知物由學 | AI時代，那些黑客正在如何打磨他們的「利器」？（一）

本文由  網易雲 發佈。

 

「知物由學」是網易雲易盾打造的一個品牌欄目，詞語出自漢·王充《論衡·實知》。人，能力有高下之分，學習才知道事物的道理，然後纔有智慧，不去求問就不會知道。「知物由學」但願經過一篇篇技術乾貨、趨勢解讀、人物思考和沉澱給你帶來收穫的同時，也但願打開你的眼界，成就不同的你。固然，若是你有不錯的認知或分享，也歡迎經過郵件（zhangyong02@corp.netease.com）投稿。

 

機器學習（ML）正在迅速的被用來應對網絡安全領域以及其餘技術領域，在過去的一年中，關於機器學習在防護和攻擊方面的使用已經有了大量的實例。雖然大多數文章都涉及到哲學論證方面（我推薦閱讀「 網絡安全中的機器學習的真相 」[1]），可是，網絡犯罪分子的機器學習彷佛已經被描述的與咱們想象的並徹底不一致了。

 

儘管如此，美國情報界也很是高度關注人工智能[2]。最近的調查結果顯示網絡犯罪分子正在研究如何利用機器學習來使攻擊更猛烈、更快、更便宜地執行。

 

本文的目標是系統化有關惡意網絡機器學習部署的可能涉及到的現實生活方式的信息。它旨在幫助信息安全團隊的成員爲即將發生的威脅作好準備。

 

1.網絡犯罪分子的任務：

 

全部網絡犯罪分子均可以經過機器學習輔助完成相關任務，例如從最初信息收集開始、到引發系統妥協，能夠分爲如下幾類：

 

• 信息收集——準備攻擊。
• 假冒——企圖模仿。
• 未經受權的訪問——繞過限制訪問某些資源或用戶賬戶。
• 攻擊——執行實際的攻擊，如惡意軟件或DDoS。
• 自動化——自動化開發和後期開發。

 

2.信息收集的機器學習：

 

信息收集是網絡攻擊的第一步，不管是針對我的攻擊仍是針對多人攻擊。你收集到的信息越好，你就會有更好的攻擊成功的機會。

 

至於釣魚或感染準備，黑客可能會使用分類算法將潛在受害者描述爲屬於能夠攻擊的羣體。想象一下，在收集了數以千計的電子郵件以後，你只會將惡意軟件發送給那些更有可能點擊連接的人，將其標記爲可攻擊羣體，從而下降安全團隊參與的可能性。在這裏可能有不少因素都能起到幫助，舉一個簡單的例子，你能夠將他們在社交網站上撰寫的IT主題的用戶與專一於食物和貓的用戶區分開來。做爲攻擊者，我會選擇後者，由於他們根本就不懂網絡攻擊究竟是什麼。這些區分可使用從K均值和隨機森林到神經網絡的各類聚類和分類方法來完成。

 

關於針對性攻擊的信息收集，它的任務不是收集儘量多的我的攻擊目標，其使命是儘量多地得到相關基礎設施的信息。這個想法是自動化全部的檢查，包括有關網絡基礎設施的信息收集。雖然現有的網絡掃描儀和嗅探器等工具能夠分析傳統網絡，但基於SDN的新一代網絡太複雜了。這就是機器學習能夠幫助到的地方。一個不爲人知的但有趣的概念是知道你的敵人（Know Your Enemy）攻擊[3]，容許隱藏情報收集目標SDN網絡的配置；這是將機器學習應用於信息收集任務的一個相關示例。黑客能夠收集的信息是從安全工具和網絡虛擬化參數的配置到QoS等通常網絡策略。經過分析來自一個網絡設備的規則而後推演出其餘網絡的條件以及規則的類型，攻擊者能夠推斷出有關網絡配置的敏感信息。

 

在探測階段中，攻擊者試圖觸發特定交換機上流量規則的安裝，探測流量的具體特徵取決於黑客感興趣的信息。

 

