今天为大家介绍一篇发表于USENIX Security 2025的论文 CertTA: Certified Robustness Made Practical for Learning-Based Traffic Analysis,第一作者为博士生闫金柱,通讯作者为刘卓涛老师,作者还包括博士生谢宇阳,梁诗宇老师,柳林老师和徐恪老师。
文章主要目标是为AI驱动的流量分析系统提供面向对抗攻击的可证明安全性。AI技术的发展使流量分析模型的准确性得到不断提升,但在面对抗攻击时,该准确性却缺乏理论保证,限制了AI驱动的流量分析在关键应用和系统中的使用。针对此,该工作提出全新的可认证鲁棒性分析框架,可以在面对多模态对抗攻击时,得到流量分析准确性的理论边界,率先突破了流量分析的可证明安全理论。同时,通过与异常检测系统相结合,该工作能够同时应对不同强度的对抗攻击,对AI驱动的流量分析系统的实际落地应用提供重要参考。
文章链接:
https://www.usenix.org/conference/usenixsecurity25/presentation/yan-jinzhu
源代码和数据集:
https://github.com/InspiringGroup-Lab/CertTA
CertTA: Certified Robustness Made Practical for Learning-Based Traffic Analysis
Jinzhu Yan, Zhuotao Liu, Yuyang Xie, Shiyu Liang, Lin Liu and Ke Xu
01
研究背景
网络流量分析对于现代信息网络的安全保护至关重要,例如,通过对恶意攻击流量的入侵检测与及时阻断,可以有效提高网络服务的可靠性、防止数据要素泄露与财产损失。近年来,得益于机器学习技术的迅猛发展,流量分析模型在入侵检测、应用识别等各类任务上取得了优异的分类准确率。然而,机器学习驱动的流量分析模型在对抗鲁棒性方面面临着严峻的挑战,通过在原始输入流量当中施加数据包长度填充、数据包时间延迟、数据包插入等对抗扰动,攻击者可以轻松破坏流量分析模型的准确率,导致AI驱动的流量分类在实际应用中面临巨大挑战。
02
研究挑战与已有工作
以随机平滑方法为代表的可认证鲁棒性技术是实现对抗攻击下AI模型的可证明安全的重要技术,可认证鲁棒性可以为AI模型的性能边界提供数学保证。
现有可认证鲁棒的流量分类框架所遵循的认证范式可分为两类:
将流量数据的不同表征(如流量统计特征,原始流量序列,原始字节)视为图像向量,进而对各分量上所添加的连续数值噪声扰动进行鲁棒性认证。
将流量数据视为数据包序列,进而对数据包插入、删除、替换等离散扰动进行鲁棒性认证。
然而,在流量分类领域中,对抗攻击的多模态性与分类模型的异构性为鲁棒性认证带来了巨大挑战。具体而言:
针对流量数据的对抗攻击在构造对抗流量时,通常同时使用加性对抗扰动(如数据包长度填充、时间延迟)与离散对抗扰动(如数据包插入)。
现有流量分类模型多根据不同分类任务进行针对性设计,不同模型使用不同的流量表征(如流量统计特征,原始流量序列,原始字节)和模型架构(如传统机器学习模型,以神经网络为代表的深度学习模型,Transformer架构的新型序列模型)。
由于上述挑战,现有可认证鲁棒的流量分类框架在面对多模态流量对抗攻击时所能提供的性能保证十分有限,同时难以实现良好的模型通用性。如何提高异构流量分类模型面对多模态流量对抗攻击时的可认证性能下界,成为实现可认证鲁棒流量分析的关键理论问题。
03
CertTA介绍
为解决上述挑战,本工作提出了一种全新的可认证鲁棒流量分析框架CertTA,提出可以同时应对加性对抗扰动与离散对抗扰动的随机平滑方法与鲁棒区域数学推导,显著提高了异构流量分类模型面对多模态流量对抗攻击时的可认证性能下界,在理论上率先突破了流量分析的可证明安全。同时,通过将异常检测系统与可认证鲁棒流量分类框架结合,本工作首次构建了能够同时应对不同强度对抗攻击的联合防御系统,对AI驱动的流量分析系统的实际部署具有重要价值。
04
关键设计:多模态随机平滑方法
针对流量对抗攻击中同时存在的加性对抗扰动与离散对抗扰动,CertTA 构建了多模态随机平滑方法:
从原始输入流量中随机选取d个数据包并保留这些数据包的相对顺序关系,在每个被选取数据包的长度与到达时间间隔上添加指数型随机数值噪声,从而得到一个平滑样本;
重复上述操作多次,得到若干个不同的平滑样本,分别输入基流量分类模型获取分类结果;
统计所有平滑样本分类结果中出现次数最多的分类,作为最终的流量分类结果。
05
理论分析:鲁棒区域数学推导
通过在平滑样本中同时引入随机数据包选取的离散扰动与指数型噪声的加性扰动,CertTA 可以推导出最终流量分类结果不受多模态对抗攻击影响的鲁棒区域。
该鲁棒区域在防御多模态流量对抗攻击方面具有以下关键优势:
可以同时对加性对抗扰动(数据包长度与到达时间上所添加的数值噪声)与离散对抗扰动(插入、删除、替换的数据包数量)进行鲁棒性认证;
对加性对抗扰动的认证直接对应流量中的原始数据包,而不受离散对抗扰动所引起的数据包错位影响;
对加性对抗扰动的认证只关注扰动最显著的d个数据包,而不关注流量中被攻击者扰动的其余数据包,有效缓解了维度灾难问题。
06
解决措施:联合防御系统
通过将异常检测系统与CertTA框架结合,我们构建了能够同时应对不同强度对抗攻击的联合防御系统。其中,异常检测系统首先从所有流量中过滤出异常告警流量,再将其余未告警流量输入CertTA框架进行可认证鲁棒的流量分类。
该联合防御系统为对抗攻击创造了进退两难的困境:若攻击者使用隐蔽对抗扰动以绕过异常检测系统,则难以避免被CertTA框架正确分类;若攻击者使用强对抗扰动以超过CertTA框架所提供的鲁棒区域,则可以被异常检测系统轻易捕捉。
07
实验验证
多模态流量对抗攻击下的可认证性能下界:相比于现有可认证鲁棒的流量分析框架,CertTA显著提升了六种异构的流量分析模型在三种多模态流量对抗攻击下的可认证性能下界。同时,对于以原始流量序列及原始字节为输入的先进流量分类模型,CertTA是唯一能够提供抗多模态对抗攻击性能保证的鲁棒性认证方法。
全面防御不同强度对抗攻击的联合防御系统:相比只能有效过滤强对抗流量的单一异常检测系统和只能鲁棒分类隐蔽对抗流量的单一随机平滑方法,将异常检测与CertTA结合的联合防御系统具有能够同时过滤强对抗流量并鲁棒分类隐蔽对抗流量的优势,在不同强度的对抗攻击下均实现了极高的防御成功率。
更多关于流量分类鲁棒性、准确性、高效性的分析与相关实验,欢迎阅读完整版论文。
08
结语
面向多模态对抗攻击与异构流量分析模型,CertTA提出了全新的可认证鲁棒性分析框架,率先在理论上突破了流量分析的可证明安全。同时通过与异常检测系统的协作联合,为AI驱动的流量分析系统带来了显著的对抗鲁棒性提升,具有重要的实用价值。我们期待未来能够进一步构建更准确、更鲁棒、更高效的智能流量分类框架,进一步提升流量分类在真实网络环境下的可用性。
声明:本文来自赛博新经济,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
