CN114866341B - 面向网络入侵检测系统的漏洞放大式后门攻击安全评估方法 - Google Patents
面向网络入侵检测系统的漏洞放大式后门攻击安全评估方法 Download PDFInfo
- Publication number
- CN114866341B CN114866341B CN202210683748.0A CN202210683748A CN114866341B CN 114866341 B CN114866341 B CN 114866341B CN 202210683748 A CN202210683748 A CN 202210683748A CN 114866341 B CN114866341 B CN 114866341B
- Authority
- CN
- China
- Prior art keywords
- samples
- sample
- network
- attack
- detection system
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000001514 detection method Methods 0.000 title claims abstract description 78
- 238000000034 method Methods 0.000 title claims abstract description 53
- 230000003321 amplification Effects 0.000 title claims abstract description 4
- 238000003199 nucleic acid amplification method Methods 0.000 title claims abstract description 4
- 231100000572 poisoning Toxicity 0.000 claims abstract description 72
- 230000000607 poisoning effect Effects 0.000 claims abstract description 72
- 238000010801 machine learning Methods 0.000 claims abstract description 56
- 238000012549 training Methods 0.000 claims abstract description 40
- 238000012360 testing method Methods 0.000 claims abstract description 24
- 230000002159 abnormal effect Effects 0.000 claims description 34
- 238000012216 screening Methods 0.000 claims description 17
- 238000000605 extraction Methods 0.000 claims description 11
- 230000008569 process Effects 0.000 claims description 7
- 238000011478 gradient descent method Methods 0.000 claims description 6
- 238000011156 evaluation Methods 0.000 claims description 5
- 238000005336 cracking Methods 0.000 claims description 4
- 238000010998 test method Methods 0.000 abstract description 3
- 238000002474 experimental method Methods 0.000 description 11
- 230000000694 effects Effects 0.000 description 6
- 238000013528 artificial neural network Methods 0.000 description 5
- 230000008901 benefit Effects 0.000 description 5
- 230000006870 function Effects 0.000 description 5
- 238000013473 artificial intelligence Methods 0.000 description 3
- 238000009826 distribution Methods 0.000 description 3
- 239000013598 vector Substances 0.000 description 3
- 230000004913 activation Effects 0.000 description 2
- 230000003042 antagnostic effect Effects 0.000 description 2
- 238000005516 engineering process Methods 0.000 description 2
- 238000013256 Gubra-Amylin NASH model Methods 0.000 description 1
- 238000013459 approach Methods 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 230000008859 change Effects 0.000 description 1
- 238000013461 design Methods 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 230000008034 disappearance Effects 0.000 description 1
