Подготовка атаки на ИИ

Оригинал: AI Attack Staging

Злоумышленник использует свои знания о целевой системе и доступ к ней, чтобы адаптировать атаку.

Подготовка атаки на ИИ включает техники, которые злоумышленники используют для подготовки атаки на целевую ИИ-модель. Такие техники могут включать обучение прокси-моделей, отравление целевой модели и создание состязательных данных для подачи в целевую модель. Некоторые из этих техник могут выполняться в офлайн-режиме, поэтому им трудно противодействовать. Эти техники часто используются для достижения конечной цели злоумышленника.

Техники

AML.T0005Создание прокси-модели ИИ AML.T0005.000Обучение прокси-модели на собранных ИИ-артефактахПодтехника AML.T0005.000Обучение прокси-модели на собранных ИИ-артефактахПодтехника AML.T0005.001Обучение прокси-модели через репликациюПодтехника AML.T0005.001Обучение прокси-модели через репликациюПодтехника AML.T0005.002Использование предварительно обученной моделиПодтехника AML.T0005.002Использование предварительно обученной моделиПодтехника AML.T0018Манипуляция ИИ-моделью AML.T0018.000Отравление ИИ-моделиПодтехника AML.T0018.000Отравление ИИ-моделиПодтехника AML.T0018.001Изменение архитектуры ИИ-моделиПодтехника AML.T0018.001Изменение архитектуры ИИ-моделиПодтехника AML.T0018.002Встраивание вредоносного ПОПодтехника AML.T0018.002Встраивание вредоносного ПОПодтехника AML.T0042Проверка атаки AML.T0043Создание состязательных данных AML.T0043.000Оптимизация в режиме белого ящикаПодтехника AML.T0043.000Оптимизация в режиме белого ящикаПодтехника AML.T0043.001Оптимизация в режиме чёрного ящикаПодтехника AML.T0043.001Оптимизация в режиме чёрного ящикаПодтехника AML.T0043.002Перенос на модель чёрного ящикаПодтехника AML.T0043.002Перенос на модель чёрного ящикаПодтехника AML.T0043.003Ручная модификацияПодтехника AML.T0043.003Ручная модификацияПодтехника AML.T0043.004Добавление бэкдор-триггераПодтехника AML.T0043.004Добавление бэкдор-триггераПодтехника AML.T0088Создание дипфейков AML.T0102Генерация вредоносных команд

Примеры процедур из кейсов

AML.CS0000Обход детектора C&C-трафика вредоносного ПО на основе глубокого обученияАктор: Palo Alto Networks AI Research Team / Тактика: AML.TA0001 Подготовка атаки на ИИ

Мы обучили модель на наборе данных HTTP-трафика, чтобы использовать ее как прокси для целевой модели. Оценка показала среднюю долю истинно положительных срабатываний около 99% и среднюю долю ложноположительных срабатываний около 0,01%. При проверке модели заголовок HTTP-пакета из известных образцов C&C-трафика вредоносного ПО был классифицирован как вредоносный с высокой уверенностью (> 99%).

AML.CS0000Обход детектора C&C-трафика вредоносного ПО на основе глубокого обученияАктор: Palo Alto Networks AI Research Team / Тактика: AML.TA0001 Подготовка атаки на ИИ

Мы отправляли в модель наши состязательные примеры и корректировали их, пока модель не удалось обойти.

AML.CS0000Обход детектора C&C-трафика вредоносного ПО на основе глубокого обученияАктор: Palo Alto Networks AI Research Team / Тактика: AML.TA0001 Подготовка атаки на ИИ

Мы создали образцы для обхода, удалив из заголовка пакета поля, которые обычно не используются для C&C-коммуникации, например `cache-control`, `connection` и т. д.

AML.CS0001Обход обнаружения DGA-доменов ботнетовАктор: Palo Alto Networks AI Research Team / Тактика: AML.TA0001 Подготовка атаки на ИИ

Результаты эксперимента показали, что доля обнаружения всех 16 семейств ботнетных DGA падает ниже 25% после однократной вставки всего одной строки в доменные имена, сгенерированные DGA.

AML.CS0001Обход обнаружения DGA-доменов ботнетовАктор: Palo Alto Networks AI Research Team / Тактика: AML.TA0001 Подготовка атаки на ИИ

Исследователи использовали технику мутации для генерации доменных имен, обходящих обнаружение.

AML.CS0002Отравление VirusTotalАктор: Unknown / Тактика: AML.TA0001 Подготовка атаки на ИИ

Злоумышленник использовал образец вредоносного ПО из распространенного семейства программ-вымогателей как исходную точку для создания мутированных вариантов.

AML.CS0003Обход ИИ-детектора вредоносного ПО CylanceАктор: Skylight Cyber / Тактика: AML.TA0001 Подготовка атаки на ИИ

Используя эти знания, исследователи объединили атрибуты заведомо легитимных файлов с вредоносным ПО, чтобы вручную создать состязательные образцы вредоносного ПО.

AML.CS0005Атака на сервисы машинного переводаАктор: Berkeley Artificial Intelligence Research / Тактика: AML.TA0001 Подготовка атаки на ИИ

Используя эти переведенные пары предложений, исследователи обучили модель, реплицирующую поведение целевой модели.

AML.CS0005Атака на сервисы машинного переводаАктор: Berkeley Artificial Intelligence Research / Тактика: AML.TA0001 Подготовка атаки на ИИ

Реплицированные модели использовались для генерации состязательных примеров, которые успешно срабатывали на сервисах машинного перевода с закрытой внутренней логикой.

AML.CS0007Репликация модели GPT-2Актор: Researchers at Brown University / Тактика: AML.TA0001 Подготовка атаки на ИИ

Исследователи изменили функцию потерь Grover так, чтобы она соответствовала функции потерь GPT-2, а затем обучили модель на подготовленном ими наборе данных, используя исходные гиперпараметры Grover. Полученная модель воспроизводила поведение GPT-2 и показывала сопоставимое качество на большинстве наборов данных. Злоумышленник, повторивший действия исследователей, мог бы затем использовать такую копию GPT-2 во вредоносных целях.

AML.CS0008Обход ProofPointАктор: Researchers at Silent Break Security / Тактика: AML.TA0001 Подготовка атаки на ИИ

Исследователи использовали письма и собранные оценки как набор данных, на котором обучили рабочую копию модели ProofPoint. С помощью простой корреляции они определили, какая переменная оценки в целом отражает безопасность письма. В этом случае была выбрана переменная "mlxlogscore", поскольку она была связана со spam, phish и core mlx, и ее использовали как метку. Каждое значение "mlxlogscore" обычно находилось в диапазоне от 1 до 999: чем выше оценка, тем безопаснее образец. Обучение выполнялось с использованием искусственной нейронной сети (ANN) и токенизации Bag of Words.

AML.CS0008Обход ProofPointАктор: Researchers at Silent Break Security / Тактика: AML.TA0001 Подготовка атаки на ИИ

Затем исследователи ML алгоритмически нашли в этой "офлайн" прокси-модели образцы, которые помогли получить нужное представление о ее поведении и влиятельных переменных. Примеры образцов с хорошими оценками: "calculation", "asset" и "tyson". Примеры образцов с плохими оценками: "software", "99" и "unsub".

Показано 12 из 35 примеров.