ToB企服应用市场:ToB评测及商务社交产业平台

标题: 【论文阅读】NIDS对抗性机器学习综述 [打印本页]

作者: 缠丝猫 时间: 2024-5-15 04:09
标题: 【论文阅读】NIDS对抗性机器学习综述
基本信息

题目：Adversarial Machine Learning for Network Intrusion Detection Systems: A Comprehensive Survey
期刊：IEEE Communications Surveys & Tutorials
SCI 工程技术 1 区
摘要

基于网络的入侵检测系统（NIDS）是抵御危及数据、系统和网络安全的网络攻击的一线防御系统。比年来，深度神经网络（DNN）因其检测准确性高而越来越多地用于 NIDS 中检测恶意流量。但是，DNN 容易受到对抗性攻击，这些攻击会以难以察觉的扰动修改输入示例，从而导致 DNN 错误分类。在 NIDS 等安全敏感范畴，对抗性攻击对网络安全构成严肃威胁。然而，针对 NIDS 的对抗性学习的现有研究直接实现了为计算机视觉（CV）任务筹划的对抗性攻击，忽略了 CV 和 NIDS 之间检测管道和特征空间的根本差别。发起和检测针对 NIDS 的对抗性攻击仍然是一个重大的研究挑衅。本文调查了自 2015 年以来关于 NIDS、对抗性攻击和网络防御的最新文献，以研究 CV 和 NIDS 中对抗性学习与深度神经网络的差别。它使读者对基于深度学习的 NIDS、对抗性攻击和防御以及该范畴的研究趋势有了透彻的了解。我们起首提出了基于 DL 的 NIDS 的分类法，并讨论了分类法对对抗性学习的影响。接下来，我们回首了对 DNN 的现有白盒和黑盒对抗性攻击及其在 NIDS 域中的适用性。最后，我们回首了针对对抗性示例的现有防御机制及其特征。
通过调查（自 2015 年以来）关于基于 DL 的 NIDS 对抗性攻击和对抗性防御的文献，弥合 NIDS 中的对抗性学习与 CV 之间的差距，以全面概述基于 DL 的 NIDS 中的对抗性学习。
文章层次布局

搜集总结当前文献--基于 DL 的 NIDS 应用的对抗性攻击和防御
介绍 NIDS 的原理和过程
针对深度学习模子的各种一样平常对抗性攻击和针对 NIDS 的对抗性攻击
对抗性防御方法
展望与挑衅

引言 (Introduction): 介绍网络入侵检测系统（NIDS）的背景、深度学习（DL）在 NIDS 中的应用，以及对抗性攻击对 DL 模子的威胁。
相关工作 (Existing Surveys and Our Contributions): 回首和讨论了与 NIDS、对抗性攻击和防御相关的现有文献，并概述了本研究的贡献。
NIDS 的四个组成部分 (Taxonomy of NIDS): 提供了 DL-based NIDS 的组成，包罗评估数据集、特征提取、特征降维和检测算法等组成部分。
对抗性攻击 (Adversarial Attacks): 形貌了针对 DL 模子的一样平常性对抗性攻击，并讨论了它们在 NIDS 范畴的适用性。
NIDS 特定的对抗性攻击 (NIDS-Specific Adversarial Attacks): 探讨了专门筹划来规避 NIDS 的对抗性攻击。
对抗性防御机制 (Adversarial Defense Mechanisms): 调查了用于保护 DL 算法免受对抗性攻击的各种防御机制，并讨论了它们在 NIDS 范畴的适用性。
研究挑衅与未来方向 (Lessons Learned and Future Research Directions): 讨论了 NIDS 范畴对抗性学习的主要挑衅，并提出了未来研究的方向。
结论 (Conclusion): 总结了论文的主要发现，并强调了对抗性学习在 NIDS 范畴的重要性。
附录 (Appendix): 提供了论文中使用的缩写词列表。
关键点

