Analysis of Invisible Data Poisoning Backdoor Attacks against Malware Classifiers
使用機器學習技術開發的惡意軟體分類器在檢測效能上取得了高準確率,但是這也衍生出其他資安問題,令這樣的分類器變成了惡意攻擊的目標,如對抗式攻擊或後門攻擊。神經網路中的後門攻擊是一種新型的攻擊方式,透過修改少量的訓練資料集令模型對帶有特定觸發器的資料造成誤判,同時能維持對正常資料的檢測準確率。這樣的攻擊能令帶有觸發器的惡意軟體繞過檢測,並且可能在受害者端變成真正意義上的後門惡意軟體。要在惡意軟體檢測領域實現這種強大的攻擊,僅需要將少量的訓練樣本內容修改為攻擊者設計好的後門觸發器。本演講提出了一種對抗靜態惡意軟體分類器的資料中毒後門攻擊,以完全基於資料集的方式生成後門樣本,達成與分類器模型無關的攻擊。我們分別在基於二進制檔案以及基於特徵的分類器上實現了典型後門攻擊與乾淨標籤後門攻擊。不同於以機器學習可解釋性技術及梯度的方式生成中毒樣本,我們將透過計算在訓練資料集中傾向惡意空間的獨特特徵值作為後門觸發器,並使用這樣的獨特觸發器生成我們的中毒樣本。獨特性高的觸發器具有更高的隱蔽性,能很好地藏匿於背景資料以及結果中,無法透過簡單的分析被檢測出來。最後,我們透過實驗證明了使用獨特特徵值作為後門觸發器,能比現有的攻擊方法具有更高的隱蔽性,而且我們開發的完全基於資料集的後門攻擊在不同的模型上都能實現優異的攻擊效果。