1、2023年11月第6 0 卷第6 期四川大学学报(自然科学版)Journal of Sichuan University(Natural Science Edition)Nov.2023Vol.60No.6基于SNGAN的黑盒恶意软件对抗样本生成方法张宇科,王俊峰(四川大学计算机学院,成都6 10 0 6 5)摘要:目前,为了应对数以百万计的Android恶意软件,基于机器学习的检测器被广泛应用,然而其普遍存在防对抗攻击能力差的问题,对恶意软件对抗样本生成方法的研究有助于促进恶意软件检测领域相关研究的发展.黑盒场景下的对抗样本生成技术更加符合现实环境,但相较于白盒场景效果不佳.针对这一问题,本
2、文提出了一种基于SNGAN的黑盒恶意软件对抗样本生成方法,将图像领域的SNGAN方法迁移到恶意软件领域,通过生成器网络和替代检测器网络的迭代训练生成对抗样本,并通过谱归一化来稳定训练过程.该方法能够对已有的恶意软件添加扰动,达到欺骗机器学习检测器的效果.实验结果证明,该方法对多种机器学习分类器均可以有效规避检测,验证了方法的可行性和可迁移性。关键词:Android;恶意软件;对抗攻击;SNGAN中图分类号:TP309.5Black box malware adversarial examples generation method based on SNGAN(College of Compu
3、ter Science,Sichuan University,Chengdu 610065,China)Abstract:Currently,machine learning-based detectors are widely used to handle millions of Androidmalware,but they often suffer from poor anti-adversarial attack abilities.The research on the adversari-al examples generation method of malware is hel
4、pful to promote the development of the field of malwaredetection.The adversarial examples generation technology in the black-box scenario is more in line withthe real environment,but the effect is not good compared with the white-box scenario.To solve thisproblem,this paper proposes a black box malw
5、are adversarial examples generation method based onSNGAN,migrating the SNGAN approach to the malware domain from the image domain,adversarialexamples are generated by the network of generator and replace detector iterative training,the trainingprocess is stabilized by spectral normalization.The prop
6、osed method can cheat the machine learning de-tectors by adding disturbance to the existing malware.Experimental results show that our method can a-void detection effectively from a variety of machine learning classifiers,and the feasibility and portabilityof the method are verified.Keywords:Android
7、;Malware;Adversarial attack;SNGAN文献标识码:AZHANG Yu-Ke,WANG Jun-FengDOI:10.19907/j.0490-6756.2023.062003收稿日期:2 0 2 2-10-2 1基金项目:基础加强计划重点项目(2 0 2 0-JCJQ-ZD-021)作者简介:张宇科(19 9 7-),四川成都人,硕士研究生,研究方向为网络空间安全。E-mail:2 6 3 8 2 2 56 0 2 q q.c o m通讯作者:王俊峰.E-mail:w a n g j f s c u.e d u.c n062003-1第6 0 卷1 引 言Andro
