面向規避僵尸網絡流量檢測的對抗樣本生成

李沛洋，李 璇，陳俊杰，陳永樂

太原理工大學 信息與計算機學院，太原030024

近年來，隨著移動通信技術的不斷發展，越來越多的物聯網設備出現在人們的日常生活中，例如路由器、網絡攝像頭、可穿戴智能設備、智能家居設備和工業控制設備等。但是由于物聯網設備能夠直接連接物理世界，且防護薄弱，數量龐大，現已成為僵尸網絡攻擊的主要目標之一[1]。僵尸網絡由眾多被惡意程序感染的計算機組成，攻擊者可通過僵尸網絡遠程控制僵尸主機，從而發動大規模的網絡攻擊任務，例如發送惡意垃圾郵件、信息竊取、實施點擊欺詐等惡意網絡行為[2]。因此，眾多僵尸網絡檢測技術被提出，特別是近年來出現的許多基于機器學習的僵尸網絡流量檢測算法，這些算法從網絡流量中提取流量的基本統計特征，并設計、訓練和優化神經網絡，使其能夠有效地將良性流量和不同類型的攻擊流量進行區分。例如，Hwang等人提出了一種由卷積神經網絡和無監督深度學習模型組成的異常流量檢測機制，用于自動分析流量模式和過濾異常流量[3]。Gao 等人設計了一種基于深度神經網絡和關聯分析的兩級異常檢測系統，該系統在公共數據集NSL-KDD 上表現出較高檢測精度和低誤報率[4]。Luo等人利用卷積神經網絡和長短期記憶網絡分別學習網絡流量的空間特征和時序特征，將特征學習的整個過程完全由深度神經網絡自動完成，最終實現了對大規模僵尸網絡的檢測[5]。Sriram等人利用設計的僵尸網絡檢測框架收集網絡流量，將其轉換為連接記錄，并使用深度學習模型檢測來自受損物聯網設備的攻擊[6]。

然而目前大多數研究者僅僅致力于不斷優化這些檢測算法，旨在提高對僵尸網絡的檢測效率和準確率，卻忽略了機器學習算法的魯棒性。通常情況下，攻擊者可以利用僵尸網絡發動有效攻擊并獲取收益，他們有足夠的動機來深入研究這些僵尸網絡檢測算法，從而發現漏洞并利用。本文的主要研究內容是從網絡攻擊的角度出發，旨在提出一種更強的攻擊算法以促進防御方法的提升。

現有研究發現，機器學習很容易受到微小輸入擾動的干擾，這些干擾無法被察覺，但卻很容易造成檢測器分類錯誤[7-9]。Szegedy等人首次發現在圖像上添加了不易察覺的擾動，并最大化被訓練后的神經網絡的分類誤差后，可以使神經網絡無法正確對圖像進行分類[10]。添加擾動后的樣本被稱為對抗樣本。目前，對抗樣本的生成方法主要分為兩類：一類是基于梯度算法生成對抗樣本。Xiao 等人引入一種基于自適應梯度的對抗攻擊方法，該方法依據輸入的先驗梯度，并自適應地調整擾動的累積量，從而執行高級別的對抗攻擊[11]。Zhang 等人提出了基于批量梯度的快速梯度符號法（Mb-MI-FGSM），該方法使用了神經網絡損失函數對批量輸入中的每一個樣本的偏導數的均值來指導對抗樣本的生成[12]。這類基于梯度算法的對抗樣本生成方法只有在攻擊者提前已知檢測模型的結構和參數，即白盒攻擊時才能獲得較好的攻擊性能，在黑盒攻擊方面性能表現很差。然而在實際應用過程中，黑盒攻擊的實際意義遠大于白盒攻擊，因為攻擊者大部分情況下無法明確各類異常檢測器具體的學習模型。另一類是利用生成對抗網絡（generative adversarial networks，GAN）來生成對抗樣本。Guo等人提出訓練一個產生擾動的深度卷積網絡作為生成模型來生成不同的對抗樣本，一個殘差網絡作為判別模型來確保生成的樣本看起來是真實的，主要用于在黑盒攻擊中生成對抗樣本[13]。Sun等人利用類別概率向量重排序函數和生成對抗網絡，在待攻擊神經網絡內部結構未知的前提下生成對抗樣本[14]。Zhang等人同樣在生成對抗網絡框架下提出了一種基于蒙特卡洛搜索的跨站點腳本攻擊的對抗攻擊樣本生成算法，利用該算法生成的對抗樣本漏檢率明顯提高[15]。Pan 等人利用GAN 生成惡意網絡流，但是其僅僅適用于緩沖區溢出漏洞攻擊網絡流的生成問題，方法擴展性不足[16]。由此可知，利用生成對抗網絡可以在未知模型知識（即黑盒攻擊）的背景下生成足以愚弄學習模型的高質量對抗攻擊樣本，但存在兩個問題：（1）目前使得黑盒攻擊性能表現優異的基于GAN的對抗攻擊樣本生成方法大多應用于圖像分類領域，而在基于GAN的惡意流量對抗樣本生成方面，現有方法表現一般且僅僅是針對某一類型的網絡攻擊行為；（2）當前用于黑盒攻擊的網絡惡意流量樣本生成方法僅僅是針對基于某一種機器學習算法的惡意流量檢測器進行設計的，其可擴展性不足。

