文/陳根

歷史表明,，網(wǎng)絡(luò)安全威脅隨著新技術(shù)的進(jìn)步而增加。

關(guān)系數(shù)據(jù)庫(kù)帶來(lái)了SQL注入攻擊,，Web腳本編程語(yǔ)言助長(zhǎng)了跨站點(diǎn)腳本攻擊,，物聯(lián)網(wǎng)設(shè)備開(kāi)辟了創(chuàng)建僵尸網(wǎng)絡(luò)的新方法?；ヂ?lián)網(wǎng)打開(kāi)了潘多拉盒子的數(shù)字安全弊?。簧缃幻襟w創(chuàng)造了通過(guò)微目標(biāo)內(nèi)容分發(fā)來(lái)操縱人們的新方法,，使網(wǎng)絡(luò)用戶更容易收到網(wǎng)絡(luò)釣魚(yú)攻擊的信息,；

近年來(lái)網(wǎng)絡(luò)安全事件不斷曝光，新型攻擊手段層出不窮,，安全漏洞和惡意軟件數(shù)量更是不斷增長(zhǎng),。2019年VulnDB和CVE收錄的安全漏洞均超過(guò)了15000條，平均每月高達(dá)1200條以上,。2019年CNCERT全年捕獲計(jì)算機(jī)惡意程序樣本數(shù)量超過(guò)6200萬(wàn)個(gè),，日均傳播次數(shù)達(dá)824萬(wàn)余次，涉及計(jì)算機(jī)惡意程序家族66萬(wàn)余個(gè),。

根據(jù)研究集團(tuán)IDC的數(shù)據(jù),，到2025年聯(lián)網(wǎng)設(shè)備的數(shù)量預(yù)計(jì)將增長(zhǎng)到420億臺(tái),。我們正在迅速進(jìn)入“超數(shù)據(jù)”時(shí)代，但是,，在數(shù)據(jù)算法大行其道人工智能方興未艾的今天,，我們也迎來(lái)了新一輪安全威脅。

人工智能攻擊如何實(shí)現(xiàn),？

我們先想象一個(gè)超現(xiàn)實(shí)場(chǎng)景：

未來(lái)的恐怖襲擊是一場(chǎng)不需要炸彈,、鈾或者生化武器的襲擊，想要完成一場(chǎng)恐怖襲擊,，恐怖分子們只需要一些膠布和一雙健步鞋,。通過(guò)把一小塊帶有電子芯片的膠布粘貼到十字路口的交通信號(hào)燈上，恐怖分子就可以讓自動(dòng)駕駛汽車將紅燈識(shí)別為綠燈,，從而造成交通事故,。在城市車流量最大的十字路口，這足以導(dǎo)致交通系統(tǒng)癱瘓,，而這卷膠布可能只需 1.5 美元,。

以上就是“人工智能攻擊”，那么它又是如何實(shí)現(xiàn)的,？

要了解人工智能的獨(dú)特攻擊,，需要先理解人工智能領(lǐng)域的深度學(xué)習(xí)。深度學(xué)習(xí)是機(jī)器學(xué)習(xí)的一個(gè)子集,，其中,，軟件通過(guò)檢查和比較大量數(shù)據(jù)來(lái)創(chuàng)建自己的邏輯。機(jī)器學(xué)習(xí)已存在很長(zhǎng)時(shí)間,，但深度學(xué)習(xí)在過(guò)去幾年才開(kāi)始流行,。

人工神經(jīng)網(wǎng)絡(luò)是深度學(xué)習(xí)算法的基礎(chǔ)結(jié)構(gòu)，大致就是模仿人類大腦的物理結(jié)構(gòu),。傳統(tǒng)軟件開(kāi)發(fā)需要程序員編寫定義應(yīng)用程序行為的規(guī)則,，與傳統(tǒng)的軟件開(kāi)發(fā)方法相反，神經(jīng)網(wǎng)絡(luò)只需通過(guò)閱讀大量示例就能創(chuàng)建自己的行為規(guī)則,。

