[논문 리뷰] Low Resource Black-Box End-to-End Attack Against State of the Art API Call Based Malware Classifiers.
이 논문은 최소한의 쿼리와 모델의 신뢰도 정보 없이 API 호출 시퀀스와 정적 특징을 사용하여 악성 소프트웨어 예제를 생성하는 저자원 블랙박스 공격을 제안한다. 이 공격은 최신의 API 기반 악성 소프트웨어 분류기들을 최소한의 쿼리로 회피하면서도 악성 소프트웨어의 기능을 유지한다. 이는 RNN, DNN, SVM, GBDT 등 다양한 모델을 성공적으로 속이지만, 악성 소프트웨어의 기능을 유지한다.
In this paper, we present a black-box attack against API call based machine learning malware classifiers. We generate adversarial examples combining API call sequences and static features (e.g., printable strings) that will be misclassified by the classifier without affecting the malware functionality. Our attack only requires access to the predicted label of the attacked model (without the confidence level) and minimizes the number of target classifier queries. We evaluate the attack's effectiveness against many classifiers such as RNN variants, DNN, SVM, GBDT, etc. We show that the attack requires fewer queries and less knowledge about the attacked model's architecture than other existing black-box attacks. We also implement BADGER, a software framework to recraft any malware binary so that it won't be detected by classifiers, without access to the malware source code. Finally, we discuss the robustness of this attack to existing defense mechanisms.
연구 동기 및 목표
- 최소한의 쿼리 접근과 신뢰도 정보 없이 API 호출 기반 악성 소프트웨어 분류기 대상으로 블랙박스 적대적 공격을 개발하는 것.
- 감지에서 회피하면서도 전체 기능을 유지하는 적대적 악성 소프트웨어 샘플을 생성하는 것.
- 기존의 블랙박스 공격에 비해 쿼리 수와 아키텍처 지식의 요구량을 줄이는 것.
- 소스 코드 접근 없이 악성 소프트웨어 바이너리를 재구성할 수 있는 실용적인 프레임워크 BADGER를 구현하는 것.
- 악성 소프트웨어 분류 시스템에서 일반적인 방어 기법에 대한 공격의 내성에 대한 평가를 수행하는 것.
제안 방법
- 공격은 API 호출 시퀀스를 변형하고 인쇄 가능한 문자열과 같은 정적 특징을 통합하여 적대적 예제를 생성한다.
- 블랙박스 설정에서 작동하며, 모델의 예측 레이블만 필요로 하며, 신뢰도 점수는 필요로 하지 않는다.
- 쿼리 효율적인 최적화 전략을 통해 대상 모델에 대한 쿼리 수를 최소화한다.
- 기울기 기반 최적화를 사용하지 않고, 악성 소프트웨어의 기능을 유지하면서 잘못 분류하도록 하는 변형을 생성한다.
- BADGER 프레임워크는 소스 코드 접근 없이도 악성 소프트웨어 바이너리를 재구성하여 감지 회피를 자동화한다.
- 입력 전처리 및 적대적 훈련과 같은 일반적인 방어 기법에 대해 공격이 강건하도록 설계되어 있다.
실험 결과
연구 질문
- RQ1제안된 블랙박스 공격은 최소한의 쿼리 접근으로 다양한 최신의 API 기반 악성 소프트웨어 분류기를 얼마나 효과적으로 회피하는가?
- RQ2기존의 블랙박스 방법에 비해 이 공격은 쿼리 수와 아키텍처 지식 요구량을 얼마나 줄이는가?
- RQ3BADGER 프레임워크는 소스 코드 접근 없이도 악성 소프트웨어 바이너리를 성공적으로 재구성하여 감지를 회피할 수 있는가?
- RQ4기존의 방어 기법에 대해 이 공격은 얼마나 강건한가?
- RQ5API 호출 시퀀스와 정적 특징을 조합할 경우 적대적 예제의 성공률에 어떤 영향을 미치는가?
주요 결과
- 공격은 RNN 변종, DNN, SVM, GBDT 등 다양한 분류기에서 높은 회피율을 달성하며, 기존 방법보다 훨씬 적은 쿼리 수를 요구한다.
- 대상 모델의 아키텍처 지식이 최소한으로 필요하고, 신뢰도 점수가 필요 없어 실용성이 향상된다.
- BADGER 프레임워크는 소스 코드 접근 없이도 악성 소프트웨어 바이너리를 성공적으로 재구성하여 감지를 회피한다.
- 입력 전처리 및 적대적 훈련으로 강화된 모델에 대해서도 공격이 효과를 유지하여 강건성을 입증한다.
- API 호출 시퀀스와 정적 특징의 조합이 공격의 효과성과 다양한 분류기 간의 전이 가능성 향상에 기여한다.
더 나은 연구,지금 바로 시작하세요
연구 설계부터 논문 작성까지, 연구 시간을 획기적으로 줄여보세요.
카드 등록 없음 · 무료 플랜 제공
이 리뷰는 AI가 만들고, 인간 에디터가 검토했습니다.