Современные системы обнаружения сетевых вторжений используют алгоритмы машинного обучения для улучшения своей архитектуры на основе сигнатур и правил. Однако алгоритмы машинного обучения уязвимы для нового вектора атаки, известного как состязательные примеры. Методы создания и проведения состязательных атак хорошо известны для классификаторов изображений, но менее известны для классификаторов сетевого трафика. В этой статье моделируется теоретическая атака белого ящика на алгоритм машинного обучения системы обнаружения сетевых вторжений.
Атака белого ящика предполагает, что злоумышленник имеет полный доступ к алгоритму машинного обучения системы, в частности к весам модели. Доступ к этим весам обычно получают с помощью программного обеспечения с открытым исходным кодом, внутренних угроз или кражи интеллектуальной собственности, которые являются общими векторами для обнаружения и использования уязвимостей системы. Предпосылкой этой атаки является использование известных весов модели системы обнаружения вторжений в сеть, чтобы генерировать враждебные примеры, которые обманывают классификатор, заставляя думать, что аномальный сетевой трафик является нормальным. При этом злоумышленник эффективно обошел систему обнаружения сетевых вторжений и может перейти к следующему этапу своей атаки.
Многие системы обнаружения сетевых вторжений используют нейронные сети в качестве основного алгоритма машинного обучения. Нейронные сети являются мощными и уязвимыми для векторов атак, известных как состязательные примеры. В 2014 году исследователи продемонстрировали оригинальный генеративный состязательный алгоритм, известный как Fast Gradient Sign Method (FGSM). Цели алгоритма заключались в том, чтобы добавить к изображению небольшие возмущения (искажения), чтобы классификатор больше не «распознавал» истинное изображение и, следовательно, делал неточный прогноз. Эти возмущения генерируются целенаправленно (не случайно) с использованием алгоритма обратного градиентного спуска, который стремится максимизировать функцию стоимости по отношению к входному изображению и весам модели. Другими словами, алгоритм FGSM использует веса модели для создания состязательного примера, который эффективно переносит изображение одного класса в совершенно другой класс (см. ниже: В статье «Объяснение и использование состязательных примеров» изображение панды было переставлен алгоритмом FGSM, который обманом заставил известные классификаторы предсказать гиббона с высокой степенью достоверности).
Используя описанный выше метод атаки на классификаторы изображений, мы можем создать теоретическую атаку белого ящика на систему обнаружения сетевых вторжений. Мы предполагаем, что в системе используется сверточная нейронная сеть, а веса модели доступны злоумышленнику. Хотя архитектуры каждой нейронной сети различаются, классификаторы изображений обычно преобразуют изображение в матрицу пикселей, которая численно представляет изображение (рис. 1). Системы обнаружения сетевых вторжений (использующие сверточные нейронные сети) также преобразуют сетевой пакет в числовое представление, которое обучается и используется для классификации нормальных пакетов от аномальных. Именно эта структура позволяет алгоритму FGSM генерировать враждебные примеры, способные обойти систему защиты от проникновения в сеть, как показано ниже (рисунок 2).
Рисунок 1:изображение преобразовано в числовую матрицу.
Рисунок 2:пакет преобразован в числовую матрицу.
Модель атаки показана ниже:
Важно отметить, что, хотя приведенное выше моделирует теоретическую атаку на алгоритм машинного обучения системы обнаружения вторжений в сеть, текущая осуществимость низка. В отличие от враждебных изображений, большая часть данных в сетевом пакете должна быть сохранена, чтобы направиться к назначенному месту назначения и провести успешную атаку. При использовании алгоритма Fast Gradient Sign Method возмущение может нарушить целостность пакета, что повлияет на содержимое пакета, который злоумышленник может создать для атаки. Как и в случае с любой развивающейся технологией, мы должны ожидать появления новых состязательных алгоритмов, которые решают проблему целостности, и в то же время модели машинного обучения становятся более устойчивыми к состязательным примерам.
Ссылки:
1. «Объяснение и использование состязательных примеров». Ян Дж. Гудфеллоу, Джонатан Шленс и Кристиан Сегеди, 20 марта 2015 г.
2. «Схемы преобразования данных для анализа сетевого трафика на основе CNN: обзор». Яцек Крупски, Вальдемар Гранишевски, Марчин Ивановски, 23 августа 2021 г.
3. «Состязательное машинное обучение для обнаружения сетевых вторжений: сравнительное исследование». Худа Джмила, Мохамед ибн Хедер, 2022 г.
4. «Новый способ создания состязательных образцов сетевого трафика против классификации сетевого трафика». Юнджин Ху, Цзинь Тянь, Цзюнь Ма, 26 августа 2021 г.
5. «Состязательные примеры нелегко обнаружить: обход десяти методов обнаружения». Николас Карлини, Дэвид Вагнер, 2021 год.
