論文の概要: Can Drift-Adaptive Malware Detectors Be Made Robust? Attacks and Defenses Under White-Box and Black-Box Threats

• arxiv url: http://arxiv.org/abs/2604.06599v1
• Date: Wed, 08 Apr 2026 02:33:02 GMT
• ステータス: 翻訳完了
• システム内更新日: 2026-04-09 17:30:51.302908
• Title: Can Drift-Adaptive Malware Detectors Be Made Robust? Attacks and Defenses Under White-Box and Black-Box Threats
• Title（参考訳）: ドリフト適応型マルウェア検知器はロバスト? ホワイトボックスとブラックボックスの脅威下での攻撃と防御
• Authors: Adrian Shuai Li, Md Ajwad Akil, Elisa Bertino,
• Abstract要約: 最近のマルウェア検出装置であるAdvDAは、ラベル付きソースドメインとターゲットドメインを限定ラベルで整列させるために、敵ドメイン適応を使用する。 本稿では、逆変換された入力に対して事前学習したAdvDAモデルを微調整する普遍的ロバスト化フレームワークを提案する。 2つの脅威モデル(特徴空間におけるホワイトボックスPGD攻撃)とブラックボックスMalGuise攻撃(ブラックボックスMalGuise攻撃)の5つの防衛モデルでインスタンス化する。
• 参考スコア（独自算出の注目度）: 8.151609481258678
• License: http://creativecommons.org/licenses/by/4.0/
• Abstract: Concept drift and adversarial evasion are two major challenges for deploying machine learning-based malware detectors. While both have been studied separately, their combination, the adversarial robustness of drift-adaptive detectors, remains unexplored. We address this problem with AdvDA, a recent malware detector that uses adversarial domain adaptation to align a labeled source domain with a target domain with limited labels. The distribution shift between domains poses a unique challenge: robustness learned on the source may not transfer to the target, and existing defenses assume a fixed distribution. To address this, we propose a universal robustification framework that fine-tunes a pretrained AdvDA model on adversarially transformed inputs, agnostic to the attack type and choice of transformations. We instantiate it with five defense variants spanning two threat models: white-box PGD attacks in the feature space and black-box MalGuise attacks that modify malware binaries via functionality-preserving control-flow mutations. Across nine defense configurations, five monthly adaptation windows on Windows malware, and three false-positive-rate operating points, we find the undefended AdvDA completely vulnerable to PGD (100% attack success) and moderately to MalGuise (13%). Our framework reduces these rates to as low as 3.2% and 5.1%, respectively, but the optimal strategy differs: source adversarial training is essential for PGD defenses yet counterproductive for MalGuise defenses, where target-only training suffices. Furthermore, robustness does not transfer across these two threat models. We provide deployment recommendations that balance robustness, detection accuracy, and computational cost.
• Abstract（参考訳）: 概念の漂流と敵の回避は、機械学習ベースのマルウェア検出装置をデプロイする上での2つの大きな課題である。 どちらも別々に研究されているが、それらの組み合わせは、ドリフト適応型検出器の対角的堅牢性は未調査のままである。 本稿では,ラベル付きソースドメインを対象ドメインと限定ラベルで整列させるために,敵ドメイン適応を用いた最近のマルウェア検出装置であるAdvDAを用いてこの問題に対処する。 ソースで学習したロバスト性はターゲットに移動せず、既存のディフェンスは固定された分布を仮定する。 そこで本稿では,逆変換された入力に対して事前学習したAdvDAモデルを微調整し,攻撃タイプや変換の選択に非依存な普遍的ロバスト化フレームワークを提案する。 機能空間におけるホワイトボックスPGD攻撃と、機能保存制御フロー変異によるマルウェアバイナリの修正を行うブラックボックスMalGuise攻撃である。 9つの防衛設定、Windowsのマルウェアに毎月5つの適応ウィンドウ、偽陽性の3つの操作ポイントで、未防御のAdvDAはPGD(100%攻撃成功)とMalGuise(13%)に完全に脆弱であることがわかった。 本フレームワークはこれらのレートを3.2%と5.1%に下げるが、最適戦略は以下の通りである: PGD防衛には根源的敵意訓練が不可欠であるが、標的のみの訓練が十分であるMalGuise防衛には非生産的である。 さらに、ロバスト性はこの2つの脅威モデル間で伝達しない。 私たちは、ロバスト性、検出精度、計算コストのバランスをとるデプロイメントレコメンデーションを提供します。