當(dāng)你為神經(jīng)網(wǎng)絡(luò)提供訓(xùn)練樣例時(shí),，它會(huì)通過(guò)人工神經(jīng)元層運(yùn)行它，然后調(diào)整它們的內(nèi)部參數(shù),，以便能夠?qū)哂邢嗨茖傩缘奈磥?lái)數(shù)據(jù)進(jìn)行分類,。這對(duì)于手動(dòng)編碼軟件來(lái)說(shuō)是非常困難的，但對(duì)神經(jīng)網(wǎng)絡(luò)而言卻非常有用,。

舉個(gè)簡(jiǎn)單的例子,，如果你使用貓和狗的樣本圖像訓(xùn)練神經(jīng)網(wǎng)絡(luò)，它將能夠告訴你新圖像是否包含貓或狗,。使用經(jīng)典機(jī)器學(xué)習(xí)或更古老的人工智能技術(shù)執(zhí)行此類任務(wù)非常困難,，一般很緩慢且容易出錯(cuò),。近年興起的計(jì)算機(jī)視覺(jué)、語(yǔ)音識(shí)別,、語(yǔ)音轉(zhuǎn)文本和面部識(shí)別都是借助深度學(xué)習(xí)而獲得巨大進(jìn)步,。

但由于神經(jīng)網(wǎng)絡(luò)過(guò)分依賴數(shù)據(jù)，從而引導(dǎo)神經(jīng)網(wǎng)絡(luò)犯錯(cuò),。一些錯(cuò)誤對(duì)人類來(lái)說(shuō)似乎是完全不合邏輯甚至是愚蠢的,，人工智能也由此變成了人工智障。例如,，2018年英國(guó)大都會(huì)警察局用來(lái)檢測(cè)和標(biāo)記虐待兒童圖片的人工智能軟件就錯(cuò)誤地將沙丘圖片標(biāo)記為裸體,。

當(dāng)這些錯(cuò)誤伴隨著神經(jīng)網(wǎng)絡(luò)而存在，人工智能算法帶來(lái)的引以為傲的“深度學(xué)習(xí)方式”,，就成了敵人得以攻擊和操控它們的方法,。于是，在我們看來(lái)僅僅是被輕微污損的紅燈信號(hào),，對(duì)于人工智能系統(tǒng)而言則可能已經(jīng)變成了綠燈,，這也被稱為人工智能的對(duì)抗性攻擊，即引導(dǎo)了神經(jīng)網(wǎng)絡(luò)產(chǎn)生非理性錯(cuò)誤的輸入,，強(qiáng)調(diào)了深度學(xué)習(xí)和人類思維功能的根本差異,。

盡管恐怖襲擊看起來(lái)遠(yuǎn)在天邊，但這一類的安全威脅卻近在眼前,。上一陣子引起惶恐的豐巢智能快遞柜刷臉功能就被小學(xué)生破解,，一群小學(xué)生只用一張打印照片就能代替真人刷臉，騙過(guò)“人工智能”快遞柜,，取出父母的包裹,。比利時(shí)魯汶大學(xué)的兩位少年僅僅通過(guò)在肚子上貼一張圖片就輕松躲過(guò)了目標(biāo)檢測(cè)界翹楚YOLOv2的火眼金睛，成為了一個(gè)“隱形人”,。

此外，隨著人工智能技術(shù)的發(fā)展,，我們生活中將有更多的方面需要用到這種生物識(shí)別技術(shù),，其一旦可以被輕而易舉地攻擊便貽害無(wú)窮。除了圖像領(lǐng)域,，在語(yǔ)音系統(tǒng)上,，全球知名媒體TNW（The Next Web）在早些時(shí)候也進(jìn)行過(guò)報(bào)道，黑客能夠通過(guò)特定的方式欺騙語(yǔ)音轉(zhuǎn)文本系統(tǒng),，比如在用戶最喜愛(ài)的歌曲中偷偷加入一些語(yǔ)音指令,，即可讓智能語(yǔ)音助手轉(zhuǎn)移用戶的賬戶余額。

