TIPS:本文共有 10749 个字,阅读大概需要 22 分钟。
“敌对攻击环境下基于移动目标防御的算法稳健性增强方法”旨在研究在面临敌对攻击的情况下,如何提升基于移动目标防御算法的稳健性。该研究旨在通过结合机器学习、数据分析以及安全防御技术,从多个角度入手,通过增强算法的设计和实施,提高其在面对各种敌对攻击情况下的适应能力,以确保移动目标的安全和保护数据的完整性。本文将探讨传统防御方法的局限性,并提出一种新的算法稳健性增强方法,为移动目标防御提供新的思路和解决方案,具有一定的理论与实践意义。
敌对攻击环境下基于移动目标防御的算法稳健性增强方法
何康1,2,祝跃飞1,2,刘龙1,2,芦斌1,2,刘彬1,2
1信息工程大学网络空间安全学院,河南 郑州450001
2数学工程与先进计算国家重点实验室,河南 郑州 450001
摘要:传统的机器学习模型工作在良性环境中,通常假设训练数据和测试数据是同分布的,但在恶意文档检测等领域该假设被打破。敌人通过修改测试样本对分类算法展开攻击,使精巧构造的恶意样本能够逃过机器学习算法的检测。为了提高机器学习算法的安全性,提出了基于移动目标防御技术的算法稳健性增强方法。实验证明,该方法通过在算法模型、特征选择、结果输出等阶段的动态变换,能够有效抵御攻击者对检测算法的逃逸攻击。
关键词:
中图分类号:TP301.6
文献标识码:A
doi:10.11959/j.issn.2096−109x.202
1 引言近年来,机器学习算法在数据挖掘、图像处理、自然语言处理和网络空间安全等方面得到了广泛应用,分类准确率上取得了显着提升。但面对以入侵检测、恶意软件检测为代表的网络安全领域的分类任务时,算法在提高算法分类准确率的同时,还需应对敌人对算法本身的攻击。传统的机器学习任务通常假设训练数据集和测试数据集的特征服从基本一致的概率分布,进而取得较高的准确率。基于流形学中关于低概率区域的观点认为,由于训练样本的有限性,机器学习的训练过程只学习了总体样本所在的概率空间的局部区域,而对抗样本是从总体样本所在的概率空间的某一子空间抽样得到,其超出了分类器所能学习的概率分布所在的支集,因而攻击者会通过精巧修改输入样本来打破该假设并误导分类算法输出期望的错误判断。在图像处理、语音识别等领域,已有对输入样本数据的小幅改动能够逃逸分类算法检测的研究,在网络安全领域,在检测模型算法上的对抗也日趋激烈。常规的机器学习防御方法通过添加对抗样本到训练集中重训练模型优化分类性能,但给定足够长的时间,攻击者总能构造出不在训练数据分布范围内的对抗样本。Nicolas等提出训练过程中的防御性蒸馏增加了输出类别之间的相似性信息,提高了算法的稳健性,但Carlini等的研究表明,攻击方式稍作修改仍能有效降低算法的准确率。基于此,本文基于移动目标防御(MTD, moving target defense)思想提出一种算法稳健性增强的方法。传统的防御系统只是对防御方的系统进行加固,但无法保证加固后的系统信息不暴露给攻击者。攻击者经过不断地试探、分析、研究,能不断获取目标信息,攻击者有充分的时间和资源挖掘系统的弱点,而防御者对攻击者的信息知之甚少,无法进一步提高防御水平,攻击者对防御者具有天然的不对称优势。为了打破这种不对称优势,增加防御者的动态性和随机性, MTD技术应运而生。其目标是通过构建一个动态变化、冗余异构、具有不确定性的防御系统,使攻击者的目标一直处于动态变化过程中,大大增加了攻击者的攻击代价。MTD技术在操作系统地址空间和指令集、网络地址和端口等方面的应用已显着提高了网络系统的安全性,其防御思想可引入算法系统的防御中。MTDeep将MTD思想应用到神经网络算法中,张红旗团队使用主从博弈对其效能进行了分析。