2023
攻击和防御模型
防御评估
- 准确度、精确度和召回率:使用准确率来评估攻击模型在多类别封闭世界设置中的性能,但在二进制开放世界设置中使用精确率和召回率
- 防御策略:(1)增加虚拟流量、(2)增加流量延迟、(3)将流量从一个流移到另一个流
固定速率发送流量F,随机抽样以添加填充R,修改流量以产生与目标流量样本或模式的碰撞C,将流量分成多个流S,使用对抗性扰动来欺骗机器学习模型A
F:(1)(2)BuFLO , Tamaraw , DynaFlow。这些防御措施的主要特点是数据包在连接过程中以固定速率传输,这实际上会扭曲定时和突发级信息。这些防御系统对所有已知的 WF 攻击都有很高的成功率,但同时也带来了很高的时序和带宽开销。
R:(1)由于其灵活性,许多防御系统都采用这种策略。这些防御措施通常使用概率状态机或采样时间,从选定的分布中添加填充。
C:(1)(2)Walkie-Talkie,Mockingbird,Glove,但也可能只使用(1),如 BiMorphing。这些防御措施的最大特点是需要开发和维护流量样本或模式数据库。
S:仅使用机制(3)将流量分成多个同时但独立的流,这些流遵循不同的网络路径。因此,这些防御措施不会增加流量的开销(但是,对流创建和流合并的新要求可能会以难以量化的方式对流量和网络产生负面影响)。从一个角度有效消除某些流量存在的能力可能非常强大,但也有其局限性,那就是一个足够强大的攻击者可能会收集所有数据流并重新组合,从而彻底破坏该策略。
A:针对的是攻击者模型中的漏洞,"欺骗 "模型对样本进行错误分类,同时尽可能不改变底层流量。迄今为止,这些防御方法都是利用(1)(2),在流量模式中添加对抗性噪音。
开放世界评价
使用受监控和未监控的集合以及附加的未监控标签来为每种防御训练不同的模型,使用精度和召回指标评估每个模型,就好像它是一个区分受监控站点和未监控站点的二元分类问题。
在开放世界和标准安全模式下,当流量分布在五个电路上时,TrafficSliver 表现非常好,实现了低于 1% 的召回率和可怕的精度。 DynaFlow 和 HyWF 的表现都非常出色,当精确度达到接近 97% 时,召回率分别降低至 4% 和 17%。其他无延迟防御的表现并不好。在相似的精度水平下,Interspace、Spring、FRONT、BiMorphing 和 DFD 的召回率分别为 69%、93%、71%、93% 和 91%。 从这些结果来看,基于随机填充的防御很难在开放世界环境中提供足够的防御。这些趋势在三种安全模式中持续存在。 使用更高的安全模式似乎并不能提高大多数防御的指纹识别安全性。