原论文:Generating Adversarial Malware Examples for Black-Box Attacks Based on GAN
引用论文:
2001 Data Mining Methods for Detection of New Malicious Executables
在本文中,我们提出了一个数据挖掘框架,可以准确自动地检测新的,以前未见过的恶意可执行文件。 数据挖掘框架会自动在我们的数据集中找到patterns,并使用这些patterns来检测一组新的恶意二进制文件。 与传统的基于签名的方法相比较,检测率提高了一倍。
2004 Learning to Detect Malicious Executables in the Wild
using n-grams of byte codes as features
评估朴素贝叶斯,决策树,支持向量机和boosting多个对恶意软件分类器的方法,boosted decision trees效果最好
2006 Learning to Detect and Classify Malicious Executables in the Wild∗
同上,增加了评估了这些方法如何根据其有效负载的功能对可执行文件进行分类
2013 Intriguing properties of neural networks神经网络的有趣特性
2013 Microsoft Portable Executable andCommon Object File FormatSpecification
Microsoft可移植可执行文件和通用目标文件格式规范
2014 ADAM: A METHOD FOR STOCHASTIC OPTIMIZATION
一种基于一阶梯度的随机目标函数优化算法
2014 Conditional Generative Adversarial Nets 条件生成对抗网络
展示了如何构建条件对抗网络。对于实证结果,我们展示了两组实验。一个用于MNIST数字数据集,以class标签为条件,另一个用于MIR Flickr 25,000数据集[10],用于多模态学习。
2014 Generative Adversarial Nets
生成模型G+判别模型D
使得D的出错率最大化
2015 TOWARDS DEEP NEURAL NETWORK ARCHITECTURES ROBUST TO ADVERSARIAL EXAMPLES
深度神经网络结构对于敌对样本的鲁棒性
研究敌对案例的结构,探索网络拓扑结构,预处理和训练策略,以提高DNN的健壮性。
2016 A General Retraining Framework for ScalableAdversarial Classification
一个再训练的框架,for 可伸缩敌对分类器
a) boost robustness of an arbitrary learning algorithm, in the face of b) a broader class of adversarial models than any prior methods.
提高学习算法的鲁棒性,面对更广泛的敌手模型
提高了对逃避攻击的鲁棒性,而不会显着影响总体准确性。
2016 Adversarial Perturbations Against Deep Neural Networksfor Malware Classification
深度神经网络恶意软件分类的敌对扰动
这篇文章是构建高效的敌对样本for神经网络恶意软件分类器
2016 DELVING INTO TRANSFERABLE ADVERSARIAL EXAMPLES AND BLACK-BOX ATTACKS
可转移的敌对例子,针对黑盒攻击
对大型模型和大型数据集进行了广泛的可转移性研究
证明使用ensemble-based的方法生成的敌对示例可以成功攻击Clarifai.com,一个黑匣子图像分类系统。
2016 Distillation as a Defense to AdversarialPerturbations against Deep Neural Networks
Distillation,对抗深层神经网络的一种扰动方法
分析研究了训练DNN时使用防御Distillation所赋予的普遍性和鲁棒性特性。我们还经验性地研究了我们的防御机制对两个置于对抗环境中的DNN的有效性。该研究表明,在研究的DNN上,Distillation可以将样品创造的有效性从95%降低至低于0.5%。这种显着的增益可以通过以下事实来解释:Distillation导致对抗样品生成中使用的梯度降低了1030倍。我们还发现在我们测试的DNN上,Distillation增加了特征的平均最小数量。
2016 EVALUATION OF DEFENSIVE METHODS FOR DNNS AGAINST MULTIPLE ADVERSARIAL EVASION MODELS
比较不同防御策略与各种对手模型
对抗性再学习框架也具有可转移性,可以在不需要事先知道其他模型的情况下捍卫敌对性的例子
比较了一般的敌对再学习框架与最先进的强大的深度神经网络,如Distillation,分类器(AEC)叠加的自动编码器和我们的改进版本IAEC,以评估它们的健壮性以及失误。 我们的实验结果表明,敌对再训练框架可以明显而一致地捍卫大多数对抗性例子,而不会增加原始模型的额外漏洞或性能损失。
