論文の概要: Behavior-Aware and Generalizable Defense Against Black-Box Adversarial Attacks for ML-Based IDS
- arxiv url: http://arxiv.org/abs/2512.13501v1
- Date: Mon, 15 Dec 2025 16:29:23 GMT
- ステータス: 翻訳完了
- システム内更新日: 2025-12-16 17:54:56.752358
- Title: Behavior-Aware and Generalizable Defense Against Black-Box Adversarial Attacks for ML-Based IDS
- Title(参考訳): MLベースIDSに対するブラックボックス攻撃に対する行動認識と一般化可能な防御
- Authors: Sabrine Ennaji, Elhadj Benkhelifa, Luigi Vincenzo Mancini,
- Abstract要約: ブラックボックスの敵攻撃は、機械学習ベースの侵入検知システムによってますます標的にされている。
本稿では,現実的なブラックボックスシナリオに特化して設計された,軽量かつプロアクティブな防御機構であるAdaptive Feature Poisoningを提案する。
我々は攻撃者を混乱させ、攻撃の有効性を低下させ、検出性能を維持する能力を評価する。
- 参考スコア(独自算出の注目度): 2.179313476241343
- License: http://arxiv.org/licenses/nonexclusive-distrib/1.0/
- Abstract: Machine learning based intrusion detection systems are increasingly targeted by black box adversarial attacks, where attackers craft evasive inputs using indirect feedback such as binary outputs or behavioral signals like response time and resource usage. While several defenses have been proposed, including input transformation, adversarial training, and surrogate detection, they often fall short in practice. Most are tailored to specific attack types, require internal model access, or rely on static mechanisms that fail to generalize across evolving attack strategies. Furthermore, defenses such as input transformation can degrade intrusion detection system performance, making them unsuitable for real time deployment. To address these limitations, we propose Adaptive Feature Poisoning, a lightweight and proactive defense mechanism designed specifically for realistic black box scenarios. Adaptive Feature Poisoning assumes that probing can occur silently and continuously, and introduces dynamic and context aware perturbations to selected traffic features, corrupting the attacker feedback loop without impacting detection capabilities. The method leverages traffic profiling, change point detection, and adaptive scaling to selectively perturb features that an attacker is likely exploiting, based on observed deviations. We evaluate Adaptive Feature Poisoning against multiple realistic adversarial attack strategies, including silent probing, transferability based attacks, and decision boundary based attacks. The results demonstrate its ability to confuse attackers, degrade attack effectiveness, and preserve detection performance. By offering a generalizable, attack agnostic, and undetectable defense, Adaptive Feature Poisoning represents a significant step toward practical and robust adversarial resilience in machine learning based intrusion detection systems.
- Abstract(参考訳): 機械学習ベースの侵入検知システムは、ブラックボックスの敵攻撃によってますます標的にされており、攻撃者はバイナリ出力や応答時間やリソース使用などの行動信号といった間接的なフィードバックを使用して回避的な入力を作らなければならない。
入力変換、逆行訓練、代理検出など、いくつかの防衛策が提案されているが、実際は不足していることが多い。
その多くは、特定の攻撃タイプに合わせて調整されているか、内部モデルアクセスを必要とするか、あるいは進化する攻撃戦略をまたいで一般化できない静的メカニズムに依存している。
さらに、入力変換などのディフェンスは侵入検知システムの性能を低下させ、リアルタイムデプロイメントには適さない。
