人工智能模糊探测可能导致重大的网络安全威胁

来源 :计算机世界 | 被引量 : 0次 | 上传用户:candy0533
下载到本地 , 更方便阅读
声明 : 本文档内容版权归属内容提供方 , 如果您对本文有版权争议 , 可与客服联系进行内容授权或下架
论文部分内容阅读
  人工智能模糊探测技术的定义
  人工智能模糊探测技术利用机器学习和类似的技术来发现应用程序或者系统中的漏洞。模糊探测已经存在一段时间了,但是它太难实现了,而且企业也没有太多的动力去应用这种技术。而人工智能的加入使得工具使用起来更容易,更灵活。
  这既是好消息,也是坏消息。好消息是,企业和软件供应商更容易在系统中发现可能会被利用的漏洞,这样,他们能够在坏人发现漏洞之前修复这些漏洞。
  坏消息是,坏人也可以使用这项技术,很快就能找到大规模的零日漏洞。澳大利亚技术咨询公司RightSize Technology将其列为2019年十大安全威胁之一。
  模糊探测技术的工作原理
  在传统的模糊技术中,会为一个应用程序生成很多不同的输入,目的是让应用程序宕掉。由于每一应用程序以不同的方式接受输入,因此需要大量的手动设置。但是,还不能只是像暴力攻击那样尝试所有可能的输入,然后查看应用程序怎样响应。IBM安全X-force Red的研究主管Daniel Crowley评论说:“这需要很长的时间。”他说,仅仅在一个10个字符的输入字段中尝试所有可能的字符组合就需要几个月甚至几年的时间。
  虚拟的每一应用程序都比这复杂,所以模糊探测器随机地进行尝试,使用各种策略来尝试最有可能出现的情况。Crowley介绍说:“人工智能工具可以帮助生成探测用例。但是也可以在模糊探测的事后阶段使用它来确定所发现的漏洞是否有利用价值。你发现的每一个漏洞并非都是安全漏洞。”
  他补充说,模糊技术已经存在很长时间了。即使是智能模糊技术也不是什么新鲜事,只是在学术界之外很少用到这一技术。VDA实验室前NSA分析师和创始人Jared DeMott介绍说:“好的商业工具还不是太多。”
  DeMott解释说,模糊技术属于动态分析的范畴,很难融入到开发生命周期中。他说,扫描应用程序源代码的静态分析要简单得多。商业领域有相当多的工具,因此,企业更愿意使用静态分析技术。
  人工智能模糊技术工具
  DeMott说,这一切现在都在改变,有些企业可提供模糊技术即服务,方便了该技术的部署。他解释说:“我对微软的安全风险检测(Microsoft Security Risk Detection)非常感兴趣。其简洁之处在于,他们还在其中加入了一个网络模糊检测器。而过去,这需要不同的工具。”
  最好的人工智能模糊工具包括:
   微软的安全风险检测
   谷歌的ClusterFuzz
   Synopsys的防御模糊测试(Defensics Fuzz Testing)
   PeachTech的Peach Fuzzer
   Fuzzbuzz
  MSRD使用了一种智能约束算法。DeMott补充说,智能模糊技术的另一主要选择是遗传算法。这两种方法都可以让模糊工具最有可能找到漏洞。
  遗传算法被用于美国模糊LOP开源工具集中,这是基于云的新产品Fuzzbuzz的关键所在。AFL也是谷歌ClusterFuzz项目的组成。
  DeMott说:“我们开始看到模糊探测器作为一种服务出现了。我希望人们会使用它。即使很难,也值得去做。保证产品安全是值得的。”他补充说,人工智能模糊探测器令人兴奋的是,它不仅减少了所需的工作量,而且能取得更好的效果,能深入到程序中,发现更多的漏洞。
  一家提供模糊技术服务的公司是加州Sunnyvale的网络安全初创公司RiskSense,该公司为企业客户提供风险评估服务。公司首席执行官Srinivas Mukkamala评论说:“我们不把它称为模糊技术即服务,我们将其称为攻击验证即服务。但主要的组成部分是模糊技术即服务。”
  目前机器学习的作用是在企业发现一个漏洞之后,查看该漏洞是否值得利用,以及是否会被利用。他说,模糊探测本身是通过传统的自动化方法和人工监督来完成的。一旦有足够的培训数据,公司也计划在初始阶段开始使用人工智能。Mukkamala说:“你希望能够有足够的数据、足够的模式,这样机器学习就能发挥作用了。如果没有一个好的数据集,你就会有很多误报,不得不回去验证结果,浪费大量的时间。”
