新技术、新业态催生了传统网络安全格局的深刻变革。伴随移动互联网，大数据、云计算、人工智能等新一代信息技术的快速发展，围绕网络和数据的服务与应用呈现爆发式增长，智能设备将无所不在，智能家居、无人车、物联网将渗透到人类社会的各个角落，丰富的应用场景下暴露出越来越多的网络安全风险和问题，在全球范围内产生广泛而深远的影响。人身安全、数据安全与隐私面临着全新挑战，对互联网发展与治理带来巨大的挑战。

不仅如此，主流机器学习框架经常被爆出存在安全漏洞，包括传统内存安全漏洞，以及新兴的对抗样本攻击漏洞。这些漏洞会导致AI系统的输出结果被攻击者任意控制，甚至导致系统自身被攻击者控制。关于AI本身的安全性变得前所未有的重要，并超乎我们传统对于安全边界与框架的认知范畴。

此外，传统的系统安全顽疾到了AI时代将更加集中的爆发。基于IoT的各类智能系统在芯片种类、终端厂商数量、操作系统种类，产品形态种类等方面的不同，“生态碎片化”导致了智能设备中N-
day安全漏洞失控，被黑产肆意利用；同时，“C语言魔咒”导致了大规模复杂系统长期维护中不可避免地出现高危内存漏洞，危及生命财产安全。

面对AI时代层出不穷且日益复杂的生态安全问题，百度安全始终倡导通过新一代技术研发与开源，实现对安全问题的快速响应与对抗，以及安全防护的层次化，迄今已实现多项AI安全核心技术的突破。在本次云智峰会安全分论坛上，百度安全正式发布下一代人工智能安全技术栈(Baidu
AI Security Stack，简称BASS)，其高安全可验证系统架构目前已实现云管端的全方位覆盖，OASES
KARMA系统自适应热修复技术、OpenRASP下一代云端安全防护系统、MesaLock Linux内存安全操作系统、MesaLink
TLS下一代安全通信库、MesaTEE下一代可信安全计算服务框架、AdvBoxAI模型攻防工具包、HugeGraph大规模图数据库等七大开源技术已面向生态开源，为AI安全生态提供全方位技术保障。

AdvBox https://github.com/advboxes/A…

AdvBox是一款由百度安全实验室研发，在百度大范围使用的AI模型安全工具箱，目前原生支持PaddlePaddle、PyTorch、Caffe2、MxNet、Keras以及TensorFlow平台，方便广大开发者和安全工程师可以使用自己熟悉的框架。对抗样本是深度学习领域的一个重要问题，比如在图像上叠加肉眼难以识别的修改，就可以欺骗主流的深度学习图像模型，产生分类错误，指鹿为马，或者无中生有。这些问题对于特定领域(比如无人车、人脸识别)会产生严重的后果，尤为重要。百度安全实验室研发了AdvBox，它能够为安全工程师研究模型的安全性提供极大的便利，免去重复造轮子的精力与时间消耗。AdvBox可以高效地使用最新的生成方法构造对抗样本数据集用于对抗样本的特征统计、攻击全新的AI应用，加固业务AI模型，为模型安全性研究和AI应用提供重要的支持。

openrasp https://github.com/baidu/open…

OpenRASP
抛弃了传统防火墙依赖请求特征检测攻击的模式，创造性的使用RASP技术(应用运行时自我保护)，直接注入到被保护应用的服务中提供函数级别的实时防护，可以在不更新策略以及不升级被保护应用代码的情况下检测/防护未知漏洞，尤其适合大量使用开源组件的互联网应用以及使用第三方集成商开发的金融类应用。另外，OpenRASP
提供的IAST解决方案，相比于与传统的DAST方案有着革命性提升。漏洞检测无需动态爬虫或者旁路代理，扫描更全面；结合应用探针准确的识别漏洞类型，通过针对性扫描大幅度提升检测效率；商业版新增的动态污点追踪能力，还可以在不扫描的情况下，预判接口是否存在漏洞。

