访谈｜XCTF三大看点：新加坡、XMan、AI攻防

作为国内规模与影响力最大的网络安全竞赛——XCTF联赛，已经举行了三届。第三届联赛自去年11月末开赛以来，先后经历了杭州、郑州、南京、北京、福州、香港等站。如今时间已经进入7月，离本次XCTF总决赛仅有两个多月的时间。在决赛来临之际，安全牛采访了XCTF联赛发起人&蓝莲花战队创始人兼领队诸葛建伟老师，以及网络安全对抗赛CTF最早的实践者现任美国乔治亚大学终身教授李康。

左起：李康、诸葛建伟

个人简介

李康教授，现任乔治亚大学终身教授，360网络安全北美研究院负责人，网络安全对抗赛CTF最早的实践者，组建的Disket在2015年美国国防部DARPA组织的CGC (Cyber Grand Challenge)资格赛中闯入决赛。

诸葛建伟博士，副研究员，硕士生导师。目前就职于清华大学网络科学与网络空间研究院（网研院）网络与信息安全实验室（NISL）。蓝莲花战队共同创始人与领队，XCTF联赛共同发起人与执行组织者，国内网络安全领域的知名技术书籍作者与译者。

一、联合HITB——XCTF联赛首个海外站

安全牛

听说本次XCTF将首次在国外举办比赛，并与黑客会议HITB机构联合举办，能否介绍一下此次比赛的大致情况？

诸葛建伟：HITB(Hack In The Box)安全会议是一个专注安全技术研究，面向专业从业人员的交流会。 早在2003年开始便活跃在马来西亚（吉隆坡）和荷兰（阿姆斯特丹）两地，而且每届都会同期举办CTF比赛。此次由XCTF联赛和HITB联合举办的HITB GSEC CTF将在新加坡时间8月24-25日举行。

参赛队伍方面，除了今年4月上旬的HITB冠军队伍，德国卡尔斯鲁厄理工学院的KITCTF将直接入围外，剩下的24支队伍均由6.14日开放的线上报名产生。而且此次赛事的冠军队伍，则将直接入围即将在9月份举行的XCTF联赛总决赛。

参赛队伍（包含澳门、香港、台湾共计11支中国战队）

赛题设置方面，以解题模式为主，题目涵盖破解、逆向、web渗透、密码学、移动安全及部分混杂类题目。奖金方面，冠军到季军依次是2000美金、1500美金和1000美金。

HITB GSEC是怎样的一个安全会议？

安全牛

HITB GSEC国内听说的不多，能否进一步介绍一下？

诸葛建伟：HITB已经举办了15年，在亚太区的安全技术会议中非常知名，近两年举办地点都在阿姆斯特丹。而HITB GSEC是由HITB主办，从2015年开始每年固定在新加坡举办的安全盛会，包括三天的培训和两天的技术议题分享。

在议题方面，HITB GSEC相较于其它安全会议最大的特点就是整场会议的所有议题由注册参会者通过线上投票（注：每个报名参会者有3票）的方式从所有候选议题中选出。

除此之外，此次特别设立的从用户、黑客、厂商以及政府等多角度关于智慧城市中的网络安全隐患问题的圆桌论坛也十分受关注。而在CTF赛方面，HITB GSEC CTF不仅作为XCTF的新加坡站联合举办外，还实现了和今年HITB CTF和XCTF总决赛的联动。这也使得原本三场各具地域特点的CTF竞赛，所能辐射到的CTF爱好者变得更加广泛。

二、竞赛平台是一个 to B的产品化过程

安全牛

对于CTF之类的网络安全对抗赛而言，比赛的顺畅进行与竞赛平台的性能和稳定性直接相关。李康教授，您有着丰富的国外比赛经验，能否谈谈比赛平台方面的事情？

李康：的确是这样，网络安全领域的竞赛平台，除了部署和调试时间、场地条件等细节需要事前进行沟通以外，还要尽量保证平台自身对比赛所需性能的满足和稳定，尤其是在CTF选手使用许多非常规手段，并且在有限时间段内进行高密度的攻击尝试的情况下，对于平台的要求非常高。

