文摘
近年来,机器学习取得了巨大的进步在计算机视觉领域,自然语言处理,和网络安全;然而,我们不能忽视,机器学习模型容易受到敌对的例子,与一些小的恶意输入修改,虽然出现修改的观察者,基于机器学习模型的输出很容易被误导。同样,攻击者可以绕过machine-learning-based攻击系统的安全防御模型实时通过生成对抗的例子。在本文中,我们提出一个黑箱攻击方法对machine-learning-based异常网络流量检测算法。我们的进攻策略在于训练另一个模型代替目标机器学习模型。基于替代模型的整体理解和迁移的对抗性的例子中,我们使用替代模型工艺敌对的例子。实验表明,我们的方法可以有效地攻击目标模型。我们攻击的几种网络流量检测模型,基于不同的机器学习方法,我们发现敌对的例子由我们起草方法可以绕过目标模型具有较高的检测概率。
1。介绍
随着计算机技术和通信技术的快速发展,计算机网络是一个越来越重要的角色在当今信息社会,它已经成为人们生活的一个重要组成部分。与此同时,互联网的快速发展也带来了人们许多的安全问题,以及如何有效地保护机密信息在网络上的传播已经成为一个问题。
随着计算机技术的发展,特别是提高计算速度、传输速度、内存容量,机器学习(ML),特别是深度学习(DL),发展非常迅速,已广泛应用于许多领域,如自然语言处理(不良贷款)1),物联网(物联网)2,3),计算机视觉(简历)4),和时间序列预测5,6]。近年来,许多学者也试图利用机器学习算法来解决网络安全检测问题。
佩尔韦兹·et al。7)提出了一种滤波算法,它是基于支持向量机(SVM)分类器来识别恶意网络入侵NSL-KDD入侵检测数据库;他们的方法达到非常高的训练集的分类精度,但测试集的性能并不理想。
尝试了各种各样的攻击和不同值,饶et al。8)使用索引部分距离搜索再(IKPDS)识别攻击。他们测试了他们的方法与随机选择的12597个样本,从NSL-KDD数据集,导致99.6%的准确率在他们的实验中。
Azad et al。9)提出了一个基于遗传算法的入侵检测方法和C4.5决策树;他们训练模型KDD Cup 99数据集,准确率99.89%和0.11%。
深度信念网(DBN)也被许多学者在入侵检测中,通过培训40% NSL-KDD数据库。押沙龙等。10)提出了一个深刻的信念网络(DBN)的入侵检测模型通过一系列实验。在他们的实验中,他们的DBN入侵检测模型50迭代后达到97.5%的准确率,有效地和它可以识别未知攻击。
阴et al。11提出了入侵检测(RNN-IDS)基于循环神经网络模型。他们使用NSL-KDD数据库的性能评估模型在智能化和二进制分类;他们还测试了不同的学习速率的影响和神经元的数量模型的性能。在二进制分类实验中,模型的训练和测试精度达到99.81%和83.28%,分别和智能化实验,训练和测试精度达到99.53%和81.29%,分别。
以网络流数据为图像、王et al。12)提出了一种基于卷积神经网络异常流量分类方法(CNN);在他们的研究中,他们在两个场景进行实验与三种类型的分类器,和最后的平均精度达到99.41%。除此之外,其它许多machine-learning-based应用在网络安全也介绍了13]。
尽管上述发展代表在许多领域重大进展,机器学习有其内在的不足。Szegedy et al。14)发现,机器学习,特别是深度学习,很容易受到敌对的例子。机器学习(毫升)或深度学习(DP)模型可以很容易的被添加一些精心设计的输入噪声。自从Szegedy等人于2013年首次发现了深度学习对抗的例子,学术和安全社区也意识到即使是最先进的机器学习算法可以很容易被敌对的例子,这是由攻击者精心设计的。这将使machine-learning-based模型很难在实际应用发挥应有的作用。
