[論文レビュー] Enhancing Deep Neural Networks Against Adversarial Malware Examples.
本論文は、DrebinデータセットおよびAICS'2019チャレンジで検証された、頑健性のための体系的原則を適用することにより、敵対的マルウェア回避攻撃に対して深層ニューラルネットワークを強化する防御フレームワークを提案する。主催者による敵対的例の生成方法を事前に知らない状態でもチャレンジで優勝を達成したが、攻撃者が使用する操作集合が不明であることが原因で、二値分類と多値分類の設定の間に約22%の精度格差が生じた。
Machine learning based malware detection is known to be vulnerable to adversarial evasion attacks. The state-of-the-art is that there are no effective countermeasures against these attacks. Inspired by the AICS'2019 Challenge organized by the MIT Lincoln Lab, we systematize a number of principles for enhancing the robustness of neural networks against adversarial malware evasion attacks. Some of these principles have been scattered in the literature, but others are proposed in this paper for the first time. Under the guidance of these principles, we propose a framework for defending against adversarial malware evasion attacks. We validated the framework using the Drebin dataset of Android malware. We applied the defense framework to the AICS'2019 Challenge and won, without knowing how the organizers generated the adversarial examples. However, we see a ~22\% difference between the accuracy in the experiment with the Drebin dataset (for binary classification) and the accuracy in the experiment with respect to the AICS'2019 Challenge (for multiclass classification). We attribute this gap to a fundamental barrier that without knowing the attacker's manipulation set, the defender cannot do effective Adversarial Training.
研究の動機と目的
- 機械学習ベースのマルウェア検出器が敵対的回避攻撃に対して脆弱であるという問題に対処すること。
- 敵対的マルウェア例に対してニューラルネットワークの頑健性を高めるための原則を体系化すること。
- 敵対的例の生成方法を事前に知らない状態でも、実世界の設定で有効な防御フレームワークを開発すること。
- 攻撃者の操作集合が不明な場合に、敵対的訓練の効果に及ぼす影響を調査すること。
提案手法
- フレームワークは、既存の文献に散在する原則と、新たに提案された原則のセットを適用する。
- これらの原則に従って誘導される敵対的訓練を活用し、回避攻撃下でのモデル一般化性能を向上させる。
- 防御手法は、二値分類のためのDrebinデータセットおよび多値分類のためのAICS'2019チャレンジで評価された。
- 主催者が敵対的例をどのように生成したかを事前に知る必要はない。
- 提案された原則に基づいたアーキテクチャ的選択および訓練戦略の選択により、頑健性が向上する。
実験結果
リサーチクエスチョン
- RQ1深層ニューラルネットワークを、敵対的マルウェア回避攻撃に対して体系的にどのように頑健にすることができるか?
- RQ2攻撃者の操作集合が不明な状況で、効果的な防御を可能にする原則は何か?
- RQ3敵対的防御において、二値分類と多値分類の設定の間に顕著な精度格差が生じる理由は何か?
- RQ4敵対的例の生成方法を事前に知らない状態でも、防御フレームワークがどの程度成功するか?
主な発見
- 敵対的例の生成方法を知らない状態でも、AICS'2019チャレンジで防御フレームワークが優勝した。
- Drebinデータセット(二値分類)とAICS'2019チャレンジ(多値分類)の間で約22%の精度格差が観察された。
- この精度格差は、攻撃者の操作集合が不明であるという根本的障壁に起因し、効果的な敵対的訓練が制限される。
- 提案された原則は、攻撃者の戦略が完全に不明な状態でも、頑健性の向上を可能にする。
より良い研究を、今すぐ始めましょう
論文設計から論文執筆まで、研究時間を劇的に削減しましょう。
クレジットカード登録不要
このレビューはAIが作成し、人間の編集者が確認しました。