- 238000004880 explosion Methods 0.000 description 1
- ZZUFCTLCJUWOSV-UHFFFAOYSA-N furosemide Chemical compound C1=C(Cl)C(S(=O)(=O)N)=CC(C(O)=O)=C1NCC1=CC=CO1 ZZUFCTLCJUWOSV-UHFFFAOYSA-N 0.000 description 1
- 230000035772 mutation Effects 0.000 description 1
- 210000002569 neuron Anatomy 0.000 description 1
- 230000000306 recurrent effect Effects 0.000 description 1
- 230000006403 short-term memory Effects 0.000 description 1
- 238000009827 uniform distribution Methods 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1433—Vulnerability analysis
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N20/00—Machine learning
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N3/00—Computing arrangements based on biological models
- G06N3/02—Neural networks
- G06N3/04—Architecture, e.g. interconnection topology
- G06N3/045—Combinations of networks
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N3/00—Computing arrangements based on biological models
- G06N3/02—Neural networks
- G06N3/08—Learning methods
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Computing Systems (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Software Systems (AREA)
- Artificial Intelligence (AREA)
- Data Mining & Analysis (AREA)
- Evolutionary Computation (AREA)
- Mathematical Physics (AREA)
- General Physics & Mathematics (AREA)
- Molecular Biology (AREA)
- Computer Hardware Design (AREA)
- Biophysics (AREA)
- General Health & Medical Sciences (AREA)
- Computational Linguistics (AREA)
- Life Sciences & Earth Sciences (AREA)
- Health & Medical Sciences (AREA)
- Biomedical Technology (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Vision & Pattern Recognition (AREA)
- Medical Informatics (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
面向网络入侵检测系统的漏洞放大式后门攻击安全评估方法,涉及网络安全入侵检测评估技术领域,本发明方法基于生成对抗网络,利用机器学习模型漏洞,结合数据投毒与对抗样本,实现了一种可令任意传统网络攻击流量绕过在线机器学习的网络入侵检测系统,进入目标主机或服务器的新型后门攻击测试方法,并根据攻击结果测试网络入侵检测系统的安全性;其中,提出的改进的生成对抗网络可实现兼具高隐蔽性、高攻击性和高时效性的中毒样本及对抗样本的生成;中毒样本可干扰在线机器学习的网络入侵检测系统的训练并形成特定攻击后门,后门可让特定攻击类型的流量绕过在线机器学习的网络入侵检测系统的检测,而不会影响其识别其他攻击类型的流量。
Description
技术领域
本发明涉及网络安全入侵检测评估技术领域,具体涉及一种面向网络入侵检测系统的漏洞放大式后门攻击安全评估方法。
背景技术
近年来,随着人工智能技术的不断发展,互联网设备的防御方法也得到了升级。出现了一种基于机器学习算法的网络入侵检测系统(ML-NIDS,machine learning-basednetwork intrusion detection system),其可以通过学习恶意流量和良性流量的特征,自动化分析网络流量并有效的识别网络中的异常情况。ML-NIDS可以监控网络流量以检测异常活动,并阻止用户非法的访问网络资源。然而越来越多的研究表明机器学习模型可能在其训练阶段或测试阶段受到攻击。根据发生时间的不同,可以将对机器学习模型的攻击划分为投毒攻击和对抗攻击。前者发生在模型的训练阶段,攻击者在此阶段向训练样本中注入恶意伪造的中毒样本,导致模型决策边界出现偏移;而后者发生在模型测试阶段。攻击者无需改变目标机器学习系统,而是通过构造特定样本以逃避被模型识别到。
