[論文レビュー] Black-Box Attacks against RNN based Malware Detection Algorithms
本論文は、サブスティテュートRNNとGumbel-Softmaxを用い、ブラックボックス設定でRNNベースのマルウェア検出器を回避する逐次的敵対的API文字列を生成する Generative RNN ベースの手法を提示する。
Recent researches have shown that machine learning based malware detection algorithms are very vulnerable under the attacks of adversarial examples. These works mainly focused on the detection algorithms which use features with fixed dimension, while some researchers have begun to use recurrent neural networks (RNN) to detect malware based on sequential API features. This paper proposes a novel algorithm to generate sequential adversarial examples, which are used to attack a RNN based malware detection system. It is usually hard for malicious attackers to know the exact structures and weights of the victim RNN. A substitute RNN is trained to approximate the victim RNN. Then we propose a generative RNN to output sequential adversarial examples from the original sequential malware inputs. Experimental results showed that RNN based malware detection algorithms fail to detect most of the generated malicious adversarial examples, which means the proposed model is able to effectively bypass the detection algorithms.
研究の動機と目的
- RNNベースのマルウェア検出が逐次的敵対的例に対して脆弱であることを示す。
- 代替RNNと生成RNNを用いて誤導的なAPI列を挿入するブラックボックス攻撃フレームワークを開発する。
- 異なる被害者RNNアーキテクチャと訓練データセット間で敵対的例の転移性を評価する。
提案手法
- 被害者RNNの挙動を模倣するよう、注意機構付きの代替双方向RNNを訓練する。
- 不適切なAPIを挿入するためのシーケンス-to-シーケンス型生成RNNを使用する。
- 挿入決定のために、微分可能で勾配適用性の高い出力を作るためにGumbel-Softmaxを適用する。
- 代替RNNによって敵対出力がマルウェアとして分類される尤度を最大化し、別の損失を用いて被害者RNNによる検出を最小化する損失を計算する。
- 二段階の目的で訓練する: (i) 被害者の出力を反映するよう代替RNNを訓練、 (ii) 被害者をだます敵対的シーケンスを生成する生成RNNを訓練。
実験結果
リサーチクエスチョン
- RQ1マルウェア検出のブラックボックス被害者RNNは、逐次的敵対的例によって欺かれる可能性があるか?
- RQ2代替RNNと組み合わせた生成RNNは、被害者RNNを効果的に近似・悪用できるか?
- RQ3敵対的シーケンスは、異なる被害者RNNアーキテクチャや訓練データセット間で転移可能か?
主な発見
| アルゴリズム | オリジナル(訓練) | オリジナル(テスト) | 敵対的(訓練) | 敵対的(テスト) |
|---|---|---|---|---|
| LSTM | 92.54% | 12.10% | 90.74% | 11.95% |
| BiLSTM | 92.21% | 1.06% | 90.93% | 0.95% |
| LSTM-Average | 93.87% | 1.40% | 93.53% | 1.36% |
| BiLSTM-Average | 92.92% | 1.83% | 92.51% | 1.67% |
| LSTM-Attention | 93.67% | 0.44% | 92.45% | 0.51% |
| BiLSTM-Attention | 93.73% | 3.02% | 92.99% | 3.03% |
- ほとんどの敵対的例は被害者RNNを回避し、検出率を約90%から一桁の割合へ低下させた。
- 敵対的例の検出率は、いくつかの被害者RNN変種で0.44%〜12.10%の範囲だった。
- 本攻撃は転移性を示し、1つのモデル/訓練データセットで生成された敵対的シーケンスは他のモデルにも影響を及ぼす可能性がある。
- BiLSTM-Attentionは敵対的例に対して相対的に高い耐性を示したが、敵対的サンプルではなお約3%程度に低下した。
- 提案手法は未知のマルウェアや異なる被害者アーキテクチャにも一般化し、RNNベースのマルウェア検出器の広範な脆弱性を示す。
より良い研究を、今すぐ始めましょう
論文設計から論文執筆まで、研究時間を劇的に削減しましょう。
クレジットカード登録不要
このレビューはAIが作成し、人間の編集者が確認しました。