对抗机器学习:Generating Adversarial Malware Examples for Black-box Attacks Based on GAN

最新推荐文章于 2023-10-16 17:09:43 发布
最新推荐文章于 2023-10-16 17:09:43 发布
阅读量2.5k 收藏 12
点赞数
分类专栏: 对抗机器学习 文章标签: 对抗机器学习 MalGAN
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/jmh1996/article/details/102972421
版权

论文url

https://arxiv.org/pdf/1702.05983.pdf

@article{hu2017generating,
title={Generating adversarial malware examples for black-box attacks based on GAN},
author={Hu, Weiwei and Tan, Ying},
journal={arXiv preprint arXiv:1702.05983},
year={2017}
}

论文核心的motivation

之前的模型都是基于梯度的,这个是实际情况中不好。如果能够基于黑盒,只需要知道用了什么特征,而不需要知道模型是什么就可以。而且如果能够把那些常规的机器学习模型,比如随机森林,决策树,攻击成功就好了。

怎么知道究竟使用了什么特征呢? 这里特征是很粗粒度的。作者提出可以设计一系列的待测特征去测试目标分类器。比如恶意程序检测,可能会使用API的特征,那么把程序的导入导出表修改一下,然后拿去分类器分类,如果分类结果前后有差异,说明使用了API特征。

作者的方法

作者提出所谓的MalGAN模型:
在这里插入图片描述
MalGAN由三部分组成,第一部分是一个生成器,生成器接收恶意样本 m m m 和噪声 z z z 作为输入,输出一个特征向量 o o o, o o o m m m是相同维度的。 m m m 是API的 o n e − h o t one-hot onehot 向量。考虑到实际应用中,为了保持程序的可运行,只能添加往导入、导出表添加新的API名称,而不能删除,因为删除后程序就很有可能因为找不到API而跑不动了。于是取最后的输出为 G θ g ( m , z ) = m a x ( o , m ) G_{\theta g}(m,z)=max(o,m) Gθg(m,z)=max(o,m) 。对于 m m m 中本来为1的量,不会受影响,而 m m m 中为0的量就去生成器的输出,在梯度反向传播的时候只有来自 o o o 的那些分量才能产生梯度,这种方法很巧妙加上了这种阅读!!

Black-box Detector是被攻击的目标分类器模型,该模型接收输入向量,然后给这个输入向量进行分量,
无需detector输出概率分布,只需要给出一个label即可。攻击者只能把它当做Oracle来使用,而不能取里面的模型参数啥的。Black-box可能是个随机森林,SVM或者神经网络。

Substistute Detector是一个代理分类模型 D θ d ( x ) D_{\theta_d} (x) Dθd(x),它是一个神经网络,它的作用是去拟合那个black-box detector,然后给generator提供梯度信息。既然black-box detector获取不到梯度,那么就只能自己整个代理模型去拟合整个black-box。从导师学习的角度来看,black-box就是一个导师,然后substitute是个学生模型,导师把自己的分类能力教给学生。

我们看到,substistute和generator是使用GAN的交替训练方法训练的。而不是先整体求一个代理模型。

训练方法

为了训练MalGAN,攻击者首先得收集恶意样本库和良性样本库。
代理模型的损失函数为:
在这里插入图片描述
B B B e n i g n BB_{Benign} BBBenign 集合是那些被Black-box detector识别为 B e n i g n Benign Benign的样本库。而 B B M a l w a r e BB_{Malware} BBMalware 是被目标模型识别为恶意的样本集。
生成器的损失函数为:
在这里插入图片描述
整个训练流程:
在这里插入图片描述

实验效果

数据集: 180,000个程序的API 特征向量,这些特征向量是160维的one-hot向量。某个维度的值为1,说明这个样本需要调用这个维度对应的AP.
然后作者还使用不同数据集的划分方法,第一种方法是Black box的训练和MalGAN的训练集一样。第二种方法是Black box和Mal GAN的训练不相交。

Black box detector:作者先用 RF,LR,DT,SVM,MLP,集成模型在上面提到的数据集的某个子集上训练得到一些black-box detector.

攻击结果

  • Black-box 和MalGan相同的训练集:

在这里插入图片描述
效果很好,居然可以把RF,DT攻击的那么好,让black box detector 对攻击样本的TPR直接下降到1%一下。

  • Black-box和MalGan的训练集不相同

在这里插入图片描述
效果一样很不错!DT和RF的 TPR依然可以降到3%一下!

