面向入侵检测的频域对抗攻击.pdf

资源描述

1、以深度学习为代表的机器学习技术已经在入侵检测方面取得显著进展,但对抗样本的出现会使入侵检测模型产生错误的结果,从而躲过检测,导致系统遭受恶意攻击。基于决策攻击的方法会进行多次查询,导致攻击容易被发现,而且效率较低。不同于传统的攻击方式,文中探索了一种针对入侵检测的频域对抗攻击,对入侵检测数据集进行傅里叶变换,利用低通滤波器,保留样本中更多的低频信息,去掉部分高频信息,再利用反傅里叶变换把修改后的数据转换回时域,实现基于频域的对抗攻击,从而检测入侵检测系统的鲁棒性。比较各种不同方法下生成的对抗样本与原始数据集攻击准确率,表明频域对抗攻击算法的攻击效果明显优于之前的对抗样本方法。关键词:深度学习;

2、入侵检测;傅里叶变换;对抗样本;频域攻击中图分类号:TP391摇摇摇摇摇摇摇文献标识码:A摇摇摇摇摇摇文章编号:1673-629X(2023)09-0072-06doi:10.3969/j.issn.1673-629X.2023.09.011Frequency Domain Adversarial Attack for Intrusion DetectionYANG Yi,ZHANG Xing-lan(Faculty of Information Technology,Beijing University of Technology,Beijing 100124,Ch

3、ina)Abstract:Machine learning technology represented by deep learning has made remarkable progress in intrusion detection,but theappearance of adversarial examples will make the intrusion detection model produce wrong results,thus avoiding detection,resulting inmalicious attacks on the system.The me

4、thod based on decision attack will conduct multiple queries,making the attack easy to find andinefficient.Different from traditional attack methods,we explore a frequency adversarial attack for intrusion detection.The Fouriertransform is performed on the intrusion detection data set,and a low-pass f

5、ilter is used to retain more low-frequency information in thesample and remove part of high-frequency information,and then use the inverse Fourier transform to convert the modified data back tothe time domain to implement frequency-based adversarial attacks,thereby detecting the robustness of the in

6、trusion detection system.Comparing the attack accuracy of the adversarial examples generated by different methods with the original data set,frequency adversarialattack is better than the previous adversarial examples method.Key words:deep learning;intrusion detection;Fourier transform;adversarial e

7、xamples;frequency domain attack0摇引摇言入侵检测系统是一种网络安全设备,它可以对网络流量传输进行实时的监控,从中检测出异常的攻击行为。由于网络技术的快速发展和广泛应用,网络流量变得越来越复杂,各种新型的攻击行为更是层出不穷,这就对入侵检测模型提出了更高的要求。随着人工智能的兴起与发展,机器学习算法被应用于许多领域,在网络安全领域贝叶斯算法被用于过滤垃圾邮件1,随机森林被用于恶意域名检测2,聚类以及深度神经网络算法被应用于网络入侵检测3-4。深度学习出现之后,以神经网络为基础架构的深度学习算法降低了对于特征工程的依赖,能够对网络攻击的特征进行自动

8、的提取和识别,更加有利于发现未知、潜在的攻击行为。但机器学习模型本身也存在着安全问题,它极容易受到对抗样本的攻击。Szegedy 等5提出:对输入样本故意添加一些人无法察觉的细微的干扰,导致模型以高置信度来输出一个错误的结果,于是提出了对抗样本的概念6-7。他们的研究提到,很多情况下,在训练集的不同子集上训练得到的具有不同结构的模型都会对相同的对抗样本实现误分,这意味着对抗样本成为了训练算法的一个盲点。Nguyen 等人发现面对一些人类完全无法识别出差异第 33 卷摇第 9 期2023 年 9 月摇摇摇摇摇摇摇摇摇摇计算机技术与发展COMPUTER TECHN

9、OLOGY AND DEVELOPMENT摇摇摇摇摇摇摇摇摇摇Vol.33摇 No.9Sep.摇 2023的对抗样本,深度学习模型会以高置信度将它们错误分类,从而攻击成功8。深度学习对于对抗样本的脆弱性在很多的机器学习模型中普遍存在,因此进一步研究对抗样本实际上有利于整个机器学习和深度学习领域的进步。入侵检测模型会受到对抗样本的攻击,说明现存的入侵检测模型是不安全的,已知的各种攻击算法,大部分都是在时域数据上基于决策边界,使损失函数最大化,这种攻击方式是有一定效果的,但是入侵检测数据之间具有关联性,利用损失函数最大化修改的数据容易失去其原有的相关性。该文提出了一种基于频域的攻