Roy、李亚龙等将该思想进一步拓展到非理性条件和非完全信息情况下的攻防博弈分析。攻防双方采取不同概率分布策略时的随机预测博弈模型,以提高攻击开销。本文首先对 MTD 在算法上的应用进行形式化,做出对稳健性增益的定性分析;然后将MTD应用到算法设计的多个阶段,并给出了具体的实施方法;最后在恶意PDF分类领域对算法稳健性的增益进行检验。基于 MTD 的动态算法系统机制不是代替其他算法稳健性增强的方法,而是从额外的维度为现有的算法稳健性设计方法提供强有力的补充。2 算法分析为对采用 MTD 技术算法的防御能力进行分析,首先对攻击者的能力进行假设。网络安全领域机器学习算法的典型应用包括对软件或者文档的恶意性进行分类,如VirusTotal、VirusShare等网站。用户仅可提交样本并获取查询结果,对其中涉及算法的训练集、分类器形式、参数等知识了解甚少,因此假设攻击方式为黑盒攻击。具体过程如下。数据集D=(X,Y),其中,X 为特征向量,Y为样本的类标签向量。D经过机器学习训练得到模型M1的过程,表示为M1=train(X,Y),输入数据 X 经过 M1分类的结果表示为Y"=predict(M1,X)。攻击者使用自有数据集D"=(X",Y") 经过M1分类得到结果Y"=predict(M1,X")。由于攻击者对目标模型的了解较少,攻击者使用查询数据训练一个新的模型M2=train(X",Y")作为替代目标展开攻击。这样做,一方面因为直接对线上分类器进行多次查询容易引起防御方的警觉,另一方面因为样本的可迁移性。样本的可迁移性是指在训练集相同的情况下,被模型M1错误分类的样本可能被模型M2错误分类。这样攻击者可以充分利用模型M2的知识展开攻击,并将成功取得的对抗样本应用到对模型M1的攻击上。尽管如此,由于不同模型参数以及分割面特性的差异,样本在不同模型上的分类结果也不尽相同。MTD 在算法设计上的目标就是对抗模型的可迁移性。对样本的可迁移性定义如下。定义 1 单个样本x在分类模型集M上的可迁移性:对多个分类模型组成的集合
,样本x在每个模型下分类的类别数为m,则单个样本的可迁移性定义如式(1)所示。
其中,P(j)表示样本x被所有模型分类为类别 j的比例,Ij(w)为示性函数,定义如式(2)所示。
该定义的形式借鉴了熵的概念, trans(M,x)≤0。如果M中所有的模型对样本x的分类均相同,那么说明x在模型之间具有较高的可迁移性;如果各模型对样本x分类的结果差异较大,说明 x 在模型之间的迁移性较低。样本的可迁移性反映了样本在不同模型上分类结果的差异性。定义 2 样本集D在分类模型M上的平均可迁移性如式(4)所示。
其中,|D|代表样本集D的大小,平均可迁移性反映整个样本集在模型集上分类结果差异的平均水平。定义 3 给定模型可以正确分类的样本x、模型M、误差范围ε,如果
则称x"为x的对抗样本。攻击者的目标是在保留恶意功能的前提下产生能够欺骗分类算法的对抗样本。对抗样本产生的一个原因是训练集D1是样本空间Ω的一个子集,训练阶段所学到的算法仅能够对训练集所在的子空间有效。而对抗样本构成的数据集D2超出了D1所在的概率分布所在的支撑集,因而算法无法对对抗样本做出有意义的判断。本文进一步将测试数据集划分为核心数据集C和边缘数据集E。C中的样本分布在算法能够做出有效分类的样本子空间内,相对地,边缘数据集E的分布超出了训练集能够表示的概率空间,其分类结果的参考意义较小。对抗样本一般出现在边缘数据集E中,可以进一步定义如下。定义4 模型集合M上的边缘数据集E与核心数据集C分别如式(6)、式(7)所示。
