利用機器學習發起攻擊的九種方式

機器學習和人工智能（AI）正成為一些威脅檢測與響應工具的核心技術。其即時學習和自動適應網絡威脅動態的能力令安全團隊如虎添翼。

然而，一些惡意黑客也會利用機器學習和AI擴大其網絡攻擊，規避安全控制措施，以前所未有的速度找出新漏洞并帶來毀滅性的后果。黑客利用這兩種技術的常見方法有如下幾種。

1. 垃圾郵件

Omida分析師Fernando Montenegro表示，防疫人員采用機器學習技術檢測垃圾郵件的歷史已經有幾十年之久了。“垃圾郵件預防是機器學習最成功的初始用例。”

如果所用垃圾郵件過濾器提供了未放行電子郵件或給出某個分數的原因，那么攻擊者就可以調整自己的行為。他們會使用合法工具來讓自己的攻擊更加成功。“只要提交的夠多，你就可以還原出模型是什么，然后你就可以調整攻擊，繞過這個模型。”

脆弱的不僅僅是垃圾郵件過濾器。提供評分或其他某種輸出的任何安全供應商，都可能被濫用。“不是所有人都存在這個問題，但只要你不小心，有人就會惡意利用這種輸出。”

2. 更精致的網絡釣魚電子郵件

攻擊者不僅僅采用機器學習安全工具來測試自己的郵件能否通過垃圾郵件過濾器。他們還會使用機器學習來編造這些電子郵件。安永技術咨詢合伙人Adam Malone稱：“他們在犯罪論壇上發布售賣這些服務的廣告。他們利用這些技術生成更精致的網絡釣魚電子郵件，編造虛假人設來推進詐騙活動。”

這些服務打廣告時的宣傳重點就是使用了機器學習，而且可能不僅僅是營銷辭藻，而是真的如此。“試過就知道了。”Malone稱，“效果那是真的好。”

攻擊者可以利用機器學習創造性地定制網絡釣魚電子郵件，防止這些郵件被標記為垃圾郵件，從而讓目標用戶有機會點進去。他們定制的可不僅僅是郵件文本。攻擊者會利用AI生成看起來非常真實的照片、社交媒體資料和其他材料，讓交流看起來盡可能真實可信。

3. 更高效的密碼猜解

網絡罪犯還會采用機器學習來猜解密碼。“我們有證據顯示他們使用密碼猜解引擎的頻率更高了，猜解成功率也更高。”網絡罪犯正在編造更好的字典來破解被盜散列。

他們還利用機器學習識別安全控制措施，以便能夠以更少的嘗試次數猜中密碼，提高成功入侵系統的概率。

4. 深度偽造

人工智能最令人驚恐的濫用方式是深度偽造工具：生成能夠以假亂真的視頻或音頻的工具。“能夠模擬他人聲音或相貌騙人非常有效。”Montenegro稱，“要是有人偽裝我的聲音，估計你也會中招。”

事實上，過去幾年里披露的一系列重大案件顯示，偽造的音頻可致使公司損失成百上千乃至數百萬美元。德克薩斯大學計算機科學教授Murat Kantarcioglu表示：“人們會接到老板打來的電話——那是假的。”

更為常見的是，騙子用AI生成看起來很真實的照片、用戶資料和網絡釣魚郵件，讓他們郵件看起來更可信。這是門大生意。根據FBI的報告，2016年至今，商務電郵欺詐已導致超過430億美元的損失。去年秋天，媒體報道稱，香港一家銀行被騙轉賬給犯罪團伙3500萬美元，僅僅是因為一名銀行職員接到了自己認識的公司董事的電話。他認出了董事的聲音，毫不懷疑地授權了轉賬。

5. 無效化現成安全工具

當前常用的很多安全工具都內置了某種形式的人工智能或機器學習。比如說，殺毒軟件在查找可疑行為時就不止依賴基本的特征碼。“網上任何可用的東西，尤其是開源的東西，都會被壞人利用。”

