机器学习算法是一柄双刃剑,既可被用来改进和加强网络安全解决方案,帮助人类分析师更快地分类威胁和修复漏洞,也会被黑客用来发动更大规模、更复杂的网络攻击。
机器学习和人工智能正在成为新一代威胁检测和响应工具的核心技术,帮助网络安全团队增强了动态学习和自动适应不断变化的网络威胁的能力。
然而,一些攻击者也在使用机器学习和人工智能来增强网络攻击能力,逃避安全控制,并以前所未有的速度发现新的漏洞,并带来毁灭性的后果。以下是攻击者利用这些技术的九种最常见方式。
1 垃圾邮件,垃圾邮件,垃圾邮件
Omdia分析师Fernando Montenegro表示,数十年来,防御者一直在使用机器学习来检测垃圾邮件,垃圾邮件检测也是机器学习的最佳初始用例。
但是,如果垃圾邮件过滤器泄露了检测方法(或评分标准),那么攻击者可以用它来优化攻击行为。例如攻击者会使用合法工具提高攻击的成功率。“如果你提交的内容足够频繁,攻击者可以重建(邮件检测)模型,然后针对性优化攻击以绕过这个模型。”
易受攻击的不仅仅是垃圾邮件过滤器。Montenegro指出:任何提供分数或其他输出信息的安全供应商都可能被滥用。虽然并非所有厂商都有这个问题,但如果你不小心,就会泄露有用的输出信息,攻击者可以将其用于恶意目的。
2 “更好的”网络钓鱼电子邮件
攻击者不只使用机器学习安全工具来测试他们的邮件能否通过垃圾邮件过滤器。安永技术咨询公司合伙人亚当马龙表示,攻击者还会使用机器学习来创建网络钓鱼电子邮件。黑客们在犯罪论坛上兜售这类服务和工具。可用来生成“更好的”网络钓鱼电子邮件,包括生成虚假角色来推动欺诈活动。
机器学习允许攻击者以创造性的方式自定义网络钓鱼电子邮件,经过优化以触发参与和点击。他们不仅优化电子邮件的文本,人工智能还可用于生成逼真的照片、社交媒体资料和其他材料,以使交流看起来尽可能合法。
3 猜测密码
马龙指出,犯罪分子也在使用机器学习来更好地猜测密码。“我们已经看到了基于密码猜测引擎的频率和成功率提升的证据。”他说。犯罪分子正在开发更好的字典并破解被盗的哈希值。
他们还使用机器学习来识别安全控制,马龙说,“这样他们就可以减少尝试并猜出更好的密码,并增加他们成功访问系统的机会。”
4 深度伪造
人工智能最可怕的用途是深度伪造工具,可以生成以假乱真的视频或音频。能够模拟某人的声音或面部对社会工程攻击非常有用。
事实上,在过去几年中,一些备受瞩目的深度伪造案件已经公开,其中一个案件犯罪分子通过伪造企业高管语音使公司损失了数百万美元。
更常见的是,诈骗者使用人工智能技术生成逼真的照片、用户资料和网络钓鱼电子邮件,以使他们的信息看起来更可信。这是大生意。根据FBI的报告,自2016年以来,商业电子邮件泄露诈骗导致超过430亿美元的损失。去年秋天,有媒体报道称,香港一家银行被骗,将3500万美元转账给犯罪团伙,因为一名银行官员接到他之前与之交谈过的一位公司董事的电话,他熟悉这个声音,所以他授权了转账。
5 绕过流行的网络安全工具
当今许多流行安全工具都内置了某种形式的人工智能或机器学习。例如,防病毒工具越来越多地超越基本特征来寻找可疑行为。“任何在线可用的东西,尤其是开源的,都可能被坏人利用,”德克萨斯大学计算机系教授Kantarcioglu指出:“攻击者可以使用这些工具,调整他们的恶意软件逃避检测。人工智能模型有很多盲点,你可以通过改变攻击的特征来逃避检测,比如发送多少数据包,或者正在攻击哪些资源。”
攻击者不仅使用人工智能驱动的安全工具,还会使用其他人工智能技术。例如,用户经常通过查找语法错误来学习发现网络钓鱼电子邮件,而攻击者则开始使用像Grammarly这样的人工智能语法检查器改进他们的写作。
6 侦察
机器学习可用于侦察,以便攻击者可以查看目标的流量模式、防御体系和潜在漏洞。这不是一件容易的事,所以普通网络犯罪分子不太可能参与此类活动。“你需要具备一些技能才能使用AI,”Kantarcioglu说道:“所以我相信目前主要是高水平的国家黑客组织在使用AI。”
但是,如果在某个时候,该技术被商业化并通过地下犯罪网络以服务的方式提供,那么它可能会变得更广泛使用。“如果一个国家黑客开发了一个使用机器学习的特定工具包,并将其发布到犯罪社区,也可能发生这种情况,”Kantarcioglu说道:“但网络犯罪分子仍然需要了解机器学习应用程序的功能和使用方法,技术门槛依然存在。”