10、击方式,利用傅里叶变换把数据转换到频域上,很多在时域内看不见的特性在频域内能很清楚地得到,从而提取数据,把低频的移动到数据中心,把高频的数据去掉,通过低通滤波器,对较少的特征进行改变,生成攻击效果更好的对抗样本。1摇研究现状1.1摇入侵检测入侵检测(Intrusion Detection,ID)9是在 20 世纪80 年代由 James Anderson 最先提出的概念,随后学者Heberlein 等人10基于 James Anderson 理论提出网络入侵检测系统概念。有学者指出,入侵主要包括以下三方面:一是未经授权即进行信息的访问;二是不可靠的行为;三是操作造成系统的不稳定11。研究入

11、侵检测技术主要分为以下两点:特征的提取及分类。其中,特征提取在入侵检测中非常关键。深度学习作为表征学习的代表,能够在高维海量数据中获取其本质特征,进而提高分类准确率。深度学习在各个领域已得到广泛应用,其也被应用于入侵检测中。文献12提出了基于一维卷积神经网络的入侵检测方法,该方法可以自动提取原始数据的特征。文献13 分析了递归神经网络(Recurrent NeuralNetwork,RNN)进行入侵检测的可行性,通过将网络流量建模为状态序列来检测网络流量的行为。文献14 验证了长短时记忆网络(Long Short TermMemory,LSTM)在入侵流量分类

12、中的性能,结果表明LSTM 可以学习到隐藏在训练数据中的攻击。文献15提出了一种基于自动编码器(Auto Encoder,AE)的网络和长短期记忆神经网络(LSTM)的网络入侵检测方法。通过叠加多个自编码网络,将高维数据映射到低维空间,构建了自编码网络模型。然后利用优化后的 LSTM 模型提取特征、训练数据并预测入侵检测类型。实验结果表明,该模型和传统的算法相比,对网络流量进行分类的效果是更优的。Kasongo 等人16使用前馈神经网络(Feedforward Neural Network,FNN)和基于滤波器的特征选择算法,提出了一种基于深度学习的入侵检测系统,将其与支持向量机、决策树、K近

13、邻等机器学习方法进行比较,FNN 的准确性有所提高。张文泷等人17针对深度学习模型在网络入侵检测中进行参数训练时因梯度消失而导致深度学习模型过拟合在测试集上准确率下降的问题,提出了一种结合 Relu 激活函数与 ResNet 的网络入侵检测算法,即CA-ResNet,结果表明,提高了网络的特征提取能力和对尺度的适应性。1.2摇对抗样本随着深度学习应用到入侵检测系统,基于已有数据的入侵检测系统的分类任务已经完成得比较好,但是对于恶意攻击中的对抗样本的方式,入侵检测的数据集在这方面的表现确实不尽如人意。现在对抗样本攻击的研究主要是涉及梯度攻击和优化攻击,还有一部分分为对图像进行全像素添加扰动以及

14、部分添加像素扰动。Goodfellow 等人18提出的快速梯度符号法(Fast Gradient Sign Method,FGSM)利用损失函数的导数,通过在原样本上添加噪声,使其沿着损失函数梯度上升的方向移动,从而生成分类错误的图像对抗样本。Moosavi 等人19提出了一种基于超平面分类的生成方法 DeepFool,在不同的平面上代表不同的类别,利用迭代计算添加扰动将处于平面边界的图像样本逐步移动到另一个平面,让其呈现不同的分类结果。Papemot 等人20在 2015 年提出了 JSMA(JacobinSaliency Map Attack)算法,JSMA 是利用雅可比矩阵计算了

15、模型对每个特征的敏感度,得到了其中的显著像素点,并通过迭代的过程,每次修改一个显著像素点,最终达到改变分类结果的攻击效果。Li 等21提出了一个通过学习对抗样本的书分布来对深度神经网络模型进行黑盒攻击的方法,通过找到以原样本为中心的小区域内的概率密度分布,从中选择可能造成攻击的对抗样本。除以之外,Sayantan 等人22提出了一种应用在黑盒场景下的目标攻击方法,针对目标的通用扰动方法(Universal Perturbations for Steering to ExactTargets,UPSET),基于残差梯度网络,可以对特定的目标类别生成一个通用扰动,使得将该扰动添加到任何一张图像上都

