How to Train your Antivirus: RL-based Hardening through the Problem-Space

要約

動的分析レポートでの ML ベースのマルウェア検出は、回避と偽の相関の両方に対して脆弱です。
この研究では、敵対的なマルウェアに対して強化することを目的として、広く知られた商用ウイルス対策会社のパイプラインで採用されている特定の ML アーキテクチャを調査します。
経験的な堅牢性を与えることができる唯一の防御手法である敵対的トレーニングは、勾配ベースの摂動が実行可能な問題空間プログラムにマッピングされることはほとんどないという主な理由により、この領域ではそのままでは適用できません。
回避に対してモデルを敵対的にトレーニングする構成要素である、敵対的な例を構築するための新しい強化学習アプローチを紹介します。
私たちのアプローチには複数の利点があります。
問題空間内で実行可能な変更のみを実行します。
したがって、逆マッピング問題を回避します。
また、特定の一連の敵対的機能に対するモデルの堅牢性を理論的に保証することも可能になります。
私たちの経験的な調査により、敵対的な再トレーニングを数回繰り返した後でも一貫して攻撃成功率 0% に到達できるという理論的な洞察が検証されています。

要約(オリジナル)

ML-based malware detection on dynamic analysis reports is vulnerable to both evasion and spurious correlations. In this work, we investigate a specific ML architecture employed in the pipeline of a widely-known commercial antivirus company, with the goal to harden it against adversarial malware. Adversarial training, the sole defensive technique that can confer empirical robustness, is not applicable out of the box in this domain, for the principal reason that gradient-based perturbations rarely map back to feasible problem-space programs. We introduce a novel Reinforcement Learning approach for constructing adversarial examples, a constituent part of adversarially training a model against evasion. Our approach comes with multiple advantages. It performs modifications that are feasible in the problem-space, and only those; thus it circumvents the inverse mapping problem. It also makes possible to provide theoretical guarantees on the robustness of the model against a particular set of adversarial capabilities. Our empirical exploration validates our theoretical insights, where we can consistently reach 0% Attack Success Rate after a few adversarial retraining iterations.

arxiv情報

提供元, 利用サービス

arxiv.jp, Google