面向網絡流量入侵檢測系統的黑盒攻擊

付 森 何珍祥

（甘肅政法大學網絡空間安全學院，甘肅 蘭州 730070）

1 引言

隨著人工智能的興起與發展，機器學習算法在許多方面都有被應用，在網絡安全領域貝葉斯算法被用于過濾垃圾郵件、隨機森林被用于惡意域名檢測、聚類以及深度神經網絡等算法被用于網絡入侵檢測等，機器學習算法在推動人工智能發展的同時，它的自身也會有安全問題存在，很多研究人員只關心怎么提高模型的性能，但是經常會將模型的脆弱性和魯棒性給忽略掉。通常情況下，攻擊者可以利用惡意網絡流量發動有效攻擊并獲取利益，他們通過深入研究這些網絡流量檢測算法，發現漏洞并加以利用。本文的研究內容是從攻擊角度出發，旨在提出一種更強的攻擊算法以促進防御方法的提升。

現有研究發現，機器學習在受到輕微輸入擾動時很容易被干擾，這些干擾雖然無法被發現但是會輕易造成檢測器識別準確率降低。Segedy[7]等人首次發現在圖像上添加了不易察覺的擾動，并且將訓練后的神經網絡分類誤差最大化后，神經網絡無法將圖像進行正確分類。添加輕微擾動后的樣本稱為對抗樣本。截至目前，對抗樣本的生成方法主要分為兩種：一種是基于梯度算法生成對抗樣本。Xiao[8]等人引入一種基于自適應梯度的對抗攻擊方法，該方法依據輸入的先驗梯度，并自適應地調整擾動的累積量，從而執行高級別的對抗攻擊；張文翔[14]等人提出了基于批量梯度的快速梯度符號法（Mb-MI-FGSM），該方法使用了神經網絡損失函數對批量輸入中的每一個樣本的偏導數的均值來指導對抗樣本的生成。這類梯度算法的對抗樣本生成方法只有在攻擊者提前已知檢測模型的結構和參數，即白盒攻擊時才能獲得較好的攻擊性能，在黑盒攻擊方面性能表現很差，然而在現實場景的應用中，黑盒攻擊的現實意義遠大于白盒攻擊，因為攻擊者大部分情況下無法明確知道各類異常檢測器其具體的學習模型。另一種是利用生成對抗網絡（GAN）來生成對抗樣本，例如，郭清揚[10]等人提出訓練一個產生擾動的深度卷積網絡作為生成模型來生成不同的對抗樣本，一個殘差網絡作為判別模型來確保生成的樣本看起來是真實的，主要用于在黑盒攻擊中生成對抗樣本；孫曦音[11]等人利用類別概率向量重排序函數和生成對抗網絡，在待攻擊的神經網絡內部結構未知的情況下生成對抗樣本；潘一鳴[17]等人利用GAN生成惡意網絡流，但是其僅僅適用于緩沖區溢出漏洞攻擊網絡流的生成問題，方法擴展性不足。由此可知，利用生成對抗網絡可以在未知檢測模型知識（即黑盒攻擊）的背景下生成足以欺騙學習模型的高質量的對抗攻擊樣本。

因此，本文基于生成對抗網絡提出了一種新的用于黑盒攻擊的對抗樣本生成方法，該對抗樣本生成方法在只知道檢測器算法所使用的流量特征，而對其學習模型的結構和參數未知的前提條件下，通過訓練一個判別器來擬合網絡流量檢測算法，并用原始流量的樣本和隨機噪聲的疊加作為生成器的輸入，利用GAN 中多層神經網絡的非線性結構使其能夠生成更復雜、更靈活的對抗樣本來欺騙檢測模型，生成的對抗樣本沒有改變惡意網絡流量樣本本身的攻擊性能，該方法的最終目的是進一步大幅度降低利用GAN生成黑盒攻擊的對抗樣本在欺騙網絡流量的檢測時的被檢測率，實驗結果表明，通過本文方法可以在保證惡意流量攻擊特性的條件下生成對抗樣本，用于攻擊流量檢測模型，使其在對惡意流量的被檢測率降低了83.4%。

