【51CTO.com快譯】以色列本古里安（Ben Gurion）國際機(jī)場是世界上安保措施最嚴(yán)密的機(jī)場之一。它以多管齊下的安全體系而聞名。從辦公室一路到機(jī)場，你置身于機(jī)場的眾多攝像頭當(dāng)中。道路蜿蜒幾公里到航站大樓；你在開車時，安保系統(tǒng)有足夠時間來分析你的身份。一旦發(fā)覺有危險的跡象，你會被攔截。計算機(jī)系統(tǒng)中的行為異常分析系統(tǒng)采用同樣的工作原理。實施這些系統(tǒng)獲得了出色的防御效果。犯罪分子在執(zhí)行某些命令時，一套基于人工智能的系統(tǒng)可以抵御任何破壞，并查明入侵者的身份。

人工智能在網(wǎng)絡(luò)安全界運用的情況并不那么樂觀。黑客與時俱進(jìn)，也在采用人工智能。美國情報部門聲稱，人工智能實際上在“助紂為虐”，幫助網(wǎng)絡(luò)犯罪分子。

不妨看看黑客們在哪幾個方面運用機(jī)器學(xué)習(xí)，搞清楚應(yīng)采取哪些網(wǎng)絡(luò)安全措施。

1.收集數(shù)據(jù)

每一次攻擊都是從收集數(shù)據(jù)開始的。黑客收集更多信息，盡量提高得逞的可能性。他們運用幾種分類和聚類方法，對用戶加以分類，并從中選出潛在的受害者。這項任務(wù)可以實現(xiàn)自動化。

你如何保護(hù)自身、避免成為受害者？不用說，你的個人信息切忌成為公開數(shù)據(jù)源，所以不應(yīng)該在社交網(wǎng)絡(luò)上發(fā)布大量的個人信息。

2.網(wǎng)絡(luò)釣魚

黑客可以訓(xùn)練神經(jīng)網(wǎng)絡(luò)，撰寫以假亂真的垃圾郵件。為了做到這點，他們需要知道發(fā)件人的行為。這可以借助網(wǎng)絡(luò)釣魚來達(dá)成，網(wǎng)絡(luò)釣魚讓黑客易于訪問和獲取個人信息。BlackHat針對Twitter上自動化魚叉式網(wǎng)絡(luò)釣魚的研究證明了這個想法。這種工具可以將網(wǎng)絡(luò)釣魚活動的成功率最多提高30%，這比傳統(tǒng)自動化技術(shù)高出一倍，類似人工網(wǎng)絡(luò)釣魚。

你如何保護(hù)自身、避免成為受害者？你只需向發(fā)件人發(fā)一封郵件，提個問題。然而黑客可能變得更狡猾了，會分析你的郵件，作出響應(yīng)的回應(yīng)，好讓你誤以為帳戶沒有中招?，F(xiàn)在的系統(tǒng)做得并不先進(jìn)，但過不了多久，智能聊天機(jī)器人就能像老朋友那樣與你溝通。

最實用的建議就是通過其他渠道或聊天工具詢問用戶：TA是不是發(fā)了郵件。對方帳戶同時中招的可能性非常小。

3.語音偽造

像Lyrebird這些新一代基于人工智能的公司可以制作假的音頻文件和視頻來模擬任何語音。它可以幫助不法分子實施社會工程學(xué)伎倆。

坦率地說，目前似乎沒有任何辦法可以保護(hù)你、遠(yuǎn)離這些詭計，因為要是相信所寫或所說的一切都是虛假的，你對收到的所有信息就毫無信任可言。

4.驗證碼繞過

簡單的驗證碼測試可以實現(xiàn)自動通過。一些計算機(jī)聲稱準(zhǔn)確率超過98%。一篇題為《我不是人類：擊敗谷歌的reCAPTCHA驗證碼系統(tǒng)》的論文（https://www.blackhat.com/docs/asia-16/materials/asia-16-Sivakorn-Im-Not-a-Human-Breaking-the-Google-reCAPTCHA-wp.pdf）見諸于BlackHat大會上。

你如何保護(hù)自身？需要對象識別驗證碼已死。如果你為自己的網(wǎng)站選擇了驗證碼，最好試一試MathCaptcha或替代方案。

5.密碼蠻力破解

密碼蠻力破解是網(wǎng)絡(luò)犯罪分子運用機(jī)器學(xué)習(xí)的另一個方面。你可能聽說過神經(jīng)網(wǎng)絡(luò)基于經(jīng)過訓(xùn)練的文本來生成文本。比如說，你可以為神經(jīng)網(wǎng)絡(luò)饋入說唱歌手痞子阿姆的歌曲列表，它就會創(chuàng)作出新的歌曲。

同樣的想法可應(yīng)用于生成密碼。麻省理工學(xué)院（MIT）的研究人員采用這種方法運用于密碼，獲得了相當(dāng)好的效果（https://courses.csail.mit.edu/6.857/2017/project/13.pdf）。最近的一篇論文中提到了一種名為“PassGAN”的方法，它就利用GAN（生成式對抗網(wǎng)絡(luò)）來生成密碼。最近4IQ聲稱發(fā)現(xiàn)了一個內(nèi)有14億個密碼的數(shù)據(jù)庫后，網(wǎng)絡(luò)犯罪分子覺得這個想法更有希望了。

建議你使用復(fù)雜密碼，別使用簡單密碼。避免數(shù)據(jù)庫中的那些常見密碼。唯一安全的隨機(jī)密碼是用縮短的句子生成的密碼，并夾雜有特殊字符。

6.惡意軟件

2017年，北京大學(xué)提出了人工智能用于制作惡意軟件的第一個公之于眾的例子，當(dāng)時幾位研究人員搞出了惡意軟件GAN（MalGAN）網(wǎng)絡(luò)（https://arxiv.org/pdf/1702.05983.pdf）。

這酷似現(xiàn)實：病毒突變，導(dǎo)致新的流感大爆發(fā)。這里重要的是，關(guān)注健康的人不太生病。計算機(jī)方面同樣如此。做好平常衛(wèi)生（換而言之從不訪問不安全網(wǎng)站）可以讓人在大多數(shù)的時間遠(yuǎn)離病毒。

7.網(wǎng)絡(luò)犯罪自動化

高明的黑客將機(jī)器學(xué)習(xí)運用于其他方面。在某些犯罪活動中，用到所謂的Hivenet，這是指智能僵尸網(wǎng)絡(luò)。如果網(wǎng)絡(luò)犯罪分子手動管理僵尸網(wǎng)絡(luò)，Hivenet會根據(jù)情況而改變行為。 它們好比駐留在設(shè)備中的寄生蟲，會決定接下來誰利用受害者的資源。

你需要更改默認(rèn)密碼保護(hù)物聯(lián)網(wǎng)設(shè)備遠(yuǎn)離大多數(shù)攻擊，這一點極其重要。

結(jié)束語

上面只是黑客運用機(jī)器學(xué)習(xí)的幾個例子而已。

除了使用更安全的密碼，瀏覽第三方網(wǎng)站要更慎重時，我只能建議要注意基于人工智能的安全系統(tǒng)，確保比不法分子領(lǐng)先一步。一兩年前，所有人對于使用人工智能還持有懷疑的態(tài)度。如今的研究結(jié)果及實際產(chǎn)品證明，人工智能確實可行，并已站穩(wěn)了腳跟。

原文標(biāo)題：Seven Ways Cybercriminals Can Use Machine Learning，作者：Alexander Polyakov

【51CTO譯稿，合作站點轉(zhuǎn)載請注明原文譯者和出處為51CTO.com】