دانشمندان IBM دست به توسعه DeepLocker، بدافزار اثبات مفهوم مبتنی بر هوش مصنوعی، زدند.
منبع : مرکز ماهر
دانشمندان IBM دست به توسعه DeepLocker، بدافزار اثبات مفهوم مبتنی بر هوش مصنوعی، زدند.
به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، به تازگی محققان امنیتی و هوش مصنوعی شرکت IBM یک بدافزار اثبات مفهوم را توسعه دادهاند. DeepLocker به خودی خود یک payload مخرب ندارد، بلکه هدف اصلی آن پنهانسازی بدافزار و در امان ماندن آن از آنتیویروسها و تحلیلگران بدافزار است. این بدافزار یک روش نوین پنهانسازی با استفاده از مدلهای هوش مصنوعی ارائه دادهاست.
هدف اصلی توسعهدهندگان این بدافزار حمله و یا تخریب نبودهاست، بلکه هدف نشان دادن این قضیه به توسعهدهندگان سیستمهای امنیتی بودهاست که بهزودی بدافزارهایی مبتنیبر هوش مصنوعی گسترش خواهندیافت و مکانیزمها و ابزارهای موجود، توانایی مقابله با آنها را ندارند. از این رو محققان و شرکتهای امنیتی باید به فکر راهکارهای جدیدی برای مقابله با اینگونه بدافزارها باشند.
بدافزار DeepLocker روش پنهانسازی خود را کاملا متفاوت از دیگر بدافزارهای موجود ارائه کردهاست. این بدافزار برای پنهان ماندن از دست آنتیویروسها و فایروالها، خود را درون نرمافزارهای سالم نظیر نرمافزار ویدئوکنفرانس پنهانسازی میکند. این شیوه قبلا هم توسط بسیاری از بدافزارها استفاده شدهاست و چیز جدیدی نیست.
نکته متمایزکننده در رابطه با این بدافزار، استفاده از هوش مصنوعی برای فعالسازی شروط حمله است که مهندسی معکوس آن را بهشدت سخت و در مواردی فعلا غیر ممکن کردهاست.
Payload مخرب این بدافزار فقط در صورتی قفلگشایی خواهدشد که شرایط هدف برقرار شود. این شرایط توسط یک مدل آموزشدیده هوش مصنوعی شبکه عصبی عمیق بررسی میشود.
مدل هوش مصنوعی تولیدشده به صورت عادی عمل خواهدکرد و فقط در صورتی که شروط موردنظر بر روی سیستم قربانی موجود باشد، فعالیت مخرب را آغاز میکند. در واقع این شبکه عصبی کلید رمزگشایی قسمت مخرب را تولید میکند. برای تشخیص هدف، این بدافزار از مشخصههای مختلفی استفاده میکند. نظیر ویژگیهای بصری، صوتی، موقعیت جغرافیایی و ویژگیهای سطح سیستم.
برای تولید یک مدل هوش مصنوعی نیاز به استفاده از الگوریتمهای یادگیری ماشین داریم. تفاوت الگوریتمهای عادی و الگوریتمهای هوش مصنوعی به این صورت است که به جای تعریف فرمول دقیق و یا شروط دقیق در یک الگوریتم، این الگوریتمها خود الگو موجود در دادهها را آموزش میبینند. برای تولید یک مدل هوش مصنوعی، دو فاز آموزش و تست نیاز است. در فاز آموزش تعدادی نمونه آموزشی که هرکدام دارای یکسری ویژگی هستند به ورودی الگوریتم داده میشود. همچنین خروجی صحیح هریک از ورودیها نیز به آن مدل داده میشود. مدل بهوسیله الگوریتمهای یادگیری ماشین، نحوه تولید خروجیها از ورودیهای دادهشده را فرامیگیرد و مدل را تولید میکند. سپس میتوان به مدل تولیدشده یک داده دیدهنشده و تازه تزریق کرد و خروجی احتمالی آن را مشاهده کرد.
