Skip to main content
QUICK REVIEW

[논문 리뷰] HashTran-DNN: A Framework for Enhancing Robustness of Deep Neural Networks against Adversarial Malware Samples

Deqiang Li, Ramesh Baral|arXiv (Cornell University)|2018. 09. 18.
Adversarial Robustness in Machine Learning참고 문헌 40인용 수 19
한 줄 요약

HashTran-DNN는 국소성 보존 해시 함수와 노이즈 제거 autoencoder(DAE)를 결합하여 딥 네ural 네트워크(DNN)의 적대적 악성 소프트웨어에 대한 강건성을 향상시키는 새로운 프레임워크이다. 이는 Android 악성 소프트웨어에 대한 네 가지 주요 적대적 공격—JSMA, GD-KDE, CW, Mimicry—에 대해 표준 DNN 및 기존 방어 기법인 RFN과 반복적 적대적 훈련보다 뛰어난 성능을 보이며, 특히 큰 변형 공격에 대해 뛰어난 방어 성능을 발휘한다.

ABSTRACT

Adversarial machine learning in the context of image processing and related applications has received a large amount of attention. However, adversarial machine learning, especially adversarial deep learning, in the context of malware detection has received much less attention despite its apparent importance. In this paper, we present a framework for enhancing the robustness of Deep Neural Networks (DNNs) against adversarial malware samples, dubbed Hashing Transformation Deep Neural Networks} (HashTran-DNN). The core idea is to use hash functions with a certain locality-preserving property to transform samples to enhance the robustness of DNNs in malware classification. The framework further uses a Denoising Auto-Encoder (DAE) regularizer to reconstruct the hash representations of samples, making the resulting DNN classifiers capable of attaining the locality information in the latent space. We experiment with two concrete instantiations of the HashTran-DNN framework to classify Android malware. Experimental results show that four known attacks can render standard DNNs useless in classifying Android malware, that known defenses can at most defend three of the four attacks, and that HashTran-DNN can effectively defend against all of the four attacks.

연구 동기 및 목표

  • 적대적 기계 학습에서 악성 소프트웨어 탐지의 핵심 격차를 해결한다. 기존 DNN는 적대적 변형에 매우 취약하다.
  • 적대적 조작 상황에서도 악성 소프트웨어 표현의 의미적 국소성을 유지하는 방어 프레임워크를 개발한다.
  • 해시 변환과 DAE 정규화를 통합하여 DNN의 강건성을 향상시키고, 분포 외부의 적대적 샘플을 탐지하고 거부한다.
  • 실세계 Android 악성 소프트웨어 데이터셋에서 최신 적대적 공격에 대해 프레임워크의 효과성을 입증한다.

제안 방법

  • 악성 소프트웨어 샘플을 압축되고 의미적으로 안정적인 표현으로 변환하기 위해 국소성 보존 해시 함수(LSH 및 LNH)를 적용한다.
  • 정규화된 해밍 거리 하에서 {0,1}^n 공간 내에서 거리 왜곡이 유한한 국소성 비선형 해시(LNH) 함수를 도입한다.
  • 노이즈 제거 autoencoder(DAE)를 통합하여 해시 표현을 재구성하고 DNN를 정규화함으로써 일반화 능력과 이상치 탐지 능력을 향상시킨다.
  • 해시 인코딩된 특징으로 DNN를 훈련시켜 국소적 구조를 유지하고 특징 변형에 대한 강건성을 향상시킨다.
  • DAE를 사용해 훈련 데이터 분포에서 멀리 떨어진 적대적 샘플을 걸러내며, 특히 높은 변형 수준에서 효과적이다.
  • 해시와 DAE를 결합하여 소규모 및 대규모 변형을 동시에 완화하며, 구조적 불변성과 노이즈에 대한 강건성을 동시에 활용한다.

실험 결과

연구 질문

  • RQ1국소성 보존 해시 함수는 DNN의 적대적 악성 소프트웨어 샘플에 대한 강건성을 향상시킬 수 있는가?
  • RQ2DAE 정규화 기법은 DNN의 분포 외부 적대적 샘플 탐지 및 거부 능력을 어느 정도 향상시킬 수 있는가?
  • RQ3HashTran-DNN는 JSMA, GD-KDE, CW, Mimicry와 같은 다양한 최신 적대적 공격에 대해 얼마나 효과적으로 방어할 수 있는가?
  • RQ4해시와 DAE의 통합은 RFN이나 반복적 적대적 훈련과 같은 기존 방어 기법보다 우수한 강건성을 제공하는가?
  • RQ5다양한 해시 함수 설계(LSH 대 LNH)와 DAE 통합은 적대적 변형 하에서 분류 정확도에 어떤 영향을 미치는가?

주요 결과

  • JSMA, GD-KDE, CW 공격에 의해 생성된 496개의 적대적 샘플에 노출되었을 때, 표준 DNN-DAE 모델의 정확도는 92.09%에서 거의 0%로 급격히 하락한다.
  • LSH-DAE 및 LNH-DAE를 사용한 HashTran-DNN는 네 가지 공격 모두에서 높은 분류 정확도를 유지하며, 높은 변형 수준에서도 강건성을 입증한다.
  • Random Feature Nullification(RFN)은 네 가지 공격 중 어느 것에도 방어하지 못하며, HashTran-DNN는 이를 능가한다.
  • LNH-DAE를 사용한 HashTran-DNN는 원본(비적대적) 테스트 세트에서 가장 높은 정확도(92.87%)를 기록하여 강력한 일반화 능력을 보여준다.
  • DAE 구성 요소는 큰 변형을 가진 적대적 샘플을 효과적으로 걸러내며, 해시 기법은 소규모이고 타겟된 변형을 완화한다.
  • 해시와 DAE 정규화의 조합은 단독 DAE나 DNN-DAE 모델과 달리 다양한 변형 수준에서 DNN의 성능을 안정화시킨다.

더 나은 연구,지금 바로 시작하세요

연구 설계부터 논문 작성까지, 연구 시간을 획기적으로 줄여보세요.

카드 등록 없음 · 무료 플랜 제공

이 리뷰는 AI가 만들고, 인간 에디터가 검토했습니다.