A Wolf in Sheep's Clothing: Practical Black-box Adversarial Attacks for Evading Learning-based Windows Malware Detection in the Wild

鉴于现有基于学习的恶意软件检测在学术界和工业界中取得了显著成就，本文提出了MalGuise，一个实用的黑盒对抗攻击框架，用于评估现有基于学习的Windows恶意软件检测系统在黑盒设置下的安全风险。 MalGuise首先采用一种新颖的基于调用的重分割语义保留转换，同时操纵恶意软件的控制流图的节点和边，使其更不易被察觉。然后，通过采用基于蒙特卡罗树搜索的优化，MalGuise搜索一组最优的基于调用的重分割转换序列，以逃避检测。最后，它根据优化的转换序列重构对抗性恶意软件文件，同时遵守Windows可执行文件格式约束，从而保持与原始文件相同的语义。 MalGuise在黑盒设置下对三个最先进的基于学习的Windows恶意软件检测系统进行了系统评估。评估结果表明，MalGuise实现了非常高的攻击成功率，大多数超过95％，超过91％的生成对抗性恶意软件文件保持相同的语义。此外，MalGuise针对五个反病毒产品实现了高达74.97％的攻击成功率，突显了对真实用户的潜在实质性安全问题。

本篇论文旨在通过提出一个黑盒对抗攻击框架 MalGuise，来评估现有基于学习的 Windows 恶意软件检测系统的安全风险。

MalGuise 首先采用一种新颖的基于调用的重定向语义保持转换，同时操纵恶意软件的控制流图中的节点和边缘，使其更不易被察觉。然后，通过采用基于 Monte-Carlo-tree-search 的优化，MalGuise 搜索一系列最优的基于调用的重定向转换，以逃避检测。最后，它根据优化的转换序列重构对手恶意软件文件，同时遵循 Windows 可执行文件格式约束，从而保持与原始文件相同的语义。

论文通过系统评估 MalGuise 对三种最先进的基于学习的 Windows 恶意软件检测系统的黑盒攻击成功率，结果表明 MalGuise 取得了极高的攻击成功率，大多数超过了 95%，超过 91% 的生成对手恶意软件文件保持相同的语义。此外，MalGuise 对五种反病毒产品的攻击成功率高达 74.97%，突显了对真实用户的潜在安全问题。

最近的相关研究包括《Adversarial Examples Detection in Deep Networks with Convolutional Filter Statistics》、《Adversarial Attacks on Deep Learning Models in Natural Language Processing: A Survey》等。