该研究针对深度神经网络在恶意软件分类中存在的漏洞，通过对对抗样本进行有效构建的攻击，探讨如何构建在样本生成方面更具挑战性的更安全的模型。该研究表明，在对抗样本的制作方面，恶意软件分类与计算机视觉领域之间存在巨大的差异。本文还评估了潜在的防御机制对恶意软件分类的影响，并发现对抗样本的蒸馏和重新训练可以带来很有前途的结果。

Jun, 2016

研究卷积神经网络在恶意软件检测中的应用，探索对抗样本在该领域中的影响，发现之前的攻击不如之前报告的那么有效，同时还存在架构上的弱点，容易遭受新的攻击策略，继而探讨了攻击策略的可变性、提高攻击有效性的权衡以及单步攻击的可转移性。

Oct, 2018

本文提出了一种使用预训练的自监督编码器嵌入向量的线性模型来检测和分类对抗性攻击的方法SimCat，并通过对多种攻击类型的实验验证其有效性，同时在适应性攻击下进行了探究，提高了其鲁棒性。

Aug, 2021

研究如何生成具有对抗性的恶意软件，通过改变二进制恶意软件文件中的特定字节，使修改后的文件能够逃避基于机器学习的恶意软件分类器的检测，其中通过修改二进制文件头的字节是最有效的技术。

Nov, 2021

本研究评估了活动学习模型窃取攻击，提出了一种新的神经网络结构用于代理模型，成功地生成了可逃避目标但不如目标本身成功的对抗性样本，这在反病毒软件攻击中是必须的。

Apr, 2022

提出了 Adversarially Robust Multiview Malware Defense (ARMD) 方法，它是一种利用多视角学习框架，可以提高深度学习恶意软件检测器对抗性攻击的能力。在六种常见的恶意软件类别上，ARMD 能够将三个知名的深度学习恶意软件检测器的抗攻击能力提高高达七倍。

Oct, 2022

应用强化学习算法生成对抗性恶意文件可以有效绕过大多数杀毒软件，揭示了基于机器学习的恶意软件检测系统易受对抗性攻击的脆弱性。

Jun, 2023

机器学习在自动恶意软件检测方面表现出色，但机器学习模型也存在容易受到对抗攻击的漏洞。本篇文章围绕生成对抗恶意软件样本的问题展开讨论，特别关注恶意的Windows Portable Executable（PE）文件。我们总结并比较了以对抗机器学习为目标的恶意软件检测方法，并应用了基于梯度、基于进化算法和基于强化学习的方法来生成对抗样本，并将生成的样本与选定的杀毒软件进行测试。结果显示，对先前检测到的恶意软件应用优化的改动可能会将文件错误地分类为良性。已知生成的恶意软件样本可成功用于攻击其他检测模型，并且使用多种生成器组合可以创建新的样本以逃避检测。实验显示采用强化学习方法的Gym-malware生成器具有最大的实际潜力，其平均生成样本时间为5.73秒，最高平均逃避率为44.11%。将Gym-malware生成器与自身相结合可提高逃避率至58.35%。

Aug, 2023

这项调查研究针对网络安全中恶意软件分类展示了当前对抗性攻击和防御策略的研究，将方法分类为生成模型、基于特征的方法、集成方法和混合策略，并评估了每个领域的优点和缺点，同时讨论了常用的数据集和评估标准，最后提出了开放性研究难题和未来的研究选项。

Dec, 2023

本研究解决了恶意软件检测器在面对对抗样本时的脆弱性问题。通过分析对恶意软件检测器进行的对抗攻击的可迁移性，我们发现为一个检测器构造的对抗程序在其他检测器中效果普遍较差。此外，通过集成检测器的方法，我们展示了能够减轻对抗程序的影响，证明了在检测策略上需谨慎考虑程序的最小更改。

Aug, 2024