HugeGraph
https://github.com/hugegraph/…

HugeGraph 是一款易用、高效、通用的开源图数据库 ，早期由百度安全团队自主研发，项目经过7个版本的迭代，于2018年8月对外开源
。HugeGraph图数据库支持百亿以上的顶点和边快速导入，并提供毫秒级的关联关系查询能力(OLTP)，
且可与Hadoop、Spark等大数据平台集成以进行离线分析(OLAP)。支持Property Graph和Apache Gremlin
查询语言，具备导入、导出、备份、恢复、可视化界面等工具组件，提供简单易用的RESTful
API及Client，可以轻松构建各种基于图数据库的应用和产品。

MesaTEE [https://github.com/apache/inc…](https://github.com/apache/incubator-
mesatee)

MesaTEE(进入 ASF 后，定名 Apache
Teaclave)是一个通用的安全计算框架，用于为安全关键场景提供通用计算服务。它结合了先进的混合内存安全(HMS)模型和可信计算技术(如
TPM)的能力，以及机密计算技术(如 Intel®SGX)。MesaTEE
可为关键安全场景提供通用计算服务，它甚至可以对最敏感的数据进行安全处理，从而使离岸业务不会泄漏。

MesaLink [https://github.com/mesalock-l…](https://github.com/mesalock-
linux/mesalink)

MesaLink是百度安全实验室开发的一个内存安全并兼容OpenSSL的传输层安全(Transport Layer Security,
TLS)协议栈。近年来TLS漏洞频发，以2014年的OpenSSL”心血”为代表的内存安全漏洞对业界造成了巨大损失。MesaLink的主要目标是用Rust这样一个保证内存安全的语言，根除TLS协议栈中威胁通信安全性和完整性的内存安全漏洞，减小攻击面且保证攻击面收敛可审计。此外，MesaLink支持跨平台，提供兼容OpenSSL的C
API，更可在安卓和libcurl中无缝替换OpenSSL。这极大地降低了开发成本，方便智能设备厂商快速获取安全通信的能力，从而实质性提升智能设备生态的安全性。

MesaLock Linux [https://github.com/mesalock-l…](https://github.com/mesalock-
linux/mesalock-distro)

MesaLock Linux 是百度安全实验室开源的一个通用 Linux 发行版本，其目标是用 Rust、Go 等内存安全语言重写用户空间应用(user
space
applications)，以在用户空间中逐步消除高危的内存安全漏洞。这将极大的降低整个系统的攻击面，并且使得剩余的攻击面可审计、可收敛。MesaLock
Linux 在保留 Linux 硬件兼容性的前提下，实质性地提升了 Linux 生态的安全性。MesaLock Linux
的主要目标应用场景是容器(例如：docker 镜像)，以及高安全性嵌入式环境，以后随着逐渐成熟，也可以向服务器或其他场景延伸。

在百度安全探索AI生态安全问题的过程中，BASS下一代AI安全技术栈已经在诸多领域展开实践。例如，OASES
KARMA自适应系统热修复技术已经广泛嵌入到智能电视、智能手机的系统层中，改变了以往安卓操作系统需要依靠厂商定期提供更新才能修补漏洞的方式。AdvBox对抗样本工具包针对AI算法模型提供安全性研究和解决方案，目前已应用于百度深度学习开源平台PaddlePaddle。

本次发布的百度安全开源大规模图数据库HugeGraph在实践过程中，也得到了极好的证明。其在安全反欺诈、知识图谱、机器学习中发挥着重要作用，目前已广泛应用到网址安全检测、威胁情报分析、业务风控、数据安全治理中，其所提供的关联分析图谱，能从看似杂乱无章的关系中寻找到网络黑产的脉络，在百度安全协助公安机关破获多起电信诈骗、伪基站、流量劫持、用户隐私窃取等重大黑产案件中，提供了打击溯源的核心能力，全方位实现从警务数据整合到分析挖掘，助力智慧公安新业态，践行企业社会责任。BASS下一代人工智能安全技术栈将协同七大开源技术持续为AI时代护航。

BASS下一代AI安全技术已经成为AI安全生态的重要支点。据悉，BASS未来将持续释放开源技术，形成支撑起AI安全生态的核心技术栈，在这个过程中，实现由传统安全时代的强管理向AI时代的强技术支撑下的核心管理的转变：首先利用革命性新安全技术简化和重铸基础技术体系和网络信任机制，在此基础之上再利用大数据和人工智能技术，将原本依赖大量人力运维的安全体系标准化和自动化，显著提升安全运营和管理工作的效率和效果。

