基于DCGAN的DOCX對(duì)抗樣本生成

楊琦，賈鵬，劉嘉勇

（四川大學(xué)網(wǎng)絡(luò)空間安全學(xué)院，成都610225）

0 引言

國(guó)際知名安全實(shí)驗(yàn)室McAfee Lab對(duì)2020年上半年總題惡意軟件攻擊情況的研究表明，今年上半年觀測(cè)到的惡意軟件的威脅數(shù)量持續(xù)上升，每分鐘的威脅數(shù)量達(dá)到了419個(gè)，表明惡意軟件仍是影響網(wǎng)絡(luò)安全的重要因素之一。由于惡意軟件數(shù)量多、范圍廣，眾多安全研究者引入了在分類領(lǐng)域表現(xiàn)出色的各種機(jī)器學(xué)習(xí)算法來(lái)應(yīng)對(duì)惡意軟件的威脅，眾多研究結(jié)果表明機(jī)器學(xué)習(xí)算法不僅在數(shù)據(jù)分類[1]、模式識(shí)別、自然語(yǔ)言處理[2]等方面有著出色表現(xiàn)，在垃圾郵件檢測(cè)和惡意文檔檢測(cè)[3]等方面也有著較高的準(zhǔn)確率和效率，因此機(jī)器學(xué)習(xí)算法在惡意軟件檢測(cè)領(lǐng)域有著廣泛的應(yīng)用。

基于機(jī)器學(xué)習(xí)的惡意文檔檢測(cè)技術(shù)被大量應(yīng)用，有許多研究表明其基于特征的檢測(cè)方式很容易被攻擊者精心構(gòu)造的特征所欺騙，從而達(dá)到使分類器錯(cuò)誤分類的效果。大量研究者運(yùn)用不同的方法，不斷學(xué)習(xí)檢測(cè)器的檢測(cè)規(guī)則，不斷降低檢測(cè)器的準(zhǔn)確性，從而生成可以逃逸檢測(cè)器檢測(cè)的對(duì)抗樣本。

深度神經(jīng)網(wǎng)絡(luò)的脆弱性問(wèn)題[4]首次被Szegedy等人提出，他們的L-BFGS方法將人眼無(wú)法察覺(jué)到的擾動(dòng)添加進(jìn)圖像中，使DNN圖片分類器錯(cuò)誤分類，將大熊貓圖片識(shí)別成了長(zhǎng)臂猿，在業(yè)界引起了對(duì)對(duì)抗樣本的廣泛關(guān)注。緊接著Goodfellow等人提出了一種有效的非針對(duì)性攻擊，他們提出的FGSM方法尋找特征空間中逼近于良性樣本的對(duì)抗樣本，它沿著梯度更新方向一步步攻擊，是一種典型的one-step攻擊。隨后Kurakin等人提出了BIM方法利用更加精細(xì)的迭代器對(duì)FGSM方法進(jìn)行迭代優(yōu)化，與FGSM相比采用更短的步長(zhǎng)和切片來(lái)更新對(duì)抗樣本。Dong等人[5]受到動(dòng)量?jī)?yōu)化器的啟發(fā)，提出了MI-FGSM方法，將將動(dòng)量存儲(chǔ)器集成到BIM迭代過(guò)程中，旨在構(gòu)建一個(gè)模型集合，以攻擊黑盒/灰盒設(shè)置中的模型，基本思想是考慮多個(gè)模型相對(duì)于輸入的梯度，并確定更有可能轉(zhuǎn)移到其他模型的梯度方向。

Zheng等人[6]提出一種叫做分布式對(duì)抗樣本攻擊（Distributionally Adversarial Attack，DAA）的新的對(duì)抗性攻擊，對(duì)概率度量的空間進(jìn)行攻擊，與PGD不同的是，對(duì)抗性樣本是為每個(gè)良性樣本獨(dú)立生成的，DAA對(duì)潛在的對(duì)抗性分布進(jìn)行優(yōu)化。此方法所提出的目標(biāo)首先包括在計(jì)算對(duì)抗性損失時(shí)，對(duì)抗性數(shù)據(jù)分布與良性數(shù)據(jù)分布之間的Kraft-McMillan（KL）發(fā)散，以增加優(yōu)化過(guò)程中的對(duì)抗性泛化風(fēng)險(xiǎn)，對(duì)后面的工作具有很大的啟發(fā)意義。

