Citadel 的研究人員最近開(kāi)發(fā)了一種深度神經(jīng)網(wǎng)絡(luò)（DNNs），可以檢測(cè)一種稱(chēng)為分布式拒絕服務(wù)（DDoS）DNS 放大的網(wǎng)絡(luò)攻擊，然后使用兩種不同的算法生成可以欺騙 DNN 的對(duì)抗性示例。

近年來(lái)，深度學(xué)習(xí)已證明自己是網(wǎng)絡(luò)安全中非常有價(jià)值的工具，因?yàn)樗梢詭椭W(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)對(duì)攻擊進(jìn)行分類(lèi)并檢測(cè)新攻擊。對(duì)抗性學(xué)習(xí)是利用機(jī)器學(xué)習(xí)生成一組受擾動(dòng)的輸入，然后饋送到神經(jīng)網(wǎng)絡(luò)以對(duì)其進(jìn)行錯(cuò)誤分類(lèi)的過(guò)程。目前對(duì)抗性學(xué)習(xí)領(lǐng)域的大部分工作都是在圖像處理和自然語(yǔ)言處理中使用各種算法進(jìn)行的。

Citadel 的研究人員最近開(kāi)發(fā)了一種深度神經(jīng)網(wǎng)絡(luò)（DNNs），可以檢測(cè)一種稱(chēng)為分布式拒絕服務(wù)（DDoS）DNS 放大的網(wǎng)絡(luò)攻擊，然后使用兩種不同的算法生成可以欺騙 DNN 的對(duì)抗性示例。

該研究以「A Deep Learning Approach to Create DNS Amplification Attacks」為題，于 2022 年 6 月 29 日發(fā)布在 arXiv 預(yù)印平臺(tái)。

現(xiàn)代網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)（NIDS）一直在發(fā)展，以利用人工智能和機(jī)器學(xué)習(xí)的當(dāng)前進(jìn)步，即深度學(xué)習(xí)。深度學(xué)習(xí)是通過(guò)神經(jīng)網(wǎng)絡(luò)的實(shí)現(xiàn)嵌入的。深度學(xué)習(xí)技術(shù)的引入使 NIDS 能夠檢測(cè)大范圍的網(wǎng)絡(luò)威脅。雖然在分類(lèi)網(wǎng)絡(luò)攻擊的范圍內(nèi)神經(jīng)網(wǎng)絡(luò)的實(shí)現(xiàn)相對(duì)較新，但圍繞機(jī)器學(xué)習(xí)分類(lèi)在圖像處理和自然語(yǔ)言處理 ( NLP ) 等其他領(lǐng)域的使用已經(jīng)進(jìn)行了廣泛的研究。研究人員發(fā)現(xiàn)，神經(jīng)網(wǎng)絡(luò)特別容易受到對(duì)抗性攻擊，其中要分類(lèi)的數(shù)據(jù)受到干擾，以欺騙神經(jīng)網(wǎng)絡(luò)接收不正確的分類(lèi)。然而，對(duì)抗性攻擊已成為對(duì)神經(jīng)網(wǎng)絡(luò)的真正威脅。雖然這些攻擊可能會(huì)產(chǎn)生重大后果，但這些在網(wǎng)絡(luò)安全領(lǐng)域被放大了。依賴配備神經(jīng)網(wǎng)絡(luò)的 NIDS 的公司和組織可能容易受到嚴(yán)重滲透。這些 NIDS 的實(shí)現(xiàn)可能容易受到這些攻擊，并將有價(jià)值的信息暴露給惡意行為者。

圖示：實(shí)驗(yàn)結(jié)構(gòu)圖。（來(lái)源：論文）已經(jīng)開(kāi)發(fā)了許多攻擊算法來(lái)實(shí)現(xiàn)圖像處理中的這一目標(biāo)，例如 Carlini & Wagner Attack、Deepfool 和快速梯度符號(hào)法 ( FGSM ) 。在這些工作中表現(xiàn)出卓越的一種算法是對(duì)深度神經(jīng)網(wǎng)絡(luò)（EAD）的彈性網(wǎng)絡(luò)攻擊。EAD 算法已與當(dāng)前的深度神經(jīng)網(wǎng)絡(luò)（DNN）對(duì)抗性攻擊算法進(jìn)行了比較，并且在擾動(dòng)最小的情況下優(yōu)于其他算法。這些算法突出了現(xiàn)代 DNN 的脆弱性。圖像分類(lèi)器可以通過(guò)對(duì)圖像的少量擾動(dòng)有效地被愚弄。

