歷史表明，網(wǎng)絡(luò)安全威脅隨著新技術(shù)的進(jìn)步而增加。
關(guān)系數(shù)據(jù)庫(kù)帶來(lái)了SQL注入攻擊，Web腳本編程語(yǔ)言助長(zhǎng)了跨站點(diǎn)腳本攻擊，物聯(lián)網(wǎng)設(shè)備開(kāi)辟了創(chuàng)建僵尸網(wǎng)絡(luò)的新方法?；ヂ?lián)網(wǎng)打開(kāi)了潘多拉盒子的數(shù)字安全弊??；社交媒體創(chuàng)造了通過(guò)微目標(biāo)內(nèi)容分發(fā)來(lái)操縱人們的新方法，使網(wǎng)絡(luò)用戶更容易收到網(wǎng)絡(luò)釣魚(yú)攻擊的信息；比特幣使得加密ransowmare攻擊成為可能。
近年來(lái)網(wǎng)絡(luò)安全事件不斷曝光，新型攻擊手段層出不窮，安全漏洞和惡意軟件數(shù)量更是不斷增長(zhǎng)。2019年VulnDB和CVE收錄的安全漏洞均超過(guò)了15000條，平均每月高達(dá)1200條以上。2019年CNCERT全年捕獲計(jì)算機(jī)惡意程序樣本數(shù)量超過(guò)6200萬(wàn)個(gè)，日均傳播次數(shù)達(dá)824萬(wàn)余次，涉及計(jì)算機(jī)惡意程序家族66萬(wàn)余個(gè)。

根據(jù)研究集團(tuán)IDC的數(shù)據(jù)，到2025年聯(lián)網(wǎng)設(shè)備的數(shù)量預(yù)計(jì)將增長(zhǎng)到420億臺(tái)。我們正在迅速進(jìn)入“超數(shù)據(jù)”時(shí)代，但是，在數(shù)據(jù)算法大行其道人工智能方興未艾的今天，我們也迎來(lái)了新一輪安全威脅。

人工智能攻擊如何實(shí)現(xiàn)？
我們先想象一個(gè)超現(xiàn)實(shí)場(chǎng)景：
未來(lái)的恐怖襲擊是一場(chǎng)不需要炸彈、鈾或者生化武器的襲擊，想要完成一場(chǎng)恐怖襲擊，恐怖分子們只需要一些膠布和一雙健步鞋。通過(guò)把一小塊帶有電子芯片的膠布粘貼到十字路口的交通信號(hào)燈上，恐怖分子就可以讓自動(dòng)駕駛汽車(chē)將紅燈識(shí)別為綠燈，從而造成交通事故。在城市車(chē)流量最大的十字路口，這足以導(dǎo)致交通系統(tǒng)癱瘓，而這卷膠布可能只需1.5美元。
以上就是“人工智能攻擊”，那么它又是如何實(shí)現(xiàn)的？
