对抗机器学习:Generating Adversarial Malware Examples for Black-box Attacks Based on GAN

最新推荐文章于 2023-05-21 21:38:22 发布
最新推荐文章于 2023-05-21 21:38:22 发布
阅读量2.3k 收藏 12
点赞数
分类专栏: 对抗机器学习 文章标签: 对抗机器学习 MalGAN
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/jmh1996/article/details/102972421
版权

论文url

https://arxiv.org/pdf/1702.05983.pdf

@article{hu2017generating,
title={Generating adversarial malware examples for black-box attacks based on GAN},
author={Hu, Weiwei and Tan, Ying},
journal={arXiv preprint arXiv:1702.05983},
year={2017}
}

论文核心的motivation

之前的模型都是基于梯度的,这个是实际情况中不好。如果能够基于黑盒,只需要知道用了什么特征,而不需要知道模型是什么就可以。而且如果能够把那些常规的机器学习模型,比如随机森林,决策树,攻击成功就好了。

怎么知道究竟使用了什么特征呢? 这里特征是很粗粒度的。作者提出可以设计一系列的待测特征去测试目标分类器。比如恶意程序检测,可能会使用API的特征,那么把程序的导入导出表修改一下,然后拿去分类器分类,如果分类结果前后有差异,说明使用了API特征。

作者的方法

作者提出所谓的MalGAN模型:
在这里插入图片描述
MalGAN由三部分组成,第一部分是一个生成器,生成器接收恶意样本 m m m 和噪声 z z z 作为输入,输出一个特征向量 o o o, o o o m m m是相同维度的。 m m m 是API的 o n e − h o t one-hot onehot 向量。考虑到实际应用中,为了保持程序的可运行,只能添加往导入、导出表添加新的API名称,而不能删除,因为删除后程序就很有可能因为找不到API而跑不动了。于是取最后的输出为 G θ g ( m , z ) = m a x ( o , m ) G_{\theta g}(m,z)=max(o,m) Gθg(m,z)=max(o,m) 。对于 m m m 中本来为1的量,不会受影响,而 m m m 中为0的量就去生成器的输出,在梯度反向传播的时候只有来自 o o o 的那些分量才能产生梯度,这种方法很巧妙加上了这种阅读!!

Black-box Detector是被攻击的目标分类器模型,该模型接收输入向量,然后给这个输入向量进行分量,
无需detector输出概率分布,只需要给出一个label即可。攻击者只能把它当做Oracle来使用,而不能取里面的模型参数啥的。Black-box可能是个随机森林,SVM或者神经网络。

Substistute Detector是一个代理分类模型 D θ d ( x ) D_{\theta_d} (x) Dθd(x),它是一个神经网络,它的作用是去拟合那个black-box detector,然后给generator提供梯度信息。既然black-box detector获取不到梯度,那么就只能自己整个代理模型去拟合整个black-box。从导师学习的角度来看,black-box就是一个导师,然后substitute是个学生模型,导师把自己的分类能力教给学生。

我们看到,substistute和generator是使用GAN的交替训练方法训练的。而不是先整体求一个代理模型。

训练方法

为了训练MalGAN,攻击者首先得收集恶意样本库和良性样本库。
代理模型的损失函数为:
在这里插入图片描述
B B B e n i g n BB_{Benign} BBBenign 集合是那些被Black-box detector识别为 B e n i g n Benign Benign的样本库。而 B B M a l w a r e BB_{Malware} BBMalware 是被目标模型识别为恶意的样本集。
生成器的损失函数为:
在这里插入图片描述
整个训练流程:
在这里插入图片描述

实验效果

数据集: 180,000个程序的API 特征向量,这些特征向量是160维的one-hot向量。某个维度的值为1,说明这个样本需要调用这个维度对应的AP.
然后作者还使用不同数据集的划分方法,第一种方法是Black box的训练和MalGAN的训练集一样。第二种方法是Black box和Mal GAN的训练不相交。

Black box detector:作者先用 RF,LR,DT,SVM,MLP,集成模型在上面提到的数据集的某个子集上训练得到一些black-box detector.

