[[340681]]

引言

在本篇，我們將梳理針對逃逸攻擊的一些安全防御措施，以供讀者參考。

魯棒性評估機(jī)制

面對如此多的逃逸攻擊方法，相關(guān)安全人員需要合理地評估網(wǎng)絡(luò)入侵檢測器的魯棒性，進(jìn)而對檢測器進(jìn)行安全加固。在逃逸攻擊的環(huán)境下，給定一個基于機(jī)器學(xué)習(xí)的網(wǎng)絡(luò)入侵檢測器，然后給定一個特定的入侵流量，即原始樣本，如果該入侵流量周圍的變異流量通過檢測器后分類結(jié)果都是一致的，那么就認(rèn)為該入侵流量在它的局部空間內(nèi)是魯棒的。與其它機(jī)器學(xué)習(xí)的應(yīng)用場景類似，網(wǎng)絡(luò)入侵檢測器的魯棒性也可以用以下幾種方法來評估：

(1)上邊界評估。對于魯棒性的定義，原始樣本存在一個最小的擾動半徑，使半徑內(nèi)所有變種樣本被正確預(yù)測，而半徑外的變種樣本被誤判，該最小擾動半徑的大小被定義為對抗距離。對抗距離的上邊界可以理解為對于實(shí)際對抗距離大于這個上邊界的樣本, 存在一種擾動使得其可以變?yōu)橐粋€對抗樣本。這一類的評估通常通過設(shè)計算法去構(gòu)造擾動更小的對抗樣本來實(shí)現(xiàn), 因此大部分是與攻擊方法相關(guān)的評估方式。

(2)下邊界評估。受限于對抗距離上邊界的評估通常依賴于特定的攻擊方式, 有許多研究把目標(biāo)轉(zhuǎn)向了對抗距離下邊界的評估。對抗距離下邊界的評估目標(biāo)是尋找一個下邊界, 使得小于該邊界距離的擾動都無法使得原樣本被轉(zhuǎn)化為對抗樣本。可證明的下邊界不依賴于特定的攻擊方法, 因此更具普適性, 也更適合作為魯棒性評估的指標(biāo)。

(3)其它評估的方法。現(xiàn)階段, 對抗環(huán)境下大部分模型的魯棒性評估指標(biāo)都是基于范數(shù)的，但是該范數(shù)有時并不適合用以度量輸入流量的之間的差異，并且一些逃逸攻擊并非通過該范數(shù)來生成對抗樣本。因此一些學(xué)者提出其它魯棒性評估指標(biāo)，如樣本間Wasserstein距離、擾動敏感距離等。這些指標(biāo)極大地提升了魯棒性評估的靈活性。

表1 魯棒性評估方法的比較分析

防御機(jī)制

對檢測器進(jìn)行魯棒性評估后，安全人員下一步的工作是制定合理的防御機(jī)制以應(yīng)對逃逸攻擊。目前存在以下兩種選擇：

(1)被動防御。這是一種比較常見的防御機(jī)制，攻擊者通過對檢測器進(jìn)行分析，不斷嘗試發(fā)現(xiàn)合適的攻擊策略，進(jìn)而實(shí)施最優(yōu)的攻擊;而安全人員又會盡快地對出現(xiàn)的新的對抗樣本進(jìn)行分析，盡可能地更新檢測器，典型的更新方法有重新收集數(shù)據(jù)進(jìn)行訓(xùn)練或者加入新的特征來檢測最新出現(xiàn)的攻擊。如此攻擊和防御的過程循環(huán)交替進(jìn)行，形成一種競賽。

(2)主動防御。這個過程與被動攻擊基本一致，只是開展攻防技術(shù)競賽的雙方主體都是安全人員。在部署設(shè)計好的檢測器之前，安全人員通過假設(shè)存在敵手來對檢測器進(jìn)行滲透。首先通過逃逸攻擊的敵手模型假設(shè)具體的敵手目標(biāo)、知識、能力和策略，進(jìn)而找出特定敵手模型下檢測器可能存在的缺陷和攻擊威脅，然后再提出合適的措施加入檢測器的設(shè)計。

圖1 被動防御和主動防御攻擊概念圖

常見的防御方法

在抵抗逃逸攻擊時，安全人員可以從提升網(wǎng)絡(luò)入侵檢測器的魯棒性、減小對抗樣本對檢測器的影響兩個方面入手。目前，研究人員已提出多種防御方法，主要包括修改檢測器的分類模型、添加附加的模型、修改訓(xùn)練階段的輸入樣本、修改測試階段的輸入樣本等四類。一些常見的方法與分類如表2所示，下面我們對其進(jìn)行簡要介紹。

(1)防御蒸餾。該方法采用了知識遷移的思想，將原始分類模型學(xué)到的信息遷移到小型網(wǎng)絡(luò)模型中，從而實(shí)現(xiàn)了梯度遮掩。防御蒸餾可以有效抵抗一些基于梯度的逃逸攻擊，然而研究表明，在未知模型函數(shù)或黑盒攻擊的情況下，例如當(dāng)采用C&W方法發(fā)動攻擊時，該防御方法失效。

