网络安全中的对抗防御：基于GAN的威胁检测与缓解系统综述

最新推荐文章于 2025-12-31 16:09:40 发布

原创最新推荐文章于 2025-12-31 16:09:40 发布 · 838 阅读

6 ·

CC 4.0 BY-SA版权

文章标签：

#web安全 #生成对抗网络 #安全

大家读完聚德有帮助记得关注和点赞！！！

摘要

基于机器学习的网络安全系统极易受到对抗性攻击，而生成对抗网络（GANs）既可作为强大的攻击助推器，也可作为有前景的防御手段。本综述系统性地回顾了网络安全中基于GAN的对抗防御（2021年至2025年8月31日），整合了最新进展，指出了研究空白，并勾勒了未来方向。我们采用符合PRISMA标准的系统文献综述协议，检索了五个主要数字图书馆。从829条初始记录中，保留了185项经过同行评审的研究，并通过定量趋势分析和主题分类法构建进行了综合。我们引入了一个四维分类法，涵盖防御功能、GAN架构、网络安全领域和对抗威胁模型。GAN在网络入侵检测、恶意软件分析和物联网安全等领域提高了检测准确性、鲁棒性和数据效用。显著的进展包括用于稳定训练的WGAN-GP、用于定向合成的CGANs，以及用于提高弹性的混合GAN模型。然而，仍然存在持续的挑战，如训练不稳定性、缺乏标准化基准、高计算成本和有限的可解释性。基于GAN的防御显示出强大潜力，但需要在稳定架构、基准测试、透明度和部署方面取得进展。我们提出了一个路线图，强调混合模型、统一评估、现实世界集成以及针对新兴威胁（如LLM驱动的网络攻击）的防御。本综述为可扩展、可信赖和自适应的GAN驱动防御奠定了基础。

CCS概念：

• 计算方法论 → 机器学习；人工智能；神经网络；

• 安全与隐私 → 入侵/异常检测和恶意软件缓解；安全协议；Web应用安全。

附加关键词和短语：生成对抗网络（GANs）、网络安全、对抗性机器学习、入侵检测、恶意软件检测、威胁缓解

1 引言

现代社会的数字化转型扩大了关键基础设施、企业网络和个人设备的攻击面。由复杂对抗攻击（包括规避[117, 133]、数据投毒[100]和后门插入[100, 146]）驱动的网络威胁快速传播，削弱了跨领域（包括入侵检测系统（IDS）、物联网（IoT）安全和自治网络[11, 13, 133, 151]）的传统安全措施。这些攻击利用机器学习漏洞，在物联网设备和分布式系统激增的背景下极大地扩大了攻击面[44, 173, 184]。生成对抗网络（GANs）最初由Goodfellow等人[58]提出，已从合成数据生成转变为必要的防御手段，能够实现对抗场景模拟、数据集增强和模型弹性增强[19, 86, 150, 178]。像条件GANs（CGANs）和Wasserstein GANs（WGANs）这样的变体在异常检测和IDS鲁棒性方面擅长生成真实样本[46, 61, 91]，在应对动态威胁时优于基于静态签名的方法[46, 62, 147]。然而，GAN在网络安全中的应用是零散的，面临着训练不稳定性、数据集稀缺、边缘设备计算约束以及双重用途风险（即GAN既可用于防御也可用于高级攻击[4, 7, 36, 49, 52, 70, 90, 115, 148, 152]）等问题。最近的进展，如用于入侵检测的GAN-IF模型和用于自动驾驶汽车防御的AR-GAN，突显了在实时缓解方面的潜力，但伦理框架和统一评估仍然缺乏[87, 139]。这一空白需要进行系统文献综述（SLR）来整合GAN架构、应用和性能指标，以用于主动对抗防御。

1.1 对抗性机器学习与GAN在网络安全中的作用

1.1.1 对抗性ML威胁。对抗性机器学习（AML）已成为现代网络安全中的关键威胁载体，攻击者通过操纵输入数据来规避检测或毒化训练流程[11, 47, 101, 137]。传统ML模型在入侵检测、恶意软件分类和欺诈预防方面仍然容易受到规避攻击、数据投毒和后门插入的攻击，这些风险在物联网和自治网络等互联生态系统中被进一步放大[13, 133, 151]。

1.1.2 GAN作为双重用途工具。 GAN在这一领域既带来了机遇也带来了风险。自其被引入[58]以来，GAN已被证明是生成真实对抗样本的强大工具[57]，既能够实现稳健的训练模拟，也能支持高级攻击策略，如深度伪造和多态恶意软件[4]。其双重用途性质显而易见：在进攻方面，攻击者利用GAN创建对抗性恶意软件、网络钓鱼网站或隐秘的入侵流量[36, 69, 90, 162]；在防御方面，GAN被用于数据增强、对抗训练和隐私保护合成，以增强对不断演变的威胁的弹性[17, 19, 70, 134, 166]。

1.1.3 从传统防御到AI增强防御。基础防御措施如防火墙[105]、基于签名的IDS[25, 111]、防病毒工具[120]和蜜罐[143]仍然重要，但面对零日漏洞利用和自适应对手越来越力不从心[154]。虽然基于AI的方法（如深度学习IDS和集成分类器）改善了异常检测，但它们受到数据集不平衡、有限适应性和易受对抗操纵的困扰[16, 94, 171]。在此背景下，GAN通过模拟复杂攻击场景、提高对抗鲁棒性以及在物联网和恶意软件检测等领域实现隐私保护增强，提供了变革性优势[4, 13, 74]。这种双重能力使GAN区别于传统AI，将其定位为下一代网络防御的有前景的基础[51, 122]。

表1. 传统/AI-based安全措施与GAN-based防御的比较

维度	传统与AI/ML	GAN-Based防御
检测方法	低[151]	高 [3, 46, 155]
适应性	低 [45, 157]	高[4, 51, 178]
主动性与反应性	低 [59]	高[92, 114]
可扩展性	有限 [25]	高 [42, 68, 180]
透明度/可解释性	高[123]	低 [23, 122]
对抗攻击下的性能	低 [94, 121]	高 [4, 74]
运营成本	高效率 [90]	低效率 [39, 55]

1.2 动机与意义

虽然有多篇综述涵盖AML [151, 160]，另一些则广泛回顾了GAN在网络安全中的应用[19, 71, 79, 161]，但没有一篇专门针对网络安全中基于GAN的防御机制提供有针对性的综合。本系统综述的动机是多方面的且极其紧迫，由以下关键因素驱动：

（1）对抗性必要性：进攻性GAN应用在击败基于ML的安全系统方面已证明的成功表明威胁是实际存在且迫在眉睫的[167]。这需要同样复杂且不断发展的防御响应，本综述旨在对这些响应进行编目和分析。

（2）弥合碎片化的研究格局：自2021年以来，已有大量关于GAN用于网络安全的工作发表，但这些研究仍孤立于特定的子领域。本综述将把这些分散的知识综合成一个统一的分类法，提供对最新技术的整体视图，并促进跨学科创新。

（3）指导未来的研究与开发：为了使该领域超越学术原型取得进展，对什么有效、什么无效及其原因进行批判性评估至关重要。本综述旨在找出常见的性能趋势、方法局限性和当前研究的空白。通过这样做，它将为学术界和工业界从业者提供清晰的路线图，将资源引导至最有前景和高影响力的研究方向。

（4）从理论到实践：大多数现有研究是在受控环境中进行的。这项工作的意义在于其能够分析这些基于GAN的防御在实时、大规模环境中的实际适用性，从而有助于将理论进展转化为切实的安全解决方案。

1.3 研究问题

本综述旨在通过回答以下研究问题（RQs），整合和分析2021年1月至2025年8月31日期间关于网络安全中基于GAN的对抗防御的文献：

（1）RQ1："从2021年到2025年8月31日，关于网络安全中基于GAN的对抗防御的文献现状和发表趋势如何？"，旨在识别、收集和分类专门研究在网络安全应用中使用GAN进行对抗防御的相关研究主体。

（2）RQ2："这些防御方法在技术上是如何表征和分类的？"，旨在开发一种新的分类法，基于关键技术维度（防御功能、GAN变体和架构、网络安全领域和威胁模型）对已识别的研究进行分类。

（3）RQ3："所提出的防御措施效果如何，以及这种效果是如何衡量的？"，旨在批判性分析和综合关于这些基于GAN的防御的性能和效力的经验证据，重点关注报告的指标、基线和使用的数据集。

（4）RQ4："普遍存在的技术挑战和局限性是什么？"，旨在识别和阐述当前研究格局中普遍存在的技术挑战、局限性和未解决的问题，包括可重复性、可扩展性和评估严谨性问题。

（5）RQ5："有前景的未来研究方向是什么？"，提供一个前瞻性的路线图，概述有前景和高优先级的研究方向，以推动该领域向实用、可部署的对抗防御系统发展。

1.4 本综述的贡献

本系统综述做出了几项开创性贡献，旨在推动对抗性网络安全防御领域的发展。与之前的综述相比，这项工作提供了一个基于对最新研究的系统分析的技术路线图，为学术研究者和行业从业者提供以下切实价值：

