通过对 NIDS 自适应黑盒对抗性攻击披露漏洞

抽象

对抗性攻击，即精心设计微小的输入以误导智能模型，已经引起了越来越多的关注。然而，理论进步与实际应用之间仍然存在关键差距，尤其是在网络流量等结构化数据中，其中相互依赖的特征使有效的对抗作复杂化。此外，当前方法的歧义限制了可重复性并限制了该领域的进展。因此，现有的防御措施往往无法处理不断演变的对抗性攻击。本文提出了一种解决这些限制的黑盒对抗攻击的新方法。与通常假设系统访问或依赖于重复探测的先前工作不同，我们的方法严格遵守黑盒约束，减少交互以避免检测并更好地反映真实世界的场景。我们提出了一种使用变化点检测和因果关系分析的自适应特征选择策略来识别和定位对扰动的敏感特征。这种轻量级设计确保了低计算成本和高可部署性。我们的综合实验表明，该攻击以最少的交互逃避检测的有效性，增强了其在真实场景中的适应性和适用性。通过推进对网络流量中对抗性攻击的理解，这项工作为开发强大的防御奠定了基础。

索引术语：

在当今互联互通的世界中，我们个人和职业生活的几乎每个方面都依赖于数字基础设施。 此外，通过网络传输的敏感数据量不断增长，对隐私、安全甚至国家稳定构成了重大威胁。入侵检测系统 （IDS） 通过持续监控网络流量中的可疑活动，在保护网络方面发挥着至关重要的作用[1].然而，网络威胁日益复杂，暴露了传统 IDS 在检测复杂攻击方面的局限性，因为它们依赖于预定义的签名。为了填补这一空白，机器学习 （ML） 与 IDS 的集成彻底改变了网络安全，通过分析大型流量数据集、学习模式和识别潜在违规行为来提供主动检测[2].

至关重要的是，基于 ML 的 IDS 的日益普及使它们面临对抗性攻击，轻微的扰动很容易被欺骗 ML 模型做出错误的预测[3].这种威胁最初是在图像分类上下文（即非结构化数据）中开发的，而没有考虑特定特征的重要性[4,5].与依赖于结构化网络流量的基于 ML 的 IDS 相比，每个扰动都必须遵守特征的固有约束，因为它们具有重要的语义值并且错综复杂地相互关联[6].任何不遵守这些约束条件的随机扰动都可能被检测为异常或不切实际，从而降低攻击的有效性[7].因此，要在网络流量中开发成功的对抗性攻击，需要深入了解网络协议、功能相互依赖关系以及模型架构中的特定漏洞。

尽管对对抗性机器学习进行了广泛的研究，但可用的对策在实际应用中的有效性有限，泛化性差[8].这源于大多数现有研究对白盒攻击的关注，这些攻击是在受控条件下开发的，没有考虑 IDS 运行的动态、复杂和嘈杂的环境此外，关于黑盒设置中对抗性攻击的有限文献更好地反映了真实世界的场景，但对于攻击者如何收集有关目标 IDS 的信息以及使用哪些技术来提取模型决策的负责任特征，缺乏明确性理论模型和实际实施之间的这种模糊性和脱节限制了研究人员和行业从业者的理解，增加了在这个不断发展的领域中设计稳健防御系统的复杂性。

Microsoft 研究人员采访了各个领域（例如网络安全、医疗保健、政府、银行、农业）的 28 个组织，他们都证实了这一不足，并讨论了将学术研究结果应用于实际场景的挑战[13].他们对将研究范围扩大到传统威胁（例如网络钓鱼和恶意软件）之外以涵盖现实世界的对抗性纵挑战表示严重担忧。

基于这些关键差距，这项研究工作通过提出一种有效绕过网络 IDS （NIDS） 的新型自适应技术，推进了对抗性攻击的最新技术。本研究的主要贡献如下。

1. 真实世界的漏洞评估：我们提出的策略严格遵守黑盒约束，攻击者无法直接访问目标模型或先验了解其内部工作原理。它仅依赖于交互最少的间接观察，从而降低了检测风险并模拟了真实的真实场景。与现有的黑盒对抗性攻击相反，后者通常需要对 IDS 进行多次查询以收集信息，从而增加了被检测到的可能性。此外，我们还考虑了网络复杂性、功能相互依赖性和动态环境，增强了该方法在实际部署中的可行性。
2. 盲选敏感特征：我们提出了一种使用变化点检测和因果关系分析盲选敏感特征的新策略。这有助于识别在没有直接系统访问的情况下最容易受到扰动的特征，这对于在黑盒设置中成功进行对抗性攻击至关重要。
3. 轻量级且高度可部署的设计：我们的方法设计为轻量级，最大限度地减少计算要求并促进与现有 IDS 框架的集成。
4. 开发稳健防御的基础：我们提高对无声探测威胁的认识，以及为什么可用的对抗性对策在实践中会失败。通过增强对攻击者如何利用漏洞的理解，这项研究为研究界开发更强大、更具弹性的防御措施奠定了基础，从而满足行业需求。

本文的结构如下：

第 2 节概述了背景，介绍了与对抗性攻击相关的关键概念，并定义了黑盒设置的假设。

第 3 节批判性地回顾了相关工作，强调了现有对抗性攻击策略的局限性，并解释了为什么现有的防御措施在实践中失败。

第 4 节介绍了数据集、目标模型和我们提出的黑盒对抗性攻击漏洞评估方法，强调了使用变化点检测和因果关系分析来识别敏感特征的自适应特征选择策略。

第 5 节提供了与文献中现有方法相比的研究结果的全面分析。

第 6 节总结了我们的主要贡献并讨论了未来的方向，从而结束了本文。

本节通过提供对抗性机器学习的简化分类法，为我们的讨论奠定了基础。它还介绍了对抗性黑盒场景中漏洞评估的既定方法，探讨了 NIDS 中现实对抗性攻击的挑战和关键因素。为了更全面的探索，我们鼓励读者查阅参考资料.

