劉奇旭，王君楠，尹捷，陳艷輝，劉嘉熹

（1.中國科學院信息工程研究所，北京 100093；2.中國科學院大學網(wǎng)絡空間安全學院，北京 100049）

1 引言

網(wǎng)絡入侵檢測系統(tǒng)（NIDS,network intrusion detection system）是一種主動安全防護技術，通過實時監(jiān)視網(wǎng)絡流量，并與已知的攻擊庫進行匹配[1]，從而快速感知被監(jiān)控網(wǎng)絡中違背安全策略、危及系統(tǒng)安全的行為，是保障網(wǎng)絡安全的重要手段。

黑客攻擊手段的不斷升級及網(wǎng)絡數(shù)據(jù)的大規(guī)模增長，讓傳統(tǒng)基于規(guī)則的檢測方法難以為繼，系統(tǒng)占用資源過多、對未知攻擊檢測能力差、需要人工干預等缺點日益突出[2]。隨著人工智能的蓬勃發(fā)展，基于機器學習（ML,machine learning）的異常檢測逐漸成為主流NIDS 方案[3]。ML 算法的高速運算能力能夠有效應對大規(guī)模網(wǎng)絡流量，且ML 模型應對分類問題具有天然優(yōu)勢，其出色的泛化能力可使NIDS 具備一定檢測未知惡意流量的能力。

機器學習作為一個復雜的計算系統(tǒng)，同樣面臨著安全性考驗。2014 年，Szegedy 等[4]首次提出了對抗樣本概念，發(fā)現(xiàn)可以通過在原始樣本中加入精心構造的微小擾動從而誤導ML 模型，并將這種形式的攻擊命名為對抗攻擊。隨后Papernot 等[5]發(fā)現(xiàn)對抗樣本具有在不同ML 模型之間遷移的特性。這一發(fā)現(xiàn)揭露了ML 技術在安全方面的極大缺陷，從而使人們更加謹慎看待ML 算法在其他領域的應用。2017年，Kurakin 等[6]用手機相機拍攝生成的洗衣機對抗樣本照片，成功誤導了TensorFlow Camera Demo 應用。2018 年，Alzantot[7]通過變動少量詞匯成功攻擊了情感分析和文本蘊含模型。2019 年，Qin 等[8]構造了人耳無法辨別的音頻對抗樣本。在一些安全敏感的領域，如醫(yī)療檢測[9]、自動駕駛[10]和人臉識別[11]等，對抗攻擊將帶來更加嚴峻的安全威脅，直接影響人們的人身、財產(chǎn)和隱私的安全。

入侵檢測原本就是具有高對抗性的網(wǎng)絡攻防對抗領域，對抗攻擊的出現(xiàn)為惡意網(wǎng)絡攻擊者提供了強大武器，給安全防御工作帶來極大挑戰(zhàn)。因此對抗攻擊在入侵流量檢測與繞過這一領域的應用引起了安全研究者的廣泛關注[12-17]。

本文首先結合NIDS 領域特有的流量對象和場景需求，提出了將對抗機器學習（AML,adversarial machine learning）技術應用于NIDS 領域的獨特約束和挑戰(zhàn)。其次，結合上述約束和威脅模型，本文從攻防2 個視角提出適用于NIDS 領域的對抗攻擊和對抗防御多維分類法，從多個角度總結和對比現(xiàn)有工作。最后，基于對已有工作的總結分析，本文對當前研究的不足和未來發(fā)展方向進行探討和展望。

2 基礎知識

2.1 基本概念及形式化

機器學習的對抗樣本問題引起了研究者的極大關注，并提出了一系列的對抗攻擊和對抗防御的方法，這一領域即對抗機器學習。

如圖1 所示，對抗樣本是指在測試樣本上添加精心構造的擾動而生成的新的輸入樣本。對抗樣本與原始測試樣本在人為觀察上無明顯差異，但會使ML 模型產(chǎn)生與原始樣本完全不同的預測結果。

對抗性擾動則是根據(jù)AML 算法，通過最大限度提高預測誤差而獲得的難以察覺的非隨機噪聲。

給定經(jīng)過訓練的ML 分類器f:Rm→Label 和原始輸入數(shù)據(jù)樣本x∈[a,b]m，生成對抗樣本x′=x+η（η為對抗性擾動）的過程通?？梢孕问交癁橐粋€邊界約束的優(yōu)化問題[4]，即

其中，y′表示x′的目標標簽；表示2 個樣本的距離；邊界約束x′∈[a,b]m意味著必須在有效邊界內生成對抗樣本；η=x′?x表示添加在原始樣本x上的擾動。該優(yōu)化問題的目標就是在最小化擾動的同時，使模型將添加了擾動的輸入數(shù)據(jù)錯誤分類。