在下一階段，攻擊者分析探測階段產生的探測流量與安裝的相應流量規則之間的相關性。從這個分析中，他或她能夠推斷網絡策略針對特定類型的網絡流量執行。例如，攻擊者能夠經過在探測階段使用網絡掃描工具來篩選網絡流量來實現防護策略。若是你手動執行此操做，則可能須要數週才能收集數據，你仍然須要具備預配置參數的算法，例如，決定須要多少特定數據包很難肯定，由於數量取決於各類因素。在機器學習的幫助下，黑客徹底能夠自動化這個過程。

 

這是兩個例子，但通常來講，全部須要大量時間的信息收集任務也能夠自動化。例如，能夠經過添加一種遺傳算法，LSTM或GAN來生成與現有目錄更類似的目錄名稱，來改進用於掃描可用目錄和文件的工具DirBuster。

 

3.機器學習模擬攻擊：

 

網絡犯罪分子利用冒名形式以各類方式攻擊受害者，這大部分是須要取決於交流渠道。攻擊者可以說服受害者在發送電子郵件或使用社交工程後跟蹤利用或惡意軟件的連接。所以，即便打電話也被認爲是冒充的手段。

 

電子垃圾郵件是使用機器學習的最安全的領域之一，在這裏，我預計ML將成爲網絡犯罪分子首先應用的領域之一。他們不是手動生成垃圾郵件，而是「教」一個神經網絡來建立看起來像真正的電子郵件的垃圾郵件。

 

可是，在處理電子垃圾郵件時，咱們很難模仿一我的發郵件的規律。但問題是，若是你經過電子郵件要求員工更改密碼或公司軟件管理員下載更新，這是沒法以與管理員徹底相同的方式進行編寫。除非你看到一堆電子郵件，不然你將沒法複製樣式。即使如此，這個問題也能夠經過網絡釣魚來解決。

 

社交媒體網絡釣魚比電子郵件網絡釣魚的最大優點是公開性和便於訪問到的我的信息。你能夠經過閱讀他或她的帖子來觀看和了解用戶的行爲。這個想法在最近一個名爲「社會工程數據科學化」的研究[4]中獲得了證實 - Twitter上的自動E2E魚叉式網絡釣魚。這項研究提出了SNAP_R，這是一個自動化的工具，能夠顯着增長釣魚攻擊活動。有了它，傳統的自動釣魚攻擊能夠提高大約5-14％的準確度，而手動釣魚的釣魚攻擊則有45％。他們的方法恰到好處，準確率達到30％，在某些狀況下甚至達到了66％。他們使用馬爾科夫模型根據用戶之前的推文生成推文，並將結果與當前的神經網絡，特別是LSTM進行比較。LSTM提供更高的準確度，但須要更多的時間來訓練。

 

在人工智能的新時代，企業不只會製造假冒文字，還會製造虛假的聲音或視頻。Lyrebird是一家專一於模仿聲音的媒體和視頻的創業公司，他們展現了能夠製做出與你徹底發音相同的機器人。隨着愈來愈多的數據出現和不斷髮展的網絡，黑客能夠得到的東西也就愈來愈多，天然而然成功的概率也就越高。因爲咱們不知道Lyrebird是如何工做的，因此黑客可能沒法使用這個服務來知足本身的需求，可是他們能夠發現更多的開放平臺，好比Google的WaveNet[5]，它們能夠作一樣的事情。

 

值得注意的是，那些黑客們如今正在應用生成敵對網絡（GAN）——一種更先進的神經網絡類型。

在下一篇中，咱們將討論黑客如何可能使用機器學習來得到未經受權的訪問和實施攻擊（譯者/盾虎）。

 

原文地址：http://mp.weixin.qq.com/s/5MnESSDptm_JnUw65x8UMA

 

瞭解 網易雲 ：
網易雲官網：https://www.163yun.com/
新用戶大禮包：https://www.163yun.com/gift
網易雲社區：https://sq.163yun.com/