[论文解读] Enhancing Deep Neural Networks Against Adversarial Malware Examples.
本文提出了一种防御框架,通过应用系统性原则提升深度神经网络对对抗性恶意软件逃避攻击的鲁棒性,在Drebin数据集和AICS'2019挑战赛中进行了验证。该框架在未事先了解对抗性样本生成方式的情况下赢得了挑战赛,但由于未知的攻击者操作集合,二分类与多分类设置之间观察到约22%的准确率差距。
Machine learning based malware detection is known to be vulnerable to adversarial evasion attacks. The state-of-the-art is that there are no effective countermeasures against these attacks. Inspired by the AICS'2019 Challenge organized by the MIT Lincoln Lab, we systematize a number of principles for enhancing the robustness of neural networks against adversarial malware evasion attacks. Some of these principles have been scattered in the literature, but others are proposed in this paper for the first time. Under the guidance of these principles, we propose a framework for defending against adversarial malware evasion attacks. We validated the framework using the Drebin dataset of Android malware. We applied the defense framework to the AICS'2019 Challenge and won, without knowing how the organizers generated the adversarial examples. However, we see a ~22\% difference between the accuracy in the experiment with the Drebin dataset (for binary classification) and the accuracy in the experiment with respect to the AICS'2019 Challenge (for multiclass classification). We attribute this gap to a fundamental barrier that without knowing the attacker's manipulation set, the defender cannot do effective Adversarial Training.
研究动机与目标
- 解决基于机器学习的恶意软件检测器对对抗性逃避攻击的脆弱性问题。
- 系统化地提出增强神经网络对对抗性恶意软件样本鲁棒性的原则。
- 开发一种在真实环境中有效的防御框架,且无需事先了解对抗性样本的生成方式。
- 研究未知攻击者操作集合对对抗性训练有效性的影响。
提出的方法
- 该框架应用了一套系统性原则以提升对抗鲁棒性,其中部分原则来自已有文献,另一些则是新提出的。
- 通过这些原则指导的对抗性训练,提升了模型在逃避攻击下的泛化能力。
- 该防御方法在Drebin数据集上进行了二分类评估,在AICS'2019挑战赛中进行了多分类评估。
- 该方法无需事先了解组织方如何生成对抗性样本。
- 通过基于所提原则设计的网络架构和训练策略,增强了模型的鲁棒性。
实验结果
研究问题
- RQ1如何系统性地提升深度神经网络对对抗性恶意软件逃避攻击的鲁棒性?
- RQ2当攻击者操作集合未知时,哪些原则能够实现有效的防御?
- RQ3为何在对抗性防御中,二分类与多分类设置之间存在显著的准确率差距?
- RQ4在未知对抗性样本生成方式的情况下,防御框架能在多大程度上取得成功?
主要发现
- 尽管未了解对抗性样本的生成方式,该防御框架仍赢得了AICS'2019挑战赛。
- 在Drebin数据集(二分类)与AICS'2019挑战赛(多分类)之间观察到约22%的准确率差距。
- 该准确率差距归因于未知攻击者操作集合带来的根本性障碍,限制了有效对抗性训练。
- 所提出的原理即使在攻击者策略不完全可知的情况下,也能实现鲁棒性提升。
更好的研究,从现在开始
从论文设计到论文写作,大幅缩短您的研究时间。
无需绑定信用卡
本解读由 AI 生成,并经人工编辑审核。