攻击结果

  • Black-box 和MalGan相同的训练集:

在这里插入图片描述
效果很好,居然可以把RF,DT攻击的那么好,让black box detector 对攻击样本的TPR直接下降到1%一下。

  • Black-box和MalGan的训练集不相同

在这里插入图片描述
效果一样很不错!DT和RF的 TPR依然可以降到3%一下!

  • retrain防御
    作者还实验了retrain对malGAN的防御。实验发现,retrain的确特别管用。当black-box的作者收集到足够多的对抗样本后,对black-box模型重新训练一下就能100%的把那些对抗样本识别出来。
    虽然如此,black-box的训练者是很难收集全足够的对抗样本,因为GAN可以生成很多很多的对抗样本。
    一旦black-box把训练后的模型公开出来以后,MalGan又可以基于这个retrained后的detector自己也重新训练一下。重新训练以后,MalGAN的攻击性能又上去了。而且,MalGan重新训练代价很低,而Black-box收集充足的对抗样本再重新训练却很难。两者的难度不一致,导致retrain在实际应用中作用很有限。

启发

MalGAN 可以视为一种良好的 decision based attack,因为它无需拿到模型参数,也无需拿到模型分类结果的logit或者probability。

不足:

  1. 作者没有测试这种方法需要产生多少次对black-box的query,才能达到一个良好的攻击效果。猜测这个应该会很大,也没有考虑如何去降低这个query的次数。
  2. 作者没有交代MalGAN的训练时长。
  3. 实际情况中,不一定能准确的知道black-box究竟使用了啥具体特征。虽然可以通过测试知道black-box会使用api信息,但是究竟使用什么api?如此测试得到?对于复杂的特征,这是一个很难的工作!
Icoding_F2014
关注
  • 0
    点赞
  • 12
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
advGAN_pytorch:论文“Generating Adversarial Examples with Adversarial Networks” (advGAN) 的 Pytorch 实现
05-31
advGAN_pytorch 论文“Generating Adversarial Examples with Adversarial Networks” (advGAN) 的 Pytorch 实现。 训练目标模型 python3 train_target_model.py 训练 advGAN python3 main.py 测试对抗样本 python3 test_adversarial_examples.py 结果 MNIST 测试集中的攻击成功率: 99% 注意:我的实现与论文略有不同,因为我添加了一个剪辑技巧。
GANs 之父”Goodfellow亲身传授:深度学习未来的8大方向和入门AI必备的三大技能...
weixin_33714884的博客
07-19 371
近日,被称为“GANs 之父”的 Ian Goodfellow 在 Quora 上回答网友提问。在问答环节中,Goodfellow 不仅介绍了谷歌大脑(Google Brian)目前正在进行的工作,还详细阐述了 GANs 目前碰到的各种问题,以及未来的发展方向。作为《Deep Learning》的作者之一,Goodfellow 也对深度学习的未来发表了自己的见解。此外,作为“机器学习大师” Yos...
Generating Adversarial Malware Examples for Black-Box Attacks Based on GAN的简单理解
weixin_43971116的博客
04-27 1312
核心技术 利用基于恶意算法MalGANGAN将恶意软件作为输入,对恶意软件进行加工,使此恶意软件能够躲避基于黑匣子机器学习的检测模型的检测。(生成的恶意软件通过利用一个替身来迎合检测器的检测。) 提出了一种基于神经网络的神经网络生成方法。 以原始样本作为输入,输出对抗性实例。神经网络固有的非线性结构使其能够生成更复杂、更灵活的对抗性实例。 ~~ 黑匣子机器学习的检测模型:即是恶意软件生成作者对恶...
Notes on the paper"Improved MalGAN: Avoiding Malware Detector by Leaning Cleanware Features"
雨化于画
01-13 1118
Abstract Improved-MalGAN improves the ability of evading based on MalGAN, and achieves a better performance. Introduction Maybe the introduction of MalGAN is too complex, but I feel like it is necessa...
