Android マルウェア検知器に対するSHAP値を用いた学習による回避攻撃

現在，未知のマルウェアを検知することができる利点から，機械学習型のマルウェア検知手法が数多く提案されている．一方で，機械学習に対する回避攻撃手法も提案され始めている．回避攻撃とは，あるクラスに分類される入力データに対して特徴量に変更を加えて，異なるクラスに分類されるようにする手法である．マルウェアに対して回避攻撃が行われた場合，マルウェアの検知が困難となる脅威が生じる．本稿では，代表的な攻撃手法である MalGAN に対して，SHAP 値を用いた学習を追加した MalGAN-SHAP を提案する．提案手法は，MalGAN に対して回避に有効な特徴量のみを生成するように学習を加えることで，変更される特徴量数を減少させることができる．Android マルウェア検知器に対して MalGAN と MalGAN-SHAP で回避攻撃の実験を行い，提案手法が MalGAN と同等以上の回避成功率を持ちながら，追加特徴量の数の削減を実現したことを確認できた．

Machine-learning-based malware detection methods have been proposed due to the advantage of detecting unknown malware. On the other hand, evasion attacks against machine learning have also been proposed. Evasion attack is a method that modifies the features of input data classified into one class so that the data is classified into a different class. Evasion attacks against malware cause a threat that makes malware detection difficult. In this paper, we propose MalGAN-SHAP, which adds a learning process using SHAP values to MalGAN, one of the evasion attack methods. The proposed method identifies effective features for evasion attacks using SHAP values for MalGAN and reduces the number of additional features by adding a learning process so that only effective features are generated. We conducted experiments of evasion attacks against Android malware detectors with MalGAN and MalGAN-SHAP and confirmed that the proposed method achieves the same or higher evasion success rate as MalGAN while reducing the number of additional features.