一種產生 DSN 放大攻擊的深度學習技術

Citadel 的研究人員最近開發了一種深度神經網路（DNNs），可以檢測一種稱為分散式拒絕服務（DDoS）DNS 放大的網路攻擊，然後使用兩種不同的演算法生成可以欺騙 DNN 的對抗性示例。

近年來，深度學習已證明自己是網路安全中非常有價值的工具，因為它可以幫助網路入侵檢測系統對攻擊進行分類並檢測新攻擊。對抗性學習是利用機器學習生成一組受擾動的輸入，然後饋送到神經網路以對其進行錯誤分類的過程。目前對抗性學習領域的大部分工作都是在影像處理和自然語言處理中使用各種演算法進行的。

Citadel 的研究人員最近開發了一種深度神經網路（DNNs），可以檢測一種稱為分散式拒絕服務（DDoS）DNS 放大的網路攻擊，然後使用兩種不同的演算法生成可以欺騙 DNN 的對抗性示例。

該研究以「A Deep Learning Approach to Create DNS Amplification Attacks」為題，於 2022 年 6 月 29 日釋出在 arXiv 預印平臺。

現代網路入侵檢測系統（NIDS）一直在發展，以利用人工智慧和機器學習的當前進步，即深度學習。深度學習是透過神經網路的實現嵌入的。深度學習技術的引入使 NIDS 能夠檢測大範圍的網路威脅。雖然在分類網路攻擊的範圍內神經網路的實現相對較新，但圍繞機器學習分類在影像處理和自然語言處理 ( NLP ) 等其他領域的使用已經進行了廣泛的研究。研究人員發現，神經網路特別容易受到對抗性攻擊，其中要分類的資料受到干擾，以欺騙神經網路接收不正確的分類。然而，對抗性攻擊已成為對神經網路的真正威脅。雖然這些攻擊可能會產生重大後果，但這些在網路安全領域被放大了。依賴配備神經網路的 NIDS 的公司和組織可能容易受到嚴重滲透。這些 NIDS 的實現可能容易受到這些攻擊，並將有價值的資訊暴露給惡意行為者。

圖示：實驗結構圖。（來源：論文）已經開發了許多攻擊演算法來實現影像處理中的這一目標，例如 Carlini & Wagner Attack、Deepfool 和快速梯度符號法 ( FGSM ) 。在這些工作中表現出卓越的一種演算法是對深度神經網路（EAD）的彈性網路攻擊。EAD 演算法已與當前的深度神經網路（DNN）對抗性攻擊演算法進行了比較，並且在擾動最小的情況下優於其他演算法。這些演算法突出了現代 DNN 的脆弱性。影像分類器可以透過對影像的少量擾動有效地被愚弄。

NLP 領域的對抗性演算法研究也產生了許多好的演算法。這些演算法是為 NLP 量身定製的，因此它們與影像處理演算法有很大不同。NLP 資料是離散的，而影像更連續，因此需要非常專門的演算法來保留被擾動的文字的語法結構，而對於影像，畫素可以沿著色譜連續擾動。由 提出的 TextAttack 演算法越來越受歡迎。TextAttack 接收文字資料並透過替換字典中的單詞、刪除單詞中的字元甚至向單詞新增字元來擾亂它。就像在影像分類中一樣，NLP 分類器被對其輸入的最小擾動所愚弄。

NIDS 利用神經網路的範圍為惡意行為者破壞網路提供了新的攻擊向量。這對在網路入侵環境中實現的神經網路的實際彈性以及這些演算法的適用性提出了質疑。

這項研究和實驗構建了一個神經網路，可以有效地檢測 DNS 放大攻擊，並利用 EAD 演算法和 TextAttack 生成將被錯誤分類的對抗性示例（AE）。使用來自 KDD DDoS-2019 資料集的資料建立並訓練了一個模型，該資料集包含多種型別的 DDoS 攻擊，其中使用了 DNS 放大資料。

圖示：DNS 放大示意圖。（來源：論文）上圖突出顯示了共享資料集的實驗的白盒性質。攻擊者和 IDS 為他們的模型使用相同的資料集。在 IDS 方面，受害者使用資料集建立神經網路來對 DNS 放大攻擊進行分類，而攻擊者利用相同的資料根據受害者的模型建立 AE。

在這個專案中，研究人員比較了影像處理和 NLP 對抗演算法如何處理網路資料，形成了一個神經網路來訓練 KDD DNS 資料並將這些演算法中的每一個應用於它。

為了評估 EAD 和 TextAttack 實驗的結果，研究人員使用了兩個指標：平均擾動和攻擊成功率。如下圖所示，在進行攻擊之前獲取了模型的基線。

圖示：模擬結果。（來源：論文）為了計算由每種演算法建立的 AE 的平均擾動，採用了未擾動資料包和擾動資料包之間的距離。為了計算每對資料包的百分比，評估了資料包中每個特徵的百分比差異，然後按相應演算法進行平均。結果如下圖所示。

圖示：EAD vs TextAttack Perturbation Percentage and Success Rate。（來源：論文）兩種演算法在平均擾動百分比方面存在巨大差異。EADs 高擾動率的原因是因為它作為最佳化的一部分始終將資料包特徵全部擾動為 0，從而導致 200% 的距離。TextAttack 建立了一個更正常的距離，因為每個單獨的資料包特徵單獨受到單個字元插入或刪除的輕微干擾。

藉助 TextAttack，AE 能夠成功地在攻擊方面欺騙分類器，同時還允許良性資料包流保持良性。EAD 混淆矩陣也顯示出類似的結果，但方差略大。兩次攻擊都有很高的誤報率，這是攻擊的目標。它們也有很高的真陽性率，這表明它們可以保留良性資料包而不會將它們轉化為可分類的攻擊。被歸類為良性的攻擊的百分比用於計算攻擊成功率。結果表明，這兩種演算法都能夠產生能夠欺騙 DNS 放大分類器的高質量 AE。

結語

在這項研究中，研究人員提出了一個 RNN 來訓練 DNS 放大資料。EAD 和 TextAttack 演算法被應用於這個模型來欺騙它。根據它們與網路流量資料的效能以及它們儲存資料性質的程度，對這兩種演算法進行了評估和比較。結果表明，欺騙機器學習 NIDS 是可能且相對容易的，這再次證實了這些深度學習演算法很容易受到對抗性學習的影響。可以使為影像處理或 NLP 建立的對抗演算法適應網路分類器。

雖然這些演算法能夠擾亂網路流量資料，但它們不一定能製作出真實的資料包，從而導致未來開發一種純粹用於網路流量分類器的新對抗演算法。研究人員發現 TextAttack 演算法可以產生 100% 機率欺騙模型的 AE。EAD 演算法的 AE 有 67.63% 的機會欺騙模型。TextAttack 演算法的擾動率為 24.95%，EAD 演算法對資料包的擾動率為 200%。

未來的目標是建立一種新的對抗性攻擊，專門針對網路流量分類器的攻擊而設計，並透過對抗性學習和訓練蒸餾來實施防禦。

該團隊未來的下一個目標是將在 DNS 放大分類器上所做的工作應用於 IoT DDoS 攻擊。特別是針對許多物聯網裝置使用的受限應用協議（CoAP）的 DDoS 攻擊。這將包括建立一個類似於來自 CoAP 流量（包括惡意資料包）的 KDD 的資料集。然後，這將應用於使用 NIDS 對 IoT 環境進行的真實世界模擬。

學習和關注人工智慧技術與諮詢，更多詳情可諮詢175-3102-1189（v同號）。