对抗性威胁。通常，对抗性攻击是一种策略，旨在通过稍微修改其输入数据来欺骗 ML 模型做出错误的预测.

从数学上讲，这个威胁旨在找到一个小的扰动δ当注入到合法 input 时x，则生成一个对抗性示例x′=x+δ.生成后者是为了最大化模型的误差，从而导致其错误分类x′同时看起来与原始输入几乎相似x.

对于分类器f和一个 Target 类y，目的是解决以下优化问题：

ℒ是模型的模型损失函数
‖δ‖≤ε确保扰动δ仍然是次要的

因此，这会导致模型的输出f⁢(x′)发散f⁢(x)、不匹配x′带有原始标签y并使其具有对抗性。

如图 1 所示，有四个关键要素呈现并有助于对抗性攻击的有效性。

1. 对手计时：对抗性作可能发生在训练或测试期间。训练时攻击（称为中毒攻击）通过注入恶意数据来降低模型的学习过程。相比之下，测试时攻击（称为规避攻击）通过纵特定输入来强制进行错误预测，从而以经过充分训练的模型为目标。
2. 对手目标：对抗性攻击可以是有针对性的，也可以是非有针对性的。非针对性攻击仅寻求强制做出任何不准确的预测，而针对性攻击旨在诱导特定的错误预测。这两种类型的分类汇聚在二元分类中。
3. 对手知识：这是指攻击者拥有的有关目标系统的信息级别，通常分为白盒攻击和黑盒攻击。
   • • 白盒攻击：攻击者拥有对模型内部工作原理的完全访问权限，包括架构、训练数据、参数和梯度（例如 FGSM）)
   • • 黑盒攻击：在不知道模型内部如何运作的情况下，攻击者只能访问其输出，例如预测或置信度分数
   • 对手频率：对抗性攻击可以是一次性攻击，也可以是迭代攻击。一次性攻击在单个步骤中生成对抗性示例。
   • 对抗性防御。对抗性防御已经取得了重大进展，但没有一个被证明是完全有效的[7].当前的防御大致可以分为两种主要方法：对抗性训练和模型架构强化。
   • 对抗式训练：它通过将对抗性示例纳入其训练过程来提高模型的稳健性。在数学上，它的目标是最小化损失函数ℒ在干净和对抗性扰动的数据上。为了对抗性攻击（特别是在有限扰动愤怒中最大化模型的损失），对抗性训练在影响最大的扰动下将预期损失降至最低。给定一个输入x带标签y，这个目的可以表述为：

在网络流量的上下文中，识别最敏感的特征至关重要，因为这些特征通常是对抗性攻击的主要关注点。此外，它们的作在很大程度上依赖于保留现实约束和尊重它们之间的内在相关性。忽视这些相互依赖关系通常会导致不切实际或不切实际的攻击。现有的漏洞评估方法经常忽视这些关键方面，导致评估缺乏实际相关性。这种差距限制了对对抗性攻击的理解和有效泛化的强大防御的发展。这些评估可分为四组：

1. 基于查询的方法：这包括直接查询目标模型以获取反馈，然后根据观察到的响应创建对抗性示例[27].
2. 基于决策边界的方法：通过检查模型的输出以仔细选择输入，这些方法采用优化技术来估计模型的决策边界，旨在生成未被发现的对抗性示例，这些示例不会被发现[28].
3. 随机和无梯度方法：它适用于梯度不可访问的模型，因为它们依赖于不需要梯度信息的随机扰动或优化策略[29].
4. 可转移性：它利用了对抗性示例的可转移性，证明为特定目标模型创建的扰动也会误导具有不同架构的其他模型[30].

表 1描述了当前脆弱性评估方法的局限性和实际可行性，我们提出的框架解决了这些方法，并将在第五节中与之进行比较。

尽管研究不断增长（图 2），但 NIDS 中的许多对抗性攻击未能考虑现实世界的约束，例如网络流量中的特征相互依赖性，如第 III 节所示。此外，关于攻击者可以完全访问训练数据或在黑盒环境中构建替代模型的假设通常缺乏实际可行性[8].许多黑盒攻击假定 Oracle 对目标 NIDS 的无限制访问。理论与实践之间的这种脱节限制了它们在现实世界中的适用性。

为了确保对对抗性攻击的评估考虑到现实的限制，并确保对策在现实世界场景中有效，必须解决这些因素。

• 数据可访问性：攻击者对训练数据的访问级别（无访问权限、部分访问权限或完全访问权限）与由此对 NIDS 稳健性的影响之间的关系。
• 功能约束：对抗性扰动在多大程度上保持网络流量中特征之间的实际相关性。
• 响应交互：对模型输出（例如预测或置信度分数）的依赖，以及攻击者在实际部署场景中可以进行的查询数量的限制。
• Perturbation Domain （扰动域）：对抗性扰动是直接生成给原始网络流量还是生成给 NIDS 使用的更高级别的特征表示。
• 模型洞察：攻击者拥有的有关目标 NIDS 内部工作原理的信息级别，以及不同级别的模型理解如何影响攻击可行性和防御机制。

推进这一领域需要创建与现实世界约束相一致的威胁模型，并评估此类实际场景中的对抗稳健性。

本研究由三个主要因素推动：对智能系统的对抗性威胁不断上升，过度依赖白盒攻击方法，以及尊重实际条件的稳健黑盒策略的有限发展。本节批判性地回顾了这两个领域的现有工作;white-box 和 black-box 设置，如表 II 中进行了全面总结。此外，它还确定了本文中解决的开放性研究问题（局限性）。

关于针对基于 ML 的 NIDS 的对抗性攻击的大多数研究都集中在白盒设置上，其中攻击者完全了解目标模型的架构、参数和训练数据。作者采用雅可比显著性图攻击 （JSMA） 选择性地扰动基于多层感知器 （MLP） 的 NIDS 的特征。这是由 Papernot 等人最初提出的对抗性攻击。但在图像分类上下文中。JSMA 根据其显著性值识别关键特征，这些显著性值表明它们对模型输出中的更改的敏感程度。通过计算导数，此方法有助于选择哪些特征对模型的干扰最小。拟议的发现显示了不同数据集的有效性。然而，在网络入侵检测中，必须遵守特定于域的约束（例如，时序相关性、数据包有效性、协议遵守性等），并且该论文缺乏明确作者如何满足这一要求以保持真实和有效的流量特征。