2016 Improved Techniques for Training GANs
提出了适用于生成对抗网络(GAN)框架的各种新的架构特征和训练过程
2016 Practical Black-Box Attacks against Deep Learning Systemsusing Adversarial Examples
使用敌对案例对付深度学习系统的实用黑盒攻击,针对DNN,
2015 The Limitations of Deep Learning in Adversarial Settings
基于精确理解DNN的输入和输出之间的映射,引入一类新颖的算法来制作敌对样本
对抗成功率为97%,而每个样本平均只修改4.02%的输入特征
最后,我们通过定义良性输入与目标分类之间的距离的预测性度量来描述初步工作,概述针对对抗性样本的防御。
2016 Transferability in Machine Learning: from Phenomena to Black-Box Attacks using Adversarial Samples
机器学习中的可转移性:从现象到使用敌对样本的黑盒攻击
提高了替代模型的训练过程的效率,在机器学习模型之间引入了新的可转移性攻击。
2016 UNSUPERVISED REPRESENTATION LEARNING WITH DEEP CONVOLUTIONAL GENERATIVE ADVERSARIAL NETWORKS
无监督深度卷积学习生成敌对网络
CNG 深度卷积生成对抗网络,适用图像。
2017 TOWARDS PRINCIPLED METHODS FOR TRAINING GENERATIVE ADVERSARIAL NETWORKS
用于训练生成敌手网络的原理方法
理论分析,理解生成对抗网络的训练动态。
被引用文章:
2017 Adversarial Examples for Malware Detection恶意软件的敌手样本
机器学习模型缺点:缺乏对手派生输入的鲁棒性。
主要工作:对已有的“敌手样本制作算法”进行拓展,针对恶意检测软件,建立具有高效攻击的对抗性样本。
克服挑战:(1)our approach operates in discrete and often binary input domains, whereas previous work operated only in continuous and differentiable domains.我们的方法在离散、二进制的输入域中运行。
(2)保证原有的恶意功能。
In our evaluation, we train a neural network for malware detection on the DREBIN data set and achieve classification performance matching state-of-the-art from the literature.
训练了一个neural network,实现分类器的功能,但是我们制作的增强对抗性算法,恶意软件样本中的63%可以误导分类器。
2017 Attack and Defense of Dynamic Analysis-Based,Adversarial Neural Malware Classification Models基于动态分析的敌手神经恶意分类模型的防御和攻击
对于动态分析的恶意软件分类器,本文研究了不同的策略去制作敌对样本。
特点:这些策略对稀疏的二进制输入进行操作。
两种策略:We then study the effects of two, previously proposed defensive mechanisms against crafted adversarial samples including the distillation and ensemble defenses.
防御机制:distillation精炼防御,ensemble defenses 组合防御
另一种策略:the weight decay defense 权重衰减防御
2017 Black-Box Attacks against RNN based MalwareDetection Algorithms基于RNN的恶意软件检测算法的黑盒攻击
提出一种生成恶意软件序列对抗实例的新算法
针对:递归神经网络模型,检测基于顺序API特征的恶意软件;
因此提出了一个generative RNN来生成敌手例子,绕过检测算法。
2017 Evading Machine Learning Malware Detection逃避机器学习恶意软件检测
总结了针对机器学习模型的各种攻击。
调查了一个通用的框架进行强化学习,用于攻击静态PE反恶意软件(分类器),模拟真实的攻击条件。
It learns through a series of games played against the anti-malware engine which sequence of operations is most likely to result in evasion for a given malware sample.