2 網絡入侵檢測

在20世紀80年代，開始了網絡入侵檢測的研究，即根據網絡流量數據或主機數據來判斷系統行為的正常或異常，可以抽象為分類問題。

根據檢測方式的不同，網絡入侵檢測可分為誤用檢測、異常檢測及混合檢測。誤用檢測是根據已知的攻擊樣本進行分類，神經網絡通過學習訓練已有樣本的攻擊特性將攻擊樣本進行區分，由于檢測的攻擊類型都是已知的，所以該模型檢測效率高，誤報率低。異常檢測是將惡意網絡流量樣本的連接特征與已知正常連接特征進行對比，將正常連接與攻擊連接區分開來，它的學習模型比誤用檢測的更加復雜，而且它的效率低，誤報率高。為了提高對未知攻擊的敏感性，提高效率和降低誤報率，混合檢測將二者結合起來，在實際應用中更為廣泛。

如圖1所示描述的為網絡入侵檢測的主要步驟，首先通過網絡流量采集工具采集數據或者使用公開的網絡入侵數據集，然后進行預處理提取數據特征，最后選擇適當的模型訓練識別。

圖1 基于機器學習的網絡入侵檢測流程圖

3 生成對抗網絡

生成對抗網絡（Generative Adversarial Network,GAN）是由Goodfellow 等人在2014 年提出的，這種網絡模型通過兩個神經網絡組成，一個是生成器，另一個是判別器。整個網絡模型如圖2所示。

圖2 生成對抗網絡模型

生成對抗網絡(GAN)的目的是訓練一個樣本生成系統，使其能夠生成與目標樣本集分布類似的新樣本。GAN的核心思想是博弈論中的納什平衡，生成器學習原始惡意網絡流量樣本數據的分布，讓它生成欺騙判別器的虛假樣本，而判別器則盡可能判別樣本是來自生成器還是訓練集，兩者在對抗訓練下不斷優化，最終達到納什平衡。該網絡的目標函數如下所示：

式中，G代表生成器，D代表判別器；z是服從高斯分布的隨機噪聲；pdata(x)代表真實數據的概率分布；pz(z)代表隨機噪聲的概率分布；x～pdata(x) 表示從真實數據的分布中隨機抽取x；z～pz(z) 表示從高斯分布的隨機噪聲中抽取噪聲z;D(x)和G(z)均表示判別器和生成器在接收括號內輸入后所輸出的向量。對于生成器G來說，通過隨機噪聲z作為輸入，生成器G 期望自己生成的樣本盡可能地欺騙判別器D，所以需要最大化判別概率D(G(z))，于是對于生成器G，它的目標函數是最小化ln(1-D(G(z)))。對于判別器D，為了盡可能地區分真樣本和虛假的生成樣本，它希望最小化判別概率D(G(z))的同時，最大化判別概率D(X)，其中X是真實樣本。于是判別器的目標函數是最大化lnD(X)+ln(1-D(G(Z)))。

在訓練GAN 的過程中，一般情況下訓練多次判別器D之后，才對會對生成器G 訓練一次，這是因為需要訓練成熟的判別器，使其能夠較好的區分真實樣本和生成樣本之后，更加準確地對生成器的參數進行更新。可以證明，當訓練樣本足夠多時，模型會收斂，PG(X)≈Pdata(x)二者達到納什均衡。此時判別器D 對真實樣本和虛假樣本的判別概率均為1/2，樣本達到難以區分的程度。

4 KDD Cup99數據集

KDD Cup99 數據集中每個連接由41 個特征描述，其中以數值形式表示的有34個（連續持續時間、與當前連接具有相同的目標主機的連接數等），其余7個特征為文本類型（協議類型、目標主機的網絡服務類型等）。

與圖像數據不同，網絡入侵的樣本特征存在大量的離散文本量，通過one-hot 編碼方式處理后仍存在大量0-1 離散值，此類數據很難通過梯度尋找對抗樣本，而現有的白盒對抗算法大多是以計算梯度作為基礎。特征向量中離散的文本特征大多是表示訪問的方式、連接的狀態等屬性，在訪問主機時，這些特征不易改變，所以本文在尋找對抗樣本時，保持這些離散文本特征不變，僅通過在連續數據上添加擾動生成對抗樣本。

5 對抗樣本生成方法

5.1 概述

本文提出的基于生成對抗網絡的用于黑盒攻擊網絡流量檢測器的對抗樣本生成方法的整體網絡模型框架如圖3所示，整個主要包括判別器和對抗攻擊樣本生成器。

圖3 基于黑盒攻擊的對抗樣本生成方法流程

網絡流量檢測器是一個期望欺騙的網絡流量檢測算法。本文假設攻擊者只了解檢測器采用的網絡流量特征是哪些，而對其內部使用的網絡結構和參數一概不知，但攻擊者能夠從檢測器中獲得對網絡流量的檢測結果（屬于哪一類攻擊流量）。

