PPATF：一种融合差分隐私与对抗训练的轻量级入侵检测模型鲁棒性增强框架

《IEEE Access》：PPATF: A Privacy-Preserving Adversarial Training Framework to Enhance the Robustness of Lightweight Intrusion Detection Models

【字体： 大 中 小 】 时间：2025年11月28日 来源：IEEE Access 3.6

　　

随着网络化和智能化系统的快速发展，现代网络空间的攻击面急剧扩大。在各种网络基础设施和物联网（IoT）环境中，海量数据及其处理算法已成为网络攻击的重要目标。这一趋势凸显了网络安全日益增长的重要性，也表明需要将智能入侵检测模型作为前沿防御机制加以部署。近年来，基于人工智能（AI）的模型因其能够高效、精确地执行多种任务而得到稳步采用，这些任务包括自动决策、网络威胁检测和事件分析。这些模型在分析大规模威胁情报以快速准确识别潜在威胁和漏洞方面尤其有效。

然而，尽管前景广阔，基于AI的模型在资源受限环境（如物联网系统）中的部署仍面临挑战，因为有限的计算能力和能源供应阻碍了复杂检测算法和实时监控的应用。因此，在此类环境中通常采用轻量级AI模型，但这种轻量级特性可能无意中增加了它们遭受对抗性攻击的风险。

基于AI的模型由于其结构和功能限制，天生更容易受到对抗攻击。在结构上，轻量级模型参数容量减少、架构简化，这限制了其表达能力以及表示复杂、高方差攻击模式的能力。在功能上，这些资源受限的设计加剧了AI模型已有的漏洞，使得模型对微小扰动更敏感、决策边界不稳定且难以解释。攻击者可以利用这些弱点，通过创建恶意扰动来诱导模型误分类。在这些威胁中， evasion attacks（规避攻击）尤为关键：它们通过在输入数据中嵌入与合法流量几乎无法区分的细微修改来欺骗模型。

此类攻击通常发生在推理阶段，此时经过对抗性扰动的输入可能会绕过检测并渗透到系统中， potentially enabling backdoor attacks（潜在地启用后门攻击）或促成更广泛的入侵。相比之下，通过向良性流量注入噪声，攻击者可以诱导误报，从而导致不必要的警报、系统过载和操作可靠性降低。这些后果凸显了对强大且实用的防御机制的迫切需求。

在此背景下，鲁棒性（Robustness）指的是模型在对抗性扰动、噪声或分布变化下保持稳定性能的能力。鲁棒的模型能够抵抗恶意操纵，并在变化的网络条件下保持准确性。最近的研究通过自适应正则化（Adaptive Regularization）和对比性对抗表示蒸馏（Contrastive Adversarial Representation Distillation）增强了鲁棒性，强调了其作为安全AI模型基础的重要性。

同样，对于基于AI的模型，数据隐私（Data Privacy）确保了敏感信息无法从模型参数、梯度或输出中被推断或暴露。这在入侵检测中至关重要，因为流量和日志通常包含机密数据。隐私泄露不仅侵蚀信任，还使对抗性利用成为可能——例如，制作模仿正常流量以逃避检测的恶意样本。因此，有效的防御必须同时确保鲁棒性和隐私，以建立可信的基于AI的检测系统。

尽管如此，尽管取得了这些进展，大多数以鲁棒性为导向的研究主要侧重于提高攻击后的恢复能力，并且常常忽略其他关键方面，如数据隐私、计算效率以及干净数据准确性和对抗抵抗力之间的平衡。现有研究通常假设对抗攻击是不可避免的，因此主要关注提高事后模型的鲁棒性，而不是通过保护隐私来主动降低攻击成功的可能性。此外，先前的研究通常孤立地处理对抗鲁棒性或隐私保护，探索将两者结合的统一防御策略的研究有限。因此，模型鲁棒性、隐私和分类性能之间的权衡——尤其是在封闭盒攻击场景下——仍未得到充分探索。另外，相对较少的研究定量分析了在现实世界安全环境中部署此类防御机制所涉及的计算成本。诸如推理延迟、训练时间和资源限制等考虑因素对于基于AI的模型的实际应用至关重要。而且，尽管对抗训练在增强模型鲁棒性方面已被证明有效，但许多研究未能充分解决此类训练后对干净数据的性能下降问题。在实际部署中，在防御对抗输入的同时，保持对良性流量的高精度至关重要。

为了系统地探索和解决这些差距，研究人员提出了PPATF（Privacy-Preserving Adversarial Training Framework，隐私保护对抗训练框架），该框架独特地结合了数据平滑方法（FS和RS）与通过DP-SGD优化的对抗迁移学习。这种集成使得能够同时实现数据隐私、对封闭盒攻击的鲁棒性以及适用于资源受限设置的计算效率。