其中,L为给定的区分E和C的界限。根据上述定义,可以得出以下性质。性质 1 对样本集D、模型集M,当L=0时,核心数据集C(L)中的样本被M中的模型分类的结果均相同。性质 2 若对抗样本集D被模型集M划分为C(0)和E(0),则动态切换M中的模型不会对C(0)中的样本产生不同的分类结果。性质 3 假设对模型P生成的对抗样本集D,即D中的任意样本x在模型P下均产生错误分类,特别地,将恶意样本分类为良性样本的数据。对模型集
,令
,则D的核心数据集C(0)的含义是可以骗过 M 中所有模型的对抗样本集,表示为式(8)。
性质 4 如果假设每个模型对对抗样本集D中的判定是独立的,则D中的数据被M中所有模型划分为相同分类的概率P如式(9)所示。
Pi表示D被模型Mi分类为目标类别的概率。从上述内容可以看出,随着模型集M规模扩大,C(0)的大小是单调递减的,而且M中模型的差异性增大,C(0)的降幅也会增加。在假定判别模型相互独立的情形下,随着n的增加,被所有模型分类为指定结果的概率也迅速下降。虽然实际应用中模型的独立性假设难以完全满足,但能对MTD在算法设计上的有效性做出定性分析,即随着算法设计多样性的增加和算法各模块的动态变换,算法整体的稳健性不断增强。算法的MTD 就是通过训练异构模型构成的模型集M,并在预测分类结果时进行动态变换,实现对D-C(0)部分对抗样本的有效预警。3 动态算法系统的多样性设计面对未知的固定不变的目标算法,攻击者有充足的时间和资源寻找可能存在的漏洞,而防御者对攻击者采取的行动一无所知,攻击者对防御者有天然的不对称优势。MTD技术有3个典型特点:多样性、动态性、异构性。移动是在异构的配置中进行动态切换,减少算法的脆弱性在攻击者视野中的暴露时间,使攻击者的攻击速度落后于配置切换速度,达到有效增加攻击者的难度和代价的目的。在动态算法系统中,攻击者的目标就是执行分类任务的分类器,即机器学习算法模型本身。目标的集成以及动态切换构成了整体的动态算法系统。在本文中,算法的含义界定为根据训练数据生成的将输入向量映射到特定类别或属于各类别概率的执行分类任务的具体机器学习模型,不同的配置包括算法种类、使用的特征、参数和超参数等,是动态算法系统执行配置变换的基本单元。其中,多样性是实现MTD的基础,异构性是MTD能够有效工作的前提,如果算法模型之间没有差异性,则移动并不能带来算法稳健性上的增强。由于算法模型具有可迁移性的特点,如何在保证分类准确率的同时对算法进行多样化设计也是一个需要研究的重要问题。本文对这几个方面进行设计。3.1 算法选择的多样性对同一个机器学习任务,可以使用不同的算法模型进行实现,但不同算法在数据的分类上展现出不同的优缺点。如K近邻算法可解释性强,但对训练数据集的依赖性较强,容易受到敏感值的影响;基于条件概率的贝叶斯算法对不同维度数据的独立性有较高的要求;支持向量机算法的分类面主要受支持向量的影响,对偏离数据重心的样本的判断,置信度不高,且不同核函数的选择对分类结果的影响也较大;神经网络算法准确率较高,但参数较多,容易产生过拟合等。不同的分类算法在数据集上产生的分类面有较大差异,因而对核心数据集和边缘数据集的划分也不同。算法模型本身的多样性有利于提高算法系统的防御能力。3.2 特征选择的多样性特征选择是从对象的大量描述维度中选取一部分用于机器学习训练的过程。该过程一方面能够去除重复冗余的特征来减少特征之间的相关性,另一方面通过降低维度来防止维度灾难引起的过拟合等问题,增强机器学习模型的泛化能力。不同的模型描述对象的角度不同,对数据的特征选择也有不同的侧重,因而机器学习算法使用各自特征集训练的模型在对输入的判断上也有所差别。