下一个大威胁:AI恶意软件

这是一个轻描淡写地说,今天的网络对手和网络威胁达到空前水平的复杂性。恶毒的条目和他们的创造者,并将继续设计uber-complex恶意软件,似乎将自己的情报。事实上,人工智能的恶意软件是在您附近的一个系统。

威胁变形的能力,动态、实时地将提出一些有趣的问题随着越来越多的对象成为自治,尤其是物联网/一切(物联网/ E)。有一个新的威胁,正在开发的智能和驱动的超级程序员合作想办法妥协系统——从政府。这些个人和团体看到潜在的巨大收益从侵入所有类型的系统。

以外的行业,试图说服他们,网络威胁的性质野兽是比他们想象的要糟糕得多可以很难。许多终端用户不知道如何复杂的网络已成为威胁,和面对物联网/一切(物联网/ E),这对网络保安织机作为一个真正的问题。教育是成功的一半。包装公司威胁安全毯需要大量的资源。

“最好的防御是一个多层次的防御,结合不同的技术,有不同的目的,使用能力和观察你所有的环境分析和监控工具,”鲁伊·塞拉说,产品经理在导引亡灵之神网络。

这种防御是复杂和resource-draining。但组织认识到国防的成本,远低于损害控制的成本。

的变形
之一,如果不是最威胁技术处理是威胁不断变形,恶意软件变种。变形病毒改变代码的外观,同时保持病毒的功能完好无损。变形病毒使用一些代码混淆技术包括指令重新排序,数据重新排序,子程序内联,子程序概述,寄存器重命名,代码排列,指令替换,和垃圾代码插入。图1显示了不同的变形病毒的签名。

图1:病毒代码如何演变的图形示例。

这意味着一个静态防御是无用的,因为确定的威胁的时候,尝试对策或中和发现形式通常会是无效的。恶意软件已经假设另一种形式。的唯一强大的国防是对策能够“变形”威胁,预测其未来的形式。这是一个关键组成部分的威胁分析。

通常有两种类型的恶意软件有变质形式;多态和变质。多态的恶意软件使用多态引擎变异,但保持原始算法不变。从本质上讲,它改变了它的二进制代码在每次感染通过创建一个新文件可用,稍微修改,本身的副本。这种类型的恶意软件都有不同的模式与每个变形所以极难发现在正常的方法。

通常,多态代码会有加密的病毒程序的身体(EVB)和解密程序(VDR)。受感染的应用程序启动时,VDR解密EVB回到原来的形式和写代码将运行。一旦运行,该病毒对主机应用程序并将其添加到另一个脆弱。因为病毒的身体是没有改变,包含一些静态代码,它有一些可识别的组件。

变质的恶意软件重写每个迭代,这样的成功,每一个版本的代码与前一个不同。尽管永久更改代码,每个迭代的变质恶意软件功能相同的方式。系统中恶意软件停留的时间越长,产生更多的迭代和更复杂的迭代。

变质的代码创建更为复杂和困难。变质代码能够改变其代码和签名模式和经常使用多个转换技术,包括代码排列和扩张,收缩和垃圾代码插入,寄存器重命名。从本质上讲,它创造了一些变异的代码在某些类型的说明。这样的恶意软件需要更复杂的技术,如负启发式分析、仿真,使用虚拟化技术检测分析工具箱-所有组件的威胁。

破坏变形的代码
有一些非常尖端技术发达的提高酒吧对变形和恰当的威胁,他们是,实际上,令人印象深刻。这样一个系统从雷神,美国军队正在尝试,是一个变形算法称为Morphinator(字母变形网络资产限制对抗侦察)。需要一个页面具有一些非常恶毒的变形码超前思维方法。例如,根据信息在AFCEA信号杂志出版,Morphinator可以动态地修改和配置方面的网络,主机,和应用程序的方式被敌人察觉和不可预测,但仍可管理的网络管理员(称为网络操纵)。

初始原型将专注于应用IP地址和端口跳跃,就像使用扩频跳频阻止无线窃听。例如,一个IP地址分配给一个Windows机器可以切换到Linux机器,反之亦然,在一个正在进行的随机模式。同样地,应用程序将随机开关端口保持攻击者猜测。