本文的主要贡献包括以下:(我)没有针对性黑盒敌对的例子一代方法machine-learning-based异常网络流量探测器提出了本文。(2)之间的差异产生敌对的例子的方法计算机视觉领域,本文讨论了入侵检测系统。(3)的要点对异常网络流量检测产生敌对的例子是本文中讨论。
这篇论文使用的主要符号和符号表中列出1。
本文的其余部分组织如下。节2,敌对的工作示例生成方法的研究进展。部分3解释了敌对的示例中生成方法的关键领域的id。部分4细节我们的黑盒攻击方法向machine-learning-based网络流量检测器。部分5介绍了方法和我们的黑盒攻击方法的具体步骤。部分6实验结果和分析。部分7本文总结道。
2。相关工作
当前敌对的示例生成的机器学习算法主要集中在计算机视觉领域。Szegedy et al。15)首次引入的概念在2014年为深层神经网络对抗的例子。他们引入了一个方法叫L-BFGS产生敌对的例子,它可以表示为 在哪里是一个常数,计算了由line-searching方法;损失函数;和微扰添加到原始图片。作者认为,微扰添加到输入层将积聚在转发的过程神经网络的传播,直到它变得足够大的交叉分类边界。
虽然L-BFGS攻击使用线性搜索的方法找到最优值,它是不切实际的和费时的。格拉汉姆·古德费勒et al。16)提出了一种快速方法快速梯度信号方法(FGSM)在2014年产生敌对的例子;他们只执行一步梯度更新每个像素的梯度的迹象,和他们的方法可以表示为 在哪里是敌对的例子,是原始数据,扰动的大小。
Kurakin et al。17]提出他们的方法称为基本迭代法(BIM)的简单扩展FGSM多次运用这一小步的大小: 在哪里表示element-wise剪裁 ,与剪的范围 。
进一步攻击特定的阶级,他们选择了最不可能的预测和试图最大化熵损失。这种方法被称为迭代最不可能类方法(18]:
使用这种方法,他们愚弄了精心设计的神经网络对抗的形象从摄像机拍摄的成功例子。
上面介绍的算法来产生敌对的例子都是基于白盒的攻击。在黑盒攻击方法,Papernot N等人提出了一个基于替代模型方法;他们的策略是训练当地的替代模型,同样的决定与目标模型边界。用于训练替代模型的数据集是由攻击者和标记的目标模型。敌对的例子是精心使用替代的参数,这是已知的。他们的方法生成的对抗性的例子不仅可以愚弄替代模型目标模型,因为两个模型有相似的决策边界(19]。除此之外,还有许多其他的方法来产生敌对的例子,如零阶优化(动物园)20.),一个像素攻击(21甘)、自然(22),自然evolution-strategy-based攻击(23],边界袭击[24)等等,他们取得了很大的进步领域的黑箱敌对的例子生成研究。除此之外,更多的研究中可以看到[25,26]。
在网络安全领域,胡锦涛和棕褐色(27)进行了详细的分析machine-learning-based恶意软件算法的鲁棒性。他们提出两个借口方法根据该恶意软件可以假装是良性的,傻瓜的检测算法。Grosse K et al。28]也扩大了领域的方法,使用电脑版Android恶意软件攻击检测模型;DREBIN数据集,他们取得了误分类率高达69%。
安德森et al。29日)设计了DeepDGA,氮化镓的延伸。他们试图伪随机产生的域名,是现代DGA分类器来检测困难。他们的技术生成域基于逐字符和大大超过典型的DGA的隐形技术。
使用NSL-KDD数据库,杨K et al。30.)曾试图模拟对抗攻击深层神经网络模型(款)申请NIDS在现实世界中,和评估三种不同算法(基于替代模型的攻击,动物园,GAN)在推出对抗攻击黑盒模型。在他们的工作,准确、精密,召回,fscore目标模型款黑盒攻击下显著降低。
训练数据集KDD杯99,林Z et al。31日]IDSGAN提出一种改进的氮化镓对入侵检测系统的框架。在他们的研究中,模型的可行性证明攻击许多检测系统与不同的攻击并取得了很好的效果;然而,目前,氮化镓的培训仍然是不稳定的,它收敛模型失败和崩溃等问题。