8、id系统具有开源性、硬件多样性和应用市场多样性三大显著的特点1,这些特点帮助其在市场竞争中占据了优势,2 0 2 1年中国手机操作系统行业研究报告2 的数据显示Android系统占据了8 8.9%的中国移动端市场.然而,Android系统的开源性、流行性和大量第三方应用市场反而使得它更容易成为恶意软件的攻击目标.目前Android系统虽然存在大量的第三方应用市场,但缺乏统一完善的相关监管机制,导致Android设备可能从未经安全检测验证的第三方应用市场下载应用.同时,目前Android系统本身的权限、资源、通信等方面的控制机制仍然不够完善,这些问题导致了An-droid恶意软件数不胜数.根据3
9、 6 0 公司发布的2021年度中国手机安全状况报告3,2 0 2 1年移动端共发现9 43 万个新增的恶意软件样本,与2 0 2 0年(454.6 万个)相比上涨了10 7.5%.目前,恶意软件检测方法主要分为基于签名的检测方法、基于行为的检测方法、基于启发式的检测方法和基于机器学习的检测方法4.基于签名的检测方法依赖于对目标软件提取的唯一签名,并将其存储起来与已收集的恶意软件签名进行对比,如果相互吻合则判定目标软件为恶意软件,这类方法可解释性强且开销较小,但在对未知恶意软件或已知恶意软件的不同变体的未知签名进行分类时准确率很低.基于行为的检测方法在对隔离环境中的目标软件进行监控并收集显示的
10、行为后,关注目标软件是否出现了特定的恶意或敏感行为,从而进行恶意或良性的分类,其能够提供目标软件的恶意行为作为结果的解释,同样具有可解释性强的特点,但由于其开销大,因此难以处理大量的软件样本。基于启发式的方法通过生成分析提取数据的通用规则,通过动态或静态分析给出这些规则,以支持所提出的检测恶意意图的模型,生成的规则可以使用YARA工具和其他工具自动生成,也可以根据分析人员的经验和知识手动生成.基于机器学习的检测方法从目标软件中提取特征,将目标软件转化为特征向量,然后构建分类器对特征向量进行检测和分类,相较于之前的三类方法,这类方法能够更有效地应对不同的恶意软件变种,所需的时间成本也相对较少,因
11、此常常被用来应对日渐增长且复杂多变的恶意软件攻击。虽然基于机器学习的恶意软件检测方法具有四川大学学报(自然科学版)许多优点,但普遍存在鲁棒性不强的问题,容易受到对抗样本的攻击.这种通过添加精心设计的微小扰动来逃避机器学习模型检测的攻击方式被称为对抗攻击,具有白盒、黑盒和灰盒三种攻击场景5。在白盒场景中,攻击者清楚目标系统中的一切细节,包括防御机制,对基于机器学习的恶意软件检测器的攻击大部分属于这一类别.在黑盒场景中,攻击者并不了解目标检测器的内部细节,但知道输出的预测标签,对杀毒软件的攻击基本都属于这一场景.灰盒场景介于前两者之间,攻击者了解目标检测器的学习算法、特征提取方法和数据集,但并不了
12、解具体的防御方法和学习参数.目前绝大部分的对抗样本生成研究都是针对白盒和灰盒场景.然而,在现实环境中,攻击者很难获取检测器模型的具体细节信息,往往只能得到检测器最后给软件打上的良性或恶意标签,因此黑盒攻击更加契合现实场景.目前在恶意软件领域白盒攻击的方法更多,且大部分都是基于梯度的方法.文献6 将原本用于图像领域的基于雅各比显著性图的攻击(JSMA)迁移至恶意软件领域,并将其输入的特征向量由连续型特征更改为离散型特征.文献7 对恶意样本基于梯度进行了多轮迭代,每轮对目标恶意样本增加梯度分量最高的一个特征.文献8 提出了一种白盒攻击方法,这种方法不会损坏目标软件原本的代码,通过在文件的末尾添加了
13、少量字节来规避检测.在黑盒场景下,也存在一些研究对恶意软件检测模型进行对抗攻击.文献9 定义并实现了一系列攻击方法来评估Drebin检测器的安全性,证明了基于机器学习的检测器易受到对抗攻击.文献10针对基于RNN模型的检测器进行对抗攻击,训练了一个替代的RNN模型来对目标RNN模型进行近似模拟,从而对恶意样本添加扰动生成对抗样本.文献11提出了MalGAN,通过生成对抗网络(Generative Adversarial Networks,GAN)模型对恶意软件添加扰动,从而生成对抗样本,其使用一个生成器来向恶意软件中添加随机噪声扰动,使用一个替代鉴别器来模拟目标黑盒检测器.Chen等人12 将
