論文の概要: Stealing Malware Classifiers and AVs at Low False Positive Conditions
- arxiv url: http://arxiv.org/abs/2204.06241v1
- Date: Wed, 13 Apr 2022 08:20:41 GMT
- ステータス: 処理完了
- システム内更新日: 2022-04-14 13:43:50.744739
- Title: Stealing Malware Classifiers and AVs at Low False Positive Conditions
- Title(参考訳): 低偽陽性条件におけるステアリングマルウェア分類器とAV
- Authors: Maria Rigaki and Sebastian Garcia
- Abstract要約: ステアリング攻撃は、ターゲットに対する限られたクエリ量を使用して、ターゲットモデルと同様に動作する代理モデルを生成する。
本稿では,低FPR条件下での既存技術よりも優れたサロゲートモデルのための新しいニューラルネットワークアーキテクチャを提案する。
- 参考スコア(独自算出の注目度): 2.1320960069210475
- License: http://arxiv.org/licenses/nonexclusive-distrib/1.0/
- Abstract: Model stealing attacks have been successfully used in many machine learning
domains, but there is little understanding of how these attacks work in the
malware detection domain. Malware detection and, in general, security domains
have very strong requirements of low false positive rates (FPR). However, these
requirements are not the primary focus of the existing model stealing
literature. Stealing attacks create surrogate models that perform similarly to
a target model using a limited amount of queries to the target. The first stage
of this study is the evaluation of active learning model stealing attacks
against publicly available stand-alone machine learning malware classifiers and
antivirus products (AVs). We propose a new neural network architecture for
surrogate models that outperforms the existing state of the art on low FPR
conditions. The surrogates were evaluated on their agreement with the targeted
models. Good surrogates of the stand-alone classifiers were created with up to
99% agreement with the target models, using less than 4% of the original
training dataset size. Good AV surrogates were also possible to train, but with
a lower agreement. The second stage used the best surrogates as well as the
target models to generate adversarial malware using the MAB framework to test
stand-alone models and AVs (offline and online). Results showed that surrogate
models could generate adversarial samples that evade the targets but are less
successful than the targets themselves. Using surrogates, however, is a
necessity for attackers, given that attacks against AVs are extremely
time-consuming and easily detected when the AVs are connected to the internet.
- Abstract(参考訳): モデル盗難攻撃は多くの機械学習ドメインで成功したが、これらの攻撃がマルウェア検出ドメインでどのように動作するかはほとんど理解されていない。
マルウェア検出と一般には、セキュリティドメインは偽陽性率(FPR)の低い要求が非常に強い。
しかし、これらの要件は、既存のモデルを盗む文学の中心ではない。
ステアリング攻撃は、ターゲットに対する限られたクエリ量を使用して、ターゲットモデルと同様に動作する代理モデルを生成する。
本研究の第1段階は、市販のスタンドアロン機械学習マルウェア分類器およびアンチウイルス製品(avs)に対するアクティブラーニングモデル盗み攻撃の評価である。
本稿では,低FPR条件下での既存技術よりも優れたサロゲートモデルのための新しいニューラルネットワークアーキテクチャを提案する。
サーロゲートはターゲットモデルとの合意に基づいて評価された。
スタンドアローン分類器のよいサロゲートは、トレーニングデータセットサイズの4%未満を使用して、ターゲットモデルと最大99%の合意で作成されました。
良質なavサロゲートも訓練できたが、より低い合意に達した。
第2段階では、最高のサロゲートとターゲットモデルを使用して、MABフレームワークを使用してスタンドアロンモデルとAV(オフラインおよびオンライン)をテストする敵マルウェアを生成した。
その結果, サーロゲートモデルでは標的を回避できるが, ターゲット自体よりは成功しない敵のサンプルを生成できることがわかった。
しかし、AVがインターネットに接続されている場合、AVに対する攻撃は非常に時間がかかり、容易に検出できるため、攻撃者にとってサロゲートの使用は必須である。
関連論文リスト
- Small Effect Sizes in Malware Detection? Make Harder Train/Test Splits! [51.668411293817464]
業界関係者は、モデルが数億台のマシンにデプロイされているため、マルウェア検出精度の小さな改善に気を配っている。
