背景
今年机器学习被广泛用于恶意软件检测,而恶意软件的开发者无法知道进行恶意软件检测的机器学习算法的结构和参数,所以一般是通过黑盒对其进行攻击的。
本文提出的方法:
通过GAN(生成对抗网络)生成对抗实例而绕过基于监测模型的黑盒机器学习,并且能使机器学习检测率接近0,使基于再训练的防御方法难以有效地对抗对抗性样例(adversarial samples)。
机器学习算法是脆弱的,曾有人在一张图片中加入不易察觉的轻微扰动,就使神经网络无法对其正确识别。
1、但又有人不使用替代神经网络去执行黑盒攻击,而是根据对抗性样例能在不同模型之间转移的原则(猜测模型)。
2、恶意程序设计者可以通过把良性应用的DLL和API文件的名称改为恶意软件的DLL和API名称,如果此时的检测结果改变了,说明该机器学习算法的样例使用了导入目录表和导入查找表中的DLL和API名称,反之亦然。从此可以推出恶意软件设计者在不知道检测模型算法的时候却能知道此检测模型算法用的是被检测软件的特征种类。攻击者无权利访问被攻击的神经网络的结构和参数(权重)(因为机器学习算法一般是集成到防病毒软件或放在云端的),但可以将一个替代神经网络来确定神经网络(猜测模型),从而生成对抗性样例。
这种方法可以通过已知检测模型会检测的特征种类作为生成器的输入而对生成器进行训练从而生成可以混淆监测模型的对抗性样本
。 (MalGAN)
为什么提出MalGAN?
目前主要使用梯度信息和人类定义的规则把特征样本转化为对抗性样本这两种方法,而使用MalGAN能生成更复杂和灵活的对抗性样本。
MalGAN
- 通过生成器(generator)把恶意软件特征转化为对抗性样本
- 通过对抗性样本和良性样本训练一个替代检测器(substitute detector)来确定黑盒(black-box)恶意软件检测算法
之后,生成器和替代检测器共同攻击以机器学习为基础的黑盒软件检测器(二者都为前馈神经网络)。
MalGAN与传统方法的主要区别:
传统方法是基于静态梯度生成对抗性样本的,而MalGAN却可以根据黑盒检测器的反馈动态生成对抗性样本。
Generator :多层前馈神经网络。
Substitute detector :用于确定黑盒检测和返回梯度信息来训练生成器。它使用生成器生成的对抗性样本和恶意软件作者另外找的良性训练集来进行训练。并且使用黑盒检测器预测的标签给训练集标记,也就是说这些良性样本和对抗性样本已经经过黑盒检测器标记之后再给替代检测器来训练。
实验结果:
- MalGAN和检测模型使用相同训练集
- MalGAN与检测模型使用不同训练集
可以看出,除了RF(随机森林)和DT(决策树)算法能检测出一些恶意代码特征,其他流行的机器学习算法根本无法检测出经过MalGAN处理的样例中的恶意代码特征。
MalGAN的优越性:
- 在白盒的假设下,基于梯度的算法生成的对抗性样例的误分类率只有40%~80%,而MalGAN生成的对抗性样例在大多数机器学习算法下的误分类率可以达到100%(除了RF和DT算法);
- 通过迭代算法生成的对抗性样例在机器学习随机森林(RF)算法下能被极大概率地检测出来。多次迭代之后,通过替代模型的对抗性样例的概率分布和原训练集的概率分布有很大的不同。
其实,如果拥有足够的对抗样本对黑盒检测器进行训练的话,是可以恢复它的检测能力的,但是,一旦这种更新的黑盒检测器公开发布之后,恶意软件开发者又可以使用MalGAN生成新的对抗性样本,而杀毒软件开发者又需要更多的时间去收集对抗样本来对黑盒检测器进行训练,在这期间,恶意软件早就已经完成对其他设备的感染了。
总结:
This paper proposed a novel algorithm named MalGAN to generate adversarial examples from a machine learning based black-box malware detector.
- A neural network based substitute detector is used to fit the black-box detector.
(用基于神经网络的替代检测器来确定黑盒检测器)
- A generator is trained to generate adversarial examples which are able to fool the substitute detector.
(训练一个生成器来生成足以欺骗替代检测器的对抗性样本)