今天为大家推荐的论文是来自浙江大学NESA Lab投稿的,关于对抗性安卓恶意软件生成的论文Efficient Query-Based Attack against ML-Based Android Malware Detection under Zero Knowledge Setting,该工作目前已经在ACM CCS 2023上发表。
随着安卓操作系统的广泛使用,安卓恶意软件已经成为了用户隐私和数据安全的严重威胁。根据AV-ATLAS的统计,截至目前已经存在超过50,000,000的安卓恶意软件。为了应对如此巨量的安卓恶意软件,基于机器学习的安卓恶意软件检测方法(ML-based Android malware detection methods, ML-based AMD methods)被研究人员提出受到了广泛研究并在工业界得到了广泛应用,诸多知名杀毒软件如Avast中都公开声称其运用了机器学习算法。基于机器学习的安卓恶意软件检测方法大致分为两个阶段:特征提取和模型预测。在特征提取阶段,这些方法会利用程序分析工具分析安卓应用(Android Package, APK)的配置信息和行为信息,从这些信息中提取对应的特征向量。在模型预测阶段,这些方法会基于上一步中得到的特征向量训练对应的机器学习分类器。
尽管基于机器学习的安卓恶意软件检测方法在检测安卓恶意软件上取得了很好的效果,机器学习算法会受到对抗性样本攻击,基于机器学习的安卓恶意软件检测算法也不例外。虽然之前的相关研究已经揭示了其脆弱性,这些研究的假设攻击者可以获知目标检测器的部分信息。该假设在实际情况中难以满足,在实际情况中,攻击者往往无法获知目标检测方法的任何信息。我们称这种假设条件为零知识场景(Zero Knowledge Setting)。在零知识场景下完成攻击并非易事,主要源于如下的挑战:
研究挑战
挑战Ⅰ:样本扰动空间庞大且异质。该挑战源自扰动样本层面。扰动样本为安卓应用,本身具有非常复杂的组织结构。与图片、文本等多媒体数据相比,在安卓应用中的扰动空间会更加复杂多样。例如,在安卓应用中攻击者可以在安卓配置文件(AndroidManifest.xml)中添加权限,也可以在代码文件(classes.dex)中修改函数调用关系。而在图片中,攻击者仅仅需要修改图片的像素值。此外,即使考虑同质性的扰动,扰动空间仍然庞大且离散。例如,如果攻击者想要在安卓配置文件中添加一个权限(Permission)。在安卓系统中有超过150种不同的权限可以选择,与此对应的可组合扰动空间大小就超过了2的150次方,远超当前计算机的计算能力。
挑战Ⅱ:零知识场景挑战。该挑战源自目标模型层面。不同的目标模型会采取不同的特征,因此针对特定特征设计的扰动可能与目标模型利用的检测特征并不匹配,从而无法达到最优解。例如,修改函数之间的调用关系对利用句法特征的检测器无效,如Drebin。因为其并不依赖函数调用关系检测恶意软件。此外,之间的工作大多都依赖于获知目标模型实时细粒度的反馈来指导攻击的过程,如梯度信息。在零知识场景下,攻击者往往只能获知粗粒度的反馈如分类结果或分类置信度,增加了攻击过程的盲目性。
AdvDroidZero框架
为了解决上述挑战,作者设计了一个在零知识场景下工作的基于查询的对抗性安卓恶意软件攻击框架并将其命名为AdvDroidZero(Query-based adversarial Android malware attack framework under zero knowledge setting termed AdvDroidZero)。在实际场景中,AdvDroidZero具有三个阶段,分别为:恶意软件扰动集生成(Malware Perturbation Set Construction)、扰动选择树构造(Perturbation Selection Tree Development)以及目标模型查询(Victim Model Querying)。从宏观层面看,AdvDroidZero应用了一个作者提出的数据结构命名为扰动选择树(Perturbation Selection Tree)应对了样本扰动空间庞大且异质的挑战;与此同时,AdvDroidZero还应用了一个作者提出的基于语义的调整策略(Semantic-Based Adjustment Policy)去调整扰动选择树以应对零知识场景挑战。
设计直觉