2.2 經(jīng)典對抗機器學習算法

Goodfellow 等[18]提出了快速梯度符號方法（FGSM,fast gradient signed method），在L∞范數(shù)限制下將樣本朝著梯度上升方向推動，快速增加損失函數(shù)，從而改變分類結果。FGSM 計算成本低、生成速度快，但攻擊能力較弱，適用于對攻擊效率有較高要求的應用場景。

Papernot 等[19]提出基于雅可比矩陣的顯著圖攻擊方法（JSMA,jacobian-based saliency map attack）。JSMA 通過計算正向導數(shù)來評估模型對每個輸入特征的敏感度，進而定位最易導致模型輸出發(fā)生重大變化的像素點來欺騙模型。JSMA 使用L0 范數(shù)來限制擾動大小，對原始輸入修改較少，同時由于JSMA 采用正向傳播計算顯著點，計算過程相對簡單。

Moosavi-Dezfooli 等[20]提出了能夠生成最小化L2 范數(shù)的對抗性擾動的方法——DeepFool。DeepFool 逐漸將位于分類邊界一側的樣本推向另一側，直到分類錯誤。這種方法對原始輸入的改動相對較少，同時生成的對抗樣本具有較好的攻擊效果，但計算量也相對較高。

Carlini和Wagner[21]提出的C&W攻擊重新設計了多步迭代攻擊中的損失函數(shù)，使其在對抗樣本中有較小的值，但在原始樣本中有較大的值，因此可通過最小化該損失函數(shù)得到對抗樣本，是目前最先進的白盒攻擊方案。

Moosavi-Dezfooli 等[22]進一步證明了跨越數(shù)據(jù)及網(wǎng)絡架構的通用對抗擾動（UAP,universal adversarial perturbations）的存在。該方法對所有樣本進行迭代版的DeepFool 攻擊，直到找到一個可以使大部分樣本都分類錯誤的擾動η。UAP 攻擊不需要目標模型的任何信息，極大地降低了實施對抗攻擊的門檻，危害性更大。

3 獨特挑戰(zhàn)與約束

在NIDS 領域中，AML 擾動對象為惡意流量，這與在圖片樣本上進行修改有很大不同。本節(jié)結合NIDS 領域的獨特場景和對象，詳細分析在NIDS領域應用AML 算法所具有的獨特挑戰(zhàn)和約束。

3.1 獨特的場景挑戰(zhàn)

入侵檢測與繞過領域具有高度對抗性，攻擊者與防御者在技術更新迭代中不斷對抗。在NIDS 領域應用AML 算法存在以下幾點特殊挑戰(zhàn)。

1) 應用場景的挑戰(zhàn)。在真實的網(wǎng)絡攻擊場景中，攻擊者往往擁有較少的檢測模型知識，且無法通過不斷訪問NIDS 來訓練替代模型。因此基于梯度的AML 算法和需要大量訪問目標模型的攻擊方法在NIDS 場景中都無法直接應用。

2) 直接生成對抗流量的挑戰(zhàn)。若想對NIDS 產(chǎn)生真實威脅，攻擊者需要產(chǎn)生能在網(wǎng)絡傳輸?shù)膶沽髁?，僅生成對抗特征向量的對抗攻擊在NIDS 領域難以適用。

3.2 獨特的擾動約束

在生成圖像對抗擾動時，往往以“微小”為基本約束，通過限制L∞、L 1、L 2范數(shù)使添加的擾動對人不可觀察，從而避免被人類觀察員發(fā)現(xiàn)。在NIDA 領域，“微小”約束不再適用，取而代之的是惡意流量樣本所帶來的以下幾點更嚴苛的約束條件。

1) 遵守網(wǎng)絡協(xié)議規(guī)范的約束。為了保證被擾動后的網(wǎng)絡流量仍能在現(xiàn)網(wǎng)傳輸，需要保證在添加擾動后仍符合網(wǎng)絡協(xié)議規(guī)范。即各協(xié)議頭部字段須保持正確含義，且符合各部分的值域范圍。如IP 層頭部前4 bit 代表版本號，值域范圍是(4,6)，在擾動后不應出現(xiàn)值域范圍外的數(shù)值。

2) 維持惡意功能的約束。入侵流量往往承擔著傳遞惡意信息、執(zhí)行惡意功能的基本任務，為了保證在添加擾動后的惡意流量仍能實現(xiàn)原本惡意目的，添加的擾動不應對承擔惡意功能的特征或區(qū)域產(chǎn)生影響。例如，隨意更改惡意payload 或將協(xié)議類型從TCP 更改為UDP，可能會導致惡意功能無法實現(xiàn)或是數(shù)據(jù)包無法傳輸。

