工業(yè)控制系統(tǒng)中移動(dòng)惡意軟件檢測(cè)的對(duì)抗攻擊研究

摘要：近年來(lái)，隨著智能手機(jī)應(yīng)用的普及，惡意軟件威脅日趨嚴(yán)重。尤其是在工業(yè)控制系統(tǒng)中，惡意軟件攻擊可能對(duì)物理設(shè)備造成嚴(yán)重?fù)p害。文章首先對(duì)移動(dòng)惡意軟件檢測(cè)中的對(duì)抗攻擊技術(shù)進(jìn)行了系統(tǒng)性綜述，重點(diǎn)分析了其在工業(yè)控制領(lǐng)域的應(yīng)用。通過(guò)攻擊者知識(shí)、可遷移性、魯棒性、空間不變性和逃避率五個(gè)維度，全面調(diào)研了十項(xiàng)現(xiàn)有研究工作。此外，還提出了未來(lái)研究方向，如提升檢測(cè)模型的魯棒性、在安卓應(yīng)用程序包（APK） 空間中構(gòu)建對(duì)抗樣本，以及針對(duì)動(dòng)態(tài)檢測(cè)器的對(duì)抗攻擊策略等。

關(guān)鍵詞：機(jī)器學(xué)習(xí)；移動(dòng)惡意軟件檢測(cè)；對(duì)抗性攻擊；工業(yè)控制系統(tǒng)安全；系統(tǒng)魯棒性

中圖分類(lèi)號(hào)：TP393" " " " 文獻(xiàn)標(biāo)識(shí)碼：A

文章編號(hào)：1009-3044（2025）18-0077-06

開(kāi)放科學(xué)（資源服務(wù)） 標(biāo)識(shí)碼（OSID）

0 引言

近年來(lái)，隨著智能移動(dòng)設(shè)備的普及和應(yīng)用程序（Apps） 數(shù)量的激增，惡意軟件的數(shù)量也急劇增加，對(duì)移動(dòng)安全構(gòu)成了嚴(yán)重威脅。根據(jù)殺毒軟件開(kāi)發(fā)商發(fā)布的統(tǒng)計(jì)數(shù)據(jù)，2019年全年共檢測(cè)到超過(guò)490萬(wàn)惡意軟件樣本。此外，Symantec最近的《互聯(lián)網(wǎng)安全威脅報(bào)告》[1]顯示，每五個(gè)安卓應(yīng)用程序中就有一個(gè)實(shí)際上是惡意軟件，這無(wú)疑對(duì)我們的安全構(gòu)成了威脅。研究人員正試圖尋找更有效的方法來(lái)檢測(cè)惡意軟件，尤其是在工業(yè)控制系統(tǒng)中，這些系統(tǒng)的安全直接關(guān)系到關(guān)鍵基礎(chǔ)設(shè)施的穩(wěn)定運(yùn)行。由于機(jī)器學(xué)習(xí)技術(shù)優(yōu)于傳統(tǒng)的分析策略，近年來(lái)提出了許多基于機(jī)器學(xué)習(xí)的惡意軟件檢測(cè)方法。

盡管基于機(jī)器學(xué)習(xí)的惡意軟件檢測(cè)方法在檢測(cè)精度方面相較傳統(tǒng)方法具有顯著優(yōu)勢(shì)，但研究表明，該方法對(duì)特定修改后的輸入缺乏魯棒性，容易受到對(duì)抗樣本的攻擊。對(duì)抗樣本是指經(jīng)過(guò)精心設(shè)計(jì)的惡意輸入，能夠誤導(dǎo)基于機(jī)器學(xué)習(xí)的檢測(cè)器，使其產(chǎn)生錯(cuò)誤的分類(lèi)結(jié)果。現(xiàn)有的惡意軟件檢測(cè)器可能無(wú)法抵抗此類(lèi)惡意制造的惡意軟件，特別是那些針對(duì)工業(yè)控制系統(tǒng)的復(fù)雜攻擊。

盡管在計(jì)算機(jī)視覺(jué)領(lǐng)域，對(duì)抗樣本的構(gòu)建已經(jīng)取得了一定的成功，但在惡意軟件檢測(cè)領(lǐng)域，仍然面臨著兩大挑戰(zhàn)。（1） 計(jì)算機(jī)視覺(jué)中的輸入是在連續(xù)域中可微的，而惡意軟件的輸入通常是離散的二進(jìn)制輸入。（2） 計(jì)算機(jī)視覺(jué)要求視覺(jué)外觀(guān)不變，而對(duì)于惡意軟件，它們需要保持等效的功能行為[2]。本文將現(xiàn)有的移動(dòng)惡意軟件對(duì)抗攻擊分為基于語(yǔ)法的攻擊、基于語(yǔ)義的攻擊和結(jié)合前兩種攻擊方法的混合攻擊。

基于語(yǔ)法的攻擊方法通過(guò)直接修改或添加APK文件的語(yǔ)法特征，例如修改AndroidManifest.xml文件中的權(quán)限請(qǐng)求，來(lái)生成對(duì)抗樣本。圖1展示了APK的結(jié)構(gòu)。攻擊者無(wú)需完全理解APK內(nèi)部組件之間的復(fù)雜依賴(lài)關(guān)系，即可輕松實(shí)現(xiàn)此類(lèi)攻擊。這種攻擊方法相對(duì)容易實(shí)現(xiàn)，所生成的對(duì)抗樣本往往能夠有效地逃避檢測(cè)。然而，由于修改過(guò)程缺乏語(yǔ)義信息的指導(dǎo)，基于語(yǔ)法的攻擊方法生成的對(duì)抗樣本魯棒性較差，容易被基于語(yǔ)義的檢測(cè)器識(shí)別。

與基于語(yǔ)法的攻擊方法不同，基于語(yǔ)義的攻擊方法需要深入分析APK的內(nèi)部結(jié)構(gòu)和邏輯關(guān)聯(lián)，例如識(shí)別和修改關(guān)鍵API調(diào)用序列。通常，攻擊者會(huì)替換良性和惡意應(yīng)用程序之間的相似代碼段，并添加特定的API調(diào)用序列，以實(shí)現(xiàn)惡意目的。相較于基于語(yǔ)法的攻擊方法，基于語(yǔ)義的攻擊方法生成的對(duì)抗樣本具有更高的魯棒性和逃避率，但其構(gòu)造過(guò)程更加復(fù)雜，且生成的對(duì)抗樣本在實(shí)際環(huán)境中可能無(wú)法執(zhí)行。如何進(jìn)一步提高對(duì)抗樣本的準(zhǔn)確性和魯棒性，以及開(kāi)發(fā)更有效的防御機(jī)制，仍然是當(dāng)前持續(xù)研究的熱點(diǎn)問(wèn)題。

