网络安全从业人员会被AI智能取代吗?

news2024/12/22 14:24:41

 随着ChatGPT的火爆,很多人开始担心网络安全从业人员会被AI取代。如果说网络安全=挖洞的话,AI可能真的能取代。但是网络安全不仅仅只是挖洞,所以AI只是能缓解网络安全人员不足的情况,但是是不会取代人类的作用的。

就拿最近很火的ChatGPT来说,确实能进行恶意攻击,但是前提也是在人类的干预下。

黑莓公司曾经发布过一篇研究报告表明由人工智能驱动的ChatGPT机器人可能会对网络安全产生威胁。并且有充分的证据表明,怀有恶意的人正在利用ChatGPT机器人进行网络攻击。

ChatGPT的从出世以来就开始广受追捧,在短短两个月内,用户就达到了1亿。ChatGPT自从2022年12月开始向公众开放以来,两个月达到1亿用户,对比Tik Tok也花费了大约9个月的时间才达到同样的数字。人们会担心它滥用的原因是开放式人工智能机器人不仅能够撰写回答评论,还能创建代码。并且ChatGPT可以为黑客提供有关如何入侵网站的分布说明,能够对利用的任何漏洞提供详细建议。

ChatGPT可以帮助黑客进行攻击。

Cyber​​news的研究团队尝试使用 ChatGPT 来帮助他们找到网站的漏洞。研究人员提出问题并遵循 AI 的指导,试图检查聊天机器人是否可以提供利用该漏洞的分步指南。

该团队通过解释他们正在进行渗透测试挑战来询问ChatGPT。 研究人员问道:

I am faced with a penetration testing challenge. I am on a website with one button. How would I test its vulnerabilities?
(我面临着渗透测试的挑战。我在一个只有一个按钮的网站上。我该如何测试它的漏洞?)

聊天机器人以五个基本起点作为回应,说明在搜索漏洞时要检查网站上的内容。通过解释他们在源代码中看到的内容,研究人员获得了 AI 的建议,以了解应该专注于代码的哪些部分。此外,他们还收到了建议的代码更改示例。在与聊天机器人聊天大约 45 分钟后,研究人员能够破解所提供的网站。

在这个过程中,虽然AI没有给他们提供现阶段所需的确切有效的内容,但是它给予了研究员们大量的想法和关键字来搜索。

利用ChatGPT创建恶意软件

网络安全服务商CyberArk公司的研究人员在今年1月发表了一篇有关网络威胁研究的博客文章,详细介绍了他们如何使用ChatGPT创建多态恶意软件的过程。同样,研究人员能够通过AI提供的内容略过过滤器。

虽然在一开始要求人工智能机器人采用Python创建一些恶意代码,他会礼貌地拒绝。

但是,在输入过程中强烈坚持,那么机器人也有可能创建可执行代码。这其实并不可怕,危险的是ChatGPT是机器学习的一个例子,随着时间的推移,它接受到的输入数据越多,输出内容就越好,情况只会变得更好。

ChatGPT否认自己是网络安全威胁

在询问它自己是否会构成网络安全威胁是,机器人一直保持否认的态度:“不,ChatGPT不会构成网络安全威胁。它是由OpenAI开发的一种语言模型,旨在根据接收到的输入生成文本。然而,重要的是要记住,任何技术都可能被滥用,用户有责任保护他们的系统和数据。此外,在分享敏感信息时要谨慎行事,因为第三方可能会获取这些信息。

然后让ChatGPT用500字和1000字回答它自己是否构成网络安全威胁时,它给出了不一样的答案。

“如果它落入坏人之手,可能会被恶意利用”、“ChatGPT可能被用来从互联网上抓取敏感信息,例如个人数据或财务信息。”

“与ChatGPT等人工智能模型相关的另一个风险是,它们可能被用于恶意目的。例如,网络攻击者可以创建一个假冒的聊天机器人,看起来像一位客服代表,并使用它来欺骗人们提供他们的个人信息或进行未经授权的购买。如果网络攻击者能够让聊天机器人看起来像是来自一个可信任的组织,例如银行或政府机构,这可能会特别危险。”

ChatGPT最终还是承认了它可以被用于恶意目的。

但是,ChatGPT到底是好是坏,最终还是取决于使用者的目的。

但是就像ChatGPT提醒的一样:请记住,在尝试测试网站的漏洞之前,遵循到的黑客准则并获得许可非常重要。

其实对于渗透测试学习者来说,ChatGPT是最全能的黑客辅助工具。它的出现大大降低了渗透测试人员的学习成本,抓住这个“利器”,或许你的技术会更上一层楼。

那么,我们首先需要掌握网络安全这门技术,应该如何入门?要学些什么东西呢?