攻击和防御的挑衅：
CV 任务：在 CV 中，对抗性攻击和防御策略通常会合在图像的像素级别，这使得攻击更容易实施，因为图像数据的维度相对较高，提供了更多的操纵空间。
NIDS 任务：在 NIDS 中，由于网络流量数据的复杂性和布局化特性，实施有用的对抗性攻击更加困难。同时，防御策略也需要考虑到网络流量的时序性和协议约束，这增加了防御机制筹划的复杂性。
解决的题目

这是一篇 NIDS 对抗学习，所以我们要关注研究背景和现状是否清晰，对研究情势的判定是否准确。
当前研究进度

检测管道（Detection Pipeline）

CV 任务：在计算机视觉中，检测管道通常涉及图像的预处置处罚、特征提取、分类或检测。比方，在目标检测任务中，图像起首被分割成多个区域，然后使用卷积神经网络（CNN）提取特征，最后通太过类器来辨认图像中的对象。
NIDS 任务：网络入侵检测系统的检测管道则涉及网络流量的监控、特征提取、以及基于这些特征的异常或恶意行为检测。NIDS 通常处置处罚的是网络包（packets）或流量（traffic）数据，这些数据需要被转换成适合机器学习模子处置处罚的特征向量。

特征空间（Feature Space）

CV 任务：在计算机视觉中，特征空间通常是由图像的像素值、颜色、纹理、外形等视觉属性构成的高维空间。这些特征通常是一连的，而且可以通过图像处置处罚技术（如卷积）来提取。
NIDS 任务：网络入侵检测的特征空间则包罗了网络流量的统计特性，如包的大小、传输时间、协议范例、端口号等。这些特征通常是离散的，而且与网络协议和装备行为紧密相关。网络流量数据的复杂性在于其布局化和时序性，这使得特征提取和分析更加复杂。

特性CV 范畴NIDS 范畴备注任务范例图像的像素级别网络流量数据CV 任务关注图像内容，NIDS 关注网络行为攻击实施相对容易更加困难图像数据维度高，提供更多操纵空间；网络数据布局化，时序性强防御策略像素级修改特征和流量分析CV 范畴的防御偏重于图像层面，NIDS 偏重于流量特征和行为模式检测管道图像预处置处罚、特征提取、分类/检测网络流量监控、特征提取、异常/恶意行为检测CV 处置处罚图像数据，NIDS 处置处罚网络包和流量数据特征空间像素值、颜色、纹理、外形包大小、传输时间、协议范例、端口号CV 特征空间一连且高维；NIDS 特征空间离散且与网络协议紧密相关操纵空间高低图像提供更多操纵自由度，网络数据受限于协议和布局时序性不显著显著NIDS 需要考虑网络流量的时序性和协议约束协议约束无有NIDS 必须考虑网络协议对流量数据的影响复杂性主要关注图像内容关注流量的统计特性和行为模式NIDS 范畴的特征提取和分析更复杂机器学习（ML）算法确定受监控的特征（包的大小、传输时间、协议范例、端口号等）是否表现出潜在网络攻击的属性。根据分类阶段的结果，系统在响应阶段采取适当的行动来防御攻击。
传统方法：随着流量的指数级增长，浅层机器学习算法（比方决议树（DT）、支持向量机（SVM）和贝叶斯网络（BN））的练习和测试效率越来越低。
新方法：深度学习算法的成功主要归功于它们能够充实利用大量数据来学习极其抽象和非线性的表现，从而实现高度准确的分类。但是，深度学习算法容易受到对抗性攻击创建的对抗性示例的影响。
从这里引出当前利用深度学习的 NIDS 容易受到对抗样本攻击的题目。当前针对这种攻击的方式沿用了 CV 防御的方式，忽略了 NIDS 和 CV 在检测管道和特征空间方面的巨大差别。
本文主要方法

