CyberBattleSim主要是模擬網路攻擊中,攻擊者入侵網路後的橫向移動階段。這個環境是由一組電腦節點組成的網路,有固定的網路拓撲及一組預設的漏洞,扮演攻擊者的代理程式可以開採並在網路上移動。攻擊中的目標是開採這些漏洞以奪取部署部份網路的所有權。而在攻擊者移動時,防禦代理程式則負責觀察網路活動來偵測攻擊者所在,並予以控制。(圖片來源/微軟)

微軟本周釋出一套原本自用的模擬工具,讓安全研究人員模擬建構網路防禦環境,以阻擋AI控制的攻擊。

微軟Microsoft 365 Defender研究團隊長期使用AI及機器學習來研究資安防禦,其中一個領域是自主系統。他們創造了一個AI模擬研究工具,微軟稱之為CyberBattleSim,當中以一組智慧代理程式利用資安知識及參數對企業環境發動攻防行動,藉此研究如何利用強化學習技術來改善安全。

今天微軟宣佈把CyberBattleSim的Python原始碼開源給外部研究人員使用。這套工具提供Python寫成的OpenAI Gym介面,讓企業或安全研究人員可用強化學習演算法來訓練自動代理程式。OpenAI Gym是常見開發、訓練及評估強化學習演算法的互動環境,曾被用來開發電玩、機器人模擬及控制系統。CyberBattleSim的程式碼可在Github下載

和電玩遊戲一般,CyberBattleSim也有一個設定情境。CyberBattleSim主要是模擬網路攻擊中,攻擊者入侵網路後的橫向移動階段。這個環境是由一組電腦節點組成的網路,有固定的網路拓撲及一組預設的漏洞,扮演攻擊者的代理程式可以開採並在網路上移動。攻擊中的目標是開採這些漏洞以奪取部署部份網路的所有權。而在攻擊者移動時,防禦代理程式則負責觀察網路活動來偵測攻擊者所在,並予以控制。

CyberBattleSim也設定三種攻擊行為,包括執行本機攻擊、遠端攻擊以及連結其他節點。攻擊者的「得分」則來自攻下節點的價值,例如拿下SQL Server的分數比測試機來得高。此外,也設定漏洞遭開採的結果,像是登入憑證外洩、外洩與其他電腦節點有關的資訊、洩露節點屬性、取得節點控制權,以及節點遭權限擴張。

而在評分上,這套系統以攻、防兩方達成目的所採取的模擬步驟,以及在訓練階段模擬步驟的累積得分,來評估各陣營的績效。

微軟指出,CyberBattleSim將電腦系統環境的複雜性高度抽象化(簡化),以便評估強化式學習演算法,了解AI代理程式如何互動與學習。

微軟希望藉由開源,鼓勵安全研究人員在CyberBattleSim基礎上實驗,了解強化學習在模擬環境下的互動。目前在演算法方面,CyberBattleSim僅提供很簡單的代理程式,微軟希望能訓練更強大的強化學習演算法。此外,他們也想知道如何訓練出能儲存或取得登入憑證的代理程式。其他主題包括自主(AI)安全系統的負責使用、建構有利於防禦的企業網路,以及如何不濫用AI技術下,研究如何防禦AI網路攻擊。

熱門新聞

Advertisement