因此，針對上述問題，本文基于生成對抗網絡提出了一種新的用于黑盒攻擊的對抗樣本生成方法，該對抗樣本生成方法在只知僵尸網絡檢測算法使用的流量特征，而對其學習模型的結構和參數未知的前提條件下，通過訓練一個替代判別器來擬合不同的黑盒僵尸網絡檢測算法，并以原始流量樣本與隨機噪聲的和作為生成器的輸入，利用GAN 中多層神經網絡的非線性結構使其能夠生成更復雜、更靈活的對抗樣本來愚弄黑盒的僵尸網絡檢測算法。生成的對抗樣本并不會改變僵尸網絡流量樣本原有攻擊性能的對抗樣本。該方法的最終目的是進一步大幅度降低利用GAN生成的用于黑盒攻擊的對抗樣本在規避僵尸網絡流量檢測時的被檢測率，同時保證該方法在規避基于不同機器學習算法的惡意流量檢測器時仍然具有較好的性能表現。實驗結果表明，通過本文方法可以在保證僵尸網絡流量攻擊特性的條件下生成對抗樣本，用于攻擊黑盒的僵尸網絡檢測器，使其對僵尸網絡流量的被檢測率降低了0.481 8，并且針對不同的僵尸網絡檢測算法和由不同計算機設備構成的僵尸網絡，使用本文方法仍然可以生成具有良好規避僵尸網絡檢測性能的對抗樣本，充分證明本文方法具有良好的擴展性。

1 生成對抗網絡

生成對抗網絡（GAN）是由Goodfellow等人在2014年提出的[17]。這種網絡模型由兩個神經網絡組成，一個是生成器，另一個是判別器。整個網絡模型如圖1所示。

圖1 生成對抗網絡模型Fig.1 Generative adversarial network model

生成對抗網絡的目的是訓練一個網絡系統，使其能夠生成與目標樣本集數據分布類似的新樣本。GAN的核心思想是博弈論中的納什平衡，生成器被用來學習真實的樣本數據的分布，使其生成欺騙判別器的虛假樣本，而判別器則盡可能判別樣本是來自生成器還是訓練集，兩者在對抗訓練下不斷優化，最終達到納什平衡。該網絡的目標函數如下所示：

式中，G代表生成器；D代表判別器；z是服從高斯分布的隨機噪聲；pdata(x)代表真實數據的概率分布；pz(z)代表隨機噪聲的概率分布；x～pdata(x)表示從真實數據的分布中隨機抽取x；z～pz(z)表示從高斯分布的隨機噪聲中抽取噪聲z；D(x)和G(z)均表示判別器和生成器在接收括號內輸入后所輸出的向量。對于生成器G來說，將隨機噪聲z作為輸入，生成器G期望自己生成的樣本盡可能地欺騙判別器D，因此需要最大化判別概率D(G(z))，于是對于生成器G，它的目標函數是最小化ln(1-D(G(z)))。對于判別器D，為了盡可能地區分真實樣本和虛假的生成樣本，它希望最小化判別概率D(G(z))的同時，最大化判別概率D(x)，其中x是真實樣本。于是判別器的目標函數是最大化lnD(x)+ln(1-D(G(z)))。

在訓練GAN的過程中，通常多次更新判別器D的參數后才會更新一次G的參數，這是因為要先有一個好的判別器，使其能夠較好地區分真實樣本和生成樣本之后，才能更為準確地對生成器進行更新。可以證明，當訓練樣本足夠多時，模型會收斂，pG(x)≈pdata(x)，二者達到納什平衡。此時判別器D對真實樣本還是生成樣本的判別概率均為1/2，樣本達到難以均分的程度。