NIDS 相关细节

NIDS 特征降维

随着计算能力和深度学习算法的进步，各种 NIDS 系统都使用深度学习算法和启发式搜索算法来降低输入特征的维数。我们将常见的特征缩减方法归类为“选择”或“投影”。
1）选择：特征选择是指找到输入特征的子集，以最大限度地提高决议模子的性能。用于特征选择的三种主要策略是： • 过滤方法利用统计方法将每个特征作为自变量进行评分，此中分数低的特征将被删除。
2)投影：特征投影是指将高维特征映射到低维表现中。直观地说，特征投影可生成原始高维特征的紧凑和抽象表现。投影要素可以是原始要素的线性或非线性组合。
基于 DL 的 NIDS 不执行特征缩减;因此，它不会影响对抗性攻击的配方。
然而，对抗性防御可能会从特征缩减中受益，方法是从输入中消除对抗性扰动或在模子中引入额外的复杂性以增加生成成功攻击的成本。
用于流量分类和异常值检测的深度学习算法

介绍用于流量分类和异常值检测的深度学习算法，以及与每种方法相关的细微差别。
讨论

现有的基于深度学习的 NIDS 解决方案主要使用分类算法对网络流量进行分类，因为它比异常值检测具有更好的性能和更可解释的输出。然而，分类算法在现实场景中练习具有挑衅性，因为网络正确标志的网络数据集很麻烦。此外，对基于分类的 NIDS 的评估在很大程度上忽略了零日攻击，此中攻击流量是由 NIDS 以前从未见过的网络攻击产生的。因此，异常值检测算法在 NIDS 范畴更实用，因为它们不需要标志数据，而且对零日攻击具有固有的鲁棒性。
现有的对抗性攻击和防御主要根据分类模子进行评估
对抗性攻击及其方法

两个概念

（1）目标攻击
对于一张图片和一个目标标注句子，生成一个对抗样本，使得标注系统在其上的标注与目标标注完全一致，即不仅要求攻击成功，还要求生成的对抗样本属于特定的类。
（2）非目标攻击
对于一张图片，生成一个对抗样本，使得标注系统在其上的标注与原标注无关，即只要攻击成功就好，对抗样本的最终属于哪一类不做限制。
白盒攻击

通常用于分析和洞察对抗性示例。因此，它假定对分类器有完整的了解。在 WB 威胁模子下，攻击者具有以下目标、知识和能力：1）目标：攻击者的目标是生成一个同时满足置信度和相似性约束的对抗性示例。2）知识：攻击者对模子的参数有充实的了解。3）能力：攻击者可以利用输入的每个特征。

最小范数攻击：最小范数攻击（Minimum Norm Attack）是一种白盒（White-Box）对抗性攻击方法，其目标是在满足对抗性样本的相似性约束（即对抗性样本与原始样本在某种范数度量下的差别尽可能小）的条件下，生成对抗性样本。这种攻击方法强调的是在保持对抗性样本与原始样本尽可能相似的同时，使得样本被错误分类。

攻击范例目标方法特点信息需求计算复杂性适用性最小范数攻击生成一个与原始样本尽可能相似的对抗性样本，扰动大小最小化通过优化题目寻找最小范数扰动向量强调扰动最小化，需要模子布局和参数（白盒）需要模子完整信息可能较复杂白盒场景0 阶攻击不需要模子参数信息，通过模子输出估计梯度利用模子输出估计梯度方向，优化生成样本不需要内部信息，适用于黑盒或灰盒场景不需要模子内部信息通常简朴黑盒或灰盒场景2 阶攻击利用模子的二阶信息生成对抗性样本计算或近似二阶信息，基于此优化扰动向量需要额外信息（如 Hessian 矩阵），计算资源需求高需要模子额外信息较复杂白盒场景异同点

相似性：所有这些攻击方法都旨在生成对抗性样本，使得模子做出错误的分类决议。
信息需求：最小范数攻击通常需要模子的完整信息（白盒），而 0 阶攻击不需要模子的内部信息，2 阶攻击可能需要模子的额外信息（如 Hessian 矩阵）。
计算复杂性：最小范数攻击和 2 阶攻击可能需要更复杂的优化过程，而 0 阶攻击通常更简朴，因为它依赖于模子输出的查询。
适用性：最小范数攻击和 2 阶攻击更适合于白盒场景，而 0 阶攻击适用于黑盒或灰盒场景，此中攻击者无法直接访问模子的参数。

