Signature-based malware detectors have proven to be insufficient as even a small change in malignant executable code can bypass these signature-based detectors. Many machine learning-based models have been proposed to efficiently detect a wide variety of malware. Many of these models are found to be susceptible to adversarial attacks - attacks that work by generating intentionally designed inputs that can force these models to misclassify. Our work aims to explore vulnerabilities in the current state of the art malware detectors to adversarial attacks. We train a Transformers-based malware detector, carry out adversarial attacks resulting in a misclassification rate of 23.9% and propose defenses that reduce this misclassification rate to half. An implementation of our work can be found at https://github.com/yashjakhotiya/Adversarial-Attacks-On-Transformers.
translated by 谷歌翻译
恶意软件是跨越多个操作系统和各种文件格式的计算机的最损害威胁之一。为了防止不断增长的恶意软件的威胁,已经提出了巨大的努力来提出各种恶意软件检测方法,试图有效和有效地检测恶意软件。最近的研究表明,一方面,现有的ML和DL能够卓越地检测新出现和以前看不见的恶意软件。然而,另一方面,ML和DL模型本质上易于侵犯对抗性示例形式的对抗性攻击,这通过略微仔细地扰乱了合法输入来混淆目标模型来恶意地产生。基本上,在计算机视觉领域最初广泛地研究了对抗性攻击,并且一些快速扩展到其他域,包括NLP,语音识别甚至恶意软件检测。在本文中,我们专注于Windows操作系统系列中的便携式可执行文件(PE)文件格式的恶意软件,即Windows PE恶意软件,作为在这种对抗设置中研究对抗性攻击方法的代表性案例。具体而言,我们首先首先概述基于ML / DL的Windows PE恶意软件检测的一般学习框架,随后突出了在PE恶意软件的上下文中执行对抗性攻击的三个独特挑战。然后,我们进行全面和系统的审查,以对PE恶意软件检测以及增加PE恶意软件检测的稳健性的相应防御,对近最新的对手攻击进行分类。我们首先向Windows PE恶意软件检测的其他相关攻击结束除了对抗对抗攻击之外,然后对未来的研究方向和机遇脱落。
translated by 谷歌翻译
可提供许多开源和商业恶意软件探测器。然而,这些工具的功效受到新的对抗性攻击的威胁,由此恶意软件试图使用例如机器学习技术来逃避检测。在这项工作中,我们设计了依赖于特征空间和问题空间操纵的对抗逃避攻击。它使用可扩展性导向特征选择来最大限度地通过识别影响检测的最关键的特征来最大限度地逃避。然后,我们将此攻击用作评估若干最先进的恶意软件探测器的基准。我们发现(i)最先进的恶意软件探测器容易受到简单的逃避策略,并且可以使用现成的技术轻松欺骗; (ii)特征空间操纵和问题空间混淆可以组合起来,以便在不需要对探测器的白色盒子理解的情况下实现逃避; (iii)我们可以使用解释性方法(例如,Shap)来指导特征操纵并解释攻击如何跨多个检测器传输。我们的调查结果阐明了当前恶意软件探测器的弱点,以及如何改善它们。
translated by 谷歌翻译
我们考虑通过网络攻击者生成对抗性恶意软件的问题,其中攻击者的任务是在现有二进制恶意软件文件中战略性地修改某些字节,以便修改的文件能够避免恶意软件检测器,例如基于机器学习的恶意软件分类器。我们使用从单个公开可用的恶意软件数据集绘制的二进制恶意软件样本进行了评估了三个最近的对抗恶意软件生成技术,并将其进行了比较了它们的性能,以逃避称为MALCONV的基于机器学习的恶意软件分类器。我们的结果表明,在比较技术中,最有效的技术是战略性地修改二进制标题中字节的技术。我们通过讨论对对抗对抗恶意软件生成主题的经验教训和未来的研究方向来结束。
translated by 谷歌翻译