2 對抗樣本生成方法

2.1 概述

本文提出的基于生成對抗網絡的用于黑盒攻擊網絡流量檢測器的對抗樣本生成方法的整體網絡模型框架如圖2所示，主要包括替代判別器和對抗攻擊樣本生成器。

圖2 基于黑盒攻擊的對抗樣本生成方法框架Fig.2 Framework of adversarial sample generation method based on black box attack

黑盒檢測器是一個期望欺騙的僵尸網絡檢測算法。本文假設攻擊者只了解黑盒檢測器采用的網絡流量特征是哪些，而對其內部使用的網絡結構和參數一概不知，但攻擊者能夠從黑盒檢測器中獲得對網絡流量的檢測結果（良性流量或者惡意攻擊流量）。

該方法與現有算法的主要區別在于，對抗樣本是根據黑盒檢測器的反饋動態生成的，而現有算法大多數是在已知檢測模型的結構和參數的情況下，采用基于靜態梯度的方法來生成對抗樣本[18]。

通過該模型生成的對抗樣本的概率分布由生成器決定。生成器通過改變攻擊樣本的概率分布，使其遠離黑盒檢測器訓練集的概率分布。在這種情況下，生成器有足夠的機會引導黑盒檢測器將僵尸網絡流量錯誤分類為良性流量。

2.2 特征提取和規范化

目前發展較為迅速的僵尸網絡檢測算法主要是基于網絡流量的統計特征，這樣可以忽略數據包負載中的內容，不管僵尸網絡使用加密或者專有協議進行通信都不會影響流統計特征的提取，具有較好的擴展性和適應性。在實際僵尸網絡流量的檢測過程中，捕獲網絡中每個數據包的上下文并提取其特征是十分重要的。例如，針對單獨的一個TCP SYN 數據包，該數據包可能是試圖與服務器建立良性連接，但也可能是為了引起拒絕服務攻擊而發送的數百萬個類似數據包中的一個。因此，本文在網絡通道上采取動態的基于時間窗口的增量統計方法，進行高速的流量特征提取。每當一個數據包到達時，隨即在一個小的時間窗口內捕獲與該包相關的發送方和接收方之間的流量。通過在特定的時間窗口上捕獲數據包來獲取數據包的上下文，以匯總來自不同元信息，即同一源IP（SrcIP）、同一源MAC-IP（SrcMAC-IP）、同一信道（源IP 和目的IP 一致，Channel）、同一套接字（Socket）的網絡流量。之后基于不同的元信息以及相關網絡流量，分類計算不同的統計量，其中包括均值、方差、協方差、近似相關系數等，共23種網絡流量特征，如表1 所示。本文分別在5 個時間窗口（100 ms，500 ms，1.5 s，10 s，60 s）內分析并提取表1 所示的23 種網絡流量特征，由所得到的總計115個特征統計量組成一個流量樣本F。這些統計特征可以被快速遞增地計算出來，并且可以充分反映出某些惡意的網絡行為，如源IP欺騙、Mirai等攻擊行為。提取的這23種網絡流量特征，都是基于流量的統計特征，在這些特征上添加擾動，即修改數據包大小、數據包到達間隔時間等，并不會破壞數據包內容。因此，本文添加擾動的方法是利用對抗生成網絡中的生成器在原始惡意網絡流量樣本的基礎上，增加或減少適當的特征值，使在一定約束條件下生成的對抗樣本同樣具有攻擊性，詳情見2.4節。

表1 特征提取Table 1 Feature extraction

為了使學習效率更高，采用最大-最小方法將樣本的115個數據標準化，使其值映射到（0，1）之間，對于網絡流量特征向量F={f1,f2,…,fn}(n=115)中的第i個元素作如下映射：

式中，minfi、maxfi分別指的是流量樣本集中第i個特征的最小、最大值。經歸一化后，將向量X={x1,x2,…,xn}(n=115)作為對抗樣本生成模型的輸入。

2.3 替代判別器

由于攻擊者對黑盒的僵尸網絡檢測器的結構和參數未知，本文使用替代判別器來擬合不同類型的黑盒檢測器，從而提供梯度信息來對生成器的網絡參數進行更新。

替代判別器是一個權重為θd的，具有3個隱藏層的深度神經網絡模型，依次具有256、512、128 個神經元，選擇ReLU 作為激活函數，以確保模型的非線性[19]。將學習率設置為0.01，epoch設置為37（迭代次數的設置見本文實驗部分的圖3），采用Adam 優化器促進模型收斂。以特征向量X作為輸入（115個輸入節點），輸出層使用的是Sigmod函數：

