DEF CON的中国时间 永信至诚携手百度安全让BCTF熠熠生辉

2018年5月11日，由DEF CON和百度安全联合主办的“御·见未来”2018首届DCCB（Def Con China Baidu）安全行业国际峰会在北京举行。百度安全此次携手DEF CON，将全球网络安全领域最顶级的安全会议DEF CON大会引入中国，召集全球安全领域研究者、爱好者相聚北京，举办BETA版 DEF CON CHINA。为所有参会嘉宾和观众搭建了一个技术交流的平台，打造了一场盛况空前的安全大会。

起源于DEF CON的CTF竞赛一直是DEF CON大会的重要组成部分，本届DEF CON CHINA也延续了往届DEF CON大会的传统，由百度安全主办，永信至诚承办了BCTF百度国际网络安全技术对抗赛。作为一场极具创新性、挑战性和观赏性的顶级国际网络安全大赛，其影响力足以写入DEF CON的历史。

本届BCTF线下赛采用线上选拔及定向邀请赛制，由在线上赛中突出重围的三支胜出战队，与受邀参赛的四支国内实力顶尖的AI机器人战队，以及Nu1L、天枢、phrack以及由Eru3KA与FlyppyPig合并组成的JD-r3kapig战队等国内顶级CTF战队，还有来自俄罗斯、乌克兰、韩国等地的国际知名战队一同开启线下决赛。

线下决赛分为AI程序漏洞攻防挑战赛、靶场渗透及CTF攻防对抗赛两项赛事同时进行，每个战队将通过统一的战队接口接入两个赛场同时进行角逐。在AI程序漏洞攻防挑战赛中，十二支人类战队需进入RHG平台中同来自科研院所的四支AI机器人战队展开激战。而在靶场渗透及CTF攻防对抗赛中，所有战队必须先进入靶场渗透环节中寻找进入AWD®攻防赛的入口，率先找到突破点的战队，将获得提前开启AWD®攻防赛的资格。多种竞赛模式的融合，将给参赛选手带来极大的心理压力和实力考验。

顶尖战队云集 一场国际黑客大战蓄势待发

11日中午12点，BCTF百度国际网络安全技术对抗赛正式打响。十二支人类战队快速进入奋战状态，一边进入e春秋靶场秘境展开渗透，一边分神进入RHG平台，与机器人战队展开激烈的分数争夺。而四支机器人战队也毫不示弱，开启了十足马力，运用自身的庞大运算能力，对同时放出的50道PWN漏洞利用赛题展开了扫描。

比赛开始3小时后，来自韩国的CyKOR战队表现出了惊人的实力，在AI赛中斩获了多个一血，场外观看嘉宾也不断为这支战队叫好，并送与“PWN收割机”的美称。在实时展示的战绩排行榜中，CyKOR战队也暂居AI赛第一名。同时，AI战队也表现出众，来自中科院软件所和北京明朝万达的联合 “云淡风轻”迅速超越了其他三支AI战队，在AI战队中排名第一。

11日下午18点，BCTF线下赛首日的竞赛终止，没有一支成功逃脱靶场秘境提前进入到AWD®攻防赛。来自中国的Nu1L战队凭借强大的实力不断得分，在竞赛首日总分排名第一，靶场赛第一。“PWN收割机”CyKOR战队紧随其后，总分排行第二，AI程序漏洞攻防挑战赛单项排行第一。

12日上午9点，BCTF竞赛再次进入白热化阶段，十六支人类黑客战队、机器人黑客战队再次展开激烈的技术比拼。凭借竞赛首日拿下的极大比分优势，Nu1L战队继续一路领跑，CyKOR战队也只落后微弱分差，对Nu1L战队步步紧逼。来自中国的JD-r3kapig企业联合战队位列第三。

12日上午11点，JD-r3kapig战队开始在靶场秘境中奋起直追，经历了2小时的激战，将2400分收入囊中。随着阵阵惊呼，JD-r3kapig战队终于以1375分的优势，超越CyKOR战队，位列总积分榜第二！

12日下午1点，赛场异常焦灼，谁能牵制对手守住阵地，就能站在世界顶级赛场之巅。Nu1L战队牢牢稳住优势，以18601的总积分排名第一，JD-r3kapig战队不甘落后奋力一搏，在AWD赛场上连续得分，在随后的4小时，获得2649分！

历经14个小时的激战，本届BCTF成绩尘埃落定。Nu1L战队获得了本届BCTF的冠军，JD-r3kapig战队获得了亚军，CyKOR战队获得了季军。NU1L战队获得了最佳靶场渗透团队奖，“云淡风轻”战队获得了最佳AI攻防团队奖。

永信至诚董事长、i春秋校长蔡晶晶为冠军战队得主颁奖

RHG2.0进化  人类黑客与AI黑客战火再燃

随着大安全时代的到来，安全的概念已经突破了传统网络安全的范畴，生物识别、物联网等技术大行其道，打破了虚拟世界与现实世界的最后一道屏障，许多科幻电影中的画面正在真实上演。在这个过程中，AI技术也被广泛利用在安全领域。

2017年9月，在永信至诚研发的RHG人工智能攻防平台上就曾举办了一场名为国际机器人网络安全大赛的人工智能攻防竞赛，率先对人工智能网络安全竞赛领域展开探索。在首届国际机器人网络安全大赛的探索和实践基础上，RHG平台对人工智能攻防模式做出了进一步的研究和迭代，RHG人工智能攻防平台进化到了2.0阶段。

