基于随机平滑的恶意软件识别深度学习模型鲁棒性认证方法
时间:2023-04-15 13:40:05 来源:柠檬阅读网 本文已影响 人 
罗森林,鲁帅,张毅飞,潘丽敏
(北京理工大学 信息与电子学院,北京 100081)
鲁棒性是指系统在某些扰动下保持某种性能不变的能力. 机器学习技术广泛地应用于恶意软件检测[1-2]、恶意域名检测[3]等领域. 对抗样本[4]等攻击技术的发展使机器学习模型面临着巨大的威胁,使得鲁棒性也成为评估机器学习模型时所关注的一个重要指标.
基于随机平滑的鲁棒性认证方法可以适用于任意结构的神经网络,并且相对于其他认证方法有更低的计算开销,被广泛地应用于认证大型、复杂模型的鲁棒性. LECUYER 等[5]使用随机平滑为ImageNet 训练了第一个可认证的鲁棒模型,但是得到的认证半径较为松弛. COHEN 等[6]使用了蒙特卡罗算法,在L2范数上证明了第一个紧密的鲁棒性认证. 在鲁棒半径的认证范围方面, LEE 等[7]使用离散分布将认证扩展到了L0范数,LI 等[8]将认证扩展到了L1范数. 在认证的模型类型方面, WANG 等[9]将随机平滑扩展到了基于树的模型上. 在认证的数据领域方面,JIA 等[10]将随机平滑拓展到了社区数据保护领域.
使用随机平滑的方法对恶意软件识别深度学习模型进行鲁棒性认证有以下两方面的问题:1)直接添加噪声可能会改变实现恶意功能必需的特征,从而导致恶意软件丧失对应的恶意功能;
2)当前的认证算法严格按照似然比的大小顺序选取空间中的噪声区域计算噪声样本分类为恶意的概率,导致计算得到的扰动样本分类为恶意标签的概率较小,认证算法将其判别为良性,从而使认证的鲁棒半径较为松弛.
针对上述问题,提出一种对恶意软件识别深度学习模型的鲁棒性认证方法. 方法只向与恶意功能无关的特征中添加离散伯努利噪声实现可认证的平滑模型,选取似然比更小的区域来计算扰动样本分类为恶意的概率,获得更紧密的认证半径,并给出紧密性理论证明.
方法原理如图1 所示,包括平滑分类模型构建和鲁棒性认证两个子模块.
图1 恶意软件识别深度学习模型鲁棒性认证原理框架Fig. 1 Principle framework of robustness certificate for the malware identification deep learning model
(1)平滑分类模型构建模块. 平滑分类模型G由噪声生成器、基分类器F、分类决策器三部分构成.基分类器F可以是任意结构的神经网络. 噪声生成器生成离散伯努利噪声和零噪声结合的噪声,基分类器对这些噪声与输入样本结合生成的噪声样本进行分类,分类决策器将这些噪声样本中分类标签数量最多的那一类定为输入样本的预测类别.
(2)鲁棒性认证模块. 攻击者对恶意软件制作对抗样本试图逃避分类器的检测,因此模块仅对恶意样本进行鲁棒性认证. 输入样本x,经过平滑分类器生成m个 噪声样本X={x1′,x′2,···,x′m},p为任一噪声样本分类为恶意的概率下界,如果小于阈值,则输出弃权,反之使用认证算法进行认证.
1.1 平滑分类模型构造
首先基于随机平滑的方法构造一个可认证的深度学习模型. 修改apk 的权限信息只需在Android-Manifest.xml 文件中修改声明,并不需要修改其他代码,因此保留了恶意功能必需权限后使得内存读写、定位等恶意功能可以正常实现. 构造平滑分类模型步骤如下:(1)对apk 进行解压缩和反编译,从AndroidManifest.xml 文件中提取apk 的静态权限特征,制作特征列表. (2)与恶意功能有关的特征参考谷歌官方发布的权限列表[11]中注明的权限保护等级,如Signature、Dangerous 等. 根据列表中对防护等级的标记,保留表1 所示类别中的权限.(3)对训练集构建特征向量来训练基模型F. 文章选用深度学习网络作为基模型F.(4)噪声生成器使用离散的伯努利噪声,其中噪声均值为 µ,生成噪声样本的数量为m,将训练得到的基模型F结合噪声生成器、分类决策器构建平滑分类模型G.
表1 实现恶意功能的必需权限及示例Tab. 1 Sensitive permission categories and examples
1.2 鲁棒性认证
鲁棒性认证即计算模型的鲁棒性边界,给定一个输入样本x,保证在某个扰动范围内,模型都可以将样本分类正确,即模型对该输入样本的分类结果不会在这个区域内发生变化,通过认证算法来计算鲁棒区域的边界. 对构建的平滑分类模型进行认证,输入向量为离散向量,L1范数可以表示修改特征的数目,因此文章选择L1范 数定义鲁棒半径R. 设随机扰动为δ,使用认证算法计算最大的半径R=||δ||1.
