《Generating Adversarial Malware Examples for Black-Box Attacks Based on GAN》

PaperNotes Secure GAN

读了两篇将 GAN 与对抗攻击结合起来的文章。

• 《Generating Adversarial Malware Examples for Black-Box Attacks Based on GAN》论文笔记
  这篇文章是将GAN思想应用到对抗样本的构建方向。

引用

    Hu W, Tan Y. Generating Adversarial Malware Examples for Black-Box Attacks Based on GAN[J]. 2017.

内容

恶意软件攻击者通常在不知道恶意软件探测系统的结构的情况下进行攻击。所谓的恶意软件探测系统，就是抽取恶意软件的多个特征，根据这些特征来判断被探测软件的攻击性。
构建对抗恶意软件攻击，就是修改恶意软件的这些特征，使得其能绕过恶意软件探测系统——即是让系统分类错误。
利用生成对抗网络原理生成对抗样本的方法文中称之为MalGAN。其中，GAN 网络中的判别器是一个人为构建的替代探测器网络。生成器则是目的网络，能生成恶意软件对抗样本。
最终的实验证明，MalGAN能够将实际中的恶意软件检测率降低到接近零，同时，让defence策略难以起作用。

原理

MalGAN的原理，可以从下图的网络结构解读：

生成器根据替代探测器网络的输出优化权重，将输入恶意软件的特征与噪音混合后，输出的恶意软件特征就是添加了perturbation的对抗样本。
而训练过程，作者与传统的GAN训练略有区别，整个过程如下：

最终的实验结果也比较好，对抗样本测试的误分类率几乎是100%。

相较于前几天读过的《Generative Adversarial Trainer: Defense to Adversarial Perturbations with GAN》利用GAN思想构建defence策略，这篇论文侧重点在利用GAN构建对抗攻击样本。从GAN的两个组成部分可以看出，如果将判别器（分类器）作为目的网络，则是defence策略。反之，如果将生成器网络作为目的网络，那就是一个构建对抗样本的网络。因为在GAN的对抗训练中，生成器和判别器的零和博弈，使得两个部分都能有优化的效果。

• 《AE-GAN: adversarial eliminating with GAN》论文笔记

  文中提出的 AE-GAN 也是一种针对对抗攻击的defence策略。文中提到，本文提到的AE-GAN是第一个基于GAN的对抗攻击defence策略。（本文是17年7月发表的，前一篇文章则是5月，审稿时间的原因，实际不是最早的一篇）

引用

Shen S, Jin G, Gao K, et al. AE-GAN: adversarial eliminating with GAN[J]. 2017.

内容

文章的贡献点主要是：
1. 提出了一种新颖的对抗样本defence策略；
2. 是第一个利用GAN来实现上述目标的；
3. 提出的方法展现了很强的应用前景；
4. 提出的训练方法不需要知道目的网络的各种参数知识（即是黑盒攻击）。

原理

模型的结构如图：

与《Generative Adversarial Trainer: Defense to Adversarial Perturbations with GAN》不同的是，这篇文章的目标网络是G网络，其输入是经过扰动的对抗样本，通过训练，得到的G网络可以将这个对抗样本还原为真实图片，从而达到defence的目的。（公式原理部分还没看完）