你需要的开源项目都在这里

常见的攻击策略

逃逸攻击的核心在于如何构造能够使机器学习模型产生误分类的对抗样本。针对基于机器学习的网络入侵检测器，目前研究人员已提出多种生成对抗样本的方法，主要包括以下几类：

(1)基于梯度的方法。该类方法仅适用于白盒攻击。在图像识别领域，Goodfellow等人[15]提出了快速梯度符号(FGSM)法，该方法假设攻击者完全了解目标模型，通过在梯度的反方向上添加扰动增大样本与原始样本的决策距离，从而快速生成对抗样本。随后，改进的方法例如PGD、BIM、JSMA等相继被提出。在此基础上，研究工作[1]-[6]都采用了这类方法来对修改网络流层上特征，进而生成针对网络入侵检测器的对抗样本。

(2)基于优化的方法。该类方法即存在于白盒攻击又存在于黑盒攻击。Szegedy等人[16]首次将寻找最小可能的攻击扰动转化为一个优化问题，并提出使用L-BFGS来解决这个分析。这种方法攻击成功率高，但计算成本也高。Carlini等人[17]对其进行了改进，提出了攻击效果更好的目标函数，并通过改变变量解决边界约束问题，被称为C&W攻击。研究工作[4]-[6]都采用了这种方法来生成攻击NIDS的对抗样本。此外，文献[12][13]研究在黑盒模式下生成对抗样本的问题，同样将其转化为一种优化问题，并分别采用遗传算法和粒子群算法来解决，从而快速搜索出对抗样本。

(3)基于生成对抗网络的方法。该类方法常见于发动黑盒攻击。研究工作[7]-[9]均建立生成对抗网络(Generative Adversarial Network，GAN)来生成对抗样本。一般地，目标NIDS作为GAN的检测器，GAN的生成器则用于产生对抗扰动，并且GAN检测器对输入样本的预测得分将用来训练GAN的生成器。特别地，生成网络一旦训练完毕，就可以有效地为任何样本生成扰动而不需要向目标NIDS发送任何问询。

(3)基于决策的方法。该类方法适用于在黑盒模式下发动攻击。在真实的逃逸攻击中，攻击者很少能够获取目标模型的预测值，针对目标模型仅给出类别标签的情况，Peng等人[14]提出了改进的边界攻击方法来生成DDoS攻击的对抗样本。该方法的主要思想是通过迭代地修改输入样本来逼近目标模型的决策边界。此外，研究工作[10]同样采用基于决策的思想，借助有限的目标NIDS的反馈，不断的在数据包层次上或网络流层次上修改NIDS的原始输入样本，从而生成逃逸的变异样本。与其它方法相比，该类方法需要的模型信息更少、实用性更高，但是需要向目标NIDS发送大量的问询，需要更高的攻击代价。

 

威胁模型

由攻击者发起的逃逸攻击可以从四个维度来刻画，分别是敌手知识、敌手能力、敌手目标、攻击策略。其中敌手知识是指攻击者掌握目标机器学习模型的背景信息量，包括模型的训练数据、特征集合、模型结构及参数、学习算法及决策函数、目标模型中可用的反馈信息等。根据敌手知识，可将逃逸攻击分为以下两类：

(1)白盒攻击。攻击者在完全了解目标模型的情况下发起攻击。在此情况下，目标模型的网络架构及参数值、为样本提取的特征集合、使用的训练方法等信息都暴露给了攻击者，另外在某些情况下还包括目标模型所使用的训练数据集。

(2)黑盒攻击。发起攻击时，攻击者仅对目标模型具有有限的知识，例如攻击者可获取模型的输入和输出的格式和数值范围，但是不知道机器学习模型的网络架构、训练参数和训练算法等。在此情况下，攻击者一般通过传入输入数据来观察输出、判断输出与目标模型进行交互。

对逃逸攻击而言，攻击者可不具备操纵目标模型、操纵目标模型的训练数据的能力。但是敌手能力必须包括可操纵目标模型的测试数据，即攻击者能够对用于测试模型的网络流量进行修改，这种修改可以在网络流(Flow)层进行也可以在数据包(Packet)层。对于逃逸攻击，敌手目的是影响目标机器学习模型的完整性(Integrity)。具体地讲，逃逸攻击的敌手目标包括以下几类：

(1)减小置信度：减小输入分类的置信度，从而引起歧义。

(2)无目标误分类：将输出分类更改为与原始类不同的任何类。

(3)有目标的误分类：强制将输出分类为特定的目标类。

(4)源到目的误分类：强制将特定的输入的输出分类为特定的目标类。

根据敌手知识和敌手目的将逃逸攻击的威胁模型进行整合，结果如图3所示。可以看出，黑盒模式下的有目标攻击将会极大地增加攻击难度。

（编辑：淮安站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!