一種產(chǎn)生DSN放大攻擊的深度學習技術

Citadel 的研究人員最近開發(fā)了一種深度神經(jīng)網(wǎng)絡（DNNs），可以檢測一種稱為分布式拒絕服務（DDoS）DNS 放大的網(wǎng)絡攻擊，然后使用兩種不同的算法生成可以欺騙 DNN 的對抗性示例。

近年來，深度學習已證明自己是網(wǎng)絡安全中非常有價值的工具，因為它可以幫助網(wǎng)絡入侵檢測系統(tǒng)對攻擊進行分類并檢測新攻擊。對抗性學習是利用機器學習生成一組受擾動的輸入，然后饋送到神經(jīng)網(wǎng)絡以對其進行錯誤分類的過程。目前對抗性學習領域的大部分工作都是在圖像處理和自然語言處理中使用各種算法進行的。

Citadel 的研究人員最近開發(fā)了一種深度神經(jīng)網(wǎng)絡（DNNs），可以檢測一種稱為分布式拒絕服務（DDoS）DNS 放大的網(wǎng)絡攻擊，然后使用兩種不同的算法生成可以欺騙 DNN 的對抗性示例。

該研究以「A Deep Learning Approach to Create DNS Amplification Attacks」為題，于 2022 年 6 月 29 日發(fā)布在 arXiv 預印平臺。

現(xiàn)代網(wǎng)絡入侵檢測系統(tǒng)（NIDS）一直在發(fā)展，以利用人工智能和機器學習的當前進步，即深度學習。深度學習是通過神經(jīng)網(wǎng)絡的實現(xiàn)嵌入的。深度學習技術的引入使 NIDS 能夠檢測大范圍的網(wǎng)絡威脅。雖然在分類網(wǎng)絡攻擊的范圍內(nèi)神經(jīng)網(wǎng)絡的實現(xiàn)相對較新，但圍繞機器學習分類在圖像處理和自然語言處理 ( NLP ) 等其他領域的使用已經(jīng)進行了廣泛的研究。研究人員發(fā)現(xiàn)，神經(jīng)網(wǎng)絡特別容易受到對抗性攻擊，其中要分類的數(shù)據(jù)受到干擾，以欺騙神經(jīng)網(wǎng)絡接收不正確的分類。然而，對抗性攻擊已成為對神經(jīng)網(wǎng)絡的真正威脅。雖然這些攻擊可能會產(chǎn)生重大后果，但這些在網(wǎng)絡安全領域被放大了。依賴配備神經(jīng)網(wǎng)絡的 NIDS 的公司和組織可能容易受到嚴重滲透。這些 NIDS 的實現(xiàn)可能容易受到這些攻擊，并將有價值的信息暴露給惡意行為者。

圖示：實驗結構圖。（來源：論文）已經(jīng)開發(fā)了許多攻擊算法來實現(xiàn)圖像處理中的這一目標，例如 Carlini & Wagner Attack、Deepfool 和快速梯度符號法 ( FGSM ) 。在這些工作中表現(xiàn)出卓越的一種算法是對深度神經(jīng)網(wǎng)絡（EAD）的彈性網(wǎng)絡攻擊。EAD 算法已與當前的深度神經(jīng)網(wǎng)絡（DNN）對抗性攻擊算法進行了比較，并且在擾動最小的情況下優(yōu)于其他算法。這些算法突出了現(xiàn)代 DNN 的脆弱性。圖像分類器可以通過對圖像的少量擾動有效地被愚弄。

NLP 領域的對抗性算法研究也產(chǎn)生了許多好的算法。這些算法是為 NLP 量身定制的，因此它們與圖像處理算法有很大不同。NLP 數(shù)據(jù)是離散的，而圖像更連續(xù)，因此需要非常專門的算法來保留被擾動的文本的語法結構，而對于圖像，像素可以沿著色譜連續(xù)擾動。由 提出的 TextAttack 算法越來越受歡迎。TextAttack 接收文本數(shù)據(jù)并通過替換字典中的單詞、刪除單詞中的字符甚至向單詞添加字符來擾亂它。就像在圖像分類中一樣，NLP 分類器被對其輸入的最小擾動所愚弄。

NIDS 利用神經(jīng)網(wǎng)絡的范圍為惡意行為者破壞網(wǎng)絡提供了新的攻擊向量。這對在網(wǎng)絡入侵環(huán)境中實現(xiàn)的神經(jīng)網(wǎng)絡的實際彈性以及這些算法的適用性提出了質(zhì)疑。

