本栏目责任编辑:代影网络通信与安全ComputerKnowledgeandTechnology电脑知识与技术第19卷第1期(2023年1月)E-mail:jslt@dnzs.net.cnhttp://www.dnzs.net.cnTel:+86-551-6569096365690964ISSN1009-3044ComputerKnowledgeandTechnology电脑知识与技术Vol.19,No.1,January2023基于对抗攻击的IDS规避流量生成方案臧海彬(同济大学电子与信息工程学院,上海201804)摘要:入侵检测系统(IDS)是网络空间安全的重要保障,随着机器学习在自然语言处理、图像识别等领域取得了良好成效,基于异常的IDS逐渐成为研究的主流。文章针对基于异常的IDS,提出了一种基于对抗攻击和黑盒模型的流量规避方案,使用生成对抗网络训练规避模型,并用黑盒模型的输出计算损失值,在多种机器学习分类器下均能实现良好的规避效果。该方案可作为扩展应用嵌入到IDS测试平台上,提升IDS测试平台对各类IDS设备测试的全面性。关键词:规避技术;入侵检测系统;对抗攻击;生成对抗网络中图分类号:TP393文献标识码:A文章编号:1009-3044(2023)01-0088-03开放科学(资源服务)标识码(OSID):1背景入侵检测系统(IDS)作为一种主动防御技术,通过检测并分析网络中的各类流量,对网络中的异常行为进行预警响应,进而达到阻断恶意入侵的目的。IDS按照检测方法可以分为基于误用的IDS和基于异常的IDS。基于误用的IDS通过状态建模与模式匹配等方法检测攻击流量,对已有类型的网络攻击能够取得很好的效果,但难以检测未知的网络攻击;而基于异常的IDS则通过机器学习等方法对网络流量的有效特征进行建模,虽然整体检测效果不如基于误用的IDS,但面对未知类型的网络攻击也能达到较高的检测率。基于误用的IDS高度依赖于已建立的知识签名库,面对层出不穷的未知攻击以及新型的智能攻击需要付出极高的维护代价。近年来,随着深度学习在自然语言处理、图像识别等领域取得了良好成效,基于异常的IDS逐渐成为研究的主流,基于深度学习挖掘网络流量特征间的内在关系,能够显著提升对未知攻击的检测率。传统的IDS测试平台通常针对已有的知识签名库,使用URL混淆、RPC分片、数据流分割等规避技术来测试IDS设备的鲁棒性,对基于误用的IDS有良好的规避效果,但面对基于异常的IDS时效果较差。基于上述背景,本文提出了一种基于生成对抗网络的规避流量生成方案,针对机器学习和深度学习模型易受对抗样本攻击的特点,在黑盒攻击模型下训练对抗模型,并利用生成对抗网络对目标IDS进行模拟和特化训练,将普通流...