要了解人工智能的獨(dú)特攻擊，需要先理解人工智能領(lǐng)域的深度學(xué)習(xí)。深度學(xué)習(xí)是機(jī)器學(xué)習(xí)的一個(gè)子集，其中，軟件通過(guò)檢查和比較大量數(shù)據(jù)來(lái)創(chuàng)建自己的邏輯。機(jī)器學(xué)習(xí)已存在很長(zhǎng)時(shí)間，但深度學(xué)習(xí)在過(guò)去幾年才開(kāi)始流行。
人工神經(jīng)網(wǎng)絡(luò)是深度學(xué)習(xí)算法的基礎(chǔ)結(jié)構(gòu)，大致就是模仿人類(lèi)大腦的物理結(jié)構(gòu)。傳統(tǒng)軟件開(kāi)發(fā)需要程序員編寫(xiě)定義應(yīng)用程序行為的規(guī)則，與傳統(tǒng)的軟件開(kāi)發(fā)方法相反，神經(jīng)網(wǎng)絡(luò)只需通過(guò)閱讀大量示例就能創(chuàng)建自己的行為規(guī)則。
當(dāng)你為神經(jīng)網(wǎng)絡(luò)提供訓(xùn)練樣例時(shí)，它會(huì)通過(guò)人工神經(jīng)元層運(yùn)行它，然后調(diào)整它們的內(nèi)部參數(shù)，以便能夠?qū)哂邢嗨茖傩缘奈磥?lái)數(shù)據(jù)進(jìn)行分類(lèi)。這對(duì)于手動(dòng)編碼軟件來(lái)說(shuō)是非常困難的，但對(duì)神經(jīng)網(wǎng)絡(luò)而言卻非常有用。
舉個(gè)簡(jiǎn)單的例子，如果你使用貓和狗的樣本圖像訓(xùn)練神經(jīng)網(wǎng)絡(luò)，它將能夠告訴你新圖像是否包含貓或狗。使用經(jīng)典機(jī)器學(xué)習(xí)或更古老的人工智能技術(shù)執(zhí)行此類(lèi)任務(wù)非常困難，一般很緩慢且容易出錯(cuò)。近年興起的計(jì)算機(jī)視覺(jué)、語(yǔ)音識(shí)別、語(yǔ)音轉(zhuǎn)文本和面部識(shí)別都是借助深度學(xué)習(xí)而獲得巨大進(jìn)步。
但由于神經(jīng)網(wǎng)絡(luò)過(guò)分依賴(lài)數(shù)據(jù)，從而引導(dǎo)神經(jīng)網(wǎng)絡(luò)犯錯(cuò)。一些錯(cuò)誤對(duì)人類(lèi)來(lái)說(shuō)似乎是完全不合邏輯甚至是愚蠢的，人工智能也由此變成了人工智障。例如，2018年英國(guó)大都會(huì)警察局用來(lái)檢測(cè)和標(biāo)記虐待兒童圖片的人工智能軟件就錯(cuò)誤地將沙丘圖片標(biāo)記為裸體。