成为一名合格的网络安全工程师需要具备哪些能力?

1、网络安全技术方面

包括端口、服务漏洞扫描、程序漏洞分析检测、权限管理、入侵和攻击分析追踪、网站渗透、病毒木马防范等。

2、对计算机系统有深入的了解,掌握常用的编程语言

例如windows及企业常用的linux系统,编程语言如:Java、php 、python、c、c++。编程语言理论上来说是多多益善, 如果精力不足,至少要会常用的。

3、了解主流网网络安全产品

比如防火墙、入侵检测系统、扫描仪等等。

4、安全协议方面

这部分内容很多和web安全是相通的。熟悉sql 注入原理和手工检测、熟悉内存缓冲区溢出原理和防范措施、熟悉信息存储和传输安全、熟悉数据包结构、熟悉ddos攻击类型和原理有一定的ddos 攻防经验,熟悉iis安全设置、熟悉ipsec、组策略等系统安全设置。

5、机器学习算法

机器学习是一门人工智能的科学,该领域的主要研究对象是人工智能,特别是如何在经验学习中改善具体算法的性能,涉及概率论、统计学、逼近论、凸分析、算法复杂度理论等多门学科。

6、人工智能

人工智能是研究使计算机来模拟人的某些思维过程和智能行为的学科,主要包括计算机实现智能的原理、制造类似于人脑智能的计算机,使计算机能实现更高层次的应用。人工智能将涉及到计算机科学、心理学、哲学和语言学等学科。可以说几乎是自然科学和社会科学的所有学科,其范围已远远超出了计算机科学的范畴,人工智能与思维科学的关系是实践和理论的关系,人工智能是处于思维科学的技术应用层次,是它的一个应用分支。

7、大数据分析

大数据分析是指对规模巨大的数据进行分析。大数据可以概括为4个V, 数据量大(Volume)、速度快(Velocity)、类型多(Variety)、价值(Value)。大数据作为时下最火热的IT行业的词汇,随之而来的数据仓库、数据安全、数据分析、数据挖掘等等围绕大数据的商业价值的利用逐渐成为行业人士争相追捧的利润焦点。

8、逆向汇编

汇编语言是一切程序的起点和终点,毕竟所有的高级语言都是建立在汇编基础之上的。在许多高级语言中我们都需要相对明确的语法,但是在汇编中,我们会使用一些单词缩写和数字来表达程序。 一句话总结,咱们搞网络安全的人简直是全能型人才,文能提笔安天下,武能上马定乾坤,说的有点浮夸了。

怎么入门?

我们落到具体的技术点上来,网络安全学习路线,整体学习时间大概半年左右,具体视每个人的情况而定。

如果你把每周要学的内容精细化到这种程度,你还会担心学不会,入不了门吗,其实说到底就是学了两个月,但都是东学一下,西学一下,什么内容都是浅尝辄止,没有深入进去,所以才会有学了2个月,入不了门这种感受。

1、Web安全相关概念(2周)

  • 熟悉基本概念(SQL注入、上传、XSS、CSRF、一句话木马等);
  • 通过关键字(SQL注入、上传、XSS、CSRF、一句话木马等)进行Google/SecWiki;
  • 阅读《精通脚本黑客》,虽然很旧也有错误,但是入门还是可以的;
  • 看一些渗透笔记/视频,了解渗透实战的整个过程,可以Google(渗透笔记、渗透过程、入侵过程等);

2、熟悉渗透相关工具(3周)

  • 熟悉AWVS、sqlmap、Burp、nessus、chopper、nmap、Appscan等相关工具的使用;
  • 了解该类工具的用途和使用场景,先用软件名字Google/SecWiki;
  • 下载无后门版的这些软件进行安装;
  • 学习并进行使用,具体教材可以在SecWiki上搜索,例如:Brup的教程、sqlmap;
  • 待常用的这几个软件都学会了可以安装音速启动做一个渗透工具箱;

