作者:Veronica Combs翻譯:林鶴衝校對:wwl
本文
約1600字
,建議閱讀
6
分鐘
人工智慧和機器學習如何逃避網路安全的防護並且完成更快更有效的破壞。
標籤:cybersecurity
專家告誡:攻擊者可以用機器學習來更快地破#解#密#碼,以及建立會藏匿的惡意軟體。
圖片:iStockphoto/metamorworks
三個網路安全專家在NCSA和納斯達克網路安全峰會上解釋了人工智慧和機器學習如何逃避網路安全的防護並且完成更快更有效的破壞。
十月六日星期二,國家網路安全聯盟的執行董事Kelvin Coleman,在以 “可用的安全:影響和丈量人類行為的改變”為主題的論壇中對這一部分進行了探討。
國立標準與技術學院,員工資訊科技實驗室的首席Elham Tabassi,是這次“網路安全中的人工智慧和機器學習:善、惡、醜”講座中的一位嘉賓。
檢視:
Security threats on the horizon: What IT pro's need to know (free PDF) (TechRepublic)
“攻擊者能使用AI來躲避檢查,藏在不能被找到的地方,並且自動開啟反偵查模式。”Tabassi說。
Digital Guardian的數字首席資訊保安官Tim Bandos認為,網路安全總是需要藉助人類思維來建立更強的防禦措施來抵抗攻擊。
“AI 是助手,安全分析師和威脅偵查官是超級英雄”他說。
以下是3種AI和ML被用於網路安全攻擊中的方式。
資料中毒
Tabsassi說,攻擊者有時會瞄準用來訓練機器學習模型的資料。資料中毒是透過操縱一個訓練集來控制模型的預測能力,使模型做出錯誤的預測,比如標記垃圾郵件為安全內容。
資料中毒有兩種型別:攻擊ML演算法可用性和攻擊演算法的完整性。研究表明,訓練集中3%的資料遭遇資料中毒會導致預測準確率下降11%。
透過後門攻擊,一個入侵者能夠在模型的設計者不知情的情況下,在演算法中新增入參。攻擊者用這個後門使得ML系統錯誤地將特定的可能攜帶病毒的字串識別為良性。
Tabsssi說毒害資料的方法能夠從一個模型轉移到另一個模型。
“資料是機器學習的血液和燃料, 用來訓練模型的資料應該被予以同模型一樣的重視。”她說,“使用者信任度是被模型和訓練的質量以及其中的資料所影響的。”
Tabassi 說業界需要制定一個標準和規則來保證資料的質量,NIST已經在制定國家規範以約束AI的可靠性,規範包含高階的規則和強調準確性、安全性、偏差性、隱私性和可解釋性的技術要求。
檢視 :
Social engineering: A cheat sheet for business professionals (free PDF) (TechRepublic)
生成對抗網路
生成對抗網路(GANs)是由兩個相互對抗的AI組成 -- 一個模擬原有的內容,另一個負責挑出錯誤。透過二者的對抗,他們共同創立出與原先高度擬合的內容。
Nvidia的研究者訓練了一個特殊的AI模型來重建吃豆人遊戲。 ()這個模型只是簡單地觀察了幾個小時的遊戲,沒有藉助遊戲引擎,Stephanie Condon在ZDNet中解釋道。
Bandos說攻擊者使用GANs來模擬一般的資料傳輸規律,來將分散系統的注意力,並且找到能使敏感資料迅速撤離的方法。
“因為有了這些能力,他們可以在30-40分鐘內完成進出。”他說,“一旦攻擊者開始使用AI和機器學習,他們就能自動執行這些任務了。”
GANs還可以用於破#解#密#碼,躲避防毒軟體和欺騙面部識別,Thomas Klimek在文章“生成對抗網路:他們是什麼,為什麼我們要害怕。”
()中如是描述。一個用機器學習建立的密碼猜測對抗網路(PassGAN system),使用行業標準密碼清單上訓練模型,最終該網路能夠猜測到比其他幾個在同樣資料集上訓練的工具更多的密碼。除了生成資料,GANs能創造可以躲避基於機器學習檢測的惡意軟體。
Bandos認為用於網路安全的AI演算法不得不透過頻繁地重複訓練才能識別新的攻擊。
“惡意軟體在進化,我們也要一起進化。”他說。
他用“混淆”作為例子,比如一個惡意軟體的大部分是由合規的程式碼組成的(所謂用合法程式碼來混淆/偽裝),一個ML演算法必須要能夠識別其中的惡意程式碼。
殭屍程式
VMware Carbon Black的高階網路安全策略師Greg Foss講道,如果AI演算法被用於做決策,那麼他們也能被操控做出錯誤的決策。
“如果攻擊者理解這些模型,他們就能夠用他們做壞事。”他說。
Foss說最近的一次對加密貨幣交易系統的攻擊就是透過殭屍程式執行的。
“攻擊者進入系統並且發現計算機程式如何進行交易,然後他們用這個程式去迷惑演算法。”他說,“這個也有很多其他應用。”
Foss補充說這個技術不是新的,但是現在這些演算法比以更智慧了,這大大提高了演算法做出一個壞決策的風險。
可閱覽更多相關文章
1.How to become a cybersecurity pro: A cheat sheet (TechRepublic)
2.Social engineering: A cheat sheet for business professionals (free PDF) (TechRepublic)
3.Shadow IT policy (TechRepublic Premium)
4.Online security 101: Tips for protecting your privacy from hackers and spies (ZDNet)
5.All the VPN terms you need to know (CNET)
6.Cybersecurity and cyberwar: More must-read coverage (TechRepublic on Flipboard)
原文標題:
3 ways criminals use artificial intelligence in cybersecurity attacks
原文連結:
https://www.techrepublic.com/article/3-ways-criminals-use-artificial-intelligence-in-cybersecurity-attacks/