由于ML-NIDS通常部署在易受攻击且开放的网络环境中,因此其机器学习系统会暴露给攻击者。在线ML-NIDS中人工智能安全问题还没有得到充分的研究。现有工作在设计ML-NIDS时,通常仅从传统的网络安全角度衡量其性能指标,但缺乏在对抗性机器学习角度考虑其安全隐患。人工智能的安全问题也引发了ML-NIDS的安全隐患。一方面,目前多数ML-NISD的训练数据来自于源头未知且存在被污染风险的网络流量数据,容易受到数据投毒攻击;另一方面,攻击者可以根据ML-NIDS暴露的应用程序接口生成具有针对性的对抗样本,导致机器学习算法无法有效识别恶意流量。值得一提的是,仅使用数据投毒或对抗样本可能不会对网络系统构成严重安全威胁,因为前者从本质上没有实现有效的网络攻击,而后者仍有较高概率被ML-NIDS识别并引发报警。
发明内容
鉴于以上问题,本发明提出一种面向网络入侵检测系统的漏洞放大式后门攻击安全评估方法,用以解决现有的对于在线机器学习的网络入侵检测系统安全性的测试方法不能对攻击流量进行有效识别的问题。
一种面向网络入侵检测系统的漏洞放大式后门攻击安全评估方法,按照以下步骤对在线机器学习的网络入侵检测系统进行攻击式测试:
步骤一、获取不同攻击类型的恶意流量样本;
步骤二、将所述不同攻击类型的恶意流量样本输入在线机器学习的网络入侵检测系统,获取预测标签;将预测标签与真实标签不符的恶意流量样本定义为漏洞样本,形成漏洞样本集;
步骤三、利用改进的生成对抗网络对漏洞样本集进行筛选,获取中毒样本和对抗样本;所述中毒样本为不易被识别的具有高隐蔽性、低攻击性的漏洞数据,所述对抗样本为保证隐蔽性的前提下仍具备攻击性的漏洞数据;
步骤四、将中毒样本投入到运行的在线机器学习的网络入侵检测系统中,以干扰其训练并形成特定攻击后门;将对抗样本上传到目标主机或服务器中,通过后门攻击目标主机或服务器;
步骤五、获取攻击结果,以攻击结果作为在线机器学习的网络入侵检测系统的安全性评估标准。
进一步地,对于黑盒在线机器学习的网络入侵检测系统,在步骤三之前还包括:通过模型萃取步骤将黑盒问题转换为白盒问题,包括:将包含良性流量样本和恶意流量样本的流量样本集输入在线机器学习的网络入侵检测系统中,获取所有流量样本的预测标签;将流量样本的特征与其对应的预测标签构成影子数据集,并利用影子数据集训练机器学习模型以获得影子模型。
进一步地,对于黑盒在线机器学习的网络入侵检测系统,在获得影子模型后,步骤二为:将所述不同攻击类型的恶意流量样本输入影子模型,获取预测标签;将预测标签与真实标签不符的恶意流量样本定义为漏洞样本,形成漏洞样本集;将预测标签与真实标签符合的恶意流量样本定义为异常样本,形成异常样本集。
进一步地,对于黑盒在线机器学习的网络入侵检测系统,步骤三为:利用改进的生成对抗网络对漏洞数据集和异常样本集进行筛选,获取中毒样本和对抗样本。
进一步地,步骤三中利用改进的生成对抗网络获取中毒样本的过程为:训练生成对抗网络参数,以使网络向高隐蔽性、低攻击性的中毒样本收敛;每一轮的迭代训练具体包括:
选取一批异常样本,向生成对抗网络中的生成器输入由选取的异常样本和噪声组成的第一样本集;
根据影子模型将生成器生成样本预测为良性流量样本的概率筛选出中毒样本;
选取一批漏洞样本,向生成对抗网络中的判别器输入选取的漏洞样本和所述中毒样本,获得判别结果;
通过梯度下降法更新生成器参数和判别器参数。
进一步地,步骤三中利用改进的生成对抗网络获取中毒样本的每一轮迭代训练中还包括:向在线机器学习的网络入侵检测系统输入选取的异常样本和本轮筛选出的中毒样本,以产生更多的漏洞样本。
进一步地,步骤三中利用改进的生成对抗网络获取对抗样本的过程为:训练生成对抗网络参数,以使网络向保证隐蔽性的前提下仍具备攻击性的对抗样本收敛;每一轮的迭代训练具体包括:
选取一批异常样本,向生成对抗网络中的生成器输入由选取的异常样本和噪声组成的第二样本集;
根据生成器生成样本特征与异常样本特征的欧式距离筛选出对抗样本;
选取一批漏洞样本,向生成对抗网络中的判别器输入选取的漏洞样本和所述对抗样本,获得判别结果;
通过梯度下降法更新生成器参数和判别器参数。
进一步地,步骤三中利用改进的生成对抗网络获取对抗样本的每一轮迭代训练中还包括:向在线机器学习的网络入侵检测系统输入选取的异常样本和本轮筛选出的对抗样本,以产生更多的漏洞样本。
进一步地,步骤五中所述攻击结果包括攻击流量的逃逸率、攻击耗时以及对在线机器学习的网络入侵检测系统的检测准确率的影响。
进一步地,所述攻击类型包括:Web攻击、暴力破解、拒绝服务、分布式拒绝服务、僵尸网络和端口扫描。
本发明的有益技术效果是:
本发明提出了一种面向网络入侵检测系统的漏洞放大式后门攻击安全评估方法,该方法基于生成对抗网络,利用机器学习模型漏洞,结合数据投毒与对抗样本,实现了一种可令任意传统网络攻击流量绕过在线机器学习的网络入侵检测系统,进入目标主机或服务器的新型后门攻击测试方法,并根据攻击结果测试在线机器学习的网络入侵检测系统的安全性;其中,提出的改进的生成对抗网络可实现兼具高隐蔽性、高攻击性和高时效性的中毒样本及对抗样本的生成;中毒样本可干扰在线机器学习的网络入侵检测系统的训练并形成特定攻击后门,后门可以让特定攻击类型的流量绕过在线机器学习的网络入侵检测系统的检测,而不会影响其识别其他攻击类型的流量。
附图说明
本发明可以通过参考下文中结合附图所给出的描述而得到更好的理解,所述附图连同下面的详细说明一起包含在本说明书中并且形成本说明书的一部分,而且用来进一步举例说明本发明的优选实施例和解释本发明的原理和优点。
图1是本发明面向网络入侵检测系统的漏洞放大式后门攻击安全评估方法的流程图;
图2是本发明面向网络入侵检测系统的漏洞放大式后门攻击安全评估方法的另一流程图;
图3是本发明实施例中模型萃取的流程图;
图4是本发明实施例中模糊测试的流程图;
图5是本发明实施例中生成中毒样本的流程图;
图6是本发明实施例中生成对抗样本的流程图;
图7是本发明实施例中各种类型的原始恶意样本、对抗样本和后门样本在不同模型上的逃逸率对比图;
图8是本发明实施例中不同攻击方法在各种攻击类型的恶意流量上的逃逸率对比图;
图9是本发明实施例中不同攻击方法对各种ML-NIDS性能的影响对比图。
具体实施方式
为了使本技术领域的人员更好地理解本发明方案,在下文中将结合附图对本发明的示范性实施方式或实施例进行描述。显然,所描述的实施方式或实施例仅仅是本发明一部分的实施方式或实施例,而不是全部的。基于本发明中的实施方式或实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施方式或实施例,都应当属于本发明保护的范围。