另一个新时代的方法是智能数据操作由一家名为偶氮AI称为CogDat,即认知数据能力,创建智能,“自我意识”的数据。CogDat可以“感觉”自我保护的形势和自主采取行动——包括自我毁灭。该方法嵌入内部自我保护和情报数据本身。例如,如果CogDat数据检测被偷了,它可以自动收获当前环境信息并将其发送回一个指定的权威,然后自我毁灭。问题是,目标数据必须保存在CogDat数据格式。它还提供了数据保护好了。它动态地控制计算机过程而暴露敏感数据。

所以正在取得进展。然而,在工作时睡觉还不是一个好主意。小睡一会可以离开你的摆布一个零时场景在一个心跳。

对半导体行业的影响
有人可能会认为这是在虚拟平台上,但事实并非如此。事实证明,知识产权在网络窃贼的名单。根据亚当•文森特的首席执行官网络平方,大约四年前在中国黑客是针对中小企业在高新技术方面,高度创新的智能能源项目。不幸的是,这些小企业很少国防知识产权盗窃。文森特将它描述为类似于“试图把海豹突击队进入你的房子,如果他们想。洛克希德公司或波音公司资源来阻止这样的网络攻击,但创业等不。”

所以文森特和他同时代的人开发出了今天被称为威胁连接”技术的前提是建立在每个人都有一块拼图,但是直到你把碎片放在一起,一个不会看到它所代表的全貌,”他说。“技术合并的威胁,每个人都知道什么安全级别,所以我们可以做出更好的决定阻止它。”

这适用于数据和IP,半导体公司内部。但是硬件本身呢?有一些言论威胁智能算法可以放在IP,并集成到asic fpga和其他ICs。然而,目前仍处于概念阶段。有充分的理由。

“在微处理器级别,必须考虑如何应用算法,使用威胁情报,”文森特说。“虽然理论上是可以申请µpc威胁智能水平,它不是真的可能所需的程度还相当有效,有几个原因。

的主要挑战之一是威胁情报是一个不断发展的学科不断发展的敌人。它不像写算法,可以发现和破坏malwares以某种方式运行,然后将这些放入一个IP块集成到芯片的结构。代码与变形,反恶意软件的知识产权必须自我意识和发展挑战以往迭代的威胁。到目前为止,没有证据表明这种微处理器IP块存在。

然而,有希望在地平线上。一个变通方法被开发,是一个“设备”。“有可用高速基于硬件设备配置为寻找事情的组织中创建聚合分析生命周期威胁情报,”文森特说。情报意识到一个特定的技术是建立恶意软件被应用或试图行使指挥控制、高速硬件介入并开始寻找模式,已知的和可能的。

问题仍然存在是否会有某种功能的设备,或被集成在µpc级别。很可能随着时间的推移,硬件将允许这种深刻的I / O数据的审查,但性能必须足够快不慢下来一个系统。

结论
威胁情报是一个相当新的和复杂的区域,非常流畅。整体的概念很简单——把所有存在的威胁,和那些会存在,从所有可能的来源分析数据,并创建一个机器,可以告诉未来。实际上,威胁情报试图预测未来一个不断更新的过去。栈有利于它的可能性,做最好的尽职调查,但是,这是做的最好的受过教育的猜测。

卡巴斯基实验室安全研究员罗伯托·马丁内斯,总结说:“在威胁情报的一个关键元素是演员和对手的知识对各种组织可能有兴趣和动力。这些不是所有相同类型的对手,和可以不同的金融公司,一家能源公司、政府或私人公司。知识的拥有一个深井允许您创建策略和更适当的和有效的决策,导致一个更好的防御和保护。”

与任何新兴和发展技术,有些东西比别人更好地工作。威胁情报更有效比动态静态数据,尽管在这方面正在取得进展。它还比别人更好的适用于某些类型的数据,例如IP。
的一件事是非常清楚的,然而,是威胁的复杂性的数量级增长,行凶者的复杂性。实在是没有其他恶意软件处理的方法,除了聪明。展望未来,智能威胁评估、控制和中和不是的一种方式——它是唯一的办法。