基于机器学习的恶意软件检测技术依赖于恶意软件的灰度图像,并且倾向于根据灰色图像中纹理的分布对恶意软件进行分类。尽管机器学习技术显示出的进步和有希望的结果,但攻击者可以通过生成对抗样本来利用漏洞。对抗样本是通过智能手工制作并向输入样品添加扰动来生成的。大多数基于软件的对抗性攻击和防御。为了防御对手,基于机器学习和灰度图像的现有恶意软件检测需要对对抗数据进行预处理。这可能会导致额外的开销,并可以延长实时恶意软件检测。因此,作为替代方案,我们探索了基于RRAM(电阻随机访问记忆)对对手的防御。因此,本文的目的是解决上述关键系统安全问题。上述挑战是通过展示提出的技术来设计安全和健壮的认知系统来解决的。首先,提出了一种新的检测隐形恶意软件的技术。该技术使用恶意软件二进制图像,然后从同一图像中提取不同的功能,然后在数据集中使用不同的ML分类器。结果表明,基于提取的功能,该技术在区分恶意软件类别中成功。其次,我演示了对抗性攻击对具有不同学习算法和设备特征的可重新配置RRAM-NEUROMORMORMORMORMORMORMORORMORMORORMORMORMORORMORMORORMORMORORMORMORORMORMORORMORMORORMORMORORMORORMORORMORORMORORMORORMORORMORORMORMOROROMORMORORMORORMORORITIC的影响。我还提出了一种集成解决方案,用于使用可重新配置的RRAM体系结构来减轻对抗攻击的影响。
translated by 谷歌翻译
恶意软件开发人员使用诸如压缩,加密和混淆等技术的组合来绕过反病毒软件。使用抗分析技术的恶意软件可以绕过基于AI的防病毒软件和恶意软件分析工具。因此,对包装文件进行分类是最大的挑战之一。如果恶意软件分类器学习包装工的功能,而不是恶意软件的功能,就会出现问题。用意外错误的数据训练模型变成中毒攻击,对抗攻击和逃避攻击。因此,研究人员应考虑包装以构建适当的恶意软件分类器模型。在本文中,我们提出了一个多步框架,用于分类和识别包装样本,其中包括伪最佳的功能选择,基于机器学习的分类器和Packer识别步骤。在第一步中,我们使用购物车算法和置换重要性来预选重要的20个功能。在第二步中,每个模型都会学习20个预选功能,以分类具有最高性能的包装文件。结果,XGBoost以置换重要性了解了XGBoost预先选择的功能,其精度为99.67%,F1得分为99.46%,并且在曲线下的F1分数表现出最高的性能(f1)。 AUC)为99.98%。在第三步中,我们提出了一种新方法,该方法只能识别包装工,仅针对被分类为众所周知的包装的样品。
translated by 谷歌翻译
尽管机器学习容易受到对抗性示例的影响,但它仍然缺乏在不同应用程序上下文中评估其安全性的系统过程和工具。在本文中,我们讨论了如何使用实际攻击来开发机器学习的自动化和可扩展的安全性评估,并在Windows恶意软件检测中报告了用例。
translated by 谷歌翻译
With rapid progress and significant successes in a wide spectrum of applications, deep learning is being applied in many safety-critical environments. However, deep neural networks have been recently found vulnerable to well-designed input samples, called adversarial examples. Adversarial perturbations are imperceptible to human but can easily fool deep neural networks in the testing/deploying stage. The vulnerability to adversarial examples becomes one of the major risks for applying deep neural networks in safety-critical environments. Therefore, attacks and defenses on adversarial examples draw great attention. In this paper, we review recent findings on adversarial examples for deep neural networks, summarize the methods for generating adversarial examples, and propose a taxonomy of these methods. Under the taxonomy, applications for adversarial examples are investigated. We further elaborate on countermeasures for adversarial examples. In addition, three major challenges in adversarial examples and the potential solutions are discussed.
