IBM研究院开发了一种名为“DeepLocker”的恶意软件

在计算变得越来越复杂的时代，安全研究人员和响应团队经常难以跟上持续的攻击企图以及漏洞和补丁管理。

随着人工智能的崛起，它渐渐被“吹捧”为一种潜在的解决方案，用于自动检测和打击恶意软件可以学习如何发现可疑行为，并在它们影响任何组织之前阻止网络攻击，同时使得人类避免一些不必要的工作量。但是，威胁行为者也可以使用相同的技术来增强他们自己的攻击方法，被犯罪分子武器化，这些恶意软件甚至可以逃避最好的网络安全防御并感染计算机网络或仅在摄像机检测到目标的人脸时发动攻击。

最近，IBM研究院开发了一种名为“DeepLocker”的恶意软件，人工智能（AI）可以绕过网络安全保护来进行攻击。这不是IBM今年第一次提出有关人工智能危险的研究。

在4月份的RSA会议上，IBM就曾概述了攻击者可以操纵机器学习模型来破坏结果和影响结果的方法。

它是如何运行的？

对于许多形式的恶意软件，需要代码调用命令和控制节点来获取指令或下载有效负载。通过监视那些出站异常连接，安全技术通常可以检测到恶意软件，但这对DeepLocker来说是行不通的。

IBM Research的首席研究科学家兼认知网络安全情报经理Marc Ph.Stoecklin表示，DeepLocker完全独立于这个良性应用程序，它确实需要通过互联网发送恶意软件负载。

IBM research的研究科学家迪隆基拉特(Dhilung Kirat)解释说，IBM编写了定制代码，并事先对机器学习模型进行了训练，以便它可以随时部署。Kirat补充表示，许多智能应用程序已经集成了机器学习模型，因此可以将DeepLocker与企业希望在应用程序中看到的代码放在一起。

虽然这看起来像是一个危险的先例，但IBM这种“疯狂”的行为是有原因的，IBM声称，由于网络犯罪分子已经在努力将人工智能武器化，因此应对这种威胁的最佳方法是就是观察其运作方式。

虽然正常的恶意软件可以被“捕获”，并通过反向工程来弄清楚它是如何工作的（从而制造出防范方法，就像“疫苗”一样），但分析神经网络是如何做出决策比弄清简单的恶意软件是如何工作的要困难得多。

该公司构建的DeepLocker，被描述为“一种由AI驱动的具有高度针对性和规避性攻击工具的新型恶意软件”，目的是了解现有的AI模型是如何与恶意软件技术相结合，从而创造出一种新的攻击类型。它的概念验证工具隐藏在其他应用程序中，直到它识别出被锁定的攻击对象：当某个不幸的个体被标记（通过人脸识别、地理定位信息和语音识别等方式）时，恶意软件就会进行攻击。

只有在识别出特定的标准时，AI模型才会“解锁”恶意软件以开始攻击。它们可以基于任意数量的属性，包括视觉、音频、地理定位和系统级特性等。你几乎不可能确定所有可能的触发因素，这就使得深度神经网络（DNN）的反向工程变得困难起来。

Marc Ph. Stoecklin谈到，普通的恶意软件如木马与僵尸网络植入系统中，就会需要建立连接，连到外部C&C服务器以取得指令或下载有效载荷。因此一般网络安全防护软件只要侦测异常对外连线即可找出恶意软件，但DeepLocker则不同，它包含客制程式码，隐蔽性极强，并具有极高的针对性，在目标物未出现之前，可以隐藏在普通的应用软件中，感染掉上百万的系统也不会被察觉。

为了测试DeepLocker，IBM在视频会议应用程序中隐藏了勒索软件，以便系统无法检测到它，并训练AI模型根据人脸识别解锁它。

当DNN通过网络摄像头（视频会议）在他们的PC前面“看到”攻击目标时，它提供了打开有效载荷并锁定受害者系统的“钥匙”。

IBM工作的一个聪明之处在于，它已经将黑盒AI的传统弱点——你无法看到内部，也就无法了解它如何做出决策的——变成了一种优势。

IBM的Marc Stoecklin写道：“简单地说，如果将其隐藏起来，那么触发条件就会变成一个非常难以破译的AI模型的深度卷积网络”。除此之外，它还能够将隐藏的触发条件本身转换为解锁攻击有效载荷所需的‘密码’或‘密钥’。”

检测

检测DeepLocker的一种方法是使用某种基于行为的技术来检测应用程序何时偏离了已知的良好基线。IBM正在积极研究的另一种方法是利用网络欺骗来欺骗人工智能驱动的恶意软件。

防御DeepLocker不是一项简单的任务，但这也是为什么IBM制造了这次攻击并在Black Hat USA讨论它的部分原因。Stoecklin表示，IBM希望提高网络安全行业对人工智能如何影响下一代网络攻击的认识。

他说:“我们的任务是提高人们的意识，即攻击者将通过人工智能发展他们的武器库。”“许多传统的防御系统将无法检测到这些新的威胁，因此行业和研究人员都需要想出保护的方法。”

虽然DeepLocker和AI驱动的恶意软件可能造成巨大损害，但Stoecklin表示，到目前为止，IBM研究人员还没有看到攻击者使用像DeepLocker这样的东西。