与 Sheatsley 等人相比。他们明确地将网络约束集成到传统 JSMA 针对基于 DNN 的 NIDS 的对抗性构建过程中。此自适应版本 （AJSMA） 集成了特定于协议的规则，以确保对抗性作考虑网络语义，例如维护 TCP/IP 协议功能的完整性。此外，它还提供了动态扰动方向，以优化对扰动重要特征的选择。因此，它可以最大限度地提高攻击的有效性，同时保持网络流量的有效性。作者还通过提出直方图草图生成 （HSG） 策略来改进他们方法在不同攻击模型中的泛化，该策略根据不同输入的特征修改的频率和影响构建通用对抗扰动。但是，该方法在如何实施网络约束和验证对抗性示例方面存在歧义。

Anthi 等人对 JSMA 的另一个扩展。已在工业控制系统 （ICS） 环境中针对随机森林 （RF） 和基于 J48 的 NIDS 进行了探索。由于 JSMA 依赖于梯度信息来识别和修改敏感特征，因此它不能直接应用于 RF 和 J48 等不可微分分类器。因此，预先训练的 DNN 已用作代理模型，将对抗样本转移到目标模型。虽然这个可转移性概念有效地显示了梯度独立模型对 JSMA 的敏感性，但该研究并未解决特征一致性和语义效度。

同样，在最近的一项研究中，作者使用不同的传统白盒攻击（如 FGSM、JSMA、PGD 和 C&W）进行了实时对抗性攻击模拟，将扰动的网络数据包注入到流量中，以评估基于 DNN 的 NIDS 模型的弹性。但是，它们并未充分解释和解决保留网络流量要素的现实性和功能性性质的挑战。这引发了对所取得结果的有效性的质疑。

Roshan 等人在另一项研究中提出一种两阶段对抗性防御，用于提高基于 DNN 的 NIDS 对白盒对抗性攻击的稳健性，特别是 （C&W） 攻击，该攻击依赖于基于优化的方法来创建难以察觉的更改，同时平衡误分类率。他们的防御在训练期间集成了高斯数据增强 （GDA） 以注入噪声并增强模型的弹性，并在测试期间集成了特征压缩 （FS），以最大限度地降低输入的分辨率并减轻对抗效应。虽然这种防御显示了对 C&W 的有效性，但作者并没有专注于解释所采用的特征选择方法，这对于验证他们的攻击和对策程序是否保持逻辑并与动态的现实世界条件保持一致至关重要。此外，需要进一步的实验来证明所提出的防御措施对其他对抗性攻击的普遍性。

同样，Pawlicki 等人。针对基于 DNN 的 NIDS 的四种对抗性攻击（FGSM、BIM、C&W 和 PGD）提出了一种防御策略。他们在测试时使用神经激活来检测对抗性示例。从根本上说，神经网络每一层的激活都会被记录下来，用于正常和对抗输入，从而创建一个激活数据集。基于后者，作者训练了一个额外的基于 ANN 的检测器来区分对抗性和非对抗性样本。与文献中的大多数现有提案一样，本研究没有明确解释如何保留特征相互依赖关系，也没有解决生成的攻击中的语义有效性。这引发了人们对检测到的样本在实际场景中的可行性的担忧。此外，对神经激活的依赖可能容易受到纵这些模式的对抗性攻击。此方法还可能引入有关处理时间和检测延迟的权衡，并可能增加误报。

此外，Costa 等人。最近使用 FGSM 攻击来误导 KitNET，KitNET 是一个利用自动编码器集合的轻量级异常检测系统。每个 autoencoder 都专注于重新创建特定的 network traffic 特征，具有更大的输出 autoencoder 可以处理更复杂的 pattern。虽然 FGSM 通过在输入中注入微妙的扰动来降低重建误差，从而有效地欺骗了 KitNET，但它根据梯度方向平等地扰动所有特征，而无需明确选择敏感特征。为了防御这种攻击，作者提出了 ARGAN-IDS，这是一种基于 GAN 的防御，可将对抗性输入重建为更“良性”的形式。然而，鉴于评估的对抗性攻击没有考虑网络特征的相互依赖性和复杂性，确保 ARGAN-IDS 在实际场景中准确验证重建样本仍然存在挑战。

局限性。虽然这些假设证明了 ML 模型的脆弱性，但它们很少适用于 NIDS 的实际设置，其中系统详细信息只有内部系统管理员知道[8].即使是购买和部署这些系统的公司，也往往缺乏对其内部工作原理的全面了解。因此，攻击者在实践中极不可能拥有白盒攻击所需的广泛访问权限。此外，它们经常忽略特征约束，例如维护网络协议规则、特征相互依赖关系和语义一致性[7].这限制了这些攻击的实际适用性，并限制了可靠防御措施的发展。

虽然一些现有提案认为黑盒对抗性攻击更符合实际条件，但只有少数提案真正坚持真正的黑盒设置。 在，针对不同的 NIDS 架构评估了各种黑盒攻击（例如，自然进化策略 （NES）、边界攻击、HopSkipJumpAttack、Pointwise Attack 和 OPT-Attack）;C-LSTM，一种结合了 CNN 和 LSTM 以及单个 DNN 和基于 CNN 的 NIDS 的集成模型。通过测量其成功率、查询效率和对单个和集成模型的可转移性，评估了它们的影响。作为针对这些攻击的拟议防御措施，作者依靠三种策略：投票集成技术来加强模型的决策;集成对抗训练 （EAT），使用多次攻击生成的对抗性示例对模型进行训练;以及 Adversarial Query Detection，它检查重复和类似的流量模式以检测对抗性探测。尽管结果令人鼓舞，但作者更多地关注攻击的有效性，而忽略了几个关键领域，例如攻击者用于识别要扰动的敏感特征的方法，以及他们如何收集有关目标模型的信息。