3) 保證一致性的約束。如果擾動對象是惡意流量的特征向量，在施加擾動時還需要考慮各特征之間的相關關系。例如，特征向量同時包含持續(xù)時間duration、數(shù)據(jù)包字節(jié)長度Byte 和字節(jié)傳輸速率bit/s，在施加擾動后仍應滿足bit/s=Byte/duration 的依賴關系，否則將無法據(jù)此生成真實惡意流量樣本。

在NIDS 領域應用AML 算法所具有的獨特的挑戰(zhàn)和約束使很多原本適用于在計算機視覺領域的對抗攻擊和防御方法無法適用，這些方法或因應用場景的嚴格限制和不透明而導致假設不成立，或因無法產(chǎn)生真實流量而不具備實際攻擊價值，都很難直接應用于NIDS 領域。為充分調研和分析相關工作成果，本文將結合本節(jié)提出的若干挑戰(zhàn)和約束，構建適用于NIDS 的AML 分類法。

4 分類法

本文將基于機器學習的NIDS 一般應用流程分類為模型訓練和測試兩大階段，并以此為中心根據(jù)不同攻擊階段提出了多維對抗攻擊分類法，根據(jù)不同修正對象提出了與模型訓練階段各具體步驟相對應的對抗機器學習技術分類法，如圖2 所示。

4.1 對抗攻擊分類法

考慮到在NIDS 領域實施對抗攻擊所具有獨特約束和挑戰(zhàn)，本文按照攻擊的發(fā)展階段提出了一種全新分類法。

如圖2 所示，作為一種測試時攻擊，對抗攻擊實施者將首先利用社會工程攻擊或先驗知識等側信道信息充分分析攻防雙方的形勢地位以確立威脅模型，隨后據(jù)此選擇適當?shù)膶构舴椒?，并生成對抗樣本輸入基于機器學習的NIDS，從而繞過檢測實現(xiàn)惡意目的。

威脅模型，是指本文通過對攻擊者目標、能力以及知識的描述，建立一般性的威脅模型。

1) 攻擊者知識，指攻擊者對ML 模型整體的了解程度。具體包括：全部或部分訓練數(shù)據(jù)；樣本的特征表示；模型所采取的機器學習算法和判別函數(shù)；訓練后模型的具體參數(shù)；模型的判別結果[23]。根據(jù)信息掌握程度可以分為白盒、灰盒和黑盒攻擊。

①白盒攻擊。假設攻擊者對NIDS 的訓練數(shù)據(jù)、算法、模型及參數(shù)有完整的知識。白盒場景下防御者完全透明，在現(xiàn)實攻擊場景中通常是不可行的。

②灰盒攻擊。假設對手可以訪問不同程度的信息。對于灰盒攻擊，對手沒有模型創(chuàng)建者所擁有的確切知識，但有足夠的信息攻擊機器學習系統(tǒng)，導致機器學習系統(tǒng)失敗。

③黑盒攻擊。假設對手沒有任何關于機器學習系統(tǒng)的先驗知識，僅能通過訪問模型獲得二進制分類結果。真實場景中的黑盒攻擊可能比理論上的黑盒模型更具限制性，例如在真實NIDS 攻防場景中，攻擊者往往僅具有有限的訪問次數(shù)。

2) 攻擊者能力。對抗攻擊是測試時攻擊，因此攻擊者需具有操縱測試樣本的能力。在NIDS 場景下，攻擊者往往是惡意軟件的實際操控者，具有控制惡意流量的構造和發(fā)送，且根據(jù)要求調整惡意網(wǎng)絡行為的較高能力權限。

3) 攻擊者目的。對抗攻擊的目的在于破壞機器學習系統(tǒng)的完整性，降低模型的可靠性。在NIDS二分類應用場景下，攻擊者希望通過施加對抗性擾動，使基于機器學習的NIDS 將對抗惡意流量樣本識別為良性，從而繞過檢測，增加攻擊行為的隱蔽性。

攻擊方法，是指根據(jù)攻擊方法的基本原理進行分類。不同的攻擊方法對攻擊者的能力需求不同，產(chǎn)生的實際危害程度也會有所區(qū)別。

1) 基于梯度的攻擊。攻擊者掌握分類器的損失函數(shù)，通過獲得目標模型對于特定輸入的梯度信息，進行優(yōu)化搜索或逆梯度構造來生成對抗樣本。

2) 基于得分的攻擊。攻擊者利用目標模型的分類置信度或logits，即樣本的概率向量，獲得目標模型的細節(jié)信息，從而指導對抗樣本的構造。

3) 基于決策的攻擊。攻擊者收集目標模型的二進制分類結果來訓練替代模型，或利用生成模型學習對抗樣本自身的分布，直接構造對抗樣本的方法。

輸出結果，是指根據(jù)對抗攻擊最終生成的樣本類型進行分類[24]。

在機器學習領域有問題空間和特征空間之分[25]。問題空間指樣本實例的集合，特征空間則是用于表示樣本實例的特征向量的集合。兩者有時是相同的，更多時候特征空間是由問題空間通過某種映射生成的。根據(jù)對抗攻擊方法的輸出，可將其分為以下2 種。

