恶意软件传播新趋势:毒化AI神经网络
点击蓝字 关注我们 ///
@GoUpSec
规避检测,隐蔽地传送恶意软件对于高级恶意软件活动来说至关重要。近日,中科院大学的研究者提出了一种通过神经网络模型隐蔽地传递恶意软件且难以被监测到的方法。
研究者指出,神经网络模型的可解释性差,泛化能力强。通过将恶意软件嵌入到神经元中,恶意软件可以秘密传播,对神经网络的性能影响很小甚至没有影响。
研究者使用真实的恶意软件样本进行实验,发现用恶意软件替换AlexNet模型中高达约50%的神经元后,模型的准确率仍然能保持在93.1%以上。同时,由于神经网络模型的结构保持不变,可以顺利通过杀毒引擎的安全扫描。实验表明,178MB的AlexNet模型中,可嵌入多达36.9MB的恶意软件,准确率仅损失1%,而VirusTotal的58个常见杀毒引擎都没有检测到任何可疑之处,验证了该方法的可行性。
随着人工智能的广泛应用,利用神经网络传播恶意软件将成为趋势。中科院大学研究者的这项工作可以为神经网络辅助攻击的防御提供一个可参考的场景。
其他入侵企业或组织的方法,例如将恶意软件附加到文档或文件中,通常无法在不被检测到的情况下大量交付恶意软件。另一方面,这项新研究设想了一个未来,组织可以为任何给定任务(例如聊天机器人或图像检测)引入现成的机器学习模型,这些任务可能在执行时加载恶意软件。这些被“毒化”的机器学习模型表现足够好,不会引起怀疑。
在论文中,作者列出了黑客如何设计加载恶意软件的机器学习模型并在野外传播的剧本:
首先,攻击者需要设计神经网络。为了确保可以嵌入更多恶意软件,攻击者可以引入更多神经元。然后攻击者需要使用准备好的数据集训练网络以获得性能良好的模型。如果有合适的训练好的模型,攻击者可以选择使用现有的模型。然后,攻击者选择最好的层并嵌入恶意软件。嵌入恶意软件后,攻击者需要评估模型的性能以确保损失是可以接受的。如果模型的损失超出了可接受的范围,攻击者需要使用数据集重新训练模型以获得更高的性能。一旦模型准备好,攻击者可以使用供应链污染等方法将其发布到公共存储库或其他地方。
根据该论文,在这种方法中,恶意软件在嵌入网络神经元时被“分解”,并由恶意接收程序组装成功能正常的恶意软件,该程序也可用于通过更新下载中毒模型。根据该论文,如果目标设备在启动模型之前验证模型,恶意软件仍然可以被阻止。也可以使用静态和动态分析等“传统方法”进行检测。
网络安全研究员兼顾问Lukasz Olejnik博士表示:“今天,防病毒软件难以检测到神经网络中的恶意软件,主要因为这方面过去是一块盲区。”
参考资料
https://arxiv.org/abs/2107.08590
END