【AI | 网络安全】人工智能时代下,学习网安的成本有多低?
时间:2024-04-16 19:10:30 来源:网络cs 作者:亙句 栏目:卖家故事 阅读:
引言
人工智能(AI)是模拟人类智能的科技,通过推理、决策等能力,使计算机系统具备智能化的特征。它在当今社会和科技领域中具有重要性。
本文将着重探讨 AI智能时代中人工智能在网络安全领域的强大利用性以及黑客的性质是否发生改变等问题。
文章目录
1️⃣情景引入2️⃣为什么当黑客的成本降低了?自然语言处理技术自监督学习技术 3️⃣怎样成为一名合格的黑客?4️⃣总结
本文仅分享网络安全领域相关知识,并未进行有违社会价值观的引导,若因本文产生一切法律责任,概不负责。
1️⃣情景引入
眼下,AI的热度持续高涨,尤其是Chatgpt等新一类人工智能交互技术的发展,已然成为了互联网的焦点。
而万万没想到的是,人工智能却成为了黑客的新“玩具”,“调戏”ChatGPT,可谓风靡一时。
之前,一个名为《ChatGPT–Benefits of Malware》的帖子在黑客圈广为流传,帖子中描述了该黑客是如何使用 ChatGPT 创造恶意程序的。
帖子中展示了一个Java片段,它下载了一个非常常见的 SSH 和 telnet 客户端 “PuTTY”,并用 Powershell 在系统上秘密运行它,使用者可以修改此脚本用来下载和运行任何程序,包括用来下载盗号木马
、勒索病毒
、流氓软件
等恶意程序。
常规密码,不用1分钟即可破解!
前不久,网络安全公司Home Security Heroes 发布了一份报告,称使用了一款名为 PassGAN的新型AI工具,51%的常规密码可以在不到1分钟时间内完成破解
白帽黑客使用了带AI的PassGAN工具测试了超过 1568万个密码,在不到1分钟时间内成功破解了51%的密码;1个小时破解了65%的密码
;1天破解了71% 的密码;1个月破解了81% 的密码
可见AI赋能渗透工具后,其展现出来的能力有多可怕。
甚至,一个从未涉足脚本的知名黑客USDoD,在好奇心驱使之下借助 ChatGPT生成了人生第一个可以执行加解密功能的Python脚本,该脚本稍加改造就可以变成勒索病毒
人工智能时代,普通人哪怕没有代码知识,也不懂黑客技术,化身“黑客”也易如反掌。
在AI时代下,黑客一词在人们耳中已不再遥远。它将是悬在互联网企业头顶上的达摩克利斯剑。
近日,一份来自安全公司Threat Intelligence的报告指出,黑客们正在利用人们对AI聊天机器人的兴趣,侵入人们的设备。 这些黑客主要瞄准了Facebook的Messenger和WhatsApp等流行的聊天应用程序。其犯罪手段是通过聊天机器人,诱骗用户点击恶意链接或下载恶意软件,以此达到窃取隐私信息、访问敏感数据的目的。
知名互联网科技博主RevengeRangers表示:“还真有人用ChatGPT写木马,还广泛植入并且被安全厂商抓住分析了。”
一名行业人士表示:“在网络安全方面,ChatGPT 可以为攻击者提供比目标更多的东西,对于商业电子邮件来说尤其如此,这种攻击依赖于使用欺骗性内容来冒充同事、公司 VIP、供应商甚至客户”
Picus Security联合创始人苏莱曼奥扎斯兰表示:“输入了一个提示,要求ChatGPT写一封世界杯主题的电子邮件,用于网络钓鱼模拟,结果它在短短几秒钟内就用完美的英文创建完成了一封。”而如果通过人力来完成,是需要一定的时间与精力的,包括语句的情景、钓鱼的构造等
此外,一些安全研究人员已经开始测试chatgpt生成恶意代码的能力,例如,picus security的安全研究员和联合创始人suleyman ozarslan博士,他最近不仅使用chatgpt创建了网络钓鱼活动,还为macos创建了勒索软件
而Check Point Research则有更进一步的研究:先是要求ChatGPT冒充托管公司,接着令其生成附带恶意Excel的电子邮件,该Excel被激活后可以下载恶意代码,恶意代码可以协助黑客完成远程访问,从而控制电脑或服务器
上述模拟攻击表明,尽管ChatGPT 条款禁止将其用于非法或恶意目的,但只要黑客愿意绕过限制不费吹灰之力。
那么,为什么AI工具能够提供黑客这么多攻击姿势和功能、极大的提高黑客攻击速率呢?此时我们就不得不谈到AI的底层技术原理。
自然语言处理技术
自然语言处理涉及计算机对文本和语音进行分析、理解和生成的技术和方法。它的目标是使计算机能够从人类的语言中提取有用的信息,并与人类进行自然的交互。