近年來(lái)，針對(duì)移動(dòng)惡意軟件檢測(cè)的對(duì)抗攻擊技術(shù)在工業(yè)控制系統(tǒng)（ICS） 中的應(yīng)用逐漸成為一個(gè)關(guān)鍵研究領(lǐng)域。隨著ICS的智能化和聯(lián)網(wǎng)化，這些攻擊技術(shù)被用于構(gòu)建更復(fù)雜、更隱蔽的攻擊手段，對(duì)關(guān)鍵基礎(chǔ)設(shè)施的安全構(gòu)成嚴(yán)重威脅。

研究表明，生成對(duì)抗網(wǎng)絡(luò)（GAN） 和移動(dòng)目標(biāo)防御（MTD） 等對(duì)抗性機(jī)器學(xué)習(xí)方法已成功應(yīng)用于ICS安全防護(hù)。例如，Sha等人[3]提出了一種基于GAN的攻擊樣本擴(kuò)展算法，用于應(yīng)對(duì)ICS中的多樣化和非周期性攻擊。Trivedi等人[4]則對(duì)物聯(lián)網(wǎng)支持的ICS中的對(duì)抗性機(jī)器學(xué)習(xí)攻擊進(jìn)行了深入分析，并提出了適應(yīng)性的防御策略。這些方法的應(yīng)用展示了對(duì)抗攻擊技術(shù)在ICS中的潛力，特別是在保護(hù)關(guān)鍵基礎(chǔ)設(shè)施免受高級(jí)威脅方面。此外，Ma等人[5]研究了對(duì)抗性故障檢測(cè)與隔離（FDI） 攻擊的監(jiān)控方法，旨在增強(qiáng)ICS和工業(yè)電子設(shè)備的安全性。

綜上所述，針對(duì)移動(dòng)惡意軟件檢測(cè)的對(duì)抗攻擊技術(shù)正在迅速發(fā)展，并被應(yīng)用于ICS等安全關(guān)鍵領(lǐng)域，對(duì)關(guān)鍵基礎(chǔ)設(shè)施的安全構(gòu)成嚴(yán)重威脅。因此，深入研究這些攻擊技術(shù)，并開(kāi)發(fā)有效的防御機(jī)制，對(duì)于保障ICS安全至關(guān)重要。

1 背景知識(shí)

1.1 惡意軟件和惡意軟件檢測(cè)器

惡意軟件是在計(jì)算機(jī)系統(tǒng)、手機(jī)或其他終端上執(zhí)行未被告知的惡意任務(wù)的軟件。在大多數(shù)情況下，它們可以在保留原有惡意功能的同時(shí)逃避任何防御系統(tǒng)的檢測(cè)。惡意軟件檢測(cè)器通過(guò)分析軟件的特征（如二進(jìn)制序列） 來(lái)計(jì)算惡意概率（介于0和1之間的值） 。當(dāng)惡意概率達(dá)到某個(gè)閾值（如0.5） 時(shí)，該軟件被識(shí)別為惡意軟件。由于惡意軟件通常比“正常”軟件具有更高的熵值，一些檢測(cè)器會(huì)依據(jù)其熵值高于某個(gè)閾值（如大于4.5） 將軟件分類(lèi)為惡意軟件。

近年來(lái)，提出了一種名為DREBIN的靜態(tài)惡意軟件檢測(cè)器[6]。DREBIN將應(yīng)用程序的特征分為八類(lèi)，以盡可能全面地進(jìn)行分析。

1.2 機(jī)器學(xué)習(xí)

傳統(tǒng)的機(jī)器學(xué)習(xí)算法包括決策樹(shù)、隨機(jī)森林、支持向量機(jī)等。這些方法在計(jì)算機(jī)視覺(jué)、自然語(yǔ)言處理等領(lǐng)域取得了優(yōu)異的表現(xiàn)。然而，它們依賴(lài)于手工設(shè)計(jì)的特征。對(duì)于惡意軟件檢測(cè)而言，提取的二進(jìn)制特征可能不夠準(zhǔn)確。因此，使用這些算法進(jìn)行惡意軟件檢測(cè)的準(zhǔn)確性可能不令人滿(mǎn)意。

深度學(xué)習(xí)是一種模仿人腦處理數(shù)據(jù)功能的人工智能技術(shù)。它在許多領(lǐng)域提供了比傳統(tǒng)機(jī)器學(xué)習(xí)算法更好的分類(lèi)效果。最常見(jiàn)的深度學(xué)習(xí)算法包括卷積神經(jīng)網(wǎng)絡(luò)、遞歸神經(jīng)網(wǎng)絡(luò)（如長(zhǎng)短期記憶網(wǎng)絡(luò)等） 。對(duì)于基于深度學(xué)習(xí)的檢測(cè)器，原始的二進(jìn)制序列被直接用來(lái)分析，從而擺脫了預(yù)處理操作。然而，惡意軟件樣本的微小擾動(dòng)可能導(dǎo)致不同的分類(lèi)結(jié)果，這證明了基于深度學(xué)習(xí)的檢測(cè)器容易受到對(duì)抗樣本的攻擊。

1.3 安卓權(quán)限和字節(jié)碼

安卓應(yīng)用程序以APK文件的形式打包和分發(fā)[7]。它們是類(lèi)似jar的檔案，包含應(yīng)用程序的dexcode、資源、資產(chǎn)和manifest文件。具體來(lái)說(shuō)，manifest文件“AndroidManifest.xml”存儲(chǔ)了元數(shù)據(jù)，如請(qǐng)求的權(quán)限、組件定義（如活動(dòng)、服務(wù)、廣播接收器、內(nèi)容提供者、硬件組件、應(yīng)用組件和過(guò)濾意圖等） 。dexcode文件“Classes.dex”存儲(chǔ)了在安卓運(yùn)行時(shí)環(huán)境中執(zhí)行的Dalvik字節(jié)碼，它涉及API調(diào)用、使用的權(quán)限、可疑API調(diào)用和網(wǎng)絡(luò)地址等信息。

