arXiv:2505.09342v1 类别: cross 摘要：机器学习是Android恶意软件检测的关键工具，能够有效地识别应用中的恶意模式。然而，基于机器学习的检测器容易受到抗绕攻击的影响，这类攻击通过细微、定制化的变更绕过检测。尽管在对抗性防御方面取得了进展，但在二进制受限制领域缺乏全面评估框架限制了对它们的鲁棒性的理解。我们提出了两个关键贡献。首先，优先级二进制舍入技术，一种将连续扰动转换为二进制特征空间的技术，同时保持高攻击成功率和低扰动大小。其次，sigma-binary攻击，一种针对二进制领域的新型对抗方法，旨在通过最小的特征变化实现攻击目标。在Malscan数据集上的实验表明，sigma-binary优于现有攻击方法，并揭示了现有防御的关键脆弱性。配备有对手检测器的防御措施，如KDE、DLA、DNN+和ICNN，显示出显著的脆弱性，攻击成功率达到90%以上，仅使用不到10个特征修改，并且只需20个修改即可达到100%的成功率。针对小预算的对抗性训练防御措施，如AT-rFGSM-k和AT-MaxMA，在一定程度上增强了鲁棒性，但仍然对未受限制的扰动易受攻击，分别显示出99.45%和96.62%的攻击成功率。尽管PAD-SMA通过保持攻击成功率低于16.55%，在对抗最先进梯度基的对抗攻击方面表现出强大的鲁棒性，但sigma-binary攻击显著优于这些方法，在未受限制的扰动下实现了94.56%的成功率。这些发现强调了需要精确如sigma-binary的方法来揭示现有防御中的隐藏脆弱性，并支持开发更鲁棒的恶意软件检测系统的重要性。