translated by 谷歌翻译
普遍的对策扰动是图像不可思议的和模型 - 无关的噪声,当添加到任何图像时可以误导训练的深卷积神经网络进入错误的预测。由于这些普遍的对抗性扰动可以严重危害实践深度学习应用的安全性和完整性,因此现有技术使用额外的神经网络来检测输入图像源的这些噪声的存在。在本文中,我们展示了一种攻击策略,即通过流氓手段激活(例如,恶意软件,木马)可以通过增强AI硬件加速器级的对抗噪声来绕过这些现有对策。我们使用Conv2D功能软件内核的共同仿真和FuseSoC环境下的硬件的Verilog RTL模型的共同仿真,展示了关于几个深度学习模型的加速度普遍对抗噪声。
translated by 谷歌翻译
The authors thank Nicholas Carlini (UC Berkeley) and Dimitris Tsipras (MIT) for feedback to improve the survey quality. We also acknowledge X. Huang (Uni. Liverpool), K. R. Reddy (IISC), E. Valle (UNICAMP), Y. Yoo (CLAIR) and others for providing pointers to make the survey more comprehensive.
translated by 谷歌翻译
我们研究了如何修改可执行文件以欺骗恶意软件分类系统。这项工作的主要贡献是一种方法,可以随机注入恶意软件文件,并将其用作攻击以降低分类准确性,也可以作为防御方法,从而增加可用于培训的数据。它尊重操作系统文件格式,以确保在注射后仍将执行恶意软件,并且不会改变其行为。我们重现了五种最先进的恶意软件分类方法来评估我们的注射方案:一种基于GIST+KNN,三个CNN变体和一种封闭式CNN。我们在公共数据集上进行了实验,其中有25个不同家庭的9,339个恶意软件样本。我们的结果表明,恶意软件的大小增加了7%,导致恶意软件家庭分类的准确度下降了25%至40%。他们表明,自动恶意软件分类系统可能不像文献中最初报道的那样值得信赖。我们还使用修改后的麦芽脂肪剂以及原始恶核评估,以提高网络的鲁棒性,以防止上述攻击。结果表明,重新排序恶意软件部分和注入随机数据的组合可以改善分类的整体性能。代码可在https://github.com/adeilsonsilva/malware-injection中找到。
translated by 谷歌翻译
深度神经网络(DNN)越来越多地应用于恶意软件检测中,其鲁棒性已广泛争论。传统上,对抗性示例生成方案依赖于详细的模型信息(基于梯度的方法)或许多样本来训练替代模型,在大多数情况下都无法使用。我们提出了基于实例的攻击的概念。我们的方案是可解释的,可以在黑箱环境中起作用。给定一个特定的二进制示例和恶意软件分类器,我们使用数据增强策略来生成足够的数据,我们可以从中训练一个简单的可解释模型。我们通过显示特定二进制的不同部分的重量来解释检测模型。通过分析解释,我们发现数据小节在Windows PE恶意软件检测中起重要作用。我们提出了一个新函数,以保存可以应用于数据子分校的转换算法。通过采用我们提出的二进制多样化技术,我们消除了最加权零件对产生对抗性例子的影响。在某些情况下,我们的算法可以欺骗DNN,成功率接近100 \%。我们的方法的表现优于最新方法。最重要的方面是我们的方法在黑框设置中运行,并且可以通过域知识来验证结果。我们的分析模型可以帮助人们改善恶意软件探测器的鲁棒性。
translated by 谷歌翻译
在过去的几十年中,人工智能的兴起使我们有能力解决日常生活中最具挑战性的问题,例如癌症的预测和自主航行。但是,如果不保护对抗性攻击,这些应用程序可能不会可靠。此外,最近的作品表明,某些对抗性示例可以在不同的模型中转移。因此,至关重要的是避免通过抵抗对抗性操纵的强大模型进行这种可传递性。在本文中,我们提出了一种基于特征随机化的方法,该方法抵抗了八次针对测试阶段深度学习模型的对抗性攻击。我们的新方法包括改变目标网络分类器中的训练策略并选择随机特征样本。我们认为攻击者具有有限的知识和半知识条件,以进行最普遍的对抗性攻击。我们使用包括现实和合成攻击的众所周知的UNSW-NB15数据集评估了方法的鲁棒性。之后,我们证明我们的策略优于现有的最新方法,例如最强大的攻击,包括针对特定的对抗性攻击进行微调网络模型。最后,我们的实验结果表明,我们的方法可以确保目标网络并抵抗对抗性攻击的转移性超过60%。
translated by 谷歌翻译