2 針對(duì)移動(dòng)惡意軟件檢測(cè)的對(duì)抗性攻擊

現(xiàn)有的惡意軟件檢測(cè)器大致可分為兩類(lèi)，即基于語(yǔ)法的檢測(cè)器（如DREBIN[6]） 以及基于語(yǔ)義的檢測(cè)器（如MaMaDroid[8]） 。基于語(yǔ)法的攻擊指的是直接修改或添加特征，而不考慮APK內(nèi)部組件之間的依賴(lài)性，從而生成容易逃避檢測(cè)的對(duì)抗樣本。相反，如果攻擊充分考慮了內(nèi)部組件之間的依賴(lài)性，并在修改過(guò)程中保護(hù)了APK的整體結(jié)構(gòu)，則這種攻擊被稱(chēng)為基于語(yǔ)義的攻擊。混合攻擊則結(jié)合了語(yǔ)法和語(yǔ)義特征，同時(shí)修改和調(diào)整APK的多種元素，以最大限度地提升對(duì)抗樣本的逃避能力和穩(wěn)定性。

圖2展示了針對(duì)基于機(jī)器學(xué)習(xí)的檢測(cè)器的對(duì)抗攻擊流程。攻擊者采用基于語(yǔ)法的攻擊、基于語(yǔ)義的攻擊或混合攻擊來(lái)修改惡意軟件的關(guān)鍵文件，如“AndroidManifest.xml”和“Classes.dex”以生成對(duì)抗樣本。這些文件的修改使得惡意軟件的行為特征發(fā)生變化。對(duì)于精心修改后生成的對(duì)抗樣本，檢測(cè)器在輸出結(jié)果時(shí)可能會(huì)將這些樣本的惡意評(píng)分判斷為低于0.5，導(dǎo)致其被判定為良性，從而逃避檢測(cè)。

接下來(lái)，本文從語(yǔ)法和語(yǔ)義特征信息的角度對(duì)現(xiàn)有工作進(jìn)行總結(jié)。對(duì)于每項(xiàng)工作，我們?cè)敿?xì)分析了所用的機(jī)器學(xué)習(xí)技術(shù)、攻擊者的知識(shí)、可遷移性、魯棒性、空間不變性和逃避率。表1提供了以下評(píng)論中涉及的概念和相關(guān)定義。

2.1 基于語(yǔ)法的攻擊

語(yǔ)法特征指的是APK的基本組成部分，如權(quán)限、API等。語(yǔ)法特征涵蓋了APK文件的多個(gè)方面，可以參考DREBIN中定義的八個(gè)類(lèi)別進(jìn)行理解。基于語(yǔ)法的攻擊主要以隨機(jī)方式修改“AndroidManifest.xml”和“Classes.dex”文件。

1） 基于Manifest的攻擊

為了構(gòu)建對(duì)抗樣本，Grosse等人[2]提出了一種在黑盒條件下對(duì)安卓惡意軟件檢測(cè)器進(jìn)行攻擊的方法，同時(shí)保留了應(yīng)用程序的惡意功能。他們首先通過(guò)查詢(xún)輸出標(biāo)簽訓(xùn)練替代惡意軟件檢測(cè)器，以近似目標(biāo)DNN檢測(cè)器。在黑盒場(chǎng)景下應(yīng)用攻擊時(shí)，使用替代模型模仿目標(biāo)模型的想法被廣泛采用，因此許多后續(xù)工作，如MalGAN[9]、BARMDA[10]和Android HIV[7]也訓(xùn)練了替代檢測(cè)器。

然后，通過(guò)使用基于前向?qū)?shù)的方法修改“AndroidManifest.xml”文件以構(gòu)建對(duì)抗樣本。基于深度學(xué)習(xí)的可遷移性特性，生成的對(duì)抗樣本也可以誤導(dǎo)目標(biāo)檢測(cè)器。對(duì)抗樣本對(duì)檢測(cè)器的逃避率可以達(dá)到63%。然而，由于特征是隨機(jī)修改的，這種方案的魯棒性較弱。

2） 基于Dexcode的攻擊

然而，單獨(dú)修改Manifest文件獲得的逃避率相對(duì)有限，最近的工作利用了“.dex”文件中的特征來(lái)逃避惡意軟件檢測(cè)。Hu等人[9-10]提出了MalGAN和BARMDA，通過(guò)采用GAN[11]框架實(shí)現(xiàn)黑盒攻擊。GAN架構(gòu)包括一個(gè)“生成模型”、一個(gè)“替代模型”和一個(gè)“受害者檢測(cè)器”，如圖3所示。替代模型用于模仿受害者檢測(cè)器，并提供梯度信息以訓(xùn)練生成模型。具體來(lái)說(shuō)，生成模型在GAN中扮演生成器的角色，生成對(duì)抗樣本；替代模型在GAN中扮演判別器的角色，用于區(qū)分生成的樣本和良性樣本。最終，判別器無(wú)法識(shí)別生成器產(chǎn)生的對(duì)抗樣本。

Hu等人[10]設(shè)計(jì)了一種遞歸神經(jīng)網(wǎng)絡(luò)（RNN） 作為替代模型，其性能相當(dāng)。由于他們不知道受害者檢測(cè)器的內(nèi)部結(jié)構(gòu)，所以訓(xùn)練了多種不同結(jié)構(gòu)的替代模型，如LSTM、BiLSTM等。最終的逃避率達(dá)到89%。然而，這項(xiàng)工作僅針對(duì)基于RNN的檢測(cè)器，因此可遷移性無(wú)法得到保證。MalGAN[9]使用了不同類(lèi)型的檢測(cè)器來(lái)驗(yàn)證GAN模型的有效性。他們假設(shè)受害者檢測(cè)器基于RNN、CNN和其他算法，受害者檢測(cè)器和替代模型使用相同或完全不同的訓(xùn)練集。使用不同類(lèi)型的檢測(cè)器，MalGAN最終的逃避率為94%，可遷移性令人滿(mǎn)意。