當(dāng)這些錯(cuò)誤伴隨著神經(jīng)網(wǎng)絡(luò)而存在，人工智能算法帶來(lái)的引以為傲的“深度學(xué)習(xí)方式”，就成了敵人得以攻擊和操控它們的方法。于是，在我們看來(lái)僅僅是被輕微污損的紅燈信號(hào)，對(duì)于人工智能系統(tǒng)而言則可能已經(jīng)變成了綠燈，這也被稱(chēng)為人工智能的對(duì)抗性攻擊，即引導(dǎo)了神經(jīng)網(wǎng)絡(luò)產(chǎn)生非理性錯(cuò)誤的輸入，強(qiáng)調(diào)了深度學(xué)習(xí)和人類(lèi)思維功能的根本差異。

盡管恐怖襲擊看起來(lái)遠(yuǎn)在天邊，但這一類(lèi)的安全威脅卻近在眼前。上一陣子引起惶恐的豐巢智能快遞柜刷臉功能就被小學(xué)生破解，一群小學(xué)生只用一張打印照片就能代替真人刷臉，騙過(guò)“人工智能”快遞柜，取出父母的包裹。比利時(shí)魯汶大學(xué)的兩位少年僅僅通過(guò)在肚子上貼一張圖片就輕松躲過(guò)了目標(biāo)檢測(cè)界翹楚YOLOv2的火眼金睛，成為了一個(gè)“隱形人”。
此外，隨著人工智能技術(shù)的發(fā)展，我們生活中將有更多的方面需要用到這種生物識(shí)別技術(shù)，其一旦可以被輕而易舉地攻擊便貽害無(wú)窮。除了圖像領(lǐng)域，在語(yǔ)音系統(tǒng)上，全球知名媒體TNW（The Next Web）在早些時(shí)候也進(jìn)行過(guò)報(bào)道，黑客能夠通過(guò)特定的方式欺騙語(yǔ)音轉(zhuǎn)文本系統(tǒng)，比如在用戶最喜愛(ài)的歌曲中偷偷加入一些語(yǔ)音指令，即可讓智能語(yǔ)音助手轉(zhuǎn)移用戶的賬戶余額。
此外，對(duì)抗性攻擊還可以欺騙GPS誤導(dǎo)船只、誤導(dǎo)自動(dòng)駕駛車(chē)輛、修改人工智能驅(qū)動(dòng)的導(dǎo)彈目標(biāo)等，對(duì)抗攻擊對(duì)人工智能系統(tǒng)在關(guān)鍵領(lǐng)域的應(yīng)用構(gòu)成了真正的威脅。
基于深度學(xué)習(xí)的網(wǎng)絡(luò)威脅
全球數(shù)字化時(shí)代才剛開(kāi)始，黑客的攻擊卻存在已久，尤其是近年來(lái)的黑客襲擊事件給網(wǎng)民們留下深刻陰影。2007年，熊貓燒香病毒肆虐中國(guó)網(wǎng)絡(luò)；2008年，Conficker蠕蟲(chóng)病毒感染數(shù)千萬(wàn)臺(tái)電腦；2010年，百度遭史上最嚴(yán)重的黑客襲擊；2014年，索尼影業(yè)遭襲導(dǎo)致董事長(zhǎng)下臺(tái)；2015年，美國(guó)政府遭襲，雇員資料外泄……
當(dāng)人工智能技術(shù)的研究風(fēng)聲迭起時(shí)，也就是網(wǎng)絡(luò)世界戰(zhàn)爭(zhēng)的白熱化階段。對(duì)于黑客利用人工智能技術(shù)進(jìn)行攻擊的可能性預(yù)測(cè)，或許會(huì)幫助我們?cè)诰W(wǎng)絡(luò)世界的攻守里達(dá)到更好效果。
目前，網(wǎng)絡(luò)威脅的大部分惡意軟件都是通過(guò)人工方式生成的，即黑客會(huì)編寫(xiě)腳本來(lái)生成電腦病毒和特洛伊木馬，并利用Rootkit、密碼抓取和其他工具協(xié)助分發(fā)和執(zhí)行。
那么，機(jī)器學(xué)習(xí)如何幫助創(chuàng)建惡意軟件？

機(jī)器學(xué)習(xí)方法是用作檢測(cè)惡意可執(zhí)行文件的有效工具，利用從惡意軟件樣本中檢索到的數(shù)據(jù)（如標(biāo)題字段、指令序列甚至原始字節(jié)）進(jìn)行學(xué)習(xí)可以建立區(qū)分良性和惡意軟件的模型。然而分析安全情報(bào)能夠發(fā)現(xiàn)，機(jī)器學(xué)習(xí)和深度神經(jīng)網(wǎng)絡(luò)存在被躲避攻擊（也稱(chēng)為對(duì)抗樣本）所迷惑的可能。

2017年，第一個(gè)公開(kāi)使用機(jī)器學(xué)習(xí)創(chuàng)建惡意軟件的例子在論文《Generating Adversarial Malware Examples for Black-Box Attacks Based on GAN》中被提出。惡意軟件作者通常無(wú)法訪問(wèn)到惡意軟件檢測(cè)系統(tǒng)所使用的機(jī)器學(xué)習(xí)模型的詳細(xì)結(jié)構(gòu)和參數(shù)，因此他們只能執(zhí)行黑盒攻擊。論文揭示了如何通過(guò)構(gòu)建生成對(duì)抗網(wǎng)絡(luò)（generative adversarial network, GAN）算法來(lái)生成對(duì)抗惡意軟件樣本，這些樣本能夠繞過(guò)基于機(jī)器學(xué)習(xí)的黑盒檢測(cè)系統(tǒng)。