在特征选择上多样性设计可以从不同的角度对数据集进行判别,降低由于攻击者对特征知识的判断生成对抗样本的能力。3.3 算法输出的多样性在对机器学习模型的攻击中,攻击者通过查询黑盒机器学习模型的输出构造新的训练集并生成训练模型。攻击者通常使用梯度下降等方法对模型中的参数进行优化,使模型的输出接近指定的类标签或者隶属度概率。一个直观的想法是,通过对模型的输出添加随机扰动,以干扰基于梯度下降的参数优化的方向,增加攻击者训练的替代模型与目标模型的差异性。如模型M对样本x1分类为恶意的概率为0.9,但加上0.1的扰动并不影响分类的最终结果。对处于分类边界的样本x2,扰动的添加虽然有可能改变样本的分类,但隶属度处于边界位置的样本本身的标签就具有不确定性。该方法通过扰动输出的方法改变处在边缘数据集中的分类输出结果和核心数据集的置信度,干扰了基于梯度优化算法的替代模型的训练和对抗样本的生成。算法输出的多样性会对模型分类结果的准确率造成影响,但影响较小。对训练良好的机器学习模型来说,非对抗样本的隶属度概率绝大多数靠近0或者1,分布在分类界限0.5附近的样本数量很少。而对抗样本完全模拟正常样本的难度较大,有较大概率分布在分界线附近,分类概率输出的多样性会对对抗样本造成较大影响,进而给攻击者的替代模型造成较大困难。以上列举了算法多样性设计的几种方式,在实际训练过程中可根据需求对算法模型其他方式的多样化,如使用不同的训练数据集和训练权重产生具有不同偏好的机器学习模型等。然而,算法的多样性不等同于集成学习算法。集成学习算法通过结合不同分类器的预测结果来产生最终的结果,但这些分类器本身是固定不变的,攻击者仍能通过长时间的信息反馈生成集成学习算法的对抗样本。Kantchelian 等提出的基于混合整数线性规划的方法能对随机森林算法展开有效攻击并生成对抗样本。而基于MTD的算法系统可以动态切换使用机器学习模型,当攻击者针对当前模型生成对抗样本时,所面临的算法系统已经切换到新的机器学习模型,打破了攻击者对防御者的时间不对称优势,有效增强了算法面对敌对攻击的稳健性。相比传统单一的检测算法,基于移动目标防御的动态算法系统地增加了部分开销,其成本有以下4个方面。① 设计成本:防御者需要根据任务要求设计冗余异构算法,在保证准确率的同时压缩对抗样本的概率分布空间。② 训练成本:使用数据集和算法对模型参数进行训练,单个模型的训练时间从分钟级到天级不等,算法池的规模为N,则算法系统的训练成本为O(N),但该过程可以通过并行算法将训练成本降低到O(1)。在实际部署中,算法系统可以在运行时增量训练,减少占用的时间成本,而模型的空间开销为 O(N)。③ 管理成本:动态算法系统需要对算法的工作状态进行管理和变换,需要占用一定的内存空间。④ 决策成本:相比单个算法直接获取检测结果,动态算法系统的决策模块需要集成多个算法的输出给出综合判断并为算法训练提供反馈。总体来说,动态算法系统对时间和空间占用控制在O(N),在时间和空间上不会造成太大的开销。4 动态算法系统的流程设计为了清晰地描述算法系统的动态变换过程,首先对相关概念做出说明。在算法设计流程中,在进行多样化设计的每个环节中,定义配置。定义5 配置d=(name,value),name为配置参数的标识符,value为该配置的取值。对每个配置d,value的定义域为V。定义5 配置d=(name,value),name为配置参数的标识符,value为该配置的取值。对每个配置d,value的定义域为V。定义6 配置集
。算法设计中可多样化的位置的配置di构成配置集D,其描述的是算法的整体多样化能力。整个配置集的定义域为各配置参数定义域的笛卡尔积,即
,MTD可变换的配置空间大小为
。定义 7 算法模型
