Biblioteche e Archivi
POLITesi - Archivio digitale delle tesi di laurea e di dottorato

In the last years, several research works have demonstrated that Fraud Detection Systems (FDSs) are particularly vulnerable to Adversarial Machine Learning (AML) attacks, where an attacker generates fraudulent transactions that bypass the target Machine Learning (ML) model detection (evasion attack). Furthermore, if the FDS model is periodically re-trained with new batches of incoming transactions, the undetected malicious samples deteriorate the target model’s performance over time (poisoning attack). In this thesis, we propose a poisoning attack against FDSs where fraudulent transactions are generated using state-of-the-art AML algorithms. In our approach, the attacker evaluates the suspiciousness of the crafted poisoning transactions using a surrogate ML model called Oracle, simulating the target FDS. Initially, we craft a poisoning sample depending on the spending behaviour of the victim, and evaluate its suspiciousness through the Oracle. If the sample is classified as legitimate, then the attacker will submit it on behalf of the victim. Otherwise, we exploit the state-of-the-art AML algorithms to perturb such sample and obtain the corresponding poisoning transaction. We evaluate our approach against five FDSs models, under different attacker’s strategies, different degrees of attacker’s knowledge, and different update policies to re-train the model with new batches of transactions. We compare our approach against another poisoning attack. We also study the performance when FDSs employ a mitigation approach. Our experimental results show that the attacker using our approach steals up to 5092.07% more capital compared to the existing poisoning attack. However, our approach increases the risk for the attacker to be discovered and requires more effort to generate evasive adversarial samples. We observe similar results even when the FDS employs a mitigation approach. The attacker steals up to 8286.79% more funds than the existing approach, but the target FDS is more likely to detect the incoming fraudulent transactions.

Negli ultimi anni, diverse ricerche scientifiche hanno dimostrato che i sistemi di individuazione di frodi bancarie (FDS) sono particolarmente vulnerabili agli attacchi di Adversarial Machine Learning (AML), in cui un utente malintenzionato genera transazioni fraudolente che aggirano il controllo del modello di Machine Learning (ML) sotto attacco (attacco di evasion). Inoltre, se il FDS viene periodicamente riaddestrato, le transazioni non rilevate deteriorano le prestazioni del modello di ML nel corso del tempo (attacco di poisoning). In questa tesi, proponiamo un attacco di poisoning contro FDSs in cui le transazioni fraudolente vengono generate utilizzando algoritmi di AML. Nel nostro approccio, l’attaccante valuta la sospettosità delle transazioni di poisoning utilizzando un modello di ML surrogato chiamato Oracolo, che simula il FDS sotto attacco. Inizialmente, creiamo una transazione di poisoning in base allo schema di spesa della vittima e valutiamo la sua sospettosità attraverso l’Oracolo. Se la transazione è classificata come legittima, l’aggressore la invierà al posto della vittima. In caso contrario, sfruttiamo gli algoritmi di AML per modificare tale transazione e ottenere la corrispondente transazione di poisoning. Valutiamo il nostro approccio con cinque FDSs, utilizzando diverse strategie di attacco, diversi gradi di conoscenza dell’attaccante e diverse update policy per addestrare periodicamente il modello di ML con nuove transazioni. Confrontiamo il nostro approccio con un altro attacco di poisoning. Studiamo anche le prestazioni quando gli FDSs utilizzano un approccio di mitigazione. I nostri risultati sperimentali mostrano che il nostro approccio di attacco ruba fino al 5092,07% di capitale in più rispetto all’attacco di poisoning esistente. Tuttavia, il nostro approccio aumenta il rischio che l’attaccante venga scoperto e richiede uno sforzo maggiore per generare transazioni in grado di aggirare il modello di ML. Osserviamo risultati simili anche quando il FDS utilizza un approccio di mitigazione. L’attaccante ruba fino all’8286,79% di fondi in più rispetto all’approccio esistente, ma è più probabile che il FDS rilevi le transazioni fraudolente in entrata.