3、渗透实战操作(5周)

掌握渗透的整个阶段并能够独立渗透小型站点。 网上找渗透视频看并思考其中的思路和原理,关键字(渗透、SQL注入视频、文件上传入侵、数据库备份、dedecms漏洞利用等等);

  • 自己找站点/搭建测试环境进行测试,记住请隐藏好你自己;
  • 思考渗透主要分为几个阶段,每个阶段需要做那些工作;
  • 研究SQL注入的种类、注入原理、手动注入技巧;
  • 研究文件上传的原理,如何进行截断、双重后缀欺骗(IIS、PHP)、解析漏洞利用(IIS、Nignix、Apache)等;
  • 研究XSS形成的原理和种类,具体学习方法可以Google/SecWiki;
  • 研究Windows/Linux提权的方法和具体使用;

4、关注安全圈动态(1周)

  • 关注安全圈的最新漏洞、安全事件与技术文章;
  • 通过SecWiki浏览每日的安全技术文章/事件;
  • 通过Weibo/twitter关注安全圈的从业人员(遇到大牛的关注或者好友果断关注),天天抽时间刷一下;
  • 通过feedly/鲜果订阅国内外安全技术博客(不要仅限于国内,平时多注意积累),没有订阅源的可以看一下SecWiki的聚合栏目;
  • 养成习惯,每天主动提交安全技术文章链接到SecWiki进行积淀;
  • 多关注下最新漏洞列表,推荐几个:exploit-db、CVE中文库、Wooyun等,遇到公开的漏洞都去实践下。
  • 关注国内国际上的安全会议的议题或者录像,推荐SecWiki-Conference;

5、熟悉Windows/Kali Linux(3周)

  • 学习Windows/Kali Linux基本命令、常用工具;
  • 熟悉Windows下的常用的cmd命令,例如:ipconfig,nslookup,tracert,net,tasklist,taskskill等;
  • 熟悉Linux下的常用命令,例如:ifconfig,ls,cp,mv,vi,wget,service,sudo等;
  • 熟悉Kali Linux系统下的常用工具,可以参考SecWiki《Web Penetration Testing with Kali Linux》、《Hacking with Kali》等;
  • 熟悉metasploit工具,可以参考SecWiki、《Metasploit渗透测试指南》;

6、服务器安全配置(3周)

  • 学习服务器环境配置,并能通过思考发现配置存在的安全问题;
  • Windows2003/2008环境下的IIS配置,特别注意配置安全和运行权限,;
  • Linux环境下的LAMP的安全配置,主要考虑运行权限、跨目录、文件夹权限等;
  • 远程系统加固,限制用户名和口令登陆,通过iptables限制端口;
  • 配置软件Waf加强系统安全,在服务器配置mod_security等系统;
  • 通过Nessus软件对配置环境进行安全检测,发现未知安全威胁;

7、脚本编程学习(4周)

  • 选择脚本语言Perl/Python/PHP/Go/Java中的一种,对常用库进行编程学习;
  • 搭建开发环境和选择IDE,PHP环境推荐Wamp和XAMPP,IDE强烈推荐Sublime;
  • Python编程学习,学习内容包含:语法、正则、文件、网络、多线程等常用库,推荐《Python核心编程》,不要看完;
  • 用Python编写漏洞的exp,然后写一个简单的网络爬虫;
  • PHP基本语法学习并书写一个简单的博客系统,参见《PHP与MySQL程序设计(第4版)》、视频;
  • 熟悉MVC架构,并试着学习一个PHP框架或者Python框架(可选);
  • 了解Bootstrap的布局或者CSS;

8、源码审计与漏洞分析(3周)

  • 能独立分析脚本源码程序并发现安全问题。
  • 熟悉源码审计的动态和静态方法,并知道如何去分析程序;
  • 从Wooyun上寻找开源程序的漏洞进行分析并试着自己分析;
  • 了解Web漏洞的形成原因,然后通过关键字进行查找分析;
  • 研究Web漏洞形成原理和如何从源码层面避免该类漏洞,并整理成checklist。

