2015黑帽大会：机器学习安全需增加多样性

 与扫描已知签名的系统相比，机器学习可更好地检测恶意软件。在2015年黑帽大会上，研究人员称若机器学习增加多样性，则可进一步拉开这个差距。

[[145420]]

在2015年黑帽大会上，Northrop Grumman公司子公司的两位研究人员认为，虽然供应商将机器学习整合到其产品，但他们没有使用站点特有的训练数据来区分一个部署与另一个部署，这就让他们错失了让更广泛安全生态系统变得更强大的机会。

机器学习专家Bob Klein正在为Northop子公司Acuity Solutions研究被称为BluVector的产品，他将他们的概念称为“移动防御”，他解释说，这好比在一个村庄，锁匠向所有人销售相同类型的锁，这样安全性非常低。小偷只需要拿到一把锁，然后花时间学习如何解锁，之后每家每户都可以让他行窃了。

Klein和BluVector工程师Ryan Petes认为，对于机器学习系统，使用相同的数据来训练系统会产生功能相同的“锁”，无论如何部署，安全性都不会很高。

“现实情况是，与基于签名的产品相比，机器学习系统让攻击者获得两大优势，”Klein称，“第一个优势是他们可以非常确定这种模式没有被改变，因为他们获得了软件的副本;第二个优势是所有目标都是使用相同的模式。如果你可以攻破该模式的一个副本，你就可以攻破所有副本。”

“而现在真正不同的是，村庄里出现一个新的锁匠，他以‘机器学习’的品牌制造新的真正强大的锁，这些锁要比旧锁更好，它们更具强大，更加不容易被撬锁。但你猜怎么着，他也在卖相同的锁。”

这两名研究人员探讨了为机器学习安全模式使用略为不同数据集的作用。他们进行了基准测试，其中他们为容易检测到的恶意软件样本创建了不同的排列，然后对每个排列进行测试，看看是否能通过机器学习系统，这个过程不断重复，直到1900次迭代和15小时后，有个排列绕过了该系统。

在这一点上，核心问题出现了：在这种模式的不同部署中可否引入细微变化而让有些部署可捕捉一些排列(应该说，错过其他排列)?

这些变化理论上来自供应商或通过其他机制，但这些研究人员感兴趣的是使用该系统部署所在站点的数据，他们将这称为“就地”学习。对于就地学习，令人兴奋的地方并不是我们允许人们购买不同的锁，而是我们实际上让每个人变成锁匠。

而且，我们完全可以添加本地数据来确保更好的检测。在某些情况下，例如根据定义不能在供应商最初创建机器学习模式时使用的数据集中的机密文档，就会添加全新的检测领域。在Klein和Peters的测试中，这种排列模式会看到检测方面的显著改进。

具体来说，当四组有所不同的数据集用于训练时，攻击文件的模糊版本被发现绕过机器学习安全工具，而会被四个不同训练模式的另外三个所检测。虽然事实是其中有一个模式没有检测到该攻击，但该系统也没有部署“移动防御”做法。

黑帽大会上的与会者对“移动防御”的概念很感兴趣，他们提出了在部署时可能出现的潜在实际问题。Qualcomm公司研究工程师Anil Gathala表示，“他们的问题是如何生成几乎一样好但与基础模型差不多的分类器，我认为这不是一个简单的问题。”

还有其他问题，如果你从供应商购买了一个东西，但你的邻居在得到这个锁的排列后阻止了攻击，而你与其不同排列则没有攻击，那么，问题是，如果你提供了数据让你的模式差异化，这个供应商是否应承担责任?即使这个做法整体更好，是否有统计数据证明该系统的优越性让你感觉更好?

“在这一点，我们试图从攻击者的角度来考虑，”Klein称，“如果你受到攻击，你要安装一把不同的锁，这会令人沮丧。这种移动防御对大家更好，但所有人都使用相同的模式真的很危险。”