引言近年来,随着人工智能的蓬勃发展,机器学习技术在网络入侵检测领域得到广泛应用。然而,机器学习模型中存在对抗样本的安全威胁,导致该类网络入侵检测器在对抗环境中存在特定的脆弱性。本文主要总结了对抗样本引起的逃逸攻击,分为两部分。第一部分从基本概念出发介绍了逃避攻击的工作机制,第二部分介绍了针对逃避攻击的防御措施。希望读者对基于机器学习的网络入侵检测器的安全风险有更清晰的认识。当网络入侵检测器遇到机器学习网络入侵检测系统(NetworkIntrusionDetectionSystem,NIDS)时,通过收集网络流量等信息,发现被监控网络中违反安全策略、危害系统安全的行为,是重要的安全保障保护。方法。面对日益复杂的网络环境,传统NIDS系统资源占用过大、未知攻击检测能力差、需要人工干预等缺点日益凸显。在此背景下,研究人员急于寻找新的解决方案,将目光投向了快速发展的机器学习技术。基于机器学习的网络入侵检测器将网络入侵检测问题建模为网络流量的分类问题,并使用一些机器学习方法细化分类模型进行分类预测。目前,多种机器学习算法,如决策树、支持向量机、深度神经网络等被用于区分入侵流量和良性流量,并取得了良好的实验效果。什么是对抗样本?2013年,Szegedy等人。首次在深度神经网络(DNN)中发现了一个对抗样本,引起了机器学习社区的广泛讨论。对抗样本是指在原始输入样本上加入轻微扰动而生成的输入样本,与原始样本相似,但在不改变机器学习分类模型的情况下,可以导致目标模型输出错误的分类结果。事实上,从传统的机器学习模型到深度学习模型,再到强化学习模型,都存在对抗样本的问题。鉴于机器学习技术已经渗透到图像识别、自然语言处理、恶意软件检测等多个领域,对抗样本的发现对机器学习应用的狂热浪潮带来了一定的冲击。图1.对抗样本逃逸攻击示意图对于基于机器学习的NIDS,攻击者可以利用对抗样本逃避NIDS对入侵流量的检测。这种攻击称为逃逸攻击(或对抗性示例攻击、对抗性攻击等)。图2显示了一个典型的逃避攻击过程。NIDS部署在受保护网络的边界,通过提取数据包或网络流的特征形成输入样本,然后使用机器学习分类模型识别样本是否属于入侵流量。发起逃逸攻击时,攻击者首先捕获入侵流量形成的输入样本,通过一定的手段生成对抗样本,然后回放基于对抗样本生成的入侵流量。由于机器学习分类模型的漏洞,流量被NIDS错误分类为良性流量,从而到达受害网络。图2逃避攻击示意图威胁模型攻击者发起的逃避攻击可以从对手知识、对手能力、对手目标和攻击策略四个维度进行描述。其中,对手知识是指攻击者掌握的目标机器学习模型的背景信息,包括模型的训练数据、特征集、模型结构和参数、学习算法和决策函数,以及目标可用的反馈信息模型。根据对手的知识,规避攻击可以分为以下两类:(1)白盒攻击。攻击者在完全了解目标模型的情况下发起攻击。在这种情况下,目标模型的网络架构和参数值、为样本提取的特征集、使用的训练方法等信息都暴露给了攻击者,在某些情况下,使用的训练数据集由目标模型也包括在内。.(2)黑盒攻击。发起攻击时,攻击者对目标模型的了解有限。例如,攻击者可以获得模型的输入输出格式和取值范围,但不知道机器学习模型的网络架构、训练参数和训练算法。在这种情况下,攻击者一般会传入输入数据来观察输出,判断输出并与目标模型进行交互。对于规避攻击,攻击者可能没有能力操纵目标模型或目标模型的训练数据。但是,对手的能力必须包括可以操纵目标模型的测试数据,即攻击者可以修改用于测试模型的网络流量。这种修改可以在网络流(Flow)层进行,也可以在数据包(Packet)层进行。对于规避攻击,对手的目的是影响目标机器学习模型的完整性(Integrity)。具体来说,规避攻击的对手目标包括以下几类:(1)降低置信度:降低输入分类的置信度,从而造成歧义。(2)Notargetmisclassification:将输出分类更改为与原类不同的任意类。(3)TargetedMisclassification:强制将输出分类到特定的目标类中。(4)Source-to-destinationmisclassification:强制将特定输入的输出分类到特定的目标类中。根据敌手知识和敌手目的,集成规避攻击的威胁模型,结果如图3所示。可见,黑盒模式下的针对性攻击会大大增加攻击难度。图3逃避攻击的威胁模型分类常见攻击策略逃避攻击的核心是如何构建能够使机器学习模型误分类的对抗样本。针对基于机器学习的网络入侵检测器,研究人员提出了多种生成对抗样本的方法,主要包括以下几类:(1)基于梯度的方法。这种方法只适用于白盒攻击。在图像识别领域,Goodfellow等人。[15]提出了快速梯度符号(FGSM)方法,该方法假设攻击者完全理解目标模型,通过在梯度的相反方向上添加扰动来增加样本与原始样本之间的决策距离,从而快速生成对抗样本。随后,相继提出了PGD、BIM、JSMA等改进方法。