另一方面，Peng 等人。通过保留特征范围来解决研究中的一些特征约束。他们提出了一种针对基于 DNN 的 NIDS 的基于优化的攻击，该攻击依赖于使用无梯度方法和随机游走策略迭代扰动连续和离散特征，以错误分类样本，同时保持与原始 DoS 流量的相似性。但是，本文未能全面解释如何考虑功能依赖关系和特定于协议的规则。此外，特征选择过程和收集有关目标模型的信息的技术没有明确详细说明。这限制了对攻击的实际评估。

此外，在已经提出了一种基于深度强化学习 （DRL） 的黑盒攻击框架，以绕过针对 CNN 和基于决策树 （DT） 的模型的僵尸网络检测系统。它使用深度 Q 网络 （DQN） 代理来扰乱重要的网络流特征（例如，数据包时间戳和有效负载长度），依赖于来自目标模型以二进制标签形式的反馈。该框架尊重黑盒条件并依赖于一组预定义的修改，这确保了特定于协议的规则和语义的一致性，但也可能会限制代理可以探索的扰动空间，从而最大限度地减少攻击的有效性。此外，作者没有明确讨论这些修改如何保持特征相互依赖性。虽然基于 DRL 的攻击有效地逃避了检测，但该研究并未充分探讨 DQN 代理如何收集信息或保持关键特征的一致性。

密宗;已经提出了一种基于时间的黑盒对抗攻击以规避依赖于检测流量行为偏差的基于异常的 NIDS（例如 KitNET、Autoencoders 等）。这种攻击基于使用 LSTM 模型重塑恶意流量的数据包间延迟。由于没有直接访问 NIDS 模型的内部工作，TANTRA 从良性流量中学习时间模式，并在不修改数据包内容的情况下扰乱时序特征。它还可以模仿合法的 timing patterns 以避免检测，有时完全避开检测系统。但是，作者没有探讨 timing changes 如何影响其他统计特征。

为了确保真实有效的交通流量，Debicha 等人。在他们提议的针对基于流的 NIDS 的攻击期间，使用投影函数来尊重句法和语义约束。他们的方法通过使用代理模型（例如 MLP、RF、KNN）生成对抗样本来利用可转移性，并扰动数据包计数、传输持续时间和字节计数等重要特征。尽管它有效地逃避了检测，但模型查询和收集目标 NIDS 信息的策略仍然不清楚。此外，依赖可转移性也有局限性，因为它的有效性取决于替代模型和目标模型之间的相似性，这在复杂的现实世界场景中可能不可行。为了应对拟议的攻击，作者提出了一种基于集成的防御措施来检测对抗样本。然而，需要进一步评估适应性攻击，以验证其在动态现实环境中响应不断变化的威胁的有效性。

在，作者还使用 GAN 针对不同的基于 ML 的 NIDS（即 SVM、RF、DT 等）生成对抗性网络流量。它需要一个生成器将原始恶意流量转换为对抗性样本，同时保持攻击的功能完整性。然后，判别器通过反复查询目标 NIDS 的实时反馈来学习。在这种生成器判别器训练之后，IDSGAN 利用了对抗样本的可转移性。它假设这些在本地替代模型上进行了微调的攻击将成功逃避目标 NIDS 模型的检测。虽然生成的样本遵守协议规则，但它们对重复查询和可转移性的依赖可能会限制现实世界的适用性。此外，该研究侧重于缺乏对特征一致性和相互依赖性的全面验证的功能特征。

尽管取得了进步，并且对对抗性攻击策略的有效性和可行性重要性的认识不断提高，最近的研究仍然忽略了关键因素，例如在网络流量中维护功能约束和遵守严格的黑盒条件。例如，在，基于 DNN 的 NIDS 对所谓的黑盒对抗性攻击的脆弱性已经基于可转移性方法进行了评估。他们使用 FGSM 在代理模型上创建对抗示例，该模型在与目标模型相同的数据集上进行训练，但具有不同的超参数。他们的方法依赖于模型相似性和数据可访问性的假设，这与黑盒设置不兼容。

Zhang 等人最近的另一项工作。他们使用线性自动编码器 （LAE） 作为代理模型，以提高对抗性攻击（例如 R-FGSM、R-PGD、R-MIM 和通用对抗性样本生成器 （U-ASG））向其他基于 AE 的检测器的跨模型可转移性。虽然该研究尊重网络协议约束，但它对模型相似性的关注使人们对现实世界的可行性产生了怀疑。此外，该论文提出的方法由于缺乏对现实世界黑盒信息收集挑战的探索而受到限制。

最近，He et al.提出了一种新的决策边界遍历算法，即 NIDS-Vis，该算法可视化和分析基于 DNN 的 NIDS 的决策边界以利用其弱点。基于实验，作者证明更复杂的模型更容易被对抗性输入欺骗。为了解决这个问题，他们提出了两种方法：特征空间分区 （FSP） 通过划分特征空间来减少聚类，以及分布损失函数 （DLF） 将异常分数与预定义的分布保持一致。这些发现有效地可视化了决策边界以增强弹性，但它缺乏对现实世界约束和功能相互依赖关系的关注。此外，这些方法在动态网络场景中的适用性尚未得到深入探讨。

局限性。许多提出的策略忽略了关键约束，例如受限的模型交互和缺乏内部模型知识，这些对于实际和现实的黑盒攻击至关重要。尽管声称在黑盒环境中运行，但许多研究（包括最近的研究）都依赖于关于模型访问或数据相似性的假设，从而降低了它们在现实世界中的可行性。这些方法通常依赖于重复查询或可转移性，使其更容易检测，并且与真正的攻击场景不一致。这暴露了在创建真实且无法检测的黑盒对抗技术方面的巨大差距。因此，没有适应行业需求的有效防御的有力主张.

