2015黑帽大會:機器學習安全需增加多樣性
與掃描已知簽名的系統相比,機器學習可更好地檢測惡意軟件。在2015年黑帽大會上,研究人員稱若機器學習增加多樣性,則可進一步拉開這個差距。
在2015年黑帽大會上,Northrop Grumman公司子公司的兩位研究人員認為,雖然供應商將機器學習整合到其產品,但他們沒有使用站點特有的訓練數據來區分一個部署與另一個部署,這就讓他們錯失了讓更廣泛安全生態系統變得更強大的機會。
機器學習專家Bob Klein正在為Northop子公司Acuity Solutions研究被稱為BluVector的產品,他將他們的概念稱為“移動防御”,他解釋說,這好比在一個村莊,鎖匠向所有人銷售相同類型的鎖,這樣安全性非常低。小偷只需要拿到一把鎖,然后花時間學習如何解鎖,之后每家每戶都可以讓他行竊了。
Klein和BluVector工程師Ryan Petes認為,對于機器學習系統,使用相同的數據來訓練系統會產生功能相同的“鎖”,無論如何部署,安全性都不會很高。
“現實情況是,與基于簽名的產品相比,機器學習系統讓攻擊者獲得兩大優勢,”Klein稱,“第一個優勢是他們可以非常確定這種模式沒有被改變,因為他們獲得了軟件的副本;第二個優勢是所有目標都是使用相同的模式。如果你可以攻破該模式的一個副本,你就可以攻破所有副本。”
“而現在真正不同的是,村莊里出現一個新的鎖匠,他以‘機器學習’的品牌制造新的真正強大的鎖,這些鎖要比舊鎖更好,它們更具強大,更加不容易被撬鎖。但你猜怎么著,他也在賣相同的鎖。”
這兩名研究人員探討了為機器學習安全模式使用略為不同數據集的作用。他們進行了基準測試,其中他們為容易檢測到的惡意軟件樣本創建了不同的排列,然后對每個排列進行測試,看看是否能通過機器學習系統,這個過程不斷重復,直到1900次迭代和15小時后,有個排列繞過了該系統。
在這一點上,核心問題出現了:在這種模式的不同部署中可否引入細微變化而讓有些部署可捕捉一些排列(應該說,錯過其他排列)?
這些變化理論上來自供應商或通過其他機制,但這些研究人員感興趣的是使用該系統部署所在站點的數據,他們將這稱為“就地”學習。對于就地學習,令人興奮的地方并不是我們允許人們購買不同的鎖,而是我們實際上讓每個人變成鎖匠。
而且,我們完全可以添加本地數據來確保更好的檢測。在某些情況下,例如根據定義不能在供應商最初創建機器學習模式時使用的數據集中的機密文檔,就會添加全新的檢測領域。在Klein和Peters的測試中,這種排列模式會看到檢測方面的顯著改進。
具體來說,當四組有所不同的數據集用于訓練時,攻擊文件的模糊版本被發現繞過機器學習安全工具,而會被四個不同訓練模式的另外三個所檢測。雖然事實是其中有一個模式沒有檢測到該攻擊,但該系統也沒有部署“移動防御”做法。
黑帽大會上的與會者對“移動防御”的概念很感興趣,他們提出了在部署時可能出現的潛在實際問題。Qualcomm公司研究工程師Anil Gathala表示,“他們的問題是如何生成幾乎一樣好但與基礎模型差不多的分類器,我認為這不是一個簡單的問題。”
還有其他問題,如果你從供應商購買了一個東西,但你的鄰居在得到這個鎖的排列后阻止了攻擊,而你與其不同排列則沒有攻擊,那么,問題是,如果你提供了數據讓你的模式差異化,這個供應商是否應承擔責任?即使這個做法整體更好,是否有統計數據證明該系統的優越性讓你感覺更好?
“在這一點,我們試圖從攻擊者的角度來考慮,”Klein稱,“如果你受到攻擊,你要安裝一把不同的鎖,這會令人沮喪。這種移動防御對大家更好,但所有人都使用相同的模式真的很危險。”
