[논문 리뷰] Black-Box Attacks against RNN based Malware Detection Algorithms
이 논문은 제 substitute RNN과 Gumbel-Softmax를 사용하여 블랙박스 설정에서 RNN 기반 악성 코드 탐지기를 우회하는 순차적 적대적 API 문자열을 생성하는 제너레이티브 RNN 기반 방법을 제시한다.
Recent researches have shown that machine learning based malware detection algorithms are very vulnerable under the attacks of adversarial examples. These works mainly focused on the detection algorithms which use features with fixed dimension, while some researchers have begun to use recurrent neural networks (RNN) to detect malware based on sequential API features. This paper proposes a novel algorithm to generate sequential adversarial examples, which are used to attack a RNN based malware detection system. It is usually hard for malicious attackers to know the exact structures and weights of the victim RNN. A substitute RNN is trained to approximate the victim RNN. Then we propose a generative RNN to output sequential adversarial examples from the original sequential malware inputs. Experimental results showed that RNN based malware detection algorithms fail to detect most of the generated malicious adversarial examples, which means the proposed model is able to effectively bypass the detection algorithms.
연구 동기 및 목표
- RNN 기반 악성 코드 탐지의 순차적 적대적 예에 대한 취약성 시연.
- 대상 RNN의 시가적 사본 RNN(substitute RNN)과 생성 RNN을 사용하여 오도하는 API 시퀀스를 삽입하는 블랙박스 공격 프레임워크 개발.
- 다른 피해 RNN 아키텍처 및 학습 세트 간의 적대적 예의 이전 가능성 평가.
제안 방법
- 피해자 RNN의 동작을 모방하도록 주의(attention)가 있는 대체 양방향 RNN을 학습시킨다.
- 생성 RNN(sequence-to-sequence)을 사용하여 악성 코드 API 시퀀스에 무관한 API를 삽입한다.
- 삽입 결정에 대해 미분 가능하고 그래디언트 친화적인 출력을 생성하기 위해 Gumbel-Softmax를 적용한다.
- 대체 RNN에 의해 악성으로 분류될 가능성을 최대화하고, 두 번째 손실을 통해 피해자 RNN의 탐지를 최소화하는 손실을 계산한다.
- 두 단계 목표로 학습: (i) 피해자 출력을 반영하도록 대체 RNN, (ii) 피해자를 속이는 적대적 시퀀스를 생성하는 생성 RNN.
실험 결과
연구 질문
- RQ1악성 코드 탐지를 위한 블랙박스 피해자 RNN이 순차적 적대적 예로 속을 수 있는가?
- RQ2생성 RNN이 대체 RNN과 결합되어 피해자 RNN를 효과적으로 근사하고 악용하는가?
- RQ3다른 피해 RNN 아키텍처 및 학습 세트 간에 적대적 시퀀스의 이전 가능성이 있는가?
주요 결과
- 대부분의 적대적 예가 피해자 RNN을 우회하여 탐지율을 약 90%에서 한 자리 수로 감소시켰다.
- 여러 피해자 RNN 변형에서 적대적 예에 대한 탐지율은 0.44%에서 12.10% 사이였다.
- 공격은 전이 가능성을 보여주었다: 한 모델/학습 세트에 대해 생성된 적대적 시퀀스가 다른 모델에도 영향을 미칠 수 있다.
- BiLSTM-Attention은 적대적 예에 대한 상대적으로 높은 저항을 보였으나 여전히 적대적 샘플에서 약 3%로 감소했다.
- 제시된 방법은 보지 않은 악성 코드 및 다양한 피해자 아키텍처에 일반화되며, RNN 기반 악성 코드 탐지기의 광범위한 취약성을 시사한다.
더 나은 연구,지금 바로 시작하세요
연구 설계부터 논문 작성까지, 연구 시간을 획기적으로 줄여보세요.
카드 등록 없음 · 무료 플랜 제공
이 리뷰는 AI가 만들고, 인간 에디터가 검토했습니다.