此外,，對(duì)抗性攻擊還可以欺騙GPS誤導(dǎo)船只,、誤導(dǎo)自動(dòng)駕駛車輛,、修改人工智能驅(qū)動(dòng)的導(dǎo)彈目標(biāo)等，對(duì)抗攻擊對(duì)人工智能系統(tǒng)在關(guān)鍵領(lǐng)域的應(yīng)用構(gòu)成了真正的威脅,。

基于深度學(xué)習(xí)的網(wǎng)絡(luò)威脅

全球數(shù)字化時(shí)代才剛開(kāi)始,，黑客的攻擊卻存在已久，尤其是近年來(lái)的黑客襲擊事件給網(wǎng)民們留下深刻陰影,。2007年,，熊貓燒香病毒肆虐中國(guó)網(wǎng)絡(luò)；2008年,，Conficker蠕蟲(chóng)病毒感染數(shù)千萬(wàn)臺(tái)電腦,；2010年，百度遭史上最嚴(yán)重的黑客襲擊,；2014年,，索尼影業(yè)遭襲導(dǎo)致董事長(zhǎng)下臺(tái)；2015年,，美國(guó)政府遭襲,，雇員資料外泄……

當(dāng)人工智能技術(shù)的研究風(fēng)聲迭起時(shí)，也就是網(wǎng)絡(luò)世界戰(zhàn)爭(zhēng)的白熱化階段,。對(duì)于黑客利用人工智能技術(shù)進(jìn)行攻擊的可能性預(yù)測(cè),，或許會(huì)幫助我們?cè)诰W(wǎng)絡(luò)世界的攻守里達(dá)到更好效果。

目前,，網(wǎng)絡(luò)威脅的大部分惡意軟件都是通過(guò)人工方式生成的,，即黑客會(huì)編寫腳本來(lái)生成電腦病毒和特洛伊木馬，并利用Rootkit,、密碼抓取和其他工具協(xié)助分發(fā)和執(zhí)行,。

那么，機(jī)器學(xué)習(xí)如何幫助創(chuàng)建惡意軟件,？

機(jī)器學(xué)習(xí)方法是用作檢測(cè)惡意可執(zhí)行文件的有效工具,，利用從惡意軟件樣本中檢索到的數(shù)據(jù)（如標(biāo)題字段、指令序列甚至原始字節(jié)）進(jìn)行學(xué)習(xí)可以建立區(qū)分良性和惡意軟件的模型,。然而分析安全情報(bào)能夠發(fā)現(xiàn),，機(jī)器學(xué)習(xí)和深度神經(jīng)網(wǎng)絡(luò)存在被躲避攻擊（也稱為對(duì)抗樣本）所迷惑的可能。

2017年,，第一個(gè)公開(kāi)使用機(jī)器學(xué)習(xí)創(chuàng)建惡意軟件的例子在論文《Generating Adversarial Malware Examples for Black-Box Attacks Based on GAN》中被提出,。惡意軟件作者通常無(wú)法訪問(wèn)到惡意軟件檢測(cè)系統(tǒng)所使用的機(jī)器學(xué)習(xí)模型的詳細(xì)結(jié)構(gòu)和參數(shù)，因此他們只能執(zhí)行黑盒攻擊,。論文揭示了如何通過(guò)構(gòu)建生成對(duì)抗網(wǎng)絡(luò)（generative adversarial network, GAN）算法來(lái)生成對(duì)抗惡意軟件樣本,，這些樣本能夠繞過(guò)基于機(jī)器學(xué)習(xí)的黑盒檢測(cè)系統(tǒng)。

如果網(wǎng)絡(luò)安全企業(yè)的人工智能可以學(xué)習(xí)識(shí)別潛在的惡意軟件,，那么黑客就能夠通過(guò)觀察學(xué)習(xí)防惡意軟件做出決策,，使用該知識(shí)來(lái)開(kāi)發(fā)“最小程度被檢測(cè)出”的惡意軟件,。