7 自治代理
如果企业检测攻击并对受影响系统进行断网处理,那么恶意软件可能无法连接回其命令和控制服务器以获取指令。Kantarcioglus指出:“但攻击者可能会开发出一个智能模型,即使他们无法直接控制它,它也会长期驻留下来。但对于普通的网络犯罪,相信这不会是优先事项。”
8 人工智能投毒
攻击者可以通过提供干扰(对抗)信息来欺骗机器学习模型。“攻击者可以操纵训练数据集,”全球风险研究所高级研究员Alexey Rubtsov说:“例如,他们故意制造偏差,让机器学习产生误判。”
例如,被劫持的用户帐户每天凌晨2点登录系统进行无害的工作,使系统认为凌晨2点工作没有任何可疑之处,从而减少攻击时被检测的几率。
这类似于2016年微软的聊天机器人Tay被“教唆”成为了种族主义者。同样的方法可用于误导人工智能系统,将特定类型的恶意软件判定为安全应用,或者认为特定的bot行为是完全正常的。
9 人工智能模糊测试
合法的软件开发人员和渗透测试人员使用模糊软件生成随机样本输入,试图使应用程序崩溃或发现漏洞。该软件的增强版本使用机器学习以更集中、更有条理的方式生成输入,例如优先考虑最有可能导致问题的文本字符串。这使得模糊测试工具对企业更有用,但在攻击者手中也更加致命。
总结:纵深防御才是对抗机器学习攻击的最有效策略
Forrester的Mellen指出:通过分析攻击者使用的各种机器学习攻击方法,我们发现打补丁、反网络钓鱼教育和微分段等基本网络安全措施仍然非常重要,企业需要设置多重障碍,不能过分依赖单一的(AI)技术方案,这样就可以避免出现攻击者搬起你的石头砸你的脚的问题。
黑客&网络安全如何学习
今天只要你给我的文章点赞,我私藏的网安学习资料一样免费共享给你们,来看看有哪些东西。
1.学习路线图
攻击和防守要学的东西也不少,具体要学的东西我都写在了上面的路线图,如果你能学完它们,你去就业和接私活完全没有问题。
2.视频教程
网上虽然也有很多的学习资源,但基本上都残缺不全的,这是我自己录的网安视频教程,上面路线图的每一个知识点,我都有配套的视频讲解。
内容涵盖了网络安全法学习、网络安全运营等保测评、渗透测试基础、漏洞详解、计算机基础知识等,都是网络安全入门必知必会的学习内容。
(都打包成一块的了,不能一一展开,总共300多集)
因篇幅有限,仅展示部分资料,需要点击下方链接即可前往获取
CSDN大礼包:《黑客&网络安全入门&进阶学习资源包》免费分享
3.技术文档和电子书
技术文档也是我自己整理的,包括我参加大型网安行动、CTF和挖SRC漏洞的经验和技术要点,电子书也有200多本,由于内容的敏感性,我就不一一展示了。
因篇幅有限,仅展示部分资料,需要点击下方链接即可前往获取
CSDN大礼包:《黑客&网络安全入门&进阶学习资源包》免费分享
4.工具包、面试题和源码
“工欲善其事必先利其器”我为大家总结出了最受欢迎的几十款款黑客工具。涉及范围主要集中在 信息收集、Android黑客工具、自动化工具、网络钓鱼等,感兴趣的同学不容错过。
还有我视频里讲的案例源码和对应的工具包,需要的话也可以拿走。
因篇幅有限,仅展示部分资料,需要点击下方链接即可前往获取
CSDN大礼包:《黑客&网络安全入门&进阶学习资源包》免费分享
最后就是我这几年整理的网安方面的面试题,如果你是要找网安方面的工作,它们绝对能帮你大忙。
这些题目都是大家在面试深信服、奇安信、腾讯或者其它大厂面试时经常遇到的,如果大家有好的题目或者好的见解欢迎分享。
参考解析:深信服官网、奇安信官网、Freebuf、csdn等
内容特点:条理清晰,含图像化表示更加易懂。
内容概要:包括 内网、操作系统、协议、渗透测试、安服、漏洞、注入、XSS、CSRF、SSRF、文件上传、文件下载、文件包含、XXE、逻辑漏洞、工具、SQLmap、NMAP、BP、MSF…
因篇幅有限,仅展示部分资料,需要点击下方链接即可前往获取
扫一扫
1万+
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