在本届DEF CON CHINA BCTF上，AI程序漏洞攻防挑战赛在RHG2.0平台中全面展开。在此次比赛中参赛AI程序在比赛开启至结束，包括漏洞扫描、漏洞利用、flag提交等赛题交互过程全部由AI程序自身完成。

AI程序漏洞攻防挑战赛开始后，AI战队“云淡风轻”在2分48秒的时间内拿到了AI赛题的四个一血，突破第一个flag用时仅为99秒。而人类战队拿到第一个AI赛题一血用时17分钟，从时间上来看AI取得了领先。但至比赛结束，人类完成了所有的50个AI题目，而AI队伍加起来一共完成了6道赛题，因此看来目前在某些复杂的赛题面前，人类仍然是占有明显优势的。

虽然最终比赛结果如同DEF CON创始人Jeff Moss预言的那样，AI战队一定会在这场比赛中败给人类战队，但是4支纯AI战队的精彩表现，也证实了AI技术应用在自动化攻防领域上显露出来的巨大优势。不难预测，AI赛制将在网络安全的赛场上大放异彩。

  e 春秋靶场平台 推动安全赛场再度升级

在2017年9月，永信至诚就开始着手研究模拟仿真的靶场平台。将电力行业、通信行业等不同行业网络环境场景真实的复现到e春秋靶场平台中，让参赛者在比赛中展开真实的内网环境渗透，进而验证不同网络环境对网络攻击的应对能力。并相继举办了企业内网安全实战靶场对抗赛、X-NUCA“企业安全众测”靶场挑战赛等多场比赛进行实践。

在本届DEF CON CHINA BCTF中，e春秋靶场平台再次构建了一个模拟仿真的靶场环境，每支队伍面对的都是一个由64台虚拟节点构成的复杂网络，十六支战队在e春秋靶场平台内组成了一个近1024个节点的庞大的相对隔离又部分互通的虚拟 互联网 。此时e春秋靶场平台相当于在平台内部搭建了一个1024个节点的“小城镇”，这个城镇中部署了数百个通用业务系统，参赛选手需要对这些业务系统展开渗透，绕过陷阱信息的干扰，寻找预埋在其中的flag，只有找到最重要的flag才能走出靶场。而在这个过程中，包括场景搭建、数据分析、威胁报告、监察、运营等环节，全部由e春秋平台自动化实现。

自2017年永信提出“靶场+X”的竞赛理念后，已经对这一赛制做出了多次探索。在DEF CON CHINA BCTF的靶场综合渗透及CTF攻防对抗赛中采用的“靶场赛+AWD攻防赛”的混合模式，既增加了比赛的趣味性和挑战难度，也深度还原了DEF CON大会传统的CTF攻防赛，为参赛选手和观赛嘉宾双方都带来一次参赛与观赛的极佳体验。

在BCTF赛场外，DEF CON创始人Jeff Moss对本届DEF CON CHINA BCTF大赛做出了极高评价。Jeff Moss表示，我非常欣慰的看到了此次BCTF中出现了人工智能这样的对手，我原先设想他们会败得一塌糊涂，但这次比赛中他们表现的十分精彩。这就是你在不断尝试中，使事物变的更好的一个过程。现在人工智能还处于早期阶段，我们还需要不断尝试。

在本次比赛中，竞赛可视化效果十分惊艳。我们在比赛中要让参与者认为这是一场非常有趣的活动，就必须要在可视化上面下功夫。本次比赛把本身就特别难展现的网络安全和网络安全竞赛，直观的传递给了每一个人。这一点非常值得我们学习，我在现场记录了一些视频和片段，我们将会把它们吸收到DEF CON CTF和其他美国本土的CTF中去。

在DEF CON CHINA闭幕式暨BCTF颁奖仪式上，Jeff Moss说到：“本届BCTF大赛和DEF CON CHINA带给了我许多感动的瞬间，感谢大家共同为我们呈现了这样一场安全盛会，也感谢朋友们的到来。今天跟大家做一个约定，明年DEF CON CHINA还将继续来到这里，期待2019年DEF CON CHINA能够带来更多惊喜。”

永信至诚旗下i春秋、e春秋共同为本届DEF CON CHINA BCTF百度国际网络安全技术对抗赛提供了平台支撑和技术支持。作为一家老牌的网络安全企业，永信至诚自始至终深深的扎根于网络安全人才培养领域，坚持践行“以赛促学、以赛代练”的安全人才培养理念，成功举办了百度杯CTF夺旗大赛、全国大学生信息安全竞赛、企业内网安全实战靶场对抗赛、RHG首届国际机器人网络安全大赛、“企业安全众测”靶场挑战赛、全网TOP白帽挖洞大赛等多场不同竞赛模式的网络安全竞赛，为网络安全爱好者们 提供了实操演练的平台，源源不断地输送养分。

未来，永信至诚还将继续深度探索创新竞赛形式，打造更多多样化的网络安全竞赛场景，为推动人才培养事业，推动网络安全人才成长奉献力量。永信至诚竞赛的巨轮将驶向更广阔的赛场，为更多领域、更多行业的网络安全事业保驾护航。