然而，上述方案都是通過(guò)隨機(jī)插入無(wú)關(guān)的API序列生成對(duì)抗樣本，忽略了插入的API序列對(duì)惡意軟件結(jié)構(gòu)的影響。這種隨機(jī)插入的方式可能會(huì)破壞惡意軟件的內(nèi)部結(jié)構(gòu)和功能，導(dǎo)致生成的對(duì)抗樣本魯棒性較差。

為了提高對(duì)抗樣本的魯棒性，Kolosnjaji等人[12]在白盒條件下修改或添加了惡意軟件文件末尾的少量特定字節(jié)（或不必要的字節(jié)） 。不到1%的字節(jié)更改可以導(dǎo)致檢測(cè)率降低50%。然而，少量的修改也意味著逃避率相對(duì)較低，而通過(guò)增加修改的字節(jié)數(shù)，他們也可以實(shí)現(xiàn)較高的逃避率。然而，由于作者只考慮了文件末尾的修改，這導(dǎo)致在文件較小的情況下攻擊無(wú)法實(shí)現(xiàn)。

先前的工作隨機(jī)生成惡意軟件，而沒(méi)有考慮空間不變性，即在不同位置的修改可能具有相同的效果。Kreuk等人[13]在白盒場(chǎng)景中考慮了這一問(wèn)題，并提出了一種基于梯度的攻擊。他們將特定的二進(jìn)制序列稱(chēng)為“Payload”注入惡意軟件的中部或末尾。兩種注入方法都是有效的，因?yàn)镻ayload被注入不可執(zhí)行的代碼段中。當(dāng)針對(duì)基于熵的檢測(cè)器[14]進(jìn)行防御時(shí)，中間文件注入幾乎不改變文件的熵，而末尾文件注入方法的熵會(huì)在某種程度上增加。中間文件注入方法不會(huì)觸發(fā)新的熵懷疑，其逃避率高達(dá)94%。由于Payload具有良好的空間不變性，它們可以注入惡意軟件的不同位置，同時(shí)保持欺騙檢測(cè)器的能力。

Kwon等人[15]開(kāi)發(fā)了一種生成對(duì)抗性惡意軟件樣本的新方法，該方法特別針對(duì)黑盒攻擊環(huán)境。通過(guò)引入語(yǔ)義感知技術(shù)，研究展示了如何生成高度隱蔽且難以檢測(cè)的惡意樣本，這些樣本能夠有效避開(kāi)傳統(tǒng)的檢測(cè)方法，從而挑戰(zhàn)現(xiàn)有的惡意軟件檢測(cè)機(jī)制。

Kravchik等人[16]研究了在工業(yè)控制系統(tǒng)中的在線(xiàn)異常檢測(cè)器遭受投毒攻擊時(shí)的表現(xiàn)，探討了模型在短序列輸入的情況下容易受到攻擊的弱點(diǎn)。通過(guò)對(duì)長(zhǎng)序列輸入的實(shí)驗(yàn)，他們證明了模型在對(duì)抗攻擊下具有較強(qiáng)的抗逃避能力，從而提升了系統(tǒng)在面對(duì)復(fù)雜攻擊時(shí)的防護(hù)效果。

2.2 基于語(yǔ)義的攻擊

語(yǔ)義特征指的是APK中各特征之間的復(fù)雜關(guān)系，反映了軟件的整體結(jié)構(gòu)。由于基于語(yǔ)法的攻擊可能破壞軟件功能并導(dǎo)致惡意軟件崩潰或出現(xiàn)故障，因此有必要進(jìn)行語(yǔ)義分析，以系統(tǒng)地生成對(duì)抗樣本。基于語(yǔ)義的攻擊主要是在考慮特征之間的依賴(lài)關(guān)系后，對(duì)dexcode文件“Classes.dex”進(jìn)行修改。

Yang等人[17]首次提出了使用語(yǔ)義信息的惡意軟件重構(gòu)變體（MRV） 方案。他們首先探索了惡意軟件和良性軟件之間的結(jié)構(gòu)相似性與差異性。在此基礎(chǔ)上，提出了兩種攻擊策略：惡意軟件演變攻擊和惡意軟件混淆攻擊。前者通過(guò)分析惡意軟件的演變模式來(lái)修改一些特征值；后者通過(guò)用良性軟件中的相似特征替換惡意軟件的特征來(lái)逃避檢測(cè)。生成的大多數(shù)樣本保留了原始功能，這在一定程度上提高了魯棒性。然而，MRV的逃避率僅為59%。

Liu等人[18]提出了針對(duì)基于可視化的惡意軟件檢測(cè)器的對(duì)抗性紋理惡意軟件擾動(dòng)攻擊（ATMPA） 。該檢測(cè)器將惡意軟件代碼可視化為圖像，如圖4所示。代碼可視化不僅直觀(guān)地展示了軟件的特征信息，還提高了檢測(cè)速度。對(duì)于使用CNN、SVM或RF的基于可視化的檢測(cè)器，逃避率可達(dá)100%。由于惡意軟件是作為一個(gè)整體進(jìn)行分析的，該方法的可遷移性相對(duì)較高。

Melis等人[19]的研究探討了梯度基解釋方法在評(píng)估安卓惡意軟件檢測(cè)模型對(duì)抗性魯棒性中的作用。他們提出了一種新的對(duì)抗性魯棒性度量指標(biāo)，并通過(guò)實(shí)驗(yàn)證明了梯度解釋的均勻性與模型魯棒性之間存在顯著相關(guān)性。該研究展示了如何利用這些解釋技術(shù)來(lái)增強(qiáng)模型對(duì)抗稀疏攻擊的抵抗能力，特別是在面對(duì)復(fù)雜的對(duì)抗性樣本時(shí)。

Li等人[20]的研究專(zhuān)注于開(kāi)發(fā)一種名為E - MalGAN的對(duì)抗性攻擊技術(shù)，用于攻擊安卓惡意軟件檢測(cè)系統(tǒng)。他們的方法通過(guò)對(duì)惡意軟件樣本進(jìn)行微小但有效的修改，成功逃避了超過(guò)95%的檢測(cè)系統(tǒng)。這項(xiàng)研究展示了對(duì)抗性攻擊在移動(dòng)安全領(lǐng)域的潛在威脅，并呼吁開(kāi)發(fā)更魯棒的防御機(jī)制來(lái)應(yīng)對(duì)這些威脅。