作者的设计直觉主要来自于以下发现:1.不同的扰动具有不同的攻击效果。有的扰动可以有效推动攻击过程,即降低目标模型将其分类为恶意样本的置信度;有的扰动则会阻碍攻击过程,即增加目标模型将其分类为恶意样本的置信度;还有的扰动则不会影响目标模型的分类置信度。2.在安卓应用中的扰动具有显著的语义深度。例如,在安卓配置文件中添加一个use-feature的配置项,并将其值设为android.hardware.audio.output。该扰动与硬件和音频相关,具有这些语义深度。作者猜想具有相似语义的扰动很可能存在相似的攻击效果。例如前面提到的扰动与如下的扰动具有相似的攻击效果。在安卓配置文件中添加一个use-feature的配置项,并将其值设为android.hardware.audio.pro。基于上述的直觉,作者将扰动根据其语义深度组织成树(Tree)的形式,同时在调整该树中可以根据其语义进行级联调整,增强了攻击效率。有了上述的设计直觉,我们将详细介绍这三个阶段。
恶意软件扰动集生成
在恶意软件扰动集生成阶段,需要满足3种扰动要求,分别为:(1)全特征影响(All-Feature Influence);(2)功能性一致(Functional Consistency);(3)预处理鲁棒(Robust to Pre-Processing)。为了满足全特征影响的要求,AdvDroidZero同时考虑了从安卓文档中总结提炼的配置文件扰动和从100个随机选择的良性安卓应用中通过程序切片的代码扰动。为了满足扰动要求(2)和扰动要求(3),作者首先仅在恶意软件中添加新的功能,不删除恶意软件中原有的功能,其次作者利用了安卓系统中的意图(Intent)机制以及子进程机制,将注入的安卓程序片段设置为可以通过另一个安卓应用触发,并且在子进程中执行。通过上述处理,即使被添加的代码片段被执行,该执行过程也发生了另一个进程中,与原始功能之间存在着系统层面的进程隔离,从而维持了功能完整性。
扰动选择树构造
在生成了恶意软件扰动集之后,下一步的目标就是如何从恶意软件扰动集中选择最优对的扰动组合。为了实现这个目标,作者提出了一个创新的数据结构为扰动选择树,用于恶意软件扰动集中扰动的选取。在扰动选择树中,叶子节点对应具体的恶意软件扰动,中间节点对应其以它为根节点的子树中,所有叶子节点共有的语义。在选择扰动的过程中,AdvDroidZero从根节点通过不断采样得到一条通往叶子节点的路径,即得到对应的恶意软件扰动。
目标模型查询
在目标模型查询阶段,AdvDroidZero采用了迭代的4个步骤,直至攻击成功或耗尽了查询次数,具体为:(1)选择恶意软件扰动;(2)在恶意软件中实现恶意软件扰动;(3)获得模型反馈;(4)更新扰动选择树。在选择并实现完成恶意软件扰动之后,AdvDroidZero会根据模型的反馈结果利用基于语义的调整策略调整扰动选择树。调整的目标为增加那些具有有效攻击效果的扰动被选择到的概率,减小那些具有无效攻击效果的扰动被选择到的概率。
实验与结果
在实验中,作者评估了5种不同的主流基于机器学习的安卓恶意软件检测方法,涵盖多种不同的特征以及多种不同的机器学习分类算法。实验结果表明,AdvDroidZero在攻击成功率这个指标上在大多数情况下都优于两个基准算法,说明了AdvDroidZero的攻击有效性。
其次,作者还评估了AdvDroidZero的攻击开销,通过查询次数和攻击程序执行时间这两个指标发现在大多数情况下,AdvDroidZero仅仅需要大约15次查询以及10分钟之内就能成功生成对抗性安卓恶意软件,证明了其在实际使用中的极低运行开销。
此外,作者也在现实平台中验证了AdvDroidZero的有效性。作者在VirusTotal中测试了AdvDroidZero的有效性,发现AdvDroidZero可以大约将VirusTotal中检测出恶意软件的商用杀毒软件数量下降一半左右,证明了其在应对真实杀毒软件中的有效性。
在论文原文中还有关于针对基于动态分析的防御效果、功能性一致性验证、可能的防御以及添加扰动的种类相关的实验,如有读者有兴趣,欢迎阅读其完整版原文。
代码链接:https://github.com/gnipping/AdvDroidZero-Access-Instructions
NESA Lab主页:https://nesa.zju.edu.cn/
原文始发于微信公众号(安全研究GoSSIP):G.O.S.S.I.P 阅读推荐 2023-12-15 AdvDroidZero,零知识场景下的对抗性安卓恶意软件生成框架
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论