基于對抗深度學習的物聯網安全檢測方法

胡聲秋，李友國，高淵，吳玲麗

（中國移動通信集團重慶有限公司，重慶 401121）

近年來，深度學習技術在網絡安全領域得到了快速應用[1-3]，例如入侵檢測[4]、惡意軟件分析[5]、垃圾郵件過濾[6]和網絡釣魚檢測[7]等?；谏疃葘W習的網絡入侵檢測技術得到了快速演進，使得一些傳統入侵檢測系統無法實現的應用也能在深度學習領域成功進行驗證[8-9]。然而，深度學習的高度非線性特性限制了開發人員對其進行解釋，存在潛在的網絡安全隱患。許多工作也驗證了深度學習在處理對抗操作方面的脆弱性[10-12]。例如，對抗樣本可以通過稍微改變網絡輸入數據來混淆深度學習模型[13-16]。為了確保基于深度學習的安全系統的防御能力，該研究針對物聯網環境設計的基于深度學習的網絡入侵檢測系統Kitsune 的安全性問題，從兩個角度來進行評估:1）物聯網視角：抵御惡意網絡攻擊的能力。2）對抗機器學習視角：處理對抗樣本的魯棒性，在執行對抗樣本攻擊時將KitNet 與Kitsune 解耦開來，從歸一化的特征空間來評估KitNet 的安全性。同時，將傳統的手工固定閾值進行回歸模型學習，通過后處理變換轉變為自適應閾值。最終，利用彈性網絡進行對抗樣本生成和網絡入侵檢測優化，在盡可能小的輸入擾動下，實現混淆入侵檢測系統的分類。

1 網絡評估

1.1 Kitsune概述

如圖1 所示，Kitsune 是由數據包捕獲器、數據包解析器、特征提取器、特征映射器和異常檢測器組成。數據包捕獲器和數據包解析器是網絡入侵檢測系統的標準組件，它們轉發解析后的數據包和元信息（例如傳輸信道、網絡抖動、捕獲時間等）。然后，特征提取器生成一個包含100 多個統計信息的特征向量，這些統計信息定義了數據包和活動通道的當前狀態。特征映射器將這些特征聚類成子集，然后輸入到異常檢測器中，異常檢測器包含深度學習模型KitNet。

圖1 Kitsune的框架流程圖

Kitsune 是專門針對物聯網環境部署在網絡交換機上的輕型入侵檢測系統。它通過使用無監督的在線學習方法來實現，該方法允許動態更新，以響應目標網絡節點的流量。該方法在訓練階段假設所有的實時傳輸都是合理的，從而學習正常的數據分布。在測試階段，它解析傳入的數據，通過判斷是否遵循所學到的正常分布來進行異常檢測。

1.2 KitNet

KitNet 由集成層和輸出層組成。集成層包含多個自動編碼器，每個自動編碼器處理一組由特征映射器提供的輸入。然后，這些自動編碼器的輸出分數經過歸一化后送入到輸出層中的一個聚合自動編碼器，其輸出分數用于評估網絡流量數據的安全性。

自動編碼器是KitNet 的基本組成部件，它將輸入編碼成隱層表示，然后從該表示解碼恢復到相同的輸入維度。KitNet 中的自動編碼器經過訓練后，能夠正確編碼正常網絡流量的相關屬性。KitNet使用均方根誤差（Root Mean Square Error,RMSE）函數作為每個自動編碼器的性能標準。每個自動編碼器模塊產生的分數由下式給出：

其中，n是輸入數量，是自動編碼器，為輸出的分數。

正則化器是Kitsune 的另一個組件，它在聚合自動編碼器之前運行，用以實現分數的歸一化操作，使得最小最大值范圍線性縮放到0 和1 之間:

X為訓練過程中所有樣本的第i個元素組成的集合。

1.3 異常檢測

KitNet 的主要輸出是由聚合自動編碼器產生的RMSE 分數，而不是像常規深度學習分類器那樣的概率規律。Kitsune 只有當S≥φβ時才會觸發警報（認定為異常發生），其中φ是訓練期間記錄的分數最高值，β是一個常數，且β≥1，以確保所有的訓練數據都服從正態分布。

2 實 驗

2.1 實現對抗性機器學習

為了實現對抗性機器學習，將Kitsune的原始C++版本在TensorFlow 框架中進行實現。測試和評估流程與C++實現保持一致。然后，利用Cleverhans[17]（一個對抗性機器學習庫），來生成不同的對抗性樣本。使用了與文獻[18]中相同的Mirai 數據集進行對比實驗。