尽管敌对攻击的主要目的的对抗性的例子是逃避检测machine-learning-algorithm-based IDS系统,前提是敌对的攻击者精心设计的例子应该保留的攻击功能网络行为。杨K et al。30.)保留了攻击函数通过约束扰动原攻击流量。林Z et al。31日)是通过保持每个攻击的功能特性不变,但是他们没有进一步研究如何限制扰动使敌对的例子符合物理特性的网络流量而不失真。
3所示。敌对的IDS领域的例子
把分类问题为例,产生敌对的例子通常是解决以下约束优化问题: 在哪里损失函数,是目标分类模型,是原始数据,是敌对的例子, , ,和之间的距离是敌对的例子吗和原始数据 。
如图1,类似于计算机视觉领域,领域的id,敌对的示例生成的过程是添加一个微妙的扰动噪声原始恶意攻击流量数据,所以,攻击者可以成功地绕过检测机器学习算法对目标模型进行恶意攻击。德·卢卡斯et al。32]介绍了许多敌对的交通数据的示例的关键点;在这里,我们关注两个关键差异之间的对抗性的例子的id和计算机视觉领域:(我)声音的方向(2)静态的噪音
3.1。声音的方向
一般来说,这个过程产生敌对的例子是添加适量的扰动以及其梯度的方向。攻击者可以欺骗目标模型成功地通过对抗性的例子交叉目标模型的决策边界;然而,有一个关键,我们必须确保不会丢失我们攻击函数添加噪声的原始数据。
在计算机视觉领域,一个图片文件是由许多像素;由三个数字组成,每个像素对应于三种颜色,即红色、绿色和蓝色,和每个像素共享相同的属性。然而,在入侵检测领域的交通连接数据包括无限期的数据包数量,每个包包含了很多信息,比如five-tuple(源IP、源端口、目的IP,目的港,和协议类型),数据包报头和有效载荷。在此基础上,不同的特性,如协议类型、负载长度、持续时间、最大消息长度、最小消息长度,平均消息长度,等等,可以提取输入的机器学习模型。但是,与图片文件,每个特性的交通连接代表不同的物理含义,和其他相关的一些特性(例如,最小和最大分组长度会影响数据包的平均长度)。除此之外,一个小变化像素颜色值的数量几乎没有对整体的影响,而对于交通连接数据,一些关键特性的修改可能会失去重要的信息,削弱原有的恶意行为的攻击能力,因此,在交通的过程中产生敌对的例子,声音的方向被添加到原始数据必须严格控制。
3.2。静态的噪音
如图1在计算机视觉领域,对抗的例子仍然是一个熊猫在人类视觉系统(HVS),但图像转换为数字信号后三个颜色通道的红色,绿色和蓝色,它能成功地误导基于机器学习模型分类熊猫长臂猿。为了使敌对的例子视觉上大约一样的原始图片 ,的规范 期间推出的约束通常是敌对的生成的例子。
然而,领域的id,这个条件不合适。敌对的例子是类似于原始的交通是否会导致一个异常报警并不是确定通过视觉直接观测的流量数据,但网络监控设备,除了大部分machine-learning-based异常流量识别方法,经常提取交通特征,如协议类型、数据包长度,从交通和持续时间信息数据,然后根据这些统计特征识别恶意行为。通常,这些统计特性对应不同的物理含义;因此,在计算敌对的例子和原样品之间的距离,不同的统计特性应该根据不同的影响系数 。例如,流量包的长度变化从500字节到510字节没有影响整体交通信息,但如果从TCP, UDP协议类型的变化,这意味着两个完全不同的流量数据。因此,约束条件的噪声添加到交通数据应该被描述为 在哪里n是交通数据的数量特征。
4所示。黑盒的攻击方法
在黑盒攻击场景中,攻击者没有目标模型的结构和参数信息,攻击者的唯一功能是输入所选数据到目标模型和目标模型标记的观察结果。因此,当前的主流方法,产生敌对的例子主要是基于迁移的敌对的例子。只要两个模型A和B是训练在相似的任务,影响一个模型的对抗性的例子往往会影响其他,即使两个模型具有完全不同的结构和参数。因此,攻击者只需要发动攻击的替代模型白盒法和转移敌对的例子生成替代模型到目标模型。