Maximum allowable attack：
在 Maximum allowable attack 中，攻击者会实验找到一个扰动向量，当这个向量加到原始样本上时，会产生一个新的样本，这个新样本不仅会被模子错误地分类为目标类别，而且模子对这个分类的置信度会尽可能高。这种攻击通常在已知目标类别的情况下进行，即目标攻击（targeted attack）。
正则化的攻击：
第三种范例的攻击是基于正则化的攻击，它仔细平衡了相似性和置信度约束，以允许更精细的对抗性示例。

黑盒攻击

相比于白盒的区别是：分类器被视为预言机，攻击者对其参数一无所知。然而，可以进行有根据的猜测来确定神经网络试图解决的一样平常任务

基于转移：找到一个相似决议边界的模子，然后对该模子采取白盒攻击，用这种攻击方式转移至对黑盒模子的攻击。
基于分数：直策应用白盒攻击公式，梯度估计
基于决议的攻击：基于决议的攻击是一种更强大的基于分数的攻击情势，只需要输出标签而不是分数。直观地说，基于决议的攻击可以被以为是穿越目标类和原始类之间的边界，以找到最接近原始样本的对抗性样本。

攻击范例目标方法特点基于转移的攻击通过在替代模子上应用白盒攻击，生成在目标模子上有用的对抗性样本。猜测目标模子任务，练习替代模子，然后在该模子上生成对抗性样本。依赖于对抗性样本的迁徙性，不需要目标模子的内部参数。基于分数的攻击估计目标模子的梯度来生成对抗性样本。利用模子输出分数估计梯度，应用白盒攻击公式优化生成样本。需要查询模子输出分数，不依赖于模子具体参数。基于决议的攻击改变模子的决议结果，从原始类别变为目标类别。从目标类别样本开始，沿类别边界搜索最接近原始样本的对抗性样本。不需要输出分数，只需模子预测标签，直接改变决议结果。异同点

相似性：所有这三种攻击都是黑盒攻击，不需要知道目标模子的内部布局和参数。
梯度估计：基于转移的攻击不直接估计梯度，而是通过替代模子来生成对抗性样本。而基于分数的攻击则需要估计梯度。基于决议的攻击则不需要梯度信息，它通过搜索决议边界来生成样本。
复杂性：基于转移的攻击可能需要较多的计算资源，因为它涉及到练习替代模子。基于分数的攻击在估计梯度时可能需要多次查询模子。基于决议的攻击在理论上可能更简朴，因为它不需要梯度信息，但实际上可能需要复杂的搜索策略来找到有用的对抗性样本。
目标：基于转移的攻击和基于分数的攻击都强调最大化对抗性样本的效果，而基于决议的攻击则专注于改变模子的决议结果。

威胁模子

目标：攻击者的目标是生成一个同时满足置信度和相似性约束的对抗性示例。
对于网络流量数据来说，定义一个统一的相似性概念是一个悬而未决的题目。现有的 NIDS 对抗性攻击通常会在对抗性特征和原始特征之间设置相似性约束。
知识：针对 CV 的对抗性攻击中的威胁模子主要考虑攻击者对分类器的了解。
在 NIDS 中，预处置处罚功能（即特征提取和约简）是不可逆的。提取的特征的确切范例取决于 NIDS 的筹划，而不是标准的。
上面提到的黑白盒攻击模式。只不过这里作者还给出了灰盒模子，可以看一下原文：

Black-box, if the attacker has zero knowledge of the classifier and its auxiliary components.
Grey-box, if the attacker has zero knowledge of the classifier but has some knowledge of the preprocessing functions.
White-box, if the attacker has complete knowledge of the classifier and auxiliary components.