本节介绍了我们对黑盒对抗性攻击进行自适应漏洞评估的新方法。它还介绍了目标 IDS 模型，描述了其训练过程和用于确保真实评估的数据集。 我们的方法不仅解决了几个开放的研究问题，还通过揭示实际的对抗性威胁直接帮助行业，从而能够开发更有效的防御措施。具体来说，它阐明了攻击者如何通过静默探测来逃避检测，收集有关目标 IDS 的间接信息，并战略性地选择最有影响力的特征进行纵。据我们所知，我们的研究是第一个使用侧信道分析、变化点检测和因果关系分析，为盲环境中的自适应特征选择提供了一个全面的框架。该过程包括以下主要步骤，如图 3 所示。

本研究中的目标 IDS 模型是使用随机森林 （RF） 分类器进行训练的，这是一种广泛使用的机器学习模型，以其在网络安全应用程序中的弹性和可解释性而闻名。用于训练的数据集源自 CSE-CIC-IDS2018 数据集，该数据集提供了各种真实世界的攻击场景和正常的网络流量模式。表 III 提供了数据集的详细说明。

• 预处理和特征选择：为了在训练期间保持一致性，通过删除不完整的记录来修复缺失值。通过标准化连续属性来应用特征归一化，确保不同尺度的一致性。最后，通过识别和保留最重要的网络流属性、优化分类性能和最小化计算成本来执行特征选择。
• 模型训练和优化：通过网格搜索使用超参数调整来训练随机森林 （RF） 分类器，以优化重要参数，包括估计器的数量、最大深度和特征选择策略。为了避免学习中的偏差，训练过程确保数据集组成是平衡的，保留了恶意流量和良性流量的平等表示。最后，执行性能验证，以验证 IDS 使用准确率、精确率、召回率和 F1 分数等标准评估指标区分合法和恶意网络流量的能力。

这些程序包含在经过训练的目标 IDS 的架构中，使其能够以高分类精度识别大量恶意流量模式。该模型对我们建议的静默探测对抗性攻击的弹性在第五 节中进行评估和讨论

我们的方法从基于网络嗅探工具（例如 Wireshark）的流量特征收集步骤开始，以捕获网络元数据的子集，例如：

• 数据包长度：每个数据包的大小（以字节为单位），这可能会间接提供某些流量模式或行为，而不会暴露内容。
• 源端口：每个数据包的原始端口号，提供有关使用网络的服务或应用程序类型的信息。
• 目的端口：可用于标识通信类型的目标端口号，包括特定应用程序或协议使用的常用端口。
• 时间 戳：每个数据包的交付或接收的准确时间，提供有关时间和流量模式的信息，而不会泄露数据包的内容。
• 协议类型： 如果无法访问有效负载，则使用的协议（例如 TCP/UDP）可能会提供通信特征的间接指示器。

通过将收集到的信息限制为仅元数据，我们的方法遵循黑盒约束，即攻击者只能获得间接可用的数据，并且不会泄露 IDS 的内部特征或模型参数。与可能假设对 IDS 的数据集、特征空间或架构有一定程度了解的传统方法相比，我们的方法反映了攻击者在真实场景中面临的限制，其中对特权信息的访问受到高度限制。 这些元数据是我们的自适应漏洞评估的基础，使攻击者能够观察一般网络行为并识别 IDS 响应的潜在指标，而无需直接访问。

在第二阶段，将随机游走扰动应用于收集的流量特征，从而实现静默探测，从而降低检测风险。它涉及三个步骤。

1. 扰动初始化：我们为每个选定的特征（例如，数据包长度、数据包间时间间隔）定义了一个小的扰动范围，该范围仅限于正常流量常见的值。
2. 随机游走应用程序：为了模拟自然偏移，为每个数据包中的每个特征添加或减少一个轻微的随机值。例如，在数据包长度中，可以通过添加/减去几个字节来更改数据包大小，从而将数据包大小保持在应用程序的预期范围内。
3. 注入修改后的流量：修改后的流量将重新引入网络，从而实现对数据包级属性的精细控制。每个数据包的修改都足够小，以便与更广泛的网络流量顺利混合，使其与正常的网络活动无法区分。

与依赖重复查询的现有方法不同，我们的方法以轻微的随机步骤巧妙地纵网络流量的元数据，使攻击者能够在不触发警报的情况下评估目标 IDS 对功能更改的敏感性。主要目的是模拟流量模式的自然、渐进变化，类似于在合法网络通信中观察到的与标准模式的微小偏差。

1:过程 TrafficModification（metadata_list、modifiable_features、base_epsilon）

2:     对于每个功能f在 modifiable_features do

3:设置ε←base_epsilon

4:         为 我=1去num_steps

5:              摄 动∼𝒩⁢(0,ε⋅性病⁢(f))

6:              f←f+摄 动

7:         end 为

8:     end 为

9:将具有扰动特征的修改后的数据包注入网络

10:结束过程

在无法直接访问系统的情况下，侧信道指示允许使用间接方法来推断 IDS 对流量中断的反应，这与黑盒约束保持一致。为了观察 IDS 行为的细微变化，我们采用了一组侧信道指标：响应时间、CPU 使用率、内存消耗、丢包率和处理延迟。选择这些指标是因为它们与捕获来自 IDS 的非侵入式反馈相关，使攻击者能够在不发出警报的情况下评估系统敏感性。

• 响应时间：它显示 IDS 处理传入数据包所需的时间。响应时间增加的扰动可能是处理需求增加的迹象，表明某些特征正在吸引 IDS 的更多关注。
• CPU 使用率：通过跟踪 CPU 负载波动，我们可以推断出 IDS 响应特定流量特征所需的计算资源。CPU 使用率增加可能间接表示正在检查特定的数据包属性。
• 内存使用情况：它提供有关 IDS 如何分配其资源的信息。通过揭示哪些流量修改会给 IDS 带来更高的负载，此统计数据的变化可以间接突出处理特定特征的难度。
• 丢包率：数据包丢弃率的增加可能表明更改的通信量过载或对 IDS 构成挑战。此响应可能会引起对 IDS 发现难以实时管理的特定数据包特征的注意。
• 处理延迟：处理过程中轻微但持续的延迟表明 IDS 需要额外的时间来检查某些数据包，这可能表明纵的功能可能会触发系统内更广泛的分析。

