Skip to main content
누빈트
QUICK REVIEW

[논문 리뷰] Generating Adversarial Malware Examples for Black-Box Attacks Based on GAN

Weiwei Hu, Ying Tan|arXiv (Cornell University)|2017. 02. 20.
Advanced Malware Detection Techniques참고 문헌 17인용 수 366
한 줄 요약

MalGAN은 제너레이터와 대체 탐지기를 사용하여 블랙박스 맬웨어 탐지기를 속일 수 있는 적대적 맬웨어를 생성하고, 여러 분류기에 걸쳐 실제 양성 비율을 거의 0에 가깝게 달성하며 재학습 방어의 약점을 드러낸다.

ABSTRACT

Machine learning has been used to detect new malware in recent years, while malware authors have strong motivation to attack such algorithms. Malware authors usually have no access to the detailed structures and parameters of the machine learning models used by malware detection systems, and therefore they can only perform black-box attacks. This paper proposes a generative adversarial network (GAN) based algorithm named MalGAN to generate adversarial malware examples, which are able to bypass black-box machine learning based detection models. MalGAN uses a substitute detector to fit the black-box malware detection system. A generative network is trained to minimize the generated adversarial examples' malicious probabilities predicted by the substitute detector. The superiority of MalGAN over traditional gradient based adversarial example generation algorithms is that MalGAN is able to decrease the detection rate to nearly zero and make the retraining based defensive method against adversarial examples hard to work.

연구 동기 및 목표

  • 기계 학습 기반 맬웨어 탐지기의 적대적 공격에 대한 견고성 문제를 제기합니다.
  • 검출기의 내부 작동에 접근하지 않고 적대적 맬웨어를 생성하기 위한 GAN 기반 프레임워크(MalGAN)를 제안합니다.
  • 피드백에서 학습하고 대체 모델을 학습함으로써 맬웨어 제작자가 블랙박스 탐지기를 우회하도록 합니다.
  • 여러 탐지기 유형에 대한 접근의 효과를 시연하고 경사 기반 화이트/그레이박스 방법과 비교합니다.
  • 재학습 방어의 영향과 적대적 적응의 역학을 탐구합니다.

제안 방법

  • MalGAN은 제너레이터 G와 대체 탐지기 D로 구성되며, 둘 다 신경망이며 PE 프로그램의 이진 API 특징에서 작동합니다.
  • 제너레이터는 맬웨어 특징 벡터 m과 노이즈 벡터 z를 받아서 o를 생성합니다; 이진화 단계는 o를 o'로 변환하고 최종 adversarial 샘플 m' = m OR o'가 됩니다.
  • 부드러운 함수 G는 비수정 비트들에서 그래디언트 흐름을 보장하여 이진 출력에도 불구하고 제너레이터를 학습하기 위한 역전파를 가능하게 합니다.
  • 대체 탐지기 D는 흑박스 탐지기의 내부를 사용하지 않고, 대적 맬웨어와 정상 샘플에 대한 탐지기의 피드백을 학습하여 흑박스 탐지기를 흉내 내도록 학습됩니다.
  • 제너레이터 손실 L_G는 대체 탐지기가 적대적 샘플을 오분류하도록 촉진하고, 대체 탐지기 손실 L_D는 블랙박스 탐지기의 출력과 맞추도록 합니다.
  • 학습은 D를 업데이트하며 L_D를 최소화하고, G를 업데이트하며 L_G를 최소화하는 것을 번갈아 수행하며 맬웨어 및 정상 데이터셋의 미니배치를 사용합니다.

실험 결과

연구 질문

  • RQ1MalGAN이 내부 정보를 알 수 없이 블랙박스 탐지기를 신뢰성 있게 우회하는 적대적 맬웨어를 생성할 수 있는가?
  • RQ2다양한 분류기 아키텍처를 대상으로 대체 탐지기가 블랙박스 탐지기를 얼마나 잘 근사하는가?
  • RQ3다양한 탐지기 모델(RF, LR, DT, SVM, MLP, VOTE) 간에 적대적 맬웨어의 전이성은 어떤가?
  • RQ4블랙박스 탐지기의 재학습이 MalGAN의 효과에 어떤 영향을 미치는가?
  • RQ5그라디언트 기반 화이트/그레이박스 방법과 비교하여 MalGAN은 블랙박스 환경에서 얼마나 우수하게 회피하는가?

주요 결과

  • MalGAN은 동일 데이터로 학습될 때 여러 블랙박스 탐지기의 실제 양성 비율을 처음의 높은 수준에서 거의 0에 가깝게 낮춘다.
  • 다른 데이터로 학습될 때도 대부분의 분류기에 대해 적대적 샘플에 대한 TPR을 거의 0에 가깝게 만들지만, 일부 간극은 남아 있다(예: LR/MLP/SVM은 거의 0에 도달, RF/DT는 약간의 0에 이르지 않는 TPR를 보임).
  • MalGAN의 적대적 샘플은 다양한 탐지기 아키텍처에 걸쳐 전이되며 블랙박스 가정 하에서 경사 기반 이진 공격보다 더 효과적이다.
  • 블랙박스 탐지기의 재학습은 한 번의 재학습 에포크에서 적대적 샘플의 탐지를 100%로 되돌릴 수 있지만, 업데이트된 탐지기에 대해 MalGAN이 재학습되면 탐지기의 효과가 다시 무너진다.
  • 경사 기반 방법에 비해 MalGAN은 블랙박스 설정에서 훨씬 강력한 회피를 달성하며, 적대적 샘플의 분포 변화가 야기하는 일반화 이슈를 피한다.

더 나은 연구,지금 바로 시작하세요

연구 설계부터 논문 작성까지, 연구 시간을 획기적으로 줄여보세요.

카드 등록 없음 · 무료 플랜 제공

이 리뷰는 AI가 만들고, 인간 에디터가 검토했습니다.