竞赛平台要最大程度的减小因平台自身问题而对比赛的进行和选手发挥带来的负面影响。而要实现这点，则需要类似于to B企业的产品化过程，长期持续地对如何满足需求方面进行积累，通过不断的迭代开发，并在实际比赛环境中进行验证和改进，最终转化为产品。

以国外的CTF竞赛为例，虽然已经有了很长的历史，但由于比赛平台经常是在赛前数月针对性的定制化开发，而且供应商更换频繁，缺乏长期的实践经验积累，从而使得比赛因为平台问题而被迫中断调试的情况屡见不鲜。甚至是在DEFCON 这种世界顶尖级别的CTF决赛现场，也不例外。

诸葛建伟：对的，所以此次HITB GSEC CTF 将使用赛宁网安提供的XCTF实训平台(OJ)的最大的优势就在于经过连续三届XCTF联赛，近百场CTF竞赛的考验，无论是对于赛制、赛题的理解，还是在不同比赛环境中针对可能出现的故障、意外，均积累了大量的最佳实践经验。

除了成熟的产品能力积累和稳定的性能外，据我了解，此次新加坡海外站还会采用双机热备、公有云部署等措施，最大程度地保证比赛的连续性，以及对可能出现的负载预估不足等情况进行最大量级的支持。

三、CTF对人才培养的促进作用被业内严重低估

安全牛

信息安全竞赛，虽然在发现人才和增强网络安全在整个社会的影响力方面，有着非常大的推动作用，但赢得优秀成绩的总是传统强队和少数人，是否意味着在安全人才规模化培养上，缺乏有效的机制？

诸葛建伟：你的问题非常好，实际上这里有一个误区。国内在技术型安全人才的大规模培养方面，CTF之类的比赛一直不被业界所重视。但网络安全竞赛，尤其是从这几年举行的XCTF联赛的效果来看，其对安全人才培养的促进作用，目前被业内严重低估。

真实的情况是，XCTF竞赛吸引并留住了大量对竞赛和安全技术有兴趣的人，他们通过参与比赛了解安全实战技术，进而真正进入到安全这个行业，杰出者甚至成为像长亭科技这种样优秀的技术驱动型初创公司。而这些人才，如果没有比赛，很可能就流失到其他行业中去，以往这样的例子很多。

再者，国内许多安全厂商以及互联网企业中的核心安全人员，或多或少都有过网络安全领域的参赛经历，典型的如Pwn2Own全球破解大赛，中国军团取得的不俗成绩，也验证了安全竞赛对国内安全研究人员成长的巨大促进作用。

最后，国内的CTF比赛这几年也在积极地向“区域化的技术交流和校企对接”方向转变，让更多的人参与到各种级别和不同倾向性的网络安全竞赛中。

以上种种例子，都证明了网络安全竞赛对推动安全人才培养的重要实际意义。

安全牛

的确，目前各种机构各种新的比赛层出不穷，也是从实际上反应出网络安全竞赛的积极作用。

诸葛建伟：此外，“区域化”也是今年XCTF联赛最大的特点。以今年的南京站(NJCTF)为例，XCTF线下赛联合江苏省信息网络安全协会和互联网协会，参赛队伍以邀请的方式由高校以及诸如运营商、网安等注重网络安全实战能力的单位和机构队伍组成，比赛的同时开设网络安全研究国际学术论坛(InForSec)，并成立了XCTF白帽协会，以推动区域内的安全技术交流和校企的资源对接。

正如你所说，近两年国内的网络安全竞赛有百花齐放的趋势。有的竞赛在赛题和环境设置上更贴近企业的真实计算环境，有的则倾向于攻击行为的检测和分析，也有的是针对特定行业业务特性的安全攻防。不难看出，之后面向不同级别不同受众群体的不同类型网络安全竞赛会层出不穷，对整个安全社区的成长和人才培养所产生的积极影响是无庸置疑的。