（1）一种新颖的、可操作的防御工程分类法：这项工作的核心技术贡献是一个四维分类法，从描述转向提供工程框架。通过按功能（做什么）、架构（如何构建）、领域（应用于何处）和威胁模型（防御什么）对防御措施进行分类，该分类法提供了一个结构化的设计空间，允许安全架构师针对其特定运营环境系统地识别合适的基于GAN的防御策略，以减少设计模糊性并加速开发周期。

（2）一个批判性的基准测试框架和差距分析：本综述首次对该领域使用的评估方法进行了批判性分析。我们指出了严重过度依赖过时数据集和非自适应攻击评估的问题，这夸大了性能指标并歪曲了现实世界的效力。这直接解决了AI安全中的可重复性危机，并为客观比较未来防御机制的性能提供了基准。

（3）面向操作部署的技术路线图：本综述的一个关键发现是学术概念验证与操作可行性之间存在显著差距。我们将这一发现转化为一个可操作的研究议程，专注于克服部署的技术障碍。这包括开发轻量级GAN架构以满足实时吞吐量需求的具体方向、确保生成的网络威胁样本功能有效性的方法，以及将生成式防御集成到现有安全运营中心（SOC）工作流程中的框架。这将研究重点从纯粹的学术指标转向解决可扩展性、集成和持续适应性的实际问题。

（4）为研究界整合的知识库：通过系统综合和分析2021年至2025年8月31日期间的主要研究，本综述创建了一个经过筛选的知识库，减轻了信息碎片化。对研究人员而言，这作为一个重要的参考，以避免重复劳动，识别未充分探索的研究领域，并基于最有前景的现有工作进行构建。对从业者而言，它提供了关于最新技术的经过验证和批判性的总结，为技术投资和开发的战略决策提供信息。这些贡献弥合了研究空白，为可扩展、稳健的基于GAN的防御奠定了基础。

1.5 论文组织结构

本文其余部分结构如下：第2节详述SLR方法。第3节讨论相关综述。第4节提供关于GAN、攻击、防御和对抗性ML的基本背景。第5节呈现结果并分析发现和挑战。第6节概述未来方向，并总结本综述。

2 方法

为确保对文献进行全面、无偏见和可重复的分析，本综述遵循完善的系统综述和Meta分析首选报告项目（PRISMA）指南[118, 149]进行。本节详述了方案，包括搜索策略、研究选择标准和数据提取过程，并以第1.3节最初提出的研究问题（RQs）为指导。在此重申它们，以建立综述目标与其方法执行之间的直接联系。

2.1 综述方案与规划

该方法遵循PRISMA指南[118]和Kitchenham的系统综述框架[82]，确保结构化和可重复的过程。该方案定义了纳入/排除标准、搜索策略和质量评估，以综合从2021年至2025年8月31日的185项研究，如表2所示，涉及发表趋势（RQ1）、技术分类（RQ2）、有效性评估（RQ3）、挑战（RQ4）和未来方向（RQ5）。

2.2 搜索策略

2.2.1 搜索的数字图书馆。搜索范围涵盖IEEE Xplore、ACM数字图书馆、ScienceDirect、MDPI和SpringerLink，以捕获与RQ1-RQ5相关的广泛同行评审文献。

2.2.2 搜索字符串制定和试点搜索。通过试点搜索制定并完善了查询（"生成对抗网络" OR "GAN"） AND （"对抗防御" OR "对抗攻击"） AND （"网络安全" OR "IDS"），针对2021年至2025年8月31日期间的研究，以建立发表趋势（RQ1）和识别技术特征（RQ2）。附录A中的表T.1详细列出了每个数字图书馆使用的搜索字符串。

2.3 研究选择过程

2.3.1 纳入标准（IC）。如果研究是同行评审的、专注于基于GAN的防御，并且在2021年至2025年8月31日期间发表，则被纳入，确保与RQ1（趋势）、RQ2（特征描述）和RQ3（有效性）相关。

2.3.2 排除标准（EC）。排除了非期刊出版物、非GAN重点研究以及不在2021年至2025年8月31日时间范围内的研究，以保持对RQ4（挑战）和RQ5（未来方向）的关注。

表2. 跨期刊数据库和发表年份的搜索结果，经过纳入/排除过滤前后。

数据库/年份	2021	2022	2023	2024	2025	总计
IEEE Xplore	7	6	14	16	14	57
ScienceDirect	6	8	14	17	18	63
ACM数字图书馆	3	3	5	6	5	22
MDPI	1	3	5	6	4	19
SpringerLink	2	2	2	3	3	12
总计	19	22	40	48	44	173

2.3.3 PRISMA流程图。选择过程识别了829项研究，筛选了768项，对714项进行了资格评估，纳入了173项，并通过滚雪球法添加了12项，总计185项研究，如图1所示，支持RQ1的趋势分析。

图1. 研究选择过程的PRISMA流程图。

2.4 数据提取策略

使用数据提取表和字段（如表T.3所示，位于附录C），从185项研究中提取了关于GAN架构（RQ2）、应用领域（RQ2）、性能指标（RQ3）、挑战（RQ4）和未来方向（RQ5）的结构化数据。

2.5 主要研究的质量评估

基于附录B中的表T.2，根据与网络安全防御的相关性、方法严谨性以及对RQ3（有效性）、RQ4（挑战）和RQ5（未来方向）的贡献来评估质量，确保稳健的综合。

2.6 纳入研究概述与发表趋势

本节综合了通过系统综述确定的185项同行评审研究的发现，时间跨度为2021年至2025年8月31日。分析显示，2024年出版物数量激增，大部分研究在该年发表，反映了对基于GAN的防御日益增长的兴趣（RQ1）。这一趋势突显了应对不断演变的网络安全威胁的转变，2025年显示出持续增长的早期迹象。这种增长与GAN架构的进步及其在现实世界领域中的应用相关。

3 相关工作

为了精确定位本工作的贡献（总结于表3），有必要分析并将其与这些现有工作区分开来。我们将相关综述分为三个主要主题：（1）对抗性机器学习，（2）AI/ML在网络安全中的广泛应用，以及（3）关于GAN的综述。

3.1 关于对抗性机器学习的综述

早期的奠基性综述，如Rosenberg等人[135]和Machado等人[102]，概述了规避、投毒和提取等攻击分类法，并强调了在计算机视觉和网络安全等领域的防御策略。后续研究将范围扩展到专业领域：Alsmadi等人[15]综述了基于文本的AML威胁，而Adesina等人[2]专注于使用RF数据的无线通信。Bountakas等人[28]和Malik等人[103]对防御策略进行了系统综述，强调了对抗训练、鲁棒优化和数据清理等方法。He等人[67]和Alotaibi与Rassam[12]综述了针对网络入侵检测系统（NIDS）的AML攻击，指出了物联网部署中的漏洞。近期的努力，如Alkadi等人[9]，强调了AML在物联网中的应用，而Khazane等人[81]和Harbi等人[65]为物联网赋能系统提供了全面的综述和路线图。在前沿领域，Standen等人[151]研究了多智能体强化学习中的AML，Pelekis等人[122]综合了方法和特定行业的挑战，强调了鲁棒性和隐私之间的权衡。虽然AML综述强调分类法和经典防御，但基于GAN的防御通过利用生成模型来预测不断演变的威胁，贡献了额外的灵活性，突出了我们以GAN为中心的系统综述以补充和推进AML研究的必要性。

3.2 关于AI/ML在网络安全的综述

早期的贡献，如Lourens等人[97]，对AI与网络安全的集成进行了系统综述，强调了网络钓鱼、对抗攻击和认知启发方法等实际问题。Salem等人[140]对AI驱动的检测技术进行了全面综述，涵盖了异常检测、恶意软件分析和深度学习，而Karki等人[80]考察了ML在入侵检测、恶意软件分类和网络威胁情报中的广泛适用性。一些工作针对特定维度，Capuano等人[30]综述了网络安全中的可解释AI（XAI）方法，强调了对信任和可解释性的需求，而Sangwan等人[141]分析了针对AI系统本身的威胁，突出了对抗环境中的漏洞。近期的研究扩展了范围，Alam等人[8]和Malik等人[104]解决了AI/ML部署的伦理和实际挑战，而Martínez等人[106]强调了AI/ML在保护光网络中的作用。像Olatunji等人[116]和Gharbaoui等人[56]这样的系统综述进一步综合了跨领域的贡献，将可扩展性和基准限制确定为反复出现的挑战。虽然AI/ML综述在网络防御应用方面奠定了坚实基础，但以GAN为中心的综述带来了必要的生成视角，使系统能够实时预测和缓解新的攻击场景。

3.3 关于GAN的综述

3.3.1 技术进步。 GAN通过增强攻击模拟和防御弹性，已成为网络安全的强大赋能工具。它们已被广泛用于对抗性推荐系统和入侵检测，以生成合成扰动和攻击样本，允许对模型进行稳健的压力测试，如Zhang等人[43]和Lee等人[46]所示。最近的进展利用GAN进行异常检测、恶意软件行为建模和IDS，在这些领域它们解决了数据不平衡、零日攻击模拟和对抗训练等挑战，如Kumar等人[86]、Zhang等人[55]和Chen等人[18]所报道。诸如DCGANs、WGANs和多视图GANs等架构已被引入以缓解模式崩溃、稳定训练并支持物联网、IoFT和移动自组织网络等实时安全上下文。例如，Jenkins等人[72]、Rajkumar等人[131]和Li等人[54]证明了它们在这些领域的效率。这些进展展示了GAN的技术多功能性，从合成攻击数据生成（如Ahmed等人[5]所示）到弹性入侵检测（如Saeed等人[138]和Zhao等人[176]所述），将其定位为AI驱动网络安全框架未来的核心。