,为D中各配置取特定值构成的算法模型,是算法实现的具体描述。每个m对应一个检测模型。定义8 算法模型集
,为多个算法模型构成的集合,防御者根据M中模型对样本预测的综合结果给出判断和决策。定义9 动作序列
,为对算法模型集的操作序列,ai为对某个算法模型的操作。对算法系统来说,操作可分为两类:删除和添加模型。当认为模型mj的输出与绝大多数模型的输出一致时,考虑到模型冗余性,可以考虑将该模型删除。当各模型的预测结果差异较大时,对样本的预测结果有较低的置信度,考虑增加新的模型来提供额外的信息。此外,对模型的操作还需依据算法系统的模型切换策略。定义10 模型约束集
,为确保模型分类的准确率,需要对算法模型集的选择保持一定的约束,即保留一批准确率较高、稳健性较强的算法模型作为基本模型;同时为了提高分类的稳健性,需要对算法模型进行多样化。定义 11 策略集
,定义算法系统中M的动态变换策略,策略集P涉及两个方面:变换时机和变换目标。变换本身则通过动作序列A来完成。定义 12 随机化方法集
,定义了算法系统中D变换所使用的随机策略,包括均匀分布、指数分布以及指定的马尔可夫链概率转移模型等,在算法的实际应用中可根据需求设计不同的随机化方法。变换时机方面,本文提出3种变换策略。① 定时变换:算法系统经过指定数量的样本检测或指定的运行周期后强制变换其中的一批算法,增大攻击者通过长时间对算法系统模型的查询操作生成替代模型的开销。② 触发变换:当输入算法系统的样本经过 M 的检测后出现较多不一致的结果时,该样本被判定为边缘数据集,可能需要额外的模型提供信息做进一步的检测。③ 随机变换:为了降低算法系统变换规则的规律性,在上述两种策略之外,使用R中的随机化因子触发算法系统中模型的变换。变换目标方面,所选取的目标算法模型首先要满足策略集P约束。可以采用的策略如下。① 随机选取:在候选集中随机选取替代机器学习模型。② 最大化 D 的差异选取:从候选的机器学习模型中选取x,使其配置集Dx与被替代模型的配置集D0的Lx(包括L0、L1、L∞等)距离最大化。在实际应用中,算法设计者可根据实际需求设计不同的变换时机和变换目标策略。变换方式方面,可根据Dx与D0的差异自动生成动作序列A,对M中的模型做添加删除操作。根据上述对动态算法系统的描述,设计的基于MTD技术的动态算法系统流程如图1 所示。首先对算法进行多样化设计,并和训练数据集在分类准确率较高的前提下生成异构的机器学习模型池,供算法决策模块选择算法模型集M。实际环境中的样本首先通过特征提取生成特征向量,然后经过M的检测输出n个检测结果,综合判别模块根据投票等决策机制输出对该样本的最终判别结果。M的输出也会影响算法决策模块,检测前需运行算法决策模块决定是否对现有算法模型集进行变换。算法决策模块的工作流程如图2所示。首次运行时,先从模型池中随机选取满足约束集C的初始模型集M作为输出。后续运行时,根据前述的变换策略决定是否对现有的M进行变换。当决定变换时,根据目标选取策略集P选择满足约束集C的替换模型并生成动作序列A。执行变换后得到更新后的算法模型集M。
图1基于MTD技术的动态算法系统流程
