报告：人工智能驱动的网络攻击的实现将很快到来

Darktrace是全球领先的网络人工智能（AI）公司，也是自主响应技术的创造者，到目前为止，Darktrace已经建立了很多的关键技术和能力，其总部设在美国旧金山和英国剑桥。Darktrace开发的Antigena是世界上第一个自主响应解决方案，它能够探测到哪怕是最细微的攻击，并能在几秒钟内做出反应，全天候保护组织免受最高级的攻击。2020年6月中旬，Darktrace发布了一份研究报告，名为《人工智能增强网络攻击与算法之战》。报告通过一个假想的犯罪组织渗透攻击某个军工企业过程作为示例阐明这样一个观点：目前尽管还没有看到基于人工智能攻击的实质性应用的确凿证据，但是，所有有利于人工智能增强型攻击所需的工具和开源研究都已经存在。因此，报告预测，人工智能驱动的网络攻击的实现将很快到来。本文将以该研究报告为引子，探讨人工智能对网络攻击技术和模式的影响，介绍一种网络防御的新思想，抛砖引玉，以供参考。

一

报告主要内容

Darktrace的这份研究报告篇幅不长，总共8页。报告为了说明人工智能如何被用于辅助网络进攻能力，以一群专业黑客致力于渗透一家大型军事武器生产公司作为预设案例举例，主要研究了以下内容：

（一）报告将黑客针对这个假想公司进行的先进的典型网络攻击生命周期顺序分为六个阶段，分别是1）侦察

2）入侵

3）建立指挥与控制（C2）通道

4）提升特权

5）横向移动

6）完成攻击任务使命；

（二）报告详细分析了黑客在上述每个攻击阶段使用的传统工具、技术和过程是什么，面临哪些风险（见表1）；

（三）报告把这些传统攻击与正在被AI增强的相同攻击阶段进行比较，分析了这些攻击阶段中的每一个如何通过现有的工具和研究得到实质性的改进（见表1）：由于攻击生命周期中的大部分步骤都是自动化的或人工智能增强的，与传统攻击相比，同一支被限制并行执行最多2次深入行动的攻击队伍现在可以用与以前相同的人力并行执行多达200次，而且效果甚至更好。

（四）通过上述示例，报告得出几个观点：

（1）网络犯罪分子将利用攻击性人工智能来制造越来越定制化、有针对性和难以检测的大规模网络攻击。（2）开源工具今天已经存在，AI恶意软件已经启用，我们将在不久的将来开始看到这些软件的应用。（3）人工智能将消除攻击中的人为因素，使犯罪者更难被识别。（4）各组织将迫切需要使用人工智能防御系统，以人工智能对抗新一代的攻击。

表1：传统攻击与AI助力攻击手段的对比

二

AI对未来恶意软件网络攻击技术的影响

上述研究报告表明，未来的网络攻击工具将更加智能化、隐蔽化，破坏效果将更大，最重要的是，网络攻击成功的概率将会大大增加。通过Darktrace的研究报告，我们可以看到，AI在未来网络攻击中的应用主要有：下一代恶意软件、语音合成、基于密码的攻击、社交机器人、对抗性训练，等等。其中，AI对恶意软件网络攻击的主要影响表现在：

1．恶意软件将更加自主和复杂

它能够更加复杂和自主地执行攻击程序。目前，它被编程为在特定时间段内集中管理多个攻击代理，并直接渗透到特定目标；或者，它旨在发现和渗透那些可以通过分发大量恶意代码或在足够长的时间内复制自身来利用的设备。未来，自适应恶意软件的功能基于人工智能（机器学习、深度学习等）。未来的恶意软件将具有一种态势感知技术，可以识别网络空间环境，并对下一步做出慎重的决定。这种类型的恶意软件在各个方面都类似于人类的渗透程序，也就是说，它搜索目标、识别目标、选择渗透路线并自动避开智能检测。

