Gray-Box Poisoning of Continuous Malware Ingestion Pipelines
作者: Jan Dolejš, Martin Jureček, Róbert Lórencz
分类: cs.CR, cs.LG
发布日期: 2026-05-06
💡 一句话要点
针对持续恶意软件检测管道的灰盒投毒攻击与防御研究
🎯 匹配领域: 支柱一:机器人控制 (Robot Control)
关键词: 恶意软件检测 投毒攻击 灰盒攻击 对抗性样本 持续学习 导入地址表 同构集成
📋 核心要点
- 现代恶意软件检测依赖持续数据摄取和机器学习,但易受对抗性攻击,现有方法缺乏对灰盒投毒的有效防御。
- 论文提出一种基于功能保持的恶意样本生成方法,通过IAT和节注入实现对LightGBM模型的灰盒投毒攻击。
- 实验表明,细微的IAT扰动可显著降低检测召回率,同时验证了同构集成防御机制能有效过滤投毒样本。
📝 摘要(中文)
本文研究了一种现实的灰盒投毒威胁模型,该模型针对持续数据摄取和机器学习驱动的恶意软件检测管道。利用secml_malware框架,通过保持功能的操纵(特别是导入地址表(IAT)和节注入)生成问题空间的对抗性二进制文件。评估这些投毒样本摄取到防御者的LightGBM恶意软件检测模型的训练集中所产生的影响。实验结果表明,基于IAT的细微扰动能够实现紧凑的投毒样本,从而显著降低检测召回率。这些发现说明了在持续学习系统中开发低可见性对抗性扰动并保持高投毒效力的内在挑战。进一步评估了一种基于同构集成的防御机制,该机制成功识别并过滤高达95.6%的投毒尝试,同时保持了合法数据的高保留率。这些发现强调了在生产管道中进行稳健的预摄取验证的必要性。
🔬 方法详解
问题定义:论文旨在解决现代恶意软件检测管道中,针对持续学习模型的灰盒投毒攻击问题。现有恶意软件检测系统依赖于不断更新的训练数据,攻击者可以通过向训练集中注入恶意样本来降低检测性能。现有的防御方法通常假设攻击者具有完全的白盒知识,或者只能进行简单的攻击,这与实际情况不符。
核心思路:论文的核心思路是模拟一个现实的灰盒攻击场景,攻击者对目标模型的内部结构和参数了解有限,但可以观察模型的输出。攻击者通过生成具有功能保持性的恶意样本,即在不影响恶意软件原有功能的前提下,对样本进行细微的修改,从而欺骗检测模型。
技术框架:论文使用secml_malware框架生成对抗性样本。整体流程包括:1) 选择目标恶意软件样本;2) 使用IAT和节注入等技术生成对抗性样本;3) 将对抗性样本注入到防御者的训练集中;4) 评估防御者模型的性能下降情况。同时,论文还提出了一种基于同构集成的防御机制,通过构建多个结构相同但参数不同的模型,来识别和过滤投毒样本。
关键创新:论文的关键创新在于提出了一个现实的灰盒投毒攻击模型,并证明了即使攻击者对目标模型了解有限,也可以通过细微的扰动来显著降低检测性能。此外,论文还提出了一种基于同构集成的防御机制,该机制能够有效识别和过滤投毒样本,同时保持合法数据的高保留率。
关键设计:在生成对抗性样本时,论文重点关注了IAT和节注入两种技术。IAT注入通过修改恶意软件的导入地址表,改变其调用的函数,从而欺骗检测模型。节注入则通过在恶意软件中添加新的节,来改变其文件结构。在防御方面,同构集成防御机制的关键在于构建多个结构相同但参数不同的模型,并使用投票机制来判断样本是否为投毒样本。具体参数设置和损失函数等细节未在摘要中详细说明,属于未知信息。
🖼️ 关键图片
📊 实验亮点
实验结果表明,基于IAT的细微扰动能够实现紧凑的投毒样本,从而显著降低LightGBM恶意软件检测模型的召回率。同时,同构集成防御机制能够成功识别并过滤高达95.6%的投毒尝试,同时保持了合法数据的高保留率。这些结果表明,在持续学习系统中,需要采取有效的防御措施来防止恶意软件投毒攻击。
🎯 应用场景
该研究成果可应用于提升恶意软件检测系统的安全性,尤其是在持续学习的场景下。通过模拟真实的灰盒攻击,可以帮助安全研究人员更好地理解恶意软件投毒攻击的原理和影响,从而开发更有效的防御机制。此外,该研究还可以应用于其他机器学习系统的安全评估和防御,例如垃圾邮件过滤、入侵检测等。
📄 摘要(原文)
Modern malware detection pipelines rely on continuous data ingestion and machine learning to counter the high volume of novel threats. This work investigates a realistic gray-box poisoning threat model targeting these pipelines. Using the secml_malware framework, we generate problem-space adversarial binaries through functionality-preserving manipulations, specifically Import Address Table (IAT) and section injections. We evaluate the impact of these poisoned samples when ingested into a defender's training set for a LightGBM malware detection model. Our empirical results demonstrate that subtle IAT-based perturbations enable compact poisoning samples that significantly degrade detection recall. These findings illustrate the inherent challenge of developing low-visibility adversarial perturbations that maintain high poisoning efficacy within continuous learning systems. We further evaluate a defense mechanism based on a homogeneous ensemble, which successfully identifies and filters up to 95.6% of poisoning attempts while maintaining a high retention rate for legitimate data. These findings emphasize the necessity of robust pre-ingestion validation in production pipelines.