基于深度学习(DL)的恶意软件探测器越来越多地采用网络安全性的恶意行为。然而,它们对对抗性恶意软件变体的敏感性提高了巨大的安全问题。通过防御者产生这种对抗性变体对改善基于DL的恶意软件探测器的阻力来说至关重要。这种必要性引起了新兴的机器学习研究流程,对抗恶意软件示例生成(AMG),其旨在生成保存给定恶意软件的恶意功能的避免的对抗性恶意软件变体。在AMG研究中,黑匣子方法比白盒方法更加关注。但是,大多数Black-Box AMG方法需要许多与恶意软件探测器的交互以生成对抗性恶意软件示例。鉴于大多数恶意软件探测器强制执行查询限制,这可能导致由于缺乏隐身而在实践中产生的非现实对抗性示例。在本研究中,我们通过将恶意软件的内容视为字节序列并培训预先训练的经常培训,通过将单次的DL的因果语言模型(即只有一个查询与恶意软件检测器仅用一个查询)进行单次逃避(即,只有一个查询)。变压器(GPT)。我们提出的方法,持久,显着优于从恶毒癖获得的真实恶意软件数据集上的领先基准方法,实现了超过24.51%的逃避率。 MALGPT使网络安全研究人员能够通过模拟大规模的现实AMG来开发先进的防御能力。
translated by 谷歌翻译
恶意应用程序(尤其是针对Android平台的应用程序)对开发人员和最终用户构成了严重威胁。许多研究工作都致力于开发有效的方法来防御Android恶意软件。但是,鉴于Android恶意软件的爆炸性增长以及恶意逃避技术(如混淆和反思)的持续发展,基于手动规则或传统机器学习的Android恶意软件防御方法可能无效。近年来,具有强大功能抽象能力的主要研究领域称为“深度学习”(DL),在各个领域表现出了令人信服和有希望的表现,例如自然语言处理和计算机视觉。为此,采用深度学习技术来阻止Android恶意软件攻击,最近引起了广泛的研究关注。然而,没有系统的文献综述着重于针对Android恶意软件防御的深度学习方法。在本文中,我们进行了系统的文献综述,以搜索和分析在Android环境中恶意软件防御的背景下采用了如何应用的。结果,确定了涵盖2014 - 2021年期间的132项研究。我们的调查表明,尽管大多数这些来源主要考虑基于Android恶意软件检测的基于DL,但基于其他方案的53项主要研究(40.1%)设计防御方法。这篇综述还讨论了基于DL的Android恶意软件防御措施中的研究趋势,研究重点,挑战和未来的研究方向。
translated by 谷歌翻译
随着深度神经网络(DNNS)的进步在许多关键应用中表现出前所未有的性能水平,它们的攻击脆弱性仍然是一个悬而未决的问题。我们考虑在测试时间进行逃避攻击,以防止在受约束的环境中进行深入学习,其中需要满足特征之间的依赖性。这些情况可能自然出现在表格数据中,也可能是特定应用程序域中功能工程的结果,例如网络安全中的威胁检测。我们提出了一个普通的基于迭代梯度的框架,称为围栏,用于制定逃避攻击,考虑到约束域和应用要求的细节。我们将其应用于针对两个网络安全应用培训的前馈神经网络:网络流量僵尸网络分类和恶意域分类,以生成可行的对抗性示例。我们广泛评估了攻击的成功率和绩效,比较它们对几个基线的改进,并分析影响攻击成功率的因素,包括优化目标和数据失衡。我们表明,通过最少的努力(例如,生成12个其他网络连接),攻击者可以将模型的预测从恶意类更改为良性并逃避分类器。我们表明,在具有更高失衡的数据集上训练的模型更容易受到我们的围栏攻击。最后,我们证明了在受限领域进行对抗训练的潜力,以提高针对这些逃避攻击的模型弹性。
translated by 谷歌翻译
由于它们在各个域中的大量成功,深入的学习技术越来越多地用于设计网络入侵检测解决方案,该解决方案检测和减轻具有高精度检测速率和最小特征工程的未知和已知的攻击。但是,已经发现,深度学习模型容易受到可以误导模型的数据实例,以使所谓的分类决策不正确(对抗示例)。此类漏洞允许攻击者通过向恶意流量添加小的狡猾扰动来逃避检测并扰乱系统的关键功能。在计算机视觉域中广泛研究了深度对抗学习的问题;但是,它仍然是网络安全应用中的开放研究领域。因此,本调查探讨了在网络入侵检测领域采用对抗机器学习的不同方面的研究,以便为潜在解决方案提供方向。首先,调查研究基于它们对产生对抗性实例的贡献来分类,评估ML的NID对逆势示例的鲁棒性,并捍卫这些模型的这种攻击。其次,我们突出了调查研究中确定的特征。此外,我们讨论了现有的通用对抗攻击对NIDS领域的适用性,启动拟议攻击在现实世界方案中的可行性以及现有缓解解决方案的局限性。
translated by 谷歌翻译
