《Adversarial Perturbations Against Deep Neural Networks for Malware Classification》论文笔记

PaperNotes Secure

Citing

Grosse K, Papernot N, Manoharan P, et al. Adversarial Perturbations Against Deep Neural Networks for Malware Classification[J]. 2016.

Abstract

现有的对神经网络鲁棒性的研究主要针对图片分类任务，因为图片的高熵决定其能够被方便地修改而在视觉上改动可以忽略。但是，将这种攻击转移到对安全更加敏感的应用，例如恶意软件探测方面， 这可能在样本生成上提出重大挑战。同时，失败可能造成严重后果。
本文探究了针对恶意软件探测的对抗攻击样本生成方法。相较于以前的计算机视觉问题，恶意软件应用场景具有如下限制：1）输入不是连续可微的，而是离散的，且通常是二分的数据。2）不受约束的视觉不变状态用同等的函数变化替代。
同时，本文证明了对抗攻击在许多不同恶意软件识别领域的可行性，训练用的数据集是DREBIN Android恶意软件数据集（D. Arp, M. Spreitzenbarth, M. Hubner, H. Gascon, and K. Rieck. DREBIN: Effective and Explainable Detection of Android Malware in Your Pocket. In Proceedings of the 2014 Network and Distributed System Security Symposium(NDSS), 2014.）。
而且，论文评估了已有的defence 方法在恶意软件应用场景下是否能够发挥作用。实验证明featur
e reduction效果不好，而distillation和re-training有比较好的前景。

Contributions

1. 表明了如何对恶意软件分类系统进行对抗攻击的方法。部署了前向神经网络，并在DREBIN数据集上达到了当前为止最好的攻击表现。
2. 产生对抗攻击的方法借鉴与Papernot提出的方法（N. Papernot, P. McDaniel, S. Jha, M. Fredrikson, Z. B. Celik, and A. Swami. The Limitations of Deep Learning in Adversarial Settings. In Proceedings of the 1st IEEE European Symposium in Security and Privacy (EuroS&P),
   2016.），并将之从连续可微的空间转移应用到了离散受限的恶意软件探测输入上。
3. 自己构建了一个分类器来实现恶意软件探测。
4. 探究了潜在的能增强恶意软件分类器鲁棒性的方法，并应用到了实际的模型中。

Conclusion

1. 证明了对抗攻击在恶意软件探测领域确实存在，并且实验中的误分类率达到了80%。
2. 测试了可能增强恶意软件分类器稳定性的方法：feature reduction，distillation，re-training。其中，feature方法通过减少输入的复杂度并简化模型的训练过程，最终反而让模型更加容易受到对抗攻击。distillation上虽然提升了误分类率，但是相比于计算机视觉上的攻击效果，确实增强了模型的稳定性。而re-training方法在整个结构中都对误分类率有明显的减少。

Future work

1. 测试更多的defence方法，比如用在训练过程中对抗的损失函数来帮助提升模型的鲁棒性。
2. 除了在恶意软件识别方向上，在其他应用领域也应该扩展对抗攻击的研究。