能力：针对 CV 的对抗性攻击通常假定攻击者无权访问练习数据。但是，攻击者能够访问网络流量数据是合理的。
因为一个图像辨认程序一样平常不会暴露给你图像练习数据，但是 NIDS 的网络流量一样平常可以通过无线装备嗅探到。
特征级攻击（Feature-Level Attacks, FLA）

特征级攻击是指直接对网络流量的特征表现进行利用的攻击方法。这些攻击通常假设攻击者有白盒或灰盒的知识。FLA 的目标是在保持数据表现的合法性的同时，修改特征以绕过 NIDS 的检测。这些攻击可能包罗：

修改现有流量的特征值。
添加或删除流量特征。
通过特征之间的关联来生成新的对抗性特征。

主要类别包罗上面讲到的，基于转移、分数和基于 Wasserstein GAN 的攻击。但是，这些扰动仍处于功能级别，不会生成可用于进行实际攻击的恶意流/数据包。
尽管这些研究表明具有特征级扰动的 WB 和 BB 攻击是有用的，但它们有一个共同的局限性：缺乏实用性。
因为网络流量的各种特征之间具有某些联系，而且随意的改变就会导致样本失效，所以这种攻击方式很多时候难以直接使用。比方发送的数据包数和发送的字节数。当然，这两个特征是正相关的。发送大量字节和发送少量数据包险些是不可能的。这些内在关系使得网络流量空间的低维、不完整为了生成更逼真的特征，提出了生成性特征级攻击。
生成特征级攻击（Generative Feature-Level Attacks, GFLA）

生成特征级攻击使用生成模子（如生成对抗网络 GAN）来学习网络流量特征的分布，并生成看起来合法但实际上具有恶意意图的特征。GFLA 的目标是创建新的、合成的流量特征，这些特征在统计上与正常的网络流量相似，但在 NIDS 中被辨认为恶意。这种方法试图通过模拟真实世界的特征分布来提高攻击的隐蔽性。
攻击范例目标方法特点特征级攻击 (FLA)直接修改网络流量的特征表现来生成对抗性样本，欺骗 NIDS。攻击者接纳白盒或灰盒威胁模子，对特征进行精心筹划的修改。需要对 NIDS 的特征提取和分类过程有深入的了解。生成特征级攻击 (GFLA)间接式生成对抗样本。使用生成模子学习网络流量特征的分布。使用 GAN 或其他生成模子捕捉网络流量特征的统计特性，生成新的合成特征。不需要对原始的 NIDS 有详细的了解，生成的样本在统计上与真实流量难以区分。异同点

相似性：FLA 和 GFLA 都专注于修改网络流量的特征表现，以生成能够绕过 NIDS 检测的对抗性样本。
方法差别：FLA 通常需要对 NIDS 的内部工作机制有较深的理解，而 GFLA 则偏重于通过生成模子来模拟网络流量特征的分布，不需要详细的 NIDS 知识。
复杂性：FLA 可能涉及到对现有特征的直接修改，而 GFLA 涉及到练习生成模子来产生新的特征表现，这可能需要更多的计算资源和时间。
隐蔽性：GFLA 通过生成新的统计特征来模拟正常流量，可能在隐蔽性方面比 FLA 更有优势，因为它生成的特征在统计上与真实特征难以区分。

生成特征级攻击 GFLA 原理

为了练习 GAN，生成器起首生成一个随机输入，鉴别器很容易将其检测为非良性和现实性输入。然后，鉴别器将其损耗传递回生成器，生成器生成一组新的输入来减少损耗。重复此过程，直到鉴别器无法区分输入，这表明生成器已生成逼真的对抗特征。
WGAN 用于攻击分类器。
Attack-GAN，它通过考虑字节级修改和字节内的次序信息来产生对抗性攻击。除了生成器学习和施加的约束外，Attack-GAN 还引入了预定义的网络特征约束。
NIDSGAN。它们在损失函数中引入了额外的术语，用于更具规避性的攻击。除了使鉴别器无法区分对抗性和良性流量的标准损失函数外，损失函数还最小化了对抗性特征和原始特征之间的间隔。
生成算法在生成特征级攻击中的主要作用是捕获网络特征之间隐藏的相互依赖关系，并约束特征级扰动使其更加逼真。然而，尽管具有现实的对抗性网络功能，但在将网络功能转换为可重放数据包方面仍然存在很大差距。网络要素是网络数据包的抽象表现情势，仅用于检测入侵。它们不具有实际意义，不能在装备之间传输以进行网络活动。因此，要使任何特征级攻击都切实可行，必须找到特征提取和特征缩减过程的反函数，该过程生成一组用于生成对抗性特征的数据包。不幸的是，这个过程在计算上很难找到。因此，实际的对抗性攻击应该在数据包级别而不是特征级别进行。
数据包级攻击（Packet-Level Attacks, PLA）