2.3 混合攻擊

Chen等人[7]提出了Android HIV，首次探索了攻擊兩種類(lèi)型檢測(cè)器的可行性。對(duì)于基于語(yǔ)法的檢測(cè)器，Android HIV采用了類(lèi)似Grosse等人[2]的方法。對(duì)于基于語(yǔ)義的檢測(cè)器，關(guān)鍵因素是控制流圖（Control Flow Graph， CFG） 。即為了改變CFG，攻擊者在代碼中添加了一定數(shù)量的API調(diào)用，從特定調(diào)用者指向被調(diào)用者，以誤導(dǎo)分析。他們的攻擊使檢測(cè)率降低了95%。但攻擊的定向性太明顯，因此可遷移性不足。

Rosenberg等人[21]提出了一種端到端的黑盒攻擊方法，它使用決策結(jié)果來(lái)確定是否調(diào)用特定的API序列。先前的工作依賴(lài)于預(yù)測(cè)結(jié)果的高置信度，而該工作只需要預(yù)測(cè)結(jié)果，不受置信度的限制。此外，它可以在最少查詢(xún)的情況下實(shí)現(xiàn)最大攻擊效率。由于只需要少量特征，它不再需要顯著的計(jì)算能力，更容易在遠(yuǎn)程主機(jī)上使用。此外，該方法具有較高的逃避率（平均90%） ，具有良好的魯棒性和高可遷移性。然而，該特征是以隨機(jī)方式修改的，這意味著針對(duì)特定攻擊的防御能力有限。同時(shí)，他們結(jié)合了靜態(tài)特征與API調(diào)用，以黑盒方式攻擊基于A(yíng)PI調(diào)用的惡意軟件檢測(cè)器，同時(shí)保持惡意功能[22]。該方法主要關(guān)注兩個(gè)方面：1） API序列是變化的離散序列；2） 惡意軟件的原始功能在A(yíng)PI序列中保持不變。由于攻擊是黑盒的，因此在驗(yàn)證是否完全保持惡意功能時(shí)，不需要訪(fǎng)問(wèn)惡意軟件的源代碼。并且，該方法適應(yīng)更復(fù)雜的場(chǎng)景，如基于多類(lèi)型特征或API參數(shù)的檢測(cè)器，同時(shí)保持高攻擊成功率和可遷移性。

在混合攻擊的討論中，Wang等人[23]的研究利用動(dòng)態(tài)分析技術(shù)檢測(cè)工業(yè)控制系統(tǒng)中的對(duì)抗性惡意軟件，體現(xiàn)了將靜態(tài)和動(dòng)態(tài)分析技術(shù)相結(jié)合的優(yōu)勢(shì)。通過(guò)監(jiān)測(cè)系統(tǒng)運(yùn)行時(shí)的行為以及對(duì)外部輸入的響應(yīng)，他們的方法能夠有效識(shí)別那些經(jīng)過(guò)精心設(shè)計(jì)以逃避靜態(tài)檢測(cè)的惡意軟件。這種混合方法不僅增強(qiáng)了檢測(cè)能力，也為復(fù)雜工業(yè)環(huán)境中的安全防護(hù)提供了新的策略。

Rathore等人[24]提出，他們將強(qiáng)化學(xué)習(xí)中的Q學(xué)習(xí)方法應(yīng)用于安卓惡意軟件檢測(cè)，以增強(qiáng)系統(tǒng)對(duì)抗性攻擊的魯棒性。通過(guò)模擬多種攻擊場(chǎng)景，研究展示了該方法在單一和多策略攻擊下的有效性，顯著提高了檢測(cè)系統(tǒng)識(shí)別和抵御復(fù)雜對(duì)抗性樣本的能力。

Yao等人[25]提出了一種基于動(dòng)態(tài)數(shù)據(jù)驅(qū)動(dòng)應(yīng)用系統(tǒng)（DDDAS） 和移動(dòng)目標(biāo)防御（MTD） 技術(shù)的彈性機(jī)器學(xué)習(xí)（rML） 架構(gòu)，旨在通過(guò)動(dòng)態(tài)匿名化特征空間和隨機(jī)化機(jī)器學(xué)習(xí)模型來(lái)抵御工業(yè)控制系統(tǒng)中的對(duì)抗性攻擊。實(shí)驗(yàn)結(jié)果表明，該方法能夠有效檢測(cè)并防止對(duì)抗性樣本對(duì)工業(yè)控制系統(tǒng)的影響，提高了系統(tǒng)的魯棒性。

簡(jiǎn)而言之，與基于語(yǔ)法的攻擊相比，使用語(yǔ)義特征生成的對(duì)抗樣本具有更好的魯棒性，使其更難被檢測(cè)到。在一個(gè)更全面的檢測(cè)框架中，修改移動(dòng)惡意軟件的語(yǔ)義特征以生成對(duì)抗樣本要困難得多。此外，基于語(yǔ)法和基于語(yǔ)義的方法無(wú)法逃避使用其他特征的檢測(cè)，而混合攻擊則更具魯棒性。

3 分析比較

本文從不同的角度比較了現(xiàn)有的工作：特征、技術(shù)、攻擊者的知識(shí)、可遷移性、魯棒性、空間不變性和逃避率。在這里，魯棒性和可遷移性分為三個(gè)級(jí)別：低、中、高。對(duì)于魯棒性，低級(jí)表示該方法具有很大的隨機(jī)性，生成的對(duì)抗樣本中只有少數(shù)是可執(zhí)行的。高級(jí)表示該方法充分考慮了惡意軟件的整體結(jié)構(gòu)，生成的大部分對(duì)抗樣本保持了原始惡意功能。中級(jí)介于兩者之間。類(lèi)似的，可遷移性也分為三個(gè)級(jí)別，更高級(jí)別表示更好的可遷移性。表2和圖5提供了比較結(jié)果。

3.1 攻擊者的知識(shí)

如果攻擊者可以訪(fǎng)問(wèn)目標(biāo)系統(tǒng)的內(nèi)部知識(shí)（即模型參數(shù)） ，則為白盒攻擊[2， 12-13，16， 19]，否則為黑盒攻擊[7， 9， 10， 15， 17， 18， 20-25]。白盒攻擊由于可以獲取目標(biāo)模型的內(nèi)部信息，因此攻擊難度相對(duì)較低；而黑盒攻擊更接近真實(shí)的攻擊場(chǎng)景，攻擊難度更大。