现有的研究很少探讨侧信道分析在对 NIDS 的黑盒对抗性攻击中的使用。虽然它们是密码学中广泛认可的通过间接方式（例如，计时或功耗）提取敏感信息的方法，但它们在 NIDS 中的应用一直受到限制。这主要是因为传统的 NIDS 研究侧重于对网络流量的直接分析，而忽视了间接系统指标的潜力。我们的方法通过调整侧信道策略以适应针对 NIDS 的对抗性攻击的背景来填补这一空白。因此，它增强了对这一不断发展的领域的理解和现实主义，并为开发解决无法检测的探测技术风险的防御措施奠定了基础。

我们的方法提出了一种新颖的方法，可以盲目识别最负责触发 NIDS 反应的敏感特征。正如第 3 节所讨论的，大多数关于黑盒对抗性攻击的现有研究都忽略了特征选择的关键方面。它们通常依赖于对输入数据的直接作，通常需要了解模型的内部结构或数据。此外，他们中的大多数都忽略了修改后的特征中语义和句法有效性的必要性。我们的方法通过将变化点检测与因果分析相结合，并在流程的每个阶段仔细遵守特征约束来解决这些限制。

变化点检测：定义和应用变化点检测是一种统计技术，用于识别时间序列中结构变化的实例.这些偏移（即变化点）表示被观察系统（在本例中为 IDS）的行为对外部输入做出显着反应的时刻。检测更改点可以隔离与 IDS 行为的重大变化相关的流量修改，从而有助于对这些功能进行集中分析。

在本研究中，我们根据每个侧通道指标的特性，将二进制分割 （Binseg） 算法应用于不同的模型.对于大多数指标（例如 CPU 使用率、内存消耗和丢包率），我们使用径向基函数 （rbf） 模型，该模型准确捕获数据中的非线性变化，并呈现对流量扰动的显著行为变化。

对于响应时间，我们应用 l2 范数模型，该模型最适合检测微小的线性偏移和逐渐变化，表明 IDS 可能进行数据包检查。

选择这些模型是为了最好地反映不同侧通道指标的不同反应，从而能够对 IDS 响应进行详细分析。二进制分段可识别 IDS 行为因流量修改而偏离基线的“变化点时刻”。这使我们能够确定哪些流量特征调整最强烈地触发 IDS 反应。

因果关系分析：定义和应用
因果关系分析是一种统计方法，用于显示对一个变量（例如，交通要素）的修改如何影响另一个变量（即 IDS 行为）。在对抗性攻击的上下文中，这允许攻击者识别和纵最重要的网络流量特征，从而可能在不完全了解 IDS 运行方式的情况下逃避 IDS 检测。

在我们的研究中，在确定了侧信道指标的变化点后，我们应用了因果分析来验证哪些特定的交通特征最有可能是这些反应的原因。我们方法的这一部分涉及三个步骤，确保在黑盒设置中的统计独立性和因果有效性。

1. 基于细分的回归分析：对于在变化点之间标识的每个段，我们使用普通最小二乘法 （OLS） 回归[50]估计将侧信道指标与潜在因果变量相关的线性回归模型的系数。 无需直接 IDS 访问，我们就可以通过独立检查每个细分，同时保持黑盒要求的限制，从而识别导致 IDS 做出最重大反应的流量特征。
2. 方差膨胀因子过滤：为了保持特征的相互依赖关系，我们计算了方差膨胀因子 （VIF）对于回归模型中的每个特征。在此过滤阶段，将消除具有高 VIF 值的特征，这可能表明多重共线性和偏斜因果解释。我们通过仅保留统计上独立的特征来确保因果分析的稳健性，这些特征有效地反映了流量数据中的关系。
3. 特点意义：敏感特征是其系数具有统计显著性的特征，如低于预定阈值的 p 值所示。较低的 p 值表示观察到的特征与侧信道指示器之间的联系反映真实因果关系而不是随机机会的可能性更大。通过优先考虑 p 值较低的特征，分析将重点放在最有可能有效影响 IDS 行为的特征上。这种有针对性的方法优化了后续分析，提高了我们研究结果的准确性和相关性。

    要点。 第 五 节详细讨论了 p 值阈值的选择及其对特征选择的影响。

通过变化点检测和因果分析识别敏感特征后，为执行有针对性的对抗性攻击奠定了基础。

在通过因果分析识别敏感特征后，我们的方法进入有针对性的对抗性攻击阶段。这需要将精心控制的扰动直接注入这些敏感特征，确保逃避检测，同时保持网络的真实性。对抗性攻击通过以下步骤进行。

• • 

  受控扰动：扰动是在狭窄的受控范围内精心设计的，以保持协议遵守性和流量合理性，从而减少触发 IDS 警报的机会。

• • 

  动态调整：根据初始探测结果的反馈，可以自适应地调整扰动强度，专注于在保持预期流量行为的同时表现出最高灵敏度的特征。

以下部分全面评估了我们方法的有效性，详细介绍了它对 IDS 性能的影响，并评估了它在实际网络场景中的不可检测性。

为了填补理论与实践之间的差距，我们在现实的黑盒条件下评估 IDS 的弹性，确保适应行业环境，从而制定更具弹性和有效的防御策略。 本节分析了所建议方法的有效性及其对 IDS 安全性的实际影响。与文献中现有的对抗性攻击漏洞评估相比，我们的研究结果验证了黑盒对抗性攻击的可行性，同时揭示了当前 IDS 防御的局限性，这些防御通常不考虑利用间接观察而不是显式模型查询的对手。

讨论包括：（i） 静默探测对 IDS 的影响，（ii） 识别对抗性纵的敏感特征，（iii） IDS 攻击前后性能下降，以及 （iv） 与现有策略的比较。

提出的静默探测策略在严格的黑盒条件下运行，确保攻击者不需要了解模型的架构、训练数据或特征重要性。与声称在黑盒设置中工作但依赖于受控环境的现有对抗性攻击技术相比，我们的方法通过变化点检测和因果分析成功地盲目识别敏感特征，而无需直接的模型查询。这种区别至关重要，因为它反映了攻击者无法访问系统内部的真实对抗场景。