用Dθd(X) 表示X是僵尸網絡流量的預測概率。因為這是二分類任務，本文根據Dθd(X)是否大于0.5進行二值轉換，0表示良性流量（Benign），1表示惡意攻擊流量（Malware），最后將由替代判別器產生的新標簽添加到樣本集中。替代判別器損失函數如下所示：

替代判別器的訓練集由攻擊者收集的良性流量樣本和僵尸網絡攻擊流量樣本共同組成。需要注意的是，訓練集中數據樣本的真實標簽不用于訓練替代判別器，替代判別器的最終目標是匹配黑盒檢測器。因此黑盒檢測器將首先檢測訓練集中的流量樣本是良性的還是惡意的，之后替代判別器將使用由黑盒檢測器得出的預測標簽作為真實標簽進行訓練。本文通過這種方式來充分擬合多種不同類型的黑盒檢測器，另一方面，由此訓練得到的替代判別器可作為生成對抗網絡的最優判別器，從而以此為基礎，不斷地優化生成器，使其生成最優的對抗樣本。

2.4 生成器

生成器用于將僵尸網絡流量樣本轉換為可攻擊黑盒檢測器的對抗樣本。它以原始流量樣本的特征向量F歸一化之后的向量X和噪聲向量Z的和為輸入，X和Z都是具有115個元素的一維向量，特別地，Z中的每個元素都為[0，1）區間內且滿足高斯分布的隨機數，將Z中每個元素的值對應添加到僵尸網絡流量特征向量X上，得到生成器的輸入向量X′={x1+z1,x2+z2,…,xn+zn}。這樣做的目的是為了使生成器可以從單個僵尸網絡流量特征向量上生成不同的對抗樣本。

向量X′被輸入到一個權重為θg的多層深度神經網絡（生成器）中，該深度神經網絡的網絡結構除輸出層外，其他層的結構與替代判別器的網絡結構一致。超參數設置方面，將學習率設置為0.01，同樣采用Adam優化器，epoch 設置為45（由實驗部分的圖5 可知，當迭代次數達到45 次時，模型收斂）。該網絡的輸出層有115 個神經元，使用的激活函數是Sigmoid函數，它將輸出限制在（0，1）范圍內，輸出為G(X′)。為了使生成的對抗樣本仍然保持可攻擊性（增加的擾動足夠小），本文利用替代判別器的輸出作為對抗樣本與原始真實樣本數據分布差異的測度，并以此建立約束，保證生成器生成的對抗樣本與原始真實樣本的分布一致性，約束的具體公式如下：

式中，θg表示生成器G的網絡參數，pX和pZ分別表示原始流量X和隨機噪聲Z的分布，Gθg(X,Z)表示以原始流量X為條件，生成器通過隨機噪聲Z生成的對抗樣本。

生成的對抗樣本為攻擊者進一步規避黑盒檢測器提供了參考依據，攻擊者可以根據生成的對抗樣本修改相應的攻擊程序，如修改數據包大小，修改數據包發送間隔時間等。這里可以通過最大-最小標準化的反向運算來得到具體對抗樣本的特征向量Y。

如式（6）所示，在實際的反向運算中，本文忽略了對抗樣本中對于第i個特征的最小、最大值的變化，因為這對具體的對抗樣本特征向量的生成影響很小。

特別地，在本文提出的對抗樣本生成模型中，可以發現生成器和判別器不是同時被訓練，這是因為模型中替代判別器的作用是來擬合黑盒檢測器的，需要配合黑盒檢測器進行單獨訓練，因而在生成器訓練的過程中，替代判別器是固定的，它的作用只是將得到的梯度信息反饋到生成器中，從而不斷地優化生成器。

3 實驗

3.1 數據集及實驗步驟

本文提出的用于欺騙網絡流量檢測器的對抗樣本生成方法是采用新的基于物聯網設備的網絡流量開源數據集N_BaIoT來進行評估的[20]。該數據集收集了9種商用物聯網設備被Mirai和BASHLITE分別感染后的僵尸網絡流量數據和未被僵尸網絡感染的良性流量數據，共包含7 062 606 個實例樣本以及每個實例樣本的115種屬性信息。為了保證模型在訓練時樣本數據分布一致性，實驗過程中只選用了數據集中的一種物聯網設備（網絡攝像頭）的流量數據樣本作為對抗樣本生成模型的訓練集和測試集。