学術研究はしばしば1万のサンプルの順序で公開データセットに制限される。
利用可能なサンプルのプールから難易度ベンチマークを生成するためのアプローチを考案する。
論文 参考訳(メタデータ) (2023-12-25T21:25:55Z) - The Power of MEME: Adversarial Malware Creation with Model-Based
Reinforcement Learning [0.7614628596146599]
この研究は、マルウェアの侵入とモデル抽出攻撃を組み合わせた新しいアルゴリズムを提案する。
MEMEは、モデルベースの強化学習を使用して、Windowsの実行可能バイナリサンプルを反対に修正する。
回避率は32-73%である。
論文 参考訳(メタデータ) (2023-08-31T08:55:27Z) - Isolation and Induction: Training Robust Deep Neural Networks against
Model Stealing Attacks [51.51023951695014]
既存のモデル盗難防衛は、被害者の後部確率に偽りの摂動を加え、攻撃者を誤解させる。
本稿では,モデルステルス防衛のための新規かつ効果的なトレーニングフレームワークである分離誘導(InI)を提案する。
モデルの精度を損なうモデル予測に摂動を加えるのとは対照的に、我々はモデルを訓練して、盗むクエリに対して非形式的なアウトプットを生成する。
論文 参考訳(メタデータ) (2023-08-02T05:54:01Z) - Creating Valid Adversarial Examples of Malware [4.817429789586127]
本稿では、強化学習アルゴリズムを用いて、敵のマルウェアの例を生成する。
PPOアルゴリズムを用いて,勾配型決定木(GBDT)モデルに対して53.84%の回避率を達成した。
機能保存型可搬性改造のランダムな適用は、主要なアンチウイルスエンジンを回避できる。
論文 参考訳(メタデータ) (2023-06-23T16:17:45Z) - DRSM: De-Randomized Smoothing on Malware Classifier Providing Certified
Robustness [58.23214712926585]
我々は,マルウェア検出領域の非ランダム化スムース化技術を再設計し,DRSM(De-Randomized Smoothed MalConv)を開発した。
具体的には,実行可能ファイルの局所構造を最大に保ちながら,逆数バイトの影響を確実に抑制するウィンドウアブレーション方式を提案する。
私たちは、マルウェア実行ファイルの静的検出という領域で、認証された堅牢性を提供する最初の人です。
論文 参考訳(メタデータ) (2023-03-20T17:25:22Z) - Self-Supervised Vision Transformers for Malware Detection [0.0]
本稿では、視覚変換器(ViT)アーキテクチャに基づくマルウェア検出のための自己超越型ディープラーニングモデルであるSHERLOCKを提案する。
提案手法は, マクロF1スコアが.497, 491で, マルチクラスマルウェア分類における最先端技術よりも優れている。
論文 参考訳(メタデータ) (2022-08-15T07:49:58Z) - Evading Malware Classifiers via Monte Carlo Mutant Feature Discovery [23.294653273180472]
悪意のあるアクターが代理モデルを訓練して、インスタンスが誤分類される原因となるバイナリ変異を発見する方法を示す。
そして、変異したマルウェアが、抗ウイルスAPIの代わりとなる被害者モデルに送られ、検出を回避できるかどうかをテストする。
論文 参考訳(メタデータ) (2021-06-15T03:31:02Z) - Adversarial defense for automatic speaker verification by cascaded
self-supervised learning models [101.42920161993455]
ますます悪意のある攻撃者は、自動話者検証(ASV)システムで敵攻撃を仕掛けようとする。
本稿では,逐次的自己教師付き学習モデルに基づく標準的かつ攻撃非依存な手法を提案する。
実験により, 本手法は効果的な防御性能を実現し, 敵攻撃に対抗できることを示した。
論文 参考訳(メタデータ) (2021-02-14T01:56:43Z) - Binary Black-box Evasion Attacks Against Deep Learning-based Static
Malware Detectors with Adversarial Byte-Level Language Model [11.701290164823142]
MalRNNは、制限なく回避可能なマルウェアバリアントを自動的に生成する新しいアプローチです。
MalRNNは、3つの最近のディープラーニングベースのマルウェア検出器を効果的に回避し、現在のベンチマークメソッドを上回ります。
論文 参考訳(メタデータ) (2020-12-14T22:54:53Z) - Being Single Has Benefits. Instance Poisoning to Deceive Malware
Classifiers [47.828297621738265]
攻撃者は、マルウェア分類器を訓練するために使用されるデータセットをターゲットとした、高度で効率的な中毒攻撃を、どのように起動できるかを示す。
マルウェア検出領域における他の中毒攻撃とは対照的に、我々の攻撃はマルウェアファミリーではなく、移植されたトリガーを含む特定のマルウェアインスタンスに焦点を当てている。
我々は、この新たに発見された深刻な脅威に対する将来の高度な防御に役立つ包括的検出手法を提案する。
論文 参考訳(メタデータ) (2020-10-30T15:27:44Z) - Adversarial EXEmples: A Survey and Experimental Evaluation of Practical
Attacks on Machine Learning for Windows Malware Detection [67.53296659361598]
EXEmplesは、比較的少ない入力バイトを摂動することで、機械学習に基づく検出をバイパスすることができる。
我々は、機械学習モデルに対する過去の攻撃を包含し、一般化するだけでなく、3つの新たな攻撃を含む統一フレームワークを開発する。
これらの攻撃はFull DOS、Extended、Shiftと呼ばれ、DOSヘッダをそれぞれ操作し、拡張し、第1セクションの内容を変更することで、敵のペイロードを注入する。
論文 参考訳(メタデータ) (2020-08-17T07:16:57Z)
関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。
指定された論文の情報です。
本サイトの運営者は本サイト(すべての情報・翻訳含む)の品質を保証せず、本サイト(すべての情報・翻訳含む)を使用して発生したあらゆる結果について一切の責任を負いません。