2．恶意软件将具有变形功能

该功能是用于确定主要攻击点，并根据收集的信息来选择渗透技术从而达成攻击目标，它不管目标系统具有何种特征、类型、漏洞以及安装的安全系统是什么。在基于跨平台工具的未来网络空间不断变化的环境中，变形功能将非常有用。跨平台工具包括各种可在多种环境中运行的利用和有效载荷工具。在基于跨平台工具的网络空间中，当入侵代理渗透到目标中时，变形恶意代码可以收集加载平台的渗透信息，然后使用机器学习算法选择合适的有效载荷，并针对目标选择、组合和执行渗透算法。

3 ．恶意软件将具有自我进化和变异功能

最近，检测复杂和智能的网络攻击代理的先进安全技术已被开发出来。基于机器学习和主动的自防御技术的智能检测和预测的研究也正在积极开展之中。其中，特别是自变异技术（例如基于机器学习的入侵者信息和入侵资源的收集）、通过关联分析的风险预测技术、自学习网络免疫技术（可自动分析和修复软件漏洞和网络配置的动态变化）都是配备了最先进的安全算法的防御技术。因此，入侵代理必须应用机器学习和深度学习技术来预测和分析目标上的信息、网络和系统资源的变化。入侵代理必须能够通过收集和分析内部网络环境信息，使其看起来像一个内部网络组件，从而使安全系统能够将入侵代理识别为一个内部网络组件。此外，当内部网络定期执行安全补丁或更新时，入侵代理也应该能够在这样的更新周期中自我发展。

4．恶意软件将具有智能的大规模感染能力

通过PC和浏览器的漏洞，将漏洞利用工具包插入恶意代码中，从而实现自动感染，并且可以更准确、更快速地获取大量被感染的PC。为了隐藏这些僵尸电脑，它会插入分析中断代码并混淆源代码，以防止新的路点被检测到。它还通过恶意软件网络使用了一种入侵技术，这种技术在漏洞利用工具包中增加了新的漏洞，利用多种入侵技术同时将恶意链接传播到数百个系统。它还包括时差入侵功能，当访问者使用易受攻击的广告服务器突然访问时，通过在特定时间点插入恶意网址和利用工具包，在短时间内传播感染。

5．恶意软件将能够利用所有软资产作为网络攻击工具

过去几年，以色列内盖夫本古里安大学的网络安全研究小组已经展示过利用计算机的冷却风扇的噪音、硬盘驱动器的共振声音、散热、红外摄像头、扫描仪、屏幕亮度等来窃取数据的技术。2020年5月最新消息，该研究小组又发现一种新型恶意软件可以绕过计算机的物理机制，在物理断网状态下窃取信息。他们演示了如何通过软件使计算机的电源设备发出声音信号，并被附近的接收器获取。这个恶意软件能操纵电脑CPU的负载，以控制其功耗和电源内部开关频率，从而使电源的变压器和电容器产生噪声，并在此基础上调制二进制数据（每个频率代表一个0比特、一个1比特或一系列比特），产生的二进制数据将被5米范围内的接收器获取。这项被命名为POWER-SUPPLAY的攻击方法可以捕获受感染计算机上的敏感信息，并以50比特/秒的速率将数据传输给附近的接收者。该方法可在普通用户模式下运行，无需访问硬件资源或root权限，因此极具隐蔽性。未来，利用声音、频率、电线和信号感染目标系统的恶意代码的技术将得到发展。

三

AI对未来恶意软件网络攻击模式的影响

未来，利用AI实施网络攻击的网络威胁将与现代网络威胁完全不同。因此，在AI助力下，未来恶意软件的网络攻击模式预计将有如下变化：

1．具有源代码反向编码功能的移动可变形恶意软件将感染基于物联网的电子设备

传统可移动恶意软件发起的网络攻击旨在窃取特权、获得控制权和实施远程控制。但是，移动可变形恶意软件当网络环境改变时它会改变自己使其行为看起来就像一个普通的可执行文件。然后，它渗透到运行控制系统的软件中，窃取源代码信息并解码，这样可以瘫痪真实软件的功能，并像真实软件一样在电子设备上激活。它还可以将从目标系统收到的重要数据发送给攻击者。

