與掃描已知簽名的系統(tǒng)相比，機器學習可更好地檢測惡意軟件。在2015年黑帽大會上，研究人員稱若機器學習增加多樣性，則可進一步拉開這個差距。

[[145420]]

在2015年黑帽大會上，Northrop Grumman公司子公司的兩位研究人員認為，雖然供應(yīng)商將機器學習整合到其產(chǎn)品，但他們沒有使用站點特有的訓練數(shù)據(jù)來區(qū)分一個部署與另一個部署，這就讓他們錯失了讓更廣泛安全生態(tài)系統(tǒng)變得更強大的機會。

機器學習專家Bob Klein正在為Northop子公司Acuity Solutions研究被稱為BluVector的產(chǎn)品，他將他們的概念稱為“移動防御”，他解釋說，這好比在一個村莊，鎖匠向所有人銷售相同類型的鎖，這樣安全性非常低。小偷只需要拿到一把鎖，然后花時間學習如何解鎖，之后每家每戶都可以讓他行竊了。

Klein和BluVector工程師Ryan Petes認為，對于機器學習系統(tǒng)，使用相同的數(shù)據(jù)來訓練系統(tǒng)會產(chǎn)生功能相同的“鎖”，無論如何部署，安全性都不會很高。

“現(xiàn)實情況是，與基于簽名的產(chǎn)品相比，機器學習系統(tǒng)讓攻擊者獲得兩大優(yōu)勢，”Klein稱，“第一個優(yōu)勢是他們可以非常確定這種模式?jīng)]有被改變，因為他們獲得了軟件的副本;第二個優(yōu)勢是所有目標都是使用相同的模式。如果你可以攻破該模式的一個副本，你就可以攻破所有副本。”

“而現(xiàn)在真正不同的是，村莊里出現(xiàn)一個新的鎖匠，他以‘機器學習’的品牌制造新的真正強大的鎖，這些鎖要比舊鎖更好，它們更具強大，更加不容易被撬鎖。但你猜怎么著，他也在賣相同的鎖。”

這兩名研究人員探討了為機器學習安全模式使用略為不同數(shù)據(jù)集的作用。他們進行了基準測試，其中他們?yōu)槿菀讬z測到的惡意軟件樣本創(chuàng)建了不同的排列，然后對每個排列進行測試，看看是否能通過機器學習系統(tǒng)，這個過程不斷重復，直到1900次迭代和15小時后，有個排列繞過了該系統(tǒng)。

在這一點上，核心問題出現(xiàn)了：在這種模式的不同部署中可否引入細微變化而讓有些部署可捕捉一些排列(應(yīng)該說，錯過其他排列)?

這些變化理論上來自供應(yīng)商或通過其他機制，但這些研究人員感興趣的是使用該系統(tǒng)部署所在站點的數(shù)據(jù)，他們將這稱為“就地”學習。對于就地學習，令人興奮的地方并不是我們允許人們購買不同的鎖，而是我們實際上讓每個人變成鎖匠。

而且，我們完全可以添加本地數(shù)據(jù)來確保更好的檢測。在某些情況下，例如根據(jù)定義不能在供應(yīng)商最初創(chuàng)建機器學習模式時使用的數(shù)據(jù)集中的機密文檔，就會添加全新的檢測領(lǐng)域。在Klein和Peters的測試中，這種排列模式會看到檢測方面的顯著改進。

具體來說，當四組有所不同的數(shù)據(jù)集用于訓練時，攻擊文件的模糊版本被發(fā)現(xiàn)繞過機器學習安全工具，而會被四個不同訓練模式的另外三個所檢測。雖然事實是其中有一個模式?jīng)]有檢測到該攻擊，但該系統(tǒng)也沒有部署“移動防御”做法。

黑帽大會上的與會者對“移動防御”的概念很感興趣，他們提出了在部署時可能出現(xiàn)的潛在實際問題。Qualcomm公司研究工程師Anil Gathala表示，“他們的問題是如何生成幾乎一樣好但與基礎(chǔ)模型差不多的分類器，我認為這不是一個簡單的問題。”

還有其他問題，如果你從供應(yīng)商購買了一個東西，但你的鄰居在得到這個鎖的排列后阻止了攻擊，而你與其不同排列則沒有攻擊，那么，問題是，如果你提供了數(shù)據(jù)讓你的模式差異化，這個供應(yīng)商是否應(yīng)承擔責任?即使這個做法整體更好，是否有統(tǒng)計數(shù)據(jù)證明該系統(tǒng)的優(yōu)越性讓你感覺更好?

“在這一點，我們試圖從攻擊者的角度來考慮，”Klein稱，“如果你受到攻擊，你要安裝一把不同的鎖，這會令人沮喪。這種移動防御對大家更好，但所有人都使用相同的模式真的很危險。”