3.3.2 伦理与安全影响。尽管具有防御潜力，但GAN也通过使对手能够制作高度规避、真实的攻击向量而引发了关键风险。综述强调了它们在深度伪造生成、混淆和对抗扰动中的使用，这些可能损害生物识别、网络和基于Web的安全系统中的信任，如Coppolino等人[39]和Shafik等人[144]所强调。案例研究进一步揭示，当被误用时，GAN可能促进隐私泄露并放大网络威胁，加剧了攻击者和防御者之间的军备竞赛，如Balasubramanian等人[24]所讨论。总之，GAN代表了网络安全中的双刃剑范式：在技术上，它们能够实现稳健的对抗训练、异常检测和合成数据增强，但在战略上，它们挑战了整个数字生态系统中的隐私、安全保证和信任。

3.4 现有综述的空白及本综述的意义

总体而言，如表3所强调，这些工作仍然零散，很少提供跨领域综合、详细的性能基准测试或面向部署的见解。本综述通过整合2021年至2025年8月31日期间跨IDS、恶意软件检测、物联网和生物识别系统的基于GAN的防御，系统地解决了这些空白（RQ1-RQ5）。它贡献了一种新颖的多维分类法（按防御功能、GAN架构、领域和威胁模型），评估了性能指标和数据集，并批判性地审视了稳定性、可重复性和现实世界部署方面的挑战。此外，与早期综述不同，它确定了关于稳定架构、标准化基准和可解释性等未来研究方向，从而将GAN不仅定位为合成数据生成器，而且定位为网络安全中对抗防御的核心赋能技术。

表3. AML、AI/ML和GAN相关网络安全综述的比较总结。我们的研究独特地提供了对2021年至2025年8月31日期间基于GAN的对抗防御的系统性、分类法驱动的综述。

焦点领域	研究	覆盖范围	指标	数据集	系统综述	分类法	挑战	未来方向
网络安全中基于GAN的对抗防御（2021–2025.08.31）	✓	✓	✓	✓	✓	✓	2025	我们的研究
GAN + LLM用于威胁建模和防御	✓	✓	✗	✓	✓	✓	2025	[51]
生成式AI安全的伦理/隐私框架	✗	✗	✗	✗	✓	✓	2025	[128]
基于CGAN的防御和攻击混淆策略	✓	✓	✗	✓	✓	✓	2025	[39]
用于动态恶意软件行为建模的GAN	✓	✓	✗	✓	✓	✓	2025	[55]
专注于可扩展性的IDS、恶意软件和僵尸网络中的GAN	✓	✓	✗	✗	✓	✓	2024	[19]
网络安全的AI驱动检测技术	✓	✓	✗	✗	✓	✓	2024	[140]
AI/ML在网络安全中的广泛应用综述	✓	✓	✗	✗	✓	✓	2024	[80]
专注于评估的网络安全中的AI/ML	✓	✓	✗	✗	✓	✓	2024	[56]
AML中的防御策略（图像/NLP/音频领域）	✓	✗	✗	✗	✓	✓	2023	[28]
从攻击和防御视角看GAN	✓	✓	✗	✓	✓	✓	2023	[169]
入侵检测和零日攻击建模中的GAN	✓	✓	✗	✗	✓	✓	2023	[46]
网络入侵检测系统（NIDS）中的AML	✓	✗	✗	✗	✓	✓	2023	[67]
网络安全中的可解释AI（XAI）	✗	✗	✗	✗	✓	✓	2022	[30]
图像分类中的AML：防御者视角	✓	✗	✗	✗	✓	✓	2021	[102]
✓ 表示该工作覆盖了该领域，而 ✗ 表示未覆盖。

4 网络安全中的生成对抗网络

本节为我们的综述建立概念基础，概述GAN基础知识、性能指标、关键架构变体、对抗威胁模型及其在网络安全中的应用领域。

4.1 网络安全中GAN的基础

GAN由Goodfellow等人[58]提出，将生成建模表述为生成器𝐺和判别器𝐷之间的竞争性游戏。生成器学习从潜在先验𝑝𝑧(𝑧)到数据空间的映射𝐺(𝑧; 𝜃𝑔)，而判别器𝐷(𝑥; 𝜃𝑑)区分真实样本𝑥 ∼ 𝑝data和合成样本[46, 53, 60, 145, 164]。它们的联合训练优化了最小最大目标：

在实践中，𝐷最大化判别准确率，而𝐺最大化log 𝐷(𝐺(𝑧))以避免梯度消失[99]。当𝑝𝑔 ≈ 𝑝data且𝐷(𝑥) ≈ 0.5时发生收敛。

4.2 GAN的定量测量（评估指标）

基于GAN的网络安全研究依赖于生成质量度量和对抗鲁棒性指标：

• 样本质量和多样性：初始分数（IS）和Fréchet初始距离（FID），FID越低、IS越高表明保真度越高。例如，

其中：𝜇𝑟, 𝜇𝑔：分别是真实和生成样本特征的平均向量。Σ𝑟, Σ𝑔：分别是真实和生成样本特征的协方差矩阵。Tr：矩阵的迹。

其中：𝑁：生成样本总数。𝑝(𝑦|𝑥ᵢ)：给定生成样本𝑥ᵢ的标签𝑦的条件概率分布。𝑝(𝑦)：所有样本上标签的边际概率分布。𝐾𝐿：Kullback-Leibler散度，衡量两个分布之间的差异。

• 分类性能：准确率、精确率、召回率、F1分数和AUC-ROC用于衡量IDS或恶意软件检测的有效性[48, 55, 68, 73, 95, 150, 152, 177]：

准确率 = (𝑇𝑃 + 𝑇𝑁) / (𝑇𝑃 + 𝑇𝑁 + 𝐹𝑃 + 𝐹𝑁) (4)

精确率 = 𝑇𝑃 / (𝑇𝑃 + 𝐹𝑃) (5)

召回率 = 𝑇𝑃 / (𝑇𝑃 + 𝐹𝑁) (6)

𝐹1 = 2 · (精确率 · 召回率) / (精确率 + 召回率) (7)

假正率 = 𝐹𝑃 / (𝐹𝑃 + 𝑇𝑁) (8)

AUC-ROC = ∫¹₀ 𝑇𝑃𝑅(𝐹𝑃𝑅) 𝑑𝐹𝑃𝑅 (9)

其中𝑇𝑃, 𝑇𝑁, 𝐹𝑃, 𝐹𝑁分别表示真正例、真负例、假正例和假负例。

• 鲁棒性：攻击成功率（ASR）和鲁棒性比率量化模型在对抗扰动下的弹性：

ASR = (成功对抗样本数) / (总对抗样本数) (10)

鲁棒性 = 1 − |𝑃clean − 𝑃adv| / 𝑃clean (11)

其中：𝑃clean：在干净、未扰动数据上的性能指标（如准确率）。𝑃adv：在遭受对抗扰动数据上的性能指标。|·|：绝对值，确保正差值。

• 统计散度：最大均值差异（MMD）和基于熵的多样性分数评估生成的对抗样本逼近真实数据分布的程度：

其中：E：各自分布上的期望算子。𝑥, 𝑥′ ∼ 𝑝ᵣ：从真实数据分布𝑝ᵣ中抽取的样本对。𝑦, 𝑦′ ∼ 𝑝𝑔：从生成数据分布𝑝𝑔中抽取的样本对。𝑘：核函数（如高斯核），计算样本之间的相似性。

多样性分数 = − (1/𝑁) ∑𝑁ᵢ₌₁ 𝑝(𝑥ᵢ) log 𝑝(𝑥ᵢ) (13)

其中：𝑁：生成样本总数。𝑝(𝑥ᵢ)：第𝑖个生成样本𝑥ᵢ在分布中的概率。log：自然对数，用于计算每个样本的熵贡献。

这些指标共同构成四个类别：样本质量、分类有效性、鲁棒性和统计多样性。

4.3 网络安全中的高级GAN变体

原始GAN经常遭受模式崩溃和不稳定梯度的影响，促使在网络安全中采用专门的变体[3, 40, 168]：

• DCGANs利用卷积架构实现更稳定的特征生成[72, 181]。它采用标准的GAN最小最大损失（如公式1所示），但通过卷积架构和批量归一化提高了稳定性，其中𝐷是判别器（深度卷积分类器），𝐺是生成器（转置卷积网络）。

• WGANs[20, 34]用Wasserstein距离替换Jensen-Shannon散度（如图2所示），实现更平滑的梯度[61, 111, 150]：

Jensen-Shannon散度：JSD(𝑃∥𝑄) = (1/2) [𝐷KL(𝑃∥𝑀) + 𝐷KL(𝑄∥𝑀)] (14)