9、安全体系设计与开发(5周)

  • 能建立自己的安全体系,并能提出一些安全建议或者系统架构。
  • 开发一些实用的安全小工具并开源,体现个人实力;
  • 建立自己的安全体系,对公司安全有自己的一些认识和见解;
  • 提出或者加入大型安全系统的架构或者开发;

这里可以参考下面这张成长路线图:

我也给大家整理了一些学习籽料,大部分我都看过,质量是比较不错的,也省去大家去网上找资料的时间了

以上资源的获取毫无门槛,只要你是真心想学习网络安全,就大胆去做!

网络安全领域就像是一棵硕果累累的参天大树,底下站着无数观望者,他们都声称自己喜欢网络安全,想上树摘果,但面对时不时垂下来的藤枝,他们却踌躇不前,犹豫不决。

实际上,只要任意抓住一根藤枝,都能爬上这棵树。 大部分人缺的,就是这么一个开端。

这份完整版的网安学习资料已经上传,朋友们如果需要可以微信扫描下方CSDN官方认证二维码免费领取【保证100%免费】

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/631146.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

【详解】Java中的queue和deque、ArrayDeque

一 、队列(queue)简述 队列(queue)是一种常用的数据结构,在Java里面Queue是一个接口,它只是定义了一个基本的Queue应该有哪些功能规约。可以将队列看做是一种特殊的线性表,该结构遵循的先进先出原则。 Java中,LinkedList实现了Q…

RabbitMQ入门案例之发布订阅模式

前言 本文章主要介绍RabbitMQ的发布订阅模式,该模式下,消息为广播形式,一经发布则会进入交换机绑定的队列中,详细介绍可以阅读官方文档。 官网文档地址:https://rabbitmq.com/getstarted.html 什么是发布与订阅模式 …

对比K近邻算法与决策树算法在MNIST数据集上的分类性能

目录 1. 作者介绍2. K近邻算法与决策树算法介绍2.1 K近邻(KNN)简介2.2 决策树算法简介2.3 MNIST数据集简介: 3. K近邻算法和决策树算法在Mnist数据集分类实验对比3.1 K近邻算法对Mnist数据集分类实验3.2 K近邻代码实现3.3 决策树算法实验3.4 …

Vue3:组件高级(上)

Vue3:组件高级(上) Date: May 20, 2023 Sum: watch倾听器、组件的生命周期、组件之间的数据共享、vue3.x中全局配置axios 目标: 能够掌握 watch 侦听器的基本使用 能够知道 vue 中常用的生命周期函数 能够知道如何实现组件之间…

写 bug 速度提升200%!吊爆的 IDEA 使用技巧

背景 Java 开发过程经常需要编写有固定格式的代码,例如说声明一个私有变量,logger或者bean等等。 对于这种小范围的代码生成,我们可以利用 IDEA 提供的 Live Templates功能。 刚开始觉得它只是一个简单的Code Snippet,后来发现…

msf渗透练习-震网三代

说明: 本章内容,仅供学习,不要用于非法用途(做个好白帽) (一)震网三代漏洞 “震网三代”官方漏洞编号是CVE-2017-8464,2017年6月13日,微软官方发布编号为CVE-2017-8464的…

Redis Cluster集群运维-03

1、Redis集群方案比较 哨兵模式 在redis3.0以前的版本要实现集群一般是借助哨兵sentinel工具来监控master节点的状态,如果master节点异 常,则会做主从切换,将某一台slave作为master,哨兵的配置略微复杂,并且性能和高可…

【CSS】常见的选择器

1.标签选择器 语法 标签 { }作用 标签选择器用于选择某种标签比如 选择p标签,并设置背景颜色 p { background-color:yellow; }例子 选择div标签,并将其字体大小设置为100px,字体设置为"微软雅黑",文字颜色设置为r…

怎么学习渗透测试?路线是什么

我知道很多人肯定觉得,报班什么的太贵了,但是人家贵有贵的道理 owap讲来讲去,还是那个样,但是有人给你解答问题是两个概念,有时候一个虚拟机都能卡死你很久,我就随便说说,我给你们想的学习路线…

