解決方案 | 將惡意軟件隱藏在神經網絡模型中

研究人員zhi Wang、Chaoge Liu 和Xiang Cui 提出了一種通過神經網絡模型傳遞惡意軟件的技術，以在不影響網絡性能的情況下逃避檢測。

?專家進行的測試展示了如何將 36.9MB 的惡意軟件嵌入到 178MB-AlexNet 模型中，精度損失為 1%，這意味著該威脅對防病毒引擎是完全透明的。

專家認為，隨著人工智能的大規模采用，惡意軟件作者將對神經網絡的使用越來越感興趣。我們希望這項工作可以為神經網絡輔助攻擊的防御提供一個可參考的場景。

專家們能夠在已經訓練好的模型（即圖像分類器）中選擇一個層，然后將惡意軟件嵌入到該層中。

如果模型沒有足夠的神經元來嵌入惡意軟件，攻擊者可能會選擇使用未經訓練的模型，該模型具有額外的神經元。然后，攻擊者將在原始模型中使用的相同數據集上訓練模型，以生成具有相同性能的模型。

專家指出，該技術僅對惡意軟件的隱藏有效，對其執行無效。為了運行惡意軟件，必須使用特定的應用程序從模型中提取它，只有當它足夠大以包含它時，它才能隱藏在模型中。

“我們將一些嵌入惡意軟件的模型上傳到 VirusTotal，以檢查是否可以檢測到惡意軟件。這些模型被 VirusTotal 識別為 zip 文件。檢測工作涉及58個殺毒引擎，未檢測到可疑情況。這意味著這種方法可以逃避普通殺毒引擎的安全掃描。” 該文件指出。

作為一種可能的對策，專家建議在最終用戶設備上采用安全軟件，該軟件可以檢測從模型中提取惡意軟件的操作、其組裝和執行。專家還警告原始模型的供應商存在供應鏈污染。

“當參數被惡意軟件字節替換時，模型的結構保持不變，惡意軟件在神經元中被分解。由于惡意軟件的特征不再可用，它可以逃避常見防病毒引擎的檢測。由于神經網絡模型對變化具有魯棒性，因此在配置良好的情況下，性能不會有明顯損失。” 論文總結。“這篇論文證明了神經網絡也可以被惡意使用。隨著人工智能的普及，人工智能輔助攻擊將出現，給計算機安全帶來新的挑戰”