2017 DEFCON會(huì)議上，安全公司Endgame透露了如何使用Elon Musk的OpenAI框架生成定制惡意軟件,，其所創(chuàng)建的惡意軟件無(wú)法被安全引擎檢測(cè)發(fā)現(xiàn),。Endgame的研究看起來(lái)是有惡意的二進(jìn)制文件，通過(guò)改變部分代碼,，改變后的代碼可以躲避防病毒引擎檢測(cè),。

數(shù)據(jù)投毒

不論是人工智能的對(duì)抗性攻擊還是黑客基于深度學(xué)習(xí)的惡意軟件逃逸，都屬于人工智能的輸入型攻擊（Input Attacks）,，即針對(duì)輸入人工智能系統(tǒng)的信息進(jìn)行操縱,，從而改變?cè)撓到y(tǒng)的輸出。從本質(zhì)上看,，所有的人工智能系統(tǒng)都只是一臺(tái)機(jī)器,，包含輸入、計(jì)算,、輸出三環(huán)節(jié),。攻擊者通過(guò)操縱輸入，就可以影響系統(tǒng)的輸出,。

而數(shù)據(jù)投毒便屬于典型的污染型攻擊（Poisoning Attacks）,，即在人工智能系統(tǒng)的創(chuàng)建過(guò)程中偷偷做手腳，從而使該系統(tǒng)按照攻擊者預(yù)設(shè)的方式發(fā)生故障,。這是因?yàn)槿斯ぶ悄芡ㄟ^(guò)深度學(xué)習(xí) “學(xué)會(huì)”如何處理一項(xiàng)任務(wù)的唯一根據(jù)就是數(shù)據(jù),，因此污染這些數(shù)據(jù)，通過(guò)在訓(xùn)練數(shù)據(jù)里加入偽裝數(shù)據(jù),、惡意樣本等破壞數(shù)據(jù)的完整性,，進(jìn)而導(dǎo)致訓(xùn)練的算法模型決策出現(xiàn)偏差，就可以污染人工智能系統(tǒng),。

數(shù)據(jù)中毒的一個(gè)示例就包括訓(xùn)練面部識(shí)別認(rèn)證系統(tǒng)以驗(yàn)證未授權(quán)人員的身份,。在2018年Apple推出新的基于神經(jīng)網(wǎng)絡(luò)的Face ID身份驗(yàn)證技術(shù)之后，許多用戶開(kāi)始測(cè)試其功能范圍,。正如蘋果已經(jīng)警告的那樣,，在某些情況下，該技術(shù)未能說(shuō)出同卵雙胞胎之間的區(qū)別,。

但其中一個(gè)有趣的失敗是兩兄弟的情況，他們不是雙胞胎,，看起來(lái)不一樣,，但年齡相差多年。這對(duì)兄弟最初發(fā)布了一段視頻,，展示了如何用Face ID解鎖iPhone X,。但后來(lái)他們發(fā)布了一個(gè)更新,，說(shuō)明了他們實(shí)際上通過(guò)使用他們的面部訓(xùn)練其神經(jīng)網(wǎng)絡(luò)來(lái)欺騙Face ID。當(dāng)然,，這是一個(gè)無(wú)害的例子,，但很容易看出同一模式如何為惡意目的服務(wù)。

中國(guó)信息通信研究院安全研究所發(fā)布的《人工智能數(shù)據(jù)安全白皮書（2019年）》也提到了這一點(diǎn),。白皮書指出,，人工智能自身面臨的數(shù)據(jù)安全風(fēng)險(xiǎn)包括：訓(xùn)練數(shù)據(jù)污染導(dǎo)致人工智能決策錯(cuò)誤；運(yùn)行階段的數(shù)據(jù)異常導(dǎo)致智能系統(tǒng)運(yùn)行錯(cuò)誤（如對(duì)抗樣本攻擊）,；模型竊取攻擊對(duì)算法模型的數(shù)據(jù)進(jìn)行逆向還原等,。