NLP 領(lǐng)域的對(duì)抗性算法研究也產(chǎn)生了許多好的算法。這些算法是為 NLP 量身定制的，因此它們與圖像處理算法有很大不同。NLP 數(shù)據(jù)是離散的，而圖像更連續(xù)，因此需要非常專(zhuān)門(mén)的算法來(lái)保留被擾動(dòng)的文本的語(yǔ)法結(jié)構(gòu)，而對(duì)于圖像，像素可以沿著色譜連續(xù)擾動(dòng)。由 提出的 TextAttack 算法越來(lái)越受歡迎。TextAttack 接收文本數(shù)據(jù)并通過(guò)替換字典中的單詞、刪除單詞中的字符甚至向單詞添加字符來(lái)擾亂它。就像在圖像分類(lèi)中一樣，NLP 分類(lèi)器被對(duì)其輸入的最小擾動(dòng)所愚弄。

NIDS 利用神經(jīng)網(wǎng)絡(luò)的范圍為惡意行為者破壞網(wǎng)絡(luò)提供了新的攻擊向量。這對(duì)在網(wǎng)絡(luò)入侵環(huán)境中實(shí)現(xiàn)的神經(jīng)網(wǎng)絡(luò)的實(shí)際彈性以及這些算法的適用性提出了質(zhì)疑。

這項(xiàng)研究和實(shí)驗(yàn)構(gòu)建了一個(gè)神經(jīng)網(wǎng)絡(luò)，可以有效地檢測(cè) DNS 放大攻擊，并利用 EAD 算法和 TextAttack 生成將被錯(cuò)誤分類(lèi)的對(duì)抗性示例（AE）。使用來(lái)自 KDD DDoS-2019 數(shù)據(jù)集的數(shù)據(jù)創(chuàng)建并訓(xùn)練了一個(gè)模型，該數(shù)據(jù)集包含多種類(lèi)型的 DDoS 攻擊，其中使用了 DNS 放大數(shù)據(jù)。

圖示：DNS 放大示意圖。（來(lái)源：論文）上圖突出顯示了共享數(shù)據(jù)集的實(shí)驗(yàn)的白盒性質(zhì)。攻擊者和 IDS 為他們的模型使用相同的數(shù)據(jù)集。在 IDS 方面，受害者使用數(shù)據(jù)集創(chuàng)建神經(jīng)網(wǎng)絡(luò)來(lái)對(duì) DNS 放大攻擊進(jìn)行分類(lèi)，而攻擊者利用相同的數(shù)據(jù)根據(jù)受害者的模型創(chuàng)建 AE。

在這個(gè)項(xiàng)目中，研究人員比較了圖像處理和 NLP 對(duì)抗算法如何處理網(wǎng)絡(luò)數(shù)據(jù)，形成了一個(gè)神經(jīng)網(wǎng)絡(luò)來(lái)訓(xùn)練 KDD DNS 數(shù)據(jù)并將這些算法中的每一個(gè)應(yīng)用于它。

為了評(píng)估 EAD 和 TextAttack 實(shí)驗(yàn)的結(jié)果，研究人員使用了兩個(gè)指標(biāo)：平均擾動(dòng)和攻擊成功率。如下圖所示，在進(jìn)行攻擊之前獲取了模型的基線。

圖示：仿真結(jié)果。（來(lái)源：論文）為了計(jì)算由每種算法創(chuàng)建的 AE 的平均擾動(dòng)，采用了未擾動(dòng)數(shù)據(jù)包和擾動(dòng)數(shù)據(jù)包之間的距離。為了計(jì)算每對(duì)數(shù)據(jù)包的百分比，評(píng)估了數(shù)據(jù)包中每個(gè)特征的百分比差異，然后按相應(yīng)算法進(jìn)行平均。結(jié)果如下圖所示。