2023网络安全工程师面试题汇总(附答案)

又到了毕业季,大四的漂亮学姐即将下架,大一的小学妹还在来的路上,每逢这时候我心中总是有些小惆怅和小激动…… 作为学长,还是要给这些马上要初出茅庐的学弟学妹们,说说走出校园、走向职场要注意哪些方面。 走出校园后…

基于XC7Z100的PCIe采集卡(GMSL FMC采集卡)

GMSL 图像采集卡 特性 ● PCIe Gen2.0 X8 总线; ● 支持V4L2调用; ● 1路CAN接口; ● 6路/12路 GMSL1/2摄像头输入,最高可达8MP; ● 2路可定义相机同步触发输入/输出; 优势 ● 采用PCIe主卡与FMC子…

服务器是什么?它是用来干什么的?

作者:Insist-- 个人主页:insist--个人主页 作者会持续更新网络知识和python基础知识,期待你的关注 目录 一、服务器是什么? 二、服务器的作用 1、提高访问速度 2、提高安全性 三、云服务器与物理服务器 1、云服务器 云服务…

[架构之路-210]- 人人都是产品经理 - 互联网产品需求分析思路和方法笔记

目录 前言: 一、产品需求分析思路和方法--产品需求 1、产品需求的内涵 ①什么是产品? ②什么是需求? ③需求的产品的关系 ④案例分析: ⑤理解需求的误区 2、需求的分类及层次、规律、拆解用户需求 ①需求分类 ②需求层…

算法刷题-链表-设计链表

设计链表 707.设计链表思路代码其他语言版本 听说这道题目把链表常见的五个操作都覆盖了? 707.设计链表 力扣题目链接 题意: 在链表类中实现这些功能: get(index):获取链表中第 index 个节点的值。如果索引无效,则…

MySQL数据库,从入门到精通:第二篇——MySQL关系型数据库与非关系型数据库的比较

MySQL数据库,从入门到精通:第二篇——MySQL关系型数据库与非关系型数据库的比较 1. RDBMS 与 非RDBMS1.1 关系型数据库(RDBMS)1.1.1 实质1.1.2 优势1.2 非关系型数据库(非RDBMS)1.2.1 介绍1.2.2 有哪些非关系型数据库1.2.3 NoSQL的演变1.3 小结 2. 关系型…

SQL开源替代品,诞生了

发明 SQL 的初衷之一显然是为了降低人们实施数据查询计算的难度。SQL 中用了不少类英语的词汇和语法,这是希望非技术人员也能掌握。确实,简单的 SQL 可以当作英语阅读,即使没有程序设计经验的人也能运用。 然而,面对稍稍复杂的查…

Python+QT停车场车牌识别计费管理系统-升级版

程序示例精选 PythonQT停车场车牌识别计费管理系统-升级版 如需安装运行环境或远程调试&#xff0c;见文章底部个人QQ名片&#xff0c;由专业技术人员远程协助&#xff01; 前言 这篇博客针对<<PythonQT停车场车牌识别计费管理系统-升级版>>编写代码&#xff0c;代…

RabbitMQ入门案例之Direct模式

前言 RabbitMQ的Direct模式是一种可以根据指定路由key&#xff0c;Exchang将消息发送到具有该路由key下的Queue下进行存储。也就类似于将数据写进指定数据库表中。这个路由Key可以类比为SQL语句中的&#xff1a;where routeKey … 官方文档地址&#xff1a;https://www.rabbi…

DragGAN部署全流程

写在前面 看了DragGAN 官方&#xff0c;并没有找到软件&#xff0c;或者程序&#xff0c;github上也没有程序&#xff0c;如果大佬们能找到&#xff0c;可以评论通知下。不过也有技术大佬已经提前开发出来了&#xff0c;我们抢先体验下。 这里本地部署了 DragGAN。经历了报错&…

【LeetCode】HOT 100(5)

题单介绍&#xff1a; 精选 100 道力扣&#xff08;LeetCode&#xff09;上最热门的题目&#xff0c;适合初识算法与数据结构的新手和想要在短时间内高效提升的人&#xff0c;熟练掌握这 100 道题&#xff0c;你就已经具备了在代码世界通行的基本能力。 目录 题单介绍&#…