图2算法决策模块的工作流程5 实验验证本文使用对便携式文档格式(PDF,portable document format)的恶意性检测任务检验 MTD技术对算法稳健性的提升效果。由于PDF文件的广泛应用和其存在的大量漏洞,该格式文件越来越多地被用于发起APT攻击。虽然许多包括机器学习在内的检测算法已经被提出,但面对攻击者对机器学习模型本身的攻击时,其分类的准确率迅速下降。本文从 MTD 的角度分别对算法选择、特征选择和算法输出3方面进行多样化设计,并测试多样化的算法模型对对抗样本的检测能力。用来训练和测试的恶意样本集合 Mal 来自VirusTotal,其收集了大量已知的恶意PDF样本;良性的样本集Ben来自互联网的收集,其均已通过多种反病毒系统的检测。其中,Mal包含10 986个恶意样本,Ben包含8 969个良性样本。为了使用机器学习模型对PDF文档进行检测,从结构和内容两个方面对PDF文件进行特征提取,并生成296维列向量,作为样本的特征空间。5.1 算法选择多样性稳健性评估抽取Mal和Ben各5 000个样本构成的平衡数据集训练支持向量机、决策树、逻辑回归分类模型,分别为SVM、DT和LR。此实验方案下,配置 d 中 name=model,value的取值范围为{SVM,DT,LR},配置集 D={d},算法模型m=((model,value)),模型集M={(model,SVM),(model,DT),(model,LR)},约束集C设定为对各模型准确率的要求不低于90%。鉴于实验仅对算法的稳健性进行评估,策略集、动作集以及随机化方法集均可在构建完整的算法系统后再行决定。使用零阶优化算法和梯度下降算法针对上述模型展开攻击并生成对抗样本集Sadv、Dadv和Ladv,这 3 个样本集均能欺骗各自的分类模型使其分类结果为良性。3 个机器学习模型对各数据集的分类结果如表1所示。
实验使用Mal和Ben
中的样本训练3个机器学习模型,余下的
为测试集。实验表明3个模型表现出良好的泛化能力,准确率高于97%。各模型面对自己为目标的对抗样本集时毫无防御能力,但可以部分检测出其他模型的对抗样本。支持向量机模型防御对抗样本的能力较弱,而决策树算法能够防御绝大部分对抗样本,逻辑回归算法的防御能力介于二者之间。当攻击者无法察觉目标分类算法的切换时,其生成的对抗样本有较高概率被动态变换后的算法拒绝,说明算法选择的多样性能够提升算法系统的稳健性。5.2 特征选择多样性的稳健性评估在黑盒攻击中,一方面,攻击者只能通过把数据输入算法模型中查看输出获取信息,很难了解模型使用的特征;另一方面,商用的检测算法模型使用的特征信息是保密的。因而可以假设攻击者只能通过经验进行特征提取和特征选择。为了测试特征选择多样性对算法稳健性的影响,在上述机器学习算法所使用的296个特征中随机选取 30 个作为支持向量机模型所使用的特征进行分类,重复20次,生成使用不同特征的多样化算法集
。此时配置d中name=features,value的取值范围为
,fi为对特征集的具体抽样。配置集D={d},算法模型m=(features,value),模型集
,约束集 C 设定为对各模型准确率的要求不低于80%。在测试集上恶意样本的检测率如表2所示,各模型在测试集上均有不错的检测性能。为了检验特征多样性对算法系统稳健性的影响,实验分别对每个模型Mi生成对抗样本集Sadv-i,然后使用模型Mj( j≠i)对Sadv-j检测,检测率如表3所示,其中,行序号为模型序号,列序号为相应的对抗样本集序号,交叉处为模型Mi对Sadv-j的检测率。结果显示在每一行中,当i=j时检出率最低,说明算法模型检测自身对抗样本集的能力最差,而使用其他特征训练的机器学习模型对该对抗样本集的检测率明显高。在攻击者欠缺算法所使用的特征知识时,多样化的样本特征选择能够有效提升针对特定模型的对抗样本的检测率,提升了算法系统的稳健性。