Generating Adversarial Malware Examples for Black-Box Attacks
qifeiyang112358的博客
09-28 602
Generating Adversarial Malware Examples for Black-Box Attacks   用生成对抗网络生成可以不被黑盒判别器识别的恶意软件。   恶意软件用M维的binary向量表示,每个维度表示API的调用(0,1分别表示是否调用)   这里用到dual-training的思想(大概吧,毕竟文中没有说明),在生成过程中首先加入噪声,结合其他操作...
MalwareGAN:可视化恶意软件行为,并使用GAN主动防御零日攻击
04-28
在动态图像文件行为的分布式图像可视化中,使用GAN模拟恶意软件作者以提供主动保护 引用为: VS Bhaskara, and D. Bhattacharyya. arXiv preprint arXiv:1807.07525 [stat.ML] (2018) 。 引用代码 训练的WGAN-GP模型基于上发布的代码。 我们将带有improved_wgan_training/gan_64x64.py脚本与GoodGenerator和GoodDiscriminator函数定义的网络体系结构GoodDiscriminator使用。 每个通道使用的64位dHash基于上的实现。 在color_dHash192.py脚本中显示了通过在彩色图像的通道上串联dHash来哈希的扩展。 数据集 dataset_filedetails.csv :列出文件SHA256哈希值和所使用的12,006个不同可执行文
特定敌手样本Adversarial Malware论文阅读小结
还没想好
03-05 911
思考:这些论文都是针对特定的模型来做的敌手样本 那么我们的模型是怎么做的,cnn+rnn?怎么处理字节? 从而再决定怎么生成特定敌手样本 Adversarial Malware Binaries: Evading Deep Learning for Malware Detection in Executables 深度网络检测方法:抽取k个bytes,补0到d个bytes,embedding...
Generative Adversarial Learning Towards Fast Weakly Supervised Detection
而濡木染
12-25 1147
Generative Adversarial Learning Towards Fast Weakly Supervised Detection Abstract 近年来,弱监督对象检测已经吸引了广泛的研究工作。在不需要注释边界框的情况下,现有方法通常遵循具有在线强制阶段的两级/多级管道来提取对象提议,这比诸如SSD的快速全监督对象检测器慢一个数量级[31]和YOLO [34]。在本文中,我们...
论文阅读之Black-box Adversarial Example Attack towards FCG
weixin_45922229的博客
05-21 253
在不完整功能信息下对基于FCG的安卓恶意软件检测的黑盒攻击
Episode-Based Prototype Generating Network for Zero-Shot Learnin
12-13
Episode-Based Prototype Generating Network for Zero-Shot Learning.pdf
All-fiber ultrafast laser generating gigahertz-rate pulses based on a hybrid plasmonic microfiber resonator
01-26
For decades, mode-locking based on dissipative four-wave-mixing (DFWM) has been fundamental in producing pulses with repetition rates on the order of gigahertz (GHz), where multiwavelength comb ...
TextGAN-PyTorch:TextGAN是用于基于生成对抗网络(GAN)的文本生成模型的PyTorch框架
02-03
TextGAN-PyTorch TextGAN是用于基于生成对抗网络(GAN)的文本生成模型的PyTorch框架,包括常规文本生成模型和类别文本生成模型。 TextGAN是一个基准测试平台,可支持基于GAN的文本生成模型的研究。 由于大多数基于...
GAN-generating-faces:使用生成对抗网络生成人脸的新图像
05-01
使用GAN(生成对抗网络)生成新的面Kong图像。 如何运行: 安装点子 在命令行中通过pip安装jupyter笔记本:“ pip3 install jupyter” 克隆此仓库 进入终端中的这个仓库 在终端中运行“ jupyter笔记本”
恶意软件的检测和攻击 文献整理
四个菜
01-19 7449