2．具有超级融合组装功能的分散恶意代码将干扰主动和智能的防御系统

目标系统为应对网络攻击将建立具有各种安全功能的主动智能防御系统。而入侵者为了不被这些系统检测到，需要向目标系统发送真正的正常数据包。当数千个正常数据包被发送到目标系统时，这些数据包在逻辑上或功能上被组装起来从而在目标系统中生成新的恶意代码。一旦数据包是在正常网络中，并且分布式数据包被组装起来，它们就不会被对方的防御系统检测到。

3．通过将智能恶意软件加载到物理手段中来感染目标系统

例如，有一种使用无人机的方法。由于人工智能和机器学习，未来的超小型超级无人机能够自主飞行，实现物联网技术和云连接的超级通信，并且能够利用下一代能量电池进行长期飞行。智能恶意软件或全球定位系统窃取者通过安装在控制软件中的超小型超级无人机可以瘫痪目标信息通信系统或窃取传输的数据。智能恶意软件可以自我学习和判断，也可以进化和变异。当目标系统软件升级和改变时，它也可以根据敌人的网络环境而进化和改变自己，或者可以自己判断渗透到目标中。复制的恶意代码通过自我复制传递，而最初的恶意代码通过像目标系统的环境组件一样的变化来执行正常的功能。

4．通过BCI（大脑计算机接口）恶意代码干扰脑电波通信

脑电图（EEG）通信是指通过使用无线通信技术将脑电图信号（脑被激活时产生的电流波）传输到计算机的通信。通过将大脑直接连接到计算机，只用思想就可以控制连接的物体。而且，大脑植入技术是一种将电子芯片植入大脑的技术，它可以恢复当前的记忆能力或者将脑电波传输给计算机，通过思考来控制事物和身体。在未来，这些脑电图通讯和大脑植入将能够控制无人系统或附着在身体上的可穿戴机器人。此时，BCI恶意代码被用来黑进附着在大脑上的电子芯片或拦截通信。也有可能在通信过程中插入错误的信息，或者生成相同的波形，并将其传输到无人系统以获得控制。

四

一种全新的军事网络防御思想和技术：自主网络防御

显然，在未来AI增强网络攻击的安全威胁场景下，当前的网络防御理论和技术完全无法应对这些未来的威胁。特别对于军事C4ISR网络和计算机化的武器系统而言，未来自主的智能恶意软件（AIM）将成为实施网络攻击新策略的重要部分，在这种情况下，检测、理解和反击网络攻击将需要一种新的方法。为了对抗这种智能攻击，外军提出了一种新的网络防御理论和技术：自主网络防御（ACyD）。

1．研究背景

自主网络防御（ACyD）是一个新的研究和技术领域，由国防部门驱动，以应对未来军事基础设施、系统和作战面临的多种威胁和挑战。它将通过单独的或成群的自主智能网络防御代理（AICAs）来实现，从而与防御网络和系统中植入的AIM进行对抗。

该项研究由北约（NATO）IST-152研究任务组（RTG）在“针对网络防御和弹性的智能自主代理”课题下牵头进行，美国陆军研究实验室（ARL）具体实施。2016年9月，鉴于北约成员国军事平台受到网络攻击的威胁不容小觑，北约启动了RTG IST-152，它的目标是通过制定参考体系架构和技术路线图来帮助加速此类软件代理的开发和向实践的过渡。经过三年时间，到2019年9月，该组织完成了自主智能网络防御代理（AICA）参考体系架构（版本2.0）的制定。

2．技术愿景

AICA与其他自主网络防御产品的最大不同是，它的目的不是发现和修复防御方软件中的漏洞，而是发现和击败敌手的恶意软件。IST-152小组确定了以下AICA未来必须实现的关键能力：

