基于因果分析的鲁棒性攻击流量识别

今天为大家介绍一篇发表于 KDD 2025 的工作。该研究借助实时因果分析，通过建模相关流之间的数据包交互模式，从而实现鲁棒地检测那些通过操纵流量特征来规避现有检测方法的复杂逃逸攻击，尤其擅长处理操纵多条流的攻击。

文章预印版链接：

http://www.thucsnet.com/wp-content/papers/li_gao_kdd2025.pdf

项目源代码链接：

https://github.com/cimeguy/Wedjat

恶意流量识别系统旨在借助人工智能算法将全体数据包分成正常和恶意两大类。

然而，攻击者为逃避恶意流量检测系统使用各种手段操纵流量特征，使得恶意流量的特征趋近于正常流量的特征（例如，操纵数据包的发送时间间隔、插入虚假数据包等）。

特别地，针对同时分析多条流，即多个数据包序列的高级检测系统，攻击者可同时操纵多条流的特征躲避检测系统。

如何应对操纵多条流的特征的复杂逃逸行为仍然是该研究领域尚未解决的困难问题。

逃逸行为的攻击流量可以操纵传统的统计流量特征（例如，数据包数量），但是呈现出与正常交互偏离的异常数据包交互行为，这些正常交互是由行为和网络协议所规范的。因此，我们可以利用流间和流内模式来检测不同的逃逸行为。

我们借助基于概率图模型的因果分析来建模互联网用户之间的数据包交互，并识别代表与逃逸行为和攻击行为相关的异常数据包交互模式的异常因果行为。

具体而言，使用流内因果性来表示来自同一流的数据包之间的概率依赖性，并使用流间因果性来表示来自不同流的数据包之间的依赖性。

我们开发了Wedjat检测方案，通过实时因果分析对多条流中的数据包交互进行分析，以捕获逃逸攻击。

因果网络中的节点代表数据包，而边代表数据包之间的条件概率。基于常见的良性因果模式，Wedjat利用已知数据包来推断未知数据包，从而识别表明恶意流量和逃避流量检测的异常因果性。本方案包括三个模块：

1. 数据包嵌入

将由各种加密协议生成的非结构化数据包转换为统一的数值表示。即提取数据包级特征，并将这些特征嵌入到单一维度，作为因果分析的输入。同时，确保这种数值表示可以区分恶意数据包。为此，在数据包特征的簇上制定了一个优化问题，以净化簇并将簇评分为良性或恶性。随后，计算每个数据包与相关簇的相似度。最后，我们通过结合相关簇的评分和相似度来为每个数据包生成数值表示。

2. 因果网络构建

模拟来自同一源和目的地的相关流的数据包之间的因果关系。具体来说，基于有向无环图（DAG）开发一个因果网络，其中一个节点表示一个数据包，边表示节点之间的概率依赖。特别地，为了减少大量数据包之间流间依赖的复杂性，我们基于网络协议的语义设计了一个网络构建，并优化网络结构以压缩多余的网络节点和边，实现高效检测。注意，学习过程不依赖于标记的恶性流量，从而实现了对许多未见攻击的检测。

3. 基于推理的检测

在此模块中，识别表示恶意攻击和逃逸行为所表现的异常交互的因果偏差。为了准确检测异常交互模式，我们开发了两步检测方法，基于细粒度数据包级异常捕获粗粒度流级异常交互。首先，从数据包嵌入模块得出表明恶意程度的分数。之后，我们将数据包分数与因果网络提供的推理结果进行比较。通过这种方式，可有效地实时捕获正在进行的异常行为。

数据集：本研究采用了真实环境下收集的网络流量，这些流量在 Security Operations Center (SOC) 被专家标注，包含了 735,997个TLS加密恶意流量和12,436,861个正常加密流量。同时，也采用了现有公开数据集辅助验证。

准确性分析：在无逃逸行为的情况下，Wedjat方案在真实世界的准确度超过了5个现有方案，包含了基于包特征、流特征和主机特征的方案。F1度量的准确度达到了95.77%。

鲁棒性分析：实验发现本研究提出的方案对各种逃逸行为具有良好的鲁棒性。对于各类已知的逃逸行为，均可有效检测。特别地，操纵多条流特征的复杂逃逸方案，Wedjat仍然可以保持超过91.55% F1的准确度。

实时性分析：最后，实验测量了检测延迟，其检测通常可以在一秒内完成，满足实时性要求。

在本文中，我们开发了Wedjat，它利用一个因果网络来模拟相关流之间数据包的良性交互，以便识别代表恶意流量和逃避攻击引起的代表异常包交互的异常因果关系。我们使用从真实企业收集的数百万个流量广泛评估了Wedjat。实验结果表明，Wedjat在检测各种高级攻击时达到了0.957的F1分数的准确度。值得注意的是，五种复杂的逃逸攻击，这些攻击已成功规避了所有现有方法，都被Wedjat准确检测，F1分数超过0.915。这表明Wedjat在抵御逃逸攻击方面表现出非凡的能力。同时，Wedjat还保持了出色的检测延迟，预测每个数据包的时间不到0.125秒。