  • retrain防御
    作者还实验了retrain对malGAN的防御。实验发现,retrain的确特别管用。当black-box的作者收集到足够多的对抗样本后,对black-box模型重新训练一下就能100%的把那些对抗样本识别出来。
    虽然如此,black-box的训练者是很难收集全足够的对抗样本,因为GAN可以生成很多很多的对抗样本。
    一旦black-box把训练后的模型公开出来以后,MalGan又可以基于这个retrained后的detector自己也重新训练一下。重新训练以后,MalGAN的攻击性能又上去了。而且,MalGan重新训练代价很低,而Black-box收集充足的对抗样本再重新训练却很难。两者的难度不一致,导致retrain在实际应用中作用很有限。

启发

MalGAN 可以视为一种良好的 decision based attack,因为它无需拿到模型参数,也无需拿到模型分类结果的logit或者probability。

不足:

  1. 作者没有测试这种方法需要产生多少次对black-box的query,才能达到一个良好的攻击效果。猜测这个应该会很大,也没有考虑如何去降低这个query的次数。
  2. 作者没有交代MalGAN的训练时长。
  3. 实际情况中,不一定能准确的知道black-box究竟使用了啥具体特征。虽然可以通过测试知道black-box会使用api信息,但是究竟使用什么api?如此测试得到?对于复杂的特征,这是一个很难的工作!
特定敌手样本Adversarial Malware论文阅读小结
还没想好
03-05 976
思考:这些论文都是针对特定的模型来做的敌手样本 那么我们的模型是怎么做的,cnn+rnn?怎么处理字节? 从而再决定怎么生成特定敌手样本 Adversarial Malware Binaries: Evading Deep Learning for Malware Detection in Executables 深度网络检测方法:抽取k个bytes,补0到d个bytes,embedding...
论文阅读- 人工智能安全 TEXTBUGGER: Generating Adversarial Text Against Real-world Applications(2018)
Che_Che_的博客
01-18 1354
(4) substitution - c (SubC):用视觉上相似的字符替换(例如,用‘0 ‘替换‘o ‘,用‘1‘替换‘l ‘,用‘@ ‘替换‘a ‘)或键盘上相邻的字符(例如,用‘n‘替换‘m ‘)。文本领域的对抗攻击会更加复杂,在文本领域,微小的扰动通常是清晰可见的,替换单个单词可能会彻底改变句子的语义。·下面的白盒和黑盒攻击最大的不同是因为黑盒攻击,我们无法得知分类器的内部结构,在计算单词重要性的时候,在不知道分类模型参数和结构,我们要克服这个困难,所以在白盒的算法上我们的黑盒算法做了变化。
Generating Adversarial Malware Examples for Black-Box Attacks Based on GAN的简单理解
weixin_43971116的博客
04-27 1422
核心技术 利用基于恶意算法MalGANGAN将恶意软件作为输入,对恶意软件进行加工,使此恶意软件能够躲避基于黑匣子机器学习的检测模型的检测。(生成的恶意软件通过利用一个替身来迎合检测器的检测。) 提出了一种基于神经网络的神经网络生成方法。 以原始样本作为输入,输出对抗性实例。神经网络固有的非线性结构使其能够生成更复杂、更灵活的对抗性实例。 ~~ 黑匣子机器学习的检测模型:即是恶意软件生成作者对恶...
Generating Adversarial Malware Examples for Black-Box Attacks
qifeiyang112358的博客
09-28 665
Generating Adversarial Malware Examples for Black-Box Attacks   用生成对抗网络生成可以不被黑盒判别器识别的恶意软件。   恶意软件用M维的binary向量表示,每个维度表示API的调用(0,1分别表示是否调用)   这里用到dual-training的思想(大概吧,毕竟文中没有说明),在生成过程中首先加入噪声,结合其他操作...
基于GAN的恶意软件对抗样本生成(Python实现)
毕业作品网站
06-02 3365
1.2 恶意软件领域相比图像领域增加的约束在过去六年发表的1600多篇关于对抗ML的论文中,大约有40篇集中在恶意软件上,其中大部分集中在特征空间上2017 blackhathttps://github.com/drhyrum/gym-malwarePE文件(特征空间)进行少量的修改,这些修改不会破坏PE文件格式,也不会改变代码的执行2020 SP揭示了特征空间和问题空间之间的关系,并引入了副作用特征的概念作为反特征映射问题的副产品四种常见于任何问题空间攻击的主要约束类型:(除了攻击目标函数外,所考虑的问
Generative Adversarial Learning Towards Fast Weakly Supervised Detection
而濡木染
12-25 1247
Generative Adversarial Learning Towards Fast Weakly Supervised Detection Abstract 近年来,弱监督对象检测已经吸引了广泛的研究工作。在不需要注释边界框的情况下,现有方法通常遵循具有在线强制阶段的两级/多级管道来提取对象提议,这比诸如SSD的快速全监督对象检测器慢一个数量级[31]和YOLO [34]。在本文中,我们...