5.3 算法输出多样性的稳健性评估一些机器学习模型除给出检测结果外,还会给出样本被判定为良性和恶意的概率,这样给攻击者更多的信息以训练替代模型。算法输出的多样性通过对输出添加随机扰动增加攻击者基于梯度下降的方法生成对抗样本的开销。扰动应控制在合理的范围内以保证不影响高概率良性和恶意样本的判别。实验首先训练攻击者的目标模型,训练集通过该算法模型的判别得到属于良性或恶意的隶属度概率分类结果;然后对该概率进行一定范围内的扰动,攻击者使用扰动后的输出结果训练替代模型并生成对抗样本。实验抽取良性样本和恶意样本集中各5 000个训练目标模型,并用整个数据集(10 986个良性样本和8 969个恶意样本)做性能测试,其分类性能的混淆矩阵如表4所示,统计分类模型把良性样本正确分类为良性、错误分类为恶意和把恶意样本错误分类为良性和错误分类为恶意的样本数目并展示在一个表格中成为混淆矩阵。实验对样本施加扰动时采取的策略为对分类概率添加扰动最大界限范围内产生均匀分布的扰动。此时配置d中name=noise,value的取值范围为
,取值为随机扰动的上界。配置集D={d},算法模型m=(noise,value),模型集
,约束集C设定为对训练集分类结果的干扰不超过10%,如图3所示,随着扰动最大范围的增加,样本分类结果扰动后发生变化的数目逐步增加。使用扰动后的实验数据训练攻击者的替代模型Ms,然后针对Ms生成对抗样本集Sadv-s。目标模型对Sadv-s的检测结果如图4所示,随着概率最大扰动范围的增大,针对替代模型生成的敌对样本被原始的目标模型检测出的比例逐步增大,当扰动概率界限高达0.45时,仅对528个非对抗样本的输出结果造成干扰,约占测试样本数的6%,但对约13%的对抗样本产生干扰,具有显着差异性。
图3样本数随分类概率扰动最大范围的变化
图4检测率随分类概率扰动最大范围的变化实验表明,算法输出的多样性能小幅度提高算法系统检测对抗样本的能力。6 结束语随着人工智能技术在各领域的广泛应用和蓬勃发展,机器学习起到越来越重要的作用。在提高算法分类的准确率、召回率的同时,提高机器学习算法面对敌对攻击时的稳健性也越来越重要,特别是在攻防对抗十分激烈的网络安全领域。为了解决上述问题,本文从MTD思想的角度对传统的算法设计流程进行改造。首先对该思想的作用进行形式化的定性分析;其次根据算法实际设计经验提出了3种算法的动态化设计;然后结合MTD技术原理提出了动态算法的工作流程;最后以恶意PDF文档检测任务为例检验了MTD技术对算法稳健性的增益。实验证明,3 种方法均能不同程度地提高算法的稳健性。本文设计的基于MTD防御技术的动态算法系统不是替换现有的算法稳健性增强算法,而是在既有的重训练、蒸馏等方法的基础上做进一步的改造,是从新的角度对现有算法稳健性的增强。
作者简介
何康(1992-),男,山东济宁人,信息工程大学博士生,主要研究方向为网络空间安全 。祝跃飞(1962-),男,河南郑州人,信息工程大学教授、博士生导师,主要研究方向为入侵检测、密码学、信息安全。刘龙(1983-),男,河南郑州人,信息工程大学讲师,主要研究方向为入侵检测和信息安全 。芦斌(1983-),男,河南郑州人,信息工程大学副教授,主要研究方向为信息安全、机器学习和网络分析 。刘彬(1981-),女,河南郑州人,信息工程大学副教授,主要研究方向为网络安全 。网络与信息安全学报
《网络与信息安全学报》是由工业和信息化部主管,人民邮电出版社有限公司主办的信息安全领域的学术刊物,现为中国网络空间安全协会会刊,中国科技核心期刊、CCF推荐中文科技期刊。办刊宗旨:汇聚安全创新思想,传播学术研究成果,提升科学研发实力,服务国家信息安全。
中国网络空间安全协会会刊
中国科技核心期刊
CCF推荐中文科技期刊
关注我们,查看更多内容
点击阅读原文,查看完整内容
我们转型不易,新知识内容立足于正能量、实用,觉得《基于移动目标防御算法的敌对攻击环境下稳健性增强》对你有帮助,请留言收藏!