数据包级攻击直接对网络数据包进行操纵，以生成能够绕过 NIDS 的恶意流量。与 FLA 和 GFLA 不同，PLA 关注的是网络流量的实际传输层面，而不是抽象的特征表现。PLA 可能包罗：

修改数据包的时间戳或序列号。
插入、删除或重排数据包。
改变数据包的负载内容，而不改变其外观。

PLA 现状

Homoliak 等考虑了一个 GB 威胁模子，并在一个名为 ASNM-NPBO 的自网络数据集上攻击五个浅层 ML 分类器（NB、DT、SVM、LR 和 NB，具有内核密度估计）。攻击是通过对数据包随机应用基于非有用载荷的混淆并检查它是否逃避分类器来进行的。混淆包罗数据包时间耽误、数据包丢失、数据包破坏、数据包重复、数据包重新排序和负载碎片。
Hashemi 等假设 WB 威胁模子，并在 CIC-IDS2018 上攻击三种 NID：Kitsune 、DAGMM 和 BiGAN。该攻击接纳与 Homoliak 等类似的方法，但只有三种突变操纵：耽误数据包、拆分数据包或注入新数据包。对抗性示例是通过迭代实验和测试此中一个突变操纵并检查目标 NIDS 的异常评分是否低于突变后的阈值来生成的。
Kuppa 等提出了一种 GB 攻击方法，并攻击了七种不同的异常检测器：AE、DAGMM、AnoGAN、ALAD、DSVDD、OC-SVM 和隔离森林。该攻击是在 CIC-IDS2018 数据集上进行的。与以前直接修改数据包的数据包级攻击不同，Kuppa 等人起首使用流形近似算法（MAA）在标志数据中找到数据分布，该算法将决议空间转换为分段的局部球形子空间。基于子空间，攻击会生成一个与原始示例球形间隔最小的对抗性示例。通过修改原始 pcap 文件中基于时间的特征，将对抗性特征实现回数据包中。
Han 等开发了一种新的 BB/GB 对抗性流量生成框架，称为 Traffic Manipulato。
PLA 总结

数据包级攻击标志着规避 NIDS 的实际对抗性攻击的重大改进，因为它们可以在网络中生成可重放的数据包。然而，现有的对抗性攻击缺乏对对抗性示例恶意性的全面评估。目前对对抗性攻击的评估主要会合在评估其规避性（即权衡 NIDS 对对抗性流量的准确性或 FNR），很少评估其恶意性（即保留了多少原始恶意行为）。攻击者的最终目标是在不被发现的情况下攻击装备。因此，对抗性数据包的规避性和恶意性同样重要。未来的研究应该全面评估对抗性数据包的恶意和规避性，而不是仅仅关注它们的规避性。此外，众所周知，数据包突变可以产生副作用特征（比方，将新数据包注入流量或分段数据包会导致提取新特征），但现有的数据包级对抗性攻击在很大程度上忽略了副作用特征的影响。
怎样防御对抗性攻击？

参数保护（Parameter Protection）

梯度掩蔽（Gradient Masking）：通过使梯度不可微分、不稳固或不存在，来防止白盒攻击者利用梯度信息生成对抗性样本。
- 破碎梯度（Shattered Gradients）：比方使用 Thermometer Encoding、Input Transformation 等方法。
- 随机梯度（Stochastic Gradients）：如 Stochastic Activation Pruning 和 Input Randomisation，通过在网络或输入样本中引入随机性来隐藏梯度。
- 消失与爆炸梯度（Vanishing & Exploding Gradients）：使用深度生成模子如 Pixel Defend 和 Defense-GAN 来投影潜在的对抗性样本回数据流形。

对抗性检测（Adversarial Detection）

基于统计的检测（Statistics-Based Detection）：使用统计方法如最大均值差别（MMD）测试来检测数据分布的差别。
变异基检测（Mutation-Based Detection）：通过随机改变决议边界并测量输入样本对变异的敏感性来检测对抗性样本。