值得警惕的是，人工智能與實(shí)體經(jīng)濟(jì)深度融合,，醫(yī)療,、交通、金融等行業(yè)對(duì)于數(shù)據(jù)集建設(shè)的迫切需求,，使得在訓(xùn)練樣本環(huán)節(jié)發(fā)動(dòng)網(wǎng)絡(luò)攻擊成為最直接有效的方法,，潛在危害巨大。比如在軍事領(lǐng)域,，通過(guò)信息偽裝的方式可誘導(dǎo)自主性武器啟動(dòng)或攻擊,，可能帶來(lái)毀滅性風(fēng)險(xiǎn)。

人工智能時(shí)代的攻與防

未來(lái)的機(jī)器時(shí)代是道高一尺魔高一丈的世界,，而今天的網(wǎng)絡(luò)安全問(wèn)題早已突破了虛擬與現(xiàn)實(shí)的邊界,。國(guó)家與地域的邊界，成為廣泛存在的全球性問(wèn)題,。網(wǎng)絡(luò)安全是一個(gè)龐大的系統(tǒng)工程,，構(gòu)建這個(gè)系統(tǒng)則需要以全球的深度連接為基礎(chǔ)。

此外,，網(wǎng)絡(luò)安全要以人與人工智能的共同值守為特征,。隨著各類互聯(lián)網(wǎng)技術(shù)的爆發(fā)式成長(zhǎng)，網(wǎng)絡(luò)攻擊的手段也不斷豐富和升級(jí),，但是唯一不變的就是變化本身,。防御網(wǎng)絡(luò)攻擊，必須具備快速識(shí)別,、快速反應(yīng),、快速學(xué)習(xí)的能力。

如果是病毒威脅入侵,，用機(jī)器學(xué)習(xí)檢測(cè)的方法,，勢(shì)必很難解決。因此，只有在綜合的技術(shù)運(yùn)用下,，理解信息泄露及其中的關(guān)聯(lián),，弄清黑客如何入侵系統(tǒng)，攻擊的路徑是什么,，又是哪個(gè)環(huán)節(jié)出現(xiàn)了問(wèn)題,。找出這些關(guān)聯(lián)，或者從因果關(guān)系圖譜角度進(jìn)行分析,，增加分析端的可解釋性,，才有可能做到安全系統(tǒng)的突破。

對(duì)抗網(wǎng)絡(luò)安全的風(fēng)險(xiǎn)還需要擁有智慧的動(dòng)態(tài)防御能力,，網(wǎng)絡(luò)安全的本質(zhì)是攻防之間的對(duì)抗,。在傳統(tǒng)的攻防模式中，主動(dòng)權(quán)往往掌握在網(wǎng)絡(luò)攻擊一方的手中,，安全防御力量只能被動(dòng)接招,。但在未來(lái)的安全生態(tài)之下，各成員之間通過(guò)數(shù)據(jù)與技術(shù)互通,、信息共享,，實(shí)現(xiàn)彼此激發(fā)，自動(dòng)升級(jí)安全防御能力甚至一定程度的預(yù)判威脅能力,。

當(dāng)然,，網(wǎng)絡(luò)安全本來(lái)就是一個(gè)高度對(duì)抗、動(dòng)態(tài)發(fā)展的領(lǐng)域,，這也給殺毒軟件領(lǐng)域開(kāi)辟了一個(gè)藍(lán)海市場(chǎng),。人工智能殺毒行業(yè)面臨著重大的發(fā)展機(jī)遇，殺毒軟件行業(yè)首先應(yīng)該具有防范人工智能病毒的意識(shí),，然后在軟件技術(shù)和算法安全方面重視信息安全和功能安全問(wèn)題,。

以現(xiàn)實(shí)需求為牽引，以高新技術(shù)來(lái)推動(dòng),，就有可能將人工智能病毒查殺這個(gè)嚴(yán)峻挑戰(zhàn)轉(zhuǎn)變?yōu)闅⒍拒浖袠I(yè)發(fā)展的重大契機(jī),。