1) 特征空間攻擊，指僅能生成具有對抗性的流量特征向量的對抗攻擊方法。

2) 流量空間攻擊，指能夠生成可在網(wǎng)絡中傳輸?shù)牧髁繕颖镜膶构舴椒ā?/p>

由于從流量樣本到流量特征的映射通常是不可逆的，即在已知流量特征向量的情況下，很難通過逆映射運算得到真實流量樣本。而且從特征到流量樣本的映射往往并非雙射，也就是說在給定特征向量v和對抗擾動r，可能并不存在與v+r對應的流量實例x。因此在NIDS 領域，特征空間和流量空間攻擊的實際威脅程度有較大的差異。

4.2 對抗防御分類法

為降低對抗樣本帶來的安全威脅，增強NIDS模型的穩(wěn)健性，安全防御人員需采取對抗防御措施來抵抗?jié)撛诘膶构舴椒?。如圖2 所示，根據(jù)作用階段的不同，對抗防御可以分為在模型訓練階段針對數(shù)據(jù)的修正、針對模型的修正，以及在模型測試階段使用附加網(wǎng)絡檢測對抗樣本三類。

1) 針對數(shù)據(jù)的修正，是指通過在“數(shù)據(jù)收集與預處理”和“特征提取與挑選”階段，通過改變模型的訓練數(shù)據(jù)組成或改變模型的特征空間來間接地提高目標模型對對抗樣本穩(wěn)健性的一類防御方法。這類方法多數(shù)需要重新進行模型訓練。

2) 針對模型的修正，是指通過直接修改目標分類模型實現(xiàn)對抗樣本防御的一類方法。具體實現(xiàn)又可包括掩蔽梯度信息、增加模型正則化程度和采用更復雜的分類機制等方法。這類方法往往會增加模型復雜度，對模型的準確性也有一定影響。

3) 使用附加網(wǎng)絡檢測，是指在不改變目標分類模型的前提下，通過訓練額外的ML 模型檢測對抗樣本，從而排除對抗樣本對目標分類器的影響。這類方法增加了訓練附加網(wǎng)絡的訓練成本，而且可能會影響目標分類模型的效率和實用性。

5 對抗攻擊

結合NIDS 領域特有的約束，本文將根據(jù)第4 節(jié)提到的分類法，從攻擊者知識和輸出結果2 個角度總結分析當前對抗攻擊在NIDS 領域的具體實踐。相關工作總結對比[26-44]如表1 所示。

表1 對抗攻擊方法

白盒&特征空間攻擊。在白盒場景下的特征空間攻擊方法利用傳統(tǒng)基于梯度的AML 算法，直接將網(wǎng)絡流量特征向量當作圖像樣本施加無差別擾動，從而得到能夠繞過基于ML 模型的NIDS 的、具有高對抗性的惡意流量特征向量。

文獻[26]利用FGSM、JSMA 方法針對多層感知機和由決策樹、隨機森林以及支持向量機構成的集成分類器發(fā)起對抗攻擊。通過評估在NSL-KDD數(shù)據(jù)集上的分類器性能指標的下降（10%～27%）證明了基于機器學習的NIDS 難以抵抗對抗攻擊。文獻[27]增加了C&W 和DeepFool 這2 種攻擊方法的評估。Ibitoye 等[28]則在Bot-IoT 數(shù)據(jù)集[45]上評估了FGSM、BIM、PGD 這3 種攻擊方法針對前饋神經(jīng)網(wǎng)絡和自歸一化神經(jīng)網(wǎng)絡模型[29]的有效性。文獻[46]則針對已發(fā)表的IDS 模型KitNet[47]實施了對抗攻擊，并證明平均修改1.38 個輸入特征即可使Mirai惡意流量繞過檢測。

白盒&流量空間攻擊。為了生成可在網(wǎng)絡中傳輸?shù)墓袅髁?，在應用已有的基于梯度的攻擊方法時，攻擊者需要考慮在第3 節(jié)中提到的幾種特殊約束，從而限制對抗性擾動的影響范圍。

