[论文解读] Black-Box Attacks against RNN based Malware Detection Algorithms
论文提出了一种基于生成RNN的方法,在黑箱设定中创建序列化对抗API字符串,以绕过基于RNN的恶意软件检测器,使用替代RNN和Gumbel-Softmax进行梯度传播。
Recent researches have shown that machine learning based malware detection algorithms are very vulnerable under the attacks of adversarial examples. These works mainly focused on the detection algorithms which use features with fixed dimension, while some researchers have begun to use recurrent neural networks (RNN) to detect malware based on sequential API features. This paper proposes a novel algorithm to generate sequential adversarial examples, which are used to attack a RNN based malware detection system. It is usually hard for malicious attackers to know the exact structures and weights of the victim RNN. A substitute RNN is trained to approximate the victim RNN. Then we propose a generative RNN to output sequential adversarial examples from the original sequential malware inputs. Experimental results showed that RNN based malware detection algorithms fail to detect most of the generated malicious adversarial examples, which means the proposed model is able to effectively bypass the detection algorithms.
研究动机与目标
- 证明基于RNN的恶意软件检测对序列对抗样本的易受攻击性。
- 开发一个黑箱攻击框架,使用替代RNN和生成型RNN来插入误导性的API序列。
- 评估对不同目标RNN体系结构和训练集的对抗样本的迁移性。
提出的方法
- 训练一个带注意力机制的替代双向RNN,以模仿目标RNN的行为。
- 使用生成型RNN(序列到序列)将无关的API插入到恶意软件的API序列中。
- 应用Gumbel-Softmax以产生可微分、对梯度友好的插入决策输出。
- 计算一个损失,使对抗性输出被替代RNN判定为恶意软件的概率最大化,并通过第二个损失使目标RNN的检测率最小化。
- 以两阶段目标进行训练:(i) 替代RNN以反映目标输出,(ii) 生成型RNN以生成能够欺骗目标的对抗序列。
实验结果
研究问题
- RQ1黑箱目标的恶意软件检测RNN能否被序列对抗样本欺骗?
- RQ2将生成型RNN与替代RNN结合是否能有效近似并利用目标RNN?
- RQ3对抗序列是否在不同的目标RNN体系结构和训练集之间具有可迁移性?
主要发现
- 大多数对抗样本绕过了目标RNN,使检测率从大约90%降至个位数的百分比。
- 在几个目标RNN变体上,对抗样本的检测率范围为0.44%到12.10%。
- 该攻击展示了迁移性:为一个模型/训练集生成的对抗序列也可能影响其他模型。
- BiLSTM-Attention 对对抗样本表现出相对更高的抗性,但对对抗样本的检测率仍降至约3%左右。
- 所提出的方法对未见过的恶意软件和不同目标架构具有广泛的泛化性,表明基于RNN的恶意软件检测器存在广泛的脆弱性。
更好的研究,从现在开始
从论文设计到论文写作,大幅缩短您的研究时间。
无需绑定信用卡
本解读由 AI 生成,并经人工编辑审核。