これらの制約に対処するために,現実的なブラックボックスシナリオに特化して設計された軽量かつプロアクティブな防御機構であるAdaptive Feature Poisoningを提案する。
Adaptive Feature Poisoningは、探索はサイレントかつ連続的に起こりうると仮定し、選択されたトラフィック機能に動的かつコンテキストを考慮した摂動を導入し、検出機能に影響を与えることなく攻撃者のフィードバックループを破損させる。
この方法は、トラフィックのプロファイリング、変更点の検出、適応スケーリングを利用して、攻撃者が利用している可能性のある機能を、観測された偏差に基づいて選択的に摂動する。
我々は,無声探索,移動可能性に基づく攻撃,決定境界に基づく攻撃など,複数の現実的敵攻撃戦略に対する適応的特徴中毒の評価を行った。
その結果,攻撃者を混乱させ,攻撃効果を低下させ,検出性能を維持できることを示した。
Adaptive Feature Poisoningは、一般化可能で、攻撃非依存、および検出不能な防御を提供することによって、機械学習ベースの侵入検知システムにおいて、実用的で堅牢な敵のレジリエンスに向けた重要なステップである。
関連論文リスト
- Preliminary Investigation into Uncertainty-Aware Attack Stage Classification [81.28215542218724]
この研究は、不確実性の下での攻撃段階推論の問題に対処する。
Evidential Deep Learning (EDL) に基づく分類手法を提案し、ディリクレ分布のパラメータを可能な段階に出力することで予測の不確実性をモデル化する。
シミュレーション環境における予備実験により,提案モデルが精度良く攻撃の段階を推定できることが実証された。
論文 参考訳(メタデータ) (2025-08-01T06:58:00Z) - Vulnerability Disclosure through Adaptive Black-Box Adversarial Attacks on NIDS [0.393259574660092]
本稿では,ブラックボックス攻撃に対する新たなアプローチを提案する。
システムアクセスを前提としたり、繰り返し探索に依存する従来の作業とは異なり、我々の手法はブラックボックスの制約を厳密に尊重する。
本稿では,変化点検出と因果解析を用いた適応的特徴選択手法を提案する。
論文 参考訳(メタデータ) (2025-06-25T16:10:20Z) - Mind the Gap: Detecting Black-box Adversarial Attacks in the Making through Query Update Analysis [3.795071937009966]
アドリアックは機械学習(ML)モデルの整合性を損なう可能性がある。
本稿では,逆ノイズインスタンスが生成されているかどうかを検出するフレームワークを提案する。
適応攻撃を含む8つの最先端攻撃に対するアプローチを評価する。
論文 参考訳(メタデータ) (2025-03-04T20:25:12Z) - Fortify the Guardian, Not the Treasure: Resilient Adversarial Detectors [0.0]
アダプティブアタックとは、攻撃者が防御を意識し、その戦略を適応させる攻撃である。
提案手法は, クリーンな精度を損なうことなく, 敵の訓練を活用して攻撃を検知する能力を強化する。
CIFAR-10とSVHNデータセットの実験的評価により,提案アルゴリズムは,適応的敵攻撃を正確に識別する検出器の能力を大幅に向上することを示した。
論文 参考訳(メタデータ) (2024-04-18T12:13:09Z) - Adaptive Attack Detection in Text Classification: Leveraging Space Exploration Features for Text Sentiment Classification [44.99833362998488]
敵のサンプル検出は、特に急速に進化する攻撃に直面して、適応的なサイバー防御において重要な役割を果たす。
本稿では,BERT(Bidirectional Representations from Transformers)のパワーを活用し,空間探索機能(Space Exploration Features)の概念を提案する。
論文 参考訳(メタデータ) (2023-08-29T23:02:26Z) - Illusory Attacks: Information-Theoretic Detectability Matters in Adversarial Attacks [76.35478518372692]
エプシロン・イリューソリー(epsilon-illusory)は、シーケンシャルな意思決定者に対する敵対的攻撃の新たな形態である。
既存の攻撃と比較して,エプシロン・イリューソリーの自動検出は極めて困難である。
以上の結果から, より優れた異常検知器, 効果的なハードウェアおよびシステムレベルの防御の必要性が示唆された。
論文 参考訳(メタデータ) (2022-07-20T19:49:09Z) - Investigating Robustness of Adversarial Samples Detection for Automatic
Speaker Verification [78.51092318750102]
本研究は,ASVシステムに対して,別個の検出ネットワークによる敵攻撃から防御することを提案する。
VGGライクな二分分類検出器を導入し、対向サンプルの検出に有効であることが実証された。
論文 参考訳(メタデータ) (2020-06-11T04:31:56Z) - Adversarial vs behavioural-based defensive AI with joint, continual and
active learning: automated evaluation of robustness to deception, poisoning
and concept drift [62.997667081978825]
人工知能(AI)の最近の進歩は、サイバーセキュリティのための行動分析(UEBA)に新たな能力をもたらした。
本稿では、検出プロセスを改善し、人間の専門知識を効果的に活用することにより、この攻撃を効果的に軽減するソリューションを提案する。
論文 参考訳(メタデータ) (2020-01-13T13:54:36Z)
関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。
指定された論文の情報です。
本サイトの運営者は本サイト(すべての情報・翻訳含む)の品質を保証せず、本サイト(すべての情報・翻訳含む)を使用して発生したあらゆる結果について一切の責任を負いません。