本稿はセキュリティキャンプ Advent Calendar 14日目の記事になります.

先日やっと論文を投稿できたので, 飛び入り参加ですがそれ関連の記事を書こうと思います.

Intro

機械学習でマルウェア検出や異常検知などを行う研究が盛んに行われているかと思います.

検出・検知というと精度やTPR, FPRばかりに意識がいきがちですが, ことセキュリティに関してはRobustness(堅牢性)も重要になってきます.

ここでいう堅牢性とは, 学習データにない未知のデータに対する分類精度や, 汚染データによる分類モデルそのものへの攻撃に対する耐性などを指します.

今回は堅牢性を無視した分類モデルに対して実際に回避攻撃を行うことで, そのリスクを目の当たりにしようと思います.

コードはこちら

※データセットやそれに付随するデータをアップロードすることができないため, 参考程度にしてください

マルウェア検出器の準備

堅牢性を無視した分類モデルとして, ファイルに使用されている(全ての)APIのみを特徴量としたマルウェア検出器を作成します.

データセットの都合上学習過程は省きますが, 訓練データのマルウェアと良性ファイル各3000個からAPIを抽出し, それら全てを特徴量に用いて学習させます.

今回は34499個(次元)の特徴量でロジスティック回帰(LR), ランダムフォレスト(RF), 多層パーセプトロン(MLP)で学習させました.

テストデータ(訓練データとは別の各3000個)に対し, 以下の結果が得られました.

TPR: マルウェアの内, 正しくマルウェアと予測された割合

FPR: 良性ファイルの内, 誤ってマルウェアと予測された割合

※現実的にはこのFPRは高すぎます

マルウェア検出器の回避手法

作成したマルウェア検出器をどのように回避する(良性ファイルとして誤分類させる)のかというと, 一つの手段として, 攻撃者がマルウェアにダミーのコードを追加するかのごとく, 良性ファイルの特徴量をマルウェアの特徴量に加えるということが考えられます. これを実装したものにMalGANがあります.

MalGANはHuらが提案した, GANを応用した検出回避手法です. 要するにニューラルネットワークを攻撃に使用したものです.

Windows APIを特徴量としてマルウェア分類する検出器に対し, 以下の手順を繰り返すことで検出を回避するマルウェアの特徴量(APIリスト)を生成します.

1. 生成器(Generator)による特徴量生成
2. マルウェア検出器(Black-Box Detector)によるラベル付
3. 代替識別器(Substitute Detector)によるマルウェア検出器の分類規則の学習
4. 生成器による良性ファイル(Benign)生成の学習

実際の彼らのコードはこちらにあがっていますが, いろいろと突っ込みどころがあったので私なりに改良しています. また, 今回はデモ用にコードを多少簡素にしています.

今回改良したMalGAN

詳細な変更箇所は省略しますが, 改良したMalGANの構成は以下のようになっています.

まず, マルウェアに追加するためのAPIリストを作成します.

今回は検出器の学習には使われていない, 30個の良性ファイルから抽出された1799次元のAPIリストを作成しました.

改良したMalGANは, そのAPIリストに回避させたいマルウェアのAPI(59次元)の重複しないものを追加した, 1807次元の特徴量からAPIリストを生成します.

いざ, LR検出器を回避

0エポック目から回避できてますね...ガバガバすぎる...

しかし生成データのAPI数に制約をかけていないため,

このとおり元のマルウェアに対し, 928-59=869個のAPIを追加したものが生成されてます. これでは使い物になりません.

そこで生成器に対し, 次のような損失を与えます.

xハットは生成された特徴量, xはマルウェアの特徴量, mは次元数, nはバッチサイズです.

これを適用すると,

このように回避に必要なAPI数を減らしていくことができるわけですね. ちなみに元のマルウェアの次元数に近づくような式にしてます.

しかしながら, API数を減らしていくということは回避もしにくくなるわけで, 学習も不安定になります. 途中からマルウェアと分類されるものしか生成できなることも多々あります.

またこの時, 検出器のアルゴリズムによって減らせるAPI数に差がでてきます.

今回の試行ではLRは約200, RFは約400, MLPは約230に収束しました.