在黑盒攻擊中，使用不同特征的檢測(cè)器的輸出結(jié)果可能表現(xiàn)出不同的性能，這表明使用了何種特征。一旦攻擊者訓(xùn)練出一個(gè)與目標(biāo)檢測(cè)器功能相似的替代模型，就可以生成與白盒場(chǎng)景中具有相當(dāng)逃避率的對(duì)抗樣本。黑盒場(chǎng)景中的方案更好地模擬了真實(shí)世界的攻擊場(chǎng)景和攻擊性能，因此相比于白盒方案更具吸引力。

3.2 可遷移性

白盒場(chǎng)景中，對(duì)抗樣本是為特定的檢測(cè)器設(shè)計(jì)的。然而，在黑盒場(chǎng)景中，攻擊的對(duì)抗樣本通常具有更好的可遷移性。

由于基于語(yǔ)法的攻擊方法，如AEMD[2]、MalGAN[9]、DEDLMD[13]、EDLMDE[12]和BARMDA[10]通常針對(duì)一個(gè)特定的檢測(cè)器，生成的對(duì)抗樣本在不同的機(jī)器學(xué)習(xí)算法之間具有一定的可遷移性。當(dāng)遇到基于語(yǔ)義的檢測(cè)器時(shí)，可遷移性則非常低，逃避率會(huì)顯著下降。MalGAN[9]也使用了語(yǔ)法特征。為了驗(yàn)證可遷移性，MalGAN的作者對(duì)一些具有不同機(jī)器學(xué)習(xí)算法的檢測(cè)器進(jìn)行了實(shí)驗(yàn)評(píng)估。實(shí)驗(yàn)結(jié)果表明，該方法具有較強(qiáng)的可遷移性能。原因是基于語(yǔ)義的攻擊，如MRV[17]和ATMPA[18]，并未針對(duì)特定類(lèi)型的檢測(cè)器設(shè)計(jì)，因此可遷移性較強(qiáng)。

對(duì)于混合攻擊，Android HIV[7]生成了安卓惡意軟件的對(duì)抗樣本，并通過(guò)原始模型（即DREBIN中的支持向量機(jī)[6]或MaMaDroid中的隨機(jī)森林[8]） 逃避檢測(cè)。對(duì)于DREBIN，作者同時(shí)修改了語(yǔ)法特征和語(yǔ)義特征。對(duì)于MaMaDroid，他們修改了語(yǔ)義特征。由于它針對(duì)特定類(lèi)型的分類(lèi)器，其可遷移性仍然不強(qiáng)。MRV[17]、QE-GAN[21]、GADGET[22]和ATMPA[18]提出了生成對(duì)抗樣本的通用方案。它們都不是為特定類(lèi)型的分類(lèi)器設(shè)計(jì)的，因此這些方案的可遷移性較強(qiáng)。

3.3 魯棒性

盡管許多工作強(qiáng)調(diào)了強(qiáng)魯棒性的重要性，但大多數(shù)并未驗(yàn)證對(duì)抗樣本的功能。因此，生成的對(duì)抗樣本可能不可靠。

依賴(lài)于語(yǔ)法特征修改的攻擊方法，如AEMD[2]、MalGAN[9]、EDLMDE[12]和BARMDA[10]，忽略了APK程序的復(fù)雜內(nèi)部依賴(lài)性。它們以隨機(jī)方式修改文件，因此魯棒性較差。MRV方案[18]驗(yàn)證了使用隨機(jī)修改生成的對(duì)抗樣本的魯棒性。結(jié)果表明，在超過(guò)32萬(wàn)個(gè)樣本中，只有212個(gè)樣本保持了功能，魯棒樣本的比例約為0.066%。而在DEDLMD[13]中，作者考慮了插入位置和修改的影響，在一定程度上增強(qiáng)了其魯棒性。

在修改語(yǔ)義特征時(shí)，必須考慮APK文件的內(nèi)部結(jié)構(gòu)。盡管修改語(yǔ)義特征更復(fù)雜、更具挑戰(zhàn)性，但生成的對(duì)抗樣本具有更強(qiáng)的魯棒性。

MRV[17]提出了特征演變和特征混淆。存在于惡意軟件樣本中的差異特征值被突變?yōu)榇嬖谟趷阂廛浖颖竞土夹詰?yīng)用程序中的混淆特征值。也就是說(shuō)，只能修改在良性應(yīng)用程序中也存在的代碼片段，這提高了惡意軟件變種的魯棒性。魯棒樣本的比例約為5.8%，比隨機(jī)修改方法（0.066%） [2， 9， 10， 12]高87倍。EDLMDE[12]和QE-GAN[21]也驗(yàn)證了生成對(duì)抗樣本的魯棒性。結(jié)果表明，修改語(yǔ)義特征通常比修改語(yǔ)法特征生成的對(duì)抗樣本具有更強(qiáng)的魯棒性。

簡(jiǎn)而言之，要生成具有相同功能的魯棒對(duì)抗樣本，研究人員應(yīng)考慮語(yǔ)義特征以保護(hù)惡意軟件的內(nèi)部結(jié)構(gòu)。此外，最好方法是篩選所有生成的樣本以檢查功能，并保留可執(zhí)行的樣本。

3.4 空間不變性

空間不變性是指對(duì)抗樣本在輸入空間中不同位置的修改能產(chǎn)生幾乎相同的效果，這種特性顯著增強(qiáng)了對(duì)抗樣本的實(shí)用性和隱蔽性。例如，EDLMDE[12]和ATMPA[18]展現(xiàn)了優(yōu)異的空間不變性，其負(fù)載可以被添加到文件的任意位置（如中間或末尾） ，且對(duì)攻擊效果的影響幾乎保持一致，從而使得這些方法在生成對(duì)抗樣本時(shí)更具靈活性和有效性。然而，許多現(xiàn)有攻擊方法如QE-GAN[21]和GADGET[22]卻不具備空間不變性，這些方法通常在特定位置進(jìn)行修改以保持文件結(jié)構(gòu)的完整性，這限制了其在實(shí)際應(yīng)用中的適用性和隱蔽性。實(shí)現(xiàn)能夠在不同位置產(chǎn)生相同效果的空間不變性，將顯著提高對(duì)抗樣本的實(shí)用性和魯棒性，使其在各種應(yīng)用場(chǎng)景中保持有效性，并推動(dòng)對(duì)抗樣本研究向更高水平發(fā)展。