文獻[30]將擾動的特征限制在持續(xù)時間、總字節(jié)、總包數(shù)以及基本屬性特征中，且僅采用FGSM生成的正值擾動。在這2 項約束下，利用代理通過增加和時延數(shù)據(jù)包等操作實現(xiàn)了加密C2 流量繞過檢測，不但能夠保證惡意功能和遵守網(wǎng)絡協(xié)議規(guī)范，而且由于擾動的特征之間無依賴關系，該方法可以保證特征一致性。

文獻[31]提出了一個融合特殊域約束的基于梯度的迭代對抗攻擊框架，也提出了特征空間的特定域依賴和數(shù)學關系依賴，并針對性設計了可以保持特征內部一致性的更新函數(shù)。作者通過加包操作改變持續(xù)時間、總包數(shù)、總字節(jié)數(shù)等特征，使基于CTU 數(shù)據(jù)集[48]的檢測模型的AUC 從0.98 降為0.21。

文獻[32]借鑒了UAP 的思想，通過構造通用對抗擾動來繞過1D-CNN 模型。針對網(wǎng)絡流量分類的不同輸入空間分別提出3 種構造UAP 的攻擊方法。AdvPad 在原始數(shù)據(jù)包有效負載中注入UAP；AdvPay 將UAP 作為有效負載構建新數(shù)據(jù)包插入原始流中；AdvBurst 將具有UAP 生成的統(tǒng)計特征的虛擬包注入原始流中。該方法基于代理實現(xiàn)了在數(shù)據(jù)包層面上的增量操作，不但保證了前述若干約束，而且能夠使檢測器的召回率下降20%～70%。

灰盒&特征空間攻擊。利用有限的知識構造能夠繞過目標NIDS 模型的對抗特征向量。

Yang 等[33]在NSL-KDD 上針對MLP 模型分別使用 C&W、ZOO[49]和生成式對抗網(wǎng)絡（GAN,generative adversarial network）3 種方法生成對抗樣本。作者提出，盡管ZOO 的攻擊效果更好，但它需要大量的查詢來生成敵對的示例，很難適應真實的網(wǎng)絡攻擊場景。文獻[34]同樣利用WGAN[50]構造對抗樣本。作者假定攻擊者了解目標模型的特征空間，利用判別器模擬目標模型，同時僅保留對非功能性特征的擾動，從而彌補了文獻[36]的不足。

Shu 等[35]提出了一種結合主動學習和GAN 的對抗攻擊方法。利用基于邊緣采樣的主動學習選擇距離目標模型決策邊界更近的樣本來訓練替代模型，從而減少目標模型的訪問次數(shù)。實驗表明，僅通過25 次模型訪問即可實現(xiàn)98.86%的繞過率。

Aiken 等[36]通過僅向3 種SYN 泛洪的典型特征（數(shù)據(jù)包大小、數(shù)據(jù)包傳輸速率和上下行流量比率）隨機添加噪聲，基于目標模型反饋的分類置信度實驗最佳擾動值。實驗結果表明，同時擾動3 種特征可將RF、線性回歸和SVM 的準確率降為0。

文獻[37]提出了一種基于對抗性轉換網(wǎng)絡的對抗方法。作者觀察到Meek 流量和HTTPS 流量在有效負載長度分布和數(shù)據(jù)包到達間隔分布2 個特征上有顯著差異，因此基于StarGAN[51]融合多個損失函數(shù)，最小限度地修改統(tǒng)計特征，從而將Tor 網(wǎng)絡的流量隱藏在HTTPS 連接中。實驗證明本文提出的攻擊方法可將平均FPR 從0.183 提高到0.834。

以上工作通過僅擾動非功能性特征的方法來滿足約束，文獻[38]則進一步總結并解決了以下3 種約束。1) 二進制特征：僅二進制翻轉。2) 保持惡意功能：僅執(zhí)行增量操作。3) 特征依賴：聯(lián)動修改具有相關關系的特征。在這3 種約束下，通過遺傳算法、粒子群算法和GAN 進行優(yōu)化搜索找到最小擾動。在NSL-KDD 和UNSW-NB-15[52]數(shù)據(jù)集上的實驗證明，可實現(xiàn)92.6%的繞過成功率。

灰盒&流量空間攻擊?？紤]到社會工程攻擊和惡意流量檢測廣泛存在的先驗知識，攻擊者往往能夠獲得目標模型的部分知識（如算法、特征空間等），從而更有針對性地設計對抗攻擊方法。

Kuppa 等[39]在原始樣本的球形局部子空間搜索生成對抗樣本并利用流形近似算法[53]來減少查詢次數(shù)。作者僅擾動非功能性特征，并使用Scapy 不斷更新數(shù)據(jù)包以維持特征之間的依賴關系，從而實現(xiàn)對抗特征向量到對抗流量樣本的逆向構造。