16、可以使其被错误分类为目标类别。1.3摇入侵检测的对抗样本有一些研究者通过将一些对抗样本生成算法应用在入侵检测分类模型上,成功探索了入侵检测分类器中可能出现的攻击,并对入侵检测对抗样本的特征进行分析。Rigaki23分别使用 JSMA 和 FGSM 方法在NSL-KDD 数据集上成功生成了入侵检测对抗样本,并对两种方法修改的特征数量和耗费的时间进行了比较。Wang24在论文中总结了四种对抗样本生成方法37摇第 9 期摇摇摇摇摇摇摇摇摇摇摇摇摇摇摇杨摇怡等:面向入侵检测的频域对抗攻击在入侵检测领域的攻击效果,详细比较了 FGSM、JSMA、DeepFool 和

17、C&W attack 在 NSL-KDD 数据集上的效果,并分析了各方法对特征的修改情况。还有一些研究者从别的角度出发,也为入侵检测领域的对抗样本研究提供了新的思路。丁烨等人25在频谱上综合分析了现有的攻击方法和数据集,发现大部分的对抗样本在频域都出现了严重的伪影,提出一种通用的改进算法 IAA-DCT。Li 等人26提出基于决策的攻击方式通常会进行过多的查询,导致攻击很容易被发现,基于自然图像的傅里叶光谱大部分集中在低频域,提出频域对抗攻击方式,提高了攻击效率。综上,入侵检测模型会受到对抗样本的攻击,说明现存的入侵检测模型是不安全的,所以在此基础上,该文将研究的重点放在入侵检测对抗样

18、本的生成方法上,并且分析入侵检测的流量数据之间的关联性,生成在攻击效果更好的对抗样本同时更加符合真实世界中的网络流量数据。2摇频域对抗攻击2.1摇傅里叶变换傅里叶变换(Fourier Transform)是一种线性积分变换,用于信号在时域和频域之间的转换,从物理效果看,傅里叶变换是将信号从空间域转换到频域,逆变换就是将信号从频域转换到空间域。使用傅里叶变换,可以把频域中最重要的信号表达出来,并且得到和原始信号非常接近的波形。通常将这种波的快慢的性质,称为波的频域。傅里叶频谱图上看到明暗不一的亮点,实际上是信号中某一点与邻域点差异的强弱,即梯度的大小,也就是频域的大小。傅里叶变换的实际意义就

19、是对一个特定的信号曲线进行分解重组,具体操作就是将一个信号曲线分解成若干个正弦曲线,这些正弦的频域代表了原信号曲线的频域变化情况,同一频域下的信号被分到了一个正弦曲线上,这样就有了若干个不同频域的正弦曲线。如果直接在时域上进行处理是比较麻烦的,因此一般都会先将时域数据按照不同的频域振幅分解成若干个音频和振幅不同的音频信号图,再将这些不同的信号图按照不同的振幅映射到一个平面图上,就是频域图。离散傅里叶变换公式如下:Xk=移N-1n=0fnw-(k-1)(n-1)=移N-1n=0fne-k2仔niN(1)其中,0 k n-1。高频指变化剧烈的灰度分量,如图像的边缘轮廓区域。低频指变换缓慢的灰度分量

20、,如图像中轮廓的填充,非边缘区域。人类视觉系统对高频分量的敏感度低于低频分量,因此利用傅里叶变换将时域数据转变为频域数据,构造一个和原数据大小相同,数值全为0 的掩模底板,获取原始数据频域为 0 的中心坐标,以此为中点,这个区域的掩模内的像素值为 255,把掩模覆盖到原始频谱图上,得到所有的低频点。利用低通滤波器,保留更多的低频信息,去除掉部分高频信息,再利用反傅里叶变换把修改后的数据转换回时域。2.2摇 FGSM 算法FGSM 是由 GoodFellow 在其论文Explaining andHarnessing Adversarial Examples中提出。通过求出模型对输入的导数得到其具