這項研究和實驗構建了一個神經(jīng)網(wǎng)絡，可以有效地檢測 DNS 放大攻擊，并利用 EAD 算法和 TextAttack 生成將被錯誤分類的對抗性示例（AE）。使用來自 KDD DDoS-2019 數(shù)據(jù)集的數(shù)據(jù)創(chuàng)建并訓練了一個模型，該數(shù)據(jù)集包含多種類型的 DDoS 攻擊，其中使用了 DNS 放大數(shù)據(jù)。

圖示：DNS 放大示意圖。（來源：論文）上圖突出顯示了共享數(shù)據(jù)集的實驗的白盒性質(zhì)。攻擊者和 IDS 為他們的模型使用相同的數(shù)據(jù)集。在 IDS 方面，受害者使用數(shù)據(jù)集創(chuàng)建神經(jīng)網(wǎng)絡來對 DNS 放大攻擊進行分類，而攻擊者利用相同的數(shù)據(jù)根據(jù)受害者的模型創(chuàng)建 AE。

在這個項目中，研究人員比較了圖像處理和 NLP 對抗算法如何處理網(wǎng)絡數(shù)據(jù)，形成了一個神經(jīng)網(wǎng)絡來訓練 KDD DNS 數(shù)據(jù)并將這些算法中的每一個應用于它。

為了評估 EAD 和 TextAttack 實驗的結果，研究人員使用了兩個指標：平均擾動和攻擊成功率。如下圖所示，在進行攻擊之前獲取了模型的基線。

圖示：仿真結果。（來源：論文）為了計算由每種算法創(chuàng)建的 AE 的平均擾動，采用了未擾動數(shù)據(jù)包和擾動數(shù)據(jù)包之間的距離。為了計算每對數(shù)據(jù)包的百分比，評估了數(shù)據(jù)包中每個特征的百分比差異，然后按相應算法進行平均。結果如下圖所示。

圖示：EAD vs TextAttack Perturbation Percentage and Success Rate。（來源：論文）兩種算法在平均擾動百分比方面存在巨大差異。EADs 高擾動率的原因是因為它作為優(yōu)化的一部分始終將數(shù)據(jù)包特征全部擾動為 0，從而導致 200% 的距離。TextAttack 創(chuàng)建了一個更正常的距離，因為每個單獨的數(shù)據(jù)包特征單獨受到單個字符插入或刪除的輕微干擾。

借助 TextAttack，AE 能夠成功地在攻擊方面欺騙分類器，同時還允許良性數(shù)據(jù)包流保持良性。EAD 混淆矩陣也顯示出類似的結果，但方差略大。兩次攻擊都有很高的誤報率，這是攻擊的目標。它們也有很高的真陽性率，這表明它們可以保留良性數(shù)據(jù)包而不會將它們轉(zhuǎn)化為可分類的攻擊。被歸類為良性的攻擊的百分比用于計算攻擊成功率。結果表明，這兩種算法都能夠產(chǎn)生能夠欺騙 DNS 放大分類器的高質(zhì)量 AE。

結語

在這項研究中，研究人員提出了一個 RNN 來訓練 DNS 放大數(shù)據(jù)。EAD 和 TextAttack 算法被應用于這個模型來欺騙它。根據(jù)它們與網(wǎng)絡流量數(shù)據(jù)的性能以及它們保存數(shù)據(jù)性質(zhì)的程度，對這兩種算法進行了評估和比較。結果表明，欺騙機器學習 NIDS 是可能且相對容易的，這再次證實了這些深度學習算法很容易受到對抗性學習的影響?？梢允篂閳D像處理或 NLP 創(chuàng)建的對抗算法適應網(wǎng)絡分類器。

雖然這些算法能夠擾亂網(wǎng)絡流量數(shù)據(jù)，但它們不一定能制作出真實的數(shù)據(jù)包，從而導致未來開發(fā)一種純粹用于網(wǎng)絡流量分類器的新對抗算法。研究人員發(fā)現(xiàn) TextAttack 算法可以產(chǎn)生 100% 幾率欺騙模型的 AE。EAD 算法的 AE 有 67.63% 的機會欺騙模型。TextAttack 算法的擾動率為 24.95%，EAD 算法對數(shù)據(jù)包的擾動率為 200%。

未來的目標是創(chuàng)建一種新的對抗性攻擊，專門針對網(wǎng)絡流量分類器的攻擊而設計，并通過對抗性學習和訓練蒸餾來實施防御。

該團隊未來的下一個目標是將在 DNS 放大分類器上所做的工作應用于 IoT DDoS 攻擊。特別是針對許多物聯(lián)網(wǎng)設備使用的受限應用協(xié)議（CoAP）的 DDoS 攻擊。這將包括創(chuàng)建一個類似于來自 CoAP 流量（包括惡意數(shù)據(jù)包）的 KDD 的數(shù)據(jù)集。然后，這將應用于使用 NIDS 對 IoT 環(huán)境進行的真實世界模擬。

審核編輯 黃昊宇