基于信息替代模型的结构和参数,攻击者可以使用任何白盒方法工艺敌对的例子。由于迁移的对抗性的例子,敌对的例子是有效的替代模型也将更进一步的目标有高概率模型。因此,黑盒敌对的示例生成主要包括两个过程:(我)替代模型训练:基于相同的培训任务和类似的数据库与目标模型,我们训练一个替代模型这股票类似的决策边界与目标模型(2)敌对的例子代:攻击者使用替代模型工艺敌对的例子,然后检查是否敌对的例子将更进一步的目标模型
黑盒攻击目标模型是通过一个白盒攻击替代模型。在我们的论文中,我们使用白盒方法创建异常网络流量敌对的例子是女子的扩展(17),可以表示如下: 在哪里是原来的网络流量数据,步长,的迭代次数,是约束向量。用于限制约束向量总是在一个允许改变方向的物理约束的噪音。是一个归一化函数,用于梯度向量转换成一个向量之间的所有值(−1,- 1),它可以表示如下:
5。生成网络流量异常敌对的例子
在我们的工作中,我们试图绕过machine-learning-based异常网络流量分类器通过添加小而故意坏扰动数据集的数据。为了实现这一点,我们假设我们一无所知的结构、类型、目标模型和参数,我们只能做有限数量的查询访问目标模型。
在我们的论文中,我们首先训练替代模型,也有类似的决策边界与目标分类器;然后,基于迁移的对抗性的例子中,我们使用上面提到的白盒生成方法和替代模型工艺敌对的例子。黑箱异常网络流量生成过程提出了敌对的例子是图所示2,主要流程包括以下部分:
5.1。数据集
如图2的数据集用于培训目标模型和产生敌对的例子。我们选择了KDD cup 99和CSE-CIC-IDS2018作为我们实验的数据集。数据库知识发现(KDD)杯99年是9周的网络连接数据收集从一个模拟美国空军局域网分为标记的训练数据和标记测试数据。在这个数据集,每个连接是由41特征描述;其中,有TCP连接的基本特征(总共9类型),TCP连接的内容特征(类型)13日,基于时间的网络流量的统计特征(9类型),和基于主机的网络流量统计(总共10类)。如表所示2,数据集包含四种攻击类型,有Dos,探测,R2l, U2r, 10% KDD99的子集,Dos攻击占最大比例的异常攻击,高达98%。U2r类型攻击是最少的,只有22岁。由于少量的U2r和R2L训练集,他们都是交通基于内容的攻击;因此,在我们的实验中,这两种类型的攻击是一组。平衡每组的数量,我们从每一组中提取1000袭击。
表2显示了包含在KDD99数据集类型的网络攻击。最后一列是在10%的攻击数据集的数量。
近年来,IDS2018已广泛应用于网络安全的研究。IDS2018是一个多样化的和全面的基准数据集在入侵检测领域,它包括捕获网络流量和每台机器的系统日志,连同80年从捕获的交通特性,并包括七种不同的攻击场景:Heartbleed,蛮力,僵尸网络,网络攻击,DoS, DDoS,从内部网络的渗透。在我们的实验中,我们总结了所有的攻击类型为:机器人,Dos,蛮和渗透。
5.2。抽样算法
在黑盒的情况下攻击中,多次查询目标模型可以很容易地吸引防守的注意;因此,减少查询时间尽可能多目标模型不仅可以提高黑盒攻击的效率也是关键约束黑箱攻击方法是否真的能实现真正的网络环境。
在这篇文章中,类似于Papernot N et al。33),我们使用水库采样算法来减少查询到目标模型。水库采样是一个随机抽样算法,目的是选择样本集包含N个元素,其中N是一个大型的或未知的号码。所示的算法1,第一个K样本集合S最初是作为抽样的结果,然后通过其他样本集 。当第i个样本,选择策略是生成一个随机数范围内 。如果小于 ,取代带有样本的抽样结果集在数据集的第i个样本 。如果大于或等于什么 ,继续迭代。通过所有的数据迭代之后,返回这些样本。该算法使所有样本集的概率相等的前提下选择只访问数据流一次。使用水库采样算法可以极大地减少查询目标模型的数量和提高训练效率的替代模型。
|
