MalCL: Использование генеративного воспроизведения на основе GAN для борьбы с катастрофическим забыванием при классификации вредоносного ПО

Основная информация

• ID статьи: 2501.01110
• Название: MalCL: Leveraging GAN-Based Generative Replay to Combat Catastrophic Forgetting in Malware Classification
• Авторы: Jimin Park¹, AHyun Ji¹, Minji Park¹, Mohammad Saidur Rahman², Se Eun Oh¹*
• Учреждения: ¹Ewha Womans University, ²University of Texas at El Paso
• Классификация: cs.CR (Криптография и безопасность), cs.AI (Искусственный интеллект)
• Дата публикации: 2 января 2025 г. (препринт arXiv)
• Ссылка на статью: https://arxiv.org/abs/2501.01110

Аннотация

В данной работе предлагается система MalCL для решения проблемы непрерывного обучения при классификации вредоносного ПО. Система использует метод генеративного воспроизведения на основе генеративно-состязательных сетей (GAN) с потерей согласования признаков для генерации высококачественных образцов вредоносного ПО и реализует инновационный механизм выбора образцов на основе скрытых представлений модели. В сценариях пошагового обучения по классам на наборах данных вредоносного ПО для Windows и Android система демонстрирует значительное улучшение производительности, достигая средней точности 55% на образцах вредоносного ПО для Windows, что на 28% выше, чем у других моделей, основанных на генеративном воспроизведении.

Исследовательский контекст и мотивация

Основная проблема

Основной вызов при классификации вредоносного ПО — это явление катастрофического забывания (Catastrophic Forgetting). Когда модель машинного обучения продолжает обучаться на новых данных, её производительность на старых данных значительно снижается. Это особенно критично в области вредоносного ПО, поскольку:

1. Быстрая эволюция вредоносного ПО: Институт AV-TEST регистрирует 450 тысяч новых образцов вредоносного ПО и потенциально нежелательных программ (PUA) ежедневно
2. VirusTotal обрабатывает более 1 миллиона отправок программ в день
3. Дилемма антивирусных компаний: либо удалять старые образцы (рискуя возвращением старого вредоноса), либо игнорировать новые образцы (упуская новые угрозы)

Модель угроз

В статье определён конкретный сценарий угрозы: злоумышленник использует устаревшее вредоносное ПО для обхода системы машинного обучения, обновлённой только на новых данных. По мере увеличения временного разрыва между исходным обучением и атакой вероятность успешного обхода возрастает.

Ограничения существующих методов

1. Традиционные методы машинного обучения: неэффективны при борьбе с катастрофическим забыванием
2. Методы непрерывного обучения из компьютерного зрения: плохо применяются к классификации вредоносного ПО, производительность даже ниже базовой линии "None"
3. Ограничения хранилища: хранение исторических данных ограничено нормативно-правовыми актами о конфиденциальности

Основные вклады

1. Модель непрерывного обучения, специализированная для области вредоносного ПО: предложена система MalCL, достигающая средней точности 55% на 11 задачах непрерывного обучения с 100 семействами вредоносного ПО, что на 28% выше существующих методов
2. Улучшенное генеративное воспроизведение с согласованием признаков: использование генератора GAN в сочетании с потерей согласования признаков (Feature Matching Loss) для снижения различий между исходными и синтетическими образцами
3. Инновационный механизм выбора образцов для воспроизведения: разработка множественных стратегий выбора на основе признаков промежуточных слоёв классификатора для повышения согласованности синтетических образцов с исходными данными
4. Стратегическое построение набора задач: исследование стратегии назначения больших категорий начальным задачам для эффективного смягчения катастрофического забывания

Подробное описание метода

Определение задачи

MalCL решает задачу пошагового обучения по классам (Class-Incremental Learning):

• Входные данные: последовательность векторов признаков вредоносного ПО
• Выходные данные: классификация семейства вредоносного ПО
• Ограничения: каждая задача вводит новые категории вредоносного ПО, требуя одновременного сохранения способности распознавания исторических категорий

Архитектура модели

Общий процесс

MalCL содержит два основных компонента:

1. Модуль GAN: генерирует синтетические образцы вредоносного ПО из предыдущих задач
2. Модуль классификатора: выполняет классификацию семейства вредоносного ПО

Архитектура GAN

Генератор (Generator):

• 4 одномерных сверточных слоя + 2 полносвязных слоя + 3 транспонированных сверточных слоя
• Активация ReLU и пакетная нормализация на всех слоях кроме последнего
• Выходной слой использует активацию Sigmoid

