2021 BANP
(这里出现的对手均为扰动方)
应用扰动将面临的两个挑战:
- 扰动方应该能够对实时流量应用对抗性网络扰动,而无需缓冲流量或对即将到来的网络数据包有一些先验知识。我们设计了一种系统方法来创建独立于目标网络连接的对抗性扰动,因此可以实时应用于实时流量。因此,我们称这种对抗性扰动为盲目的。
- 与图像分类应用不同,扰动流量特征需要在保持相关流量特征的正确性的同时进行,保留流量模式的各种约束。我们通过引入重新映射函数来强制执行不同的网络约束,同时创建盲目的对抗性扰动。
前提
对手模型
对手对目标流量的了解。假设攻击者对即将被干扰的目标连接的网络数据包的模式没有先验知识。但攻击者可能需要知道一些关于目标网络协议的通用统计信息,这些能够确保扰动不被检测到。
对手对模型的了解。从一个可以白盒访问目标模型的对手开始(知道目标 DNN 模型的架构和参数)。再将攻击扩展到一个黑盒设置,其中对手不知道目标模型的架构或参数,通过利用技术的可转移性。
对手对训练数据的了解。假设对手知道一组来自与目标模型的训练数据集相同分布的样本。
对手目标。基于对手的源目标和目的地目标,分为四种类型的攻击:ST-DT、ST-DU、SU-DT、SU-DU:目标定向/非目标定向(DT/DU):如果对手的目标是让模型将任意输入的错误分类为特定的目标输出,我们就称这种攻击为目标定向攻击(DT)。另一方面,如果攻击目标是将输入错误的分类为任意(不正确)的输出类别,我们就称这种攻击为非目标定向攻击(DU)。源定向/非定向(ST/SU):源定向(ST)攻击者的目标是使特定输入类别的输入被流量分析模型错误分类。相比之下,源非定向(SU)对抗者的目标是使任意输入类别被错误分类。
背景
对抗性示例
x*为对抗性示例,x为非对抗性输入样本,是加入其中的对抗扰动,O()表示输入的真实标签
流量分析技术
流量关联:旨在通过关联其流量特征来连接混淆的网络流,即数据包定时和大小
网站指纹识别:旨在检测通过加密通道访问的网站,将受害者观察到的流量与一组预先收集的网页痕迹进行比较,以识别正在浏览的网页。
盲对抗性摄动
一般公式
目标是找到一个(盲)扰动向量,这样当添加来自目标输入域 Ds 的任意输入时,它能将底层DNN 模型 f(`) 错误分类。由于 f(`) 是非凸 ML 模型,因此可以使用经验逼近技术对问题进行求解:
找到一个扰动生成器模型G,当提供一个随机触发参数 z 时,G将产生对抗性扰动向量
最终优化为:
纳入流量约束
根据底层网络协议添加其他网络约束,使用重新映射和正则化函数来强制执行这些域约束,同时创建盲目的对抗性扰动。重新映射函数调整受干扰的流量模式,使其符合某些域约束。如,当攻击者 在位置 i 的流量流中添加一个数据包时,重映射函数应该移动所有连续数据包的索引。在损失函数中添加一个正则化项,以便对手可以强制执行额外的约束。因此完整优化为:
将替换为,其中Or为目标输出类,对于以源为目标的攻击,Ds只包含来自目标类的样本。
摄动技术
数据包定时、数据包大小、数据包方向
操纵现有数据包
特征向量为F=[f1, f2,...,fn],其中 fi 可以表示为第 i 个数据包的大小、时间、方向或这些特征的组合,设计 G,故得到与 F大小相同的摄动向量 G(z)=[g1,g2,..,gn]。受扰动的流量特征Fp不应违反目标网络应用的域约束。Fp=F+G(z).
干扰时序:包间延迟表示包的定时信息。①攻击者不宜引入过多延迟(会干扰底层应用程序或暴露给攻击者),作者通过使用重映函数来控制所添加的延迟量。②扰动时序应遵循目标协议所期望的统计分布。为此使用正则化器在盲扰动上强制执行所需的统计行为。
干扰大小:可以通过增加数据包大小(附加虚拟位)来干扰数据包大小。但不应违反底层协议的预期最大数据包大小以及大小的预期统计分布。使用重映函数来调整。
注入对抗性数据包
攻击者还可以在特定时间将特定大小的虚拟数据包注入要干扰的目标连接。
注入对抗性方向:不能改变现有数据包的方向,但可以通过添加数据包注入对抗方向。-1和+1分别代表下游和上游。选择绝对值最大的位置进行数据包注入,所选位置的符号决定了注入数据包的方向。
注入对抗性时间/大小:需要同时了解添加数据包的位置和值。