به عنوان مثال در مبحث تشخیص بدافزار با استفاده از هوش مصنوعی، یک مدل یادگیری ماشینی به این صورت آموزش دادهمیشود: تعدادی فایل سالم و تعدادی فایل مخرب بهعنوان نمونه آموزشی انتخاب میشوند. سپس از هریک از این فایلها تعدادی ویژگی به روشهای مختلف استخراج میشود. این ویژگیها بهعنوان ورودی به الگوریتم داده شده و خروجی الگوریتم مخرب بودن یا سالم بودن نمونه خواهدبود. پس از اینکه مدل آموزش دیدهشد میتوان یک فایل جدید را به مدل داد تا مخرب یا سالم بودن آن را تشخیص دهد.
شبکه عصبی معمولی مجموعهای از گرههایی است که لایه به لایه قرار گرفتهاند و به یکدیگر متصل هستند. هر شبکه یک لایه ورودی و یک لایه خروجی و صفر یا تعداد بیشتری لایه میانی یا مخفی دارد. یالهای متصلکننده گرهها دارای وزن هستند که این وزنها در مقدار گرههای سمت چپ ضرب شده و تولید مقدار جدید برای گره سمت راست یال را میکند. این عملیات تا تولید مقدار برای گرههای لایه خروجی ادامه پیدا میکند.
شبکه عصبی عمیق یک شبکه عصبی است که تعداد لایههای درونی آن بسیار زیادتر از یک شبکه عصبی معمولی است. تفاوت این دو نوع شبکه را در شکل زیر مشاهده میکنید: در سالهای اخیر استفاده از این نوع شبکه محبوبیت بسیاری پیدا کردهاست. طرز کار شبکه به این صورت است که تعداد ویژگی بهعنوان ورودی از هر نمونه میگیرد. همچنین خروجی موردنظر هم به شبکه تحویل داده میشود. شبکه با توجه به ورودیها و خروجیهای متناظر آموزش میبیند و یک مدل تولید میکند. از این به بعد با دادن یک ورودی جدید میتوان خروجی احتمالی را از مدل استخراج کرد.
DeepLocker فرایند فعالسازی فاز حمله خود را که شامل قفلگشایی محتوای مخرب و اجرای آن میشود بهوسیله یک مدل آموزشدیده شبکه عصبی عمیق انجام میدهد. این مدل کار تحلیلگران و آنتیویروس را بسیار سخت میکند، زیرا به جای استفاده از تعدادی شرط رایج به صورت if-then-else در کد خود از یک مدل یادگیری ماشینی استفاده کردهاست. مدل موردنظر تنها تعداد گره و یال وزندار است که هیچ دیدی از نحوه عملکرد درونی خود به ما نمیدهد. پس تحلیلگران حتی نمیتوانند بهطور کامل متوجه حالتهایی شوند که بدافزار در آن فعال خواهدشد.
در واقع برای تحلیلگران بدافزار دو چیز مهم است: شرایط وقوع یک حمله سایبری و payload مخرب آن. DeepLocker هر دوی آن را مورد هدف قرار داده است. شرایط حمله به صورت یک جعبه سیاه در آمده است و payload نیز در صورت نامعلومی قفلگشایی خواهد شد. پنهانسازی دسته مورد حمله: چه اشخاصی و یا سازمانهایی قرار است مورد حمله قرار گیرند. پنهانسازی نمونههای مورد حمله: مشخص نیست که نمونه موردنظر چه شخص یا سازمانی خواهدبود. پنهانسازی محتوای بدافزار: مشخص نیست که حمله نهایی چگونه شکل خواهد گرفت. تیم توسعه DeepLocker، برای نشان دادن قابلیتهای منحصربهفرد این بدافزار از بدافزار معروف WannaCry به عنوان payload بدافزار استفاده کردهاند و آن را درون یک نرمافزار ویدئوکنفرانس سالم جای دادهاند. شرایط حمله نیز تشخیص چهره فرد موردنظر است. یعنی فقط در صورتی که فرد موردنظر در ویدئوکنفرانس ظاهر شود کامپیوتر، مورد حمله قرار میگیرد.
درنهایت هدف تیم تحقیقاتی امنیتی IBM نه تولید یک بدافزار مخرب، بلکه موارد زیر بودهاست: - بالا بردن آگاهی از تهدیدات هوش مصنوعی در بدافزار و اینکه این روشها به سرعت در بین بدافزارنویسان محبوب خواهندشد. - نشان دادن اینکه چگونه این روشها میتواند سیستمهای دفاعی امروزه را دور بزند. - ارائه بینش در مورد چگونگی کاهش خطرات و اعمال اقدامات مناسب کافی