黑盒&流量空間攻擊。黑盒場景提出更加嚴格的限制，即攻擊者僅能利用NIDS 的二進制判別結果來構造能夠繞過檢測的惡意對抗流量。因此，黑盒場景下的流量空間攻擊與真實場景下的NIDS 繞過攻擊場景最一致，也最具實用性和威脅性。

Rigaki 等[40]提出了一種基于GAN 的流量空間攻擊方法。作者利用GAN 模擬Facebook 流量的統(tǒng)計特征，并將獲得的對抗性特征傳遞給惡意代碼，以便其構造符合“要求”的惡意流量，從而使Stratosphere IPS 無法區(qū)分惡意流量與Facebook 流量。FlowGAN[54]不再局限于Facebook 流量，而是可以模擬任何“正?！本W(wǎng)絡流量動態(tài)改變流量特征繞過審查。但這2 個工作中，GAN 仍然僅負責生成對抗性特征。攻擊者需要對惡意軟件源代碼進行復雜修改才能實現(xiàn)從對抗特征到對抗流量的轉換。

Hashemi 等[41]采用基于決策的思想，借助有限的目標NIDS 反饋，在數(shù)據(jù)包層次上或網(wǎng)絡流層次上迭代修改原始輸入樣本，從而生成對抗樣本。為了滿足前述約束，作者限制擾動動作為數(shù)據(jù)包分裂、數(shù)據(jù)包時延和數(shù)據(jù)包注入3 種操作。該方法的不足在于需要向目標NIDS 發(fā)送大量的詢問。

Wu 等[42]將對抗樣本構造問題建模為序列決策問題，利用深度強化學習生成對抗樣本。作者設計了一個包含14 個數(shù)據(jù)包級別增量操作和時間擾動操作的動作空間。代理以黑盒檢測模型的二進制判別結果為獎勵，根據(jù)強化學習策略從動作空間中選擇下一個修改動作，迭代修改原始流量樣本，直到成功欺騙目標模型或超出最大訪問限制。

Cheng 等[43]從基于策略梯度的序列生成模型SeqGAN[55]中獲得靈感，提出了Attack-GAN 攻擊。作者將對抗流量的生成建模為序列決策過程，生成器相當于強化學習中的代理，生成的字節(jié)為當前狀態(tài)，動作空間為全部可能字節(jié)。生成器將以判別器的梯度信息作為獎勵，利用蒙特卡羅樹搜索算法來選定下一字節(jié)，并通過僅修改不影響惡意功能的字節(jié)和遵守網(wǎng)絡協(xié)議頭部字段值域范圍來滿足保持惡意功能和遵守網(wǎng)絡協(xié)議規(guī)范的約束。

文獻[44]提出了一種新的端到端基于時間的對抗流量重構攻擊——TANTRA。TANTRA 利用長短時記憶網(wǎng)絡學習良性數(shù)據(jù)包的時間差分布特點，從而實現(xiàn)在不改變惡意數(shù)據(jù)包內容的前提下，通過改變惡意流量數(shù)據(jù)包的時間差分布繞過檢測。在CIC-IDS2017[56]上的實驗實現(xiàn)了99.99%的平均成功率。

可以發(fā)現(xiàn)，在NIDS 領域的對抗攻擊方法從最開始簡單的遷移計算機視覺領域的工作，逐步發(fā)展為結合NIDS 具體應用場景開發(fā)新型對抗攻擊方法。雖然很多研究工作都聲稱自己可以實現(xiàn)黑盒場景下的NIDS 對抗攻擊，但或者因為所使用的是NSL-KDD 的特征數(shù)據(jù)集而依賴目標模型的特征集，或是需要了解目標模型分類得分都僅能實現(xiàn)灰盒攻擊，但并不代表這些工作完全不可采納。由于惡意流量的惡意特征往往比較明顯，且不同檢測模型使用的特征空間通常具有一定的重復性，而攻擊者作為經(jīng)驗豐富的惡意專家很可能擁有關于檢測常用惡意特征的先驗知識。因此攻擊者完全可能在不了解目標模型確切特征空間的條件下，基于領域先驗知識選擇典型惡意流量特征施加擾動，進而實現(xiàn)對黑盒NIDS 模型的對抗攻擊。

從輸出結果角度分析，流量空間攻擊則顯得更有價值。流量空間攻擊的重要環(huán)節(jié)是生成對抗性惡意流量，主要包括以下幾種方法：1) 直接在原始流量上施加數(shù)據(jù)包增量和時延操作，并利用代理實現(xiàn)擾動，如文獻[31-32,41-42,44]；2)利用其他組件從對抗特征構造對抗流量，同時僅修改非功能性特征，而不損害原始流量功能，如文獻[39]；3)將對抗特征傳遞給控制端，使其根據(jù)需求重新生成惡意流量，這需要對源碼施加復雜的修改，如文獻[40,54]。

