臧海彬

摘要：入侵檢測系統(tǒng)（IDS） 是網(wǎng)絡空間安全的重要保障，隨著機器學習在自然語言處理、圖像識別等領域取得了良好成效，基于異常的IDS逐漸成為研究的主流。文章針對基于異常的IDS，提出了一種基于對抗攻擊和黑盒模型的流量規(guī)避方案，使用生成對抗網(wǎng)絡訓練規(guī)避模型，并用黑盒模型的輸出計算損失值，在多種機器學習分類器下均能實現(xiàn)良好的規(guī)避效果。該方案可作為擴展應用嵌入到IDS測試平臺上，提升IDS測試平臺對各類IDS設備測試的全面性。

關鍵詞：規(guī)避技術；入侵檢測系統(tǒng)；對抗攻擊；生成對抗網(wǎng)絡

中圖分類號：TP393? ? ? 文獻標識碼：A

文章編號：1009-3044（2023）01-0088-03

1 背景

入侵檢測系統(tǒng)（IDS） 作為一種主動防御技術，通過檢測并分析網(wǎng)絡中的各類流量，對網(wǎng)絡中的異常行為進行預警響應，進而達到阻斷惡意入侵的目的。IDS按照檢測方法可以分為基于誤用的IDS和基于異常的IDS?；谡`用的IDS通過狀態(tài)建模與模式匹配等方法檢測攻擊流量，對已有類型的網(wǎng)絡攻擊能夠取得很好的效果，但難以檢測未知的網(wǎng)絡攻擊；而基于異常的IDS則通過機器學習等方法對網(wǎng)絡流量的有效特征進行建模，雖然整體檢測效果不如基于誤用的IDS，但面對未知類型的網(wǎng)絡攻擊也能達到較高的檢測率。

基于誤用的IDS高度依賴于已建立的知識簽名庫，面對層出不窮的未知攻擊以及新型的智能攻擊需要付出極高的維護代價。近年來，隨著深度學習在自然語言處理、圖像識別等領域取得了良好成效，基于異常的IDS逐漸成為研究的主流，基于深度學習挖掘網(wǎng)絡流量特征間的內在關系，能夠顯著提升對未知攻擊的檢測率。傳統(tǒng)的IDS測試平臺通常針對已有的知識簽名庫，使用URL混淆、RPC分片、數(shù)據(jù)流分割等規(guī)避技術來測試IDS設備的魯棒性，對基于誤用的IDS有良好的規(guī)避效果，但面對基于異常的IDS時效果較差。

基于上述背景，本文提出了一種基于生成對抗網(wǎng)絡的規(guī)避流量生成方案，針對機器學習和深度學習模型易受對抗樣本攻擊的特點，在黑盒攻擊模型下訓練對抗模型，并利用生成對抗網(wǎng)絡對目標IDS進行模擬和特化訓練，將普通流量轉換為規(guī)避流量。本方案可作為額外擴展應用在IDS測試平臺上，從而提升IDS測試平臺對各類IDS設備測試的全面性。

2 相關研究

入侵逃逸是一種規(guī)避網(wǎng)絡流量檢測系統(tǒng)的技術，攻擊者通過偽裝攻擊流量，修改數(shù)據(jù)包頭信息或內容信息，從而改變數(shù)據(jù)包的外在特征，達到規(guī)避目標網(wǎng)絡入侵檢測系統(tǒng)或防火墻的目的，實施惡意攻擊[1]。常用的攻擊規(guī)避技術包括數(shù)據(jù)包分片、負載變換、Shellcode變換和重復插入等，這些流量逃逸技術均是針對傳統(tǒng)的基于誤用的IDS所設計的，即使是高級逃逸技術，在使用合適的模型訓練后依然能實現(xiàn)較高的檢測率。

基于異常的檢測技術易受對抗樣本的影響，因此可以通過對抗攻擊的方式進行流量逃逸。Ayub等人[2]提出了一種基于雅可比矩陣的顯著性映射攻擊（JSMA） 對抗模型，對基于多層感知網(wǎng)絡構建的IDS檢測系統(tǒng)進行攻擊，結果表明規(guī)避模型能夠顯著降低IDS的準確性。李杰等人[3]提出了一種流量隱藏方案，通過生成對抗網(wǎng)絡（GAN） [4]訓練生成器模型，模擬目標網(wǎng)絡流量的各項特征，最終可將源流量轉換為與目標流量相似的偽裝流量，從而抵御各種流量分析攻擊。Feng等人[5]針對GAN生成對抗攻擊樣本時可能會引入大量擾動的問題，提出了FFA-GAN框架，該架構在生成對抗樣本時會盡量生成少量擾動，且相比于傳統(tǒng)GAN在性能方面具有明顯優(yōu)勢?？傮w來看，目前將對抗攻擊應用在規(guī)避技術上的研究較少，已有的大多為前瞻性研究，并非針對實際的IDS測試平臺搭建場景。

3 IDS規(guī)避流量生成方案

3.1 特征規(guī)避建模

傳統(tǒng)對抗攻擊一般使用目標模型的輸出作為反饋反向訓練一個對抗模型，訓練后的對抗模型可以在不改變原始樣本類別的前提下調整少量參數(shù)，且此類樣本作為輸入會導致目標模型輸出錯誤結果。在生成規(guī)避攻擊流的場景下，以黑盒攻擊模式對基于異常的IDS系統(tǒng)進行探測，如果每次攻擊流發(fā)送后都能夠獲取目標IDS的判定結果，就可以對目標IDS建立對抗模型，從而對少部分不影響攻擊特性的樣本特征做修改，使IDS產(chǎn)生錯誤判定。在此類場景下，訓練的目標是最大化IDS模型輸出與實際類別的差值，設輸入樣本為x_i，實際類別為y_i，則相關函數(shù)如下：