Although deep neural networks (DNNs) have achieved great success in many tasks, they can often be fooled by adversarial examples that are generated by adding small but purposeful distortions to natural examples. Previous studies to defend against adversarial examples mostly focused on refining the DNN models, but have either shown limited success or required expensive computation. We propose a new strategy, feature squeezing, that can be used to harden DNN models by detecting adversarial examples. Feature squeezing reduces the search space available to an adversary by coalescing samples that correspond to many different feature vectors in the original space into a single sample. By comparing a DNN model's prediction on the original input with that on squeezed inputs, feature squeezing detects adversarial examples with high accuracy and few false positives.This paper explores two feature squeezing methods: reducing the color bit depth of each pixel and spatial smoothing. These simple strategies are inexpensive and complementary to other defenses, and can be combined in a joint detection framework to achieve high detection rates against state-of-the-art attacks.
translated by 谷歌翻译
在过去的几年中,卷积神经网络(CNN)在各种现实世界的网络安全应用程序(例如网络和多媒体安全)中表现出了有希望的性能。但是,CNN结构的潜在脆弱性构成了主要的安全问题,因此不适合用于以安全为导向的应用程序,包括此类计算机网络。保护这些体系结构免受对抗性攻击,需要使用挑战性攻击的安全体系结构。在这项研究中,我们提出了一种基于合奏分类器的新型体系结构,该结构将1级分类(称为1C)的增强安全性与在没有攻击的情况下的传统2级分类(称为2C)的高性能结合在一起。我们的体系结构称为1.5级(Spritz-1.5c)分类器,并使用最终密度分类器,一个2C分类器(即CNNS)和两个并行1C分类器(即自动编码器)构造。在我们的实验中,我们通过在各种情况下考虑八次可能的对抗性攻击来评估我们提出的架构的鲁棒性。我们分别对2C和Spritz-1.5c体系结构进行了这些攻击。我们研究的实验结果表明,I-FGSM攻击对2C分类器的攻击成功率(ASR)是N-Baiot数据集训练的2C分类器的0.9900。相反,Spritz-1.5C分类器的ASR为0.0000。
translated by 谷歌翻译
对卷积神经网络(CNN)的对抗性攻击的存在质疑这种模型对严重应用的适合度。攻击操纵输入图像,使得错误分类是在对人类观察者看上去正常的同时唤起的 - 因此它们不容易被检测到。在不同的上下文中,CNN隐藏层的反向传播激活(对给定输入的“特征响应”)有助于可视化人类“调试器” CNN“在计算其输出时对CNN”的看法。在这项工作中,我们提出了一种新颖的检测方法,以防止攻击。我们通过在特征响应中跟踪对抗扰动来做到这一点,从而可以使用平均局部空间熵自动检测。该方法不会改变原始的网络体系结构,并且完全可以解释。实验证实了我们对在Imagenet训练的大规模模型的最新攻击方法的有效性。
translated by 谷歌翻译