Improving poisoning attacks against banking fraud detection systems

Romeo, Giorgio
2021/2022

Abstract

In the last years, several research works have demonstrated that Fraud Detection Systems (FDSs) are particularly vulnerable to Adversarial Machine Learning (AML) attacks, where an attacker generates fraudulent transactions that bypass the target Machine Learning (ML) model detection (evasion attack). Furthermore, if the FDS model is periodically re-trained with new batches of incoming transactions, the undetected malicious samples deteriorate the target model’s performance over time (poisoning attack). In this thesis, we propose a poisoning attack against FDSs where fraudulent transactions are generated using state-of-the-art AML algorithms. In our approach, the attacker evaluates the suspiciousness of the crafted poisoning transactions using a surrogate ML model called Oracle, simulating the target FDS. Initially, we craft a poisoning sample depending on the spending behaviour of the victim, and evaluate its suspiciousness through the Oracle. If the sample is classified as legitimate, then the attacker will submit it on behalf of the victim. Otherwise, we exploit the state-of-the-art AML algorithms to perturb such sample and obtain the corresponding poisoning transaction. We evaluate our approach against five FDSs models, under different attacker’s strategies, different degrees of attacker’s knowledge, and different update policies to re-train the model with new batches of transactions. We compare our approach against another poisoning attack. We also study the performance when FDSs employ a mitigation approach. Our experimental results show that the attacker using our approach steals up to 5092.07% more capital compared to the existing poisoning attack. However, our approach increases the risk for the attacker to be discovered and requires more effort to generate evasive adversarial samples. We observe similar results even when the FDS employs a mitigation approach. The attacker steals up to 8286.79% more funds than the existing approach, but the target FDS is more likely to detect the incoming fraudulent transactions.
PALADINI, TOMMASO
ZANERO, STEFANO
ING - Scuola di Ingegneria Industriale e dell'Informazione
4-mag-2023
2021/2022
Negli ultimi anni, diverse ricerche scientifiche hanno dimostrato che i sistemi di individuazione di frodi bancarie (FDS) sono particolarmente vulnerabili agli attacchi di Adversarial Machine Learning (AML), in cui un utente malintenzionato genera transazioni fraudolente che aggirano il controllo del modello di Machine Learning (ML) sotto attacco (attacco di evasion). Inoltre, se il FDS viene periodicamente riaddestrato, le transazioni non rilevate deteriorano le prestazioni del modello di ML nel corso del tempo (attacco di poisoning). In questa tesi, proponiamo un attacco di poisoning contro FDSs in cui le transazioni fraudolente vengono generate utilizzando algoritmi di AML. Nel nostro approccio, l’attaccante valuta la sospettosità delle transazioni di poisoning utilizzando un modello di ML surrogato chiamato Oracolo, che simula il FDS sotto attacco. Inizialmente, creiamo una transazione di poisoning in base allo schema di spesa della vittima e valutiamo la sua sospettosità attraverso l’Oracolo. Se la transazione è classificata come legittima, l’aggressore la invierà al posto della vittima. In caso contrario, sfruttiamo gli algoritmi di AML per modificare tale transazione e ottenere la corrispondente transazione di poisoning. Valutiamo il nostro approccio con cinque FDSs, utilizzando diverse strategie di attacco, diversi gradi di conoscenza dell’attaccante e diverse update policy per addestrare periodicamente il modello di ML con nuove transazioni. Confrontiamo il nostro approccio con un altro attacco di poisoning. Studiamo anche le prestazioni quando gli FDSs utilizzano un approccio di mitigazione. I nostri risultati sperimentali mostrano che il nostro approccio di attacco ruba fino al 5092,07% di capitale in più rispetto all’attacco di poisoning esistente. Tuttavia, il nostro approccio aumenta il rischio che l’attaccante venga scoperto e richiede uno sforzo maggiore per generare transazioni in grado di aggirare il modello di ML. Osserviamo risultati simili anche quando il FDS utilizza un approccio di mitigazione. L’attaccante ruba fino all’8286,79% di fondi in più rispetto all’approccio esistente, ma è più probabile che il FDS rilevi le transazioni fraudolente in entrata.
Tesi di laurea Magistrale
File allegati
File Dimensione Formato  
2023_05_Romeo_Tesi_01.pdf

non accessibile

Descrizione: Tesi
Dimensione 2.21 MB
Formato Adobe PDF
  Visualizza/Apri
2.21 MB Adobe PDF   Visualizza/Apri
2023_05_Romeo_Executive_Summary_02.pdf

non accessibile

Descrizione: Executive Summary
Dimensione 342.42 kB
Formato Adobe PDF
  Visualizza/Apri
342.42 kB Adobe PDF   Visualizza/Apri

I documenti in POLITesi sono protetti da copyright e tutti i diritti sono riservati, salvo diversa indicazione.

Utilizza questo identificativo per citare o creare un link a questo documento: https://hdl.handle.net/10589/212351