21、体的梯度方向,接着乘以一个步长,得到的“扰动冶加在原来的输入上就得到了对抗样本。假设输入样本为 x,分类结果为 F(x),在输入样本上叠加扰动,得到对抗样本 x。摇x=x+着sign(xJ(兹,DFT(x),Y)啄Fj(x)啄x=(Wn+1,j啄Hn啄xi)伊啄fn+1,j啄xi(Wn+1,jHn+bn+1,j)jS(X,t)i=0 if啄Fj(X)啄Xi 0(啄Ft(X)啄Xi)|移j屹t啄Fj(X)啄Xi|otherwise(F(Xadv),灼,Y)着,酌灼=1|x|t着姿DFT(x)+啄DFT(x)Y*F(xadv)=Y椰啄x椰姿S 饮Xadvby 兹 s.t.imax=argmaxi

22、S(X,Y)i(2)其中,sign 函数保证与梯度函数方向一致,着代表学习率,控制扰动的程度。2.3摇 JSMA 算法JSMA 是利用扰动一组输入特征的信息从而导致深度模型分类器分类出错。这与修改大多数输入特征的 FGSM 攻击不同,JSAM 产生的对抗样本更具有攻击性,而且更易生成真实的网络数据流。JSMA 算法主要包括三个过程:计算前向导数得到不同特征对分类结果的影响程度,构建基于前向导数的对抗性显著图,通过显著图寻找对攻击影响程度最大的输入特征添加扰动。前向导数就是计算神经网络最后一层的每一个输出对输入的每个特征的偏导。计算过程是采用链式法则。FGSM 是对损失函数求

23、导得到的,而JSMA 中前向导数是通过对神经网络最后一层输出求导得到的。前向导数的计算公式为:47摇摇摇摇摇摇摇摇摇摇摇摇摇摇摇摇摇摇摇摇摇计算机技术与发展摇摇摇摇摇摇摇摇摇摇摇摇摇摇摇摇摇摇第 33 卷F(x)=鄣F(x)鄣x=鄣Fj(x)鄣xii沂1,2,M,j沂1,2,N(3)其中,矩阵(i,j)个元素啄Fj(x)啄xi为输出神经元 Fj对输入 xi的导数。啄Fj(x)啄xi=(Wn+1,j啄Hn啄xi)伊啄fn+1,j啄xi(Wn+1,jHn+bn+1,j)(4)其中,Fj是第 j 个隐藏层的输出向量,

24、fn+1,j是这层的第j 个神经元输出的激活函数,Wn+1,j为第 n+1 层,第 j个神经元与前一层相连的权重向量,bn+1,j为第 n+1层,第 j 个神经元的偏置 bias。通过得到的前向导数,可以计算其对抗性显著图,即对分类器特定输出影响程度最大的输入。为了达到攻击的效果,需要增大分类错误的特征,减少使得分类正确的特征,从而达到攻击目标。显著图有正向扰动(见式(5)和反向扰动(见式(6)。摇S(X,t)i=0 if啄Fj(X)啄Xi 0(啄Ft(X)啄Xi)|移j屹t啄Fj(X)啄Xi|otherwise(5)摇S(X,t)i=0 if啄Fj(X)啄Xi 0 or移j屹t啄Fj(X)啄

25、Xi 0(啄Ft(X)啄Xi)|移j屹t啄Fj(X)啄Xi|otherwise(6)其中,i 表示输入的第 i 个分量,即输入空间的第 i 个特征,啄Fj(X)啄Xi为前向导数,t 为类别。若对应位置的导数值为正值,则增大该位置像素值;若对应位置的导数值为负数,则减少该位置像素。JSMA 算法修改程度不受限制,但修改的数量受到限制,尽量减少对原始样本修改像素的个数,可以使得生成的对抗样本更具有真实性27。2.4摇 D-FGSM 算法该文提出 D-FGSM(Discrete Fourier Transform-Fast Gradient Sign Method)攻击算法,将原始数据集进行傅里叶变

26、换,通过低通滤波器,过滤部分的高频信息,再利用梯度方向进行扰动和攻击。xadv=DFT(x)+着sign(荦xJ(DFT(x,y)(7)其中,DFT 函数是离散傅里叶变换。算法 1:D-FGSM输入:干净的样本数据 X,模型权重参数兹,分类结果 Y,神经网络 J,学习率着,扰动值啄,傅里叶变换 DFT输出:对抗样本 Xadv1.初始化:X2.x 饮 DFT(X)3.While F(xadv)=Y do4.损失函数求导荦xJ(兹,DFT(x),Y)5.啄x饮着sign(荦xJ(兹,DFT(x),Y)6.Xadv饮 DFT(x)+啄x7.end While8.Return Xadv2.5