如算法 1 和 2 所示，在攻击过程开始时，我们应用了随机游走扰动，以将轻微的变化注入到嗅探到的网络流量中。例如，在多个步骤中使用轻微的 epsilon 值 （0.01） 对 “Duration”、“BytesPerSec” 和 “PktsPerSec” 等特征进行扰动。这有助于在不触发其检测机制的情况下对目标 IDS 的行为进行间接分析。 事先执行嗅探以捕获可修改的网络流量特征，然后引入扰动流量以监控侧信道指标，例如“response_time”、“CPU_usage”、“memory_usage”、“packet_drop”和“processing_delay”。之后，仔细观察这些指标是否有任何表明敏感系统行为的异常变化。在我们进行更有针对性的对抗活动之前，此过程提供了有关目标 IDS 细微变化敏感性的必要见解。

通过变化点检测获得的结果表明，侧信道指标发生了显著变化。这些发现得到了变化点检测图 4 的视觉支持，该图清楚地识别了这些指标中显著变化的区间。

• 响应时间：在 [3085， 3090， 4510， 4815， 5000] 处表现出突然的变化，表明系统处理行为存在波动。
• CPU 使用率：在 [1825， 1835， 3285， 4135， 5000] 处显示显著变化，反映出资源分配的潜在峰值。
• 内存使用情况：在 [220， 345， 4945， 4990， 5000] 处有明显的变化，表明工作负载处理可能存在波动。
• 丢包率：速率在 [100， 220， 2355， 2550， 5000] 处变化，表明在这些时间间隔内出现拥塞。
• 处理延迟：在 [2250、2255、2375、2380、5000] 处出现主要转换，突出了系统速度变慢的时刻。

但是，虽然更改点检测会突出显示发生突变的位置，但它并不能深入了解导致这些更改的原因。为了解决这个问题，我们利用因果分析来确定哪些网络流量特征导致了这些变化。

为了进一步了解观察到的侧信道偏移的根本原因，我们使用 Granger 因果关系检验进行因果分析。如图 5、7、8、6 和 9所示，在不同时间间隔影响系统行为的主要流量特征。

响应时间：如图 5所示，根据因果分析的结果，“BytesPerSec” 显著影响了响应时间，尤其是在较晚的间隔期间。在间隔 4-5 时，“BytesPerSec”的 p 值明显低于显著性阈值 （0.05），这表明流量的变化对延迟有直接影响。同样，“PktsPerSec” 在区间 3-4 附近显示 p 值大幅下降，显示出明显的因果关系。

CPU 使用率：在图 6中，BytesPerSec 和 PktsPerSec 已被证明是影响 CPU 使用率因果分析中处理器负载的重要因素。在间隔 2-3 处，“PktsPerSec” 的 p 值特别高 （p = 0.24），这与变化点检测识别的断点一致。在间隔 3-4 时，“BytesPerSec” 达到显著增加，证实了它对计算负载的影响。

内存使用情况：图 7 描述了 “Duration” 和 “TotPkts” 已被确定为导致观察到的内存使用偏差的主要因素。“持续时间”对记忆波动的影响由持续较低的 p 值证实，该 p 值以 2-3 的间隔立即下降到显著性阈值以下。此外，“TotPkts” 显示出周期性影响，尤其是在间隔 3-4 中，这与内存压力是由持续高数据包量引起的理论一致。

丢包：图 8显示 “PktsPerSec” 和 “TotPkts” 是丢包格兰杰因果关系测试中的主要影响因素。当 p 值在间隔 2-3 和 4-5 中低于 0.05 时，PktsPerSec 表现出显著的因果关系和对网络拥塞的明确影响。同样，“TotPkts” 在区间 3-4 期间呈现一个影响峰值，与在变化点分析中观察到的丢包的突然变化同步。

处理延迟：9 中的分析表明，“Duration” 和 “BytesPerSec” 与处理延迟显著相关。“BytesPerSec”的 p 值在间隔 2-3 中达到最低值，表明高流量吞吐量会导致明显的处理速度减慢。区间 3-4 和 4-5 显示 “Duration” 增加，证实了它对延长会话期间交通延误的影响。

通过使用关键流量特征的变更点检测和因果分析来分析侧信道变化，我们确定的触发 IDS 检测变化的最敏感特征是：“Duration”、“BytesPerSec”、“PktsPerSec”和“TotPkts”。 这些功能与响应时间、CPU 使用率、内存使用率、丢包率和处理延迟具有很强的相关性，使其成为高效对抗性扰动的最佳目标。

与依赖于基于查询的方法或替代模型的现有对抗性攻击不同，这些攻击通常不会呈现现实场景，而我们的攻击在完全黑盒环境中运行，利用侧信道指标来指导直接特征扰动。

为了防止检测，我们使用了渐进特征扰动，确保它们保持在统计噪声阈值内。 我们没有直接使用基于梯度的技术（这需要访问模型），而是采用了隐蔽的扰动策略，在多个步骤中逐渐改变特征值 （n⁢u⁢m⁢_⁢s⁢t⁢e⁢p⁢s=75).这些作不是随机的，它们是由系统响应指导的，特别是观察到的侧信道行为变化（处理延迟、响应时间等）。为了提高攻击效果，同时避免被基于异常的防御检测到，我们逐步增加了扰动强度 （ε=0.15).