如果網(wǎng)絡(luò)安全企業(yè)的人工智能可以學(xué)習(xí)識(shí)別潛在的惡意軟件，那么黑客就能夠通過(guò)觀察學(xué)習(xí)防惡意軟件做出決策，使用該知識(shí)來(lái)開(kāi)發(fā)“最小程度被檢測(cè)出”的惡意軟件。
2017 DEFCON會(huì)議上，安全公司Endgame透露了如何使用Elon Musk的OpenAI框架生成定制惡意軟件，其所創(chuàng)建的惡意軟件無(wú)法被安全引擎檢測(cè)發(fā)現(xiàn)。Endgame的研究看起來(lái)是有惡意的二進(jìn)制文件，通過(guò)改變部分代碼，改變后的代碼可以躲避防病毒引擎檢測(cè)。
數(shù)據(jù)投毒
不論是人工智能的對(duì)抗性攻擊還是黑客基于深度學(xué)習(xí)的惡意軟件逃逸，都屬于人工智能的輸入型攻擊（Input Attacks），即針對(duì)輸入人工智能系統(tǒng)的信息進(jìn)行操縱，從而改變?cè)撓到y(tǒng)的輸出。從本質(zhì)上看，所有的人工智能系統(tǒng)都只是一臺(tái)機(jī)器，包含輸入、計(jì)算、輸出三環(huán)節(jié)。攻擊者通過(guò)操縱輸入，就可以影響系統(tǒng)的輸出。
而數(shù)據(jù)投毒便屬于典型的污染型攻擊（Poisoning Attacks），即在人工智能系統(tǒng)的創(chuàng)建過(guò)程中偷偷做手腳，從而使該系統(tǒng)按照攻擊者預(yù)設(shè)的方式發(fā)生故障。這是因?yàn)槿斯ぶ悄芡ㄟ^(guò)深度學(xué)習(xí)“學(xué)會(huì)”如何處理一項(xiàng)任務(wù)的唯一根據(jù)就是數(shù)據(jù)，因此污染這些數(shù)據(jù)，通過(guò)在訓(xùn)練數(shù)據(jù)里加入偽裝數(shù)據(jù)、惡意樣本等破壞數(shù)據(jù)的完整性，進(jìn)而導(dǎo)致訓(xùn)練的算法模型決策出現(xiàn)偏差，就可以污染人工智能系統(tǒng)。
數(shù)據(jù)中毒的一個(gè)示例就包括訓(xùn)練面部識(shí)別認(rèn)證系統(tǒng)以驗(yàn)證未授權(quán)人員的身份。在2018年Apple推出新的基于神經(jīng)網(wǎng)絡(luò)的Face ID身份驗(yàn)證技術(shù)之后，許多用戶開(kāi)始測(cè)試其功能范圍。正如蘋(píng)果已經(jīng)警告的那樣，在某些情況下，該技術(shù)未能說(shuō)出同卵雙胞胎之間的區(qū)別。
但其中一個(gè)有趣的失敗是兩兄弟的情況，他們不是雙胞胎，看起來(lái)不一樣，但年齡相差多年。這對(duì)兄弟最初發(fā)布了一段視頻，展示了如何用Face ID解鎖iPhone X。但后來(lái)他們發(fā)布了一個(gè)更新，說(shuō)明了他們實(shí)際上通過(guò)使用他們的面部訓(xùn)練其神經(jīng)網(wǎng)絡(luò)來(lái)欺騙Face ID。當(dāng)然，這是一個(gè)無(wú)害的例子，但很容易看出同一模式如何為惡意目的服務(wù)。
中國(guó)信息通信研究院安全研究所發(fā)布的《人工智能數(shù)據(jù)安全白皮書(shū)（2019年）》也提到了這一點(diǎn)。白皮書(shū)指出，人工智能自身面臨的數(shù)據(jù)安全風(fēng)險(xiǎn)包括：訓(xùn)練數(shù)據(jù)污染導(dǎo)致人工智能決策錯(cuò)誤；運(yùn)行階段的數(shù)據(jù)異常導(dǎo)致智能系統(tǒng)運(yùn)行錯(cuò)誤（如對(duì)抗樣本攻擊）；模型竊取攻擊對(duì)算法模型的數(shù)據(jù)進(jìn)行逆向還原等。