对抗样本(论文解读五):Perceptual-Sensitive GAN for Generating Adversarial Patches
Enjoy_endless
12-18 2929
准备写一个论文学习专栏,先以对抗样本相关为主,后期可能会涉及到目标检测相关领域。 内容不是纯翻译,包括自己的一些注解和总结,论文的结构、组织及相关描述,以及一些英语句子和相关工作的摘抄(可以用于相关领域论文的写作及扩展)。 平时只是阅读论文,有很多知识意识不到,当你真正去着手写的时候,发现写完之后可能只有自己明白做了个啥。包括从组织、结构、描述上等等很多方面都具有很多问题。另一个是对于专业术语、...
《PhysGAN: Generating Physical-World-Resilient Adversarial Examples for Autonomous Driving》学习笔记
kkx2218813的博客
07-10 794
模型 模型由四个部分组成:一个编码器 ε\varepsilonε;一个生成器ggg;一个判别器DDD,和目标模型fff 编码器E代表目标自动驾驶模型f的卷积层,该模型以3D张量为输入,并用于提取视频的特征(原始特征和扰动特征)。 生成器ggg的输入为原始视频片段XorigX_{orig}Xorig​经由编码器 ε\varepsilonε抽取出的特征,输出为对抗样本(道路标识)SadvS_{adv}Sadv​。 判别器DDD的输入为SadvS_{adv}Sadv​和真实的路标样本SorigS_{orig}
对抗样本方向(Adversarial Examples)2018-2020年最新论文调研
热门推荐
huitailangyz的博客
06-15 1万+
调研范围 2018NIPS、2019NIPS、2018ECCV、2019ICCV、2019CVPR、2020CVPR、2019ICML、2019ICLR、2020ICLR 2018NIPS Contamination Attacks and Mitigation in Multi-Party Machine Learning(防御) 作者:Jamie Hayes(Univeristy College London) Olga Ohrimenko(Microsoft Research) 摘要:Machine
PhysGAN: Generating Physical-World-Resilient Adversarial Examples for Autonomous Driving
sinat_36059653的博客
04-21 561
PhysGAN: Generating Physical-World-Resilient Adversarial Examples for Autonomous Driving 本文收录于CVPR 2020 文章目录PhysGAN: Generating Physical-World-Resilient Adversarial Examples for Autonomous Driving背景以前的攻击方式physGAN流程1、输入2、符号定义3、详细流程4、损失函数定义实验总结 本文针对在现实场景中针对自
MalwareGAN:可视化恶意软件行为,并使用GAN主动防御零日攻击
04-28
在动态图像文件行为的分布式图像可视化中,使用GAN模拟恶意软件作者以提供主动保护 引用为: VS Bhaskara, and D. Bhattacharyya. arXiv preprint arXiv:1807.07525 [stat.ML] (2018) 。 引用代码 训练的WGAN-GP模型基于上发布的代码。 我们将带有improved_wgan_training/gan_64x64.py脚本与GoodGenerator和GoodDiscriminator函数定义的网络体系结构GoodDiscriminator使用。 每个通道使用的64位dHash基于上的实现。 在color_dHash192.py脚本中显示了通过在彩色图像的通道上串联dHash来哈希的扩展。 数据集 dataset_filedetails.csv :列出文件SHA256哈希值和所使用的12,006个不同可执行文
【论文阅读笔记】Black-box Adversarial Example Attack towards FCG Based Android Malware FCG对抗检测
qq_29883477的博客
10-16 590
使用图神经网络/进化算法,生成对抗性样本AE,以躲避基于FCG的恶意软件检测。
论文阅读之Black-box Adversarial Example Attack towards FCG
weixin_45922229的博客
05-21 661
在不完整功能信息下对基于FCG的安卓恶意软件检测的黑盒攻击
Notes on the paper"Improved MalGAN: Avoiding Malware Detector by Leaning Cleanware Features"
雨化于画
01-13 1342