其中𝑀 = (1/2)(𝑃 + 𝑄)。

Wasserstein距离：𝑊(𝑃, 𝑄) = inf𝛾∈Π(𝑃,𝑄) E₍ₓ,ᵧ₎∼𝛿 [∥𝑥 − 𝑦∥] (15)

其中Π(𝑃, 𝑄)是所有以𝑃和𝑄为边缘的联合分布的集合。

图2. Jensen-Shannon散度与Wasserstein距离的比较。

• CGANs[109, 127]将𝐺和𝐷都置于辅助标签的条件下，支持定向样本合成（例如DDoS流量），这对于增强不平衡安全数据集等任务非常有价值[86]。

• 混合GANs集成强化学习（GAN–RL）以实现目标导向的生成，或集成变分自编码器（VAE–GANs）以实现潜在结构合成和稳健增强[1, 179]：

GAN–RL（强化学习引导的GANs）：GAN–RL将生成器视为一个策略，产生样本（动作），这些样本通过环境衍生的奖励进行评估。当生成必须满足复杂的、不可微的目标时（例如，规避运行中的检测器，优化隐身指标），这很有用。

符号说明：令𝑝data(𝑥)为数据分布，𝑝𝑧(𝑧)为潜在𝑧的先验，𝐺𝜃(𝑧)为参数为𝜃的生成器，𝐷𝜙(𝑥)为参数为𝜙的判别器。对于VAE组件，𝑞𝜓(𝑧|𝑥)表示由𝜓参数化的编码器（推理）网络。

RL目标（期望奖励）：𝐽(𝜃) = E𝑧∼𝑝𝑧(𝑧) [𝑅(𝐺𝜃(𝑧))] (16)

其中，𝜋𝜃是由𝐺𝜃诱导的（可能隐式的）策略。在实践中，𝐺𝜃通过得分函数估计器或使用连续松弛方法进行微分。

组合的对抗性+RL目标：GAN–RL通常优化对抗目标和RL奖励的加权和。

组合的对抗性目标 + 强化学习目标： GAN–RL 通常优化的是对抗性目标和强化学习奖励的加权和。

(𝜃)"。其中，𝛼 ≥ 0 和 𝛽 ≥ 0 是用于平衡强化学习奖励和对抗欺骗目标的超参数。生成器通过上升 J(𝜃)（即沿其梯度方向更新参数）来进行更新；而判别器则通过最小化关于参数 𝜙 的损失函数 LGAN(𝜙, 𝜃) 来进行训练（相关方法可参考文献 [58, 168]）。

2. VAE–GAN（变分自编码器 + 生成对抗网络）：VAE–GAN 混合模型将 VAE 的证据下界与 GAN 的对抗损失相结合。

对于一个数据点 𝑥，VAE 的证据下界（ELBO）的表达式如下

其中，pθ(x∣z)是解码器/生成器的似然函数（通常使用高斯分布或伯努利分布的似然函数进行简化）。此处，λ>0用于平衡基于似然的重构目标（ELBO）和对抗真实性。

对抗项（GAN）：令 LGAN(ϕ,θ)表示判别器 Dϕ和生成器 Gθ之间的标准对抗损失（采用极小极大博弈或非饱和 GAN 形式）：

VAE–GAN（变分自编码器+GAN）：VAE–GAN混合模型将VAE证据下界（ELBO）与GAN对抗损失合并。

VAE ELBO（每个数据点𝑥）：

4.4 基于GAN的对抗性机器学习威胁模型

网络安全中GAN的使用必须放在AML的更广泛背景下理解，对手在此利用ML模型中的漏洞[44, 173, 178, 184]。表4突出了网络安全中的对抗样本制作技术。

表4. 网络安全中对抗样本制作技术总结

技术	类型	网络安全应用	数据集	关键参考文献
快速梯度符号法（FGSM）	基于梯度	恶意软件规避，NIDS规避	NSL-KDD, CICIDS2017, EMBER	[21, 88]
投影梯度下降（PGD）	基于梯度	NIDS和恶意软件检测的鲁棒性基准测试	NSL-KDD, DREBIN	[22, 178]
动量迭代FGSM（MIFGSM）	基于梯度	网络钓鱼URL操纵，NIDS规避	URLNet, NSL-KDD	[21, 170]
Carlini & Wagner（C&W）攻击	基于优化	恶意软件检测	DREBIN, Microsoft Malware	[4, 31]
弹性网络攻击（EAD）	基于优化	特征稀疏恶意软件规避	EMBER, DREBIN	[29, 35]
边界/基于决策的攻击	黑盒	NIDS规避	NSL-KDD, UNSW-NB15	[136, 178]
MalGAN	基于GAN	恶意软件生成以绕过检测器	DREBIN, EMBER	[96, 183]
WGAN / CGAN对抗生成	基于GAN	网络入侵/网络钓鱼规避	CICIDS2017, NSL-KDD, PhishTank	[160, 172]
混合GAN + RL / AE	基于GAN	物联网/联邦安全的自适应对抗制作	Bot-IoT, TON_IoT	[27, 75, 127, 130, 168]
零阶优化（ZOO）	黑盒/无梯度	黑盒恶意软件和NIDS规避	EMBER, DREBIN	[41, 78, 83, 89]

威胁模型的特征包括：对抗样本：𝑥′ = 𝑥 + 𝛿，旨在欺骗分类器同时看起来是良性的[44]；对手目标：规避、投毒或隐私推断[62, 147, 156]；对手知识：白盒与黑盒访问[4]；以及对手能力：扰动幅度和资源[39]。常见的制作方法包括FGSM，它将输入𝑥扰动为𝑥′ = 𝑥 + 𝜖 · sign(∇ₓ𝐿(𝑓(𝑥), 𝑦))，其中𝜖是约束扰动大小的标量，∇ₓ𝐽是损失函数𝐽关于输入𝑥的梯度。它用于以小步长𝜖最大化损失𝐿[21, 88]；PGD通过迭代改进扩展了这一点，增强了对IDS的规避能力[22, 33]；CW攻击以最小失真优化扰动以实现误分类，针对深度模型[4]，在规避IDS模型方面的成功率高达20%[178]。GAN通过合成鲁棒样本进行对抗训练来对抗这些攻击，将弹性提高了15-25%[74]。最现实的网络攻击假设黑盒设置。威胁包括规避[132]、投毒[64, 175]和提取攻击[4]，如图3所示。

图3. 网络安全中的对抗性机器学习威胁模型

（描绘了从训练数据到模型训练，再到训练模型和推理/部署的流程，并标明了投毒攻击、模型提取/推断和导致误分类/规避的对抗样本的位置。）

4.5 GAN在网络安全领域的应用

GAN已应用于三个主要的网络安全领域：

• 网络入侵检测系统（NIDS）：CGANs和WGANs在像CICIDS2017[68, 74]和NSL-KDD这样的数据集中增强了稀缺的攻击样本，将F1分数提高了0.05–0.1[46, 61, 68, 91, 160, 172]。

• 恶意软件检测：GAN生成多态恶意软件用于训练弹性分类器，混合模型将鲁棒性提高了高达25%。

• 网络钓鱼、欺诈和物联网安全：GAN在受限或分布式环境中支持对抗模拟和异常检测。

总的来说，GAN为网络安全提供了一个多功能的工具包：它们不仅生成对抗性输入以探测系统弱点，还产生合成数据以加强弹性。它们的评估依赖于一套质量、性能、鲁棒性和统计指标，而高级变体（DCGAN、WGAN、CGAN、混合模型）解决了不稳定性和模式崩溃的挑战。将这些技术建立在AML威胁模型的基础上，将GAN定位为攻击的助推器和跨NIDS、恶意软件和物联网领域的防御基础。

4.6 网络安全中基于GAN的攻击

GAN不仅用于防御，也被对手武器化以设计复杂的攻击。本节综合了它们在对抗攻击策略中的作用，详细说明了其技术机制、评估指标和目标应用。

4.6.1 规避攻击。规避攻击在推理时使用GAN生成对抗性输入，旨在绕过检测。形式上，对手求解：

其中𝛿是由𝐺生成的扰动。使用的指标是攻击成功率（ASR）、假负率（FNR）和鲁棒准确率，特别应用于入侵检测（CICIDS2017, NSL-KDD）、恶意软件分类器以及自动驾驶汽车中的交通标志误分类[142, 178]。基于GAN的规避攻击将IDS检测准确率降低了高达20%。

4.6.2 投毒和后门攻击。 GAN可以通过注入隐秘触发器或投毒样本来毒化训练流程。投毒目标是：

其中𝑡是目标后门标签。通常，使用的指标是攻击成功率（↑）、干净准确率（↓）和后门持久性，适用于协作式IDS和基于云的模型。GAN生成的后门将IDS中的检测率降低了15-20%[4]。

4.6.3 隐私和推断攻击。 GAN被利用于隐私侵犯，通过重建敏感的训练数据。模型反转通过训练𝐺从黑盒输出中模仿𝑝data来近似：

其中Div(·)通常是Jensen-Shannon散度。基于指标如重建质量（SSIM, PSNR）、成员推断准确率和隐私损失。应用于联邦学习、医疗保健和多媒体冒充。GAN已被证明可以重建用户日志并生成用于网络钓鱼和错误信息的深度伪造[92]。