該方法與現有算法的主要區別在于，對抗樣本是根據檢測器的反饋動態生成的，而現有的算法大多數是在已知檢測模型的結構和參數的情況下，采用基于靜態梯度的方法來生成對抗樣本。

通過該模型生成的對抗樣本的概率分布由生成器決定。生成器通過改變攻擊樣本的概率分布，使其遠離檢測器訓練集的概率分布。在這種情況下，生成器有足夠的機會引導檢測器將惡意網絡流量錯誤分類為良性流量。

5.2 判別器

由于攻擊者對檢測器的結構和參數未知，因此本文使用判別器來擬合檢測器，從而提供梯度信息來對生成器的網絡參數進行更新。

判別器是一個權重為θd的，具有4個隱藏層深度卷積神經網絡依次具有1024,256,5個神經元，選擇ReLU作為激活函數，以確保模型的非線性。將學習率設置為0.0002，epoch設置為10（迭代次數的設置如本文實驗部分的圖5 所示）采用Adam 優化器促進模型收斂，以特征向量X 作為輸入（512個作為輸入節點），輸出層將輸入流量特征分為五種類別（分別為正常、DOS 攻擊、R2U、U2R、探針攻擊），最后將由判別器產生的新標簽添加到樣本集中。判別器損失函數如下所示：

圖5 判別器擬合目標檢測器的收斂曲線

判別器的訓練集由攻擊者收集的良性流量樣本和網絡攻擊流量樣本共同組成。需要注意的是，訓練集中數據樣本的真實標簽不用于訓練判別器，判別器的最終目標是匹配檢測器。因此檢測器將首先檢測訓練集中的流量樣本是屬于哪一類，之后判別器將使用由檢測器得出的預測標簽作為真實標簽進行訓練。本文通過這種方式來充分擬合檢測器，另一個方面，由此訓練得到的替代判別器可以作為生成對抗網絡的最優判別器，從而以此為基礎，不斷地優化生成器，使其生成最優的對抗樣本。

5.3 生成器

生成器用于將惡意攻擊網絡流量樣本轉換為可攻擊檢測器的對抗樣本。它以原始流量的特征向量F 歸一化之后的向量X 和噪聲向量Z 的和為輸入，X 和Z 都是具有512 個元素的二維向量，特別地，Z中的每個元素都為[0,1]區間內且滿足高斯分布的隨機數，將Z中每個元素的值對應添加到網絡流量特征向量X 上，得到生成器的輸入向量X'={x1+z1,..,xn+zn}。這樣做的目的是為了使生成器可以從單個惡意網絡流量特征向量上生成不同的對抗樣本。

向量X'被輸入到一個權重為θg的多層深度神經網絡（生成器）中，該深度神經網絡的網絡結構除輸出層外，其他層的結構與替代判別器的網絡結構一致。超參數設置方面，將學習率設置為0.0002，同樣采用Adam 優化器，epoch 設置為5，（由實驗部分的圖可知，當迭代次數達到5次時，模型收斂）。該網絡的輸出層有512 個神經元，它將輸出限制在（0,1）范圍內，輸出為G(X')為了使生成的對抗樣本仍然保持可攻擊性（增加的擾動足夠小），本文利用判別器的輸出作為對抗樣本與原始真實樣本數據分布差異的測度，并以此建立約束保證生成器生成的對抗樣本與原始真實樣本的分布一致性，約束的具體公式如下：

式中，θg表示生成器G的網絡參數，px和pz分別表示原始流量X 和隨機噪聲Z 的分布，表示以原始流量X為條件，生成器通過隨噪聲Z生成的對抗樣本。

生成的對抗樣本為攻擊者進一步欺騙檢測器提供了參考依據，攻擊者可以根據生成的對抗樣本修改相應的攻擊程序，如修改數據包大小，修改數據包發送間隔時間等。在這里，可以通過最大-最小標準化的反向運算來得到具體對抗樣本的特征向量Y。

如式所示，在實際的反向運算中，本文忽略了對抗樣本中對于第i個特征值的最小、最大值的變化，因為這對具體的對抗樣本特征向量的生成影響很小。

特別地，在本文提出的對抗樣本生成模型中，可以發現生成器和判別器不是同時被訓練，這是因為模型中判別器作用是擬合檢測器，需要配合檢測器進行單獨訓練，因而在生成器訓練的過程中，判別器是固定的，它的作用只是將得到梯度信息反饋到生成器中，從而不斷地優化生成器。