Carlini和Wagner等人[7]提出了一種基于優(yōu)化的對(duì)抗性攻擊C&W攻擊，C&W方法會(huì)逐漸優(yōu)化對(duì)抗樣本以找到最優(yōu)對(duì)抗樣本。針對(duì)DNN，C&W攻擊方法在MNIST、CIFAR-10、和ImageNet上達(dá)到了100%的攻擊成功率。

Moosavi-Dezfooli等人[8]提出了一種新的算法DeepFool，在仿射二進(jìn)制分類器和一般二進(jìn)制可微分類器上找到最小對(duì)抗性擾動(dòng)添加進(jìn)對(duì)抗樣本。DeepFool方法也可以擴(kuò)展到攻擊一般的多類分類器，其中問(wèn)題被轉(zhuǎn)化為計(jì)算由所有類之間的決策邊界形成的凸多面體從重心到表面的距離，實(shí)驗(yàn)結(jié)果表明，DeepFool方法在幾個(gè)基準(zhǔn)數(shù)據(jù)集上的擾動(dòng)添加量均小于FGSM方法。

在上述攻擊算法中，良性樣本的所有元素（例如，良性圖像中的所有像素）都受到干擾。最近的研究表明，在一個(gè)受限制的區(qū)域/良性樣本段中的擾動(dòng)也可以愚弄深度學(xué)習(xí)模型，這些擾動(dòng)被稱為對(duì)抗性補(bǔ)丁。Sharif等人[9-10]提出只在附在面部圖像上的眼鏡架上制作對(duì)抗性擾動(dòng)，通過(guò)對(duì)交叉熵等常用對(duì)抗性損失進(jìn)行優(yōu)化，局部微擾很容易愚弄VGG-Face卷積神經(jīng)網(wǎng)絡(luò)（CNN）。作者在物理世界中實(shí)現(xiàn)了這種攻擊，方法是用產(chǎn)生的擾動(dòng)打印眼鏡對(duì)。這項(xiàng)工作還提供了視頻演示，其中戴對(duì)抗性眼鏡的人被真正的VGG-Face CNN系統(tǒng)識(shí)別為攻擊目標(biāo)。

目前國(guó)內(nèi)外現(xiàn)有的對(duì)抗樣本生成攻擊大多是針對(duì)圖片的，在惡意文檔檢測(cè)器領(lǐng)域的對(duì)抗樣本攻擊主要是在初期基于大多白盒，現(xiàn)階段的研究主要集中在灰盒場(chǎng)景下。研究趨勢(shì)從不計(jì)成本的隨機(jī)生成轉(zhuǎn)向注重效率的生成，從白盒場(chǎng)景轉(zhuǎn)向黑盒場(chǎng)景下的生成，從單一場(chǎng)景轉(zhuǎn)向更復(fù)雜的場(chǎng)景下生成。

1 DOCX-GAN框架設(shè)計(jì)與實(shí)現(xiàn)

DOCX-GAN總體上是一個(gè)利用GCGAN網(wǎng)絡(luò)，通過(guò)對(duì)惡意DOCX文檔檢測(cè)器的檢測(cè)規(guī)則進(jìn)行學(xué)習(xí)，將生成器生成的擾動(dòng)特征添加到惡意樣本中，在不影響惡意樣本功能的前提下，生成可以使檢測(cè)器錯(cuò)誤分類的對(duì)抗樣本。

DOCX-GAN總體結(jié)構(gòu)由檢測(cè)器、生成器、鑒別器和樣本處理四個(gè)模塊構(gòu)成。算法流程如圖1。

圖1 DOCX-GAN算法流程圖

1.1 檢測(cè)器

檢測(cè)器是一個(gè)利用機(jī)器學(xué)習(xí)技術(shù)搭建的二分類器。在得到DOCX文件輸入之后，檢測(cè)器對(duì)文件進(jìn)行預(yù)處理后得到特征向量，利用隨機(jī)森林（Random Forest，RF）、支持向量機(jī)（Support Vector Machine，SVM）和決策樹(shù)（Decision Tree，DT）等機(jī)器學(xué)習(xí)算法，根據(jù)訓(xùn)練好的模型對(duì)特征向量對(duì)文件的惡意性進(jìn)行判別，最終對(duì)輸入判別結(jié)果，即輸入的文件是惡意的還是良性的。

