[論文レビュー] Generating Adversarial Malware Examples for Black-Box Attacks Based on GAN
MalGAN はジェネレータと代替検出器を用いて、ブラックボックスのマルウェア検出器を欺く敵対的マルウェアを作成し、複数の分類器において真陽性率をほぼゼロに近づけ、再学習防御の弱点を露呈させる。
Machine learning has been used to detect new malware in recent years, while malware authors have strong motivation to attack such algorithms. Malware authors usually have no access to the detailed structures and parameters of the machine learning models used by malware detection systems, and therefore they can only perform black-box attacks. This paper proposes a generative adversarial network (GAN) based algorithm named MalGAN to generate adversarial malware examples, which are able to bypass black-box machine learning based detection models. MalGAN uses a substitute detector to fit the black-box malware detection system. A generative network is trained to minimize the generated adversarial examples' malicious probabilities predicted by the substitute detector. The superiority of MalGAN over traditional gradient based adversarial example generation algorithms is that MalGAN is able to decrease the detection rate to nearly zero and make the retraining based defensive method against adversarial examples hard to work.
研究の動機と目的
- 機械学習ベースのマルウェア検出器が敵対的攻撃に対して直面するロバストネスの課題を動機づける。
- 検出器の内部情報にアクセスせずに敵対的マルウェアを生成する GAN ベースの枠組み(MalGAN)を提案する。
- 検出器の代替モデルを学習し、検出器からのフィードバックを使用してブラックボックス検知を回避するようマルウェア作者が行動できるようにする。
- 複数の検出器タイプに跨る手法の有効性を示し、勾配ベースのホワイト/グレイボックス手法と比較する。
- 再学習防御の影響と敵対的適応のダイナミクスを探索する。
提案手法
- MalGAN はジェネレータ G と代替検出器 D の二つのニューラルネットワークから成り、PE プログラムのバイナリ API 特徴量を用いる。
- ジェネレータはマルウェア特徴ベクトル m とノイズベクトル z を取り、出力 o を生成する。バイナリ化ステップにより o を o' に変換し、最終的な敵対サンプル m' = m OR o' を得る。
- 滑らかな関数 G は非変更ビットを介した勾配伝搬を保証し、二値出力にもかかわらずジェネレータを訓練する。
- 代替検出器 D は、ブラックボックスの真実ラベルを使用せず、敵対的マルウェアと正常サンプルに対する検出器のフィードバックから学習してブラックボックス検知器を模倣するよう訓練される。
- ジェネレータの損失 L_G は代替検出器による敵対サンプルの誤分類を促し、代替検出器の損失 L_D はブラックボックス検知器の出力と整合するようにする。
- 訓練は、マルウェアおよび正常データセットのミニバッチを用いて D の更新(L_D の最小化)と G の更新(L_G の最小化)を交互に行う。
実験結果
リサーチクエスチョン
- RQ1MalGAN は内部情報を知らなくてもブラックボックス検 detector を信頼性高く回避する敵対的マルウェアを生成できるか。
- RQ2異なる分類器アーキテクチャに対して代替検出器はブラックボックス検出器をどれだけ正確に近似できるか。
- RQ3様々な検出器モデル(RF、LR、DT、SVM、MLP、VOTE)間で敵対的マルウェアの転移性はどの程度か。
- RQ4ブラックボックス検知器の再学習は MalGAN の有効性にどのような影響を与えるか。
- RQ5勾配ベースのホワイト/グレイボックス手法と比較して、ブラックボックス設定での敵対的マルウェアの回避性能はどの程度か。
主な発見
- MalGAN は同じデータで訓練した場合、さまざまなブラックボックス検出器の真陽性率を元の高い値から敵対サンプル上でほぼゼロに低下させる。
- 異なるデータで訓練しても、ほとんどの分類器で敵対サンプル上の TPR をほぼゼロへ導くが、いくつかのギャップが残る(例: LR/MLP/SVM はほぼゼロに到達、RF/DT は小さな非ゼロの TPR を示す)。
- MalGAN の敵対サンプルは多様な検出器アーキテクチャ間で転移し、ブラックボックス前提の下で勾配ベースのバイナリアタックよりも効果的である。
- ブラックボックス検知器の防御的再学習は、単一の再学習エポックで敵対サンプルの検出を 100% に戻すことができるが、更新された検出器に対して MalGAN を再訓練すると検知器の有効性が再び崩壊する。
- 勾配ベースの手法と比較して、MalGAN はブラックボックス設定下ではるかに強い回避を達成し、敵対サンプルの分布シフトによる一般化の問題を回避する。
より良い研究を、今すぐ始めましょう
論文設計から論文執筆まで、研究時間を劇的に削減しましょう。
クレジットカード登録不要
このレビューはAIが作成し、人間の編集者が確認しました。