Abstract Improved-MalGAN improves the ability of evading based on MalGAN, and achieves a better performance. Introduction Maybe the introduction of MalGAN is too complex, but I feel like it is necessa...
paper—Effectiveness of Adversarial Examples and Defenses for Malware Classification
weixin_43872455的博客
05-10 1842
恶意软件分类中对抗性示例和防御的有效性 摘要 人工神经网络已经成功地用于许多不同的分类任务,包括恶意软件检测和区分恶意和非恶意程序。虽然人工神经网络在这些任务上表现得很好,但它们也容易受到敌对例子的攻击。一个对抗性示例是,对样本进行了微小修改,使神经网络对其进行错误分类。人们提出了许多技术,既可以用来制作对抗性示例,也可以用来强化针对它们的神经网络。以前的大多数工作都是在图像领域完成的。其中一些攻击已被用于恶意软件领域,该领域通常处理二进制特征向量。为了更好地理解恶意软件分类中对抗性示例的空间,我们研究
论文阅读分享
qq_36386435的博客
02-27 7519
恶意软件对抗研究 When Malware is Packin’ Heat; Limits of Machine Learning Classifiers Based on Static Analysis Features 机器学习快速发展,当前工业界和学术界对于恶意软件识别研究的结果,作者对其提出疑问,称没考虑加壳对分类的影响,忽略了这个重要因素,并且作者证明了从加壳可执行文件中提取的特征不能充分去1)泛化其他未知packer,2)对对抗样本具有鲁棒性。并且指出了当前推出的不成熟的机器学习应用会导致大量的
恶意软件的检测和攻击 文献整理
四个菜
01-19 8190
本文按照时间顺序整理了恶意软件攻防对抗近些年来的文献发表情况,希望能和对该领域感兴趣的研究人员做一个分享。 有些文献我只是大概地浏览了一下,如下文有错误,请为我指出来,感激不尽! 感兴趣的朋友可以在评论里交流(勿喷),或者可以认识一下(留下联系方式)。
东南大学 崇志宏 转载“目前的对抗学习文献” 其中Triple GAN值得关注!!
chognzhihong_seu的博客
04-28 5511
东南大学 崇志宏 转载 关于生成对抗网络(GAN)的新论文每周都会出现很多,跟踪发现他们非常难,更不用说去辨别那些研究人员对 GAN 各种奇奇怪怪,令人难以置信的创造性的命名!当然,你可以通过阅读 OpanAI 的博客或者 KDNuggets 中的概述性阅读教程,了解更多的有关 GAN 的信息。 在这里汇总了一个现在和经常使用的GAN论文,所有文章都链接到了 Arxiv 上
Procedural Noise Adversarial Examples for Black-Box Attacks on Deep Neural Networks论文笔记
XP and Altoria
11-25 2545
Procedural Noise Adversarial Examples for Black-Box Attacks on Deep Neural Networks论文笔记 0. 概述 如今一些深度神经网络对于一些对抗性样本(Adversarial sample)是弱势的, 对抗性样本就是指我们对输入进行特定的改变, 通过原有的学习算法最终导致整个网络内部出现误差, 这属于攻击的一种, 然而, ...
update-initramfs: Generating /boot/initrd.img-5.3.0-28-generic 在处理时有错误发生: libc6-dev:amd64 libpcre3-dev:amd64 libstdc++-7-dev:amd64 libxcb-xfixes0-dev:amd64 zlib1g-dev:amd64 build-essential g++-7 libglib2.0-dev:amd64 libibus-1.0-dev:amd64 libprotobuf-dev:amd64 libpulse-dev:amd64 libsdl2-dev:amd64 libxcb-present-dev:amd64 g++ libegl1-mesa-dev:amd64 libgl1-mesa-dev:amd64 libgles2-mesa-dev:amd64 libglu1-mesa-dev:amd64 libmirclient-dev:amd64 libmircommon-dev:amd64
最新发布
03-08
<think>好的,我现在需要帮助用户解决在运行update-initramfs时出现的依赖包错误。用户之前已经遇到了安装virt-manager的问题,现在又遇到了新的错误,显示在处理这些包时出错。这可能意味着用户在安装或更新某些软件时遇到了依赖关系问题。 首先,我需要理解update-initramfs的作用。这个命令用于生成初始内存磁盘映像,通常在更新内核或相关驱动后需要执行。如果生成过程中出现错误,可能会导致系统启动问题。错误信息中列出的包大部分是开发库和构建工具,比如g++、libglib2.0-dev等,这可能暗示用户正在尝试编译某些软件或安装需要这些依赖的应用程序。 接下来,用户列出的错误包包括libc6-dev:amd64、libpcre3-dev:amd64等,这些包可能属于某个软件包的依赖项。可能的错误原因包括软件源配置问题、包损坏、依赖关系冲突,或者下载过程中出现网络问题。 