攻擊者可以使用這些工具，不是用來抵御攻擊，而是用來調整自己的惡意軟件，直到能夠繞過檢測為止。“AI模型都有很多盲點。”Kantarcioglu稱，“你可以通過改變攻擊的特征加以調整，比如發送數據包的個數、攻擊的資源等等。”

而且，攻擊者利用的可不僅僅是AI賦能的安全工具。AI只是大堆不同技術之一。舉個例子，用戶常能學會通過找尋語法錯誤來識別網絡釣魚郵件。而AI賦能的語法檢查器，比如Grammarly，可以幫助攻擊者改善他們的寫作。

6. 偵察

機器學習可用于偵察，攻擊者可以之查看目標的流量模式、防御措施和潛在的漏洞。偵察不是件容易的事，普通網絡罪犯干不了。“想要利用AI偵察，你得具備一定的技能。所以，我認為，只有高級的國家黑客才會用這些技術。”

但是，一旦某種程度上商業化了，這種技術通過地下黑市以服務的形式提供，那就很多人都可以利用了。“如果某個黑客國家隊開發了一套使用機器學習的工具包，并且發布到犯罪社區，這種情況也可能出現。”Mellen稱，“但網絡罪犯仍需了解機器學習應用程序的作用和有效利用方式，這就是利用的門檻。”

7. 自治代理

如果企業發覺自己正遭受攻擊，斷開受影響系統的互聯網連接，那么惡意軟件可能就無法回連其命令與控制（C2）服務器接收進一步的指令。“攻擊者可能想要搞出一套智能模型，即使在無法直接控制的情況下也能長期駐留。”Kantarcioglu稱，“但對于普通網絡犯罪，我認為這一點不是特別重要。”

8. AI投毒

攻擊者可以通過饋送新信息來欺騙機器學習模型。全球風險研究所高級副研究員Alexey Rubtsov稱：“對手可以操縱訓練數據集。例如，他們故意讓模型產生偏向，讓機器學習錯誤的方式。”

舉個例子，黑客可以操縱被劫持的用戶賬戶每天凌晨2點登錄系統進行無害的工作，導致系統認為凌晨2點工作沒有任何可疑之處，從而減少用戶必須通過的安全關卡。

2016年微軟Tay聊天機器人被教成種族主義者就是類似的原因。同樣的方法可用于訓練系統認為特點類型的惡意軟件是安全的，或者特定爬蟲行為是完全正常的。

9. AI模糊測試

合法軟件開發人員和滲透測試人員使用模糊測試軟件生成隨機樣本輸入，嘗試搞崩應用程序或者找出漏洞。此類軟件的加強版利用機器學習以更具針對性、更有條理的方式產生輸入，例如優先考慮最有可能導致問題的文本字符串。這類模糊測試工具為企業所用能取得更好的測試效果，但在攻擊者手中也更為致命。

以上這些技術都是安全補丁、反網絡釣魚教育和微分隔等網絡安全手段依然至關重要的原因之一。佛瑞斯特研究所的Mellen稱：“深度防御為什么如此重要？這也是其中一個原因。你得設置多重路障，而不是僅僅采用攻擊者反用來對付你的那一種。”

缺乏專業知識阻礙了惡意黑客利用機器學習和AI

投資機器學習需要大量的專業知識，而機器學習相關專業知識目前是稀缺技能。而且，由于很多漏洞都沒修復，攻擊者可以用來突破企業防線的便捷途徑多的是。

“唾手可得的目標多的是，不必使用機器學習和人工智能發起攻擊也能賺錢的其他渠道也大把抓。”Mellen表示，“根據我的經驗，絕大多數情況下，攻擊者并沒有利用這些技術。”不過，隨著企業防御的提升，網絡罪犯和黑客國家隊也會繼續投入攻擊開發，這種平衡可能很快就會開始轉變了。