6 對抗防御

隨著對抗攻擊方法研究的不斷深入，為增強ML 模型的穩(wěn)健性，抵御對抗攻擊的安全威脅，研究者提出了多種防御方法，根據(jù)修正對象的不同可分為針對模型的修正、針對數(shù)據(jù)的修正和使用附加網(wǎng)絡3 種類型。相關工作整理如表2 所示。

表2 對抗防御方法

1) 針對模型的修正

防御蒸餾。在防御蒸餾模型[57]中，選擇2 個相同的模型作為教師和學生模型，將原始分類模型學到的信息遷移到小型網(wǎng)絡模型中，從而實現(xiàn)了梯度遮掩。防御蒸餾可以有效抵抗一些基于梯度的小幅度擾動的對抗攻擊，但在未知模型函數(shù)或黑盒攻擊的情況下，該防御方法失效。

深度壓縮網(wǎng)絡（DCN,deep contractive networks）。文獻[58]提出了一種融合了平滑懲罰的端到端訓練模型DCN，從而在保證不會顯著降低性能的前提下，增加了網(wǎng)絡對對抗樣本的穩(wěn)健性。與這種去噪的思想類似，文獻[59]利用去噪自編碼器構建NIDS，并在數(shù)據(jù)輸入模型前應用多個隨機掩碼增加輸入數(shù)據(jù)的噪聲擾動，實現(xiàn)了相當于Kitsune-GMM79 倍的檢測率，在對抗環(huán)境中的檢測率也是Kitsune-GMM 的3.73 倍。

集成分類模型。文獻[60]提出一種層次集成的NIDS。其中每個弱分類器都使用不同特征集，且后置分類器僅處理前置分類器識別為良性的樣本，從而保證被識別為良性的樣本可經(jīng)過全部弱分類器。實驗證明該防御方法可100%抵抗基于最鄰近算法的對抗攻擊[62]。但這種方法會顯著增加防御成本。

基于鄰域分類的防御。Cao 等[63]基于對抗樣本的分布接近于分類邊界這一觀察，提出以基于區(qū)域分類的防御方法。具體來說，對于每個待預測樣本，在以其為中心的超立方體鄰域范圍內隨機選取若干個樣本，采用多數(shù)表決方式選擇預測標簽最多的作為待預測樣本最終的標簽。通過在MNIST 和CIFAR-10 數(shù)據(jù)集上的實驗證明，該方法可以防御FGSM、C&W、JSMA、BIM 和DeepFool 等多種先進的攻擊手法，同時不犧牲分類精度。

2) 針對數(shù)據(jù)的修正

對抗訓練。對抗訓練通過在模型訓練數(shù)據(jù)集添加預先構造的對抗樣本，提升模型針對對抗樣本的穩(wěn)健性。根據(jù)加入對抗樣本的不同，又可進一步分為FGSM 對抗訓練[23]、PGD 對抗訓練[74]和集成對抗訓練[75]防御方法。前兩者是僅利用某種特定攻擊方法快速構造大量對抗樣本進行對抗訓練，而集成對抗訓練則是利用多種類型的對抗樣本來對原始數(shù)據(jù)集進行數(shù)據(jù)增強。對抗訓練泛化性能較差，僅能防御已知的攻擊類型，因此能夠發(fā)揮的作用有限。

在NIDS 領域，文獻[64-66]都使用了對抗訓練的方法來加強IDS 模型對于對抗攻擊的穩(wěn)健性，并在多種數(shù)據(jù)集、多種攻擊方法、多種分類器模型下進行了全面細致的評估。文獻[64]還證明基于主成分分析的特征約減也能夠顯著提高IDS 的穩(wěn)健性。

非穩(wěn)健特征約減。文獻[76]提出了一種特征壓縮的方法來檢測對抗樣本，其基本思想是巨大的特征輸入空間為攻擊者構建對抗樣本提供了很大的空間，因此防御者可以通過“壓縮”不必要的輸入特征來減少攻擊者的自由度，限制其攻擊行為。文獻[68]借鑒了這一思想，通過刪除一些穩(wěn)健性得分較低的特征來防御潛在的對抗攻擊。通過刪除20%分數(shù)較低的特征，與對抗訓練和簡單的特征選擇相比，該方法能夠實現(xiàn)更好的防御性能，同時分類器的檢測性能不會受到顯著影響（?F1-score<5%）。

