Skip to main content
QUICK REVIEW

[論文レビュー] Low Resource Black-Box End-to-End Attack Against State of the Art API Call Based Malware Classifiers.

Ishai Rosenberg, Asaf Shabtai|arXiv (Cornell University)|Apr 23, 2018
Advanced Malware Detection Techniques参考文献 23被引用数 15
ひとこと要約

本稿では、APIコールシーケンスと静的特徴を用いて、最小限のクエリとモデルの信頼度へのアクセスなしに、最先端のAPIベースのマルウェア分類器を回避する低リソースブラックボックス攻撃を提案する。攻撃は、RNN、DNN、SVM、GBDTなど多様なモデルを効果的にだます一方で、マルウェアの機能を保持する。

ABSTRACT

In this paper, we present a black-box attack against API call based machine learning malware classifiers. We generate adversarial examples combining API call sequences and static features (e.g., printable strings) that will be misclassified by the classifier without affecting the malware functionality. Our attack only requires access to the predicted label of the attacked model (without the confidence level) and minimizes the number of target classifier queries. We evaluate the attack's effectiveness against many classifiers such as RNN variants, DNN, SVM, GBDT, etc. We show that the attack requires fewer queries and less knowledge about the attacked model's architecture than other existing black-box attacks. We also implement BADGER, a software framework to recraft any malware binary so that it won't be detected by classifiers, without access to the malware source code. Finally, we discuss the robustness of this attack to existing defense mechanisms.

研究の動機と目的

  • 最小限のクエリアクセスと信頼度情報なしに、APIコールベースのマルウェア分類器に対するブラックボックス敵対的攻撃を開発すること。
  • 検出を回避しつつ、完全な機能を保持する敵対的マルウェアサンプルを生成すること。
  • 従来のブラックボックス攻撃と比較して、クエリ数とアーキテクチャに関する知識の必要性を低減すること。
  • ソースコードへのアクセスなしにマルウェアバイナリを再作成する実用的なフレームワーク、BADGERの実装すること。
  • マルウェア分類における一般的な防御機構に対する攻撃の耐性を評価すること。

提案手法

  • 攻撃は、APIコールシーケンスの摂動と、印刷可能文字列などの静的特徴を組み合わせることで敵対的サンプルを生成する。
  • ブラックボックス設定下で動作し、モデルの予測ラベルのみを必要とし、信頼度スコアは不要である。
  • クエリ効率の良い最適化戦略により、ターゲットモデルへのクエリ数を最小限に抑える。
  • 勾配フリー最適化アプローチを用いて、マルウェアの機能を保持しながら誤分類を引き起こす摂動を生成する。
  • BADGERフレームワークは、ソースコードへのアクセスなしにマルウェアバイナリの再作成を自動化し、検出を回避する。
  • 攻撃は、入力前処理や敵対的訓練などの一般的な防御機構に対しても耐性を持つように設計されている。

実験結果

リサーチクエスチョン

  • RQ1本稿で提案するブラックボックス攻撃は、最小限のクエリアクセスで、多様な最先端のAPIベースのマルウェア分類器をどれほど効果的に回避できるか?
  • RQ2従来のブラックボックス手法と比較して、攻撃はクエリ数とアーキテクチャに関する知識の必要性をどの程度低減するか?
  • RQ3BADGERフレームワークは、ソースコードへのアクセスなしにマルウェアバイナリを効果的に再作成し、検出を回避できるか?
  • RQ4攻撃は、マルウェア分類システムにおける既存の防御機構に対してどの程度耐性を示すか?
  • RQ5APIコールシーケンスと静的特徴を組み合わせることで、敵対的サンプルの成功率にどのような影響を与えるか?

主な発見

  • 攻撃は、RNNの変種、DNN、SVM、GBDTなど複数の分類器で高い回避率を達成しており、従来手法と比較して著しく少ないクエリ数で実現している。
  • 攻撃はターゲットモデルのアーキテクチャに関する知識を最小限に抑え、信頼度スコアの必要がないため、実用性が向上している。
  • BADGERフレームワークは、ソースコードへのアクセスなしにマルウェアバイナリを効果的に再作成し、検出を回避した。
  • 攻撃は、入力前処理や敵対的訓練で強化されたモデルに対しても効果を示し、強い耐性を示している。
  • APIコールシーケンスと静的特徴の組み合わせにより、攻撃の有効性と異なる分類器間での転送性が向上した。

より良い研究を、今すぐ始めましょう

論文設計から論文執筆まで、研究時間を劇的に削減しましょう。

クレジットカード登録不要

このレビューはAIが作成し、人間の編集者が確認しました。