鲁棒性优化（Robustness Optimization）

输入预处置处罚（Input Pre-Processing）：如应用平均滤波器来移除输入样本中的对抗性扰动。
对抗性练习（Adversarial Training）：在练习阶段引入正确标志的对抗性样本，以加强模子对对抗性样本的鲁棒性。
后练习修改（Post-Training Modifications）：如防御性蒸馏（Defensive Distillation）和随机激活剪枝（Stochastic Activation Pruning），在模子练习完成后应用额外的处置处罚来提高鲁棒性。

其他防御策略

特征挤压（Feature Squeezing）：减少输入特征空间的大小，限制攻击者可用的扰动范围。
转移学习（Transfer Learning）：应用转移学习技术来减少生成适合特定网络拓扑的网络数据集的成本。

这些防御方法各有优势和局限性，选择符合的防御策略需要考虑 NIDS 的具体需求和可用资源。论文还强调了在筹划防御机制时需要考虑 NIDS 的独特性，包罗处置处罚时间的严格要求和对解释性的需求。此外，论文提出了对未来研究方向的建议，包罗开发新的度量标准和评估框架，以及探索新的防御策略，如引入随机性来加强 NIDS 的安全性。
研究挑衅与未来方向

论文讨论了在 NIDS 范畴进行对抗性学习研究时面临的挑衅，包罗数据集的缺乏、异常检测的困难以及 NIDS 的可解释性题目。
作者提出了未来研究的方向，包罗开发新的度量标准和评估框架，以及探索新的防御策略，如引入随机性来加强 NIDS 的安全性。
论文详细介绍了对抗性攻击的基本原理，包罗目标、知识、能力和约束条件。
论文还讨论了白盒攻击、黑盒攻击以及专门针对 NIDS 的攻击方法，并提供了这些攻击方法的分类和概述。
对于防御机制，论文讨论了参数保护、对抗性检测和鲁棒性优化等策略，并分析了它们在 NIDS 范畴的适用性。
研究挑衅

缺乏基准数据集（Lack of Benchmark Datasets）：
- 网络流量数据的私密性和不断变化的特性使得公开发布数据集变得困难。
- 快速增长的网络技术导致以前发布的基准数据集很快过时。
异常检测的评估困难（Challenges in Evaluating Outlier Detection）：
- 由于缺乏标志数据，基于异常检测的 NIDS 更适用于实际应用，但评估这些系统的性能存在挑衅。
- 需要开发新的度量标准和评估框架来准确反映 NIDS 的性能。
NIDS 的可解释性（Explainability of NIDS）：
- 深度学习模子的决议过程不透明，需要提高 NIDS 的可解释性和可解释性。
- 现有的解释方法未能充实解释网络流量特征的实际意义。

未来方向

应用转移学习（Applying Transfer Learning）：
- 利用转移学习技术来减少生成特定网络拓扑的网络数据集的成本。
- 在基准数据集上学习一样平常流量模式，并将其应用到特定的网络情况中。
开发新的评估框架（Developing New Metrics and Evaluation Frameworks）：
- 为基于异常检测的 NIDS 筹划新的度量标准，以准确反映其性能。
- 评估对抗性攻击的恶意性、有用性和对抗性样本的统计特性。
提高 NIDS 的可解释性（Enhancing Explainability of NIDS）：
- 研究怎样解释网络流量特征的实际意义，而不仅仅是特征对模子输出的贡献。
- 开发能够提供上下文信息的解释方法，帮助理解 NIDS 的决议过程。
探索新的防御策略（Exploring New Defense Strategies）：
- 研究新的防御技术，如引入随机性，使攻击者难以找到 NIDS 的弱点。
- 评估现有防御策略在不同网络速度和大小下的性能和开销。
对抗性样本的全面评估（Comprehensive Evaluation of Adversarial Samples）：
- 评估对抗性样本的有用性、恶意性和对网络性能的影响。
- 确保防御机制不会引入过多的性能开销，同时保持高检测准确率。