14、图像领域的对抗攻击方法JSMA和C&W算法使用到恶意软件领域并相应的进行了一些修改,针对两种机器学习检测器Drebin和Mamadroid生成Android恶意软件对抗样本.Renjith 等人13 提出了一种基于 GAN的 Android062003-2第6 期第6 期恶意软件对抗样本生成系统GANG-MAM,根据恶意软件生成特征向量添加扰动并使其对检测器产生规避性,再对恶意软件进行相应的更改.恶意软件检测对安全性和鲁棒性有较高的要求.因此通过研究对抗攻击,研究者可以挖掘检测模型的缺陷,发现恶意软件可能使用的各种技术,进一步改进恶意软件检测器的鲁棒性和安全性,从而提高其检测准确性和可靠性.同
15、时,研究对抗防御方法离不开对抗样本生成方法提供的理论和数据基础.例如对抗训练14,在这种方法中机器学习模型同时使用正常样本和对抗样本进行训练,以模拟对抗攻击的效果,通过将对抗样本纳入训练过程,模型可以识别和抵抗这些类型的攻击,从而使其更加安全和鲁棒.因此,对抗攻击研究是促进恶意软件检测发展的重要方向.通过研究对抗攻击,可以发现恶意软件检测器的漏洞并倒逼其进步,同时也可以帮助开发出新的对抗防御方法,提高恶意软件检测器的鲁棒性和安全性。在黑盒场景下,攻击者无法获取模型的具体细节,因此无法计算目标样本相对于模型输出的梯度信息.在此基础上,基于GAN的对抗攻击方式脱颖而出,其可以通过学习数据分布,快速
16、生成高质量的对抗样本,现有的基于 GAN的Android 恶意软件对抗样本生成方法普遍存在以下问题:(1)扰动效果不佳.黑盒攻击方法的一个普遍问题是扰动效果不佳,即生成的对抗样本与原始样本之间的差异较小,难以达到有效的欺骗效果。主流的黑盒攻击方法通过替代模型来拟合目标模型,再针对替代模型生成对抗样本,其成功率取决于对抗样本的可转移性,相较于直接针对目标模型生成对抗样本的白盒攻击方法,扰动效果往往不甚理想。(2)训练不稳定.由于黑盒攻击缺乏目标模型的内部信息,因此训练过程较为困难,往往存在训练不稳定的问题,导致生成的对抗样本质量较差.在基于GAN的对抗攻击方法中,生成器和判别器网络是交替进行训练
17、的.当生成器网络生成的对抗样本无法欺骗判别器网络时,生成器网络会不断改进生成的样本,直到这些对抗样本能成功规避判别器网络的检测,判别器模型也会不断更新自己,以增强对对抗样本的检测能力,两个模型会不断相互对抗,导致模型振荡,使得训练过程不稳定.另外,当生成器模型无法生成欺骗判别器模型的对抗样本时,会尝试通过复制已有的对抗样本来生成新的对抗样本,从而导致模式崩溃,即生成的对抗样本张宇科,等:基于SNGAN的黑盒恶意软件对抗样本生成方法别恶意性的重要依据。在此基础上,本文提出了一种基于 SNGAN的Android恶意软件对抗样本生成技术,主要工作为:(1)将图像领域的SNGAN技术迁移到了恶意软件领
18、域,相较于其他攻击方法达到了更好的扰动效果,提升了训练的稳定性。(2)本文采用了包含配置信息及API调用信息的Drebin特征和包含API转移概率信息特征,相较于以往单一的敏感API调用特征能够更加完善地代表恶意软件特性。2SNGAN生成对抗网络15是一种生成模型学习方法,最初被使用在图像领域,分为一个生成器网络和一个判别器网络.在图像领域,GAN的目标是通过代地训练生成器网络和判别器网络,生成能够以假乱真的对抗样本.其中生成器网络拟合真实分布,通过变换噪声向量从数据分布中生成样本,其目的是产生假样本,使网络产生错误的判断.而判别器网络的目标是判断输人的样本是真实的样本还是生成的样本.生成器网
19、络的训练信息由判别器网络提供.而在恶意软件领域中,由于判别器被用来模拟黑盒检测器,因此也被称为替代检测器.替代检测器被用来区分恶意样本和良性样本,生成器从恶意样本中生成对抗样本来逃避替代检测器的检测,当生成器输出的对抗样本能完全逃避替代检测器的检测,GAN就达到了纳什均衡.GAN的核心原理可以用如下表达式表示:minmaxV(D,G)=ErPa(a)(log(D()+GDEP,()(log(1-D(G(z)其中,是随机噪声向量;G为生成器;G(z)是G生成的对抗样本;D是判别器;E为分布的期望值;Pd a t a()表示真实样本的分布;P(z)表示服从均匀分布或正态分布的随机噪声;D()为D0
20、62003-3第6 0 卷过于相似,无法提供更多的信息,也就无法欺骗判别器模型。(3)特征表征性不足.目前基于GAN的An-droid恶意软件对抗攻击研究使用的样本主要是基于恶意软件的敏感API调用特征,这主要是因为这些特征比较容易获取,且可以较好地表征恶意软件的行为.但是Android恶意软件的恶意性不止体现于从classes.dex文件中提取的 API 调用,An-droidManifest.xml文件中包含的权限信息也是判(1)第6 0 卷判断是真实样本的概率;D(G(z)为 D判断G(之)是真实样本的概率,生成对抗网络面临的一个重要挑战是训练的不稳定性,在实际训练中GAN会出现梯度消失