值得警惕的是，人工智能與實(shí)體經(jīng)濟(jì)深度融合，醫(yī)療、交通、金融等行業(yè)對(duì)于數(shù)據(jù)集建設(shè)的迫切需求，使得在訓(xùn)練樣本環(huán)節(jié)發(fā)動(dòng)網(wǎng)絡(luò)攻擊成為最直接有效的方法，潛在危害巨大。比如在軍事領(lǐng)域，通過(guò)信息偽裝的方式可誘導(dǎo)自主性武器啟動(dòng)或攻擊，可能帶來(lái)毀滅性風(fēng)險(xiǎn)。

人工智能時(shí)代的攻與防
未來(lái)的機(jī)器時(shí)代是道高一尺魔高一丈的世界，而今天的網(wǎng)絡(luò)安全問(wèn)題早已突破了虛擬與現(xiàn)實(shí)的邊界。國(guó)家與地域的邊界，成為廣泛存在的全球性問(wèn)題。網(wǎng)絡(luò)安全是一個(gè)龐大的系統(tǒng)工程，構(gòu)建這個(gè)系統(tǒng)則需要以全球的深度連接為基礎(chǔ)。
此外，網(wǎng)絡(luò)安全要以人與人工智能的共同值守為特征。隨著各類(lèi)互聯(lián)網(wǎng)技術(shù)的爆發(fā)式成長(zhǎng)，網(wǎng)絡(luò)攻擊的手段也不斷豐富和升級(jí)，但是唯一不變的就是變化本身。防御網(wǎng)絡(luò)攻擊，必須具備快速識(shí)別、快速反應(yīng)、快速學(xué)習(xí)的能力。
如果是病毒威脅入侵，用機(jī)器學(xué)習(xí)檢測(cè)的方法，勢(shì)必很難解決。因此，只有在綜合的技術(shù)運(yùn)用下，理解信息泄露及其中的關(guān)聯(lián)，弄清黑客如何入侵系統(tǒng)，攻擊的路徑是什么，又是哪個(gè)環(huán)節(jié)出現(xiàn)了問(wèn)題。找出這些關(guān)聯(lián)，或者從因果關(guān)系圖譜角度進(jìn)行分析，增加分析端的可解釋性，才有可能做到安全系統(tǒng)的突破。
對(duì)抗網(wǎng)絡(luò)安全的風(fēng)險(xiǎn)還需要擁有智慧的動(dòng)態(tài)防御能力，網(wǎng)絡(luò)安全的本質(zhì)是攻防之間的對(duì)抗。在傳統(tǒng)的攻防模式中，主動(dòng)權(quán)往往掌握在網(wǎng)絡(luò)攻擊一方的手中，安全防御力量只能被動(dòng)接招。但在未來(lái)的安全生態(tài)之下，各成員之間通過(guò)數(shù)據(jù)與技術(shù)互通、信息共享，實(shí)現(xiàn)彼此激發(fā)，自動(dòng)升級(jí)安全防御能力甚至一定程度的預(yù)判威脅能力。
當(dāng)然，網(wǎng)絡(luò)安全本來(lái)就是一個(gè)高度對(duì)抗、動(dòng)態(tài)發(fā)展的領(lǐng)域，這也給殺毒軟件領(lǐng)域開(kāi)辟了一個(gè)藍(lán)海市場(chǎng)。人工智能殺毒行業(yè)面臨著重大的發(fā)展機(jī)遇，殺毒軟件行業(yè)首先應(yīng)該具有防范人工智能病毒的意識(shí)，然后在軟件技術(shù)和算法安全方面重視信息安全和功能安全問(wèn)題。

以現(xiàn)實(shí)需求為牽引，以高新技術(shù)來(lái)推動(dòng)，就有可能將人工智能病毒查殺這個(gè)嚴(yán)峻挑戰(zhàn)轉(zhuǎn)變?yōu)闅⒍拒浖袠I(yè)發(fā)展的重大契機(jī)。