漫談在人工智能時代網絡入侵檢測器的安全風險之二逃逸攻擊
引言
在本篇,我們將梳理針對逃逸攻擊的一些安全防御措施,以供讀者參考。
魯棒性評估機制
面對如此多的逃逸攻擊方法,相關安全人員需要合理地評估網絡入侵檢測器的魯棒性,進而對檢測器進行安全加固。在逃逸攻擊的環境下,給定一個基于機器學習的網絡入侵檢測器,然后給定一個特定的入侵流量,即原始樣本,如果該入侵流量周圍的變異流量通過檢測器后分類結果都是一致的,那么就認為該入侵流量在它的局部空間內是魯棒的。與其它機器學習的應用場景類似,網絡入侵檢測器的魯棒性也可以用以下幾種方法來評估:
(1)上邊界評估。對于魯棒性的定義,原始樣本存在一個最小的擾動半徑,使半徑內所有變種樣本被正確預測,而半徑外的變種樣本被誤判,該最小擾動半徑的大小被定義為對抗距離。對抗距離的上邊界可以理解為對于實際對抗距離大于這個上邊界的樣本, 存在一種擾動使得其可以變為一個對抗樣本。這一類的評估通常通過設計算法去構造擾動更小的對抗樣本來實現, 因此大部分是與攻擊方法相關的評估方式。
(2)下邊界評估。受限于對抗距離上邊界的評估通常依賴于特定的攻擊方式, 有許多研究把目標轉向了對抗距離下邊界的評估。對抗距離下邊界的評估目標是尋找一個下邊界, 使得小于該邊界距離的擾動都無法使得原樣本被轉化為對抗樣本。可證明的下邊界不依賴于特定的攻擊方法, 因此更具普適性, 也更適合作為魯棒性評估的指標。
(3)其它評估的方法。現階段, 對抗環境下大部分模型的魯棒性評估指標都是基于范數的,但是該范數有時并不適合用以度量輸入流量的之間的差異,并且一些逃逸攻擊并非通過該范數來生成對抗樣本。因此一些學者提出其它魯棒性評估指標,如樣本間Wasserstein距離、擾動敏感距離等。這些指標極大地提升了魯棒性評估的靈活性。
表1 魯棒性評估方法的比較分析
防御機制
對檢測器進行魯棒性評估后,安全人員下一步的工作是制定合理的防御機制以應對逃逸攻擊。目前存在以下兩種選擇:
(1)被動防御。這是一種比較常見的防御機制,攻擊者通過對檢測器進行分析,不斷嘗試發現合適的攻擊策略,進而實施最優的攻擊;而安全人員又會盡快地對出現的新的對抗樣本進行分析,盡可能地更新檢測器,典型的更新方法有重新收集數據進行訓練或者加入新的特征來檢測最新出現的攻擊。如此攻擊和防御的過程循環交替進行,形成一種競賽。
(2)主動防御。這個過程與被動攻擊基本一致,只是開展攻防技術競賽的雙方主體都是安全人員。在部署設計好的檢測器之前,安全人員通過假設存在敵手來對檢測器進行滲透。首先通過逃逸攻擊的敵手模型假設具體的敵手目標、知識、能力和策略,進而找出特定敵手模型下檢測器可能存在的缺陷和攻擊威脅,然后再提出合適的措施加入檢測器的設計。
圖1 被動防御和主動防御攻擊概念圖
常見的防御方法
在抵抗逃逸攻擊時,安全人員可以從提升網絡入侵檢測器的魯棒性、減小對抗樣本對檢測器的影響兩個方面入手。目前,研究人員已提出多種防御方法,主要包括修改檢測器的分類模型、添加附加的模型、修改訓練階段的輸入樣本、修改測試階段的輸入樣本等四類。一些常見的方法與分類如表2所示,下面我們對其進行簡要介紹。
(1)防御蒸餾。該方法采用了知識遷移的思想,將原始分類模型學到的信息遷移到小型網絡模型中,從而實現了梯度遮掩。防御蒸餾可以有效抵抗一些基于梯度的逃逸攻擊,然而研究表明,在未知模型函數或黑盒攻擊的情況下,例如當采用C&W方法發動攻擊時,該防御方法失效。
(2)正則化。該方法是指在訓練過程中對分類模型的目標函數進行懲罰輸出,從而使模型的輸出對輸入的敏感性降低。深度壓縮網絡的防御方法與這類方法的思想類似,它則是在訓練過程中通過使用壓縮自編碼來添加平滑懲罰項,從而使模型的輸出更加平滑。這類方法可以顯著提高檢測器的魯棒性,但可能在一定程度上會使檢測器的效果變差。