Дискриминатор (Discriminator):

• 2 сверточных слоя + 2 полносвязных слоя
• Логика развёртывания второго сверточного слоя используется для согласования признаков
• Финальный выход использует слой Sigmoid

Архитектура классификатора

• 3 сверточных слоя + 1 полносвязный слой
• Максимальное объединение и отсев после первых двух сверточных слоёв
• Логика развёртывания третьего сверточного слоя используется для выбора образцов воспроизведения
• Выходной слой использует Softmax

Технические инновации

1. Потеря согласования признаков (Feature Matching Loss)

Традиционная потеря бинарной кросс-энтропии:

LG = -1/m ∑(i=1 to m) log(D(G(zi)))

Потеря согласования признаков:

LG = 1/m ∑(i=1 to m) ||Ex~pdata[D(f)(x)] - Ez~pz[D(f)(G(z))]||

где D(f)(·) обозначает выход промежуточного слоя дискриминатора. Эта функция потерь сосредоточена на более богатых промежуточных признаках, а не на финальном выходе.

2. Стратегии выбора образцов для воспроизведения

Выбор на основе L2-расстояния до one-hot метки:

Sc,k = {s | argmin √((Ci(s) - yc)²), ∀s ∈ S, yc ∈ Y}

Выбор на основе L1-расстояния до логистической регрессии:

• По среднему значению партии: выбор образцов, близких к глобальному среднему
• По среднему значению класса: выбор k образцов для каждого класса, ближайших к центру класса

Sc,k = {s | argmin |Li(s) - L̄i,c(xj)|, ∀s ∈ S, ∀x ∈ Xc}

Экспериментальная установка

Наборы данных

1. Набор данных EMBER:
   • 337 035 вредоносных PE-файлов Windows
   • 100 семейств вредоносного ПО, каждое семейство содержит >400 образцов
   • Признаки включают размер файла, информацию заголовков PE и COFF, характеристики DLL и т.д.
2. Набор данных AZ-Class:
   • 285 582 образца вредоносного ПО для Android
   • 100 семейств вредоносного ПО, каждое семейство содержит ≥200 образцов
   • Использование признаков Drebin, включающих 8 категорий (доступ к оборудованию, разрешения, вызовы API и т.д.)
   • Финальная размерность признаков: 2 439

Метрики оценки

• Средняя точность (Mean Accuracy): средняя точность классификации по всем задачам
• Минимальная точность (Min Accuracy): минимальная точность классификации среди всех задач

Методы сравнения

1. Базовые методы:
   • None: обучение только на новых данных (нижняя граница катастрофического забывания)
   • Joint: обучение со всеми историческими данными (идеальная верхняя граница)
2. Предыдущие работы:
   • GR (Generative Replay): генеративное воспроизведение с использованием GAN
   • BI-R (Brain-Inspired Replay): улучшенное генеративное воспроизведение с использованием VAE

Детали реализации

• Построение задач: первая задача содержит 50 классов, последующие задачи добавляют по 5 классов, всего 11 задач
• Оптимизаторы: Adam для GAN, SGD для классификатора
• Размер партии: 256
• Скорость обучения: классификатор 1e-3, момент 0.9, затухание веса 1e-7

Результаты экспериментов

Основные результаты

Ключевые находки:

• MalCL превосходит базовую линию None на 27%
• Превосходит существующие методы генеративного воспроизведения (GR, BI-R) на 28%
• Оптимальная конфигурация: FML + L1-расстояние до логистической регрессии по среднему класса

Абляционные исследования

Сравнение функций потерь

• Потеря согласования признаков vs бинарная кросс-энтропия: FML превосходит BCE на всех стратегиях выбора
• L1-расстояние до логистической регрессии по среднему класса: показывает лучший результат, точность 55% против 50% для L2-расстояния до метки

Стратегии построения набора задач

Стратегическое построение набора задач: назначение больших категорий начальным задачам

• Первая задача: 50 "гигантских" классов (в среднем 5 397 образцов)
• Последующие задачи: случайно выбранные малые классы (в среднем 670 образцов)
• Результат: точность повышается до 74%, приближаясь к производительности Joint базовой линии

Проверка на кросс-наборах данных

Результаты на наборе данных AZ-Class:

• Производительность выше, чем на наборе данных EMBER
• Более узкий диапазон точности, указывающий на большую стабильность
• Причина: набор данных EMBER имеет более серьёзный дисбаланс классов