我需要考虑用户可能的操作背景。用户之前尝试安装virt-manager,现在可能在安装其他软件或更新系统时触发了这个问题。用户可能在使用Ubuntu或其他基于Debian的系统,因为使用的是apt命令。 接下来,我需要整理解决步骤。首先,建议用户更新软件源并修复损坏的包。运行sudo apt update和sudo apt upgrade可以确保软件列表是最新的,并修复可能的依赖问题。如果这些命令无法解决问题,可能需要使用sudo apt --fix-broken install来修复损坏的依赖关系。 如果错误依然存在,用户可能需要手动安装列出的包。例如,逐个安装或使用通配符安装所有列出的包。此外,检查软件源是否正确配置也很重要,确保启用了main、universe、multiverse和restricted仓库。 如果用户正在尝试编译软件,可能需要安装build-essential和其他相关开发工具。如果问题仍未解决,可能需要查看具体的错误日志,通常在/var/log/apt/term.log或/var/cache/apt/目录下的日志文件中,以获取更详细的信息。 最后,需要提醒用户注意,处理系统级包时要小心,避免因不当操作导致系统不稳定。如果用户不确定操作步骤,建议备份重要数据,并在必要时寻求更详细的帮助。</think>你在执行`update-initramfs`时遇到的依赖包错误,通常与系统软件包依赖关系损坏或安装不完整有关。以下是排查和解决方案: --- ### **错误原因分析** - **依赖链断裂**:列出的开发包(如`libc6-dev`、`g++-7`、`build-essential`等)可能是某个软件安装/编译的依赖项 - **软件源同步问题**:本地软件包列表过期或未包含这些包的版本 - **部分包安装失败**:网络中断或权限问题导致安装未完成 - **内核模块编译依赖**:生成initramfs时可能需要重新编译内核模块 --- ### **解决方案** #### 1. 更新软件源并修复依赖 ```bash sudo apt update --fix-missing sudo apt upgrade -f sudo apt --fix-broken install ``` #### 2. 手动安装缺失的开发包 ```bash sudo apt install \ libc6-dev:amd64 \ libpcre3-dev:amd64 \ libstdc++-7-dev:amd64 \ libxcb-xfixes0-dev:amd64 \ zlib1g-dev:amd64 \ build-essential \ g++-7 \ libglib2.0-dev:amd64 \ libibus-1.0-dev:amd64 \ libprotobuf-dev:amd64 \ libpulse-dev:amd64 \ libsdl2-dev:amd64 \ libxcb-present-dev:amd64 \ g++ \ libegl1-mesa-dev:amd64 \ libgl1-mesa-dev:amd64 \ libgles2-mesa-dev:amd64 \ libglu1-mesa-dev:amd64 \ libmirclient-dev:amd64 \ libmircommon-dev:amd64 ``` #### 3. 检查软件源配置 确保`/etc/apt/sources.list`包含正确的仓库(建议启用所有主流仓库): ```bash sudo sed -i 's/# deb/deb/g' /etc/apt/sources.list sudo add-apt-repository "deb http://archive.ubuntu.com/ubuntu $(lsb_release -sc) main universe restricted multiverse" sudo apt update ``` #### 4. 清除旧内核相关文件(可选) 如果错误与特定内核版本相关(如`initrd.img-5.3.0-28-generic`),可尝试: ```bash sudo apt autoremove --purge linux-image-5.3.0-28-generic sudo update-initramfs -c -k all ``` --- ### **关键注意事项** 1. 如果正在**编译驱动或虚拟机组件**(如VirtualBox/KVM),建议直接安装完整开发环境: ```bash sudo apt install build-essential dkms linux-headers-$(uname -r) ``` 2. 对于`libstdc++-7-dev`等版本化包,需确保系统版本与包版本匹配(Ubuntu 18.04对应gcc-7,20.04对应gcc-9) 3. 如果问题持续,可查看详细错误日志: ```bash journalctl -xe | grep -i "apt\|dpkg" ``` --- ### **典型场景触发** 这种错误常见于以下操作后: - 强制中断`apt`安装进程 - 手动删除过软件包 - 升级系统时网络波动 - 安装第三方驱动(如NVIDIA驱动)需要重新生成initramfs时 建议操作完成后执行: ```bash sudo reboot ```
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值