但考慮到易受對抗攻擊是幾乎所有機器學習和深度學習模型的通病，也有部分基于異常的IDS在模型訓練時會考慮一些特殊的對抗樣本，從而針對特定方面進行額外訓練，而且直接將目標IDS的輸出作為評價指標來訓練模型并不能最大化模型的特征偽裝能力。這里借助生成對抗網(wǎng)絡的框架，在訓練對抗模型的同時創(chuàng)建一個判別器模型對目標IDS進行模擬，并通過生成器生成的對抗樣本不斷提高判別模型的抗干擾能力，最大程度利用黑盒模式下目標IDS的價值，從而提升生成模型的特征偽裝能力，改進后的流程如圖1所示。詳細訓練流程如下：

3.2 IDS測試平臺架構

基于該模型構建的IDS測試平臺架構如圖2所示，首先使用流量數(shù)據(jù)集針對常見的機器學習方法構建對應的特征偽裝對抗模型，將該模型嵌入到IDS測試平臺中。在對IDS設備測試時可以選擇發(fā)送特定類型的偽裝流量，此時會選擇對應的對抗模型，用BPS真實流量的內容特征作為輸入，輸出偽裝后的內容特征并與原數(shù)據(jù)包拼接成偽裝流量，和原始流量混合后發(fā)送到IDS設備，測試IDS設備面對各類型攻擊流量的檢測能力。

4 實驗

4.1 數(shù)據(jù)集

本文使用的數(shù)據(jù)集為UNSW-NB 15，包含真實的現(xiàn)代正?；顒恿髁亢秃铣傻默F(xiàn)代攻擊流量，共計2540044個樣本，49種流量特征和9種攻擊類型。在特征選擇方面，由于對攻擊流進行偽裝時不能改變原流量的語義，因此部分流量特征不能作為生成器的輸入。在數(shù)據(jù)集的所有攻擊類別中，除Dos之外的攻擊都需要依據(jù)特定的領域知識進行特征修改，而Dos攻擊對內容特征無要求，因此選擇Dos攻擊的6項內容特征作為示例進行實驗，對于其他類型的攻擊也可以采用類似的方法單獨分析處理。

4.2 實驗結果

由于需要對IDS、對抗模型分別進行訓練，因此本文從Dos樣本和正常樣本中共計隨機選取100000份，并按照3：5：2的比例分別用于訓練基于異常的IDS模型，訓練對抗模型和測試。使用準確率AC、檢測率DR和誤報率FDR三項指標進行評估，其定義分別如下：

這里的生成器和判別器分別為兩個獨立的CNN網(wǎng)絡，IDS模型分別為高斯樸素貝葉斯、決策樹、k-近鄰和邏輯回歸，所有模型均基于keras和sklearn實現(xiàn)，結果如表1所示。

上述實驗結果表明，對基于這四種機器學習模型實現(xiàn)的IDS，該方案都能實現(xiàn)顯著的規(guī)避效果。其中對邏輯回歸的規(guī)避效果最為明顯，準確率和檢測率下降幅度最大，且誤報率也有提高，而相比于其他三種模型，決策樹受到的影響較小。綜合來看，本方案在基于異常的IDS下能實現(xiàn)良好的規(guī)避效果。

5 結束語

入侵檢測系統(tǒng)是網(wǎng)絡空間安全的重要保障，而全方位測試入侵檢測系統(tǒng)的檢測能力是實際應用中的重要一環(huán)。本文針對基于異常的IDS，提出了一種基于生成對抗網(wǎng)絡和黑盒攻擊的流量規(guī)避方案，并以Dos攻擊作為示例驗證了本方案在多種機器學習模型下的可用性。該方案可以作為單獨模塊嵌入到網(wǎng)絡安全測試平臺中，在測試時按需選擇不同的對抗模型生成規(guī)避流量，測試IDS在多種場景下的可靠性。大部分攻擊流量對報文的完整性有特定要求，因此如何實現(xiàn)一種通用的規(guī)避方案有待進一步研究。

參考文獻：

[1] 史婷婷，趙有健.網(wǎng)絡入侵逃逸及其防御和檢測技術綜述[J].信息網(wǎng)絡安全，2016（1）：70-74.

[2] Ayub M A，Johnson W A，Talbert D A，et al.Model evasion attack on intrusion detection systems using adversarial machine learning[C]//2020 54th Annual Conference on Information Sciences and Systems （CISS）.March 18-20，2020，Princeton，NJ，USA.IEEE，2020：1-6.

[3] 李杰，周路，李華欣，等.基于生成對抗網(wǎng)絡的網(wǎng)絡流量特征偽裝技術[J].計算機工程，2019，45（12）：119-126.

[4] Goodfellow I J，Pouget-Abadie J，Mirza M，et al.Generative Adversarial Nets[C]//28th Conference on Neural Information Processing Systems （NIPS）.Montreal，CANADA：Neural Information Processing Systems （Nips），2014：2672-2680.

[5] Chen F，Shang Y K，Hu J C，et al.Few features attack to fool machine learning models through mask-based GAN[C]// Glasgow，UK：2020 International Joint Conference on Neural Networks （IJCNN）， 2020.IEEE，2020：1-7.

【通聯(lián)編輯：光文玲】