6 實驗與分析

6.1 數據獲取與預處理

將KDD Cup99 的數據下載并保存，從文件中提取數據得到一個原始特征數據，通過特征提取函數將原始特征數據生成One-hot編碼的特征數組和標簽數組，One-hot編碼有助于多層神經網絡更好地學習離散的文本特征。將特征數組及標簽數組以9:1 的比例隨機生成測試集和訓練集，然后將訓練集與測試集進行標準化處理以方便多層神經網絡學習。

6.2 實驗步驟

將處理好的KDD Cup99 數據集的10%的訓練集，用于訓練網絡流量檢測器，然后使其達到收斂狀態，如圖4所示，當訓練輪數為10時，我們用90%的測試數據集測試該網絡流量檢測器，然后用標簽進行對比，準確率達到92%，并且網絡流量檢測器達到收斂狀態。

圖4 訓練網絡流量檢測器收斂曲線

實驗首先進行的是判定器擬合網絡流量檢測器的部分，該部分先將KDD Cup99 數據集網絡流量樣本經過數據處理后輸入檢測器中，輸出并記錄檢測器對每個流量樣本的新標簽，之后將帶有新標簽的同種流量樣本作為判定器的訓練集。其次是對生成器的訓練部分，該部分是將KDD Cup99數據集的10%用作生成器的訓練集，剩下的90%作為測試集，來測試生成的對抗樣本的有效性。

6.3 實驗結果及分析

在對網絡流量的檢測中，計算判別器和檢測器對相同惡意流量數據集的識別準確率。當判別器的識別率與目標檢測器一致時，便可以充分地證明替代判別器可以很好地擬合該檢測器，進而可以利用該替代判別器來訓練生成器。但是我們假設是在不知道檢測器的內部構造及參數的情況下，用惡意流量檢測器對原始流量分類后產生新的標簽，來擬合判別器，所以我們最終擬合的判別器與惡意網絡流量檢測器還是有差距。

判別器在擬合惡意網絡流量檢測器時的收斂曲線如圖5所示，Y軸表示的是替代判別器和目標檢測器在對惡意攻擊流量的識別檢測率TPR，X軸表示訓練迭代的次數。紅線代表判別器隨訓練次數的增加對惡意流量的識別檢測率，由圖可知當替代判別器訓練到10次左右時，達到收斂狀態，檢測器與判別器的識別率相差20%，在本文中針對惡意網絡流量檢測器的擬合曲線達到了最佳效果。

如圖6 所示，Y 軸表示的是生成器生成的樣本和原始樣本在對惡意流量檢測器進行攻擊后，檢測器對它們的識別率TPR，X軸表示的生成器和惡意流量檢測器的訓練迭代次數，紅線代表生成器隨著訓練迭代次數的增加對原始惡意流量進行擾動后，生成的對抗樣本在目標檢測器的識別率，綠色虛線代表了惡意流量檢測器隨著訓練次數的增加對原始惡意流量檢測的識別率。由圖可知運用惡意網絡流量檢測器檢測原始惡意網絡流量可達到92%的平均檢出率，當生成器訓練到第6輪時，對原始流量增加的干擾已經不穩定了，所以對生成的對抗樣本的在生成器訓練迭代5次的時候平均檢出率只有8.6%，兩者相差83.4%達到了最佳效果。可見，通過本文提出的流量對抗樣本生成方法生成的對抗樣本可以有效欺騙網絡流量檢測器，有助于惡意網絡流量樣本規避相關流量檢測器的檢測。

圖6 目標檢測器對對抗樣本的識別曲線

綜上所述，可知使用本文提出的方法生成的基于惡意流量的對抗樣本在欺騙檢測器方面具有很好的性能，很有擴展性。

7 結論及未來工作

本文針對未知網絡流量檢測器結構和參數的前提條件下，基于生成對抗網絡提出了一種新的用于黑盒攻擊的對抗樣本生成方法。該方法通過構建替代判別器來擬合網絡流量檢測器，從而利用生成對抗網絡向原始惡意流量樣本添加不改變其攻擊特性的微小擾動，試圖欺騙流量檢測器的檢測。實驗結果表明，在KDD Cup99數據集下，該方法生成的對抗樣本可以大幅度降低基于深度卷積學習算法的流量檢測器對惡意流量的檢出率。

由此可見，基于深度學習的網絡流量檢測器在面對這種對抗樣本時缺乏防御能力，很容易被攻擊者利用。因此，在未來工作中還需要探究對抗防御，研究出更好的防御手段或者模型，以幫助深度神經網絡抵抗對抗樣本的攻擊。