深入剖析入侵检测中的对抗样本

### 深入剖析入侵检测中的对抗样本 #### 1. 引言 近年来，对抗机器学习（AdvML）研究领域十分活跃，致力于揭示机器学习模型在对抗样本（AEs）面前的脆弱性。对抗样本是指在原始数据样本上添加微小且有针对性的扰动，从而恶意影响机器学习模型的输出，使其做出错误预测。在入侵检测场景中，攻击者可利用对抗样本将原本被分类为攻击的实例误导为正常条目，进而绕过入侵检测系统。本文旨在探讨在入侵检测中是否真的需要担忧对抗样本，通过研究最先进方法生成的对抗样本在端到端网络攻击执行中的实用性，为该问题提供答案。 #### 2. 背景知识 ##### 2.1 人工神经网络 人工神经网络（ANN）是一种机器学习模型，用函数 \(f(\cdot)\) 表示，它以数据样本 \(x \in R^n\) 为输入，输出预测结果 \(l\)。ANN 由相互连接的神经元（感知器）层组成，每个神经元计算其输入的加权和（权重为模型参数 \(\theta\)），并通过非线性激活函数生成输出，该输出再作为下一层神经元的输入。神经网络的参数随机初始化，并通过训练进行优化。损失函数 \(J_{\theta}(x, l)\) 用于估计模型的误差，通过计算模型输出与正确标签之间的差异得到。然后，使用随机梯度下降或 Adam 等算法，利用损失函数关于参数的梯度 \(\nabla J_{\theta}(x, l)\) 来优化参数，以最小化损失。 ##### 2.2 对抗机器学习 对抗机器学习（AdvML）是一个新兴的研究领域，旨在评估和提高机器学习模型在恶意操纵下的鲁棒性。该领域的大量文献将攻击分为四类： - **投毒攻击**：在训练阶段之前，通过在训练数据中引入扰动来生成受损模型。 - **规避攻击**：在模型训练完成后进行，用于操纵模型的输入数据，引发错误预测。 - **提取攻击**：试图窃取远程模型的参数，以复制其行为或窃取机密信息。 - **反转攻击**：滥用模型来获取从训练数据中学到的敏感信息。 本文主要关注规避攻击，它又分为无目标攻击和有目标攻击。无目标攻击旨在使模型做出错误预测，而不考虑输出结果；有目标攻击则更复杂，试图将错误结果导向特定类别。在二分类问题中，这两种攻击方式等效。 ##### 2.3 对抗样本 对抗样本（AEs）是专门设计用来欺骗机器学习模型的输入。通常，对抗样本 \(x'\) 基于干净样本 \(x\)，并添加精心计算的最小扰动 \(\eta\)。该扰动必须足够大，以使样本被误分类到错误类别 \(l'\)，而不是正确类别 \(l\)，同时要限制更改以保持恶意功能并最小化工作量。这些更改通常使用距离度量（如 \(L_p\) 范数）来衡量，常见的 \(L_p\) 范数有： - **\(L_0\) 范数**：衡量被扰动特征的数量，即 \(x_i \neq x'_i\) 的特征数量。 - **\(L_2\) 范数**：衡量两个样本之间的欧几里得距离，计算公式为 \(\sqrt{\sum_{i=1}^{n} (x_i - x'_i)^2}\)。 - **\(L_{\infty}\) 范数**：衡量对任何数据特征施加的最大扰动。 寻找关于 \(L_p\) 范数具有最小扰动的对抗样本的问题可以表示为： \[ \minimize \|x - x'\|_p \text{ 使得 } f(x') = l', f(x) \neq l', x' \in I^n \] 由于该问题求解过于复杂，Szegedy 等人将其重新表述为： \[ \minimize c \cdot \|x - x'\|_2 + J_{\theta}(x', l') \text{ 使得 } x' \in I^n \] 其中 \(c\) 是通过线搜索最小化的正常数，然后使用盒约束的 L - BFGS 优化方法求解。 ##### 2.4 对抗样本生成方法 以下是一些生成对抗样本的开创性方法： - **快速梯度符号法（FGSM）**：由 Goodfellow 等人提出，允许比 L - BFGS 更快地生成对抗样本。它利用反向传播的概念，但更新输入而不是参数。通过损失函数关于输入的梯度的符号来引导扰动 \(\epsilon\)（正或负），公式为： \[ x' = x + \epsilon \cdot \text{sign}(\nabla J_{\theta}(x, l)) \] - **基本迭代法（BIM）**：由 Kurakin 等人引入，通过多次迭代应用 FGSM，每次迭代的扰动幅度较小。其优点是能根据每次迭代调整扰动，迭代次数越多，扰动越精细。此外，为避免特征值超出区间 \(I\)（在公式中通常考虑为 \([0, 1]\)），每次迭代应用裁剪方法： \[ \text{Clip}_{x,\xi} \{x'\} = \min \{1, x + \xi, \max \{0, x - \epsilon, x'\}\} \] - **DeepFool**：由 Moosavi - Dezfooli 等人提出，该方法寻找正常样本到必须跨越的分类边界的最近距离，此距离即为应用于样本的扰动。由于它只寻找到不同类别的最近距离，不考虑具体类别，因此是无目标攻击。该方法最初优化 \(L_2\) 范数，使用欧几里得距离。作者通过线性近似的迭代攻击克服了高维非线性的障碍。在二元可微分类器的情况下，最小扰动通过以下公式计算： \[ \arg\min_{\eta_i} \|\eta_i\|_2 \text{ 使得 } f(x_i) + \nabla f(x_i)^T \cdot \eta_i = 0 \] 尽管 DeepFool 效率较高，但它仅提供了最优扰动向量的粗略近似。 - **基于雅可比矩阵的显著性图攻击（JSMA）**：由 Papernot 等人引入，与之前的方法不同，该方法试图最小化被扰动特征的数量，以创建具有最小 \(L_0\) 范数的对抗样本。它从一个空的特征集开始，在每次迭代中选择一个新的特征进行扰动，迭代并添加扰动，直到样本成为对抗样本或达到其他停止标准。JSMA 首先计算雅可比矩阵： \[ J_F(x) = \frac{\partial F(x)}{\partial x} = \begin{bmatrix} \frac{\partial F_j(