如步骤2图所示2,原始数据集 ,和子集后获得的采样算法。使用作为训练集,查询目标模型标签作为训练集,这可以用来训练替代模型类似的决定边界数量有限的数据集。
5.3。替代模型训练
过程中产生敌对的例子中,我们使用的梯度信息替代模型方向工艺敌对的例子。要求替代模型应该有一个类似的决策边界作为目标模型。从黑盒的攻击者,我们知道对目标模型的结构和参数。然而,由于我们可以查询目标模型,我们可以估计的近似信息目标模型的输入层和输出层通过观察目标模型的输入和输出;然后,我们可以设计替代模型的结构。
Papernot N等的研究。19)表明,替代模型和目标模型只需要通过一个类似的培训过程中生成的对抗性的例子,和没有必要有相同的网络结构和参数。在本文中,我们选择多层感知器(MLP)网络作为替代的结构模型。输入层的神经元数对应的数量特征的交通数据,和输出层的神经元的数量对应于攻击流量的数据的数量。如图2,替代训练数据集 ,这是原始数据集的子集和标记的目标模型。
5.4。产生敌对的例子
在计算机视觉领域,敌对的示例生成的过程是找到适当的扰动满足下列条件: 在哪里目标模型,是输入图片,然后呢时微扰添加到原来的图片吗的摄动小于 ;这意味着扰动没有可察觉的人类的眼睛。
正如上面提到的,我们必须确保网络流敌对的例子仍然在它的攻击功能,没有关键信息丢失,否则,它没有实际意义。在计算机视觉领域,任何像素的图片的修改将不会产生更大的影响的内容。因此,扰动是否能被人眼感知主要是通过测量计算的噪音 ,但在IDS领域,不同的特性有不同的影响对整个网络连接属性。一些功能的变化,如网络连接的类型,将导致网络连接的根本性变化,和一些功能的变化将导致网络连接信息不符合物理特性。因此,对抗的例子生成过程在网络安全领域受到以下限制:(我)扰动的大小是否可以检测到并不是由一个人决定的,而是由网络设备(2)原连接相比,对抗的例子不能失去网络连接的关键信息,确定扰动的方向添加到原始连接必须严格限制(3)敌对的例子必须保留原始的攻击功能连接
为了解决上述问题,如上所述,林Z et al。31日)尽量保持攻击函数通过添加修改的功能模型,这意味着只有添加扰动特性影响较小。然而,这种方法只限制一些特性,不能修改,但不限制的方向扰动添加到修改的功能。这可能扭曲了原来的连接信息;例如,如果原来的连接包含1000字节的数据,只有990字节和对抗的例子,它将导致10个字节数据失真相比原来的连接。
如下所示,在本文中,我们通过两项措施解决这个问题,这是约束向量的主要内容在方程(7)。(我)严格限制的数量修改的功能的过程中对抗的例子。本文从网络流数据中提取的特征,我们只向非关键特性添加扰动,如数据包的长度,连接的持续时间,包间隔的长度。(2)对修改的特性,扰动的方向添加到原始连接严格限制,以避免信息失真。功能,可以修改,我们只有积极的扰动添加到原始数据。例如,对于数据包的长度,我们只添加扰动的方向数据包的长度。
我们现在描述网络流敌对的示例生成过程中概述的算法2,如下所示。(1)最初,敌对的例子与原始输入连接 。(2)在迭代过程中,首先计算叉最初的网络流量信息的标签和标签 ,然后计算梯度的在样例 。(3)计算扰动在这个迭代添加: 在哪里是一个归一化函数(方程(8))。是样品的步长沿梯度方向移动,越大吗越大,噪声添加在一个迭代,然后呢是约束向量扰动。(4)添加微扰在迭代生成的 。如果替代模型成功地欺骗或当前迭代中产生的噪声是0,停止迭代过程,返回敌对的例子 。
|
6。结果
6.1。目标模型
评估我们的模型的能力全面、深入,我们第一次训练的几种典型异常网络流量分类模型基于10% KDD99数据集的子集,IDS2018数据集,分别。采用黑箱IDS的算法实验包括卷积神经网络(CNN)、支持向量机(SVM),再(资讯),多层感知器(MLP)和剩余网络(Resnet)。