基于GAN的攻击利用三大途径：（i）规避攻击，（ii）投毒/后门攻击，以及（iii）跨领域（如物联网、金融、医疗保健、自治系统）的隐私/推断攻击。这些攻击持续增加ASR和隐私泄漏，揭示了GAN在对抗性机器学习中的双重用途性质，并激发了第4.7节分析的防御机制。

4.7 网络安全中基于GAN的防御

虽然GAN已被利用来发起日益复杂的对抗攻击，但它们也作为网络安全中强大的防御赋能工具。通过生成合成数据[32, 76, 124]、模拟对抗条件[84, 107]和增强模型鲁棒性[7, 112, 162]，基于GAN的防御提供了对抗对抗性机器学习（AML）威胁的有前景的对策。本节概述了GAN的主要防御应用，建立在第5节介绍的分类法维度之上。

4.7.1 数据增强和类别平衡。 GAN被广泛用于通过生成真实的少数类样本来增强不平衡数据集。生成器𝐺(𝑧|𝑦)产生以标签𝑦为条件的合成数据，而判别器𝐷(𝑥)区分真实输入和合成输入：

这改善了对罕见事件（例如内部威胁、DoS）的检测，使用指标如F1分数、平衡准确率、精确率/召回率，特别应用于入侵检测（NSL-KDD, CICIDS2017）和欺诈检测。最近的研究报告称，少数类的召回率提高了10-20%[74, 152]。

4.7.2 对抗训练和模型硬化。 GAN生成对抗性扰动以暴露分类器中的漏洞，从而能够为鲁棒性进行再训练。防御目标可以表示为：

这基于指标在干净和GAN制作的对抗样本上训练分类器。实证结果表明，基于GAN的对抗训练将规避成功率降低了15-25%[68, 178]。

4.7.3 隐私保护数据生成。 GAN可以进行调整，以在协作学习环境中生成合成数据集的同时保护隐私。差分隐私（DP）可以通过在训练中注入校准噪声来强制执行：

确保(𝜖, 𝛿)-DP保证。

在实践中，这个公式允许GAN生成对抗性扰动或合成攻击流量，而RL组件根据环境的反馈动态调整防御策略（例如，IDS规则更新、异常阈值）。混合损失确保模型同时（i）通过L𝐺𝐴𝑁学习真实的对抗场景，以及（ii）通过L𝑅𝐿实时调整其防御策略。其中L𝐷𝑃 = 差分私有GAN的总损失。PrivacyLoss = 衡量模型隐私泄漏的惩罚项。这通常源自隐私会计技术（例如，(𝜖, 𝛿)-差分隐私保证）并跟踪在训练过程中揭示了多少敏感信息。𝜆 = 控制数据效用（低𝜆强调真实性）和隐私保护（高𝜆强调更强的隐私）之间权衡的正则化系数。使用的指标是数据效用（AUROC, 准确率）、隐私泄漏（MIA成功率）和效用-隐私权衡。基于GAN的DP在缓解成员推断攻击的同时实现了超过90%的数据效用[4, 92]。

4.7.4 混合模型（GAN+AE, GAN+RL）。混合防御结合了GAN-RL或GAN-AE以利用互补优势。例如，GAN–AE模型将对抗合成与特征重建相结合：

以增强网络钓鱼检测和认证鲁棒性。其中L = 混合模型的总损失函数，L𝐺𝐴𝑁 = 来自GAN框架的对抗损失，通常衡量合成样本欺骗判别器的程度，𝛼 = 控制GAN损失贡献的加权系数，𝛽 = 控制自编码器损失贡献的加权系数。

GAN–RL模型集成策略优化：

其中，L𝑅𝐿 = 强化学习目标，例如负累积奖励或策略梯度损失，在动态环境中指导智能体的自适应行为，𝛼 = 平衡GAN损失贡献的加权系数，𝛾 = 平衡RL损失贡献的加权系数。GAN-RL基于指标（如检测效率、延迟、召回率/精确率权衡）实时调整防御，应用于实时IDS、网络钓鱼检测和生物识别。混合模型将网络钓鱼召回率提高了18%，IDS延迟效率提高了20%[33, 72]。

跨这些类别，GAN为增强数据集、硬化分类器、保护隐私和实现自适应防御提供了稳健的机制。它们的有效性通过改进的F1分数、降低的规避成功率和维护的隐私保证来一致地衡量。然而，稳定性、可扩展性和计算成本仍然是开放的挑战，激励着未来的研究。

5 结果与分析

5.1 结果与综合：四维分类法

本节展示了系统综述过程的结果，并对纳入定性综合的185项主要研究的发现进行了综合。我们引入了一种新颖的四维分类法来表征该领域（解决RQ2），该分类法作为详细分析防御功能、GAN架构、应用领域和威胁模型的框架。最后，我们综合了这些防御措施的报告效能（解决RQ3），为第5.3节中对挑战的批判性分析奠定了基础。

5.1.1 分类法维度1：按防御功能

该维度根据基于GAN的防御在网络安全中的主要功能对其进行分类（解决RQ2）。从综述的90多项研究中，出现了三个主导角色：（i）用于不平衡学习的数据增强，（ii）对抗训练和模型硬化，以及（iii）隐私保护数据生成。这些功能代表了GAN如何实现弹性，填补了传统ML或基于规则的防御难以泛化或保持数据完整性的空白。表5重点介绍了所使用的数据集、其指标的价值以及关键挑战：

表5. 基于GAN的防御功能、其变体、数据集、指标、挑战和参考文献总结（解决RQ2–RQ4）

防御功能	GAN变体	使用的数据集	指标（价值）	挑战	参考文献
不平衡学习的数据增强	DCGAN, CGAN, W-CGAN	CIC-IDS2017, UNSW-NB15, Android恶意软件日志, 网络钓鱼邮件, IoT僵尸网络流量	F1分数 vs SMOTE/ADASYN ↑ 12–20%；稀有攻击准确率 ↑ 10–15%	模式崩溃；高维流量中多样性有限；可扩展性问题	[10, 55, 77, 108, 110, 125, 152, 174]
对抗训练与模型硬化	CGAN, DCGAN, GAN-RL混合模型	CIC-IDS2017, IoT-23, NSL-KDD, 5G入侵流量, ICS日志	IDS弹性（CGAN）↑ 25%；规避成功率 ↓ 15–20%；IoT-IDS检测准确率 ↑ 8–12%	计算成本；零日覆盖范围有限；对抗可迁移性	[14, 38, 68, 127, 165]
隐私保护数据生成	差分隐私GAN, CTGAN, MF-CGAN, W-CGAN	联邦日志, 僵尸网络数据集, IoMT医疗流量, CIC-IDS2018	数据效用 ≈ 90%；泄漏风险显著 ↓；IoMT中平衡准确率 ↑ 10–15%	隐私-效用权衡；可扩展性；法规遵从性；模式崩溃	[50, 66, 92, 119, 153, 182]

注释：1 ↑ 表示期望指标增加（例如，更高的准确率、F1分数或弹性）。2 ↓ 表示期望指标减少（例如，更低的规避成功率、泄漏风险或错误率）。3 ≈ 表示近似值或维持指标的目标。

（1）不平衡学习的数据增强：数据不平衡仍然是入侵检测、恶意软件分类和欺诈分析中最持久的挑战之一。基于GAN的过采样生成真实的合成数据，以增强模型对少数类的泛化能力。例如，将CGAN和DCGAN应用于CIC-IDS2017，与SMOTE或ADASYN相比，将稀有攻击类的F1分数提高了12-20% [10, 152, 174]。Mishra等人[110]进一步通过利用DCGAN正则化架构展示了物联网中稳健的异常检测，而Wang等人[159]引入了自适应归一化来稳定基于GAN的增强。除了入侵检测，GAN驱动的合成也已应用于Android恶意软件检测[108]、网络钓鱼邮件分类[77]和多模态网络威胁检测[125]，突显了其多功能性。然而，当将增强扩展到高维流量或多态恶意软件时，模式崩溃和有限的多样性仍然是开放的挑战[55]。

（2）对抗训练与模型硬化：GAN越来越多地用于通过生成自适应的对抗扰动来暴露分类器中的漏洞，然后将这些扰动集成到训练中以硬化模型。He等人[68]报告称，在使用CGAN制作的扰动进行对抗训练时，IDS对规避的弹性提高了25%。Alslman等人[14]进一步证明了基于GAN的对抗攻击和恢复机制在5G入侵检测中的效用，强调了GAN作为攻击助推器和防御强化器的双重作用。Qin等人[127]表明，基于CGAN的网络欺骗框架可以主动抵抗工业控制系统（ICS）环境中的侦察攻击。类似地，DCGAN和混合GAN-RL模型已应用于Web和物联网应用中的自动化渗透测试和对抗模拟[38, 165]。这些贡献通过实证验证防御效能直接解决了RQ3，但许多方法仍然计算成本高昂，在黑盒或零日攻击设置下的验证有限。

