Skip to main content
QUICK REVIEW

[論文レビュー] Feature Conservation in Adversarial Classifier Evasion: A Case Study.

Liang Tong, Bo Li|arXiv (Cornell University)|Aug 28, 2017
Advanced Malware Detection Techniques被引用数 5
ひとこと要約

本稿は、マルウェア検出における現実可能な敵対的攻撃に対して、特徴空間モデルの有効性を調査する。共通化された特徴(悪意ある機能に不可欠な特徴)を組み込むことで、特に構造ベースのPDFマルウェア検出において、耐性が著しく向上し、さまざまな現実可能な攻撃に対して一般化された防御が可能になることが示された。

ABSTRACT

Machine learning (ML) techniques are increasingly common in security applications, such as malware and intrusion detection. However, ML models are often susceptible to evasion attacks, in which an adversary makes changes to the input (such as malware) in order to avoid being detected. A conventional approach to evaluate ML robustness to such attacks, as well as to design robust ML, is by considering simplified feature-space models of attacks, where the attacker changes ML features directly to effect evasion, while minimizing or constraining the magnitude of this change. We investigate the effectiveness of this approach to designing robust ML in the face of attacks that can be realized in actual malware (realizable attacks). We demonstrate that in the context of structure-based PDF malware detection, such techniques appear to have limited effectiveness, but they are effective with content-based detectors. In either case, we show that augmenting the feature space models with conserved features (those that cannot be unilaterally modified without compromising malicious functionality) significantly improves performance. Finally, we show that feature space models enable generalized robustness when faced with a variety of realizable attacks, as compared to classifiers which are tuned to be robust to a specific realizable attack.

研究の動機と目的

  • 従来の特徴空間モデルが、実際のマルウェアにおける現実可能な攻撃に一般化されるかを評価すること。
  • 構造ベースのマルウェア検出における標準的な特徴空間モデリングの限界を調査すること。
  • 悪意ある機能を破壊せずに変更できない特徴(共通化された特徴)を組み込むことが、分類器の耐性に与える影響を評価すること。
  • 単一の攻撃に最適化された分類器と、複数の現実可能な攻撃に一般化された耐性を持つ分類器を比較すること。

提案手法

  • 機械学習特徴を変更しながら変化の大きさを制約することで、敵対的摂動を模倣する特徴空間モデルの設計。
  • これらのモデルを構造ベースおよびコンテンツベースのPDFマルウェア検出システムに適用。
  • 悪意ある行動に不可欠であり、機能を破壊せずに変更できない特徴(共通化された特徴)を特定し、統合。
  • ファイル構造やコンテンツを変更する攻撃を含む、さまざまな現実可能な攻撃に対する耐性を評価。
  • 共通化された特徴を含む・含まない両方の特徴空間モデルに基づく分類器を、複数の攻撃タイプで比較。
  • 特徴空間モデルの一般化性能を、攻撃固有の最適化と比較して測定。

実験結果

リサーチクエスチョン

  • RQ1標準的な特徴空間モデルは、構造ベースのPDFマルウェア検出における現実可能な敵対的攻撃に対してどれほど効果的か?
  • RQ2共通化された特徴の統合は、構造ベースのPDFマルウェア検出における耐性を向上させるか?
  • RQ3共通化された特徴を含む特徴空間モデルは、複数の現実可能な攻撃に一般化された耐性を達成できるか?
  • RQ4共通化された特徴に基づく特徴空間モデルによる一般化された耐性は、単一の現実可能な攻撃に最適化された分類器と比べてどうか?

主な発見

  • 標準的な特徴空間モデルは、構造ベースのPDFマルウェア検出における現実可能な攻撃に対して、限定的な効果しか示さない。
  • 共通化された特徴の統合により、構造ベースおよびコンテンツベースの両検出器における耐性が著しく向上する。
  • 共通化された特徴を含む特徴空間モデルは、複数の現実可能な攻撃に一般化された耐性を達成する。
  • 単一の現実可能な攻撃に耐性を高めた分類器は一般化に失敗するが、共通化された特徴に基づく特徴空間モデルを用いた分類器は、多様な攻撃変種においても性能を維持する。

より良い研究を、今すぐ始めましょう

論文設計から論文執筆まで、研究時間を劇的に削減しましょう。

クレジットカード登録不要

このレビューはAIが作成し、人間の編集者が確認しました。