谷歌的核心产品包括搜索,应用程序,广告,地图,YouTube 以及安卓。现任谷歌 CEO Pichai 是谷歌核心业务出身,对安卓系统也有特别的感情。他曾帮助智能手机平台从摇摆不定的安卓2.3升级到更加稳定、有用的安卓4.0。安卓明显成熟起来。在他倡导 AI first的战略中,安卓安全系统也开始运用人工智能打造安全卫士,安全团队负责人相信,如果计算机安全的未来在于风险管理,那么,这个未来就是机器学习。不过,这项新近展开的征程还面临不少难题。
当 Adrian Ludwig 描述解决计算机安全问题的理想方案时,他做了一个类比。不过,不是比作锁、防火墙或者护城河之类的。他说,应该像信用卡公司那样解决计算机安全问题。
他解释道,信用卡公司并不彻底杜绝风险。而是管理风险,利用将市场描述为一个整体的数据,针对不同个体,打造不同的风险景观(和不同利率)。Ludwig 相信,计算机安全也应该以这种方式运作。「安全社区给出的好坏或黑白模型?」「除非我们接受存在灰色地带,否则,(哪有什么白)都是黑(风险)。」
如果计算机安全的未来在于风险管理,就像 Ludwig 相信的那样,那么,这个未来就是机器学习。
Ludwig 在谷歌工作,他负责安卓安全工作。但是,他和他的同事们想将安全工作引领到一个新的方向上。如果计算机安全的未来在于风险管理,那么,这个未来就是机器学习,它和在谷歌帝国其他领域大获成功的人工智能是一类的。我们不应该制定固定不变的、旨在阻止所有在线攻击的数字规则。随着互联网日趋复杂——也在更多人群中普及开来——这种做法会把所有人踢出局。我们应该打造这样的系统,有能力分析更大的图景并学会在运行中识别潜在问题。
借由信用卡公司的类比,Ludwig 也将谷歌和其最大竞争对手苹果区分开来。「我不想要这样的解决方案:封闭一切。」Ludwig 告诉我。不用说,苹果的安全模型也有自己的优点。联邦通信委员会(FCC)正在调查,填补安卓手机漏洞,为什么要花这么长的时间——原因可能在于安卓系统碎片化,因为谷歌和这么多不同的手机厂商合作。苹果只拥有一个手机制造商:它本身。但 Ludwig 想说的是,这会是一个介于自由放任与闭关锁国之间的中间地带。而且这个地带涉及机器学习,包括一种日益重要的人工智能技术,深度神经网络。
「如果你有十亿台设备,无论多么安全,有些设备总会有bug,有些 bug 可以妥协,」 Ludwig 在 NSA工作了8年,在加入谷歌前还在一家安全咨询公司Stake任职了一段时间:「为此,你需要数据,而且需要分析数据。」
深度本能
他并不是唯一一个大力推行这一抱负的人。有中国谷歌之称的百度,使用了深层神经网络来识别恶意软件。安全创业公司,比如,Deep Instinct 和 Cylance 也是这么做的。就像神经网络可以识一张照片中的特定特征一样,它也可以识别一款恶意软件应用程序——或者有些瑕疵的系统代码,它们会让手机有被黑之虞。
但是,革命可能不止于此。谷歌发力,仍处于早期阶段。「这不是个科学实验。而是真实存在的解决方案。不过,还不是主流解决方案,」Ludwig 说。目前,谷歌没有那么大体量的问题去训练这个神经网络。「绝大多数应用程序是安全,也是好的。而且会有少数不良玩家。」和 Ludwig 一起工作的Rich Cannings说道。「这真的很难发现。」讽刺的是,想要真正拥抱机器学习,谷歌需要更多的安卓系统问题,用来训练或者改善神经网络。
那并不是说安卓安全记录完美无缺。「一年前,」 Joshua Drake说,一位拥有 Zimperium 安全装备的研究人员,最近找出了安卓系统中的一个明显string bugs,「我真感觉安卓没有往安全系统上投钱。」而且机器学习也不是万能药。没办法帮助谷歌将安全补丁发配到所有那些安卓手机制造商中。但是,它可以帮助他们识别安全漏洞,如果当前的技术已臻完美。
门神
Sebastian Porst 负责的这个谷歌团队,主要是识别任何可能出现在安卓手机上的恶意、脆弱的应用程序。而且他也想从这些工作中抽身出来。最终,他想要机器来干活。他说,那就是我们的目标。
在谷歌,这态度算是非同寻常。实际上,它正是公司运作的背后哲学。 Ben Treynor Sloss 说,「我们最终成立了一个小组,由一些越来越厌倦手工作业的人组成,他们也有能力写软件,取代之前的手工劳动。」