来验证网络的有效性遵循敌对的例子中,我们随机选择1000个样本数据的各种异常攻击目标模型和标签。基于这些攻击数据,我们使用本文方法生成对抗的例子和查询目标模型的分类结果为这些敌对的例子。然后,我们使用召回率来评估的有效性敌对的例子,召回率越低,越有效对抗的例子。 在哪里实例的数量,正确分类和吗更进一步的是实例的数量模型。
6.2。攻击基于白盒
核实攻击方法的有效性,我们进行了白盒攻击实验方法在这一节中。在实验中,我们选择了CNN作为目标模型。首先,我们使用KDD Cup 99数据集训练CNN-based恶意流量检测模型。然后我们随机选择1000条记录的Dos攻击,U2r&R2l袭击,试探性的攻击,和正常的网络连接。最后,我们使用了本文提出的方法,4000条记录从原始数据中提取工艺敌对的例子中,我们使用目标CNN模型将原始数据和对抗的例子,和混淆矩阵如图3。
(一)
(b)
如图3(一个)原始数据集,CNN-based恶意流量检测模型可以准确地分类为不同类型的攻击,约98%的准确率,可以完整的网络流量的检测。然而,对于生成的敌对的例子,我们可以看到从图3 (b),目标CNN模型检测精度最高为不同类型的网络流量和四级检测模型中,只有27.2%是完全无法使用。敌对的示例生成的方法提出了可以显著降低分类精度machine-learning-based网络流量异常检测模型。Dos攻击,约74%的攻击连接可以成功地绕过目标的检测模型,和其他类型的异常交通连接,效果是相似的。
在实验中,我们也调整了单一的摄动迭代步长,结果如图所示4。当步长设置为1时,意味着网络流的召回率探测器约为33%。增加的步长,当上述步骤3中,模型的召回率稳定在25%左右,步长和增加的成功率几乎没有影响一代对抗的例子。
6.3。攻击基于黑盒
6.3.1。替代模型
正如上面提到的,我们选择了多层感知器(MLP)网络作为替代的结构模型。这一事实替代模型和目标模型有相似的决策边界是一个关键的成功率的方法。在这里,我们使用评估的相似性决定边界之间的替代模型和目标模型,如下所示。越高价值,越相似替代品的决策边界模型和目标模型。
对于不同的目标模型,的值不同的攻击类型的替代模型图所示5。在训练数据集用于替代模型,正常的网络连接和Dos攻击占较高的比例,和它的值都是99%左右。相反,探测、U2l R2l占比例相对较低的数据集,和他们的值相对较低。最低的U2r和R2l集团 ,最低值是50%,最高为70%。然而,由于数量非常小在整个数据集,它几乎没有影响价值。一般来说,替代模型仍然具有很高的相似性决定边界与目标模型。
再。模型的攻击
基于黑箱恶意的网络流量检测模型的类型,我们已经训练,我们使用本文方法对KDD99数据集,攻击结果如图6。较低的对抗的例子反映在各种攻击的能力对抗攻击实验。
(一)
(b)
如图6(一),意思是这些恶意流量检测模型是91.8%,这意味着所有这些模型可以很好地识别恶意攻击。
如图6 (b),平均DoS下的所有检测算法是19.8%。结果显示性能优良的黑盒法在DoS攻击。最好,延时的情况下,94.2%以上的敌对的DoS网络流的例子可以逃避检测的IDS模型在每个测试。
对于调查的情况下,平均水平是32.7%。虽然资讯显示更好的鲁棒性,仍有大量的恶意攻击,逃避检测的目标模型。平均约67.3%的探测网络流敌对的例子可以绕过目标模型的检测。
,在最坏的情况下U2R & E2L的平均水平U2R & E2L在所有检测算法是42.5%,这意味着大约57.5%的U2R & E2L网络流敌对的例子可以逃避检测目标模型的平均水平。
