原创<br> 全球“黑客大赛”冠军霸气讲述：我是如何让50个文件一起骗过AI安防系统的？( 三 )_：全球“黑客大赛”冠军霸气讲述：我是

MalConv同时查找良性和恶意字节的不同模式，以便做出决策。Overlay攻击的目的是用与良性文件相关的模式包装它。

非负MalConv

第二个模型实际上与第一个模型相同，但分配给各层的权重不同。

顾名思义，非负MalConv在训练过程中被限制为具有非负权重矩阵。这样做是为了防止针对MalConv创建的攻击。如果处理得当，非负权重使二元分类器单调；这意味着添加新内容只会增加恶意得分。这将使规避模型变得非常困难，因为大多数规避攻击确实需要向文件添加内容。

“幸运”的是，非负MalConv的实现有一个微小但关键的缺陷。

非负防御只适用于二分类器，其输出分数表示样本的恶意程度。然而，这个版本将输出分成两个分数，分别表示恶意和良性。之后，一个softmax函数将每个类的分数转换为概率。这种结构使得非负权重的训练变得毫无意义。附加内容仍然可以将良性评分推到任意高。当良性评分越高，即使存在相同数量的恶意内容，softmax函数也会将把恶意评分推得越低。因此所有针对MalConv的攻击在这里也会起作用。