21、的问题,如何稳定训练过程成为训练GAN的首要问题.多个研究16 18 指出保证Lipschitz连续性在确保训练的稳定性方面具有重要作用.WassersteinGAN(W G A N)19 通过权值裁剪使鉴别器满足Lipschitz约束,但限制了网络的拟合能力.WGAN-GPL16使用梯度惩罚来改进WGAN的训练,但梯度惩罚取决于生成器的分布,训练过程中生成器分布的多变性会导致梯度惩罚的不稳定.为了更进一步地提高训练的稳定性,Miyato等人19 提出了谱归一化生成对抗网络(SpectrallyNormalized Generative Adversarial Network,SNGAN),通
22、过谱归一化(一种新的权重归一化技术)来使得判别器满足Lipschitz约束,从而稳定判别器的训练。SNGAN中采用L2范数形式的Lipschitz连续函数,具体而言是指对一个连续函数于进行了限制,要求存在一个常数K=0,使得定义域内的任意两个元素和都满足一个表达式,满足这一条件即可称于的Lipschitz常数为K,在SNGAN中,K=1.表达式如下所示:I f()-f()ll/2K l/-ll2矩阵W的L2范数也就是谱范数存在如下式.IWl.mxAIWh2矩阵W的谱范数等于矩阵W的最大奇异值.因此,对于线性层g(h)=w h,存在下式.h一h2Il h-h Il 2当权重矩阵W的最大奇异值受到
23、限制时,该层可以满足Lipschitz 约束.如果ll 21,则函数g(h)可以满足1-Lipschitz约束.对于像 ReLU和LReLU这样的激活函数,满足1-Lipschitz条件.GAN的判别器网络是典型的多层神经网络,由多个函数g(h)和激活函数组合而成的.因此,对于判别器存在表达式:I f()-fu()ll22Iwa-(a(wa)-wla-(a(wa)lzI-l2(5)062003-4四川大学学报(自然科学版),使归一化判别器fusv(h)0PReLU()=laa,ifaTc do8)沿VLc梯度下降,更新Ge()的权值09)end for10)return G,()4实验4.1数
24、据集本文使用的数据集主要来自知名的Android软件数据集drebin和AndroZoo,从中下载了50 0 0个恶意的和50 0 0 个良性的Android软件构成了训练数据集.其中drebin数据集只包含Android恶意软件,软件来源包括GooglePlay商店、中国及俄罗斯的不同应用市场、Android网站、恶意软件论坛和安全博客及Android MalwareGenome Pro-ject,每个样本都被发送到VirusTotal 服务,并经过其中十个常见的反病毒扫描程序检测(AntiVir,AVG,Bit-Defender,ClamAV,ESET,F-Secure,Kaspersky
25、,McAfee,Panda,So p h o s),对于至少两个扫描程序检测到的apk被认定为恶意软件.An-droZoo23是从多个来源收集的不断增长的An-droid应用程序集合,同时包含良性软件和恶意软件,包括官方GooglePlay应用程序市场.每个APK都已(或即将)被数十种不同的防病毒产品分析,以了解哪些应用程序被检测为恶意软件.最后对数据集进行了拆分,使用了8 0%的样本作为训练集,剩余的2 0%则作为测试集.本文所使用基于 SNGAN的对抗样本生成方法和黑盒检测器共用训练集和测试集.4.2评价指标数据集中的所有恶意软件通过模型迭代进行扰动后生成对抗样本,再输入到黑盒检测器中进行
26、检测,对检测结果使用召回率(TPR)进行评价.TPTPR=TP+FN其中,FN表示分类器判断为阴性的阳性样本数量,此处表示黑盒检测器判断为良性的恶意样本数量;TP表示分类器判断为阳性的阳性样本数量,此处表示黑盒检测器判断为恶意的恶意样本数量.四川大学学报(自然科学版)FNR实际含义为所有样本中被检测器检测为恶意软件的比例,TPR越低代表着越多的对抗样本成功逃避检测,也说明模型扰动效果越好.4.3实验结果对于数据集中的恶意软件样本,根据Drebin检测器和Mamadroid检测器的特征提取方法,提取特征形成恶意软件特征向量输人到模型中,迭代地进行扰动后得到对抗样本特征向量,最初的恶意软件特征向量
27、和最后的对抗样本特征向量使用黑盒检测器进行检测得到实验结果。为了更好地体现本文提出方法的可迁移性,此处使用的黑盒检测器有两个类别:第一类为drebin检测器及其变种,其使用支持向量机(SVM)、逻辑回归(LR)、随机森林(RF)、多层感知器(MLP)来训练分类器,对应的实验结果如表2 所示;第二类为Mamadroid检测器,其使用的分类器随机森林(RF)、邻近算法(KNN)和支持支持向量机(SVM)来训练分类器,对应的实验结果如表3 所示.在本文使用的 SNGAN模型中,使用了 RM-Sprop作为优化器,学习率为0.0 0 0 5,使用wasser-stein loss19 作为损失函数.目