本发明实施例提出一种面向网络入侵检测系统的漏洞放大式后门攻击安全评估方法,该方法按照以下步骤对在线机器学习的网络入侵检测系统进行攻击式测试:
步骤一、获取不同攻击类型的恶意流量样本;
步骤二、将不同攻击类型的恶意流量样本输入在线机器学习的网络入侵检测系统,获取预测标签;将预测标签与真实标签不符的恶意流量样本定义为漏洞样本,形成漏洞样本集;
步骤三、利用改进的生成对抗网络对漏洞样本集进行筛选,获取中毒样本和对抗样本;中毒样本为不易被识别的具有高隐蔽性、低攻击性的漏洞数据,对抗样本为保证隐蔽性的前提下仍具备攻击性的漏洞数据;
步骤四、将中毒样本投入到运行的在线机器学习的网络入侵检测系统中,以干扰其训练并形成特定攻击后门;将对抗样本上传到目标主机或服务器中,通过后门攻击目标主机或服务器;
步骤五、获取攻击结果,以攻击结果作为在线机器学习的网络入侵检测系统的安全性评估标准。
本实施例中,优选地,对于黑盒在线机器学习的网络入侵检测系统,在步骤三之前还包括:通过模型萃取步骤将黑盒问题转换为白盒问题,包括:将包含良性流量样本和恶意流量样本的流量样本集输入在线机器学习的网络入侵检测系统中,获取所有流量样本的预测标签;将流量样本的特征与其对应的预测标签构成影子数据集,并利用影子数据集训练机器学习模型以获得影子模型。
本实施例中,优选地,对于黑盒在线机器学习的网络入侵检测系统,在获得影子模型后,步骤二为:将不同攻击类型的恶意流量样本输入影子模型,获取预测标签;将预测标签与真实标签不符的恶意流量样本定义为漏洞样本,形成漏洞样本集;将预测标签与真实标签符合的恶意流量样本定义为异常样本,形成异常样本集。
本实施例中,优选地,对于黑盒在线机器学习的网络入侵检测系统,步骤三为:利用改进的生成对抗网络对漏洞数据集和异常样本集进行筛选,获取中毒样本和对抗样本。
本实施例中,优选地,步骤三中利用改进的生成对抗网络获取中毒样本的过程为:训练生成对抗网络参数,以使网络向高隐蔽性、低攻击性的中毒样本收敛;每一轮的迭代训练具体包括:
选取一批异常样本,向生成对抗网络中的生成器输入由选取的异常样本和噪声组成的第一样本集;
根据影子模型将生成器生成样本预测为良性流量样本的概率筛选出中毒样本;筛选的具体过程如下:对于每批生成器生成的样本,记录影子模型对其判定为良性流量样本的置信度;选择置信度前n%大的样本作为中毒样本;参数n可以人为设定,例如,n=50;
选取一批漏洞样本,向生成对抗网络中的判别器输入选取的漏洞样本和中毒样本,获得判别结果;
通过梯度下降法更新生成器参数和判别器参数。
本实施例中,优选地,步骤三中利用改进的生成对抗网络获取中毒样本的每一轮迭代训练中还包括:向在线机器学习的网络入侵检测系统输入选取的异常样本和本轮筛选出的中毒样本,以产生更多的漏洞样本。
本实施例中,优选地,步骤三中利用改进的生成对抗网络获取对抗样本的过程为:训练生成对抗网络参数,以使网络向保证隐蔽性的前提下仍具备攻击性的对抗样本收敛;每一轮的迭代训练具体包括:
选取一批异常样本,向生成对抗网络中的生成器输入由选取的异常样本和噪声组成的第二样本集;
根据生成器生成样本特征与异常样本特征的欧式距离筛选出对抗样本;筛选的具体过程如下:对于每批生成器生成的样本,记录其特征与异常样本特征的欧氏距离;选择欧氏距离前m%小的样本作为对抗样本;参数m可以人为设定,例如,m=50;
选取一批漏洞样本,向生成对抗网络中的判别器输入选取的漏洞样本和对抗样本,获得判别结果;
通过梯度下降法更新生成器参数和判别器参数。
本实施例中,优选地,步骤三中利用改进的生成对抗网络获取对抗样本的每一轮迭代训练中还包括:向在线机器学习的网络入侵检测系统输入选取的异常样本和本轮筛选出的对抗样本,以产生更多的漏洞样本。
本实施例中,优选地,步骤五中攻击结果包括攻击流量的逃逸率、攻击耗时以及对在线机器学习的网络入侵检测系统的检测准确率的影响。
本实施例中,优选地,攻击类型包括:Web攻击、暴力破解、拒绝服务、分布式拒绝服务、僵尸网络和端口扫描。
本发明另一实施例提出了一种面向网络入侵检测系统的漏洞放大式后门攻击安全评估方法,实际上是一种面向黑盒在线机器学习网络入侵检测系统的漏洞放大式后门攻击方法,即一种名为VulnerGAN的后门攻击方法。如图1所示,本发明基于生成对抗网络,利用机器学习模型漏洞,结合数据投毒与对抗样本,实现了一种可令任意传统网络攻击流量绕过黑盒机器学习网络入侵检测系统,进入目标主机或服务器的新型后门攻击方法。它兼具高隐蔽性、高攻击性和高时效性。后门可以让特定攻击类型的流量绕过ML-NIDS的检测,而不会影响ML-NIDS在识别其他攻击流量方面的性能。
VulnerGAN使用生成对抗网络(GAN,generative adversarial networks)以机器学习模型漏洞为基础计算中毒和对抗样本,使传统网络攻击流量绕过黑盒在线ML-NIDS的检测;同时模型萃取和模糊测试技术增强了VulnerGAN的收敛性。
图2示出了使用VulnerGAN对黑盒在线ML-NIDS的一次完整后门攻击流程。如图2所示,该流程具体包括下述步骤:
Step1:收集网络中存在的流量数据,并结合攻击者自己产生有限的攻击测试流量组成流量样本集;
Step2:令流量样本集通过目标ML-NIDS,并获得其返回值,以构建影子数据集;
Step3:根据ML-NIDS对流量样本集中恶意流量的返回值,挖掘模型漏洞,以形成漏洞库;
Step4:使用影子数据集训练特定攻击类型的影子模型,并将影子模型与漏洞库搭载到VulnerGAN中;
Step5:使用VulnerGAN-A与VulnerGAN-B将攻击流量转化为对应的中毒样本和对抗样本;
Step6:将中毒样本投入到运行中的在线ML-NIDS,以干扰其训练并形成特定攻击后门;
Step7:将对抗样本上传到目标主机或服务器中,达到在不被NIDS感知的情况下,通过后门攻击入侵目标主机或服务器;
Step8:测试攻击流量的逃逸率、耗时以及对ML-NIDS模型准确率的影响,评估系统安全性。
下面对本发明方法进行详细的说明。
本发明实施例中,对于面向黑盒在线机器学习的网络入侵检测系统,首先通过模型萃取步骤将黑盒问题转为白盒问题,以减少对攻击目标模型的频繁访问,简化目标模型结构,并加快GAN收敛速度。如图3所示,模型萃取步骤包括:首先,攻击者使用包含良性样本和恶意样本的流量样本集D输入目标ML-NIDS(f:x→y)中,记录模型对每个样本的预测标签;然后使用流量样本的特征与其对应的预测标签构成一组影子数据集D′;最后,使用影子数据集训练攻击者自己构造的机器学习模型来构建影子模型f′,使影子模型的输入与输出同目标ML-NIDS相似。