2.2 改進歸一化的特征空間

通過在KitNet 的輸出端添加一個額外的變換層，將分類機制引入到模型中，如式（3）所示：

這使得深度學習模型基于閾值T產生分類結果。當T=φβ時，即與原始KitNet 等價，將模型從回歸器轉換為分類器。

針對深度學習模型的對抗樣本，在執行攻擊時將KitNet 與Kitsune 解耦開來。在對Kitsune 的現實攻擊中，攻擊者必須繞過特征提取器，以便在KitNet的輸入上引起擾動。然而，通過對特征提取器原理的理解，攻擊者可以通過構造的數據包來生成所需的特征。因此，在進行對抗性評估時，著重從歸一化的特征空間來評估KitNet 的安全性。

3 物聯網視角的安全性評估

為了客觀衡量基于深度學習的網絡安全檢測系統的防御能力，應該從傳統網絡安全和對抗機器學習兩個方面分別進行評估。在網絡入侵檢測領域，區分惡意網絡流量和正常流量的能力是主要的性能指標。

Kitsune 的開發人員針對各種網絡中的一系列攻擊對檢測系統進行了評估，發現Kitsune 的準確性高度依賴于閾值T的選取。該值定義了決策邊界，是模型部署時的重要超參之一。為了觀察閾值T如何影響對抗性機器學習中的擾動，進而評估其性能，考慮了以下兩個指標：

1）假陽性率（False Positive,FP）：被錯誤分類為惡意攻擊的百分比。

2）假陰性率（False Negative,FN）：被錯誤分類為正常的惡意輸入百分比。

一方面，誤報率反映了網絡的可靠性。另一方面，漏報率則反映了入侵檢測系統的有效性。因此，在理想情況下，兩種指標都應盡可能最小化。在Kitsune 的設置中，閾值T對假陽性率和假陰性率進行了權衡。

在該分析中，對閾值T的可能取值范圍（0～20）進行了研究。當T=20 時，漏報率為100%。圖2（a）繪制了閾值T對誤報率和漏報率以及入侵檢測系統成功率的影響性分析。圖2（b）則為檢測系統的精度-召回曲線（ROC 曲線）。

圖2 閾值T的影響性分析及ROC曲線

從圖中可以觀察到，假陽性率和假陰性率在閾值中間范圍內幾乎保持不變。在閾值范圍的兩端，兩個指標呈現出此消彼長的趨勢。最后，當T＜7 時，成功率也基本上沒有變化，這是因為異常檢測數據集通常是長尾分布的，且大多屬于正常類別。綜上，發現0.05～1 之間的取值范圍是比較合適的。圖2（b）中的ROC 曲線則證明了Kitsune 在Mirai 數據集上的有效性。

4 對抗視角的安全性評估

4.1 對抗樣本生成方法

智能和自適應的攻擊者通常會利用機器學習模型的弱點，通過使用對抗樣本生成等技術來攻擊基于深度學習的網絡入侵檢測系統。對抗機器學習主要有兩個攻擊目標，即完整性攻擊和可用性攻擊。完整性攻擊是通過生成逃避檢測的惡意流量從而產生假陰性樣本，而可用性攻擊則是通過偽裝正常流量（看起來像惡意流量），產生假陽性樣本。然而，無論是哪種對抗樣本，都要求在盡可能小的輸入擾動下實現混淆入侵檢測系統的分類。

執行這些攻擊的另一個問題是網絡數據不同于圖像，圖像通常用于傳統的對抗性機器學習。圖像域中的對抗樣本是指那些被人類看起來相同但被模型感知為不同的圖像。Lp范數可以用來量化兩幅圖像之間的距離，因此可以直接用作度量指標。然而，在網絡安全中，攻擊的定義通常是抽象的。

一種可能的方式是在模型抽取的特征層面進行差異性度量。具體來說，使用原始輸入和產生的擾動輸入在特征空間上進行Lp范數的距離計算。此時，L0范數表示對提取特征的少量擾動。

正如許多不同領域的生成對抗樣本方法一樣，該研究著重針對網絡安全領域對具有不同范數距離度量指標的對抗樣本效果進行了實驗對比，來評估KitNet 與如下幾種方法的魯棒性。

1）快速梯度符號法。該方法在L∞范數上進行優化，即減少任何輸入特征上的最大擾動，在與梯度相反的方向上對x→的每個元素進行單步處理[15]。

2）雅可比顯著圖方法。這種攻擊通過迭代的方式計算顯著圖，然后對特征進行最大程度的擾動，并最小 化L0范數[16]。

3）Carlini 和Wagner（C&W）?；贑&W 的對抗框架，可以最小化L0、L2或L∞距離度量[14]。文中利用L2范數，通過迭代的方式來減少向量之間的歐氏距離。