2.1 实验数据
本文使用了3 个公开数据集. 一是公开数据集Drebin[13],共5 560 个恶意样本,良性数据来自安智应用市场下载,共获得5 500 个良性样本. 二是公开数据集Androzoo[14],下载了6 677 个恶意样本和11 000个良性样本. 三是公开数据集CICAndMal2017[14],包括428 个恶意样本和1 128 个良性样本. 数据集以4∶1 的比例划分成训练集和测试集.
2.2 评价指标
2.3 实验过程
在实验中,选取了显著性水平α=0.001,噪声样本数量m=10 000,噪声均值 µ=0.02的平滑模型作为实验对象,与JIA(2020)[10]、LECUYER(2019)[5]、COHEN(2019)[6]等的方法比较认证准确率和平均认证半径的大小.
最后,在每个输入样本的计算得到的鲁棒区域内随机抽样选取100 个噪声样本,经过平滑分类器后验证分类结果与输入样本是否一致.
2.4 实验结果及分析
图2 表示使用不同的认证算法对平滑模型进行鲁棒性认证的结果. 在离散数据集上,使用L1范数得到的认证半径R表示对样本任意修改少于R个特征不会改变其分类结果,因此对认证结果作取整处理. 根据实验结果数据,COHEN、LECUYER 等的认证算法认证的半径均小于1,经过取整后认证的L1半径为0,从子图可以看出二者的认证准确率是完全一样的,在对比图中曲线重合;
JIA 等[9]的认证方法可以得到较大的认证半径,但是最大认证半径为2. 改进的认证方法认证了更大的鲁棒半径,在3个数据集上认证的最大半径分别是对比方法的4.5倍、4 倍和3 倍,大幅提升了认证的区域大小,在各个r(r≥1)上的认证准确率均高于对比方法,获得了更紧密的认证边界. 实验证明提出的算法优于目前先进的认证算法,可以为模型提供更高的鲁棒性保证.
图2 不同认证方法的认证准确率Fig. 2 Certified accuracy of models with different certificate methods
表2 表明了几种认证方法得到的平均认证半径ACR,可以看出,提出的认证算法在3 个数据集上平均认证半径是最好的对比方法的 4.37 倍、2.67 倍和2.72 倍. 能以99.9%概率保证3 个测试集中的样本经过平均修改少于6.20、2.74、3.81 个特征后仍不会被分类错误,取得了较好的认证效果.
表2 不同认证算法认证的平均认证半径Tab. 2 Average certified radius of different certificate algorithms
在每个样本经过认证得到的半径区域内随机选取100 个扰动样本,经过平滑分类器后分类结果与输入样本完全一致,但是由于基于随机平滑的认证方法是概率性保证,实验中选取的α为0.001,也就是99.9%的概率保证概率下界的准确性,理论上可能会出现样本经过平滑模型添加随机噪声后生成的噪声样本中分类成良性更多的情况,但是这种情况出现的概率极低. 另外,基于随机平滑的认证方法是一种求解鲁棒区域近似下界的认证方法,认证的半径小于等于实际的半径,因此可以认为经过该方法认证的区域是鲁棒的.
本文提出一种基于随机平滑的恶意软件识别深度学习模型鲁棒性认证的方法. 所提方法只向恶意功能非必需的特征中添加离散的伯努利噪声来保证恶意功能的可用性. 认证算法按照似然比大于1、小于1、等于1 的顺序构建空间区域计算样本分类概率,实现了与实际鲁棒边界更紧密的鲁棒性认证. 实验表明,提出的方法大幅提升了认证准确率,在3 个公开数据集上平均认证半径是对比方法最优值的4.37 倍、2.67 倍和2.72 倍,获得了更准确的鲁棒性认证. 未来将研究提升模型鲁棒性的方法,以达到更优的认证鲁棒性.
猜你喜欢鲁棒性分类器半径荒漠绿洲区潜在生态网络增边优化鲁棒性分析农业机械学报(2020年2期)2020-03-09基于确定性指标的弦支结构鲁棒性评价中华建设(2019年7期)2019-08-27连续展成磨削小半径齿顶圆角的多刀逼近法制造技术与机床(2019年6期)2019-06-25一些图的无符号拉普拉斯谱半径华东师范大学学报(自然科学版)(2017年1期)2017-02-27加权空-谱与最近邻分类器相结合的高光谱图像分类光学精密工程(2016年4期)2016-11-07结合模糊(C+P)均值聚类和SP-V-支持向量机的TSK分类器光学精密工程(2016年3期)2016-11-07基于非支配解集的多模式装备项目群调度鲁棒性优化项目管理技术(2016年12期)2016-06-15非接触移动供电系统不同补偿拓扑下的鲁棒性分析西南交通大学学报(2016年6期)2016-05-04热采水平井加热半径计算新模型中国海上油气(2015年3期)2015-07-01基于LLE降维和BP_Adaboost分类器的GIS局部放电模式识别电测与仪表(2014年15期)2014-04-04