（1）代理应以持续和隐蔽的方式驻留在军事平台上；（2）应该能够执行自主学习，特别是关于敌方恶意软件的功能、技术和过程；（3）应该能够观察其职责范围内元素内的状态和活动，在对恶意软件保持最低可观察性的同时检测敌方恶意软件，并破坏或降级敌方恶意软件；（4）应能够在受到敌手恶意软件危害的环境中有效地运行，并对破坏具有弹性能力；（5）应能在遵守规定的交战规则的同时，自主地采取破坏性行动，如删除或隔离某些软件和数据，并有能力评估此类行动所涉及的风险和利益，并据此作出决定；（6）应能在必要时自主运行，即不依赖外部友方元件或外部控制器的支持，当与其他友好元件或外部控制器的通信受限或不可用时，代理应能有效地工作；（7）代理应随时向外部控制员报告数据，以使控制员能够对代理的可信任性作出推论。等等。

其中，隐身性、自主性、弹性等是AICA最重要的功能特点。

3．体系架构与实现方法

AICA参考架构组成如下图所示。

图1 　AICA参考架构：代理组成

从参考架构可以看到，代理的功能组件分为三个类，分别是：（1）核心组件，包括的功能组件有感知、环境状态识别、规划、行动选择、行动执行；（2）支持功能，包括的功能组件有协作与协商、学习、目标管理、自保障、隐身与安全；（3）数据业务，包括的功能组件有环境模型、现状与历史状态、环境动态、目标。

特别地，对于军事系统或设备，AICA通过以下五个主要的高级功能来实现网络防御：（1）感知与环境状态识别（2）规划和行动选择；（3）协作与协商；（4）行动执行；（5）学习。

4．面临的技术挑战及路线图

该项研究表明，AICA的实现既有现实技术基础，同时也面临巨大挑战。这些挑战存在于感知、环境状态识别、规划、行动选择、协商与协作、学习、目标管理、自保证、隐身与安全、环境模型、环境现状与历史、环境动态、目标、开发、验证与确认、维护、内部代理进程等多个方面（注：文后附表2详细列出了各项技术挑战）。

为此，北约相关研究组织制定了分三个阶段发展的技术实现路线图。路线图的第一阶段可能持续2年左右，将包括开发基于知识的行动规划、执行功能、针对攻击的弹性操作要素以及在小型计算设备执行原型代理的自适应问题。这一阶段将以一系列类似图灵的实验为主体，这些实验将评估代理具有如下能力：对比有经验的人工网络防御来，可以生成纠正攻击破坏的各项计划。

第二阶段将持续3年左右，重点是自适应学习、结构化环境模型的开发以及对明确定义的、多个存在潜在冲突的目标解决机制的开发。在这个阶段，原型代理将在几次自我学习之后证明自已具有如下能力：在敌手恶意软件行为或技术以及进程发生重大改变之后，它能够使被防御的系统恢复到可接受的性能。

第三阶段可能约3-4年，这个阶段将深入研究多代理协作、人类交互以及确保代理的隐身性和可信任性等问题。另外还需要解决网络-实物面临的挑战。当原型代理能够成功地解决任何单个代理都无法处理的网络破坏时，这个阶段就完成了。

事实上，AICAs是军事系统网络防御未来的一大飞跃。鉴于AICA的发展将为军事网络防御带来非常积极的影响，当前，学术界以及一些政府和行业研究机构的相关研究正在增长并得到相关支持。学术机构的相关AICA能力研究已开始有成果向业界转化。

五

结　语

随着AI技术的发展和在恶意软件和攻击活动中的应用，未来攻击者会不断将AI技术融入到攻击活动中，使其攻击行为越来越趋向正常化，这会给安全解决方案提供商带来很大的挑战。特别对于军事C4ISR系统而言，由于基础设施和系统更加复杂、规模更大、要求的响应速度更快，攻击对手通过不断改变和改进其攻击策略，尤其在攻击过程中强调AI驱动技术的应用，再与常规攻击技术配合使用，将会对军事系统造成更大的破坏。

预计如果AI技术继续如此快速地发展，那么全球现有的数字和实体防御机制将很快对AI技术束手无策。人工智能和机器学习无疑将重塑网络安全的未来图景，只有AI对抗AI，最好的算法才会胜出。无疑，网络防御的崭新时代刚刚开始，人工智能对这一战场的影响已经证明是根本性的。

附表2：AICA的研究挑战