（3）隐私保护数据生成：一个规模较小但不断增长的研究流采用GAN进行隐私保护的合成数据生成，特别是在联邦和协作安全环境中。Liu等人[92]表明，GAN合成的流量日志保留了超过90%的效用，同时降低了对成员推断的敏感性。Feizi和Ghaffari[50]将其扩展到僵尸网络检测，证明差分隐私GAN有效地平衡了抗泄漏能力和检测准确率。在医疗保健和IoMT中，条件GAN（MF-CGAN, CTGAN）已被用于生成少样本的恶意流量样本，同时保护敏感的医疗数据[66, 119, 153]。Zhou等人[182]提出了一种Wasserstein-CGAN过采样方法，在确保差分隐私保证的同时，进一步提高了对不平衡攻击数据的鲁棒性。这些方法通过探索隐私-效用权衡直接解决了RQ4，尽管可扩展性、稳定性（例如，模式崩溃）和法规遵从性仍然是持续存在的挑战。

5.1.2 分类法维度2：按GAN架构

该分类维度根据GAN变体的技术设计（RQ2）对其进行分类，综合了92项研究的见解。GAN架构已从基础模型发展到专门的混合模型，每个模型都针对网络安全环境中的稳定性、可扩展性和防御鲁棒性。表6总结了它们的防御作用、贡献和关键挑战：

表6. 网络安全防御中GAN架构的比较：贡献、作用和挑战（RQ2–RQ4）

GAN变体	防御作用	关键贡献	挑战	参考文献
标准GAN / DCGAN	合成数据生成；恶意软件痕迹合成	为真实数据生成奠定基础；应用于流量增强和生物识别/IoT攻击检测	可扩展性有限；大规模IDS中收敛不稳定；难以处理高度不平衡的数据集	[26, 72, 129]
Wasserstein GAN (WGAN) 及变体	用于IDS、勒索软件防御的稳定训练	克服模式崩溃；提高异常检测准确率（高达+30%）；应用于平衡流量生成和对抗训练	高计算成本；调整梯度惩罚；对超参数敏感	[20, 74, 158]
条件GAN (CGAN)	定向样本合成；多态恶意软件生成	实现细粒度对抗数据生成；在IDS和恶意软件分类中有效；增强MANET入侵防御	需要大型标注数据集；标签噪声降低性能；稀有攻击类型下出现模式崩溃	[109, 124, 131, 178]
混合模型 (GAN-RL, GAN-AE等)	IDS硬化；网络钓鱼和异常检测；恶意软件行为建模	将对抗合成与特征学习或策略优化相结合；网络钓鱼检测召回率+18%；支持动态恶意软件分类	联合训练不稳定；与RL/AE的集成开销；联邦设置中的可扩展性问题	[33, 55, 138]

（1）标准GAN / DCGAN：标准GAN及其卷积扩展（DCGAN）为入侵和恶意软件检测中的合成数据生成提供了基础。Radford等人[129]建立了架构基础，而后来的研究将DCGAN应用于生物识别安全[72]和物联网攻击检测[26]。尽管它们在生成真实流量或恶意软件痕迹方面有效，但可扩展性和不稳定收敛仍然是关键问题。

（2）Wasserstein GAN (WGAN) 及变体：GAN和WGAN-GP解决了训练不稳定和模式崩溃问题，确保了稳定收敛。Arjovsky等人[20]展示了它们的理论优势，而Jiang[74]显示在不平衡流量下IDS准确率提高了14-30%。WGAN-GP等扩展也已应用于勒索软件检测[158]。然而，计算开销和超参数敏感性仍然是挑战（RQ4）。

（3）条件GAN (CGAN)：CGAN通过以类别标签为条件来扩展标准GAN，从而能够定向生成恶意软件家族、流量签名和多态变体。Mirza和Osindero[109]提供了基础，后续工作显示了在规避模拟[178]、网络攻击数据生成[124]和MANET中的多视图入侵防御[131]方面的有效性。尽管如此，它们对大型标注数据集的依赖和对标签噪声的脆弱性仍然是局限性。

（4）混合模型：混合架构将GAN与强化学习（GAN-RL）或自编码器（GAN-AE）集成，将对抗合成与策略优化或特征压缩相结合。Chan等人[33]证明网络钓鱼召回率提高了18%，而Gebrehans等人[55]将混合模型应用于动态恶意软件分类。Saeed等人[138]强调了基于混合GAN的异常检测流程。然而，联合优化中的不稳定性和联邦环境中的可扩展性提出了持续的挑战（RQ4）。

综合RQ2-RQ4，该分类法强调，虽然标准GAN和DCGAN仍然是原型设计基线，但WGAN和CGAN家族因其稳定性和条件能力而占主导地位。混合模型在网络钓鱼和动态恶意软件分析等新兴领域显示出前景，但可扩展性、训练稳定性以及联邦环境中的隐私保护集成仍然是开放的挑战。这激发了对统一基准和系统评估框架的需求，我们的综述将其作为贡献的一部分来制定。

5.1.3 分类法维度3：按网络安全领域

该分类维度将基于GAN的防御映射到网络安全领域（RQ2），综合了110项主要研究。其组织方式突显了GAN如何在特定领域环境中被利用，例如入侵检测、恶意软件分析以及网络钓鱼、欺诈和物联网安全等新兴领域。表7简要概述了GAN在各个网络安全领域的应用，重点介绍了变体、数据集、性能提升和领域特定挑战：

表7. GAN在网络安全领域应用概览

领域	应用的GAN变体	使用的数据集	报告的指标/增益	关键挑战	参考文献
网络入侵检测	WGAN, WGAN-GP, CGAN	CICIDS2017, NSL-KDD, UNSW-NB15	准确率/F1提升14–22%；降低FN率	类别不平衡；高速流量的可扩展性	[74, 86]
恶意软件检测与分析	DCGAN, CGAN, 混合GAN	EMBER, VirusShare, 自定义动态恶意软件痕迹	动态恶意软件检测率 >85%；对混淆鲁棒	模拟多态恶意软件；训练不稳定	[39, 55]
网络钓鱼检测	GAN-RL混合模型, CGAN	PhishTank, 自定义电子邮件数据集	召回率提升高达18%；对抗性网络钓鱼中FP降低	实时部署；不断演变的网络钓鱼策略	[33]
欺诈检测	CGAN, WGAN-GP	金融交易数据集（专有）	通过模拟稀有欺诈事件降低FP率	数据稀缺；可解释性	[39]
物联网安全	标准GAN, CGAN	IoT-23, Bot-IoT, 边缘/IoT流量数据集	不平衡IoT流量中检测准确率 >90%	资源限制；能效	[26]

（1）网络入侵检测：GAN越来越多地通过数据增强和对抗训练集成到网络入侵检测系统（NIDS）中。Jiang等人[74]证明，在类别不平衡情况下，WGAN-GP在CICIDS2017上将检测准确率提高了14-22%，降低了诸如DoS和渗透等稀有攻击的假阴性。类似地，Kumar和Sinha[86]报告通过合成真实攻击数据增强了入侵检测性能，显示出优于基于SMOTE的过采样。这些发现强化了GAN在缓解NIDS中不平衡和增强对抗规避弹性方面的作用。

（2）恶意软件检测与分析：GAN已被调整用于恶意软件合成、混淆和动态行为建模。Gebrehans等人[55]（2025）提出了基于GAN的恶意软件检测的综合分类，报告在动态分析场景中检测率超过85%。Coppolino等人[39]强调了基于CGAN的模型，这些模型生成多态恶意软件痕迹，提高了对混淆攻击的鲁棒性。这些研究表明GAN具有模拟零日和变形恶意软件的能力，使检测器能够泛化到基于签名的方法之外。

（3）其他应用（网络钓鱼、欺诈、物联网安全）：除了入侵和恶意软件，GAN已被部署于网络钓鱼、欺诈检测和物联网安全。Chan等人[33]显示GAN-RL混合模型将网络钓鱼检测召回率提高了18%，而Bethu[26]证明了GAN在检测恶意物联网流量中的作用。在欺诈检测中，基于GAN的对抗训练通过模拟稀有欺诈事件减少了误报[39]。这些应用证实GAN将防御能力扩展到多个网络安全垂直领域，尽管在资源受限的物联网设置和实时网络钓鱼检测管道中仍然存在挑战。

该分类维度强调，GAN通过解决不平衡、生成真实的对抗样本和模拟新兴威胁，持续提高了跨领域的检测准确率，解决了RQ2。虽然NIDS和恶意软件分析在文献中占主导地位，但网络钓鱼、欺诈和物联网领域的重要性日益增长，反映了GAN的适应性，但也强调了领域特定基准和部署评估的必要性（见第5.3节）。

5.1.4 分类法维度4：按解决的威胁模型

如表8总结，该维度根据基于GAN的防御所缓解的对抗威胁对其进行组织（RQ2），综合了2012年至2025年8月31日期间发表的85项研究的证据。该分类法突出了GAN如何针对规避、投毒和隐私推断攻击提供有针对性的弹性，这些攻击是现实世界部署的核心。

表8. 按对抗威胁模型分类的基于GAN的防御总结

威胁类型	GAN变体	使用的数据集	性能增益	挑战	参考文献
规避攻击	CGAN, WGAN, WGAN-GP	CICIDS2017, Bot-IoT, UNSW-NB15	规避成功率降低15%（CGAN），异常召回率提高12%（WGAN-GP）	实时IDS中的计算开销，跨领域泛化有限	[39, 46, 91, 131, 178]
投毒攻击	WGAN, CGAN, 混合GAN	云IDS, CICIDS2018, 恶意软件数据集	后门投毒下准确率提高9%，恶意软件投毒防御中鲁棒性增强	大规模联邦系统的可扩展性，检测自适应投毒策略	[4, 19, 26, 55, 113]
隐私推断攻击	联邦GAN, 差分隐私GAN	企业日志, IoT数据, 联邦学习环境	在成员推断防御下保留90%效用，企业隐私管理弹性提高	高训练开销，效用与隐私保证之间的权衡	[24, 92, 113, 128, 144]