関連論文リスト

• DisPatch: Disarming Adversarial Patches in Object Detection with Diffusion Models [8.800216228212824]
  最先端のオブジェクト検出器はいまだに敵のパッチ攻撃に弱い。 オブジェクト検出のための最初の拡散型防御フレームワークであるDisdisを紹介する。 DISは、隠蔽攻撃と攻撃生成の両方において、最先端の防御を一貫して上回る。
  論文  参考訳（メタデータ） (2025-09-04T18:20:36Z)
• Reformulation is All You Need: Addressing Malicious Text Features in DNNs [53.45564571192014]
  本稿では,敵攻撃とバックドア攻撃の両方に対して有効な,統一的かつ適応的な防御フレームワークを提案する。 我々のフレームワークは、様々な悪意あるテキスト機能において、既存のサンプル指向の防御基準よりも優れています。
  論文  参考訳（メタデータ） (2025-02-02T03:39:43Z)
• Creating Valid Adversarial Examples of Malware [4.817429789586127]
  本稿では、強化学習アルゴリズムを用いて、敵のマルウェアの例を生成する。 PPOアルゴリズムを用いて,勾配型決定木(GBDT)モデルに対して53.84%の回避率を達成した。 機能保存型可搬性改造のランダムな適用は、主要なアンチウイルスエンジンを回避できる。
  論文  参考訳（メタデータ） (2023-06-23T16:17:45Z)
• Avoid Adversarial Adaption in Federated Learning by Multi-Metric Investigations [55.2480439325792]
  Federated Learning(FL)は、分散機械学習モデルのトレーニング、データのプライバシの保護、通信コストの低減、多様化したデータソースによるモデルパフォーマンスの向上を支援する。 FLは、中毒攻撃、標的外のパフォーマンス劣化とターゲットのバックドア攻撃の両方でモデルの整合性を損なうような脆弱性に直面している。 我々は、複数の目的に同時に適応できる、強い適応的敵の概念を新たに定義する。 MESASは、実際のデータシナリオで有効であり、平均オーバーヘッドは24.37秒である。
  論文  参考訳（メタデータ） (2023-06-06T11:44:42Z)
• DRSM: De-Randomized Smoothing on Malware Classifier Providing Certified Robustness [58.23214712926585]
  我々は,マルウェア検出領域の非ランダム化スムース化技術を再設計し,DRSM(De-Randomized Smoothed MalConv)を開発した。 具体的には,実行可能ファイルの局所構造を最大に保ちながら,逆数バイトの影響を確実に抑制するウィンドウアブレーション方式を提案する。 私たちは、マルウェア実行ファイルの静的検出という領域で、認証された堅牢性を提供する最初の人です。
  論文  参考訳（メタデータ） (2023-03-20T17:25:22Z)
• AdaptGuard: Defending Against Universal Attacks for Model Adaptation [129.2012687550069]
  モデル適応アルゴリズムにおいて、ソースドメインから転送されるユニバーサルアタックに対する脆弱性について検討する。 本稿では,モデル適応アルゴリズムの安全性を向上させるために,AdaptGuardというモデル前処理フレームワークを提案する。
  論文  参考訳（メタデータ） (2023-03-19T07:53:31Z)
• A Data Augmentation-based Defense Method Against Adversarial Attacks in Neural Networks [7.943024117353317]
  そこで本研究では,実生活制約に適合した完全ホワイトボックス攻撃を効果的に無効化する軽量防衛手法を開発した。 我々のモデルは、50発のBPDAによる高度な適応攻撃に耐えることができ、攻撃成功率をほぼゼロに抑えながら、目標モデルが約80%の精度を維持するのに役立ちます。
  論文  参考訳（メタデータ） (2020-07-30T08:06:53Z)
• A Self-supervised Approach for Adversarial Robustness [105.88250594033053]
  敵対的な例は、ディープニューラルネットワーク(DNN)ベースの視覚システムにおいて破滅的な誤りを引き起こす可能性がある。 本稿では,入力空間における自己教師型対向学習機構を提案する。 これは、反逆攻撃に対する強力な堅牢性を提供する。
  論文  参考訳（メタデータ） (2020-06-08T20:42:39Z)

関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。

指定された論文の情報です。
本サイトの運営者は本サイト（すべての情報・翻訳含む）の品質を保証せず、本サイト（すべての情報・翻訳含む）を使用して発生したあらゆる結果について一切の責任を負いません。