この数値は分類モデルの堅牢性を示す上で重要になってきますね.

MalGANの使い道

堅牢性の検証に使えることは言わずもがなですが, それ以外だと訓練データの増幅に使えるのではないかと考えています. マルウェアの検体ともなると入手が困難ですから. ただし, 安易な増幅も誤検知をまねくのが機械学習検出の難しいところです.

終わりに

マルウェア検出器に対し回避攻撃を行うことで, 分類モデルにおける堅牢性の重要さを示しました.

今回はAPIのみを扱いましたが, その他生成しやすいパラメータを特徴量に用いている場合は注意が必要になると思います.

これを機に堅牢性について一考してもらえると幸いです.

はじめに

この章では, マルウェアを扱う上で留意しておかなければならない法律を紹介し, マルウェアの検体(サンプル)の収集方法を紹介する.

マルウェアに関する法律

不正指令電磁的記録に関する罪

不正指令電磁的記録作成・提供罪 (刑法第168条の2第1項)

正当な理由がないのに, 人の電子計算機における実行の用に供する目的で, 次に掲げる電磁的記録その他の記録を作成し, 又は提供した者は, 3年以下の懲役又は50万円以下の罰金に処する.

1. 人が電子計算機を使用するに際してその意図に沿うべき動作をさせず, 又はその意図に反する動作をさせるべき不正な指令を与える電磁的記録
2. 前号に掲げるもののほか, 同号の不正な指令を記述した電磁的記録その他の記録

不正指令電磁的記録供用・同未遂罪 (刑法第168条の2第2項・第3項)

正当な理由がないのに, 人の電子計算機における実行の用に供する目的で, 次に掲げる電磁的記録その他の記録を作成し, 又は提供した者は, 3年以下の懲役又は50万円以下の罰金に処する(項目は作成・提供罪の1.2.と同じ).

不正指令電磁的記録取得・保管罪 (刑法第168条の3)

正当な理由がないのに, 前条第1項の目的(人の電子計算機における実行の用に供する目的)で, 同項各号に掲げる電磁的記録その他の記録を取得し, 又は保管した者は, 2年以下の懲役又は30万円以下の罰金に処する.

引用元：いわゆるコンピュータ・ウィルスに関する罪について　法務省

いくつか補足事項を述べる.

“正当な理由”に該当するもの

• ウィルス対策ソフトの開発・試験等を行う場合
• ウィルスを発見した人がウィルスを研究機関等に提供する場合

“人の電子計算機における実行の用に供する”とは

• プログラムがウィルスであることを知らない人のコンピュータ上に, そのプログラムが実行できる状態に置くこと. 実行できる状態については, アイコンのダブルクリック等の行為が必要であるか否かは問わない

“意図に沿うべき動作をさせず”に該当しないもの

• プログラムのバグは, ウィルスに当たらない
• 例えば, ハードディスク内のファイルを全消去するプログラムが, その機能を適切に説明したうえで公開されており, 使用者の意図に沿って動作する場合は処罰対象とはならない

“同号の不正な指令を記述した電磁的記録その他の記録”とは

• ウィルスのソースコードのこと

マルウェアの検体の収集方法

注意：検体を収集する場合は, その危険性を把握し, 自己責任で行ってください

Webサイトからのダウンロード

検体を公開しているサイトには以下のようなサイトがある.

• HYBRID ANALYSIS (https://www.hybrid-analysis.com/?lang=ja)
• kaggle - Microsoft Malware Classification Challenge (BIG 2015) (https://www.kaggle.com/c/malware-classification) 

ハニーポットを運用する

ハニーポットとは, 脆弱性を装うことで攻撃を誘い込み, 侵入方法の解析やマルウェアの収集を実現するものである.

ハニーポットの構築方法について(後日編集)

Dockerでハニーポットを運用しよう(後日編集)

セキュリティ系のイベントに参加する

セキュリティ系のイベント等に参加することで検体を入手するという手法もある. 検体を配布しているイベントは, 以下のものが挙げられる. ただし, 検体を扱うにあたり契約が必要な場合がある.

• マルウェア対策研究人材育成ワークショップ MWS
• SecHack365