一、背景机器学习是近年来非常热门的研究课题。它是人工智能的核心,是促进计算机智能化的根本途径。它的基本任务包括分类、聚类等,其实质是让机器学习大量的知识,获得模拟人类思维进行预测或决策的能力,比如判断某封邮件是否是恶意的。这样的技术特点符合网络安全自动化的发展趋势。我们需要一台24小时不间断的机器来帮助人们判断好坏并采取应急措施,机器学习才能在网络安全方面大显身手。但往往解决一个问题可能会产生新的问题。一项技术可以用于防御,也可以用于攻击。机器学习的应用在一定程度上解放了网络安全防御者的同时,也给了攻击者新的切入点,相关的对抗性攻击成为新的问题。2.内容概述本文首先介绍了机器学习、网络安全和对抗性攻击三个领域的基础知识及其交叉应用。主体部分由六章组成:机器学习基础、机器学习在网络安全中的应用、机器学习的抗攻击方法、抗攻击分类、抗攻击风险评估和抗攻击防御方法。最后,文章在前人工作的基础上,对前人的工作进行了总结,并阐述了未来的研究方向。1.机器学习基础机器学习根据所需的方法和可用数据类型执行各种类型的任务[1]。文章根据学习技术、目标任务和学习深度三个标准对机器学习进行了分类(如图1所示),并一一介绍了其特点。在目标任务部分,文章将通用的机器学习任务与网络安全相结合,并给出了具体的算法示例。分类任务模型在网络安全中用于检测已知类型的欺诈[2]并将不同的用户分组,例如社交垃圾邮件发送者[3]。此外,它还用于将程序和文件分为三类:恶意软件、间谍软件和勒索软件;聚类任务是通过比较业务流程来检测异常值[4];在网络安全中,利用回归模型预测网络数据包中的相关参数,然后与常规参数进行比较[5],也用于计算机网络中的异常检测、用户行为分析(如人机交互证明)以及信用卡欺诈交易等异常行为预测[2]。这表明当前机器学习在网络安全领域得到了广泛的应用。如果出现攻击问题,将会带来很大的后果。因此,这些研究是非常必要和有意义的。图1机器学习的分类[1]二、机器学习在网络安全中的应用机器学习在网络安全中被广泛应用[6],包括网络内部和网络边缘的多层防御。文章从网络、终端、应用、进程行为和用户行为五个方面阐述了机器学习的应用(图2)。图2机器学习在网络安全中的应用[1]3.机器学习的对抗性攻击方法在对抗性机器学习中,攻击者试图混淆机器学习模型以做出错误的决策。通常的方法是训练阶段[7]或推理阶段[8]修改馈送到机器学习模型的输入数据。文章首先介绍了网络安全中对抗性攻击的威胁模型,包括现有知识、攻击空间、策略、目标和对象,然后介绍了各种对抗性攻击算法的分类方法(图3)。图3对抗性攻击的威胁模型分类[1]4.网络安全中的对抗性攻击分类前面几章都是关于机器学习和对抗技术的分类,所以这一章讲的是整个攻击行为的分类,标准是特征范围,即攻击者正在操纵或扰动哪些特征以生成对抗性样本。针对恶意软件检测、网络钓鱼检测和垃圾邮件检测应用程序的对抗性攻击试图干扰有效负载功能,例如二进制文件、URL或电子邮件。这些攻击被归类为针对端点保护系统的对抗性攻击。除此之外,还有针对网络异常检测应用程序的对抗性攻击,这些类型的攻击会试图干扰网络元数据或协议标头等协议功能。这些攻击被归类为针对网络保护系统的对抗性攻击(图4)。图4.Adversarialattackclassification[1]5.Adversarialattackriskassessment文章介绍了攻击风险评估的指标和框架:可迁移性的概念、基于模糊概念的对抗性风险框架[9]和映射攻击风险的对抗性风险网格的概念。可迁移性是指针对特定深度学习模型制作的对抗样本能够有效地在不同模型中造成误分类,称为跨模型对抗样本。对抗性风险网格映射的目标是评估针对机器学习模型的对抗性攻击成功的可能性,以及此类攻击的后果(见图5)。图5.AdversarialRiskGridMapping[1]6.Defensemethodsagainstadversarialattacks文章介绍了目前最常用的攻击方法,并按照策略和方法进行分类,包括梯度隐藏、防御蒸馏、对抗训练、对抗样本检测、特征缩减、综合防御。这里与全文的攻击方法部分有一定的对应关系(图6)。图6基于攻击者策略的对抗性防御方法[1]三、总结与展望机器学习模型在网络安全中存在对抗性漏洞的风险越来越大,辨别和指令的自主性降低。然而,基于本文介绍的对抗性风险网格图,可以得出结论,只有增强辨别自主性和命令自主性,对抗性脆弱性的风险才会降低。在恶意软件分类领域观察到的最大对抗性攻击效果是对抗性示例将基于深度学习的恶意软件分类器的准确性从97%降低到5%,这一点值得关注。与此相关的研究方向还有很多。从攻击的角度来看,在现有的对抗样本生成方法中,大量特征被扰乱。事实上,这只是一个次优的解决方案。对于生成对抗样本时需要扰乱的最优特征,目前还缺乏研究;从防御的角度来看,目前大多数防御都是针对针对计算机视觉中机器学习应用的攻击而设计的,研究的防御通常是针对特定攻击或攻击的一部分而设计的。安全技术的选择和使用需要格外小心。安全在任何领域都非常重要,尤其是互联网时代的网络安全。因此,人们总是希望尽可能多地应用安全领域的前沿、高端技术,比如区块链、机器学习等,然而,这些“漂亮的补丁”也有可能成为攻击者新的切入点。参考文献[1]bitoyeO,Abou-KhamisR,MatrawyA,etal.网络安全中对抗性攻击对机器学习的威胁——综述[J].2019.[2]沙欣Y,杜曼E.用决策树和支持向量机检测信用卡欺诈[J]。工程与计算机科学讲义,2011.[3]李K,CaverleeJ,韦伯S。揭露社交垃圾邮件发送者:社交蜜罐+机器学习[C]//信息检索研究与发展国际AcmSigir会议。美国计算机学会,2010.[4]KravchikM,ShabtaiA。异常检测;工业控制系统;卷积神经网络[J].2018.[5]ZamaniM,MovahediM。入侵检测的机器学习技术[J].2013.[6]迪帕克BN,帕维特拉H。机器学习在网络安全中的应用。2018.[7][1]Muoz-González、Luis、BiggioB、DemontisA等。反向梯度优化的深度学习算法中毒[C]//第10届ACM研讨会。美国计算机学会,2017.[8]BiggioB、CoronaI、MaiorcaD等人。测试时针对机器学习的规避攻击[J].2017.[9]廖芳,明丽,董毅,等。使用高级表示引导降噪器防御对抗性攻击[J]。2017.
