Adversarialní strojové učení pro detekci škodlivého chování v síťové bezpečnosti

Abstract

Adversarialní strojové učení má v principu dva cíle: navrhnout útočníka, který je schopen obejít detektor; a detektor, který úspěšně detekuje dané útočníky. Tyto protichůdné motivy jsou v této práci modelovány pomocí teorie her a je předpokládáno, že řešení hry leží ve Stackelbergově rovnováze. Abychom tuto rovnováhu nalezli, ukážeme, že z minimalizace očekávaného rizika (ERM) a herního modelu lze odvodit dvouúrovňovou optimalizační úlohu, jejímž řešením je optimální stochastický detektor. Dále navrhneme účící algoritmus, který řeší tuto úlohu a jehož výstupem je aproximace (lokálně) optimálního detektoru. Prezentovanou teorii aplikujeme na realný problém útoků na reputační systém URL adres. Klíčovým prvkem námi navrhženého učícího algoritmu je model útočníka, proto navrhneme algoritmus útoků na reputační systému URL adres, který je schopen zamaskovat primární cíl útočníka generováním krycí aktivity. Útočící algoritmus je založen na projektovaném gradientním sestupu (PGD) a metodě znaménka gradientu (FGSM). Za použití legitimních dat od společnosti Trend Micro Ltd. ukazujeme, že námi navržený adversariální detektor překoná detektor anomálií na všech zkoumaných úrovních false positives (1%, 0.1% a 0.01%) a je úspěšně schopen detekovat nové útoky našeho útočícího algoritmu.

Adversarial machine learning has two principal objectives: to design an attacker which is able to circumvent a detector; and to design a detector that is able to detect those attackers. We model the adversarial setting with game theory and propose that the solution of the game is in a Stackelberg equilibrium. To find the equilibrium, we start with the expected risk minimisation framework (ERM) and the game model from which we derive a bilevel optimisation task yielding an optimal stochastic detector. We then propose a learning algorithm that approximates a solution of this task. To support our theoretical findings, we solve a practical real-world problem of detecting attacks to a URL reputation service. A key part of our learning algorithm is the model of an attacker. We propose an attack algorithm to a URL reputation service that obfuscates the attacker's primary goal by generating covering activity with projected gradient descent and a fast gradient sign method. Using genuine data provided by Trend Micro Ltd., we show that an adversarial detector outperforms an anomaly detector at all false positive rates (1%, 0.1% a 0.01%) and successfully learns to detect unseen attacks carried out by our attacking algorithm.