什麼是資料中毒？如何防範攻擊者的AI和ML攻擊？

阻止勒索軟體已成為許多組織的優先事項。因此，他們正在轉向人工智慧(AI)和機器學習(ML)作為他們的防禦選擇。然而，威脅者也正在轉向人工智慧和ML來發動他們的攻擊。一種特定型別的攻擊，即資料中毒，就利用了這一點。

為什麼AI和ML有風險

像任何其他技術一樣，人工智慧是一個雙刃劍。YouAttest的執行長Garret Grajek在一次電子郵件採訪中說，人工智慧模型擅長處理大量資料並得出 "最佳猜測"。

他說：“駭客已經使用AI來攻擊身份驗證和身份驗證，包括語音和視覺化駭客攻擊。” ““武器化的AI”致力於獲取訪問金鑰。”

康奈爾大學的研究人員解釋說：“專業資料中毒是對機器學習的有效攻擊，並且透過將中毒資料引入訓練資料集來威脅模型完整性。”

是什麼使透過AI和ML進行的攻擊不同於典型的“系統中的錯誤”攻擊?Marcus Comiter在哈佛大學Belfer科學與國際事務中心的論文中說，這些演算法存在固有的侷限性和弱點，無法解決。

“ AI攻擊從根本上擴充套件了可用於執行網路攻擊的實體的集合，” Comiter補充說。“有史以來第一次，物理物件現在可以用於網路攻擊。還可以使用這些攻擊以新的方式將資料武器化，要求改變資料的收集，儲存和使用方式。”

人為錯誤

為了更好地瞭解威脅者如何利用AI和ML作為資料中毒和其他攻擊的攻擊載體，我們需要更清楚地瞭解他們在保護資料和網路方面的作用。

問問首席資訊保安官，對一個組織的資料最大的威脅是什麼，他們往往會告訴你是人性。

員工並不打算成為網路風險，但他們是人。人是可以分心的。他們今天錯過了一個昨天就能輕易避免的威脅。一個急於趕截稿並期待得到一份重要檔案的員工可能最終點選了一個受感染的附件，誤以為那是他們需要的檔案。或者，員工可能根本沒有意識到，因為他們的安全意識培訓太不連貫，沒有留下印象。威脅者知道這一點，並且像任何好的罪犯一樣，他們正在尋找進入網路和獲取資料的最簡單方法。網路釣魚攻擊之所以如此普遍，是因為它們非常好用。

使用異常行為作為風險因素

這就是AI和ML惡意軟體檢測發揮作用的地方。這些技術找到模式並分析使用者行為，在其變成問題之前嗅出奇怪的行為。透過應用生成的演算法，ML識別出人類不可能做到的異常行為。例如，它可以檢測到一個員工的正常工作日或他們的擊鍵節奏，併為不正常的事情設定警報。

當然，這並不完美。有人可能在正常工作時間之外工作，或者有影響他們打字方式的傷病。但這些工具的設計是為了捕捉一些不尋常的東西，例如威脅者使用被盜的證書。

充其量，我們可以使用AI透過告訴無監督計算機和網路上真實檔案與惡意檔案之間的區別，阻止對不良檔案的訪問來更好地保護網路免受勒索軟體攻擊。AI可以嗅探影子IT，告訴威脅的授權連線，並深入瞭解員工使用的端點數量。

為了使AI和ML成功應對網路威脅，他們依賴於在指定時間段內建立的資料和演算法。這樣一來，他們就可以有效地發現問題(並使安全團隊騰出時間來執行其他任務)。這也是威脅。AI和ML的上升直接導致了資料中毒的潛在威脅。

瞭解資料中毒

有兩種毒害資料的方法。一種是將資訊注入系統，以便它返回錯誤的分類。從表面上看，對演算法進行毒化看起來並不那麼困難。畢竟，AI和ML只知道人們教給他們什麼。想象一下，您正在訓練一種演算法來識別馬匹。您可能會顯示數百張棕色馬的圖片。同時，您教它透過看數百張黑白母牛的圖片來識別母牛。但是，當一頭棕色的母牛滑入資料集中時，機器會將其標記為一匹馬。對於該演算法，棕色動物就是一匹馬。人類將能夠識別出差異，但是除非演算法指定母牛也可以是棕色，否則機器將無法識別。

如果威脅行動者訪問了訓練資料，則他們可以操縱該資訊以向AI和ML講授他們想要的任何東西。他們可以使他們將良好的軟體程式碼視為惡意程式碼，反之亦然。攻擊者可以重建人類行為資料，以發起社會工程學攻擊或確定使用勒索軟體攻擊的目標。

威脅參與者的第二種方式可以利用訓練資料來生成後門。

駭客可能會使用AI來幫助選擇最值得利用的漏洞。因此，可以將惡意軟體放置在企業中，在這些企業中，惡意軟體本身可以決定攻擊的時間以及最佳的攻擊媒介。這些攻擊(根據設計，是可變的)，使得檢測起來更加困難和時間更長。” Grajek說。

攻擊者如何使用資料中毒

資料中毒需要注意的重要一點是，威脅參與者需要訪問資料培訓程式。因此，您可能正在面對內部攻擊，商業競爭對手或民族國家的攻擊。

Bruce Draper博士在DARPA研究專案中寫道： “對抗性AI的當前研究重點在於那些無法感知的ML輸入擾動可能欺騙ML分類器，從而改變其響應的方法。” “儘管對抗性AI領域還比較年輕，但已經提出了數十種攻擊和防禦措施，目前還缺乏對ML漏洞的全面理論理解。”

攻擊者還可以使用資料中毒來使惡意軟體更智慧。威脅參與者使用它克隆短語來欺騙演算法來破壞電子郵件。現在，它甚至進入了生物識別技術，攻擊者可以在其中鎖定合法使用者並潛入。

資料中毒和深度偽造

深度欺詐是一種資料中毒的水平，許多人預計這將是數字犯罪的下一波浪潮。攻擊者編輯影片，圖片和錄音以製作逼真的影像。因為它們可能被很多人誤認為是真實的照片或影片，所以它們是勒索或尷尬的成熟技術。正如科米特指出的那樣，在公司層面使用這種方法的一種變體也可能導致人身危險。

他寫道：“人工智慧攻擊可以在自動駕駛汽車的眼睛上將停車標誌變成綠燈，只需在停車標誌本身上放幾條膠帶即可。”

假新聞也屬於資料中毒。社交媒體中的演算法已損壞，以允許不正確的資訊上升到一個人的新聞提要的頂部，從而取代了真實的新聞來源。

阻止資料中毒攻擊

資料中毒仍處於起步階段，因此網路防禦專家仍在學習如何最好地防禦這種威脅。滲透測試和進攻性安全測試可能會導致發現漏洞，使外部人員可以訪問資料培訓模型。一些研究人員還正在考慮設計AI和ML的第二層，以捕獲資料訓練中的潛在錯誤。當然，具有諷刺意味的是，我們需要一個人來測試AI演算法，並檢查一頭母牛是一頭母牛而不是一匹馬。

“人工智慧只是攻擊者武器庫中的又一武器，”格雷厄克說。駭客仍將希望在整個企業範圍內遷移，提升其執行任務的特權。持續不斷的實時特權升級監控對於幫助緩解是否由AI造成的攻擊至關重要。”