陳根：機器學習創建惡意軟件，網絡威脅亟待解決_風聞

文/陳根

全球的數字化時代才剛開始，黑客的攻擊卻早已深入人心，尤其是近年來的黑客襲擊事件給互聯網的網民們都留下深刻陰影。

2007年，熊貓燒香病毒肆虐中國網絡；2008年，Conficker蠕蟲病毒感染數千萬台電腦；2010年，百度遭史上最嚴重的黑客襲擊；2014年，索尼影業遭襲導致董事長下台；2015年，美國政府遭襲，僱員資料外泄。

當人工智能技術的研究風聲迭起時，也就是網絡世界戰爭的白熱化階段。對於黑客利用人工智能技術進行攻擊的可能性預測，或許會幫助我們在網絡世界的攻守裏達到更好效果。

目前，網絡威脅的大部分惡意軟件都是通過人工方式生成的，即黑客會編寫腳本來生成電腦病毒和特洛伊木馬，並利用Rootkit、密碼抓取和其他工具協助分發和執行。

**那麼，機器學習如何幫助創建惡意軟件？**機器學習方法是用作檢測惡意可執行文件的有效工具，利用從惡意軟件樣本中檢索到的數據（如標題字段、指令序列甚至原始字節）進行學習可以建立區分良性和惡意軟件的模型。然而分析安全情報能夠發現，機器學習和深度神經網絡存在被躲避攻擊（也稱為對抗樣本）所迷惑的可能。

2017年，第一個公開使用機器學習創建惡意軟件的例子在論文Generating Adversarial Malware Examples for Black-Box Attacks Based on GAN中被提出。惡意軟件作者通常無法訪問到惡意軟件檢測系統所使用機器學習模型的詳細結構和參數，因此他們只能執行黑盒攻擊。

論文揭示瞭如何通過構建生成對抗網絡（generative adversarial network GAN）算法來生成對抗惡意軟件樣本，這些樣本能夠繞過基於機器學習的黑盒檢測系統。

如果網絡安全企業的人工智能可以學習識別潛在的惡意軟件，那麼黑客就能夠通過觀察學習防惡意軟件做出決策，使用該知識來開發“最小程度被檢測出”的惡意軟件。

此外，不論是人工智能的對抗性攻擊還是黑客基於深度學習的惡意軟件逃逸，都屬於人工智能的輸入型攻擊（Input Attacks），即針對輸入人工智能系統的信息進行操縱，從而改變該系統的輸出。

從本質上看，所有的人工智能系統都只是一台機器，包含輸入、計算、輸出三環節。攻擊者通過操縱輸入，就可以影響系統的輸出。

而數據投毒便屬於典型的污染型攻擊（Poisoning Attacks），即在人工智能系統的創建過程中偷偷做手腳，從而使該系統按照攻擊者預設的方式發生故障。

這是因為，人工智能通過深度學習 “學會”如何處理一項任務的唯一根據就是數據，因此污染這些數據，通過在訓練數據里加入偽裝數據、惡意樣本等破壞數據的完整性，進而導致訓練的算法模型決策出現偏差，就可以污染人工智能系統。

值得警惕的是，隨着人工智能與實體經濟深度融合，醫療、交通、金融等行業對於數據集建設的迫切需求，使得在訓練樣本環節發動網絡攻擊成為最直接有效的方法，潛在危害巨大。比如在軍事領域，通過信息偽裝的方式可誘導自主性武器啓動或攻擊，帶來毀滅性風險。