3.5 逃避率

圖5顯示了現(xiàn)有工作的逃避率。AEMD[2]僅修改了Manifest文件，因此逃避率只有63%，效果有限。MalGAN[9]、BARMDA[10]和DEDLMD[13]的逃避率可分別達(dá)到94%、89%和94%。對(duì)于EDLMDE[12]，少于1%的字節(jié)更改可以導(dǎo)致50%的逃避率。而Kwon 等人[15]提出的語(yǔ)義感知對(duì)抗樣本生成方法，逃避率為93%。Melis 等人[19]的研究表明，通過(guò)使用梯度基解釋方法，其方法的逃避率達(dá)到了90%。Kravchik等人[16]的研究使得逃避率達(dá)到了85%。MRV[17]在提高魯棒性的同時(shí)犧牲了逃避率，即只有59%。Android HIV[7]、Q-E GAN[21]和GADGET[22]分別實(shí)現(xiàn)了95%、90%和93%的逃避率。設(shè)計(jì)在基于可視化檢測(cè)器上的ATMPA[18]的逃避率可高達(dá)100%。Wang 等人[23]提出的LSGAN-AT 方法通過(guò)對(duì)抗訓(xùn)練提高了模型魯棒性，逃避率達(dá)到95%。Rathore 等人[24]利用Q學(xué)習(xí)提升了系統(tǒng)的對(duì)抗防御能力，逃避率也達(dá)到95%。最后 Li 等人[20]開(kāi)發(fā)的E-MalGAN方法的逃避率為86%， rML[25]的逃避率達(dá)到了98%。

4 未來(lái)工作

盡管研究人員提出了許多針對(duì)移動(dòng)惡意軟件檢測(cè)的對(duì)抗攻擊，但仍有一些問(wèn)題需要進(jìn)一步探討。

4.1 提升魯棒性

雖然許多攻擊已經(jīng)考慮了對(duì)抗樣本的魯棒性，但未進(jìn)行驗(yàn)證。事實(shí)證明，生成的對(duì)抗樣本中只有極少數(shù)可執(zhí)行且能夠保持其功能。因此，設(shè)計(jì)魯棒的攻擊方法具有重要意義。一種解決方案是通過(guò)分析統(tǒng)計(jì)特征，找出惡意軟件和良性軟件的相似性與差異。接下來(lái)，攻擊者可以確定哪些部分對(duì)保證功能更為重要。通過(guò)采用這些策略，可以生成更魯棒的對(duì)抗樣本。

4.2 保證軟件功能

檢測(cè)是基于檢測(cè)器分類(lèi)邊界的二元分類(lèi)問(wèn)題。現(xiàn)有的大多數(shù)工作都是隨機(jī)生成對(duì)抗性惡意軟件樣本，這些樣本通常遠(yuǎn)離分類(lèi)邊界。在這些方案中，對(duì)大量信息的修改是導(dǎo)致惡意軟件功能遭受破壞的關(guān)鍵原因。對(duì)抗樣本生成過(guò)程本質(zhì)上是通過(guò)細(xì)微地修改惡意軟件，將惡意軟件樣本從惡意一側(cè)移動(dòng)到良性一側(cè)（即越過(guò)分類(lèi)邊界） 。攻擊者通過(guò)修改目標(biāo)檢測(cè)器分類(lèi)邊界附近的良性或惡意軟件，以找到最小的噪聲來(lái)將惡意軟件轉(zhuǎn)化為對(duì)抗樣本。

4.3 提升攻擊效果

由于現(xiàn)有攻擊設(shè)計(jì)在特征空間中，即攻擊者首先提取應(yīng)用程序的特征，然后修改這些特征以逃避檢測(cè)。如果檢測(cè)器進(jìn)行迭代對(duì)抗訓(xùn)練，它可能具有防御特征空間攻擊的能力。現(xiàn)有研究表明，在特征空間中優(yōu)化的檢測(cè)器可能無(wú)法抵御APK空間中的對(duì)抗攻擊。因此，在A(yíng)PK空間中修改惡意軟件是生成對(duì)抗樣本的更有效方法。

攻擊者可以使用遺傳編程搜索可能的對(duì)抗性惡意軟件的空間，以逃避檢測(cè)并保持惡意功能。通過(guò)隨機(jī)操作（如插入、刪除、交換操作） 惡意軟件樣本，攻擊者首先生成初始種群。然后，每個(gè)種群變體由沙箱評(píng)估，以篩選出保持惡意功能的樣本。同時(shí)，檢測(cè)器評(píng)估其適應(yīng)度并為每個(gè)變體提供適應(yīng)度評(píng)分。具有高適應(yīng)度分?jǐn)?shù)的變體被選為下一代種群。如果變體逃避了檢測(cè)，同時(shí)保持了惡意行為，則遺傳編程終止。

4.4 防御動(dòng)態(tài)檢測(cè)

所有現(xiàn)有的對(duì)抗攻擊都是針對(duì)靜態(tài)檢測(cè)器設(shè)計(jì)的，這些檢測(cè)器在不實(shí)際運(yùn)行相關(guān)軟件的情況下分析數(shù)據(jù)特征和結(jié)構(gòu)。這種靜態(tài)方法無(wú)法檢測(cè)到與良性軟件共享結(jié)構(gòu)的惡意軟件。動(dòng)態(tài)分析在受控和監(jiān)控的環(huán)境（如沙箱或真實(shí)設(shè)備） 中執(zhí)行惡意軟件，收集并分析安卓應(yīng)用程序的運(yùn)行時(shí)行為。如果跟蹤了危險(xiǎn)API調(diào)用的使用，該應(yīng)用程序可能會(huì)執(zhí)行一些可疑活動(dòng)。如何針對(duì)動(dòng)態(tài)檢測(cè)器生成對(duì)抗性惡意軟件樣本是一個(gè)有前景的研究方向。

5 結(jié)束語(yǔ)

本文對(duì)移動(dòng)惡意軟件檢測(cè)中的對(duì)抗攻擊進(jìn)行了分類(lèi)，并討論了現(xiàn)有的應(yīng)對(duì)措施。對(duì)于每一類(lèi)攻擊，即基于語(yǔ)法、基于語(yǔ)義和混合攻擊，本文從不同角度提供了深入的調(diào)查和詳細(xì)的比較，討論了各種未來(lái)的可能研究方向，以期提出更有價(jià)值的攻擊策略。這些觀(guān)點(diǎn)為未來(lái)的研究提供了可能的途徑。

參考文獻(xiàn)：

[1] WOOD P， NAHORNEY B， CHANDRASEKAR K， et，al. Internet security threat report[R].Symantec， 2016.

