Creating Valid Adversarial Examples of Malware

要約

機械学習は、その世界クラスの成果により、多くのタスクの頼りになるアプローチとしてますます人気が高まっています。
その結果、ウイルス対策開発者は自社の製品に機械学習モデルを組み込んでいます。
これらのモデルはマルウェア検出機能を向上させますが、敵対的な攻撃を受けやすいという欠点もあります。
この脆弱性はホワイトボックス設定の多くのモデルで実証されていますが、マルウェア検出の領域では実際にはブラックボックス攻撃の方がより適用可能です。
強化学習アルゴリズムを使用した敵対的マルウェアの例のジェネレーターを紹介します。
強化学習エージェントは、機能を維持する一連の変更を利用して、有効な敵対的な例を作成します。
近接ポリシー最適化 (PPO) アルゴリズムを使用すると、勾配ブースト決定木 (GBDT) モデルに対して 53.84% の回避率を達成しました。
以前に GBDT 分類子に対してトレーニングされた PPO エージェントは、ニューラル ネットワーク ベースの分類子 MalConv に対して 11.41% の回避率を記録し、トップのウイルス対策プログラムに対して平均 2.31% の回避率を記録しました。
さらに、機能を保持するポータブルな実行可能変更をランダムに適用すると、平均 11.65% の回避率で主要なウイルス対策エンジンを回避できることがわかりました。
これらの調査結果は、マルウェア検出システムで使用される機械学習ベースのモデルが敵対的な攻撃に対して脆弱であり、これらのシステムを保護するにはより適切な保護手段を講じる必要があることを示しています。

要約(オリジナル)

Machine learning is becoming increasingly popular as a go-to approach for many tasks due to its world-class results. As a result, antivirus developers are incorporating machine learning models into their products. While these models improve malware detection capabilities, they also carry the disadvantage of being susceptible to adversarial attacks. Although this vulnerability has been demonstrated for many models in white-box settings, a black-box attack is more applicable in practice for the domain of malware detection. We present a generator of adversarial malware examples using reinforcement learning algorithms. The reinforcement learning agents utilize a set of functionality-preserving modifications, thus creating valid adversarial examples. Using the proximal policy optimization (PPO) algorithm, we achieved an evasion rate of 53.84% against the gradient-boosted decision tree (GBDT) model. The PPO agent previously trained against the GBDT classifier scored an evasion rate of 11.41% against the neural network-based classifier MalConv and an average evasion rate of 2.31% against top antivirus programs. Furthermore, we discovered that random application of our functionality-preserving portable executable modifications successfully evades leading antivirus engines, with an average evasion rate of 11.65%. These findings indicate that machine learning-based models used in malware detection systems are vulnerable to adversarial attacks and that better safeguards need to be taken to protect these systems.

arxiv情報

提供元, 利用サービス

arxiv.jp, Google