《网络安全知识体系》
恶意软件和攻击技术(十二):
恶意软件检测之规避、对策和限制
4.2.3 规避、对策和限制
攻击者非常清楚已经开发的检测方法,并且他们正在使用规避技术来使其攻击难以检测。例如,它们可以将攻击活动的数量和强度限制在检测阈值以下,并且可以模仿合法的用户行为,例如仅当用户处于“丢弃站点”时才将被盗数据(一次少量)发送到“丢弃站点”。还浏览互联网。每个误用或异常检测模型都有可能被规避。
研究人员刚开始使用ML,攻击者就开始寻找击败基于ML的检测模型的方法,这也不足为奇。
最著名的攻击之一是对基于系统调用数据的检测模型的模仿攻击。这个想法很简单:目标是将恶意特征变形为与良性特征完全相同,以便检测模型错误地将攻击分类为良性特征。Mimicry攻击插入与预期的恶意操作无关紧要的系统调用,以便生成的序列在包含对恶意活动的系统调用的同时仍然是合法的,因为此类序列存在于良性程序中。相关的攻击是多态混合,可用于逃避基于网络有效载荷统计信息的ML模型(例如,有效载荷数据中n-gram的频率分布到网络服务)。攻击有效负载可以编码并用额外的n-gram填充,以便它与良性有效载荷的统计信息相匹配。目标噪声注入是一种攻击,旨在欺骗机器学习算法,同时训练检测模型,以专注于根本不属于恶意活动的特征。这种攻击利用了机器学习的一个基本弱点:垃圾输入,垃圾输出。也就是说,如果你给机器学习算法提供坏数据,那么它将学会对数据进行分类。例如,攻击者可以在攻击有效载荷数据中插入各种无操作功能,这将在统计上为ML产生强信号。算法将它们选为“重要的,与众不同的特征”。只要这些功能存在,并且它们处于攻击者的控制之下,任何ML算法都可能被误导来学习不正确的检测模型。噪声注入在机器学习社区中也被称为“数据中毒”。
我们可以使对ML的攻击更难成功。例如,一种方法是挤压特征,以便特征集对攻击者来说不那么明显,并且攻击者在创建对抗性样本时要击中的目标较小。另一种方法是训练分离类,这些类与类之间的决策边界保持距离。这使得攻击者更难以简单地对功能进行小的更改以“跳转”跨越决策边界,并导致模型对样本进行错误分类。另一个有趣的方法是让ML模型忘记它随时间推移而学习的样本,以便攻击者必须不断毒害每个数据集。
一种更通用的方法是采用基于ML的不同检测模型的组合,以便同时击败所有这些模型是非常具有挑战性的。例如,我们可以通过集成学习同时对多个特征集进行建模,即使用在不同特征集上训练的多个分类器对样本进行分类,而不是依赖于在单数分类器和特征集上。这将迫使攻击者必须创建可以逃避每个分类器和功能集的攻击。
如前所述,深度学习算法产生的模型不容易检查。但是,如果我们不了解检测模型的真正工作原理,我们就无法预见攻击者如何尝试击败它,以及如何提高其健壮性。也就是说,一个在迄今为止看到的数据上看起来表现非常好的模型实际上很容易在未来被击败-我们只是没有办法知道。.例如,在图像识别中,事实证明,一些深度学习模型专注于高频图像信号(人眼不可见)而不是图像的结构和上下文信息(与识别对象更相关),因此,图像的微小变化高频数据足以导致这些模型的错误分类,而对于人眼来说,图像根本没有改变。
有一些很有前途的方法可以提高深度学习模型的“可解释性”。例如,注意力模型可以突出显示图像中的位置,以显示在对图像进行分类时它关注的部分。另一个例子是LEMNA,它从输入样本生成一小组可解释的特征,以解释样本被分类,本质上是使用更简单的可解释模型近似复杂深度学习决策边界的局部区域。
在机器学习和安全领域,对抗性机器学习现在是,将来也将继续是一个非常重要和活跃的研究领域。一般来说,对机器学习的攻击可以分为数据中毒(即,将恶意噪音注入训练数据)和逃避(即,变形输入以导致错误分类)。我们上面讨论的只是对ML模型进行安全分析的规避和中毒攻击的示例。这些攻击激发了新的机器学习范式的发展,这些范式对对抗性操纵更加强大,我们在这里讨论了有前途的方法的例子。
通常,攻击检测是一个非常具有挑战性的问题。基于已知攻击模式的误用检测方法通常对新攻击甚至旧攻击的新变体无效。基于正常配置文件的异常检测方法可能会产生许多误报,因为通常不可能包含所有合法警报正常配置文件中的行为。虽然机器学习可用于自动生成检测模型,但随着时间的推移,潜在的“概念漂移”会使检测模型的效率降低。也就是说,大多数机器学习算法假设训练数据和测试数据具有相同的统计属性,而在现实中,用户行为以及网络和系统配置可以在检测模型部署。
原文始发于微信公众号(河南等级保护测评):恶意软件和攻击技术(十二):恶意软件检测之规避、对策和限制
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论