在安卓安全团队中,这一行动刚开始不久。不过,Porst和他的团队已经建立了一个自动化系统。Dubbed Bouncer,这款系统可以分析每一个上传到 Google Play 的应用程序,寻找恶意或其他问题软件代码,然后运行每个应用,因此,它也可以分析软件运行情况。这个系统也被绑定到谷歌网页爬虫上,自动扫描上传到任一网站的安卓应用。Porst说,「我们从每个可以找到的资源处扫描应用程序。」如果一款不明应用被上传到一定数量的安卓手机上,系统就会找到它,分析代码以及软件行为。
过去,Bouncer 根据一套预先设计好的规则运行。不过现在,为了训练系统,谷歌依赖起机器学习。在扫描所有那些应用程序过程中,系统已经搜集到了有关每个程序的海量数据,也就是Porst所说的 「信号」——定义这款应用的特征和行为。现在,团队正在将这些信号输入到神经网络中,系统就能学会那种特征组合暗示了恶意软件。Porst说,「我们可以用机器学习找出那些真与潜在危害行为相关的信号,哪些信号意味着完全无害。」
结果,它还管用了。不过,效果有限。当时,Porst 说,「安全专家不能被任何一种机器学习算法取代。」实际上,机器学习只是团队扫描系统的一部分,而且,如果系统标记了某款应用程序有问题,那么,人类工程师总是可以再审核一下。问题在于,数据太少。Ports 说,技术对 Play Store 之外的应用程序的有效程度,远超商店内的应用。这主要是因为,如今,商店里的应用几乎都是没什么威胁的软件。邪恶分子很清楚不要妄加尝试。
这并不是说机器学习不会有所进步。安全创业公司 Deep Instinct 的首席技术官 Eli David 说,他的公司通过分析数据(不仅限于一个计算机平台,比如安卓,而是所有平台),已经打造出有效模型。他说,「你的范围必须够大。」
真实的 ClusterFuzz
在发现了一个很大的移动 OS 漏洞后,Jon Larimer 得到了一份谷歌的工作。他在安卓的图形设备驱动程序上发现了这个漏洞。他利用这个漏洞写了一段检测代码,并通过互联网获得了一部手机的完全控制权。然后,他向 Ludwig 和安卓团队成员演示了这一过程。
现在,Larimer 和他的团队正在开发一个能够自动识别这种漏洞的系统。
像 Nick Kralevich 这样的安卓安全工程师也写过一些旨在检测手机操作系统漏洞的程序。但是,仍然经常发现漏洞。因此,Larimer 和他的同事利用原本为谷歌 Chrome 浏览器解决安全问题的技术开发了一个模糊测试(fuzz testing)系统,它能给软件发送大量随机输入并从中发现漏洞。Larimer 的这个系统被命名为 Clusterfuzz,它能同时对多部安卓手机进行模糊测试。
在某些情况下,这个系统会通过数千台服务器不停地对 1500 台虚拟的手机进行测试。但它也会对实体的手机进行测试,因为硬件对手机性能的影响不可小觑。在谷歌总部的 43 号楼,你可以看到数百台手机被放在许多支架上进行这种测试。「我们的团队里人不多,」他说。「但我们的优势是能够测试成千上万个 CPU。」
现在,为了识别更多漏洞,谷歌向这个系统里加入了机器学习技术。Larimer 和他的团队正在尝试使用神经网络来识别 Clusterfuzz 获得的每份文件(file)的结构。如果系统认识这个结构,它就能更彻底地测试文件了。不是仅仅随机将输入扔给文件,它能使用那些适合它的特定组成的输入。为了学会识别文件如何运行,Larimer 解释说,神经网络能过帮助系统「尽可能多地接触到源码」。和 Porst 在机器学习上的工作一样,这项计划仍处在初期阶段。但 Larimer 给出了一个承诺:我们的系统最终会百分之百地覆盖每一个地方,这就是未来。
想办法折中
如果没有别的情况,所有这些努力显示,安卓的安全状况正在改变。除了迈向机器学习,谷歌还发起了一个巨额悬赏计划,这个计划由前微软成员 Scott Roberts 指导。而 Ludwig 则为解释他的团队成员如何解决安全问题作出很多努力。像 Joshua Drake 这样的外部研究者曾经质问谷歌,在安卓诞生的前几年是如何处理安全的。但现在,即使是 Drake 也会告诉你一些谷歌正在改变的迹象,特别是当他在去年夏天爆出安卓的 Stagefright 高危漏洞后。「现在情况完全不同了,」他说。「不得不说谷歌已经意识到他们还有很多需要做的。」
谷歌并不信仰苹果的模式。但 Ludwig 和他的安卓团队也知道旧方法不一定奏效了。他们相信理想的方法是在这两者之间的。Drake 同意这种观点。「两种生态系统都有自己的优点和缺点,」他说。「它没这么简单。」如果真是这种情况的话,机器学习就真的能在未来的手机安全上扮演一个主要角色了。前提是他们能让这个想法变成现实。
本文转自d1net(转载)