（1）针对规避攻击的防御：规避攻击通过制作绕过分类器的对抗扰动来利用推理时的漏洞。GAN越来越多地被采用来模拟此类攻击，并通过再训练提高鲁棒性。Zhao等人[178]证明，在FGSM和PGD场景下，CGAN生成的对抗流量将规避成功率降低了15%。类似地，Lim等人[91]报告，GAN增强的入侵检测在CICIDS2017上将异常召回率提高了12%，显示出对零日规避的可扩展性。Coppolino等人[39]最近的工作也强调了基于CGAN的规避模拟用于混淆防御，突出了有效性，但指出在实时系统中计算开销很高。

（2）针对投毒攻击的防御：投毒攻击在训练期间注入恶意数据以破坏模型。基于GAN的防御通过生成干净的合成数据或在集成前过滤投毒样本来解决这个问题。Agarwal等人[4]提出了一种用于云托管入侵检测的GAN驱动清理管道，在后门投毒下将准确率提高了9%，同时在联邦环境中保持稳定性。Arifin等人[19]进一步观察到WGAN变体在检测和中和恶意软件数据集中的数据投毒方面特别鲁棒，尽管计算可扩展性仍然具有挑战性。这些发现直接为评估GAN对抗自适应对手的效能（RQ3）提供了信息。

（3）针对隐私推断攻击的防御：隐私推断威胁，例如成员或属性推断，利用协作学习中的敏感数据暴露。GAN提供隐私保护数据生成，平衡了效用和机密性。Liu等人[92]证明，联邦GAN实现了90%的数据效用，同时减轻了成员推断攻击，尽管训练开销是一个限制。更近期的研究，如Radanliev等人[128]，通过将GAN置于伦理和隐私设计框架内扩展了这一点，显示了它们在行业应用中的前景。类似地，Nadella等人[113]提出了GAN增强的企业隐私系统，证明了在企业网络中对抗隐私泄漏的弹性。总的来说，这些方法通过强调GAN如何弥合隐私保证和模型效用之间的权衡，为RQ4做出了贡献。

5.2 防御效能综合

针对RQ3，基于GAN的防御的效能出现在四个分类维度（图4）的交汇处。在185项主要研究中，评估通常依赖于在对抗条件下检测率、精确率/召回率的改进以及误报的减少。

按防御功能：数据增强持续增强了分类器的泛化能力，在NIDS和恶意软件数据集中，稀有类的F1分数增益为5-15% [61, 74, 152]。对抗训练提高了针对自适应规避的鲁棒性，与基线模型中的<60%相比，保持了85%以上的准确率[68, 169, 178]。隐私保护合成在联邦和物联网安全中显示出前景，GAN在减轻推断攻击的同时保持了高达90%的数据效用[65, 81, 92]，尽管可扩展性和效用权衡仍然是开放的挑战。
按架构：稳定的变体如WGAN-GP在高性能研究中占主导地位，解决了模式崩溃并确保了多样性[20, 74, 150]。CGAN在多态恶意软件或特定类别入侵流量的定向合成方面表现出色[86, 109, 180]。混合GAN（GAN+RL, GAN+AE）提供了增强的适应性，但在训练期间仍然容易出现不稳定性[33, 151, 179]。
按领域：NIDS应用报告了最一致的效能，特别是在处理类别不平衡和零日入侵方面[43, 46, 74]。恶意软件检测受益于暴露静态检测器弱点的合成多态家族[55, 124]。物联网和网络钓鱼领域显示出新兴的收益，尽管资源限制和高误报率限制了操作就绪度[13, 26, 54, 120]。
按威胁模型：基于GAN的防御在对抗规避攻击方面最为成熟，其中对抗再训练将绕过成功率降低了高达20%[68, 169, 178]。在对抗投毒和隐私推断方面取得的进展较新，基于GAN的清理管道在后门攻击下提高了IDS准确率[4, 140]，而联邦GAN在分布式训练场景中提供了保持效用的隐私[65, 81, 92]。

总体而言，如表9所示，综合结果强调，当稳健的架构（例如，WGAN-GP）与自适应功能（例如，对抗训练）相结合，并在现代的、领域相关的数据集（例如，CICIDS2017, EMBER, IoT-23）上进行验证时，基于GAN的防御能取得最大的效能。分类法可视化（图4）清晰地展示了跨维度的多对多映射，说明了架构选择如何直接塑造防御功能、应用领域以及所解决的威胁模型类别。这种综合观点确认了技术潜力和激励未来研究的剩余空白。

图4. 基于GAN的防御的四维分类法：（1）GAN架构 → （2）防御功能 → （3）网络安全领域 → （4）威胁模型。

表9. 分类法各维度下GAN防御效能总结（2021–2025）

维度	类别	数据集	指标	效能发现	局限性	参考文献
防御功能	数据增强, 对抗训练, 隐私保护合成	CICIDS2017, NSL-KDD, UNSW-NB15, IoT-23	F1分数, 准确率, 精确率/召回率	稀有攻击F1分数 ↑ 5–15%；对抗训练鲁棒性 ↑ 20%；联邦GAN中效用高达90%	可扩展性有限，模式崩溃风险，隐私-效用权衡	[65, 68, 74, 81, 92, 152]
架构	DCGAN, WGAN/WGAN-GP, CGAN, 混合模型	CICIDS2018, EMBER, Bot-IoT, KDDCup99	准确率, 损失收敛, 鲁棒性	WGAN-GP稳定训练，准确率 ↑ 14–30%；CGAN改进定向合成；混合模型改进召回率	混合模型训练不稳定；计算开销	[20, 33, 74, 86, 151, 180]
领域	NIDS, 恶意软件, IoT, 网络钓鱼/欺诈	CICIDS2017, EMBER, Drebin, IoT-23, PhishTank	检测率, FPR, 召回率	NIDS: FN ↓ 22%；恶意软件: 检测率 ↑ 85%；网络钓鱼: FP ↓ 18%	IoT资源限制；网络钓鱼中高FP；泛化差距	[13, 26, 46, 54, 55, 124, 185]
威胁模型	规避, 投毒, 隐私推断	CICIDS2017, 云IDS, 联邦数据集	准确率, 攻击成功率, 效用	规避成功率 ↓ 15–20%；投毒弹性 ↑ 9–20%；隐私GAN保持效用高达90%	基准有限；联邦学习中高计算成本	[4, 65, 68, 81, 92, 140, 178]

5.3 分析

本节综合了所综述的185项主要研究的发现，将其与研究问题（RQs）、目标和贡献联系起来。本节批判性地评估了基于GAN的网络安全防御的技术进展、方法局限性和影响。

5.3.1 重访研究问题（RQs）

我们在第2节和第5节中的系统综合为提出的RQs提供了清晰的答案：

RQ1（趋势）："从2021年到2025年8月31日，关于网络安全中基于GAN的对抗防御的文献现状和发表趋势如何？" 发表活动从2023年起激增，在2024年达到顶峰，反映了学术界和工业界对GAN增强防御日益增长的兴趣。IEEE Xplore和ScienceDirect占纳入研究的70%以上。
RQ2（分类法）："这些防御方法在技术上是如何表征和分类的？" 开发了一个四维分类法，按（i）防御功能、（ii）GAN架构、（iii）网络安全领域和（iv）解决的威胁模型对防御措施进行分类。
RQ3（效能）："所提出的防御措施效果如何，以及这种效果是如何衡量的？" 经验证据表明，基于GAN的增强和对抗训练将入侵检测系统中的F1分数提高了10-15%，并将假阴性降低了高达22%。
RQ4（挑战）："普遍存在的技术挑战和局限性是什么？" 持续的挑战包括模式崩溃、训练不稳定、高计算成本以及缺乏标准化基准。

5.3.2 评估指标和有效性

如第4.2节详述，最广泛采用的指标包括准确率、精确率、召回率、F1分数、AUC、攻击成功率（ASR）、鲁棒准确率、最大均值差异（MMD）和基于熵的多样性分数。基于GAN的增强持续优于经典过采样。例如，在CIC-IDS2017上使用CGAN过采样，与SMOTE相比，将少数类的F1分数提高了12%。类似地，WGAN-GP将IDS中的假阴性降低了22%。然而，鲁棒性因数据集大小、攻击类型和GAN稳定性而异。