为开展研究，研究人员主要采用了以下关键技术方法：

1. 1.
   差分隐私随机梯度下降（DP-SGD）：在模型训练过程中，通过梯度裁剪和添加高斯噪声，确保训练数据满足（ε, δ）-差分隐私，防止数据泄露和成员推理攻击。
2. 2.
   对抗训练：使用多层感知机（MLP）作为影子模型，利用投影梯度下降（PGD）和DeepFool攻击生成对抗样本，并将其与原始训练数据混合，用于重新训练轻量级梯度提升机（LightGBM）入侵检测模型，提升其对抗扰动的鲁棒性。
3. 3.
   数据平滑技术：包括特征压缩（FS），通过降低输入特征的精度（如32位量化）来压缩输入空间；以及随机平滑（RS），通过向输入添加随机噪声并聚合多次预测结果（如20次采样）来平滑模型的决策边界。
4. 4.
   模型集成：将经过对抗训练的模型与数据平滑技术（FS或RS）以集成方式结合，进一步提升整体鲁棒性，并评估不同组合在干净数据和对抗数据（由ZOO和HSJ攻击生成）上的性能权衡。
   实验在两个公开数据集（MQTTset和UNSW-NB15）上进行，评估指标包括准确率、精确率、召回率、F1分数以及训练和推理时间。

IV. EXPERIMENTAL SETUP AND RESULT

A. EXPERIMENTAL SETUP

实验在Google Colab Pro环境中进行。使用的模型是基于LightGBM的轻量级入侵检测模型，并利用线性判别分析（LDA）进行降维以适配资源受限环境。数据集为MQTTset和UNSW-NB15，并进行了标准化和LDA处理。评估使用干净数据以及由ZOO（Zero Order Optimization）和HSJ（HopSkipJump）攻击生成的对抗样本。

B. EXPERIMENTAL RESULTS AND ANALYSIS

1) PERFORMANCE EVALUATION OF THE BINARY CLASSIFICATION MODEL

在MQTTset二分类任务中，基线模型在干净数据上准确率为99.08%，但在ZOO和HSJ攻击下分别降至77.47%和50.03%。单独应用特征压缩（FS）能提升对抗鲁棒性（ZOO下97.26%），但增加了恶意包的漏报（False Negative）。应用DP-SGD优化的对抗训练模型在干净数据和对抗数据上均表现良好。最终，DP-SGD与随机平滑（RS）的集成模型被证明是最优策略，在干净数据和ZOO攻击下均达到约96.9%的准确率，在HSJ攻击下准确率达到70.98%，显著降低了漏报，实现了鲁棒性和隐私保护的良好平衡。

2) PERFORMANCE EVALUATION OF THE MULTI-CLASS CLASSIFICATION MODEL

在MQTTset多分类任务中，基线模型在干净数据上准确率为99.75%，在ZOO和HSJ攻击下分别降至95.81%和51.90%。DP-SGD对抗训练模型在干净数据上保持高准确率（99.72%），并在对抗数据上有所提升（ZOO: 96.29%, HSJ: 65.17%）。DP-SGD与FS的集成模型表现最佳，在干净数据和ZOO攻击下分别达到99.72%和97.16%的准确率，在HSJ攻击下达到68.12%，且推理效率高于RS集成方案。

C. GENERALIZABILITY ON OTHER DATASETS

在UNSW-NB15数据集上的实验进一步验证了PPATF的泛化能力。对于二分类和多分类任务，DP-SGD与数据平滑（FS或RS）的集成框架均能在保持干净数据性能的同时，显著提升模型对HSJ等封闭盒攻击的鲁棒性，证明了该框架在不同网络环境下的有效性。

V. DISCUSSION

A. FALSE NEGATIVE ANALYSIS

研究发现，在二分类中应用FS虽提升鲁棒性，但增加了恶意包的漏报。决策边界可视化表明，部分恶意样本与合法样本在降维后的特征空间中存在重叠，导致模型在边界区域区分困难。未来的研究应致力于减少漏报，同时保持模型鲁棒性。

B. BALANCING ACCURACY,ROBUSTNESS,AND EFFICIENCY

PPATF有效提升了对抗鲁棒性，但需要在准确率、鲁棒性和计算效率之间进行权衡。例如，RS集成鲁棒性更强但推理时间显著增加。DP-SGD的引入带来了隐私保障，但也伴随计算开销和性能权衡。在实际部署中，应根据入侵检测系统的具体操作目标明确这些权衡的优先级。

C. LIMITATION

研究的局限性包括实验环境限制导致的时间指标为相对比较；数据集中未包含混淆或 polymorphic malware（多态恶意软件）样本；未在真实分布式场景（如工业物联网）中进行系统级验证。未来工作可考虑纳入更复杂的逃避技术并进行更广泛的部署评估。

D. COMPARISON ON RELATED WORKS

与相关研究相比，PPATF的优势在于同时集成了隐私保护（DP-SGD）、对抗训练和数据平滑，并在封闭盒攻击场景下进行了全面评估，展示了其在轻量级、隐私和鲁棒性方面的综合优势。

VI. CONCLUSION

本研究提出的PPATF框架通过整合差分隐私、对抗训练和数据平滑，为轻量级入侵检测模型提供了一种统一的防御方案，能同时保障训练数据的隐私性和模型对抗攻击的鲁棒性。实验证明该框架在MQTTset和UNSW-NB15数据集上均能有效工作，具有良好的泛化能力。数据平滑和对抗训练作为互补机制，分别通过约束攻击者操作空间和暴露模型于对抗样本来协同提升鲁棒性，而DP-SGD的加入则确保了隐私保障。该研究为在资源受限环境下部署安全、可靠的AI驱动入侵检测系统奠定了基础。未来的研究方向包括扩展应对更复杂的网络级对抗模式，以及探索差分隐私联邦学习在分布式入侵检测中的应用。