(3)防御全局擾動。該方法在分類模型前添加了額外的處理層,并對該層進行訓練使得該層擁有還原全局擾動的對抗樣本的能力。然而這種方法只能抵抗針對模型的全局擾動,不能防御其它方法產生的對抗樣本。
(4)基于生成對抗網絡的防御。該方法利用生成對抗網絡來增強檢測器的魯棒性。它包括兩個機器學習模型,一個作為檢測器,一個用于生成對抗樣本,然后通過兩個模型博弈來不斷訓練檢測器。該方法可以有效抵抗對抗攻擊,但是如果生成對抗網絡自身沒有得到適當的訓練和挑戰,那模型會受到原始輸入樣本和對抗樣本的影響。
(5)檢測對抗樣本。該類防御方法只需要識別出輸入樣本是否為對抗樣本。目前研究人員提出了多種檢測方法,例如基于統計的檢測、基于局部本征維度的檢測、Feature Squeezing等。然而這類方法一般沒有提供檢測為對抗樣本后的響應方案,而且也會降低檢測器的準確率。
(6)對抗訓練。該方法是將各個方法生成的對抗樣本放入原模型中進行訓練,通過修改訓練樣本集來提升分類模型的魯棒性。除了經典的對抗訓練,目前存在許多優化的對抗訓練方式,例如集成對抗訓練、層疊對抗訓練,取得不錯的防御效果。然而該方法只能加入由已知攻擊方法生成的特定類型的對抗樣本,缺乏泛化能力。另外,當檢測器的數據集規模較大時,該方法的訓練成本較高。
(7)數據壓縮。該方法是通過修改測試階段的樣本集來減小對抗樣本的對抗擾動對分類模型的影響,例如對多條流量的輸入樣本進行壓縮處理,形成一條輸入樣本后再讓檢測器進行判斷。數據壓縮的優點是不需要修改模型、計算量小實現簡單,但是會對檢測器準確率產生一定的影響。
表2 防御逃逸攻擊的常見方法
總 結
機器學習模型在網絡入侵檢測領域中有著出色表現,但是也帶來了逃逸攻擊的安全風險。逃逸攻擊的敵手模型多樣,攻擊策略繁多。面對復雜的對抗環境,安全人員仍需加強對網絡入侵檢測器的測試評估、不斷發展和完善安全防御技術,以此把握攻防博弈的主動權,從而讓“機器學習+網絡安全”走得更遠。
參考文獻
[1] Xu H , Ma Y , Liu H C , et al. Adversarial Attacks and Defenses in Images, Graphs and Text: A Review[J]. International Journal of Automation and Computing, 2020, 17(2):151-178.
[2] Yuan Xiaoyong,He Pan,Zhu Qile,Li Xiaolin. Adversarial Examples: Attacks and Defenses for Deep Learning.[J]. IEEE transactions on neural networks and learning systems,2019,30(9).
[3] 王科迪, 易平. 人工智能對抗環境下的模型魯棒性研究綜述[J]. 信息安全學報, 2020, 5(3): 13-22.
[4] 張嘉楠,趙鎮東,宣晶,常曉林.深度學習對抗樣本的防御方法綜述[J].網絡空間安全,2019,10(08):93-101.
[5] 段廣晗,馬春光,宋蕾,武朋.深度學習中對抗樣本的構造及防御研究[J].網絡與信息安全學報,2020,6(02):1-11.
[6] 李盼, 趙文濤, 劉強,等. 機器學習安全性問題及其防御技術研究綜述[J]. 計算機科學與探索, 2018.
[7] 張思思, 左信, 劉建偉. 深度學習中的對抗樣本問題[J]. 計算機學報, 2019(8).
【本文為51CTO專欄作者“中國保密協會科學技術分會”原創稿件,轉載請聯系原作者】