圖示：EAD vs TextAttack Perturbation Percentage and Success Rate。（來(lái)源：論文）兩種算法在平均擾動(dòng)百分比方面存在巨大差異。EADs 高擾動(dòng)率的原因是因?yàn)樗鳛閮?yōu)化的一部分始終將數(shù)據(jù)包特征全部擾動(dòng)為 0，從而導(dǎo)致 200% 的距離。TextAttack 創(chuàng)建了一個(gè)更正常的距離，因?yàn)槊總€(gè)單獨(dú)的數(shù)據(jù)包特征單獨(dú)受到單個(gè)字符插入或刪除的輕微干擾。

借助 TextAttack，AE 能夠成功地在攻擊方面欺騙分類(lèi)器，同時(shí)還允許良性數(shù)據(jù)包流保持良性。EAD 混淆矩陣也顯示出類(lèi)似的結(jié)果，但方差略大。兩次攻擊都有很高的誤報(bào)率，這是攻擊的目標(biāo)。它們也有很高的真陽(yáng)性率，這表明它們可以保留良性數(shù)據(jù)包而不會(huì)將它們轉(zhuǎn)化為可分類(lèi)的攻擊。被歸類(lèi)為良性的攻擊的百分比用于計(jì)算攻擊成功率。結(jié)果表明，這兩種算法都能夠產(chǎn)生能夠欺騙 DNS 放大分類(lèi)器的高質(zhì)量 AE。

結(jié)語(yǔ)

在這項(xiàng)研究中，研究人員提出了一個(gè) RNN 來(lái)訓(xùn)練 DNS 放大數(shù)據(jù)。EAD 和 TextAttack 算法被應(yīng)用于這個(gè)模型來(lái)欺騙它。根據(jù)它們與網(wǎng)絡(luò)流量數(shù)據(jù)的性能以及它們保存數(shù)據(jù)性質(zhì)的程度，對(duì)這兩種算法進(jìn)行了評(píng)估和比較。結(jié)果表明，欺騙機(jī)器學(xué)習(xí) NIDS 是可能且相對(duì)容易的，這再次證實(shí)了這些深度學(xué)習(xí)算法很容易受到對(duì)抗性學(xué)習(xí)的影響?？梢允篂閳D像處理或 NLP 創(chuàng)建的對(duì)抗算法適應(yīng)網(wǎng)絡(luò)分類(lèi)器。

雖然這些算法能夠擾亂網(wǎng)絡(luò)流量數(shù)據(jù)，但它們不一定能制作出真實(shí)的數(shù)據(jù)包，從而導(dǎo)致未來(lái)開(kāi)發(fā)一種純粹用于網(wǎng)絡(luò)流量分類(lèi)器的新對(duì)抗算法。研究人員發(fā)現(xiàn) TextAttack 算法可以產(chǎn)生 100% 幾率欺騙模型的 AE。EAD 算法的 AE 有 67.63% 的機(jī)會(huì)欺騙模型。TextAttack 算法的擾動(dòng)率為 24.95%，EAD 算法對(duì)數(shù)據(jù)包的擾動(dòng)率為 200%。

未來(lái)的目標(biāo)是創(chuàng)建一種新的對(duì)抗性攻擊，專(zhuān)門(mén)針對(duì)網(wǎng)絡(luò)流量分類(lèi)器的攻擊而設(shè)計(jì)，并通過(guò)對(duì)抗性學(xué)習(xí)和訓(xùn)練蒸餾來(lái)實(shí)施防御。

該團(tuán)隊(duì)未來(lái)的下一個(gè)目標(biāo)是將在 DNS 放大分類(lèi)器上所做的工作應(yīng)用于 IoT DDoS 攻擊。特別是針對(duì)許多物聯(lián)網(wǎng)設(shè)備使用的受限應(yīng)用協(xié)議（CoAP）的 DDoS 攻擊。這將包括創(chuàng)建一個(gè)類(lèi)似于來(lái)自 CoAP 流量（包括惡意數(shù)據(jù)包）的 KDD 的數(shù)據(jù)集。然后，這將應(yīng)用于使用 NIDS 對(duì) IoT 環(huán)境進(jìn)行的真實(shí)世界模擬。

審核編輯 黃昊宇