在此基础上,研究工作[1]-[6]采用这种方法修改网络流层的特征,然后为网络入侵检测器生成对抗样本。(2)基于优化的方法。这种方法存在于白盒和黑盒攻击中。塞格迪等人。[16]首先将寻找最小可能的攻击扰动转化为优化问题,并提出使用L-BFGS来解决该分析。这种方法攻击成功率高,但计算成本也高。卡里尼等人。[17]对其进行改进,提出了攻击效果更好的目标函数,通过改变变量的方式解决边界约束问题,称为C&W攻击。研究工作[4]-[6]均采用这种方法生成对抗样本来攻击NIDS。此外,文献[12][13]研究了黑盒模式下生成对抗样本的问题,也将其转化为优化问题,采用遗传算法和粒子群优化求解,从而快速搜索到对抗样本。(3)基于生成对抗网络的方法。这种方法常用于发起黑盒攻击。研究工作[7]-[9]都建立了生成对抗网络(GAN)来生成对抗样本。一般采用目标NIDS作为GAN的检测器,GAN的生成器用于生成对抗扰动,GAN检测器对输入样本的预测分数将用于训练GAN的生成器。特别是,一旦经过训练,生成网络就可以有效地为任何样本生成扰动,而无需向目标NIDS发送任何查询。(3)基于决策的方法。这种方法适合以黑盒方式发起攻击。在真正的逃逸攻击中,攻击者很少能够获得目标模型的预测值。对于目标模型只给出类别标签的情况,Peng等人。[14]提出了一种改进的边界攻击方法来为DDoS攻击生成对抗样本。该方法的主要思想是通过迭代修改输入样本来逼近目标模型的决策边界。此外,研究工作[10]还采用决策的思想,借助有限的目标NIDS反馈,在数据包层面或网络流层面不断修改NIDS的原始输入样本,从而生成逃脱的突变样本。与其他方法相比,这类方法需要的模型信息更少,实用性更强,但需要向目标NIDS发送大量查询,需要更高的攻击代价。表1逃避攻击相关研究工作总结:机器学习为网络入侵检测提供了新的解决方案,但也带来了新的安全风险。在机器学习成为网络安全利器的道路上,攻防博弈不断升级,“机器学习+网络安全”的研究任重道远。参考文献[1]Chi-HsuanHuang,Tsung-HanLee,Lin-huangChang,etal.基于SDN的深度学习IDS系统的对抗性攻击[C]。移动和无线技术国际会议。施普林格,新加坡,2018。[2]M.Rigaki。针对入侵检测分类器的对抗性深度学习。论文,2017.[3]IbitoyeO,ShafiqO,MatrawyA,etal.分析针对物联网网络入侵检测的深度学习的对抗性攻击[C]。全球传播大会,2019.[4]ClementsJ、YangY、SharmaAA等人。联合对抗深度学习的对抗技术以实现网络安全[J].arXiv:CryptographyandSecurity,2019.[5]WangZ.基于深度学习的对手入侵检测[J].IEEE访问,2018:38367-38384.[6]HartlA、BachlM、FabiniJ等人。RNNs的可解释性和对抗鲁棒性[J].arXiv:Learning,2019.[7]潘一鸣,林家军.基于生成对抗网络的恶意网络流生成与验证[J].华东理工大学学报(自然科学版),2019,45(02):165-171.[8]RigakiM,GarciaS.将GAN带入刀战:调整恶意软件通信以避免检测[C]。IEEE安全与隐私研讨会,2018:70-75。[9]UsamaM、AsimM、LatifS等人。用于发起和阻止对网络入侵检测系统的对抗性攻击的生成对抗网络[C]。无线通信和移动计算国际会议,2019:78-83.[10]Hashemi,M.J.,Cusack,G,等人。在对抗环境中评估NIDS。第三届ACMCoNEXT研讨会关于数据通信网络的大数据、机器学习和人工智能。2019:14-21.[11]KuppaA、GrzonkowskiS、AsgharMR等人。深度异常检测器的黑盒攻击[C]。可用性、可靠性和安全性,2019.[12]Alhajjar、E、PaulM和NathanieD.B.网络入侵检测系统中的对抗性机器学习。arXiv预印本arXiv:2004.11898(2020).[13]黄伟,彭旭,史志,等阿尔。针对基于LSTM的DDoS入侵检测系统的对抗性攻击。arXiv预印本arXiv:2613.1684(2020).[14]PengX,HuangW,ShiZ,etal.针对DoS入侵检测的对抗攻击:一种改进的基于边界的方法[C]。人工智能工具国际会议,2019.[15]GoodfellowIJ,ShlensJ,SzegedyC。解释和利用对抗样本[C]//ICML。2015.[16]Szegedy,C,等人。神经网络的有趣特性。arXiv预印本arXiv:1312.6199(2013).[17]卡里尼N,瓦格纳D.走向评估神经网络的鲁棒性[J]。2016.【本文为专栏作者《中国保密协会科学技术分会》原创稿件,转载请联系原作者】点此查看该作者更多好文