  对于建立自己的人工智能模糊探测程序的企业,他建议与供应商合作。Mukkamala说,与谷歌、微软或者其他供应商合作,就能获得规模经济。他说:“除非你是一家跨国公司,否则就不会有合适的资源。大型云提供商比政府拥有更多的数据。”
  他说,一个例外是对于非常关键的系统,比如国防企业的武器系统。他说:“如果我是政府,我可能不会把我的数据放在AWS上进行模糊探测。如果这是一个武器系统,除非有非常严格的安全要求,否则不会使用谷歌或者微软的人工智能模糊探测器。但如果我是一家普通的企业,我会和这些现有的供应商合作。不妨看看谷歌和微软是怎么做的,他们并不总是第一家这么做的,但他们会大规模的做起来。”
  利用人工智能模糊技术发现零日漏洞
  今年2月,微软安全研究员Matt Miller在公司的BlueHat大會上做了一次演讲,讨论了零日漏洞问题。他介绍说,2008年,微软的绝大多数漏洞都是在补丁发布后才被第一次发现的。只有21%的漏洞首先被利用为零日漏洞。2018年,这一比例反过来了,83%的漏洞首先被利用为零日漏洞,通常成为有针对性攻击的一部分。
  到目前为止,发现零日漏洞还一直是个难题,新的零日漏洞的成本很高。一家名为Zerodium的公司现在提供高达200万美元的资金,用于一个具有能够全功能利用的高风险漏洞,并表示对于特别有价值的零日漏洞,价格会更高。Zeronium公司把这些信息转售给一些“数量非常有限的组织”,这些“主要是政府组织”。   零日漏洞的平均价格较低。该公司称,RunSafe Pwn指数表示了操作系统上漏洞平均被利用的价格,包括了暗网市场以及支付服务和私人参与者,目前仅略高于1.5万美元,并呈上升趋势。
  RunSafe安全公司的創始人兼首席执行官Joe Sauders指出,民族国家和老练的网络犯罪分子很有可能已经在使用人工智能模糊技术。他说:“攻击者总是想少投入多产出。此外,随着物联网设备和联网系统的普及,潜在的攻击面在不断扩大。”
  Fortinet有限公司的全球安全策略师Derek Manky认为,最终,攻击者简单地选择好一个目标,然后自动地挖掘它以进行零日攻击。他说:“我们看到,现在有迹象表明未来可能出现这种情况。”
  Malwarebytes实验室的主管Adam Kujawa说:“我可以确定,这将是网络犯罪方面的一个重大进展。这可能成为一种服务,这是模糊技术的未来。当你可以让人工智能帮你做事情的时候,手动操作就没什么意义了。”
  他说,这意味着我们会看到有更多的零日漏洞。但他不认为今年会大量涌现人工智能发现的零日漏洞。Kujawa说:“还为时尚早。技术本身还不成熟。”
  Kujawa补充说:“不过,现在开始准备恰逢其时。在我看来,最好是先行一步。所有供应商、开发人员、软件公司都应该对自己的软件进行模糊探测。这是最好的准备方法,以确保没有明显的漏洞。”
  人工智能模糊技术的几个真实案例
  Positive技术公司的网络安全弹性负责人Leigh-Anne Galloway评论说,尽管宣传得很好,但很少有人工智能模糊应用的案例。她说:“现在,没有人工智能的模糊探测更有效。”
  Positive技术公司拥有一个大型的安全研究中心,每年能发现大约700个应用程序安全漏洞。Galloway介绍说,目前还是以传统的技术为主,例如使用符号执行方法的模糊探测技术。她补充说,“然而,机器学习和其他新技术肯定会给这一领域带来一些新东西。在下一次大型会议上,有人可能会介绍一些将颠覆整个行业的新东西。”
  Kudelski安全公司的首席技术官Andrew Howard说,很难判断犯罪分子是否已经在使用人工智能模糊技术,因为他们通常不会透露他们的方法。他说:“模糊就是模糊;当漏洞暴露后,不太可能讨论模糊探测器背后的算法。”
  由于人工智能有可能更快地发现漏洞,发现传统方法无法检测到的漏洞,他预计在这一领域将出现竞争。Howard说:“如果攻击者改进了他们的模糊技术,那么好人也必须这么做。”
  Maria Korolov过去20年一直涉足新兴技术和新兴市场。
  原文网址
  https://www.csoonline.com/article/3375203/what-is-ai-fuzzing-and-why-it-may-be-the-next-big-cybersecurity-threat.html
其他文献