27、摇 D-JSMA 算法以 NSL-KDD 数据集进行特征分析,每个连接有41 个特征,可以分为三个部分:网络数据包的基本连接信息,数据包中包含的一些负载信息以及当前连接的一些流量信息。在进行入侵检测对抗攻击中,应该具体分析各个特征对结果的影响,更具有针对性的对抗攻击。Saliency Map(显著图)是通过神经网络预测类别的概率对输入特征(例如图像中的每个像素)求梯度,根据显著图的值判断出输入特征中对该类别的影响程度。该文利用傅里叶变换将数据转换到频域上,保留了更多相关性的特征,通过 Saliency Map 在这些特征中找到对输出结果影响程度较大的特征,对该特征进行扰动修改,即

28、D-JSMA(Discrete FourierTransform-Jacobian-based Saliency Map Attack)攻击算法。argmin啄DFT(x)|啄DFT(x)|s.t.F(DFT(x)+啄DFT(x)=摇摇 Y*)(8)其中,x 为原始数据,Y 为输出,DFT 为离散傅里叶变换,啄DFT(x)为扰动向量,Y*为对抗输出。算法 2:D-JSMA输入:干净的样本数据 x,神经网络 F,分类结果 Y,特征变化参数兹,最大的对抗扰动姿输出:对抗样本 Xadv1.初始化:X2.灼=1,2,|x|3.Xadv饮 DFT(X)4.While F(xadv)=Y and|啄

29、x|姿 do5.计算前向导数荦F(Xadv)6.S 饮 Saliency_map(荦F(Xadv),灼,Y)7.Modify Xadvby 兹 s.t.imax=argmaxiS(X,Y)i8.啄x饮 Xadv-X9.end While10.Return Xadv3摇实验分析3.1摇数据集实验使用的数据集是 NSL-KDD,one-hot 编码将名义特征转变为数字特征,例如“协议类型冶有三类值,分别是“tcp,udp,icmp冶,使用 one-hot 编码表示为“1,0,0,0,1,0,0,0,1冶,编码后离散特征与连57摇第 9 期摇摇摇摇摇摇摇摇摇摇摇摇摇

30、摇摇杨摇怡等:面向入侵检测的频域对抗攻击续特征之间会有较大的极差,这会影响到权值攻击类型。因此,该文对特征进行归一化,使其都在0,1范围内。NSL-KDD 数据集包含 39 种攻击类型,属于 4大类:拒绝服务(DOS)、探测(Probe)、用户到根(R2L)、远程和本地(U2R),该文主要是做无目标攻击,因此将结果修改为二分类的任务。实验包括了126 003个训练集和22 544 个测试集。实验样本 NSL-KDD 数据集的分布如表 1 所示。表 1摇 NSL-KDD 数据集分布类别DOSProbeR2LU2R攻击正常总数训练集45 92711 6569955258 63

31、067 373126 003测试集7 4602 4212 8856712 8339 71122 544总数53 38714 0773 88011971 46377 084148 5473.2摇实验步骤实验环境是 Window10 64 位操作系统,Intel(R)Core(TM)i7-6500U,CPU 2.5 GHz,内存 8 GB,采用GPU 加速,在基于深度学习框架 PyTorch 下,Python 语言编程实现。使用的目标模型是一个基于 DNN 的入侵检测分类器,它有两个包含 256 个神经元的隐藏层和一个包含 2 个神经元的 Softmax 层。隐藏神经元使用 ReLU 的激活函数

32、和交叉熵损失函数。使用 Adam优化器对模型进行 1 000 个 epoch 的训练,以 0.01 的学习率调整参数。实验主要分为两个模块:基于深度学习的入侵检测模型和生成入侵检测对抗样本。(1)入侵检测模型:D-FGSM 和 D-JSMA 是白盒攻击,这意味着它需要提前获取模型的参数。因此,首先需要训练一个用于入侵检测的深度学习模型。此外,还需要在入侵检测分类器中输入入侵对抗实例来评估其攻击效果。DNN 模型中训练集的正确率是99.8%,测试集的正确率是 82.56%,(2)频域对抗攻击。利用傅里叶变换对原始数据集进行频域变换,通过低通滤波器得到更具有相关性的特征。根据上述两种攻击方式,生成