(2)正則化。該方法是指在訓(xùn)練過程中對分類模型的目標(biāo)函數(shù)進(jìn)行懲罰輸出，從而使模型的輸出對輸入的敏感性降低。深度壓縮網(wǎng)絡(luò)的防御方法與這類方法的思想類似，它則是在訓(xùn)練過程中通過使用壓縮自編碼來添加平滑懲罰項(xiàng)，從而使模型的輸出更加平滑。這類方法可以顯著提高檢測器的魯棒性，但可能在一定程度上會使檢測器的效果變差。

(3)防御全局?jǐn)_動。該方法在分類模型前添加了額外的處理層，并對該層進(jìn)行訓(xùn)練使得該層擁有還原全局?jǐn)_動的對抗樣本的能力。然而這種方法只能抵抗針對模型的全局?jǐn)_動，不能防御其它方法產(chǎn)生的對抗樣本。

(4)基于生成對抗網(wǎng)絡(luò)的防御。該方法利用生成對抗網(wǎng)絡(luò)來增強(qiáng)檢測器的魯棒性。它包括兩個機(jī)器學(xué)習(xí)模型，一個作為檢測器，一個用于生成對抗樣本，然后通過兩個模型博弈來不斷訓(xùn)練檢測器。該方法可以有效抵抗對抗攻擊，但是如果生成對抗網(wǎng)絡(luò)自身沒有得到適當(dāng)?shù)挠?xùn)練和挑戰(zhàn)，那模型會受到原始輸入樣本和對抗樣本的影響。

(5)檢測對抗樣本。該類防御方法只需要識別出輸入樣本是否為對抗樣本。目前研究人員提出了多種檢測方法，例如基于統(tǒng)計的檢測、基于局部本征維度的檢測、Feature Squeezing等。然而這類方法一般沒有提供檢測為對抗樣本后的響應(yīng)方案，而且也會降低檢測器的準(zhǔn)確率。

(6)對抗訓(xùn)練。該方法是將各個方法生成的對抗樣本放入原模型中進(jìn)行訓(xùn)練，通過修改訓(xùn)練樣本集來提升分類模型的魯棒性。除了經(jīng)典的對抗訓(xùn)練，目前存在許多優(yōu)化的對抗訓(xùn)練方式，例如集成對抗訓(xùn)練、層疊對抗訓(xùn)練，取得不錯的防御效果。然而該方法只能加入由已知攻擊方法生成的特定類型的對抗樣本，缺乏泛化能力。另外，當(dāng)檢測器的數(shù)據(jù)集規(guī)模較大時，該方法的訓(xùn)練成本較高。

(7)數(shù)據(jù)壓縮。該方法是通過修改測試階段的樣本集來減小對抗樣本的對抗擾動對分類模型的影響，例如對多條流量的輸入樣本進(jìn)行壓縮處理，形成一條輸入樣本后再讓檢測器進(jìn)行判斷。數(shù)據(jù)壓縮的優(yōu)點(diǎn)是不需要修改模型、計算量小實(shí)現(xiàn)簡單，但是會對檢測器準(zhǔn)確率產(chǎn)生一定的影響。

表2 防御逃逸攻擊的常見方法

總 結(jié)

機(jī)器學(xué)習(xí)模型在網(wǎng)絡(luò)入侵檢測領(lǐng)域中有著出色表現(xiàn)，但是也帶來了逃逸攻擊的安全風(fēng)險。逃逸攻擊的敵手模型多樣，攻擊策略繁多。面對復(fù)雜的對抗環(huán)境，安全人員仍需加強(qiáng)對網(wǎng)絡(luò)入侵檢測器的測試評估、不斷發(fā)展和完善安全防御技術(shù)，以此把握攻防博弈的主動權(quán)，從而讓“機(jī)器學(xué)習(xí)+網(wǎng)絡(luò)安全”走得更遠(yuǎn)。

參考文獻(xiàn)

[1] Xu H , Ma Y , Liu H C , et al. Adversarial Attacks and Defenses in Images, Graphs and Text: A Review[J]. International Journal of Automation and Computing, 2020, 17(2):151-178.

[2] Yuan Xiaoyong,He Pan,Zhu Qile,Li Xiaolin. Adversarial Examples: Attacks and Defenses for Deep Learning.[J]. IEEE transactions on neural networks and learning systems,2019,30(9).

[3] 王科迪, 易平. 人工智能對抗環(huán)境下的模型魯棒性研究綜述[J]. 信息安全學(xué)報, 2020, 5(3): 13-22.

[4] 張嘉楠,趙鎮(zhèn)東,宣晶,常曉林.深度學(xué)習(xí)對抗樣本的防御方法綜述[J].網(wǎng)絡(luò)空間安全,2019,10(08):93-101.

[5] 段廣晗,馬春光,宋蕾,武朋.深度學(xué)習(xí)中對抗樣本的構(gòu)造及防御研究[J].網(wǎng)絡(luò)與信息安全學(xué)報,2020,6(02):1-11.

[6] 李盼, 趙文濤, 劉強(qiáng),等. 機(jī)器學(xué)習(xí)安全性問題及其防御技術(shù)研究綜述[J]. 計算機(jī)科學(xué)與探索, 2018.

[7] 張思思, 左信, 劉建偉. 深度學(xué)習(xí)中的對抗樣本問題[J]. 計算機(jī)學(xué)報, 2019(8).

【本文為51CTO專欄作者“中國保密協(xié)會科學(xué)技術(shù)分會”原創(chuàng)稿件，轉(zhuǎn)載請聯(lián)系原作者】

 

戳這里，看該作者更多好文