MalProtect: Stateful Defense Against Adversarial Query Attacks in ML-based Malware Detection

要約

ML モデルは、敵対的なクエリ攻撃に対して脆弱であることが知られています。
これらの攻撃では、出力以外のターゲット モデルについての知識がなくても、クエリは特定のクラスに向けて反復的に摂動されます。
リモートでホストされる ML 分類モデルと Machine-Learning-as-a-Service プラットフォームの普及は、クエリ攻撃がこれらのシステムのセキュリティに真の脅威をもたらすことを意味します。
これに対処するために、システムが受信した一連のクエリを監視および分析することでクエリ攻撃を検出し、敵対的な例の生成を防ぐステートフル防御が提案されています。
近年、いくつかのステートフル防御が提案されています。
ただし、これらの防御は、他のドメインでは効果的である可能性のある類似性または分布外の検出方法のみに依存しています。
マルウェア検出ドメインでは、敵対的な例を生成する方法が本質的に異なるため、そのような検出メカニズムの効果が大幅に低いことがわかりました。
そこで、このホワイト ペーパーでは、マルウェア検出ドメインにおけるクエリ攻撃に対するステートフル防御である MalProtect について説明します。
MalProtect は、いくつかの脅威インジケーターを使用して攻撃を検出します。
その結果、さまざまな攻撃者のシナリオにおいて、Android および Windows マルウェアにおける敵対的クエリ攻撃の回避率が 80% 以上減少することがわかりました。
この種の最初の評価では、特にピーク時の敵対的脅威の下で、MalProtect が以前のステートフル防御よりも優れたパフォーマンスを発揮することを示しました。

要約(オリジナル)

ML models are known to be vulnerable to adversarial query attacks. In these attacks, queries are iteratively perturbed towards a particular class without any knowledge of the target model besides its output. The prevalence of remotely-hosted ML classification models and Machine-Learning-as-a-Service platforms means that query attacks pose a real threat to the security of these systems. To deal with this, stateful defenses have been proposed to detect query attacks and prevent the generation of adversarial examples by monitoring and analyzing the sequence of queries received by the system. Several stateful defenses have been proposed in recent years. However, these defenses rely solely on similarity or out-of-distribution detection methods that may be effective in other domains. In the malware detection domain, the methods to generate adversarial examples are inherently different, and therefore we find that such detection mechanisms are significantly less effective. Hence, in this paper, we present MalProtect, which is a stateful defense against query attacks in the malware detection domain. MalProtect uses several threat indicators to detect attacks. Our results show that it reduces the evasion rate of adversarial query attacks by 80+\% in Android and Windows malware, across a range of attacker scenarios. In the first evaluation of its kind, we show that MalProtect outperforms prior stateful defenses, especially under the peak adversarial threat.

arxiv情報

提供元, 利用サービス

arxiv.jp, Google