为评估影子模型的萃取效果,定义模型萃取率-Rextract用来描述影子模型与目标模型之间的差距。将测试集合U分别输入目标模型f与影子模型f′中,获得对应预测值。预测值之间的差距体现了萃取的效果,其中距离d为汉明距离。
本发明实施例中,对于面向黑盒在线机器学习的网络入侵检测系统,然后通过模糊测试步骤获得目标模型漏洞,以帮助计算中毒样本与对抗样本。通常当ML-NIDS中的模型达到可接受的预测精度时便可上线使用。由于在线机器学习模型无法一次性获取全部样本集,也不能拥有无限长的训练时间,导致模型在进行决策与判断时,即使没有攻击者的干扰也会出现预测错误的情况。为获得模型在识别不同恶意流量时存在的漏洞,攻击者需要对目标ML-NIDS进行模糊测试。
如图4所示,模糊测试步骤包括:首先,将数据集中恶意流量按攻击类型分为Web攻击、暴力破解、拒绝服务、分布式拒绝服务、僵尸网络和端口扫描等不同类别;然后,将不同攻击类型的恶意流量样本分别输入ML-NIDS并记录预测标签;最后,将其中与真实标签不符的样本加入漏洞集合。模糊测试产生的漏洞集合可有效加快GAN收敛,但中毒样本和对抗样本的生成不依赖于漏洞集合,即允许ML-NIDS不存在或仅存在少量漏洞。同时算法支持添加更多攻击类型。
本发明实施例中,提出了两个新型的GAN模型:VulnerGAN-A和VulnerGAN-B,其中,VulnerGAN-A用于产生中毒样本,以扩大模型漏洞并产生特定攻击后门;VulnerGAN-B用于产生对抗样本,以绕过模型检测并实施有效网络攻击。
具体来说,VulnerGAN-A利用模糊测试得到的模型漏洞库,实现在训练样本空间中生成与目标模型漏洞相近的中毒样本。中毒样本具有高隐蔽性,将其输入训练阶段的模型中,会导致模型学习错误信息并产生特定类型的攻击后门;VulnerGAN-B利用模型已有的攻击后门,实现在预测样本空间中生成可通过后门以绕过模型检测的对抗样本。对抗样本具有高攻击性,可在不被模型感知的前提下攻击目标主机或服务器。
VulnerGAN-A与VulnerGAN-B的结构如图5、6所示。两者具有相似的结构,均包含生成器G、判别器D以及目标ML-NIDS的影子模型S。VulnerGAN中生成器G利用模型漏洞进行训练,其目标是生成与漏洞分布相近的中毒或对抗样本;判别器D则致力于区分漏洞样本和生成器G产生的中毒或对抗样本。下面给出生成器G和鉴别器D的具体训练过程。
1)判别器:尝试分辨出漏洞样本和生成器G伪造的中毒/对抗样本。
网络的输入为n维特征向量,即漏洞样本特征或G伪造的中毒样本特征,以及反映其是否来源于漏洞集合的标签;网络的输出为对输入样本的预测标签。判别器D的损失函数如下:
上述公式表达了D对于中毒/对抗样本预测结果的概率分布与G生成样本的概率分布之间的差距。对于一个确定的中毒/对抗样本(生成器G固定),该损失函数值越小代表D的预测能力越强。
2)生成器:通过向恶意流量特征中增加扰动,伪造与漏洞分布相近的中毒/对抗样本。
网络的输入为n维流量特征向量与服从均匀分布的(0,1)噪声的加和;网络的输出为中毒/对抗样本的n维特征向量。生成器G的损失函数如下:
上述公式表达了G生成的中毒/对抗样本对D的欺骗能力。在判别器D固定时,该损失函数越小代表G生成的中毒/对抗样本质量越好。生成器G用残差神经网络进行训练,其对前向神经元的激活值进行跳跃连接,以越过中间层直接传至后方网络,能够有效解决梯度爆炸和梯度消失问题。
VulnerGAN中漏洞样本xt为影子模型S预测错误的攻击样本,异常样本xf为影子模型S预测正确的攻击样本。VulnerGAN-A与VulnerGAN-B的区别如下:VulnerGAN-A用于投毒攻击,生成器G的每一轮输出筛选出高隐蔽性的中毒样本,以帮助GAN向高隐蔽性低攻击性的中毒样本收敛,样本的隐蔽性与影子模型对中毒样本判别为良性样本的概率成正比;VulnerGAN-B用于对抗攻击,生成器G的每一轮输出筛选出高攻击性的对抗样本,以帮助GAN向保证隐蔽性的前提下仍具备攻击性的对抗样本收敛,样本的攻击性与对抗样本与对应的攻击样本特征向量之间欧式距离成正比。
进一步通过实验验证本发明的技术效果。
测试实验使用专为ML-NIDS设计构建的CSE-CIC-IDS 2017on AWS数据集。分别在基于多层感知器(MLP)、深度神经网络(DNN)、循环神经网络(RNN)、长短期记忆神经网络(LSTM)和门控循环单元神经网络(GRU)的网络入侵检测系统上进行测试。将CICIDS2017数据集划分为端口扫描(PortScan)、Web攻击(Web-attacks)、暴力破解(Bruteforce)、僵尸网络(Botnet)、拒绝服务(DoS)、分布式拒绝服务(DDoS)六种主要攻击类型。同时单独提取训练数据集中的各种攻击流量作为恶意样本数据集,以供模糊测试使用。ML-NIDS训练集恶意样本与良性样本数量比例为1:5,其中训练样本中恶意样本数量占恶意样本总数的60%。测试实验环境具体参数如表1所示,实验数据集如表2所示。
表1实验环境
表2实验数据集
首先进行后门功能测试-实验1,旨在测试数据投毒引起的特定后门对攻击成功率的影响。实验分别记录了不同机器学习模型在各种类型的原始恶意样本、对抗样本(由VulnerGAN-B生成)和VulnerGAN后门样本(由VulnerGAN-A&B生成)攻击下的性能。
图7显示了各种类型的原始恶意样本、对抗样本和后门样本在不同模型上的逃逸率。在任何情况下,后门攻击的效果都优于直接对抗攻击。在ML-NIDS角度,VulnerGAN后门对LSTM-NIDS的干扰最为明显,攻击逃逸率从30-70%提高到90-100%。在网络攻击角度,VulnerGAN后门显着提升了Bruteforce和Botnet攻击效果,攻击逃逸率从70-80%提高到90-100%。
实验结果表明,如果攻击者仅使用VulnerGAN-B将恶意流量转化为对抗样本,其中一部分攻击流量可以逃避ML-NIDS拦截,但仍有10%-20%的攻击流量会被识别。如果攻击者同时使用VulnerGAN-A和VulnerGAN-B,几乎所有的对抗样本都可以进入主机或服务器,而不会触发ML-NIDS警报。