如表 IV 和图 10 所示，IDS 的准确率从 99.25% 下降到 48.00%，有效地将其分类能力降低到几乎随机的行为。这种严重的下降表明 IDS 在区分良性流量和攻击流量方面不再可靠，这使得其预测非常不准确。

这种性能下降尤其令人担忧，因为它表明，即使是最初提供有效分类结果的训练有素的 IDS，在现实的黑盒约束下制作时，也容易受到对抗性扰动的影响。

精度 描述被归类为攻击的所有样本中正确检测到的攻击实例的比率。50.52% 的显著下降表明 IDS 错误地将大量良性流量事件检测为攻击。

关于衡量 IDS 正确检测到的实际攻击比例的召回结果，它已从 97% 下降到 44%（下降了 54.64%）。这表明 IDS 在网络流量中遗漏了一半以上的实际攻击。

准确识别攻击 （召回率） 和减少误报 （精度） 之间的权衡由 F1 分数平衡，F1 分数是准确性和召回率的调和平均值。IDS 在这两个方面的总体失败表现为从 97% 下降到 46%。

为了验证我们的静默探测方法的不可检测性并评估它是否准确反映了现实的对抗场景，我们采用了隔离森林 （IF） 异常检测技术。它是一种无监督的异常检测算法[52]隔离异常，而不是分析正常模式。通过随机划分特征空间，它会创建多个决策树;由于异常（异常值）不常见，因此预计它们将在减少的拆分中被隔离。隔离样本所需的分区数越少，它就越有可能被视为异常。这使得 IF 成为检测统计异常流量模式的有效方法。

在我们的实验中，我们使用侧信道指标（响应时间、CPU 使用率、内存使用率、丢包和处理延迟）以及从因果分析中提取的敏感特征（“Duration”、“BytesPerSec”和“PktsPerSec”）来训练良性和对抗性流量的 IF。如果我们的无声探测攻击真的无法检测到，那么这种防御策略就无法区分良性流量和对抗性扰动流量。

表 V 和图 10 显示了所有关键指标的低检测性能。准确率仅从 48% 提高到 56%，表明 IF 方法无法正确分类良性和对抗性流量。

此外，54% 的精确率值解释了被异常检测器标记为恶意的流量事件中，几乎有一半实际上是良性流量。

此外，召回表明，只有 16% 的对抗性流量被正确识别为攻击，而 84% 的对抗性示例逃避了检测。

F1-Score （27%） 呈现的不平衡证实，尽管某些攻击可以检测到，但由于无法平衡检测准确性，防御的整体效果很差。

最后，48% 的 ROC-AUC 分数意味着分类器的随机分类为 50%，即区分异常流量和正常流量，仅比抛硬币好一点。这表明，在实际场景中，我们的攻击成功地保持了未被发现的状态。

如表 I 所述，对 IDS 进行对抗性攻击的漏洞评估方法一般可以分为基于查询、基于可转移性、基于决策边界和随机攻击。本节将这四个类别与我们提出的现有方法进行比较，评估查询依赖性、特征选择、效率和实际可行性。我们强调了以前的局限性，并表明我们的方法提供了更实用、更隐蔽和更具适应性的漏洞评估。

基于查询的方法，例如 ZOO 攻击和 OPT 攻击，需要与目标模型频繁交互以近似其梯度。尽管这些方法已被证明是有效的，但它们的高查询成本和 IDS 日志记录机制增加的检测风险使它们在现实世界的黑盒场景中完全不切实际。

基于可转移性的攻击，例如 FGSM（快速梯度符号法）和 C&W，声称目标 IDS 可以被代理模型上生成的对抗性示例成功欺骗。但是，由于整个网络中的特征分布和模型结构各不相同，因此这一假设在实际情况下经常失败。基于迁移的攻击已被证明对复杂的 IDS 模型无效，尤其是那些使用自适应训练或集成学习的模型[8].

基于决策边界的攻击，包括边界攻击和 HopSkipJump中，迭代优化对抗性示例以超过分类阈值。这些技术可以有效地对抗具有明确定义边界的分类器，但它们非常耗时且计算成本高昂，这限制了它们在实时对抗情况下的适用性。

随机且无梯度的攻击，例如 GenAttack，依赖于进化算法创建没有显式梯度访问的对抗性作。尽管提高了不可检测性，但这些策略需要大量的采样和统计建模，这可能与实时网络状况不一致。

相比之下，我们的静默探测方法消除了这些限制，无需直接进行模型交互。我们的方法使用被动的侧信道指标（如处理延迟、CPU 使用率、内存使用率和丢包率）来推断模型行为，而不是查询 IDS。这种方法确保了在实际部署中的理想可行性，同时遵守严格的黑盒约束。与以前的方法和第 3节中讨论的方法不同 ，它通常假定访问模型输出、决策阈值或训练数据分布，我们的攻击仍然是隐蔽且无法检测到的，这极大地验证了其实际适用性。

表 4总结了现有黑盒对抗攻击与我们的方法之间的比较，加强了我们研究的新颖性和实际有效性。这些发现为未来开发自适应对抗防御的研究奠定了基础，确保 IDS 模型能够主动抵御不断变化的攻击策略，同时在实际应用中保持弹性。

本研究提出了一种新颖的基于静默探测的对抗性攻击，它揭示了黑盒条件下入侵检测系统 （IDS） 中的关键漏洞。与现有的对抗技术不同，这些技术假设对模型内部有不切实际的了解，或者其漏洞评估方法缺乏透明度，我们的方法遵循现实的攻击者条件。我们不依赖直接查询，而是依靠侧信道信息、变化点检测和因果分析来提高该领域的可行性和理解，为可靠的安全措施和更强大的防御铺平道路。通过变化点检测和因果分析，我们表明可以识别最敏感的网络流量特征，并战略性地应用对抗性作来降低目标 IDS 的性能。我们的研究结果表明，IDS 的准确率从 99.25% 显着下降到 48%，有效地抵消了其检测能力。此外，我们使用了基于 Isolation Forest 的异常检测器来验证拟议攻击的不可检测性。防御后准确率仍然很低，只有 56%，F1 得分仅为 27%，这表明当前的异常检测方法无法缓解对抗性探测攻击。这些结果凸显了 IDS 部署迫切需要更强大、适应性更强的安全措施。

重要的是，这项工作的总体目标是填补理论对抗性攻击研究与实际网络安全问题之间的空白。我们通过揭示 IDS 框架中的弱点，促进行业就绪防御的进步，在不影响系统效率的情况下主动降低对手风险。