强化学习的agent(代理?)配备了一组功能保留操作,通过一系列的反恶意软件引擎的运行学习,提取出该操作序列,该操作序列最有可能导致规避恶意软件样本。
2017 Keeping the Bad Guys Out: Protecting and Vaccinating Deep Learning with JPEG Compression
通过JPEG压缩,去除图像方块中的高频信号成分,相当于图像选择性模糊,从而消除干扰。
2017 Malware Detection in Adversarial Settings: Exploiting Feature Evolutions and Confusions in Android Apps敌对装置中的恶意软件检测:利用Android应用程序中的功能演变和混淆
合成的突变可能会破坏恶意软件代码结构造成的固有约束,导致恶意负载崩溃或发生故障。为了解决这个限制,我们提出恶意软件重组变化(MRV):
使用两种变体策略:恶意软件进化攻击,恶意软件混淆攻击(遵循现有恶意软件的结构)
对于给出的恶意软件,我们进行语义特征mutation analysis(突变分析)和phylogenetic analysis(系统进化分析)来合成突变策略。
基于这些策略,执行程序移植来更给恶意软件字节码,生成新的恶意软件变体。
2017 Practical Machine Learning for Cloud Intrusion Detection
用于云入侵检测的实用机器学习
2017 Query-limited Black-box Attacks to Classifiers分类器的查询限制黑盒攻击
We study black-box attacks on machine learning classifiers where each query to the model incurs some cost or risk of detection to the adversary. We focus explicitly on minimizing the number of queries as a major objective. Specifically, we consider the problem of attacking machine learning classifiers subject to a budget of feature modification cost while minimizing the number of queries, where each query returns only a class and confidence score. We describe an approach that uses Bayesian optimization to minimize the number of queries, and find that the number of queries can be reduced to approximately one tenth of the number needed through a random strategy for scenarios where the feature modification cost budget is low.
使用贝叶斯优化来最小化查询次数的方法
The Cipher, the Random and the Ransom- A Survey on Current and Future Ransomware
对勒索软件的探讨。讨论当前勒索软件如何变得更具破坏性和难以捉摸的性质。
2017 The Space of Transferable Adversarial Examples
可转移敌对样本空间
In this work, we propose novel methods for estimating the previously unknown dimensionality of the space of adversarial inputs.(估计先前未知的对抗输入空间的维度) We find that adversarial examples span a contiguous subspace of large (~25) dimensionality. (敌对的例子跨越一个连续的大(〜25)维的子空间)Adversarial subspaces with higher dimensionality are more likely to intersect.(具有更高维度的敌对子空间更可能相交) We find that for two different models, a significant fraction of their subspaces is shared, thus enabling transferability.(对于两种不同的模型,他们的子空间的很大一部分是共享的,从而实现了可转移性)
In the first quantitative analysis of the similarity of different models’ decision boundaries, we show that these boundaries are actually close in arbitrary directions, whether adversarial or benign. We conclude by formally studying the limits of transferability. We derive (1) sufficient conditions on the data distribution that imply transferability for simple model classes and (2) examples of scenarios in which transfer does not occur. These findings indicate that it may be possible to design defenses against transfer-based attacks, even for models that are vulnerable to direct attacks.
在对不同模型的决策边界的相似性进行的第一次定量分析中,我们显示这些边界实际上是在任意方向上接近,无论是对抗还是良性。我们通过正式研究可转移性的限制来得出结论。我们得到(1)数据分布的充分条件暗示了简单模型类的可转移性,以及(2)没有发生转移的情景的例子。这些研究结果表明,有可能设计针对基于转移的攻击的防御措施,即使对于容易受到直接攻击的模型也是如此。
2017 ZOO: Zeroth Order Optimization Based Black-box Attacks to Deep Neural Networks without Training Substitute Models
Zoo:基于零阶优化的黑盒子对没有训练替代模型的深层神经网络进行攻击
substitute model :对模型攻击的替代模型,也就是对DNN的黑盒攻击
本文提出一种黑盒攻击,访问DNN的输入(图像)和输出(置信度分数),基于零阶优化的攻击来估计目标DNN的梯度来产生敌对性示例,避免攻击可转移性的损失。
we propose zeroth order optimization (ZOO) based attacks to directly estimate the gradients of the targeted DNN for generating adversarial examples.