實驗首先進行的是替代判別器擬合黑盒僵尸網絡檢測器的部分。該部分先將網絡攝像頭的良性流量以及僵尸網絡流量樣本經過數據處理后輸入黑盒僵尸網絡檢測器中，輸出并記錄黑盒檢測器對每個流量樣本的新標簽（良性0 或者惡意1），之后將帶有新標簽的同種物聯網設備的流量樣本集作為替代判別器的訓練集和測試集，分配比例為9∶1。其次是對生成器的訓練部分。該部分是將同種物聯網設備僵尸網絡流量樣本的90%用作生成器的訓練集，剩下的10%作為測試集，來測試生成的對抗樣本的有效性。

3.2 實驗結果及分析

本文首先分析了在針對不同類型黑盒檢測器時，生成對抗網絡模型中替代判別器的擬合表現。在對惡意僵尸網絡流量的檢測中，計算替代判別器和不同類型黑盒檢測器的F1值。當替代判別器能在該評價標準（F1值）上與目標黑盒檢測器幾乎一致時，便可以充分地證明替代判別器可以很好地擬合該檢測器，進而可以利用該替代判別器來訓練生成器。

表2列出了在相同數據集上，黑盒檢測器以及替代判別器擬合不同類型的黑盒檢測器時計算得到的F1值。表中表示替代判別器擬合對應黑盒檢測器后得到的F1值；表示F1和兩者的差值的絕對值，差值越小，表示擬合效果越好。由表2可知，對于基于邏輯回歸（LR）、支持向量機（SVM）、多層感知機（MLP）以及深度神經網絡構成的惡意流量檢測器，所得到的值小于等于0.010 1，而對于基于決策樹（DT）和隨機森林（RF）構成的惡意流量檢測器，對應的|值大于等于0.034 2，相對來說比較大一點。這是因為由邏輯回歸、支持向量機、多層感知機和深度神經網絡構成的檢測器，它們的網絡結構與本文構造的神經網絡結構非常相似，所以替代判別器能夠以非常高的精度來擬合它們。但總得來說，無論是哪種類型的惡意流量檢測器，替代判別器都可以較好地對其進行擬合。

表2 替代判別器擬合不同的黑盒流量檢測器Table 2 Substitute detector to fit different types of black box traffic detectors

替代判別器在擬合基于不同類型的機器學習算法的僵尸網絡流量檢測器時的收斂曲線如圖3所示，y軸表示替代判別器在擬合不同類型的僵尸網絡流量檢測器后對僵尸網絡流量的識別檢測率TPR（true positive rate），x軸表示訓練的迭代次數。由圖3 可知，當替代判別器迭代訓練到37 次左右時，針對不同類型的僵尸網絡流量檢測器的擬合曲線都可以達到收斂狀態。

圖3 替代判別器的收斂曲線Fig.3 Convergence curves of substitute detector

之后以基于不同機器學習算法的僵尸網絡檢測器分別作為期望欺騙的黑盒檢測器，在相同數據集上對本文提出的對抗樣本生成方法進行性能分析。

表3 中F1、F1′分別表示原始惡意流量樣本、利用本文方法生成的對抗攻擊樣本在被不同類型的真實僵尸網絡流量檢測器檢測后計算得到的F1值；為兩者差的絕對值，該值越大，表示由本文方法生成的對抗樣本在規避對應僵尸網絡流量檢測器方面的性能越好。由表3可知，生成的對抗樣本可以大幅度地降低原始惡意流量樣本的被檢測率，尤其是在針對基于多層感知機和深度神經網絡的僵尸網絡流量檢測器時，分別可達到0.598 3 和0.627 9，此時本文方法表現最好。

表3 本文提出的對抗樣本生成方法的性能表現Table 3 Performance of adversarial sample generation method proposed in this paper

其次，為探究本文方法在由不同計算機設備構成的僵尸網絡中的適用性，以基于隨機森林的僵尸網絡流量檢測器作為期望欺騙的黑盒檢測器（基于隨機森林算法的流量檢測器相對于其他機器學習算法可得到更高的檢測率），通過對抗樣本生成方法，在相同和不同數據集下分別進行性能分析：

