晚上让我保持清醒是人工智能躺在糟糕的演员手中的思想。人工智能与基于物联网的攻击权的权力相结合,将创建一个拍摄的环境。它很容易写下,但安全专业人员很难打击。AI具有更多的力量,严重程度和致命性,可以在几秒钟内改变网络和应用的面孔。
当我认为能力的人工智能在网络安全世界中我知道,除非我们准备好,否则我们将像班伯走在树林里。现在的时间是为未知做准备。安全专业人员必须检查经典的防御机制,以确定它们是否可以承受基于人工智能的攻击。
未准备,准备失败
新技术的到来带来了大量的安全威胁。新产品的发布弥补了协议中的不足。面对今天的攻击面,没有人能完全安全。对于大多数人来说,几乎是安全的就足够了,安全团队工作的基础不是是否安全的问题,而是何时安全的问题。
有众所周知的机制,可以打击分布式拒绝服务(DDOS)攻击。我们可以将周边划分,卸载到擦洗中心,并解决问题的问题。然后是基于机构的攻击,提出了栏,导致可敬的网络落下。但是,只有这么多的带宽,并且头条新闻通常比能力更糟糕。
我没有听到太多关于人工智能在坏人手中的影响。这种组合将不可避免地开启一种更强大的DDoS攻击形式。机器不会停止,不会疲劳,不会注意力不集中,也不会恐慌。基于人工智能的攻击在防御机制的压力下保持冷静,保持恒定的势头。
对付一台机器的唯一办法就是用另一台机器。其他任何方法都没用。除非你想被蒙住眼睛,否则安全专业人员必须在防御方面引入人工智能,而不是依赖于传统的防御机制。基于人工智能的防御有两种类型,非监督学习和监督机器学习系统。无监督学习是这两种方法中较优的防御机制。l7defense.是使用无监督机器学习实时防御攻击能力的先驱。
从带有循环的脚本到自动化AI的攻击
你知道第一次DoS攻击发生在1974年吗?在2000年代早期,它随着经典机器人(Classical Bots)的出现而成为主流,它由一种手动拒绝服务(DoS)方法组成。本质上,DoS是当一个坏的参与者发送流量来淹没一个系统。那时候,它们都很简单。即使没有现成的工具,那些具有中等技术含量的工具也可以进行攻击。一台机器只会发送一个攻击签名。自动化基本上是通过手动键盘输入完成的。
这被证明是效率低下,糟糕的演员迅速从手册移动到半手册。例如,这可以包括一个简单的脚本,与许多循环组合,从而实现自动化级别。但是,我们仍然只有有限数量的攻击签名,在脚本中预先配置,并且只使用一个IP源。使用的攻击表面和矢量有限。
然后我们进入了一个由多个攻击IP源组成的半自动波。命令与控制(C&C)服务器的引入为DoS带来了一个新的转变,称为分布式拒绝服务(DDoS)。C&C服务器是由能够发送命令和接收输出的坏角色控制的集中机器。C&C服务器并不复杂,但他们可以控制大量受感染的终端主机,传播攻击源。这些被感染的电脑被称为僵尸网络。
僵尸网络将从C&C服务器接收预定义的命令,并执行攻击签名的集合模式。无论防御方在做的程度如何,签名都是石头。僵尸网络仍然是静态,因为C&C服务器向其中每个C&C服务器发出类似的命令。攻击的规模增加,但智力没有。我们经历了更多的蔓延和更大的攻击表面,但具有相同的智慧。
恶意软件自动化
DDOS演进中的主要转折点随着恶意软件的自动扩散。恶意软件是您听到很多,并且是用于描述恶意软件的术语。Malware的自动扩展代表了自动化的主要路线,并标记了全自动DDOS攻击的第一阶段。现在,我们可以增加没有人为干预的分布和安排攻击。恶意软件可以自动感染数千个主机,并应用传染一个网络段的横向移动技术。从网络段移动被称为Seacheading和恶意软件可以从世界的一个部分到另一个部分的海滩头部。
还有一个缺点。对于坏演员,这是一个主要的缺点。环境仍然是静态的,从不根据防御方的响应动态地改变签名。僵尸网络不能通过行为不变。它们由C&C服务器订购,睡觉并没有思想自己。
正如我所说,那里只有这么多带宽。因此,这些类型的网络攻击开始变得较低。糟糕的演员开始侧面一点一点,并瞄准应用层而不是网络基础架构。反射风格攻击开始与其增强一样称为放大。分布式反思拒绝服务攻击当时更糟。反射攻击用于滥用用户数据报协议(UDP)服务。UDP通过设计无连接,其中接收器不会验证源的IP。这是请求服务的客户端的地址。缺乏验证使得某人可以假装使用您的IP作为源代码,称为IP欺骗。
在不知不觉中,当UDP服务器发送回请求时,它具有IP地址欺骗的合法来源是不知所措。UDP服务器基本上作为反射器隐藏不良演员的身份。放大利用响应的大小通常大于服务器请求的大小。发送到的简单请求www.network-insight.net.可以包括具有许多IP地址的响应以及附加信息。如果DNS服务器可以将请求放大到200倍的错误演员使用放大和反射技术具有100Mbps的带宽可以产生200Gbps的攻击。现在,你能想象如果有成千上万的反射器会发生什么?