从新一代安全技术的研发与开源，到为行业提供一体化安全解决方案，再到促进学术、企业、机构间多层面协作，百度安全正在升级打造AI时代的安全生态，用ABC策略直击AI安全时代焦虑，打破产业隔阂，避免生态碎片化，以此推动AI时代的安全生态建设。

作者：百度安全

原文地址：https://segmentfault.com/a/1190000022290540

喜欢 0

接下来我将给各位同学划分一张学习计划表！

学习计划

那么问题又来了，作为萌新小白，我应该先学什么，再学什么？
既然你都问的这么直白了，我就告诉你，零基础应该从什么开始学起：

阶段一：初级网络安全工程师

接下来我将给大家安排一个为期1个月的网络安全初级计划，当你学完后，你基本可以从事一份网络安全相关的工作，比如渗透测试、Web渗透、安全服务、安全分析等岗位；其中，如果你等保模块学的好，还可以从事等保工程师。

综合薪资区间6k~15k

1、网络安全理论知识（2天）
①了解行业相关背景，前景，确定发展方向。
②学习网络安全相关法律法规。
③网络安全运营的概念。
④等保简介、等保规定、流程和规范。（非常重要）

2、渗透测试基础（1周）
①渗透测试的流程、分类、标准
②信息收集技术：主动/被动信息搜集、Nmap工具、Google Hacking
③漏洞扫描、漏洞利用、原理，利用方法、工具（MSF）、绕过IDS和反病毒侦察
④主机攻防演练：MS17-010、MS08-067、MS10-046、MS12-20等

3、操作系统基础（1周）
①Windows系统常见功能和命令
②Kali Linux系统常见功能和命令
③操作系统安全（系统入侵排查/系统加固基础）

4、计算机网络基础（1周）
①计算机网络基础、协议和架构
②网络通信原理、OSI模型、数据转发流程
③常见协议解析（HTTP、TCP/IP、ARP等）
④网络攻击技术与网络安全防御技术
⑤Web漏洞原理与防御：主动/被动攻击、DDOS攻击、CVE漏洞复现

5、数据库基础操作（2天）
①数据库基础
②SQL语言基础
③数据库安全加固

6、Web渗透（1周）
①HTML、CSS和JavaScript简介
②OWASP Top10
③Web漏洞扫描工具
④Web渗透工具：Nmap、BurpSuite、SQLMap、其他（菜刀、漏扫等）

那么，到此为止，已经耗时1个月左右。你已经成功成为了一名“脚本小子”。那么你还想接着往下探索吗？

阶段二：中级or高级网络安全工程师（看自己能力）

综合薪资区间15k~30k

7、脚本编程学习（4周）
在网络安全领域。是否具备编程能力是“脚本小子”和真正网络安全工程师的本质区别。在实际的渗透测试过程中，面对复杂多变的网络环境，当常用工具不能满足实际需求的时候，往往需要对现有工具进行扩展，或者编写符合我们要求的工具、自动化脚本，这个时候就需要具备一定的编程能力。在分秒必争的CTF竞赛中，想要高效地使用自制的脚本工具来实现各种目的，更是需要拥有编程能力。

零基础入门的同学，我建议选择脚本语言Python/PHP/Go/Java中的一种，对常用库进行编程学习
搭建开发环境和选择IDE，PHP环境推荐Wamp和XAMPP，IDE强烈推荐Sublime；

Python编程学习，学习内容包含：语法、正则、文件、 网络、多线程等常用库，推荐《Python核心编程》，没必要看完

用Python编写漏洞的exp,然后写一个简单的网络爬虫

PHP基本语法学习并书写一个简单的博客系统

熟悉MVC架构，并试着学习一个PHP框架或者Python框架 (可选)

了解Bootstrap的布局或者CSS。

阶段三：顶级网络安全工程师

如果你对网络安全入门感兴趣，那么你需要的话可以点击这里👉网络安全重磅福利：入门&进阶全套282G学习资源包免费分享！

学习资料分享

当然，只给予计划不给予学习资料的行为无异于耍流氓，这里给大家整理了一份【282G】的网络安全工程师从入门到精通的学习资料包，可点击下方二维码链接领取哦。