28、标黑盒检测器为Drebin检测器及其变种时,噪声维数为10 0,生成器网络的层次大小分别为7 0 6、512、2 56、12 8、6 4、606,替代检测器中的层次大小分别为6 0 6、7 0 0、1;而当目标黑盒检测器更换为Mamadroid检测器后,则相应的将噪声维数改为2 0,将生成器网络的层次大小改为141、12 8、6 4、12 1,将替代检测器网络的层次大小改为12 1、2 42、1.在生成器网络中每两层间使用了激活函数LeakyReLU,在最后加上谱归一层并使用tanh 作为激活函数.样本被输人到在SNGAN模型中进行了2 0 0 次迭代训练,每次迭代中又循环地随机从训练集中选择
29、6 4个样本作为小批量地训练样本,直到训练样本总数达到训练集的样本数.最后选择规避效果最好的一次迭代生成的对抗样本与最初的恶意样本输人到黑盒检测器中对比检测结果.表2 针对Drebin及其变种的扰动效果(TPR)Tab.2Perturbation Effect(TPR)against Drebin and itsVariants训练集(10)分类器原始样本对抗样本原始样本对抗样本MLP96.7171SVM89.5220RF83.7121LR96.7171062003-8第6 期测试集097.4874088.9447086.4321097.98990000第6 期张宇科,等:基于SNGAN的黑盒
30、恶意软件对抗样本生成方法第6 0 卷表3 针对Mamadroid的扰动效果(TPR)Tab.3Perturbation Effect(TPR)against Mamadroid训练集分类器原始样本对抗样本原始样本对抗样本RF77.39KNN78.52SVM71.74相比于原始样本TPR的降低可以解释为当模型被训练时恶意软件样本的转换,这样的转换可以将恶意软件的特征向量变成更趋近于良性样本的特征向量,进而逃避黑盒检测器的检测.可以观察到,对于Drebin检测器及其变种,使用MLP和LR作为分类器时,对于原始的恶意样本能够达到9 6%以上的检测率(即TPR),相对于使用SVM和RF作为分类器达到了
31、更好的检测效果.同时Drebin检测器及其变种相较于Mamadroid检测器对原始样本7 1%7 9%的检测率,检测效果更好.原因是Drebin的特征提取方式同时使用了Manifest特征和Dexcode特征,与Mamadroid的特征提取方式使用的API调用相比较,能够更加完善地表征恶意软件的特征信息。同时,为了突出本文方法相较于同类方法的优势,将本文实验结果与一些同样以Drebin和Mamadroid检测器为攻击目标的对抗攻击方法6.12.2 41进行了对比,对比结果如表4所示.其中检测率指对抗攻击方法生成的对抗样本在Drebin或Mamadroid检测器中被判定为恶意软件的比率,值越低则
32、扰动效果越好,基于SNGAN的攻击代指本文方法.不难看出,相较于其他Android 恶意软件对抗样本生成方法,本文方法使得检测器对恶意软件的检测率达到了更低的水准,也即是本文方法能够对检测器产生更好的扰动效果.表4对抗攻击方法的效果对比Tab.4 Comparison of the effectiveness of adversarial at-tack methods方法混淆攻击9投毒攻击2 4基于JSMA的攻击6 Android HIV12基于SNGAN的攻击在对恶意软件样本使用模型添加扰动后,本文方法最后检测结果的TPR都可以达到或者接近测试集0%,证明训练后的生成器网络已经学习到如何有
33、效地绕过黑盒检测器.对于测试的恶意软件来说,076.47077.550.2474.50目标模型型检测率(TPR)/%Drebin80Drebin24.8Mamadroid31.05Drebin15Drebin1Mamadroid1Drebin0Mamadroid0.24062003-9000在使用本文的方法添加扰动后可以有效规避黑盒检测器的检测.但需要说明的是,使用不同的黑盒检测器在实际的实验过程中收敛难度并不相同,表现到数据上就是模型达到收敛状态(也就是迭代过程中黑盒检测器检测结果的FNR达到稳定状态)需要的迭代次数并不相同.5结 论本文提出了一种基于SNGAN模型的恶意软件对抗样本生成方法
34、,对恶意软件添加扰动生成对抗样本,并在黑盒场景下针对机器学习检测器Drebin和 Mamadroid进行对抗攻击,验证了方法的可行性.相较于其他将GAN模型用于恶意软件对抗样本生成的研究,本文使用了更加完备的特征提取方式,改善了将GAN模型运用在恶意软件领域存在的训练不稳定的问题.同时对多个分类算法进行实验,验证了本文方法的可迁移性.进一步探究了基于机器学习的恶意软件检测器的漏洞,提出了一种恶意软件可能使用到的对抗样本生成技术,为促进恶意软件检测技术的发展提供了理论和数据基础。参考文献:1王思远,张仰森,曾健荣,等.Android恶意软件检测方法综述J.计算机应用与软件,2 0 2 1,3 8