33、更具有针对性的对抗样本,评估模型的准确率及鲁棒性。框架如图1 所示。图 1摇入侵检测对抗攻击框架3.3摇结果分析D-FGSM 和 D-JSMA 两种攻击算法添加扰动受到参数着,酌的影响,为了得到更好的攻击效果,设置了不同的参数值观察攻击效果,从中选择最佳的参数值进行模型的验证分析。表2摇 FGSM 和 D-FGSM 在不同参数着下的准确率%参数FGSMD-FGSM着=0.00174.4380.78着=0.0169.5279.38着=0.125.2917.27着=125.1816.49摇摇在 FGSM 和 D-FGSM 攻击算法中,着的值越大,扰动程度越大。实验中,分别让着

34、在 0.001,0.01,0.1以及 1 下,利用 FGSM 和 D-FGSM 生成对抗样本,测试攻击效果。从表 2 中可以看到,着为 0.1 时的数据攻击程度和着为 1 时的数据攻击程度基本相当,两种攻击方法在着为 1 的攻击效果分别是 25.18%和16.49%,D-FGSM 生成的对抗样本更具有攻击性。表3摇 JSMA 和 D-JSMA 在不同参数酌下的准确率%参数JSMAD-JSMA酌=0.00165.0957酌=0.016557酌=0.124.5313.25酌=124.5313.25摇摇实验中,分别让酌在 0.001,0.01,0.1 以及 1 扰动程度下,利用

35、 JSMA 和 D-JSMA 生成对抗样本。从表3 中可以看到,酌为0.1 时数据的攻击程度和酌为1 时的攻击程度相同,两种攻击方法在扰动程度为 1 的攻击效果分别是 24.53%和 13.25%,结合上面 FGSM 和D-FGSM 的实验数据,D-JSMA 生成的对抗样本更具有攻击性。表 4摇 D-FGSM 和 D-JSMA 对抗样本的欧几里得距离算法欧几里得距离D-FGSM3.5D-JSMA2.99摇摇除了提升攻击效果外,入侵检测数据集的某些特67摇摇摇摇摇摇摇摇摇摇摇摇摇摇摇摇摇摇摇摇摇计算机技术与发展摇摇摇摇摇摇摇摇摇

36、摇摇摇摇摇摇摇摇摇第 33 卷征是有限制的,要尽量缩短生成的对抗样本与原始数据集的距离,使得生成的对抗样本具有真实性。实验中在比较攻击准确率后,还计算了对抗样本与原始样本之间的欧几里得距离(见表 4),虽然不是很具体地分析各个特征之间的差异,但是还是粗略估计样本之间的差距。D-FGSM 和 D-JSMA 算法生成的样本与原始样本相比,D-JSMA 的攻击样本与原始样本更为接近。在提升攻击效果的同时也更应该注意生成样本与真实样本之间的差异,生成更接近真实样本的数据,从而更能检测出模型的鲁棒性。4摇结束语该文简单分析了 NSL-KDD 的特征,研究了面向入侵检测数据集的频域对

37、抗样本攻击。现在大部分的研究都是面向时域的,该文提出的基于傅里叶变换的面向频域攻击方法使得攻击效果显著提高,并且产生的对抗样本与其他方式产生的样本具有一定的相似性,但是对于数据集的特征分析还是比较短浅。下一步应该更加具体分析特征之间的关联,找到特征间的约束关系以及它们的重要度,生成更具有真实性的对抗样本,验证模型的性能和鲁棒性。参考文献:1摇刘浩然,丁摇攀,郭长江,等.基于贝叶斯算法的中文垃圾邮件过滤系统研究J.通信学报,2018,39(12):151-159.2摇彭成维,云晓春,张永铮,等.一种基于域名请求伴随关系的恶意域名检测方法J.计算机研究与发展,2019,56(6):1263-1

