中文 英语

下一个大威胁:AI恶意软件

威胁性变态为恶意恶意软件增加了一个全新的维度。

受欢迎程度

轻描淡写地说,今天的网络对手和网络威胁已经达到了前所未有的复杂程度。恶意条目及其创造者已经并将继续设计出über-complex恶意软件,这些恶意软件似乎具有自己的智能。事实上,人工智能恶意软件正在逼近你身边的系统。

随着越来越多的物体成为自主的,尤其是在事物互联网/一切(IoT / e)中,威胁变形的能力将提高一些有趣的问题。有一种新的威胁水平,是由智能和驱动的超级编码人员开发的,共同努力,寻找妥协的方法 - 从政府上来。这些是个人和团体,可以看到潜在的巨大收益,从黑客入侵所有类型的系统。

对于那些行业之外的人来说,试图让他们相信网络威胁的本质比他们想象的要糟糕得多,可能很难说服他们。许多终端用户不知道网络威胁已经变得多么复杂,而面对物联网/万物(IoT/E),这将成为网络警卫面临的一个真正问题。教育是成功的一半。给一家公司披上安全威胁的外衣需要大量的资源。

“最好的防御是一个多层防御,结合不同的技术,不同的目的,并使用能称职的分析和监控工具观察所有环境,”Anubis网络的产品经理Rui Serra说。

这些防御是复杂和资源的排放。但是组织即将到来的事实是防御成本,远低于伤害控制的成本。

形状移位器
其中一个,如果不是,最具威胁性的技术是要掌握的威胁变形-恶意软件不断变形。变形病毒在保持病毒功能完整的同时改变代码的外观。变形病毒使用几种代码混淆技术,包括指令重排序、数据重排序、子例程内联、子例程概述、寄存器重命名、代码置换、指令替换和垃圾代码插入。图1显示了变形病毒的明显特征。

瞄准瞄准
图1:病毒代码如何变形的图示示例。

这意味着静态防御是无用的,因为在识别威胁时,试图采取的对策或已发现形式的中和通常将无效。恶意软件已经采用了不同的形式。唯一强大的防御是对抗措施能够随着威胁“变形”,并预测其下一种形式。这是威胁分析的一个关键组成部分。

恶意软件通常有两种变形形式;多态和变质。多态恶意软件使用多态引擎变异,但保持原始算法不变。从本质上讲,每次感染新文件时,它都会通过创建可用的、稍加修改的自身副本来更改二进制代码。这种类型的恶意软件有不同的模式与每个变种,所以它是极其困难的发现在正常的方法。

一个典型的,多态代码将有一个加密的病毒程序体(EVB)和一个病毒解密程序(VDR)。当受感染的应用程序启动时,VDR将EVB解密回其原始形式,代码将按编写的方式运行。一旦病毒运行,它将被重新加密并添加到另一个易受攻击的主机应用程序中。因为病毒体没有改变,并且包含一些静态代码,所以它有一些可识别的组件。

使用每次迭代重写变质恶意软件,使得代码的每个后续版本与前一个不同。尽管代码的永久更改,但每个变质恶意软件函数的迭代都同样。恶意软件在系统中留下的时间越长,它产生的迭代越多,迭代更复杂。

变质代码更复杂,难以创建。变质代码能够改变其代码和签名模式,并且通常使用包括代码排列和扩展,代码缩小和垃圾代码插入的多个转换技术,并注册重命名。从本质上讲,它在某种类型的解释下创建了自己代码的一些变体。这种恶意软件需要更复杂的技术,例如负面启发式分析,仿真和对检测虚拟化技术的访问 - 威胁分析工具箱的所有组件。

脱轨形式代码
已经有一些非常尖端的技术,即晚了,将酒吧促进变形和威胁,并且确实如此令人印象深刻。来自雷神的一个这样的系统,即美国军队正在尝试,是一种称为变形运动员的形状转换算法(用于限制对抗侦察的传染性网络资产的缩略语)。它需要一个页面,从恶毒的变形代码与一些非常前锋的思维方法。例如,根据AFCEA信号杂志发布的信息,Mulinator可以以不可检测的方式和不可检测的方式动态修改网络,主机和应用程序的方面和配置,这是对手的不可检测,但仍然可易于网络管理员(称为网络机动)。

初始原型将重点关注IP地址和应用端口跳跃,就像扩频使用跳频以阻止无线电窃听。例如,分配给Windows计算机的IP地址可以切换到Linux机器,反之亦然,反之亦然。同样,应用程序将随机切换端口以防止攻击者猜测。

