Improving Network Intrusion Detection Classifiers by Non-Payload-Based Exploit-Independent Obfuscations: An Adversarial Approach

Klasifikátory strojového učení pro detekci průniku jsou schopné detekovat dosud neznámé útoky, ale zároveň mohou být náchylné na únik před detekcí pomocí obfuskačních technik. Útočník, který má znalost o ochranném systému může tento detekční modul jednoduše obejít. Hlavním cílem této práce je vylepšit klasifikátory pro detekci průniku vůči takovým útočníkům. K tomu nejdříve navrhneme několik obfuskačních technik vzdálených útoků, které jsou založené na modifikaci několika vlastností síťového spojení; pak provedeme sadu rozsáhlých experimentů pro vyhodnocení efektivity klasifikátorů pro detekci průniku proti obfuskovaným útokům. Vytvoříme instanci našeho přístupu ve smyslu nástrojů, založených na NetEm a Metasploit, které implementují obfuskační operátory nad jakoukoli TCP komunikací. To nám umožňuje generovat modifikovaný síťový provoz pro experimenty se strojovým učením využívající metriky síťového provozu a chování TCP spojení. Provádíme vyhodnocení několik klasifikátorů: Gaussian Naive Bayes, Logická regrese, Rozhodovací stromy, a Support Vector Machine. Naše experimenty potvrzují předpoklad, že je možné obejít detekci všemi testovanými klasifikátory trénovaných bez předchozí znalosti o obfuskovaných útocích, které způsobují zhoršení TPR o 7,8% až 66,8%. Dále, rozšířením znalosti klasifikátorů o podmnožinu obfuskovaných útoků při trénování, dosahujeme značného vylepšení TPR o 4,21% až 73,3%, kde FPR je zhoršeno pouze nepatrně (0,1% - 1,48%). Nakonec jsme otestovali schopnosti klasifikátorů znalých obfuskací k detekci neznámých obfuskovaných útoků, kde bylo dosaženo přes 90% míry detekce v průměru u většiny obfuskací.