38、274.3摇刘金平,周嘉铭,刘先锋,等.基于聚类簇结构特性的自适应综合采样法在入侵检测中的应用J.控制与决策,2021,36(8):1920-1928.4摇江摇颉,高摇甲,陈铁明.基于 AE-BNDNN 模型的入侵检测方法J.小型微型计算机系统,2019,40(8):1713-1717.5摇 SZEGEDY C,ZAREMBA W,SUTSKEVER I,et al.Intrigu鄄ing properties of neural networks J.arXiv:1312.6199,2013.6摇潘文雯,王新宇,宋明黎,等.对抗样本生成技术综述J.软件学报,2020,31(1):6

39、7-81.7摇陈岳峰,毛潇锋,李裕宏,等.AI 安全对抗样本技术综述与应用J.信息安全研究,2019,5(11):1000-1007.8摇 NGUYEN A M,YOSINSKI J,CLUNE J.Deep neuralnetworks are easily fooled:high confidence predictions forunrecognizable imagesJ.arXiv:1412.1897v3,2014.9摇 James P Anderson Company.Computer security threat moni鄄toring and surveillanceR.

40、Fort Washington,Pennsylvania:James P Anderson Company,1980.10 MUKHERJEE B,HEBERLEIN L.Network intrusion detec鄄tionJ.IEEE Network,1994,8(3):26-41.11 BHUYAN M H,BHATTACHARYYA D K,KALITA J K.Network anomaly detection:methods,systems and toolsJ.IEEE Communications Surveys&Tutorials,2014,16(1):303-33

41、6.12 赵文仿.基于卷积神经网络的入侵检测分类方法研究D.秦皇岛:燕山大学,2021.13 YIN C L,ZHU Y F,FEI J L,et al.A deep learning approachfor intrusion detection using recurrent neural networksJ.IEEE Access,2017,5:21954-21961.14 STAUDEMEYER R C.Applying long short-term memoryrecurrent neural networks to intrusion detectionJ.SouthAfrica

42、n Computer Journal,2015,56(1):136-154.15 ZHANG Y,ZHANG Y,ZHANG N,et al.A network intru鄄sion detection method based on deep learning with higher ac鄄curacyJ.Procedia Computer Science,2020,174:50-54.16 KASONGO S M,SUN Y.A deep learning method with filterbased feature engineering for wireless intrusion

43、detection sys鄄temJ.IEEE Access,2019,7:38597-38607.17 麻文刚,张亚东,郭摇进.基于 LSTM 与改进残差网络优化的异常流量检测方法J.通信学报,2021,42(5):23-40.18 GOODFELLOW I J,SHLENS J,SZEGEDY C.Explainingand harnessing adversarial examplesJ.arXiv:1412.6572,2014.19 MOOSAVI-DEZFOOLI S,FAWZI A,FROSSARD P.Deep鄄Fool:a simple and accurate method

44、 to fool deep neural net鄄worksJ.arXiv:1511.04599,2015.20 PAPERNOT N,MCDANIEL P D,JHA S,et al.The limita鄄tions of deep learning in adversarial settings J.arXiv:1511.07528,2015.21 LI Yandong,LI Lijun,WANG Liqiang,et al.NATTACK:learning the distributions of adversarial examples for an im鄄proved black-b

45、ox attack on deep neural networksJ.arXiv:1905.00441,2019.22 SARKAR S,BANSAL A,MAHBUB U,et al.UPSET andANGRI:breaking high performance image classifiersJ.arXiv:1707.01159,2017.23 IBITOYE O,SHAFIQ M O,MATRAWY A.Analyzing ad鄄versarial attacks against deep learning for intrusion detectionin IoT networks

46、J.arXiv:1905.05137,2019.24 WANG Zheng.Deep learning-based intrusion detection withadversariesJ.IEEE Access,2018,6,38367-38384.25 丁摇烨,王摇杰,宛摇齐,等.从频域角度重新分析对抗样本J.信息技术与网络安全,2022,41(5):59-65.26 LI Xiuchuan,ZHANG Xuyao,YIN Fei,et al.Decision-basedadversarial attack with frequency mixupJ.IEEE Trans.In鄄formation Forensics and Security,2022,17:1038-1052.27 CROCE F,HEIN M.Sparse and imperceivable adversarial at鄄tacksJ.arXiv:1909.05040,2019.77摇第 9 期摇摇摇摇摇摇摇摇摇摇摇摇摇摇摇杨摇怡等:面向入侵检测的频域对抗攻击

展开阅读全文