1.2 生成器

生成器是一個(gè)利用深度卷積神經(jīng)網(wǎng)絡(luò)搭建的前反饋網(wǎng)絡(luò)結(jié)構(gòu)，用于生成擾動(dòng)特征。它基于鑒別器學(xué)習(xí)到的檢測(cè)器的檢測(cè)規(guī)則，向樣本中增加一些擾動(dòng)特征使惡意DOCX文檔被檢測(cè)器錯(cuò)誤分類為良性DOCX文檔。訓(xùn)練時(shí)，生成器通過(guò)隨機(jī)添加噪聲來(lái)生成樣本，之后通過(guò)鑒別器的反饋進(jìn)行梯度更新，生成與真實(shí)良性樣本更相似的對(duì)抗樣本。生成器的網(wǎng)絡(luò)結(jié)構(gòu)如下表1所示。

表1 生成器網(wǎng)絡(luò)結(jié)構(gòu)

為保證生成的對(duì)抗樣本仍能夠保留原有的惡意功能，本方法定義生成器在生成對(duì)抗樣本時(shí)只能采用添加的方式擾動(dòng)特征的方式修改樣本，因?yàn)閯h除和修改的方式可能會(huì)破壞惡意樣本原有的惡意功能。擾動(dòng)添加規(guī)則如下公式（1）：

其中m'為生成器所生成的對(duì)抗樣本，m為惡意樣本，g為生成器生成的擾動(dòng)特征。

1.3 鑒別器

鑒別器同樣是一個(gè)利用深度卷積神經(jīng)網(wǎng)絡(luò)搭建的前反饋網(wǎng)絡(luò)結(jié)構(gòu)，用于學(xué)習(xí)檢測(cè)器的檢測(cè)規(guī)則。由于檢測(cè)器并只提供惡意或良性的二進(jìn)制檢測(cè)結(jié)果，生成器無(wú)法有效地學(xué)習(xí)如何構(gòu)建對(duì)抗樣本，鑒別器的作用就是學(xué)習(xí)檢測(cè)器的檢測(cè)規(guī)則并提供一個(gè)可微的函數(shù)幫助檢測(cè)器進(jìn)行梯度更新。鑒別器的網(wǎng)絡(luò)結(jié)構(gòu)如表2所示。

表2 鑒別器網(wǎng)絡(luò)結(jié)構(gòu)

1.4 特征工程

DOCX文檔由不同文件夾中的XML文件組成，每個(gè)XML文件中包含文檔的實(shí)際內(nèi)容，每個(gè)XML文件中包含文檔的屬性和動(dòng)作，文檔的資源文件保存在“midea”、“embeddings”等文件夾下。鑒于DOCX文檔的層級(jí)路徑結(jié)構(gòu)，本文采用SFEM（Structural Feature Extraction Methodology）方法來(lái)提取路徑結(jié)構(gòu)特征，把路徑轉(zhuǎn)換成唯一的路徑列表。圖2為樣本文檔利用SEFM提取的路徑列表的一部分。

圖2 路徑結(jié)構(gòu)列表

其中，紅色的路徑代表文件夾，綠色的路徑代表XML文檔，灰色的路徑代表每個(gè)XML文檔中包含的屬性。本方法保留了XML文檔中屬性的名稱標(biāo)簽，沒(méi)有保留屬性的值，有利于縮減特征的數(shù)量，在保證準(zhǔn)確率的前提下，大大提升效率。