第二个新时代的方法是由一家名为CogDat的Azos AI公司开发的智能数据操作。CogDat是认知数据能力的缩写,能够创造智能、“自我意识”的数据。CogDat可以“感知”它的处境,并自动采取行动进行自我保护——包括自我毁灭。这种方法将自我保护和智能嵌入到数据本身中。例如,如果CogDat数据检测到它已被窃取,它可以自动获取关于当前环境的信息,并将其发送回指定的权威机构,然后自毁。问题是,目标数据必须以CogDat数据格式保存。它还为使用中的数据提供了保护。当敏感数据暴露时,动态控制计算机进程。

所以正在取得进展。然而,睡在工作中仍然不是一个好主意。短暂的午睡可以让您在心跳中的那些零小时场景中的一个怜悯。

对半导体行业的影响
有人可能会认为这一切都是在虚拟平台上发生的,但事实并非如此。事实证明,知识产权是网络窃贼的首要目标。Cyber Squared的首席执行官亚当•文森特表示,大约四年前,中国的黑客把目标对准了高科技前沿的中小型企业——非常具有创新性的智能能源项目。不幸的是,这些小企业几乎没有什么防御来阻止知识产权盗窃。文森特将其描述为类似于“试图阻止海豹突击队进入你的房子,如果他们想的话。”也许洛克希德或波音有能力阻止这类网络入侵,但初创公司等则没有。”

所以文森特和他的同时代人开发了今天所谓的威胁连接“技术是建立在每个人都有一块谜题的前提下,但直到你把这些作品放在一起,一个人不会看到它代表的整个图片,”他说。“技术合并每个人对安全级别了解威胁的内容,所以人们可以做出更好的决定来挫败它。”

这是针对半导体公司内部拥有的数据和IP。但是硬件本身呢?有观点认为,威胁智能算法可以放到IP中,并集成到asic、fpga等集成电路中。但目前,它仍处于概念阶段。这是有原因的。

文森特说:“在微处理器的层面上,人们必须考虑如何应用使用威胁情报的算法。”“虽然理论上可以将威胁情报应用到计算机级,但出于几个原因,它还不太可能达到所需的有效程度。

其中一个主要挑战是,威胁情报是不断发展的敌人不断发展的纪律。它不像写作算法,可以点击和拆除以某种方式行事的恶意,然后将那些置于IP块中以集成到芯片的结构中。通过变形代码,反恶意软件IP代码必须自我意识并发展以挑战遭受威胁的迭代。到目前为止,没有证据证明这种微处理器IP块存在。

然而,在地平线上有希望。正在开发一项工作,以伤害的方式置于“设备”。“有可用的高速硬件基础设备,配置为寻找组织在威胁情报的聚合分析生命周期内创建的东西,”文森特说。因此,由于智能实现了在进行恶意软件或尝试锻炼命令和控制的特定技术,高速硬件启动并开始寻找图案,包括所知和可能的模式。

问题仍然是,是否会有某种能够正常工作的设备,或者是能够集成在电脑µpc级的设备。随着时间的推移,硬件可能会允许对I/O数据进行这种深入的检查,但性能必须足够快,以免减慢系统的速度。

结论
威胁情报是一个相当新的和复杂的领域,非常不稳定。总体概念很简单——收集所有存在的和将来可能存在的威胁,分析所有可能来源的数据,创造出一台能够预知未来的机器。实际上,威胁情报是试图通过不断更新的过去来预测未来。它尽其所能地进行尽职调查,从而为自己赢得胜算,但它也在尽其所能地进行受教育程度最高的猜测。

卡巴斯基实验室的安全研究员Roberto Martinez这样总结道:“威胁情报的关键要素之一是了解可能对各种组织有兴趣或动机的行动者和对手。这些对手类型不同,金融公司、能源公司、政府或私人公司的对手类型也不同。拥有深厚的知识可以让你制定更合适、更有效的战略和决策,从而获得更好的防御和保护。”

与任何新兴和不断发展的技术一样,一些事情比其他事情更好。威胁情报在静态数据上工作得比动态更好,尽管在该竞技场正在进行进度。例如,它还适用于某些类型的数据,例如IP。
然而,令人痛苦的是,有一件事很清楚:威胁的复杂性正在以数量级增长,行凶者的复杂程度也在增加。除了聪明地处理恶意软件,真的没有其他办法。展望未来,智能威胁评估、遏制和中和不是方法之一,而是唯一的方法。



1评论

rrandomm人 说:

你好,我看到你在2014年发布了这份文件,恶意软件一直在某种程度上有一些我所寻找的能力实际上是人为智能的恶意软件

留下一个回复


(注意:此名称将公开显示)