2018 A Survey on Security Threats and Defensive Techniques of Machine Learning: A Data Driven View
机器学习的安全威胁与防御技术综述 - 一个数据驱动的视角
本文调查:安全威胁类型,机器学习防御技术:安全评估机制,训练阶段的对策,测试或推测阶段的对策,数据安全和隐私
2018 Adversarial Deep Learning for Robust Detection of Binary Encoded Malware
敌手深度学习对二进制编码恶意软件的鲁棒检测
已有:saddle-point optimization formulations优化公式:连续值方法对抗图像样本:
本文:针对离散的,如二进制,表征恶意特征的域。
所以本文是介绍了能够在二进制域中生成敌对恶意软件样本的方法。评估一组可移植执行pe文件的有效性。
2018 Adversarial Examples: Attacks and Defenses for Deep Learning
(攻防)总结了产生敌对案例的方法,并提出了这些方法的分类。阐述了双方的对策,探讨挑战和潜在的解决方案。
2018 Adversarially Robust Malware Detection Using Monotonic Classification使用单调分类对抗鲁棒的恶意软件检测
(防)介绍一种加强恶意软件分类器以抵御这些攻击的新方法,目标是增加攻击者欺骗分类器的代价,也就是找出不容易修改的特征。
We propose monotonic classification with selection of monotonic features as a defense against evasion attacks on classifiers for malware detection.
提出选择单调特征的单调分类作为抵御对分类器进行用于恶意检测的规避行为的防御。
(无关)2018 Audio Adversarial Examples: Targeted Attacks on Speech-to-Text
自动语音识别上构建有针对性的音频对抗示例
2018 Generic Black-Box End-to-End Attack Against State of the Art API CallBased Malware Classifiers 基于最先进的基于API调用的恶意软件分类器的通用黑盒子端对端攻击
针对基于API调用的机器学习恶意软件分类器提出了一个黑盒攻击,着重于生成组合API调用和静态特征(例如可打印字符串)的对抗序列,这些序列将被分类器错误分类而不会影响恶意软件功能。 由于RNN变体,前馈DNN和传统机器学习分类器(如SVM和梯度增强决策树)之间的可传递性原理,我们证明这种攻击对许多分类器是有效的。 我们还实施GADGET,这是一种软件框架,可将任何恶意软件二进制文件转换为恶意软件分类器未检测到的二进制文件,使用所提议的攻击,无需访问恶意软件源代码。 最后,我们讨论这种攻击对现有防御机制的稳健性。
总结:针对基于API调用的那些分类器,生成组合API调用序列的对抗序列,逃脱检测。
2018 How Wrong Am I? — Studying Adversarial Examples and their Impact on Uncertainty in Gaussian Process Machine Learning Models
在高斯过程机器学习模型中研究敌对样本及其对不确定性的影响
we leverage Gaussian Processes to investigate adversarial examples in the framework of Bayesian inference
我们利用高斯过程来调查贝叶斯推断框架中的敌对样本
2018 Identify Susceptible Locations in Medical Records viaAdversarial A acks on Deep Predictive Models
通过对抗深层预测模型的辩护来识别病历中的易感位置
2018 Learning to Evade Static PE Machine Learning Malware Models via Reinforcement Learning
通过强化学习来逃避静态PE机器学习恶意软件模型
同2017 Evading Machine Learning Malware Detection同作者
2018 Shield: Fast, Practical Defense and Vaccination for Deep Learning using JPEG Compression
使用JPEG压缩进行深度学习的快速、实用防御和 Vaccination
同:2017 Keeping the Bad Guys Out- Protecting and Vaccinating Deep Learning with JPEG Compression同作者
2018 Threat of Adversarial Attacks on Deep Learningin Computer Vision: A Survey一项调查
计算机视觉对敌对攻击深度学习的第一次全面调查。审查设计敌对袭击的作品,分析这些攻击的存在并提出针对它们的防御措施。