2 實(shí)驗(yàn)結(jié)果與分析

本文構(gòu)建的實(shí)驗(yàn)場(chǎng)景為灰盒場(chǎng)景，設(shè)定如下：

●攻擊者知曉惡意DOCX惡意文檔分類器所采用特征種類是路徑結(jié)構(gòu)特征；

●攻擊者對(duì)特征數(shù)量、分類器所采用的機(jī)器學(xué)習(xí)算法、分類器的訓(xùn)練樣本等信息是未知的；

●外部不能訪問(wèn)分類器的內(nèi)部結(jié)構(gòu)從而得到梯度信息，分類器的返回結(jié)果僅僅是惡意或良性；

●不能利用樣本進(jìn)行投毒攻擊，不能損壞分類器。

實(shí)驗(yàn)環(huán)境和參數(shù)如表3所示。

表3 實(shí)驗(yàn)環(huán)境

2.1 數(shù)據(jù)集

本文所采用數(shù)據(jù)集來(lái)源于網(wǎng)絡(luò)收集、VirusTotal病毒庫(kù)和Contagio樣本集，總計(jì)7354個(gè)DOCX文檔，其中包含5334個(gè)良性樣本和2020個(gè)惡意樣本。所用的良性樣本均為網(wǎng)絡(luò)爬取的正常DOCX文檔，為保證實(shí)驗(yàn)的準(zhǔn)確性，本文所使用的樣本均經(jīng)過(guò)VirusTotal的驗(yàn)證，只有所有殺毒引擎都判斷為良性的文檔才加入良性樣本集，凡是至少有一個(gè)殺毒引擎判斷為惡意的樣本皆歸為惡意樣本集。此外，本文還剔除了文件大小小于10KB或大于10M的樣本以排除極端情況。

2.2 預(yù)處理

本文所有樣本在輸入網(wǎng)絡(luò)之前均需經(jīng)過(guò)SEFM方法進(jìn)行特征提取，提取成為每個(gè)樣本對(duì)應(yīng)的路徑結(jié)構(gòu)特征，接下來(lái)還需將路徑結(jié)構(gòu)特征通過(guò)one-hot編碼將惡意樣本和良性樣本分別構(gòu)建成惡意特征矩陣和良性特征矩陣以繼續(xù)處理。構(gòu)建好的矩陣如表4所示。

表4 特征矩陣

2.3 有效性評(píng)估

本次實(shí)驗(yàn)采取下列四種評(píng)估指標(biāo)：

MSR：樣本修改成功率（Modification Success Rate），對(duì)樣本修改后能夠保留惡意功能

ASR：樣本攻擊成功率（Attack Success Rate），樣本修改后繞過(guò)檢測(cè)器的概率

AMC：平均修改成本（Average Modification Cost），平均生成每個(gè)對(duì)抗樣本需要修改的特征數(shù)量

CSR：綜合成功率（Comprehensive Success Rate），單次攻擊整體的成功率

本文在五種黑盒分類算法中測(cè)試了DOCX-GAN生成對(duì)抗樣本的有效性，包括邏輯回歸、多層感知機(jī)、隨機(jī)森林、決策樹(shù)和支持向量機(jī)。在每次實(shí)驗(yàn)中，把數(shù)據(jù)集劃分為60%的訓(xùn)練集，20%的驗(yàn)證集和20%的測(cè)試集。

表5為針對(duì)五種黑盒機(jī)器學(xué)習(xí)算法生成對(duì)抗樣本有效性的評(píng)估。

表5 有效性評(píng)估

通過(guò)對(duì)以上五種黑盒分類的分類結(jié)果觀察可知：五種分類器對(duì)惡意文檔檢出的概率均在93%以上，具有較好的分類性能，決策樹(shù)的性能最佳。五種分類器的誤報(bào)率都在8-12%之間，具有較高的誤報(bào)率，說(shuō)明分類器對(duì)惡意樣本的分類規(guī)則均比較嚴(yán)格，在這樣的條件下，對(duì)抗樣本的攻擊難度會(huì)增大。但結(jié)果表明，本方法所生成的對(duì)抗樣本被五種檢測(cè)器檢出的概率均低于2%，針對(duì)邏輯回歸、多層感知機(jī)、支持向量機(jī)的攻擊成功率都達(dá)到了100%，說(shuō)明本方法能夠有效地生成對(duì)抗樣本，使基于機(jī)器學(xué)習(xí)地分類器對(duì)對(duì)抗樣本做出錯(cuò)誤的分類。

3 結(jié)語(yǔ)

本文提出了一種利用深度卷積生成式對(duì)抗網(wǎng)絡(luò)搭建的DOCX對(duì)抗樣本生成框架，實(shí)驗(yàn)結(jié)果表明利用此框架生成的對(duì)抗樣本可以較好地繞過(guò)邏輯回歸、隨機(jī)森林、決策樹(shù)、支持向量機(jī)和多層感知機(jī)等機(jī)器學(xué)習(xí)算法搭建的檢測(cè)器，攻擊成功率達(dá)到了98%以上。

接下來(lái)的工作將圍繞如何繞過(guò)對(duì)抗樣本防御算法來(lái)避免被檢測(cè)，達(dá)到繞過(guò)更多機(jī)器學(xué)習(xí)算法和神經(jīng)網(wǎng)絡(luò)來(lái)進(jìn)行。