介绍本文将梳理一些针对逃逸攻击的安全防御措施,供读者参考。鲁棒性评估机制面对如此多的规避攻击手段,相关安全人员需要对网络入侵检测器进行合理的鲁棒性评估,进而对检测器进行安全加固。在规避攻击的环境下,给定一个基于机器学习的网络入侵检测器,再给定一个特定的入侵流量,即原始样本,如果入侵流量周围的变异流量通过检测器,则分类结果是一致的,那么入侵流量被认为在其本地空间中是稳健的。与其他机器学习应用场景类似,网络入侵检测器的鲁棒性也可以通过以下方法进行评估:(1)上边界评估。对于鲁棒性的定义,原始样本有一个最小扰动半径,使得半径内的所有变异样本都被正确预测,而半径外的变异样本被误判。最小扰动半径的大小定义为对抗距离。对抗距离上边界可以理解为对于实际对抗距离大于上边界的样本,存在扰动使其成为对抗样本。这类评价通常是通过设计算法构造干扰较小的对抗样本来实现的,因此大多是与攻击方式相关的评价方法。(2)下边界评价。受限于对抗距离上边界的评估通常取决于特定的攻击方法,许多研究已经将目标转向对抗距离下边界的评估。对抗距离下边界的评估目标是找到一个下边界,使得小于边界距离的干扰不能使原始样本转化为对抗样本。可证明的下界不依赖于特定的攻击方式,因此更具普适性,更适合作为鲁棒性评价的指标。(三)其他评价方法。现阶段大多数模型在对抗环境下的鲁棒性评价指标都是基于范数,但范数有时不适合衡量输入流量之间的差异,一些规避攻击没有通过范数来生成对抗样本.因此,一些学者提出了其他鲁棒性评价指标,如样本间的Wasserstein距离、扰动敏感距离等,这些指标大大增加了鲁棒性评价的灵活性。表1鲁棒性评估方法对比分析防御机制在评估完检测器的鲁棒性后,安全人员下一步就是制定合理的防御机制来应对逃避攻击。目前有两种选择:(1)被动防御。这是一种比较常见的防御机制。攻击者通过分析检测器,不断尝试寻找合适的攻击策略,进而实施最优攻击;安保人员会尽快对新的对抗样本进行分析。,尽可能地更新检测器。典型的更新方法包括重新收集数据进行训练或添加新功能以检测最新的攻击。这样攻防过程交替进行,形成一种竞赛。(2)主动防御。这个过程与被动攻击基本相同,只是攻防技术竞争的双方都是安全人员。在部署设计的检测器之前,安全人员通过假设对手存在来渗透检测器。首先通过规避攻击的对手模型,假设具体的对手目标、知识、能力和策略,然后找出特定对手模型下检测器可能存在的缺陷和攻击威胁,进而提出合适的措施加入到设计中的探测器。图1被动防御与主动防御攻击概念图常见防御方法安全人员在抵御规避攻击时,可以从两个方面着手:提高网络入侵检测器的鲁棒性,降低对抗样本对检测器的影响。目前,研究人员提出了多种防御方法,主要包括修改检测器的分类模型、增加额外的模型、修改训练阶段的输入样本、修改测试阶段的输入样本等。一些常用的方法和分类如表2所示,我们在下面对其进行简要介绍。(1)防御性蒸馏。该方法采用知识迁移的思想,将原分类模型学习到的信息迁移到小网络模型中,从而实现梯度掩蔽。防御蒸馏可以有效抵抗一些基于梯度的规避攻击,但研究表明,这种防御方法在模型函数未知或黑盒攻击的情况下会失效,例如使用C&W方法发起攻击时。(2)正则化。该方法是指在训练过程中对分类模型的目标函数的输出进行惩罚,使模型的输出对输入不太敏感。深度压缩网络的防御方式与这种方式的思路类似。它使用压缩自编码器在训练时加入平滑惩罚,从而使模型的输出更加平滑。此类方法可以显着提高检测器的鲁棒性,但可能会在一定程度上降低检测器的有效性。(3)防御全局扰动。该方法在分类模型之前增加了一个额外的处理层,并对这一层进行训练,使该层具有恢复全局扰动对抗样本的能力。但是,这种方法只能抵抗模型的全局扰动,无法防御其他方法产生的对抗样本。(4)基于生成对抗网络的防御。该方法利用生成对抗网络来增强检测器的鲁棒性。它包括两种机器学习模型,一种作为检测器,一种用于生成对抗样本,然后通过两种模型的博弈不断训练检测器。这种方法可以有效抵抗对抗性攻击,但是如果生成的对抗性网络本身没有经过适当的训练和挑战,模型会受到原始输入样本和对抗性样本的影响。(5)检测对抗样本。这种防御方法只需要识别输入样本是否是对抗样本。目前,研究人员提出了多种检测方法,如基于统计的检测、基于局部固有维度的检测、FeatureSqueezing等,但此类方法一般不提供检测到对抗样本后的响应方案,而是将也会降低检测器的精度。(6)对抗训练。该方法将各方法生成的对抗样本放入原始模型中进行训练,通过修改训练样本集来提高分类模型的鲁棒性。除了经典的对抗训练外,目前还有很多优化的对抗训练方式,如综合对抗训练、级联对抗训练等,都取得了很好的防御效果。但是,该方法只能添加已知攻击方法生成的特定类型的对抗样本,缺乏泛化能力。此外,当检测器的数据集很大时,这种方法的训练成本很高。(7)数据压缩。这种方法是通过在测试阶段修改样本集来降低对抗样本的对抗性扰动对分类模型的影响,例如,压缩多个流的输入样本,形成一个输入样本,然后让检测器做出一个判断。数据压缩的优点是无需修改模型,计算量小,易于实现,但对检测器的精度会有一定的影响。表2防御逃避攻击的常用方法总结机器学习模型在网络入侵检测领域有着卓越的表现,但也带来了逃避攻击的安全隐患。规避攻击的对手模型和攻击策略多种多样。面对复杂的对抗环境,安全人员仍需加强对网络入侵检测器的测试评估,不断研发和完善安全防御技术,掌握攻防博弈的主动权,使“机器学习+网络安全”走得更远。远的。参考文献[1]徐华,马勇,刘慧聪,等。图像、图形和文本中的对抗性攻击和防御:综述[J]。国际自动化与计算杂志,2020,17(2):151-178.[2]袁小勇、何盼、朱其乐、李小林。AdversarialExamples:AttacksandDefensesforDeepLearning.[J].IEEEtransactionsonneuralnetworksandlearningsystems,2019,30(9).[3]王克棣,易平。人工智能对抗环境下模型鲁棒性研究综述[J].信息安全学报,2020,5(3):13-22.[4]张嘉楠,赵振东,玄静,常晓林.深度学习对抗样本防御方法综述[J].网络空间安全,2019,10(08):93-101.[5]段光汉,马春光,宋雷,吴鹏。深度学习防御研究中对抗样本的构建与应用[J].网络与信息安全学报,2020,6(02):1-11.[6]李攀,赵文涛,刘强,等.机器学习安全问题与防御技术综述[J].计算机科学与探索,2018.[7]张思思,左昕,刘建伟.深度学习中的对抗样本问题[J].计算机科学学报,2019(8).【本文为专栏作者《中国保密协会科学技术分会》原创稿件,转载请联系原作者】点此查看该作者更多好文