然后进行隐蔽性测试-实验2,旨在隐蔽性方面对比VulnerGAN与现有方法的优劣。实验比较了VulnerGAN算法、随机突变类算法和最先进的BiGAN算法在逃逸率上的差异。如图8所示,在仅使用VulnerGAN-B的情况下,本发明方法在除Botnet外的攻击类型上均有所改进。在使用完整的VulnerGAN框架的情况下,隐蔽性在所有攻击类型方面都达到最高。
得益于模糊测试技术,VulnerGAN具有出色的收敛性能。即使攻击者单独使用VulnerGAN-B,其产生的对抗样本在多数类型攻击中仍有很高的逃逸率。而如果攻击者使用完整的VulnerGAN框架,后门可令所有攻击类型样本逃逸率达到最高,与最先进的方法相比,逃逸率平均增加了33.28%。
然后进行攻击性测试-实验3,旨在攻击性方面对比VulnerGAN与现有方法的优劣。实验比较了VulnerGAN算法、Hydra&Neptune算法和最先进的GAN-adversarial算法在降低ML-NIDS准确率方面的差异。如图9所示,在仅使用VulnerGAN-B的情况下,本发明方法令所有ML-NIDS的准确率均大幅降低。在使用完整的VulnerGAN框架的情况下,各种ML-NIDS的性能会进一步降低。
得益于模型萃取技术,VulnerGAN中的影子模型可模拟各类ML-NIDS。即使攻击者单独使用VulnerGAN-B,其生成的对抗样本也会显着降低模型的准确性。如果攻击者使用完整的VulnerGAN框架,数据投毒和对抗性攻击将进一步降低所有模型的准确率。与最先进的方法相比,VulnerGAN令各种ML-NIDS的准确率平均降低了18.48%。
最后进行时效性测试-实验4,旨在对比在时效性方面,VulnerGAN与现有方法的优劣。实验比较了VulnerGAN算法和最先进的GAN&PSO算法在样本生成速度上的差异。如表3所示,通过测试将所有恶意样本转换为对抗样本的时间开销,VulnerGAN对不同攻击类型的中毒/对抗样本生成速度均有所提高。
表3不同生成算法将所有恶意样本转换为对抗样本的时间开销(时效性测试)
得益于VulnerGAN-A的隐蔽性过滤器和VulnerGAN-B的攻击性过滤器,VulnerGAN具有极快的收敛速度和生成速度。所有攻击类型的中毒和对抗样本生成速度都得到了提高,尤其在Web攻击和僵尸网络上。与最先进的方法相比,VulnerGAN的样本生成速度平均提高了46.32%。
实验1-实验4的实验结果表明本发明方法与现有方法相比,在隐蔽性、攻击性和时效性方面都有所提高。在隐蔽性方面,VulnerGAN可以将各种攻击流量转化为具有最佳逃逸率的对抗样本。与最先进的方法相比,各种类型攻击的逃逸率平均提高了33.28%。在攻击性方面,VulnerGAN可以降低基于各种算法的ML-NIDS准确率。与最先进的方法相比,各种机器学习模型的准确率平均降低了18.48%。在时效性方面,VulnerGAN的中毒和对抗样本生成速度大幅提高。与最先进的方法相比,样本生成速度平均提高了46.32%。
尽管根据有限数量的实施例描述了本发明,但是受益于上面的描述,本技术领域内的技术人员明白,在由此描述的本发明的范围内,可以设想其它实施例。对于本发明的范围,对本发明所做的公开是说明性的,而非限制性的,本发明的范围由所附权利要求书限定。
Claims (8)
1.面向网络入侵检测系统的漏洞放大式后门攻击安全评估方法,其特征在于,按照以下步骤对在线机器学习的网络入侵检测系统进行攻击式测试:
步骤一、获取不同攻击类型的恶意流量样本;
步骤二、将所述不同攻击类型的恶意流量样本输入在线机器学习的网络入侵检测系统,获取预测标签;将预测标签与真实标签不符的恶意流量样本定义为漏洞样本,形成漏洞样本集;
步骤三、利用改进的生成对抗网络对漏洞样本集进行筛选,获取中毒样本和对抗样本;所述中毒样本为不易被识别的具有高隐蔽性、低攻击性的漏洞数据,所述对抗样本为保证隐蔽性的前提下仍具备攻击性的漏洞数据;利用改进的生成对抗网络获取中毒样本的过程为:训练生成对抗网络参数,以使网络向高隐蔽性、低攻击性的中毒样本收敛;每一轮的迭代训练具体包括:
选取一批异常样本,向生成对抗网络中的生成器输入由选取的异常样本和噪声组成的第一样本集;
根据影子模型将生成器生成样本预测为良性流量样本的概率筛选出中毒样本;
选取一批漏洞样本,向生成对抗网络中的判别器输入选取的漏洞样本和所述中毒样本,获得判别结果;
通过梯度下降法更新生成器参数和判别器参数;
利用改进的生成对抗网络获取对抗样本的过程为:训练生成对抗网络参数,以使网络向保证隐蔽性的前提下仍具备攻击性的对抗样本收敛;每一轮的迭代训练具体包括:
选取一批异常样本,向生成对抗网络中的生成器输入由选取的异常样本和噪声组成的第二样本集;
根据生成器生成样本特征与异常样本特征的欧式距离筛选出对抗样本;
选取一批漏洞样本,向生成对抗网络中的判别器输入选取的漏洞样本和所述对抗样本,获得判别结果;
通过梯度下降法更新生成器参数和判别器参数;
步骤四、将中毒样本投入到运行的在线机器学习的网络入侵检测系统中,以干扰其训练并形成特定攻击后门;将对抗样本上传到目标主机或服务器中,通过后门攻击目标主机或服务器;
步骤五、获取攻击结果,以攻击结果作为在线机器学习的网络入侵检测系统的安全性评估标准。
2.根据权利要求1所述的面向网络入侵检测系统的漏洞放大式后门攻击安全评估方法,其特征在于,对于黑盒在线机器学习的网络入侵检测系统,在步骤三之前还包括:通过模型萃取步骤将黑盒问题转换为白盒问题,包括:将包含良性流量样本和恶意流量样本的流量样本集输入在线机器学习的网络入侵检测系统中,获取所有流量样本的预测标签;将流量样本的特征与其对应的预测标签构成影子数据集,并利用影子数据集训练机器学习模型以获得影子模型。
3.根据权利要求2所述的面向网络入侵检测系统的漏洞放大式后门攻击安全评估方法,其特征在于,对于黑盒在线机器学习的网络入侵检测系统,在获得影子模型后,步骤二为:将所述不同攻击类型的恶意流量样本输入影子模型,获取预测标签;将预测标签与真实标签不符的恶意流量样本定义为漏洞样本,形成漏洞样本集;将预测标签与真实标签符合的恶意流量样本定义为异常样本,形成异常样本集。
