将恶意软件隐藏在神经网络模型中

研究人员演示了如何将恶意软件隐藏在神经网络中的图像分类器中，以绕过防御解决方案。

研究人员zhi Wang、Chaoge Liu 和Xiang Cui 提出了一种通过神经网络模型传递恶意软件的技术，以在不影响网络性能的情况下逃避检测。

专家进行的测试展示了如何将 36.9MB 的恶意软件嵌入到 178MB-AlexNet 模型中，精度损失为 1%，这意味着该威胁对防病毒引擎是完全透明的。

专家认为，随着人工智能的大规模采用，恶意软件作者将对神经网络的使用越来越感兴趣。我们希望这项工作可以为神经网络辅助攻击的防御提供一个可参考的场景。

专家们能够在已经训练好的模型（即图像分类器）中选择一个层，然后将恶意软件嵌入到该层中。

如果模型没有足够的神经元来嵌入恶意软件，攻击者可能会选择使用未经训练的模型，该模型具有额外的神经元。然后，攻击者将在原始模型中使用的相同数据集上训练模型，以生成具有相同性能的模型。

专家指出，该技术仅对恶意软件的隐藏有效，对其执行无效。为了运行恶意软件，必须使用特定的应用程序从模型中提取它，只有当它足够大以包含它时，它才能隐藏在模型中。

“我们将一些嵌入恶意软件的模型上传到 VirusTotal，以检查是否可以检测到恶意软件。这些模型被 VirusTotal 识别为 zip 文件。检测工作涉及58个杀毒引擎，未检测到可疑情况。这意味着这种方法可以逃避普通杀毒引擎的安全扫描。” 该文件指出。

作为一种可能的对策，专家建议在最终用户设备上采用安全软件，该软件可以检测从模型中提取恶意软件的操作、其组装和执行。专家还警告原始模型的供应商存在供应链污染。

“当参数被恶意软件字节替换时，模型的结构保持不变，恶意软件在神经元中被分解。由于恶意软件的特征不再可用，它可以逃避常见防病毒引擎的检测。由于神经网络模型对变化具有鲁棒性，因此在配置良好的情况下，性能不会有明显损失。” 论文总结。“这篇论文证明了神经网络也可以被恶意使用。随着人工智能的普及，人工智能辅助攻击将出现，给计算机安全带来新的挑战”