本文按照时间顺序整理了恶意软件攻防对抗近些年来的文献发表情况,希望能和对该领域感兴趣的研究人员做一个分享。 有些文献我只是大概地浏览了一下,如下文有错误,请为我指出来,感激不尽! 感兴趣的朋友可以在评论里交流(勿喷),或者可以认识一下(留下联系方式)。
对抗机器学习——Min Max模型(Towards Deep Learning Models Resistant to Adversarial Attacks)
jmhIcoding
10-04 8596
Towards Deep Learning Models Resistant to Adversarial Attacks 论文URL: https://arxiv.org/pdf/1706.06083.pdf 论文代码: https://github.com/MadryLab/mnist_challenge 论文Key idea 本文提出了对抗机器学习领域里面鼎鼎大名的Min-max最优化框架,...
对抗机器学习 —— foolbox使用
jmhIcoding
09-29 7560
foolbox是另外一个对抗机器学习库。 安装方法: pip3 install foolbox 测试代码: 使用VGG19 预训练模型,攻击猫图片。 __author__ = 'dk' import tensorflow as tf import matplotlib.pyplot as plt from tensorflow.contrib.slim.nets import vgg impor...
对抗机器学习—— 迭代FGSM
jmhIcoding
09-27 4946
论文标题 ADVERSARIAL EXAMPLES IN THE PHYSICAL WORLD 论文url https://arxiv.org/pdf/1607.02533.pdf?utm_source=sciontist.com&utm_medium=refer&utm_campaign=promote 论文核心内容: 提出了迭代FGSM的方法,以及least likely 攻...
对抗机器学习——Towards Evaluating the Robustness of Neural Networks
jmhIcoding
09-28 4785
论文代码: http://nicholas.carlini.com/code/nn_robust_attacks 论文motivation: 蒸馏网络说自己短小强撼,可以为目标网络模型提供很强的鲁棒性,号称自己能够把已经出现的攻击的成功率从95%锐减到0.5%。作者不信这个邪,于是基于L0,L2,L无穷范数提出三种新的攻击方法,尝试攻击蒸馏网络,而且还攻击成功了。而且作者认为,基于他们提出的三种攻...
Keras 给定输入数据,获取LOSS关于输入的梯度
jmhIcoding
11-07 3101
需求 论文需要使用对抗训练 adversarial training,里面需要拿到目标函数的loss关于输入样本的梯度。 方法:使用Keras.backbend的function函数 要点: 想办法把输入feed给模型 from keras import backbend as K #model是编译好的模型, with model.session.as_default(): #模型所在的session with model.graph.as_default(): #模型所在的graph
CMake Error: Cannot determine link language for target "Java_jni_demo". CMake Error: CMake can not determine linker language for target: Java_jni_demo -- Generating done
最新发布
06-09
这个错误通常是由于 CMake 无法自动检测 JNI 库的链接语言导致的。为了解决这个问题,你需要显式地告诉 CMake 使用哪种语言来链接 JNI 库。 在 CMakeLists.txt 文件中,你需要添加以下代码来告诉 CMake 使用 C 语言来链接 JNI 库: ``` # 设置 JNI 库的链接语言为 C set_property(TARGET Java_jni_demo PROPERTY LINKER_LANGUAGE C) ``` 其中,Java_jni_demo 是你要链接的 JNI 库的目标名称。set_property 命令用于设置目标的属性,其中 LINKER_LANGUAGE 属性用于指定链接语言。 如果你的 JNI 库是使用 C++ 编写的,你可以将 LINKER_LANGUAGE 属性设置为 CXX,例如: ``` # 设置 JNI 库的链接语言为 C++ set_property(TARGET Java_jni_demo PROPERTY LINKER_LANGUAGE CXX) ``` 希望这可以帮到你解决问题。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值