4.根据权利要求3所述的面向网络入侵检测系统的漏洞放大式后门攻击安全评估方法,其特征在于,对于黑盒在线机器学习的网络入侵检测系统,步骤三为:利用改进的生成对抗网络对漏洞数据集和异常样本集进行筛选,获取中毒样本和对抗样本。
5.根据权利要求4所述的面向网络入侵检测系统的漏洞放大式后门攻击安全评估方法,其特征在于,步骤三中利用改进的生成对抗网络获取中毒样本的每一轮迭代训练中还包括:向在线机器学习的网络入侵检测系统输入选取的异常样本和本轮筛选出的中毒样本,以产生更多的漏洞样本。
6.根据权利要求4所述的面向网络入侵检测系统的漏洞放大式后门攻击安全评估方法,其特征在于,步骤三中利用改进的生成对抗网络获取对抗样本的每一轮迭代训练中还包括:向在线机器学习的网络入侵检测系统输入选取的异常样本和本轮筛选出的对抗样本,以产生更多的漏洞样本。
7.根据权利要求1所述的面向网络入侵检测系统的漏洞放大式后门攻击安全评估方法,其特征在于,步骤五中所述攻击结果包括攻击流量的逃逸率、攻击耗时以及对在线机器学习的网络入侵检测系统的检测准确率的影响。
8.根据权利要求1-7中任一项所述的面向网络入侵检测系统的漏洞放大式后门攻击安全评估方法,其特征在于,所述攻击类型包括:Web攻击、暴力破解、拒绝服务、分布式拒绝服务、僵尸网络和端口扫描。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202210683748.0A CN114866341B (zh) | 2022-06-17 | 2022-06-17 | 面向网络入侵检测系统的漏洞放大式后门攻击安全评估方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202210683748.0A CN114866341B (zh) | 2022-06-17 | 2022-06-17 | 面向网络入侵检测系统的漏洞放大式后门攻击安全评估方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN114866341A CN114866341A (zh) | 2022-08-05 |
CN114866341B true CN114866341B (zh) | 2024-03-05 |
Family
ID=82624093
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202210683748.0A Active CN114866341B (zh) | 2022-06-17 | 2022-06-17 | 面向网络入侵检测系统的漏洞放大式后门攻击安全评估方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN114866341B (zh) |
Families Citing this family (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN117473489B (zh) * | 2023-09-28 | 2024-09-20 | 华中科技大学 | 一种后门攻击方法和防御方法 |
CN117834301B (zh) * | 2024-03-05 | 2024-05-17 | 江苏社汇通智能科技有限公司 | 一种基于物联网的网络安全通信控制方法及系统 |
CN118337526B (zh) * | 2024-06-11 | 2024-09-13 | 长春大学 | 一种对抗攻击样本生成方法 |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN110598400A (zh) * | 2019-08-29 | 2019-12-20 | 浙江工业大学 | 一种基于生成对抗网络的高隐藏中毒攻击的防御方法及应用 |
CN111914256A (zh) * | 2020-07-17 | 2020-11-10 | 华中科技大学 | 一种机器学习训练数据受投毒攻击的防御方法 |
CN113283476A (zh) * | 2021-04-27 | 2021-08-20 | 广东工业大学 | 一种物联网网络入侵检测方法 |
CN113988293A (zh) * | 2021-10-29 | 2022-01-28 | 北京邮电大学 | 一种不同层级函数组合的对抗生成网络的方法 |
Family Cites Families (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20220180203A1 (en) * | 2020-12-03 | 2022-06-09 | International Business Machines Corporation | Generating data based on pre-trained models using generative adversarial models |
-
2022
- 2022-06-17 CN CN202210683748.0A patent/CN114866341B/zh active Active
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN110598400A (zh) * | 2019-08-29 | 2019-12-20 | 浙江工业大学 | 一种基于生成对抗网络的高隐藏中毒攻击的防御方法及应用 |
CN111914256A (zh) * | 2020-07-17 | 2020-11-10 | 华中科技大学 | 一种机器学习训练数据受投毒攻击的防御方法 |
CN113283476A (zh) * | 2021-04-27 | 2021-08-20 | 广东工业大学 | 一种物联网网络入侵检测方法 |
CN113988293A (zh) * | 2021-10-29 | 2022-01-28 | 北京邮电大学 | 一种不同层级函数组合的对抗生成网络的方法 |
Non-Patent Citations (1)
Title |
---|
深度学习模型的中毒攻击与防御综述;陈晋音;邹健飞;苏蒙蒙;张龙源;;信息安全学报(04);全文 * |