（1）使用一種網絡攝像頭的流量樣本作為訓練集（包含良性流量和僵尸網絡流量）對黑盒檢測器和對抗樣本生成模型分別進行訓練。之后將測試集中的僵尸網絡流量樣本隨機均勻分為5 組，每組50 000 個樣本，利用訓練好的黑盒檢測器檢測原始惡意流量樣本以及將其經生成模型轉換后得到的對抗樣本，分別計算得到不同的僵尸網絡流量檢出率TPR，如圖4所示。

圖4 黑盒流量檢測器對惡意流量樣本的檢出率Fig.4 Detection rate of black box traffic detector to malicious traffic samples

由圖4可知，運用基于隨機森林的僵尸網絡流量檢測器檢測原始僵尸網絡流量可達到95.78%的平均檢出率，而對生成的對抗樣本的平均檢出率只有47.60%，兩者相差0.481 8。可見，通過本文提出的流量對抗樣本生成方法生成的對抗樣本可以有效地欺騙僵尸網絡流量檢測器，有助于僵尸網絡流量樣本規避相關流量檢測器的檢測。

圖5 展示了對抗樣本生成模型在訓練過程中的收斂曲線，y軸表示黑盒檢測器在僵尸網絡流量經對抗樣本生成模型轉換后對新生成的僵尸網絡流量的識別檢測率TPR，x軸為訓練的迭代次數。由圖4 可知，當模型迭代到45次附近時可以收斂到47%左右。

圖5 對抗樣本生成模型的收斂曲線Fig.5 Convergence curve of adversarial sample generation model

（2）使用其他8 種類型的物聯網設備在被Mirai 和BASHLITE 攻擊后產生的惡意流量樣本作為對抗樣本生成模型訓練數據集。由圖6可知，通過本文方法生成的對抗樣本可以將惡意流量的被檢測率降低至53.98%以下，充分說明該模型不僅適用于多種類型的物聯網設備，而且針對不同類型的網絡攻擊都可以為其生成有效的對抗樣本以規避檢測，具有良好的擴展性。圖6 中，x軸表示不同物聯網設備產生的流量樣本數據集，y軸表示在相應數據集下，黑盒檢測器對通過對抗生成模型轉換后的僵尸網絡流量的識別率TPR。

圖6 不同類型數據集下對抗樣本生成方法的性能Fig.6 Performance of adversarial sample generation models under different types of data sets

最后，將本文提出的基于生成對抗網絡的用于規避僵尸網絡流量檢測的對抗樣本生成方法與其他惡意網絡流量生成方法進行對比，結果如表4 所示。Pan 等人提出的方法[16]僅僅適用于針對緩沖區溢出漏洞生成攻擊網絡流，沒有展開對其他網絡攻擊流量生成的研究，擴展性較差，并且生成的對抗樣本相比于原始樣本，被檢出率僅僅下降了0.11左右。相比較而言，由本文提出的方法不僅適用于眾多通過僵尸網絡進行的網絡攻擊，并且只需要獲得網絡攻擊流量的統計特征便可生成相應的對抗樣本，且生成的對抗樣本使得惡意流量被檢測率下降了0.48左右。綜上所述，可知使用本文提出的方法生成的基于惡意流量的對抗樣本在規避檢測器方面具有更好的性能。

表4 本文方法與其他方法的性能比較Table 4 Performance comparison of this proposed method and other method

4 結論及未來工作

本文針對在未知僵尸網絡流量檢測器結構和參數的前提條件下，基于生成對抗網絡提出了一種新的用于黑盒攻擊的對抗樣本生成方法。本文方法通過構建替代判別器來擬合基于不同算法的僵尸網絡流量檢測器，從而利用生成對抗網絡向原始惡意流量樣本添加不改變其攻擊特性的微小擾動，試圖規避流量檢測器的檢測。實驗結果表明，在N_BaIoT 數據集下，由本文方法生成的對抗樣本可以大幅度降低那些基于機器學習算法的流量檢測器對惡意流量的檢出率。其次充分證明了本文方法生成的對抗攻擊樣本可以規避基于不同類型的僵尸流量檢測器，具有優異的可擴展性。

由此可見，基于機器學習的僵尸網絡流量檢測器在面對這種對抗樣本時缺乏防御能力，很容易被攻擊者利用。因此，在未來工作中還需要探究對抗防御，旨在研究出更好的防御手段或者模型，以幫助深度神經網絡抵抗對抗樣本的攻擊。除此之外，本文旨在重點強調該方法在黑盒攻擊不同類型僵尸網絡流量檢測器方面的有效性，對生成對抗網絡中所涉及的模型構建以及相關超參數的設置并未做深入研究，這一點需要在未來研究工作賦予實踐。