3) 使用附加網(wǎng)絡檢測

基于GAN 的防御。文獻[69]闡述了一種基于GAN 框架的防御——Defence-GAN 訓練生成器學習原始樣本分布，從而在測試階段搜索接近于對抗樣本的原始圖像將對抗樣本轉化為正常樣本，降低對抗擾動噪聲帶來的影響。Defence-GAN 可防御多種對抗攻擊，具有一定的泛化能力。APE-GAN[70]則為生成器設計了一個混合損失函數(shù)，使其以對抗樣本為輸入，學習生成與原始圖像相似且消除了對抗性擾動的重建圖像，從而緩解對抗樣本影響。

基于流形的防御。MagNet[71]基于流形假設，通過拒絕或重塑對抗樣本來保護目標模型。MagNet由檢測模塊和重塑模塊組成。檢測模塊測量測試樣本與正常流形之間的距離，基于重構誤差和概率分歧檢測對抗樣本。重塑模塊使用自動編碼器將對抗樣本推向正常流形，使之成為合法樣本。實驗證明MagNet 對于黑盒/灰盒攻擊有較好的防御效果，且不局限于某種對抗攻擊，具有相當強的泛化能力。

基于分類子網(wǎng)的防御。Metzen 等[72]通過為目標神經(jīng)網(wǎng)絡分類器的某一層分支添加檢測器子網(wǎng)絡來識別對抗樣本。檢測器以分類器的中間表示為輸入，利用類似對抗訓練的方式動態(tài)獲得對抗樣本以學習原始樣本和對抗樣本的差異。Pawlicki 等[73]將類似的思想遷移到基于神經(jīng)網(wǎng)絡的NIDS 模型上，作者不再局限于單層神經(jīng)元激活，而是以NIDS 神經(jīng)網(wǎng)絡模型的全部神經(jīng)元輸出為樣本，訓練檢測器識別對抗樣本。實驗證明，該方法可實現(xiàn)70%～99%的對抗樣本檢測召回率。

7 討論與展望

機器學習技術的迅速發(fā)展使其在NIDS 領域得到廣泛應用的同時也暴露了一定的安全隱患。針對其對對抗樣本的脆弱性問題，安全研究人員展開了一系列攻擊防御方法研究。從簡單的方法移植到綜合考慮NIDS 領域特有約束，攻擊和防御方法在相互博弈中不斷發(fā)展。通過總結分析，本文提出了3 點未來研究方向。

1) 流量空間攻擊研究

當前針對流量空間攻擊方法的研究仍然相對較少，且在NIDS 領域，只有能夠生成對抗流量樣本的攻擊才能產(chǎn)生實際安全威脅。由于從特征向量到流量樣本的映射十分復雜，因此現(xiàn)有的流量空間攻擊往往采用直接在原始流量樣本上施加擾動的方法來規(guī)避逆映射困境。相信就像在計算機視覺領域的對抗攻擊是從特征空間攻擊逐步發(fā)展到問題空間攻擊的一樣，其在NIDS 領域的發(fā)展也將逐漸更加適應真實攻擊場景。

2) 對抗防御方法研究

目前針對NIDS 領域的對抗攻擊防御研究主要圍繞對抗訓練和選擇更復雜穩(wěn)健的模型架構展開。但兩者都需要較大的額外開銷，在NIDS 領域的適用性還有待評估。如何結合惡意流量對抗樣本的分布和數(shù)據(jù)特征，設計開銷小、速度快、準確性高且具有一定適應性的對抗樣本檢測或防御方法也是值得進一步研究的課題。

3) 標準流量數(shù)據(jù)集構建

一個新穎、全面、真實的數(shù)據(jù)集是在NIDS 領域開展研究的重要保障。當前研究廣泛使用的NSL-KDD、CIC-IDS、CTU-13 等數(shù)據(jù)集往往無法覆蓋日新月異的新型攻擊手法和逃避技術，無法有效模擬真實的場景。同時關于構建高對抗性數(shù)據(jù)集的研究[77-78]也比較罕見，這也進一步導致了當前防御方法的評估莫衷一是的局面。因此如何構建一個標準、良好且具有高對抗性的數(shù)據(jù)集是一個亟待解決的課題。

8 結束語

在NIDS 這一具有高對抗性的攻防領域，對抗攻擊的存在將嚴重威脅網(wǎng)絡和用戶安全。本文從攻防2 個視角全面調研了NIDS 領域的對抗攻擊和防御方法。首先，本文提出了在NIDS 領域應用對抗攻擊特有的約束和挑戰(zhàn)。然后，構建多維分類法，結合IDS 場景需求從攻防2 個角度整理對比現(xiàn)有研究成果。最后，總結當前研究現(xiàn)狀，并探討NIDS領域對抗攻擊的未來發(fā)展方向。