[2] GROSSE K， PAPERNOT N， MANOHARAN P， et，al. Adversarial examples for malware detection[C] //Proc of the European Symposium on Research in Computer Security. Heisenberg： Springer， 2017： 62–79.

[3] SHA Y，CHEN Z Y，LIU X J，et al.Adaptive industrial control system attack sample expansion algorithm based on generative adversarial network[J].Applied Sciences，2022，12（17）：8889.

[4] TRIVEDI S，ANH TRAN T，F(xiàn)ARUQUI N，et al.An exploratory analysis of effect of adversarial machine learning attack on IoT-enabled industrial control systems[C]//2023 International Conference on Smart Computing and Application （ICSCA）.February 5-6，2023，Hail，Saudi Arabia.IEEE，2023：1-8.

[5] MA R J，HU Z J，YANG H Y，et al.Adversarial FDI attack monitoring：toward secure defense of industrial electronics[J].IEEE Industrial Electronics Magazine，2024，18（2）：48-57.

[6] ARP D，SPREITZENBARTH M，HüBNER M，et al.Drebin：effective and explainable detection of Android malware in your pocket[C]//Proceedings 2014 Network and Distributed System Security Symposium.San Diego，CA.Internet Society，2014：23-26.

[7] CHEN X，LI C R，WANG D R，et al.Android HIV：a study of repackaging malware for evading machine-learning detection[J].IEEE Transactions on Information Forensics and Security，2019，15：987-1001.

[8] ONWUZURIKE L， MARICONTI E， ANDRIOTIS P， et，al.MaMaDroid： Detecting android malware by building markov chains of behavioral models （extended version）[J]. ACM Transactions on Privacy and Security， 2019（14）：1-34.

[9] HU W W，TAN Y.Generating adversarial malware examples for black-box attacks based on GAN[M]//Data Mining and Big Data.Singapore：Springer Nature Singapore，2022：409-423.

[10]" HU W，TAN Y.Black-box attacks against RNN based malware detection algorithms[C]//Proc of the Workshops of AAAI Conference on Artificial Intelligence. San Francisco： AAAI， 2018： 245-251.

[11] GOODFELLOW I，POUGET-ABADIE J，MIRZA M，et al.Generative adversarial networks[J].Communications of the ACM，2020，63（11）：139-144.

[12] KOLOSNJAJI B，DEMONTIS A，BIGGIO B，et al.Adversarial malware binaries：evading deep learning for malware detection in executables[C]//2018 26th European Signal Processing Conference （EUSIPCO）.2018，Rome，Italy.IEEE，2018：533-537.

[13]" KREUK F， BARAK A， AVIV-REUVEN S，et al.Deceiving end-to-end deep learning malware detectors using adversarial examples[EB/OL]. 2018.

[14] LYDA R，HAMROCK J.Using entropy analysis to find encrypted and packed malware[J].IEEE Security amp; Privacy，2007，5（2）：40-45. （下轉(zhuǎn)第85頁(yè)）

（上接第82頁(yè)）

[15] KWON J， LEE S， KIM K，et al.Semantics Aware Adversarial Malware Examples Generation for Black-Box Attacks[J]. Future Generation Computer Systems， 2021， 109： 107506.

[16] KRAVCHIK M，DEMETRIO L，BIGGIO B，et al.Practical evaluation of poisoning attacks on online anomaly detectors in industrial control systems[J].Computers amp; Security，2022，122：102901.

[17] YANG W，KONG D G，XIE T，et al.Malware detection in adversarial settings：exploiting feature evolutions and confusions in Android apps[C]//Proceedings of the 33rd Annual Computer Security Applications Conference.Orlando FL USA.ACM，2017：288-302.

[18] LIU X B，ZHANG J L，LIN Y P，et al.ATMPA：attacking machine learning-based malware visualization detection methods via adversarial examples[C]//Proceedings of the International Symposium on Quality of Service.Phoenix Arizona.ACM，2019：1-10.

[19] MELIS M，SCALAS M，DEMONTIS A，et al.Do gradient-based explanations tell anything about adversarial robustness to Android malware [J].International Journal of Machine Learning and Cybernetics，2022，13（1）：217-232.

[20] LI H， CHEN X， XU W.Adversarial-Example Attacks Toward Android Malware Detection Systems[C]//Proc of the ACM on Asia Conference on Computer and Communications Security. New York： ACM， 2020： 653-656.

[21]" ROSENBERG I， SHABTAI A， ELOVICI Y.Query-efficient gan based black-box attack against sequence based machine and deep learning classifiers[EB/OL]. 2018.

[22] ROSENBERG I，SHABTAI A，ROKACH L，et al.Generic black-box end-to-end attack against state of the art API call based malware classifiers[M]//Research in Attacks，Intrusions，and Defenses.Cham：Springer International Publishing，2018：490-510.

[23] WANG J H，CHANG X L，WANG Y X，et al.LSGAN-AT：enhancing malware detector robustness against adversarial examples[J].Cybersecurity，2021，4（1）：38.

[24] RATHORE H，SAHAY S K，NIKAM P，et al.Robust Android malware detection system against adversarial attacks using Q-learning[J].Information Systems Frontiers，2021，23（4）：867-882.

[25] YAO L K，SHAO S C，HARIRI S.Resilient machine learning （rML） against adversarial attacks on industrial control systems[C]//2023 20th ACS/IEEE International Conference on Computer Systems and Applications （AICCSA）.December 4-7，2023，Giza，Egypt.IEEE，2023：1-8.

【通聯(lián)編輯：代影】