35、:1.2孙彦博2 0 2 1年中国手机操作系统行业研究报告EB/OL.2022-05-22.https:/ 0 2 2 年度中国手机安全状况报告EB/OL.2 0 2 2-0 5-2 3.h t t p s:/p o p.s h o u j report/Mobile-Security-Report-202212.pdf.4Aboaoja F A,Zainal A,Ghaleb F A,et al.Mal-ware detection issues,challenges,and future direc-tions:a survey J.Appl Sci,2022,12:8482.5Li D,
36、Li Q.Adversarial deep ensemble:evasion at-tacks and defenses for malware detection J.IEEET Inf Foren Sec,2020,15:3886.6Grosse K,Papernot N,Manoharan P,et al.Ad-versarial perturbations against deep neural networks第6 0 卷for malware classification EB/OL.2022-05-25.https:/arxiv.0rg/pdf/1606.04435.pdf.7A
37、-Dujaili A,Huang A,Hemberg E,et al.Adver-sarial deep learning for robust detection of binaryencoded malware CJ/Proceedings of the 2018IEEE Security and Privacy Workshops(SPW).S.I:IEEE,2018:76.8Kolosnjaji B,Demontis A,Biggio B,et al.Adver-sarial malware binaries:evading deep learning formalware detec
38、tion in executables C/Proceedingsof the 2018 26th European Signal Processing Con-ference(EUSIPCO).S.I:IEEE,2018:533.9Demontis A,Melis M,Biggio B,et al.Yes,ma-chine learning can be more secure!a case study onandroid malware detection J.IEEE T Depend Se-cure,2017,16:711.101Hu W,Tan Y.Black-box attacks
39、 against RNNbased malware detection algorithms C/NationalConference on Artificial Intelligence.San Francisco:OpenR,2017.11Hu W,Tan Y.Generating adversarial malware ex-amples for black-box attacks based on GANCJ/Proceedings of the Data Mining and Big Data:7thInternational Conference(D M BD ).Si n g a
40、 p o r e:Springer Nature Singapore,2023:409.12Chen X,Li C,Wang D,et al.Android HIV:astudy of repackaging malware for evading machine-learning detection J.IEEE T Inf Foren Sec,2019,15:987.13Renjith G,Laudanna S,Aji S,et al.GANG-MAM:GAN based enGine for modifying androidmalware JJ.SoftwareX,2022,18:10