4）彈性網絡方法。彈性網絡攻擊限制了整個輸入空間的絕對擾動，即L1范數。彈性網絡方法通過使用帶有L1正則化器的迭代L2攻擊，來生成對抗樣本[17]。

4.2 實驗結果

完整性攻擊是在閾值為1.0 的正常輸入上執行的。實驗結果如表1 所示。為了比較不同算法，測量了所有的Lp范數指標。每次攻擊都是在數據集中隨機選取的1 000 個正常樣本上進行的。

表1 作用在KitNet上的完整性攻擊

可用性攻擊也使用相同的閾值。隨機選擇1 000個輸出分數最接近閾值的輸入向量，結果如表2 所示。需要注意的是，由于正則化器只在正常輸入上進行訓練，許多惡意攻擊將在0～1 范圍之外進行規范化。

表2 作用在KitNet上的可用性攻擊

4.3 實驗結果分析

通過比較表1 和表2 可以看出，KitNet 在處理不同算法產生的完整性攻擊的性能表現一般要比可用性攻擊好。例如，對抗樣本很少在快速梯度符號法和雅可比顯著圖的可用性攻擊中生成。此外，可用性攻擊產生的干擾都比完整性攻擊大。造成這種問題的一個潛在原因是正常和惡意輸入數據之間的不相交性，這種不相交性源于規范化輸入的裁剪操作以及更接近正常輸入數據的邊界判定（即閾值T）。

在這4 種方法中，KitNet 在快速梯度符號法和雅可比顯著圖的表現比C&W 和彈性網絡方法的攻擊還要差。特別是在可用性攻擊中，這些方法所產生攻擊的成功率非常低。這是因為更先進的迭代C&W 和彈性網絡方法能夠搜索比快速梯度符號法和雅可比顯著圖更大的對抗空間。

彈性網絡方法基于L1范數進行優化的，但是它所生成的對抗樣本的其他范數也很小，產生的L0擾動甚至比雅可比顯著圖方法（基于L0優化）產生的更好。如上所述，L0范數是網絡安全設置中這4 個Lp范數中最合適的，因為它意味著最小程度地改變從網絡流量中所提取的特征。因此，彈性網絡方法只需要非常小的擾動，就可以針對Kitsune 產生混淆檢測系統的對抗樣本。

上述攻擊是通過對每種方法的參數進行自適應步長隨機搜索而產生的。實際上，攻擊者可能會使用這種方法來確定攻擊算法的效果。然后，利用更魯棒的優化算法（如貝葉斯或梯度下降優化）與攻擊算法來產生更好的結果。

4.4 彈性網絡優化

由于彈性網絡方法生成的對抗樣本在上述實驗中被證實是最有效的，故接著在Kitsune 設置中優化彈性網絡攻擊方法。具體來說，使用的是一種簡單的梯度下降優化器來最小化目標函數，如式（4）：

彈性網絡算法還有其他幾個超參數，包括學習速率、最大梯度下降步長數和目標置信度。這些參數分別設置為0.05、1 000 和0。彈性網絡算法中包含的優化方案通過改變參數c來產生最優的結果。

參數c是以減少兩個Lp正則化項為代價，從而確定對抗性錯誤分類目標的貢獻。因此，理論上c的最佳值是達到所需成功率的同時保持盡可能小的值。評估了當β=1 時，c值變化對成功率和L1范數的影響，并繪制了曲線，如圖3 所示。從圖中發現c=450 時是最佳值，它以相對較小的擾動達到100%的成功率。

圖3 參數c對成功率和L1 范數的影響

另一方面，β的選擇也會顯著影響Lp范數?，F在通過改變c=450 時的參數β來分別優化彈性網絡方法產生的擾動。實驗結果如表3 所示?？梢园l現，當β逐漸增大到一定程度后，成功率將隨著β的增加而下降。

表3 不同β值下所產生的擾動

綜上可以發現，對抗式機器學習無疑是基于深度學習的網絡入侵檢測系統的潛在威脅。因此，當入侵檢測向深度學習領域發展時，同時在傳統網絡安全指標和對抗機器學習領域評估其安全性是至關重要的。

5 結束語

該文驗證了基于深度學習的網絡安全檢測系統在處理來自對抗機器學習領域的惡意攻擊時的脆弱性。因為該漏洞普遍存在于現有的基于深度學習的檢測系統中，即使該模型在對正常和惡意網絡流量進行分類時達到了很高的成功率，研究人員也必須采取措施來提升深度學習模型在對抗攻擊中的安全性，以確保網絡入侵檢測系統的魯棒性。