Skip to main content
QUICK REVIEW

[论文解读] Low Resource Black-Box End-to-End Attack Against State of the Art API Call Based Malware Classifiers.

Ishai Rosenberg, Asaf Shabtai|arXiv (Cornell University)|Apr 23, 2018
Advanced Malware Detection Techniques参考文献 23被引用 15
一句话总结

本文提出一种低资源黑盒攻击方法,通过使用API调用序列和静态特征生成对抗性恶意软件样本,以极少的查询次数和无需访问模型置信度的方式,绕过最先进的基于API的恶意软件分类器。该攻击成功欺骗了多种模型,如RNN、DNN、SVM和GBDT,同时保持了恶意软件的功能完整性。

ABSTRACT

In this paper, we present a black-box attack against API call based machine learning malware classifiers. We generate adversarial examples combining API call sequences and static features (e.g., printable strings) that will be misclassified by the classifier without affecting the malware functionality. Our attack only requires access to the predicted label of the attacked model (without the confidence level) and minimizes the number of target classifier queries. We evaluate the attack's effectiveness against many classifiers such as RNN variants, DNN, SVM, GBDT, etc. We show that the attack requires fewer queries and less knowledge about the attacked model's architecture than other existing black-box attacks. We also implement BADGER, a software framework to recraft any malware binary so that it won't be detected by classifiers, without access to the malware source code. Finally, we discuss the robustness of this attack to existing defense mechanisms.

研究动机与目标

  • 开发一种针对基于API调用的恶意软件分类器的黑盒对抗性攻击,仅需极少的查询访问且无需置信度信息。
  • 生成保留完整功能的对抗性恶意软件样本,同时在多种机器学习模型上逃避检测。
  • 与现有黑盒攻击相比,减少对查询次数和模型架构知识的需求。
  • 实现一个实用框架BADGER,用于在无源代码访问的情况下重构恶意软件二进制文件。
  • 评估该攻击对恶意软件分类系统中常见防御机制的鲁棒性。

提出的方法

  • 通过扰动API调用序列并引入可打印字符串等静态特征,生成对抗性样本。
  • 在黑盒设置下运行,仅需目标分类器的预测标签,无需置信度分数。
  • 通过查询高效的优化策略,最小化对目标模型的查询次数。
  • 采用无梯度优化方法生成可使恶意软件被错误分类但保持功能完整的扰动。
  • BADGER框架自动化重构恶意软件二进制文件,以在无源代码访问的情况下逃避检测。
  • 该攻击设计为对常见防御机制(如输入预处理和对抗性训练)具有鲁棒性。

实验结果

研究问题

  • RQ1所提出的黑盒攻击在仅使用极少查询访问的情况下,对多种最先进的基于API的恶意软件分类器的绕过效果如何?
  • RQ2与先前的黑盒方法相比,该攻击在减少所需查询次数和架构知识方面达到何种程度?
  • RQ3BADGER框架是否能成功重构恶意软件二进制文件,以在无源代码访问的情况下逃避检测?
  • RQ4该攻击对现有恶意软件分类系统中防御机制的鲁棒性如何?
  • RQ5将API调用序列与静态特征结合,对对抗性样本的成功率有何影响?

主要发现

  • 该攻击在多种分类器(包括RNN变体、DNN、SVM和GBDT)上实现了高绕过率,且查询次数显著少于先前方法。
  • 该方法对目标模型架构的知识需求极低,且无需置信度分数,显著提升了实用性。
  • BADGER框架成功重构了恶意软件二进制文件,以在无源代码访问的情况下逃避检测。
  • 该攻击在经过常见防御机制(如输入预处理和对抗性训练)加固的模型上仍保持有效性,表明其具有强大的鲁棒性。
  • 结合API调用序列与静态特征可显著提升攻击的有效性及在不同分类器间的迁移能力。

更好的研究,从现在开始

从论文设计到论文写作,大幅缩短您的研究时间。

无需绑定信用卡

本解读由 AI 生成,并经人工编辑审核。