Also Published As
Publication number | Publication date |
---|---|
CN114866341A (zh) | 2022-08-05 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN114866341B (zh) | 面向网络入侵检测系统的漏洞放大式后门攻击安全评估方法 | |
CN113783896B (zh) | 一种网络攻击路径追踪方法和装置 | |
Gong et al. | Backdoor attacks and defenses in federated learning: State-of-the-art, taxonomy, and future directions | |
Asif et al. | Network intrusion detection and its strategic importance | |
Niu et al. | Identifying APT malware domain based on mobile DNS logging | |
Haque et al. | Adaptive hybrid model for network intrusion detection and comparison among machine learning algorithms | |
Macas et al. | Adversarial examples: A survey of attacks and defenses in deep learning-enabled cybersecurity systems | |
Badajena et al. | Incorporating hidden Markov model into anomaly detection technique for network intrusion detection | |
Odusami et al. | An improved model for alleviating layer seven distributed denial of service intrusion on webserver | |
Li et al. | Traffic detection of transmission of botnet threat using bp neural network | |
Liu et al. | VulnerGAN: a backdoor attack through vulnerability amplification against machine learning-based network intrusion detection systems | |
He et al. | [Retracted] Research on DoS Traffic Detection Model Based on Random Forest and Multilayer Perceptron | |
Obeidat et al. | Smart approach for botnet detection based on Network Traffic analysis | |
Veprytska et al. | AI powered attacks against AI powered protection: Classification, scenarios and risk analysis | |
Gavrilis et al. | Flash crowd detection using decoy hyperlinks | |
Kilichev et al. | Next–Generation Intrusion Detection for IoT EVCS: Integrating CNN, LSTM, and GRU Models | |
Song et al. | Generating fake cyber threat intelligence using the gpt-neo model | |
Yadav et al. | Comparative study of datasets used in cyber security intrusion detection | |
Shoaib et al. | URL based phishing detection using machine learning | |
Alserhani et al. | Detection of coordinated attacks using alert correlation model | |
Merzouk et al. | Evading deep reinforcement learning-based network intrusion detection with adversarial attacks | |
Yevdokymenko | An adaptive algorithm for detecting and preventing attacks in telecommunication networks | |
Faizi et al. | Comparison of Machine Learning Techniques on Snort for Predicting Realtime DoS and Probe Attack | |
Gurbani Kaur | Classification of Intrusion using Artificial Neural Network with GWO | |
Wang et al. | ProGen: Projection-based Adversarial Attack Generation against Network Intrusion Detection |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |