知物由学 | AI时代，那些黑客正在如何打磨他们的“利器”？（一）

本文由  网易云 发布。

 

“知物由学”是网易云易盾打造的一个品牌栏目，词语出自汉·王充《论衡·实知》。人，能力有高下之分，学习才知道事物的道理，然后才有智慧，不去求问就不会知道。“知物由学”但愿经过一篇篇技术干货、趋势解读、人物思考和沉淀给你带来收获的同时，也但愿打开你的眼界，成就不同的你。固然，若是你有不错的认知或分享，也欢迎经过邮件（zhangyong02@corp.netease.com）投稿。

 

机器学习（ML）正在迅速的被用来应对网络安全领域以及其余技术领域，在过去的一年中，关于机器学习在防护和攻击方面的使用已经有了大量的实例。虽然大多数文章都涉及到哲学论证方面（我推荐阅读“ 网络安全中的机器学习的真相 ”[1]），可是，网络犯罪分子的机器学习彷佛已经被描述的与咱们想象的并彻底不一致了。

 

尽管如此，美国情报界也很是高度关注人工智能[2]。最近的调查结果显示网络犯罪分子正在研究如何利用机器学习来使攻击更猛烈、更快、更便宜地执行。

 

本文的目标是系统化有关恶意网络机器学习部署的可能涉及到的现实生活方式的信息。它旨在帮助信息安全团队的成员为即将发生的威胁作好准备。

 

1.网络犯罪分子的任务：

 

全部网络犯罪分子均可以经过机器学习辅助完成相关任务，例如从最初信息收集开始、到引发系统妥协，能够分为如下几类：

 

• 信息收集——准备攻击。
• 假冒——企图模仿。
• 未经受权的访问——绕过限制访问某些资源或用户账户。
• 攻击——执行实际的攻击，如恶意软件或DDoS。
• 自动化——自动化开发和后期开发。

 

2.信息收集的机器学习：

 

信息收集是网络攻击的第一步，不管是针对我的攻击仍是针对多人攻击。你收集到的信息越好，你就会有更好的攻击成功的机会。

 

至于钓鱼或感染准备，黑客可能会使用分类算法将潜在受害者描述为属于能够攻击的群体。想象一下，在收集了数以千计的电子邮件以后，你只会将恶意软件发送给那些更有可能点击连接的人，将其标记为可攻击群体，从而下降安全团队参与的可能性。在这里可能有不少因素都能起到帮助，举一个简单的例子，你能够将他们在社交网站上撰写的IT主题的用户与专一于食物和猫的用户区分开来。做为攻击者，我会选择后者，由于他们根本就不懂网络攻击究竟是什么。这些区分可使用从K均值和随机森林到神经网络的各类聚类和分类方法来完成。

 

关于针对性攻击的信息收集，它的任务不是收集尽量多的我的攻击目标，其使命是尽量多地得到相关基础设施的信息。这个想法是自动化全部的检查，包括有关网络基础设施的信息收集。虽然现有的网络扫描仪和嗅探器等工具能够分析传统网络，但基于SDN的新一代网络太复杂了。这就是机器学习能够帮助到的地方。一个不为人知的但有趣的概念是知道你的敌人（Know Your Enemy）攻击[3]，容许隐藏情报收集目标SDN网络的配置；这是将机器学习应用于信息收集任务的一个相关示例。黑客能够收集的信息是从安全工具和网络虚拟化参数的配置到QoS等通常网络策略。经过分析来自一个网络设备的规则而后推演出其余网络的条件以及规则的类型，攻击者能够推断出有关网络配置的敏感信息。

 

在探测阶段中，攻击者试图触发特定交换机上流量规则的安装，探测流量的具体特征取决于黑客感兴趣的信息。

 

在下一阶段，攻击者分析探测阶段产生的探测流量与安装的相应流量规则之间的相关性。从这个分析中，他或她能够推断网络策略针对特定类型的网络流量执行。例如，攻击者能够经过在探测阶段使用网络扫描工具来筛选网络流量来实现防护策略。若是你手动执行此操做，则可能须要数周才能收集数据，你仍然须要具备预配置参数的算法，例如，决定须要多少特定数据包很难肯定，由于数量取决于各类因素。在机器学习的帮助下，黑客彻底能够自动化这个过程。

 

这是两个例子，但通常来讲，全部须要大量时间的信息收集任务也能够自动化。例如，能够经过添加一种遗传算法，LSTM或GAN来生成与现有目录更类似的目录名称，来改进用于扫描可用目录和文件的工具DirBuster。

 

3.机器学习模拟攻击：

 

网络犯罪分子利用冒名形式以各类方式攻击受害者，这大部分是须要取决于交流渠道。攻击者可以说服受害者在发送电子邮件或使用社交工程后跟踪利用或恶意软件的连接。所以，即便打电话也被认为是冒充的手段。

 

电子垃圾邮件是使用机器学习的最安全的领域之一，在这里，我预计ML将成为网络犯罪分子首先应用的领域之一。他们不是手动生成垃圾邮件，而是“教”一个神经网络来建立看起来像真正的电子邮件的垃圾邮件。

 

可是，在处理电子垃圾邮件时，咱们很难模仿一我的发邮件的规律。但问题是，若是你经过电子邮件要求员工更改密码或公司软件管理员下载更新，这是没法以与管理员彻底相同的方式进行编写。除非你看到一堆电子邮件，不然你将没法复制样式。即使如此，这个问题也能够经过网络钓鱼来解决。

 

社交媒体网络钓鱼比电子邮件网络钓鱼的最大优点是公开性和便于访问到的我的信息。你能够经过阅读他或她的帖子来观看和了解用户的行为。这个想法在最近一个名为“社会工程数据科学化”的研究[4]中获得了证实 - Twitter上的自动E2E鱼叉式网络钓鱼。这项研究提出了SNAP_R，这是一个自动化的工具，能够显着增长钓鱼攻击活动。有了它，传统的自动钓鱼攻击能够提高大约5-14％的准确度，而手动钓鱼的钓鱼攻击则有45％。他们的方法恰到好处，准确率达到30％，在某些状况下甚至达到了66％。他们使用马尔科夫模型根据用户之前的推文生成推文，并将结果与当前的神经网络，特别是LSTM进行比较。LSTM提供更高的准确度，但须要更多的时间来训练。

 

在人工智能的新时代，企业不只会制造假冒文字，还会制造虚假的声音或视频。Lyrebird是一家专一于模仿声音的媒体和视频的创业公司，他们展现了能够制做出与你彻底发音相同的机器人。随着愈来愈多的数据出现和不断发展的网络，黑客能够得到的东西也就愈来愈多，天然而然成功的概率也就越高。因为咱们不知道Lyrebird是如何工做的，因此黑客可能没法使用这个服务来知足本身的需求，可是他们能够发现更多的开放平台，好比Google的WaveNet[5]，它们能够作一样的事情。

 

值得注意的是，那些黑客们如今正在应用生成敌对网络（GAN）——一种更先进的神经网络类型。

在下一篇中，咱们将讨论黑客如何可能使用机器学习来得到未经受权的访问和实施攻击（译者/盾虎）。

 

原文地址：http://mp.weixin.qq.com/s/5MnESSDptm_JnUw65x8UMA

 

了解 网易云 ：
网易云官网：https://www.163yun.com/
新用户大礼包：https://www.163yun.com/gift
网易云社区：https://sq.163yun.com/