四、更贴近真实场景的安全技术特训营

安全牛

也就是说，XCTF联赛的核心价值点是围绕着比赛，营造重视技术交流的社区环境，从而找到更加适应中国现状的安全人才培养模式？

诸葛建伟：没错，可以这样理解。比如，我们将在今年7月31日在北京和南京两地，举办为期21天的XMan特训夏令营，帮助 CTF爱好者更加快速、深入的了解网络攻防实战技术，并将网络空间中的攻防思维和技能拓展到真实生活场景中。

安全牛

这个训练营去年你们好像就办了一次吧？

诸葛建伟：是的。但今年的XMan特训营除了对CTF常见题型进行实战培训以外，还将邀请今年中国智能网联汽车信息安全破解挑战赛的冠军队伍成员和指导老师对车联网安全进行心得分享。优秀学员还将组成XMan CTF战队参与HITB GSEC的比赛和新加坡南洋理工大学的实训课程。

安全牛

明白了，通过XMan特训营，实现更加贴近真实安全场景的人才培养。

五、机器学习与AI攻防

安全牛

最后，我们注意到本次XCTF总决赛，有李康教授的参与，是否能谈谈本次比赛如何融入机器学习的元素？

诸葛建伟：今年XCTF联赛的总决赛在赛制方面，最大的创新就是AI和类似CGC（网络超级挑战赛）赛制的引入。这个问题，最适合让李康教授来回答。

李康： CGC大赛由美国国防部先进项目研究局(DARPA)发起的，旨在推动计算机程序自动攻防的能力，这也是美国政府应对日渐紧缺的安全技术人才的一项举措。

实际上，在去年的CGC赛场上，主办方DARPA不希望能够出现任何真正意义上的自动化攻击，因此对比赛环境进行了一定程度上的配置，并且赛前各队需要对专门定义的比赛接口进行多次测试。但只要开始比赛，程序或AI则需要在没有人的指挥下，自行根据对场景的判断发起攻击，场上队员介入AI的情况是被完全禁止的。这考验的是程序本身如何在充分理解赛制的前提下对场景做出判断，从而自动进行渗透或加固等攻防行为。

“

安全的演化方向，是混淆，是有目的的规避和欺骗。之前人工智能应用的许多领域，演化是不主动的，但信息安全不同。随着自动化技术的快速发展，如何跟上安全的演进步伐，将变得愈加重要。

安全牛

今年9月的XCTF总决赛，又会以一种什么样的方式将AI和CTF结合？

李康：回到此次XCTF的决赛，由于受限于国内外CTF战队对自动化攻防的研究实力等各种原因，涉及到AI的部分赛制内容和会CGC有所区别。

首先，在平台方面，此次XCTF会使用真实未经阉割的操作系统，同时使用存在真实漏洞的网络服务。

其次，AI在第一天会作为每只队伍的先行军，完全自动化的进行漏洞的发现，而队员只有在AI造成漏洞程序的崩溃或实现控制流的劫持后，相应题目才会对这个战队开放。即在各个队伍网络环境实现隔离的情况下，各队AI实现独立的漏洞发现后，之后的漏洞利用环节人类选手才可以介入。

最后，总决赛的第二天，允许战队成员在获取AI的反馈结果后对AI进行调校，同时各队网络环境开放，AI可以配合选手进行攻防操作。

总决赛具体赛制，会在之后XCTF联赛的官方平台公布。

安全牛评

就像安全能力需要体系化的建设一样，安全人才的培养也需要更加综合立体的来对待。不局限于CTF，国内外安全行业正以网络安全竞赛为核心发散地尝试和摸索适合安全行业自身特性的人才培养模式。而XCTF联赛，已经可以说是中国在这方面的典型范例。随着安全技术和理念的快速发展和创新，对于高水平人才的需求也必会日益强烈。如何让人才的成长更快地追逐安全演进的速度，这也一定是整个行业都要关注、思考和投入的事情。