基于层3,4和7的攻击的不同变化很好地进行了易于使用的工具。发射攻击很容易和便宜。这些攻击变化之间的主要区别是能够创建会话,例如,受害者的安全套接字层(SSL)会话,其尝试使堆栈中更高的会话耗尽。或者,糟糕的演员可以在不等待回复的情况下发送洪泛的因特网控制消息协议(ICMP)消息,而不尝试接管会话。
最终,开发的组合以形成基于层3,4和7的攻击的危险组合。经典体积通常与专注于应用的第7层组合。体积仅作为基于第7层攻击的封面。应用攻击是恶劣的演员的天堂。每个Web应用程序都代表了一个无限数量的攻击可能性,对它们选择了如此多的变化。有很多工具可以在那里提供,可以通过随机化技术来生成随机页面攻击。网络安全公司在后脚。它们具有扫描和检测数十万漏洞的能力,但不适用于无限数量的签名。
当不法分子开始将恶意软件的自动传播与物联网结合起来时,情况变得更严重了。我们经历了一次大规模的攻击,稳固的网络开始崩溃。虽然传统的C&C不是非常复杂,但是老大哥物联网C&C服务器更动态,可以根据防御响应每隔几秒钟改变一些优化来控制僵尸网络。
它们是比古典C&C更智能的堆积。僵尸网络不再是静态的。每个僵尸网络现在都控制自己的工作单元,代表许多在孤立攻击单个目的地的孤立工作的小军队。
人工智能的兴起
今天,我们正在进入不同的DDOS攻击浪潮。这个新的时代具有基于IOT的攻击力量以及人工智能结合各种反馈回路和自动优化。
人工智能不断优化,改变参数和签名,以响应防御而没有任何人类的互动。除非正确的预防措施到位,否则它可以单独留住安全专业人员。
基于ai的防御有两种类型;有监督和无监督机器学习。监督式学习类似于老师预先设定的课程,包括特定的问题和答案。在无监督学习中,没有老师,也没有狭窄的课程。课程随着学生需求的变化而发展。
监督学习需要通过例子喂养以处理这种情况。经过足够的例子后,它成为一个关闭的问题。然而,这代表了基于AI的攻击世界的许多缺点。如果您有不同于当前审议的恶意软件,系统会识别并适当处理它吗?可能不是,这是假阳性开始增加的地方。
无监督学习的优越性在于,您不需要向系统提供示例。这代表了在如何防御不断变化的机器方面的一个重大转变。无监督学习具有随着问题本身的变化而改变和适应的能力。监督学习的真正问题在于,交通模式本身就是不可预测的。源和目的IP端点可能保持不变,但头和消息体可能有许多变化。差异是监督学习的一个主要问题。
没有人可以预测并为所有应用程序流量配置文件和潜在攻击向量创建示例。结果,我们无法覆盖整个空间并喂养具有足够示例的监督机器学习系统以覆盖各种可能的角度。如果您无法覆盖整个空间,那么您需要一个可以自身分析环境的系统,并且在没有人为干预的情况下,仍然是最佳的行动路径,同时仍将误报保持为最低限度。可以动态地学习和适应已知和未知环境的系统。
监督学习可以帮助一定程度,但在一个充满活力变量的世界中,您真的需要一个可以适应这些变化的系统,并预测基于AI的攻击将带来的未知未来。
在网络安全内,领域攻击者正在快速发展。类似于从冰到水的移动,但冰不会移动,所以你现在需要,而不是冰的锤子,而是可以分析水以确定伪装的毒药成分。这就是为什么你需要从监督到无监督的学习。