2021-11-02 19:43:01
人工智能的飞速发展正在将世界带入一个新的维度,但也将网络世界的善恶对抗推向了下一个战场。
美国当地时间8月10日,GeekPwn主持的CAAD村登陆全球顶级极客大会DEF CON。腾讯安全云顶实验室带来前沿话题在CAAD村分享。云顶实验室安全专家张壮、王世博以基于卷积神经网络的多态恶意软件检测为例,分享安全厂商应用人工智能后的杀毒技术效果。同时,从攻击者的角度介绍了恶意软件在使用生成式对抗网络后可以绕过机器学习检测模型应用的案例。它为人工智能趋势下的善恶对抗带来了新的思路,引起了与会专家的关注。
(腾讯安全云顶实验室安全专家张壮)
“探测”和“免杀”不断将AI进化为下一个战略高地。
面对不断涌现的新病毒和已知病毒的变异,传统的基于病毒代码文件特征的检测方法逐渐变得“捉襟见肘”。据张壮介绍,针对杀毒软件的查杀机制,病毒开发者可以通过修改特征码、在指令中添加花朵、添加软件外壳、修改PE文件来防止病毒被杀毒软件查杀。
除此之外,免杀技术也从黑客的专业技能变成了可以低价轻松获得的标准服务:在暗网只需370美元,在国内只需1800元就能获得免杀服务。这无疑进一步加剧了安全供应商应对病毒攻击的挑战。
随着人工智能的快速发展,安全厂商可以看到未来。张壮指出,面对新增的病毒样本数量巨大,人工无法及时有效地添加规则,一些问题中人工规则提取的不适感,以及人工规则的主观性较高,人工智能查杀可以轻松克服。
因此,世界各大安全厂商纷纷应用这一前沿技术,但具体实施过程却千差万别。云鼎实验室在会上分享了自己的实践,通过机器学习处理复杂问题,将二进制病毒转化为一个[A1]灰度图像,利用深度学习中的卷积神经网络(CNN)对图像进行分类,从而高效检测新样本和样本变体,识别病毒的家族关系和不同家族。
人工智能查杀可以处理海量样本,检测特征的纬度更宽,避免病毒查杀难度更大。对去壳或多态变形病毒也有很好的效果,检测过程不需要去壳。但张壮指出,人工智能模型本身存在一些“盲点”,容易受到生成样本的攻击。更重要的是,人工智能的相关技术也可以被病毒开发者利用。
毫无疑问,人工智能介入后,杀毒与反杀毒的较量将进入下一轮。
GAN应用免杀已经过验证,安全厂商需要提前做好规划。
今年3月,《麻省理工科技评论》公布了2018年“全球十大突破技术”,生成性对抗网络(GAN)赫然上榜。GeekPwn曾经诠释过这种前沿的深度学习模式:GAN可以简单理解为一个著名的绘画模仿者和一个著名的绘画鉴定师,他们在互相玩游戏的过程中训练自己的技能,让自己的技能得到提升。最终,造假者会制造出鉴定人员无法判断的假货。
003010还表示,“它(GAN)给机器带来了一种类似想象的能力,所以可能会让机器对人类的依赖程度降低,但同时也把机器变成了一种具有惊人能力的数字伪造工具”。
这一预测的真实性在张庄举行的DEF CON 2018大会上得到了验证。他说,通过GAN生成器和鉴别器的对抗,可以提高病毒的伪装能力,最终生成一个杀毒软件判断标准下的“非恶意程序”,让病毒成功绕过基于m的检测模型
例如,机器将一张图片归类为“熊猫”,置信度为57.7%,但应用GAN后,可以将其归类为“长臂猿”,置信度为99.3%。攻击前后,图像一个像素的变化使机器识别图像为“青蛙”的概率从99.999714%变为7.460092%,攻击前后的巨大差异变成了89.782685%的识别为“猫”的概率。
张壮进一步表示,GAN 应用在免杀中,攻击者对于被攻击模型的结构和权重都有完全的了解,而常规的攻击手段对于被攻击的模型却一无所知,“最终通过把‘黑文件’伪装成为具有高可信度的‘白文件’,以达到欺骗机器学习模型,甚至欺骗人类的目的”。
针对病毒免杀技术的新发展,张壮也给安全厂商提出了如下防御建议:
1、 红蓝军对抗式的自我检测:安全厂商需要未雨绸缪,可提前自己攻击自己的模型,发现自身模型“盲点”,并及时修复盲点,从而提升防御能力;
2、 规则不暴露:安全厂商不要暴露对恶意文件的评分情况,这样模型(鉴定器)会直接受到针对特征的攻击,给出的评分会告诉攻击者攻击效果,对攻击者下一步的攻击方向具有指导作用,比如:哪些些特征影响大,哪些特征有效果;
3、 多维度检测:提取更多有效、稳定的特征,使得针对广泛普遍的特征生成的免杀样本同样难逃查杀。
未知攻焉知防,白帽黑客站在攻击方的角度研究前沿技术,正在加速安全厂商掌握新时代攻防的主动性。以本次研究为例,腾讯安全云鼎实验室的研究成果已应用在攻防一线,进一步提升腾讯云的云主机病毒查杀能力,守护广大用户的网络安全。