对于力求改进业务流程和推动创新的CIO们来说,在数据孤岛深处寻找宝贵信息可以带来回报。  利用数据进行竞争不是什么新鲜事。初创公司和老牌企业早就知道,充分利用专有数据集的力量会是持续获得竞争优势的一条途径。然而,随着许多数据源日益商品化,大规模处理数据的工具变得更便宜更普及,竞争规则也随之发生了变化。企业需要在数据获取途径和使用方式上变得更有创造力。暗数据(dark data)为先行者提供了大好机
《申报》议政,是一种商业需要,目的在于赢得政府官员读者群;“清流”看《申报》,是一种政府需要,目的在于能够跟上官场上的洋务话题。体制内外的两种言路互动互利,实现双赢:《申报》获得了稳定的订户;而官员扩大了消息渠道,充实了洋务新知。但《申报》最终无法成为现代意义上的独立舆论,官员也没有突破传统的为政理念。  (摘自《近代史研究》2007年第6期作者王维江)
黑客和恶意软件在近几十年中不断发展。在计算机还是粗糙的大机箱时代,黑客还是新生事物,他们顶多是一群喜欢恶作剧的少年,也许他们会制作一些恶意软件,但是这些恶意软件的精致程度与今天的恶意软件有着天壤之别,最多算是游走在法律边缘。随着计算机进入到经济领域,黑客也从一群两眼无神的网瘾少年发展成为了一个个胆大妄为的犯罪集团。  如今计算机已经不再是新生事物,黑客也已经不再恶作剧。他们原来的社会形象是喜爱熬夜
[摘要]平汉铁路与近代中国大多数国有铁路一样,是借外债修筑而成。除了在建设阶段形成的外债,在经营过程中又积聚了大量的料债和内债。南京国民政府时期为整理债务作出了大量努力。外债对于平汉铁路的运营影响有限,对平汉铁路的经营有着重要影响的是料债。  [关键词]平汉铁路,债务,债务整理  [中图分类号]K25 [文献标识码1A [文章编号]0457-6241(2008)12-0020-05    在过去的
[摘要]在民国学术界中,张荫麟和钱穆都是以精治通史、又关怀时事著称于世的著名学者,两人在学术上彼此倾服,互相切磋,在民国学术史上留下了深深印迹。  [关键词]张荫麟,钱穆,学术交往,通史之学,时代关怀  [中图分类号]K25  [文献标识码]A  [文章编号]0457-6241(2010)14-0047-05    一、“共有专为通史之学”    张荫麟(1905—1942),广东东莞人,笔名素痴
1927年国民政府定都南京,为重建新的学术中心,将东南大学等校合并成首都最高学府。同时,国民政府也率先在此进行大学区制试验。在两年半的试验过程中,首都大学与中央政府、江苏地方政府之间,围绕校名的确立、经费分配和人事安排进行了一系列的明争暗斗。在政局变动的大背景下,1929年底中却陷入政治纷扰之中,显示出教育制度移植过程中深受国情制约的一面;同时,中央大学区制在实验中也演变成为国立大学挤占地方教育资
[摘要]宋廷设置市舶司管理海外贸易,颁布一系列法令来约束和惩戒市舶官员的不法行为。无论是兼领市舶的知州真德秀和转运使王丝、还是担任专职市舶的楼寿,凭借个人的努力,规范和促进了海外贸易的发展;而贪污腐败的官员虽在海外贸易中大获其利,但也难逃政府的制裁。政府对市舶官员的约束和惩戒,促进了市舶司职能的完善与海外贸易的发展;市舶使的主动调适,使市舶司管理制度与海外贸易实际发展状况更加协调。  [关键词]约
机器人过程自动化(RPA)是大部分企业还不太了解的颠覆性技术。在企业中,只有少数领导能充分认识到RPA的潜力。关于RPA的宣传让我想起了20世纪90年代中期关于互联网的宣传。我们知道它将腾飞,但我们不知道这种知识共享的想法将在哪些领域被采纳,以及怎样被采纳。  RPA应用人工智能和机器学习来执行以前需要人类执行的可重复性任务。  类似于区块链的概念,这种技术应用缓慢,在很大程度上与教育有关。一旦充
摘 要 第一次世界大战爆发后,为了争取美国对协约国集团的支持,英国对美国采取了强大的宣传攻势。针对美国人的自由主义传统,英国宣传者刻意避免暴露宣传活动的官方背景,通过种种宣传活动让美国各界人士相信德国人力图操纵美国舆论、践踏中立国权利、威胁正常的商业活动和航海自由,这些激起了美国各界强烈的反德情绪。与此同时,英国政府利用自己强大的新闻控制和宣传能力,巧妙地化解了美国人对英国无视中立国权利和航海自由
[摘要]马克思、恩格斯、列宁等马克思主义经典作家,对过渡时期国家的理论和任务进行的精辟论述,对新民主主义社会理论的形成起到了重要的指导作用。新民主主义社会理论的萌芽和完善是中国近代特殊历史条件的产物,是由中国的国情决定的,是以毛泽东为核心的中共第一代中央领导集体把中国革命的实际和马克思主义基本原理相结合,进行艰辛探索的结果,是马克思主义中国化的重要理论成。  [关键词]过渡时期国家理论,新民主主义