Skip to main content
QUICK REVIEW

[论文解读] HashTran-DNN: A Framework for Enhancing Robustness of Deep Neural Networks against Adversarial Malware Samples

Deqiang Li, Ramesh Baral|arXiv (Cornell University)|Sep 18, 2018
Adversarial Robustness in Machine Learning参考文献 40被引用 19
一句话总结

HashTran-DNN 是一种新颖的框架,通过结合保持局部性的哈希函数与去噪自编码器(DAE),增强了深度神经网络(DNN)对对抗性恶意软件的鲁棒性。该框架能有效防御针对 Android 恶意软件的四种主要对抗攻击——JSMA、GD-KDE、CW 和 Mimicry,其性能优于标准 DNN 以及现有的防御方法如 RFN 和迭代对抗训练,尤其在应对大扰动攻击时表现更优。

ABSTRACT

Adversarial machine learning in the context of image processing and related applications has received a large amount of attention. However, adversarial machine learning, especially adversarial deep learning, in the context of malware detection has received much less attention despite its apparent importance. In this paper, we present a framework for enhancing the robustness of Deep Neural Networks (DNNs) against adversarial malware samples, dubbed Hashing Transformation Deep Neural Networks} (HashTran-DNN). The core idea is to use hash functions with a certain locality-preserving property to transform samples to enhance the robustness of DNNs in malware classification. The framework further uses a Denoising Auto-Encoder (DAE) regularizer to reconstruct the hash representations of samples, making the resulting DNN classifiers capable of attaining the locality information in the latent space. We experiment with two concrete instantiations of the HashTran-DNN framework to classify Android malware. Experimental results show that four known attacks can render standard DNNs useless in classifying Android malware, that known defenses can at most defend three of the four attacks, and that HashTran-DNN can effectively defend against all of the four attacks.

研究动机与目标

  • 弥合对抗性机器学习在恶意软件检测中的关键空白,因为现有 DNN 对对抗性扰动高度敏感。
  • 开发一种防御框架,使恶意软件表征在对抗性操纵下仍能保持语义局部性。
  • 通过集成哈希变换与 DAE 正则化,增强 DNN 的鲁棒性,以检测并拒绝分布外的对抗性样本。
  • 在真实世界 Android 恶意软件数据集上,证明该框架对多种最先进的对抗攻击的有效性。

提出的方法

  • 应用保持局部性的哈希函数(LSH 和 LNH)将恶意软件样本转换为紧凑且语义稳定的表征。
  • 提出具有有界距离失真特性的非线性局部哈希(LNH)函数,其在归一化汉明距离下的 {0,1}^n 空间中表现稳定。
  • 集成去噪自编码器(DAE)以重建哈希表征并正则化 DNN,提升泛化能力与异常检测性能。
  • 在哈希编码特征上训练 DNN,以保持局部结构并增强对特征扰动的鲁棒性。
  • 利用 DAE 筛除远离训练数据分布的对抗性样本,尤其在高扰动条件下表现更优。
  • 结合哈希与 DAE,同时缓解小扰动与大扰动,充分利用结构不变性与抗噪鲁棒性。

实验结果

研究问题

  • RQ1保持局部性的哈希是否能提升 DNN 对对抗性恶意软件样本的鲁棒性?
  • RQ2DAE 正则化器在多大程度上能增强 DNN 检测并拒绝分布外对抗性样本的能力?
  • RQ3HashTran-DNN 在防御多种对抗攻击(包括 JSMA、GD-KDE、CW 和 Mimicry)方面的有效性如何?
  • RQ4与 RFN 或迭代对抗训练等现有防御方法相比,哈希与 DAE 的集成是否提供更优的鲁棒性?
  • RQ5不同哈希函数设计(LSH 与 LNH)及 DAE 集成对对抗扰动下分类准确率的影响如何?

主要发现

  • 当暴露于由 JSMA、GD-KDE 和 CW 攻击在 ε=30 下生成的 496 个对抗样本时,标准 DNN-DAE 模型的准确率从 92.09% 显著下降至接近 0%。
  • 采用 LSH-DAE 和 LNH-DAE 的 HashTran-DNN 在所有四种攻击下均保持高分类准确率,表明其在高扰动下仍具鲁棒性。
  • 该框架优于随机特征归零(RFN),后者无法防御其中任意一种攻击。
  • 采用 LNH-DAE 的 HashTran-DNN 在原始(非对抗性)测试集上达到最高准确率(92.87%),表明其具有强大的泛化能力。
  • DAE 组件能有效过滤大扰动对抗样本,而哈希机制则有效缓解小而有针对性的扰动。
  • 哈希与 DAE 正则化的结合使 DNN 在不同扰动水平下的性能更加稳定,而独立的 DAE 或 DNN-DAE 模型则不具备此特性。

更好的研究,从现在开始

从论文设计到论文写作,大幅缩短您的研究时间。

无需绑定信用卡

本解读由 AI 生成,并经人工编辑审核。