5.3.3 比较见解：GAN与传统防御

与传统的异常检测和基于AI/ML的防御相比（如第1.1节强调），GAN提供了：

优势：合成少数类过采样、自适应对抗训练、真实恶意软件/流量模拟以及隐私保护数据合成。
局限性：模式崩溃、不稳定性、沉重的资源消耗以及缺乏可解释性。

传统防御通常无法应对自适应或零日攻击，而GAN提供了弹性，但计算成本更高。

5.3.3 比较性见解：GANs 与传统防御的对比

与传统异常检测和基于AI/ML的防御相比（如第1.1节所强调），GANs 提供了：

优势：合成少数类过采样、自适应对抗训练、真实的恶意软件/流量模拟以及隐私保护数据合成。
局限性：模式崩溃、不稳定性、沉重的资源消耗以及缺乏可解释性。

传统防御通常无法应对自适应或零日攻击，而GANs 提供了弹性，但代价是更高的计算成本。

5.3.4 技术挑战

观察到的关键挑战包括：

模式崩溃和不稳定性：在WGAN和混合变体中尤其成问题，降低了生成样本的多样性。
超参数敏感性：GAN训练严重依赖于学习率、批大小和损失平衡。
可扩展性：GANs需要大量的GPU资源，限制了在物联网/边缘设备上的实际部署。
双重用途风险：GANs被用于对抗性攻击（例如，网络钓鱼、恶意软件规避），使治理复杂化。

5.3.5 跨领域适用性

分类法揭示了GAN在多个网络安全领域的应用，例如：

NIDS（网络入侵检测系统）：在CIC-IDS2017和UNSW-NB15数据集上，对少数类攻击的检测能力提高了10-20% [74]。
恶意软件分析：GANs模拟多态恶意软件，对新变种的检测率超过85%。
物联网/边缘安全：GANs缓解了IoT-23和Bot-IoT数据集中的不平衡问题，尽管资源限制仍然是一个障碍。
网络钓鱼/欺诈检测：基于GAN的训练将网络钓鱼检测的误报率降低了18%。

5.3.6 与更广泛AI生态系统的集成

近期的研究探索了混合GAN-RL和GAN-AE方法，用于特征压缩和策略适应。与Transformer和扩散模型的集成也正在兴起，提供了稳定性和多模态合成能力。未来的系统可能会将GANs与LLMs（大语言模型）结合，以应对LLM驱动的攻击。

5.3.7 当前研究的局限性

尽管取得了进展，但以下局限性依然存在：

评估差距：在基准数据集或鲁棒性指标方面未达成共识。
数据集偏差：过度依赖过时的数据集（例如，NSL-KDD）限制了泛化能力。
可重复性：很少研究共享代码或模型。
部署应用：缺乏大规模、真实世界的案例研究。

5.3.8 研究结果综合

综合分析证实，GANs既是对抗防御的关键推动者，也是攻击者的潜在工具。一方面，GANs提供了更高的鲁棒性、平衡的数据集和隐私保护机制。另一方面，不稳定性、双重用途风险以及可重复性挑战阻碍了其操作可行性。这些见解直接推动了第6节概述的路线图，该路线图强调稳定的架构、标准化基准、可解释性以及专注于部署的研究。

5.3.9 关键见解总结

作为讨论的补充，表10对各个维度、指标、研究发现、局限性及代表性研究进行了比较性总结。

表10. 基于GAN的网络安全防御及其局限性的关键见解总结

维度	指标	关键研究发现	局限性
基于GAN的数据增强（IDS）	准确率, F1, 召回率	改善了对少数类攻击的检测（F1值提高10-15%；假阴性减少22%）。	模式崩溃、不稳定性、过时的数据集。
使用GANs进行对抗训练	鲁棒准确率, 攻击成功率	增强了对FGSM/PGD攻击的鲁棒性，鲁棒准确率提升高达20%。	训练成本高，超参数敏感。
恶意软件检测	精确率, 召回率, AUC	GAN生成的多态恶意软件提高了分类器的鲁棒性；对新变种的检测率 >85%。	缺乏真实世界验证，可重复性问题。
物联网/边缘安全	F1分数, 延迟, 资源利用率	平衡的物联网数据集改善了IDS性能；在IoT-23和Bot-IoT上有效。	资源受限的部署；可扩展性有限。
隐私保护合成	结构相似性, 数据效用, 隐私泄漏	GANs能够生成高实用性的合成数据，同时保护隐私。	隐私攻击（模型反演、成员推断）。
混合GANs（GAN-AE, GAN-RL）	准确率, 鲁棒准确率, 收敛性	GAN-AE稳定训练；GAN-RL适应动态对手。	复杂性高，可重复性差，基准测试有限。

6 未来方向与结论

6.1 未来方向

对网络安全中基于GAN的对抗攻击和防御的综合分析表明，在2021年至2025年8月31日期间取得了实质性进展。然而，几个关键差距仍未解决。本节围绕可扩展性、鲁棒性、隐私性、可解释性和标准化，概述了有前景的未来研究方向

6.1.1 未来研究方向

基于对网络安全中基于GAN的对抗攻击和防御的综合分析，本节围绕可扩展性、鲁棒性、隐私性、可解释性和标准化，概述了有前景的未来研究方向。

(1) 针对自适应对手的鲁棒性：当前基于GAN的防御通常假设固定的攻击模型（例如，FGSM，PGD）。未来的工作应专注于能够同时结合规避、投毒和后门攻击的自适应、多向量对手。协同进化的GAN训练，即攻击和防御模型共同适应，可能提供鲁棒性，但这需要新的稳定性保证。

(2) 评估指标与基准测试：缺乏标准化的指标阻碍了研究间的公平比较。未来的研究应优先考虑为基于GAN的安全评估制定基准数据集和可重复的协议。类似于用于恶意软件分类的EMBER2024和用于入侵检测的IoT-23这样的倡议，应扩展其对抗性变体。

(3) 混合架构与可迁移性：混合模型，如GAN-AE和GAN-RL，在稳定训练和适应动态威胁环境方面展现出潜力。需要进一步研究这些混合模型的跨领域可迁移性（例如，从基于图像的对抗检测到网络流量）。在降低复杂性和确保大规模系统间的可重复性方面仍然存在挑战。

(4) 隐私保护与可信赖的GAN： GAN本身可能被用于隐私推断（例如，成员推断，模型反演）。未来的防御应将差分隐私和联邦学习与GAN框架集成。应正式纳入隐私泄漏（PL）和结构相似性（SSIM）等指标，以评估数据效用和隐私保护之间的权衡。

(5) 可解释性与人在回路的防御：尽管GAN驱动的异常检测取得了进展，但大多数系统仍然是黑箱。将可解释AI（XAI）集成到GAN框架中，可以支持医疗保健和交通等关键领域的信任和问责制。人在回路的防御策略，即GAN提出对抗场景但最终验证由专家参与，可以提高采纳度。

(6) 部署挑战与资源限制：现实世界的系统，尤其是在物联网和边缘环境中，面临严重的资源限制。应开发轻量级和节能的GAN变体，以平衡检测性能与延迟和硬件限制。探索GAN的量化、剪枝和知识蒸馏是很有前景的方向。

(7) 标准化与治理：最后，随着基于GAN的攻击（例如，深度伪造、对抗性恶意软件）变得越来越普遍，迫切需要治理框架和伦理指南。跨学科研究应将基于GAN的网络安全与国际监管标准对齐，确保在双重用途场景中的问责制。

总体而言，未来的研究必须解决自适应鲁棒性、评估基准、混合模型可迁移性、隐私保护机制、可解释性、部署效率和治理问题。这些方向共同旨在将基于GAN的网络安全从实验原型推向可信赖、可扩展和标准化的解决方案。

6.2 结论

本综述系统性地回顾了2021年1月至2025年8月31日期间发表的185项经过同行评审的研究，这些研究涉及GAN在网络安全对抗防御中的应用。通过采用符合PRISMA标准的方法，我们识别、筛选并综合了跨多个数字图书馆和参考文献来源的相关文献。

我们的分类法从四个维度对研究进行了组织：防御功能、GAN架构、网络安全领域以及所应对的威胁模型。发表趋势显示2024年出现显著激增，反映了学术界和工业界对GAN增强防御日益增长的兴趣。这项系统性综合既突出了GAN从入侵检测到恶意软件分析的广泛应用广度，也突出了它们在缓解AML威胁方面的有效性。

最新技术表明，GAN对于加强网络安全系统以应对对抗性威胁日益关键。基于GAN的方法提供了切实的好处，例如通过对抗训练提高分类器的鲁棒性、通过合成数据增强平衡不平衡的数据集，以及在分布式环境中支持隐私保护的数据生成。WGAN、CGAN和混合GAN模型等架构在稳定性和防御效率方面显示出显著的改进。

然而，在解决模式崩溃、训练不稳定性、计算开销和可重复性等问题上，挑战依然存在。此外，评估实践仍然零散，缺乏跨研究的标准化基准。

展望未来，未来的研究必须采用更具跨学科的视角，整合来自可解释AI、边缘计算、隐私保护机器学习和对抗鲁棒性等领域的进展。下一代的基于GAN的防御不仅需要架构创新，还需要标准化的基准和透明的评估方法，以确保可比性。此外，新兴威胁，如对大语言模型（LLMs）和多模态系统的对抗性利用，迫切需要能够进行实时防御的自适应GAN框架。

我们的路线图强调了稳定的架构、可解释性、稳健的评估、现实世界部署和新兴防御策略如何共同塑造网络安全的弹性未来。最终，本综述建立了基础，并指出了必须弥合的差距，以推动该领域向可信赖、可扩展和自适应的GAN驱动防御发展。

核心术语解释：