以 信息抽取(Information Extraction) 为例,它将从文本中抽取出具体的信息和实体。这包括实体识别
、关系抽取
、事件识别
等技术,用于从大量文本中自动提取出所需的知识和信息。
通过自然语言处理技术,新一代人工智能交互软件能够明确黑客的意图与想法,进行实体识别、事件识别等,更好地为黑客服务。
自监督学习技术
自监督学习是一种无需人工标注标签的训练方法,通过利用输入数据的内在结构和统计规律来进行学习。
与监督学习中需要明确标注的标签不同,自监督学习通过在输入数据中设计某种预测任务,使得模型能够从中学习到有用的表示或特征。
例如,给定上下文句子 “今天天气很[Mask],我打算出去[Mask]”,模型需要预测遮盖标记的概率分布,如填充"晴朗"或"雨天"等。
自监督学习的训练方法能够为黑客问答提供更好的初始模型,在减少标注数据需求、提高语言理解和推理能力以及迁移学习方面具有优势。
以上可见,人工智能成为黑客的新“玩具”,一个新的时代来了。
在AI时代,黑客成本降低的原因还有以下几个方面:
黑客可以利用自动化工具来执行攻击。这些工具能够自动扫描、利用漏洞,并进行恶意行为,从而提高了黑客攻击的效率。
如下图为Nmap对某IP的扫描,用于发现网上电脑开放的网络连接端。
如下图为sqlmap利用给定的URL进行SQL注入。
随着AI技术、互联网的发展,黑市上涌现出各种黑客服务,例如 提供僵尸网络(botnet)出租、攻击工具交易 等。黑客可以通过购买这些服务,获得更多的攻击资源和攻击能力。
黑客可以利用大数据和机器学习技术来分析和挖掘潜在的攻击目标。他们可以通过收集和分析大量的数据,找到易受攻击的漏洞和弱点,从而提高攻击成功率。
在Cambrige Analytica数据泄露事件中,Cambridge Analytica公司使用Facebook平台上的应用程序收集了数百万用户的个人数据,然后利用机器学习算法分析这些数据,以精确地针对目标用户进行政治广告和操纵选民行为。
3️⃣怎样成为一名合格的黑客?
目前,我国的网络安全事业持续高速高质量发展,许多人涌入该赛道。
AI在网络安全领域的应用离不开机器学习和深度学习技术。需要学习相关的算法和模型,如 决策树
、 支持向量机
、神经网络
等,并理解它们在网络安全中的应用方式。
举个例子:通过机器学习算法可以建立恶意软件(如病毒、木马、勒索软件等)的检测模型 这些模型可以分析文件的特征
、行为
、代码
等,并识别是否为恶意软件。
3.Hack The Box(https://www.hackthebox.eu/):一个流行的在线平台,提供各种虚拟机和挑战,供用户测试和提高网络安全技能。
4.VulnHub(https://www.vulnhub.com/):一个社区驱动的靶场平台,提供各种特定漏洞的虚拟机,供用户练习渗透测试和漏洞利用。
5.XSS-Game(https://github.com/cure53/XSSChallengeWiki/wiki):一个开源的XSS练习平台
,提供多个具有不同难度级别的XSS挑战,旨在帮助用户学习和掌握XSS技术。
6.TryHackMe(https://tryhackme.com/):一个基于浏览器的靶场平台,提供虚拟机和实验室环境,帮助用户学习网络安全和渗透测试。
同时推荐一位网络安全领域的 优质博主,奇安信安全专家,保障过冬奥会和冬残奥会
:
士别三日wyx的博客:https://blog.csdn.net/wangyuxiang946
其护网实战、漏洞分析、工具介绍的博文均十分详细,建议关注、订阅专栏!
3.接触CTF、C4(中国高校计算机大赛网络技术挑战赛)等赛事及平台。
国内外有很多知名的CTF(Capture The Flag)赛事,这些赛事旨在促进网络安全技术的学习和实战。
1.XCTF(https://adworld.xctf.org.cn/home):由中国国家网络安全人才库主办的线上CTF比赛,每年举办多届。它是中国最大规模的CTF赛事之一,吸引了众多安全爱好者和专业人士参与。
网安学习者可以锻炼自己的攻击和防御能力,学习最新的安全技术和漏洞利用方法。
4️⃣总结
告别传统攻击,AI赋能未来。 人工智能时代下,当黑客的成本逐渐降低,人人都可能是脚本小子。我们要紧跟安全攻击、防御趋势,达摩克利斯剑也可成为安全研究员的武器。
阅读本书更多章节>>>>本文链接:https://www.kjpai.cn/gushi/2024-04-16/159600.html,文章来源:网络cs,作者:亙句,版权归作者所有,如需转载请注明来源和作者,否则将追究法律责任!