Связанные работы

Классификация методов непрерывного обучения

1. Методы воспроизведения:
   • Точное воспроизведение: Experience Replay (ER), iCaRL
   • Генеративное воспроизведение: GR, BI-R, DDGR
2. Методы регуляризации:
   • Elastic Weight Consolidation (EWC)
   • Synaptic Intelligence (SI)

Непрерывное обучение при классификации вредоносного ПО

• Rahman и др. впервые исследовали непрерывное обучение при классификации вредоносного ПО
• Chen и др. объединили контрастивное обучение и активное обучение
• Существующие методы в основном сосредоточены на концептуальном дрейфе, а не на катастрофическом забывании

Заключение и обсуждение

Основные выводы

1. MalCL эффективно смягчает катастрофическое забывание при классификации вредоносного ПО
2. Потеря согласования признаков значительно повышает качество синтетических образцов
3. Стратегии выбора образцов на основе скрытых слоёв классификатора показывают значительный эффект
4. Стратегическое построение набора задач критично для повышения производительности

Ограничения

1. Значительный разрыв с базовой линией Joint: лучший результат MalCL 54.5% против Joint 88.7%
2. Неэффективность глобальных стратегий выбора: стратегия L1-расстояния до среднего партии приводит к недостаточному охвату классов
3. Чувствительность к дисбалансу данных: дисбаланс в наборе данных EMBER влияет на производительность

Направления будущих исследований

1. Улучшение качества генерации синтетического вредоносного ПО
2. Разработка более продвинутых генеративных моделей
3. Исследование гибридных методов обучения, объединяющих генеративное воспроизведение и совместное обучение
4. Расширение на другие типы вредоносного ПО
5. Интеграция более сложных признаков, отражающих динамическую природу угроз вредоносного ПО

Глубокая оценка

Преимущества

1. Высокая специфичность проблемы: специально решает проблему катастрофического забывания в области вредоносного ПО
2. Инновационность метода: объединение потери согласования признаков и разнообразных стратегий выбора образцов
3. Комплексные эксперименты: проверка на кросс-платформах (Windows/Android) с множеством методов сравнения
4. Высокая практическая ценность: решает важную проблему в реальной защите безопасности
5. Достаточные технические детали: полное описание архитектуры и деталей реализации

Недостатки

1. Большое пространство для улучшения производительности: разрыв в 33% с идеальной верхней границей
2. Отсутствие анализа вычислительных затрат: недостаточно подробный анализ затрат на обучение GAN и генерацию
3. Робастность к состязательным образцам: не рассмотрена робастность синтетических образцов к состязательным атакам
4. Зависимость от инженерии признаков: зависит от предопределённых признаков, что может ограничить обобщаемость
5. Оценка долгосрочной производительности: отсутствует оценка производительности на более длительных временных последовательностях

Влияние

1. Академический вклад: первое систематическое применение генеративного воспроизведения на основе GAN к классификации вредоносного ПО
2. Практическая ценность: предоставляет практическое решение непрерывного обучения для антивирусных компаний
3. Универсальность метода: технологическая база может быть расширена на другие области обнаружения безопасности
4. Обязательство по открытому исходному коду: обещание опубликовать код способствует воспроизведению исследований и развитию

Применимые сценарии

1. Корпоративная защита безопасности: системы обнаружения вредоносного ПО, требующие постоянного обновления
2. Среды с ограниченными ресурсами: сценарии, где невозможно хранить большие объёмы исторических данных
3. Приложения, чувствительные к конфиденциальности: среды, где нельзя сохранять исходные образцы вредоносного ПО
4. Системы обнаружения в реальном времени: системы обнаружения в режиме онлайн, требующие быстрой адаптации к новым угрозам

Библиография

В статье цитируются важные работы в областях непрерывного обучения, обнаружения вредоносного ПО и генеративно-состязательных сетей, включая:

• Shin et al. (2017): Continual learning with deep generative replay
• Rahman, Coull, and Wright (2022): Первое исследование непрерывного обучения при классификации вредоносного ПО
• Anderson and Roth (2018): Набор данных EMBER
• Arp et al. (2014): Метод извлечения признаков Drebin

Общая оценка: В данной работе предложено инновационное решение проблемы катастрофического забывания при классификации вредоносного ПО. Исследование достаточно полно в плане технических методов и экспериментальной проверки. Хотя есть пространство для улучшения производительности, работа вносит значительный вклад в исследования и практическое применение в этой области.