[论文解读] Short Paper: Creating Adversarial Malware Examples using Code Insertion.
本文提出一种生成式模型,通过插入混淆代码来生成对抗性恶意软件,以逃避基于卷积神经网络的恶意软件分类器检测。该方法在保持功能完整的同时实现对抗性规避,在白盒设置下实现100%误分类,在黑盒设置下实现98%,表现出极高的可迁移性以及对常见防御策略的鲁棒性。
There has been an increased interest in the application of convolutional neural networks for image based malware classification, but the susceptibility of neural networks to adversarial examples allows malicious actors to evade classifiers. Adversarial examples are usually generated by adding small perturbations to the input that are unrecognizable to humans, but the same approach is not effective with malware. In general, these perturbations cause changes in the byte sequences that change the initial functionality or result in un-executable binaries. We present a generative model for executable adversarial malware examples using obfuscation that achieves a high misclassification rate, up to 100% and 98% in white-box and black-box settings respectively, and demonstrates transferability. We further evaluate the effectiveness of the proposed method by reporting insignificant change in the evasion rate of our adversarial examples against popular defense strategies.
研究动机与目标
- 解决深度学习驱动的恶意软件分类器在二进制领域对对抗性样本的脆弱性问题。
- 克服传统对抗性扰动的局限性,后者通常会破坏二进制可执行性或改变程序功能。
- 开发一种生成式方法,在通过代码混淆实现检测规避的同时保持恶意软件的功能完整性。
- 评估生成的对抗性样本对常见防御机制的可迁移性与鲁棒性。
提出的方法
- 该方法通过向合法二进制文件中插入混淆代码段来生成对抗性恶意软件,同时保持原始功能。
- 采用训练有素的生成模型,插入能最大程度混淆分类器但保持二进制可执行性的代码。
- 该方法在白盒与黑盒设置下均适用,可自适应目标模型的行为。
- 利用混淆技术确保扰动在语义上具有意义,且不破坏程序执行。
- 通过优化使目标分类器的误分类率最大化。
- 通过在不同、未见过的模型上测试相同对抗性样本,评估其可迁移性。
实验结果
研究问题
- RQ1基于混淆的代码插入能否生成可逃避深度学习驱动的恶意软件分类器的对抗性恶意软件?
- RQ2该方法在白盒与黑盒设置下的误分类率如何?
- RQ3这些对抗性样本在不同模型之间的可迁移性达到何种程度?
- RQ4生成的对抗性样本对主流防御策略的鲁棒性如何?
主要发现
- 所提方法在白盒设置下实现100%的误分类率,证明可完全规避目标分类器。
- 在黑盒设置下,该方法实现98%的误分类率,表明其具有强大的泛化能力与可迁移性。
- 对抗性样本保持了高功能完整性和可执行性,因为插入的代码未破坏原始行为。
- 在常见防御策略下,误分类率仍保持极低水平,表明对已知缓解技术具有高度鲁棒性。
- 该方法成功生成语义有效且可执行的对抗性样本,与传统基于扰动的方法不同。
- 在不同模型间均验证了可迁移性,表明该方法具备真实世界攻击的潜力。
更好的研究,从现在开始
从论文设计到论文写作,大幅缩短您的研究时间。
无需绑定信用卡
本解读由 AI 生成,并经人工编辑审核。