基于可逆对抗特征的网络入侵检测算法黑盒攻击与防御研究.pdfVIP

摘要

近年来，攻击者使用更加隐蔽的方式绕过传统的网络安全防御手段，导致

安全事件不断增加。为了提高网络入侵检测系统（NIDS）的检测准确性和泛化

能力，越来越多的系统开始采用机器学习（ML）技术。然而，基于机器学习的

系统容易受到对抗攻击的威胁。为了评估ML-NIDS的安全性，需要对它进行

对抗攻击。在黑盒情况下，ML-NIDS无法使用基于梯度或雅可比矩阵的传统对

抗攻击方法。这是因为流量模型中的特征提取方法是不可逆且不可微的。其中

利用生成式对抗网络（GAN）生成对抗特征的攻击试图解决特征不可逆的问题，

但此类攻击生成的对抗特征也是不可逆且不真实的，造成了生成的对抗流量攻

击效果不佳。此外，可以通过对抗防御提高ML-NIDS模型的准确性和鲁棒性，

但现有的对抗防御方法针对对抗流量的检测能力和鲁棒性较弱。针对上述不足，

本文从对抗攻击和对抗防御两个维度提出解决方案，主要工作如下：

（1）针对特征不可逆的问题，本文提出了基于变异生成可逆对抗特征的黑

盒攻击算法。该算法基于变异的生成式对抗网络（MuGAN），通过变异器生成

可逆对抗特征。再利用基于核密度估计（KDE）的变异方法生成真实的对抗流

量。本文在Mirai、SSDP-Flood、DDOS和Brute-Force四个攻击数据集以及

KitNET、IF、SVM和MLP四个基于机器学习的NIDS上进行了实验评估。与

之前的黑盒攻击方法相比，本文的攻击方法在94%的情况下逃避率更高，说明

了利用可逆对抗特征生成的对抗流量针对ML-NIDS的攻击更具优势。

（2）针对现有对抗防御方法在对抗流量的检测能力和鲁棒性较弱的问题，

本文提出了利用可逆对抗特征的KDE与博弈论防御方法。首先利用之前对抗攻

击获得的可逆对抗特征，通过KDE的方法分析可逆特征的特点，提高对对抗流

量的识别能力。其次，考虑到攻击者可以利用无监督模型分类器的固定阈值进

行攻击。本文利用博弈论的方法模拟攻击者与防御者，确定防御者最优的动态

阈值。实验结果表明，基于KDE的方法在63%的情况下优于对抗训练。但基于

KDE的方法在不同数据集上的检测率不稳定，鲁棒性不足；而基于博弈论的方

法虽然鲁棒性较好，但检测率不足。当将两种方法结合起来时，在所有数据集

上都获得了最高的检测率。这表明综合两种对抗防御方法可以兼顾鲁棒性和准

确性。

关键词：NIDS，机器学习，对抗攻击，可逆对抗特征，核密度估计，博弈论

ABSTRACT

Inrecentyears,securityincidentshaveemergedinanendlessstreamdueto

attackersusingmorecovertmethodstobypasstraditionalnetworksecuritydefenses.

Inordertoimprovedetectionaccuracyandgeneralizationability,networkintrusion

detectionsystems(NIDS)usemachinelearning(ML)techniquesincreasingly.

However,machinelearning-basedsystemsarevulnerabletoadversarialattacks.To

evaluatethesecurityofML-NIDS,adversarialattacksonitarerequired.Intheblack-

boxsituation,ML-NIDScannotusetraditionaladversarialattackmethodsbasedon

gradientorJacobianmatrix.Thisisbecausefeatureextractionmethodsintraffic

models