具创新精神,以及最有可能改变世界的 35 位年轻技术创新者或企业家,共分为发明家、创业家、远见者、人文关怀者及先锋者五类。2017年,该榜单正式推出中国区评选,遴选中国籍的青年科技创新者。新一届榜单正在征集提名与报名,截止时间2019年5月31日。
兴趣是最好的老师。张超成长于湖北省大别山脚下的小山村,出于个人兴趣自学奥数,最终一路保送到湖北省黄冈中学、北京大学数学学院学习。在本科学习中第一次真正接触计算机之后,意外地了解到黑客的存在,开始对网络安全产生了浓厚的兴趣。本科毕业之后,他坚定地选择了跨院系推免直博,进入网络安全领域学习,开始了十余年的探索之旅。在这个领域,他遇到了邹维、韦韬、Dawn Song等良师益友,也遇到了众多顶尖黑客,从他们身上学到了很多,增强了对网络安全的兴趣,也更加坚定了研究探索的决心。
在网络安全领域,攻击者和防御者从始至终都在进行着一场不公平的较量。随着网络与系统规模与复杂度的提升,防御者需要从越来越多的层面来设计防御措施,而攻击者只需要找到最弱的一点进行突破。不仅如此,防御者在部署防御方案时,还要考虑性能开销、与已有系统的兼容性、对未知漏洞的防御能力等等,面临众多挑战。此外,当前的防御大量依赖人工参与,其自动化程度有待提高。在人工智能技术逐渐普及的今天,网络安全防御智能化是一个值得探索的话题,智能化防御可以显著提升防御的自动化水平。
在网络安全实践中,业内普遍采用PDR(保护、检测、响应)模型以及动态的APPDRR(评估、策略、保护、检测、响应、恢复)模型来指导安全防御方案的部署,微软等公司也提出了SDL安全开发生命周期等规范来指导开发人员构建更安全的软件。这些指导原则及相应的一系列解决方案,切实有效地提高了网络与系统的安全性,提高了攻击的门槛。
然而,这些方案侧重于被动防守,缺少攻击者的思维,在实践中疲于应付各种突发状况。近年来,提前发现安全问题及风险威胁并完成安防系统更新成为了现代信息安全公司所追捧的新业务形式。
张超的研究聚焦于软件和系统漏洞,这是网络空间当前面临的最主要的安全威胁之一。他提出了一个纵深防御体系,首先通过程序完整性保护实现“强身固体”,然后通过主动漏洞挖掘实现“防患于未然”,进而通过自动化漏洞评估实现“拒敌于国门之外”。他的研究重点是向攻击者学习,以攻击者的思维,主动发现未知的漏洞,对漏洞进行评估,实现自动化网络安全防御。这种方案相比于传统的防御,具有更高的主动性,可以更为积极地防御未知威胁。
在研究提高防御的自动化水平时,张超积极探索新的思路。在融合传统的程序分析与测试技术之外,他积极探索新兴的机器学习与人工智能技术。通过创新性地应用人工智能技术,张超正在致力于研究实现机器自主探索发现潜在的安全问题、评估安全问题风险并构建快速的安全响应方案,进一步降低对安全分析人员的依赖,提升安全防御的自动化水平。
张超的研究项目能够提高安全防御的自动化程度以及智能化程度,在可预见的未来能够有效提升安全防御的水平。这一技术不仅能够保护普通的网络空间用户,更是能够为国家安全增加一份保障,也能够构建更安全的网络空间,进而促进信息化的发展,为各行各业赋能,提高社会生产力。
张超的研究以“顶天立地”为目标,在探索最前沿的技术的同时,他也积极探索技术的落地,探索让技术走出实验室并落地于实地场景的方案。张超认为,国内目前已经充分认识到网络安全研究的重要性,在科研经费、学科布局、政策规划等方面给予了充分的重视,再加上优秀的科研人员和兴趣浓厚的学生的持续加入,网络安全领域的科技创新正进入最好的时机。
