[論文レビュー] Adversarial Deep Learning for Robust Detection of Binary Encoded Malware
本論文は、連続的空間のサドルポイント最適化を離散的バイナリドメインに適応させることで、バイナリエンコード済みマルウェアを検出するための耐性のある adversarial training フレームワーク、Sleipnir を提案する。関数的に保存された adversarial マルウェア例を生成するための4つの手法を導入し、ランダム化された内側の最大化がベースラインモデルと比較して最大3.0倍のブラインドスポットカバレッジと2.4%低い偽陰性率を達成することを示した。また、オンライン測定値 ($\bar{\mathcal{N}}_{BS}$) が耐性と相関していることを確認した。
Malware is constantly adapting in order to avoid detection. Model based malware detectors, such as SVM and neural networks, are vulnerable to so-called adversarial examples which are modest changes to detectable malware that allows the resulting malware to evade detection. Continuous-valued methods that are robust to adversarial examples of images have been developed using saddle-point optimization formulations. We are inspired by them to develop similar methods for the discrete, e.g. binary, domain which characterizes the features of malware. A specific extra challenge of malware is that the adversarial examples must be generated in a way that preserves their malicious functionality. We introduce methods capable of generating functionally preserved adversarial malware examples in the binary domain. Using the saddle-point formulation, we incorporate the adversarial examples into the training of models that are robust to them. We evaluate the effectiveness of the methods and others in the literature on a set of Portable Execution~(PE) files. Comparison prompts our introduction of an online measure computed during training to assess general expectation of robustness.
研究の動機と目的
- 悪意のある機能を保持したまま検出を回避する adversarial 例に対して脆弱なマルウェア検出器の問題を解決すること。
- 具体的には、連続的領域における耐性のある adversarial training 法—特にサドルポイント最適化—を、マルウェアにおいて一般的な離散的バイナリ特徴空間に適応させること。
- 関数的機能を保持する adversarial 例を生成する訓練フレームワークを開発し、回避攻撃に対するモデルの耐性を向上させること。
- 訓練中にモデルの耐性の一般的期待値を評価するためのオンライン訓練指標 ($\bar{\mathcal{N}}_{BS}$) を導入すること。
- Portable Executable (PE) ファイル上でフレームワークを評価し、既存の adversarial 作成手法と耐性を比較すること。
提案手法
- Sleipnir フレームワークは、バイナリエンコード済みマルウェア特徴量上で深層ニューラルネットワーク(DNN)を訓練するため、サドルポイント最適化の定式化を用いる。耐性をミニマックスゲームとして扱う。
- 関数的機能を保持しつつバイナリドメインで adversarial マルウェア例を生成するための4つの内側最大化手法—dFGSM$^k$、rFGSM$^k$、BGA$^k$、および BCA$^k$—を提案する。
- 投影勾配降下法の丸め段階においてランダマイゼーションを適用することで、adversarial 空間の探索を強化し、ブラインドスポットカバレッジを向上させる。
- adversarial 例を adversarial training を通じて訓練プロセスに統合し、摂動全体の最悪の損失を最小化する。
- Bloom フィルタを用いて計算されるオンライン測定値 $\bar{\mathcal{N}}_{BS}$ は、訓練中に生成された異なる adversarial サンプルの数を近似し、耐性を評価する。
- 本手法は、7,600個のPEファイル(うち良性3,800個、悪意ある3,800個)のデータセット上で評価され、1サンプルあたり $k=50$ 個の摂動が使用された。
実験結果
リサーチクエスチョン
- RQ1連続的領域から得られるサドルポイント最適化定式化を、マルウェア特徴の離散的バイナリドメインに効果的に適応できるか?
- RQ2バイナリドメインで、元のマルウェアの悪意ある機能を保持したまま adversarial 例を生成できるか?
- RQ3adversarial training におけるランダム化された内側の最大化を組み込むことで、回避攻撃に対するモデルの耐性が顕著に向上するか?
- RQ4オンライン訓練指標 $\bar{\mathcal{N}}_{BS}$ は、訓練中のモデル耐性の一般的期待値を信頼性高く反映できるか?
- RQ5本フレームワークは、実世界のPEファイルにおいて、[13] の手法のような既存の adversarial 作成手法と比較して、耐性が優れているか?
主な発見
- ランダム化された rFGSM$^k$ 法は、自然なベースラインと比較して最高のブラインドスポットカバレッジ($\mathbf{+3.0}$)と最低の偽陰性率($\mathbf{-2.4}$)を達成した。
- rFGSM$^k$ 法は偽陽性率を3.6%低下させ、高い精度を維持し、他の adversarial training 手法を上回った。
- rFGSM$^k$ で訓練されたモデルは、自らの期待される敵対的攻撃に対してわずか5.7%の回避率を示し、強力な耐性を示した。
- オンライン測定値 $\bar{\mathcal{N}}_{BS}$ は回避率およびブラインドスポットカバレッジと強く相関しており、リアルタイムの耐性指標としての有効性が裏付けられた。
- ランダム化手法で訓練されたモデルは、[13] の adversarial 作成手法に対しても耐性を示し、15.6%の回避率を示した。これは自然モデルの99.7%の回避率と比べて顕著に低い値であった。
- フレームワークは、投影勾配降下法の丸め段階におけるランダマイゼーションが、自然な訓練と比較してバイナリ特徴空間で約4倍の悪意あるサンプルを特定することを示した。
より良い研究を、今すぐ始めましょう
論文設計から論文執筆まで、研究時間を劇的に削減しましょう。
クレジットカード登録不要
このレビューはAIが作成し、人間の編集者が確認しました。