《電子技術(shù)應(yīng)用》
您所在的位置:首頁 > 其他 > 設(shè)計應(yīng)用 > 基于特征序列的惡意代碼靜態(tài)檢測技術(shù)
基于特征序列的惡意代碼靜態(tài)檢測技術(shù)
網(wǎng)絡(luò)安全與數(shù)據(jù)治理 4期
魏利卓,石春竹,許鳳凱,張慕榕,郝 嬌
(中國電子信息產(chǎn)業(yè)集團有限公司第六研究所,北京100083)
摘要: 近年來,基于機器學(xué)習(xí)方法的惡意代碼檢測方法存在著無法自動和高效地提取惡意代碼的問題,有些還需要人工對特征進行提取,但是提取的特征沒有深層地描述惡意代碼行為,存在檢測的準(zhǔn)確率較低、效率低等缺點。通過對靜態(tài)惡意代碼進行分析,從紋理特征和操作碼特征入手,在提取紋理特征過程中,提出一種Simhash處理編譯文件轉(zhuǎn)換成灰度圖像的方法,生成灰度圖像后通過GIST算法和SIFT算法提取全局和局部圖像紋理特征,并將全局和局部圖像特征進行融合。
中圖分類號: TP391
文獻標(biāo)識碼: A
DOI: 10.19358/j.issn.2097-1788.2022.04.009
引用格式: 魏利卓,石春竹,許鳳凱,等. 基于特征序列的惡意代碼靜態(tài)檢測技術(shù)[J].網(wǎng)絡(luò)安全與數(shù)據(jù)治理,2022,41(4):56-64.
Static detection technique for malicious code based on feature sequences
Wei Lizhuo,Shi Chunzhu,Xu Fengkai,Zhang Murong,Hao Jiao
(The 6th Research Institute of China Electronice Corporation,Beijing 100083,China)
Abstract: In recent years, malicious code detection methods based on machine learning methods suffer from the problem of not being able to extract malicious code automatically and efficiently, and some of them require manual extraction of features, but the extracted features do not describe the malicious code behavior deeply, and there are disadvantages such as low accuracy and low efficiency of detection. In this paper, we analyze the static malicious code. Starting from texture features and opcode features, in the process of extracting texture features, this paper proposes a method of Simhash processing compiled files into grayscale images, generating grayscale images and then extracting global and local image texture features by GIST algorithm and SIFT algorithm, and fusing global and local image features.
Key words : malicious code;deep learning;feature fusion;API sequences

0 引言

在網(wǎng)絡(luò)迅猛發(fā)展的今天,惡意代碼已經(jīng)成為網(wǎng)絡(luò)安全的重要威脅,在網(wǎng)絡(luò)信息安全中占有一席之地。當(dāng)開源代碼概念出現(xiàn)之后,產(chǎn)生了各種類型的代碼,現(xiàn)在即使是新手也可以輕松地使用駭客工具創(chuàng)建惡意代碼并發(fā)布到網(wǎng)絡(luò)上,目前這種代碼呈指數(shù)增長和擴散?,F(xiàn)如今,國家網(wǎng)絡(luò)安全問題受到了前所未有的關(guān)注。

日益嚴(yán)重的安全問題,已經(jīng)滲入到人民日常生活乃至國家層面上,特別是在工業(yè)互聯(lián)網(wǎng)中的網(wǎng)絡(luò)攻擊會給國家的工業(yè)造成巨額損失。例如,震網(wǎng)病毒曾于2010年大面積出現(xiàn),是當(dāng)今世界上第一個完全根據(jù)工業(yè)控制環(huán)境所產(chǎn)生的毀滅性蠕蟲病毒,它在短時期內(nèi)危及著許多公司的正常運營[3]。伊萬諾-弗蘭科夫斯克半數(shù)以上的家庭受到了停電影響,困擾持續(xù)了幾個小時。在電站遭到攻擊的同時,烏克蘭的許多其他能源企業(yè),如煤礦和石化等,也成為網(wǎng)絡(luò)攻擊的目標(biāo)。

近年來,深度學(xué)習(xí)技術(shù)在人工智能應(yīng)用領(lǐng)域受到了人們更多的關(guān)注。在語音識別、圖形視覺效果及自然語言處理等應(yīng)用領(lǐng)域,深度學(xué)習(xí)比淺層學(xué)習(xí)模型在特征提取、分類以及預(yù)測準(zhǔn)確性方面有許多優(yōu)勢。鑒于其在其他領(lǐng)域的廣泛應(yīng)用,研究人員已經(jīng)將深度學(xué)習(xí)用于惡意軟件檢測系統(tǒng)的開發(fā),已有很好的檢測結(jié)果,但也存在著不足之處。

比如,通過簽名的惡意代碼檢測技術(shù)一般根據(jù)模式匹配的思路。2012年,Desnos提出了一種基于相似距離的檢測軟件之間的相似性和惡意軟件的系統(tǒng),從應(yīng)用程序中提取簽名,可以確定兩個應(yīng)用程序的相似性[5]。基于簽名的惡意代碼檢測方法十分準(zhǔn)確,但是對于未知的惡意代碼來說卻無能為力,因為需要有關(guān)人員不斷地進行標(biāo)記、更新病毒庫,無法自動標(biāo)記和更新,否則停歇之后,就會被逐漸淘汰下來,喪失其使用價值。

2020年,Kishore等人提出了一種利用沙盒輔助集成模型分析和檢測JavaScript的新技術(shù)[6]。使用惡意軟件沙箱提取有效載荷,以獲得真實的腳本。將提取的腳本進行分析,以定義創(chuàng)建數(shù)據(jù)集所需的特征。但這種方法開銷大,耗費大量的時間,需要保證虛擬環(huán)境下不被惡意代碼攻擊。

所以,針對以上惡意代碼檢測方法存在無法自動和高效提取惡意代碼的問題,本文從紋理特征和操作碼特征入手,提出了基于特征序列的惡意代碼靜態(tài)檢測方法來實現(xiàn)自動、高效準(zhǔn)確的惡意代碼檢測。




本文詳細(xì)內(nèi)容請下載:http://theprogrammingfactory.com/resource/share/2000004991




作者信息:

魏利卓,石春竹,許鳳凱,張慕榕,郝  嬌

(中國電子信息產(chǎn)業(yè)集團有限公司第六研究所,北京100083)


微信圖片_20210517164139.jpg

此內(nèi)容為AET網(wǎng)站原創(chuàng),未經(jīng)授權(quán)禁止轉(zhuǎn)載。