IDS2018数据集,正如上面提到的,我们总结了所有的攻击类型为:机器人,Dos,蛮和渗透。在此基础上,我们训练三种恶意流量检测模型:延时,CNN, ResNet。的这些恶意流量检测模型如图7(一),我们可以看到所有这些模型可以很好地识别恶意攻击的意思达到90%。同样,我们随机选择1000样本恶意攻击和标签的目标模型。然后,我们用方法产生敌对的例子,结果如图7 (b)。对于MLP-based检测模型,平均72.2%的恶意流量数据可以成功地绕过目标的检测模型。其中,Dos攻击,成功率高,能成功地欺骗目标模型以87%的概率,和机器人攻击成功率较低的也有52.5%概率。对于CNN和ResNet-based检测模型,平均70%和71%的恶意流量攻击能够成功绕过目标的检测模型,分别,其中,99.9%的机器人攻击可以成功地绕过目标的检测模型。敌对的例子展示弱攻击野蛮攻击,但超过30%的交通数据成功地绕过目标模型的检测。
(一)
(b)
6.3.3。采样率对黑箱攻击的影响
在这篇文章中,我们发动攻击的替代模型在白箱模型,然后应用敌对目标模型的例子。该方法的成功率主要取决于相似的梯度信息和决策替代模型和目标模型之间的边界。如步骤2图所示2,替代模型训练的子集是哪一个 ,和采样率的比例在 。采样率越大,越接近是 ,,越有可能替代模型和目标模型边界将有类似的决定。在此基础上,我们测试Kdd99数据集,以CNN为黑盒IDS模型。使用不同的采样率采样算法生成网络流量敌对的例子,在图所示的结果8:
如图8,当采样率设置为10%,Dos的对抗性的例子可以在很大程度上绕过目标模型的检测。然而,其他两种类型的性能很差因为DOS占据了大部分的数据集。当采样率小,探测的比例和U2r&R2l sub-dataset用于训练替代模型将更小,和替代模型不能有非常相似的决策边界与目标模型。当采样率超过30%,平均概率的敌对的各种攻击逃跑的例子目标模型的检测并没有改变太多。因此,我们的方法可以有效地生成网络流量敌对的例子,即使数据集的能力用于训练替代模型相对较小。
6.3.4。步长对黑箱攻击的影响
在步骤3中所描述的人物2,在生成的过程中异常网络流量敌对的例子,扰动量添加到原始网络流量数据在一个迭代依赖于梯度和步长 。一个合适的步长可以快速生成有效的对抗的例子。在此基础上,我们测试Kdd99数据集,以CNN为黑盒IDS模型,然后使用不同大小的一步工艺异常网络流量对抗的例子,在图所示的结果9。
如图9,在生成的过程中异常网络流量敌对的例子,以探索为例。当步长变化从1到17日召回率从85%降低到30%。当5到9日平均吗是最低,约为33%,这意味着超过67%的网络流量异常的例子可以绕过目标machine-learning-based模型的检测。所以可以看出,一个适当的步长有很大影响的成功率代对抗的例子。
7所示。结论
在本文中,我们详细比较了敌对的例子代技术在计算机视觉领域和IDS之间,我们分析了要点和相应的解决方案,使敌对的IDS领域的例子。首先,我们训练替代模型类似的决策边界与目标模型对KDD99数据集和CSE-CIC-IDS2018数据集,然后BIM算法扩展到工艺敌对的例子的替代模型的结构和参数。最后,我们检查是否敌对的例子可以绕过目标模型的检测。实验表明,我们的方法可以有效地生成网络流量对抗的例子可以应用于真实世界的景观之上,能够成功傻瓜的大部分machine-learning-based检测模型。
在未来,我们将进一步关注的研究技术在网络安全领域的对抗的例子。这项研究将集中在两个方面:首先,我们将直接将算法应用于实际网络流量数据包;其次,我们将研究更复杂的恶意攻击敌对的例子基于多传感器数据网络设备的技术。
数据可用性
我们的论文中使用的数据集可以http://kdd.ics.uci.edu/databases/kddcup99/kddcup99.html和https://www.unb.ca/cic/datasets/ids - 2018. - html。
的利益冲突
作者宣称没有利益冲突。
确认
这部分工作是支持中国国家重点研发项目(批准号2020 aaa0107700),部分自然科学基础研究计划在中国陕西金桥(批准号2020 - 214),由国家电网部分甘肃电力公司科技项目(批准52272219100 q),和部分自然科学基金中国江苏高等教育机构(项目没有。17 kjb413001)。