41、0977.14Chen S,Xue M,Fan L,et al.Automated poisoningattacks and defenses in malware detection systems:an adversarial machine learning approach JJ.Com-put Secur,2018,73:326.15Goodfellow I,Pouget-Abadie J,Mirza M,et al.Generative adversarial nets CJ/Proceedings of the27th International Conference on Ne
42、ural InformationProcessing Systems.Montreal:OpenR,四川大学学报(自然科学版)2014.16Gulrajani I,Ahmed F,Arjovsky M,et al.Im-proved training of wasserstein gans CJ/Proceed-ings of the 31th International Conference on NeuralInformation Processing Systems.Massachusetts:MIT Press,2017.17Arjovsky M,Bottou L.Towards pr
43、incipled meth-ods for training generative adversarial networksCJ/International Conference on Learning Repre-sentations.Toulon:OpenR,2017.18Qi G J.Loss-sensitive generative adversarial net-works on lipschitz densities J.Int J Comput Vi-sion,2020,128:1118.191Miyato T,Kataoka T,Koyama M,et al.Spectraln
44、ormalization for generative adversarial networksCJ/Proceedings of the 6th International Confer-ence on Learning Representations:Canada:Open-R,2018.20 Arp D,Spreitzenbarth M,Hubner M,et al.Dre-bin:effective and explainable detection of androidmalware in your pocket C/21st Annual Networkand Distribute
45、d SystemSecurity Symposium.Ros-ten:OpenR,2014.21Onwuzurike L,Mariconti E,Andriotis P,et al.Mamadroid:detecting android malware by buildingmarkov chains of behavioral models(extended ver-sion)J.ACM T Priv Secur,2019,22:1.22岳子巍,方勇,张磊。基于图注意力网络的安卓恶意软件检测J.四川大学学报:自然科学版,2 0 2 2,59:053002.23Allix K,Bissyand
46、e T F,Klein J,et al.Androzoo:collecting millions of android apps for the researchcommunity C/2016 IEEE/ACM 13th WorkingConference onMiningSoftwareRepositories(MSR).Austin:IEEE,2016:468.24Goodfellow I J,Shlens J,Szegedy C.Explainingand harnessing adversarial examples CJ/ICLR2015:3rd International Conference on LearningRepresentations.San Diego:OpenR,2015.第6 期引用本文格式:中文:张宇科,王俊峰.基于SNGAN的黑盒恶意软件对抗样本生成方法J四川大学学报:自然科学版,2 0 2 3,60:062003.英 文:Zhang Y K,Wang J F.Black box malware adversarial examples generation method based on SNGAN J.J!Sichuan Univ:Nat Sci Ed,2023,60:062003.062003-10
浙ICP备2021020529号-1 | 浙B2-20240490 
