基于文本分類(lèi)技術(shù)的惡意代碼檢測(cè)工具　

作者 張東紅 中國(guó)科學(xué)院軟件研究所 (北京 100864)

　　張東紅,碩士生，曾獲得“2012國(guó)際青年創(chuàng)新大賽”特等獎(jiǎng)，以及“第十三屆‘五四杯’大學(xué)生創(chuàng)業(yè)計(jì)劃競(jìng)賽”二等獎(jiǎng)。

摘要：惡意代碼對(duì)人們的工作和生活帶來(lái)了嚴(yán)重的威脅，對(duì)惡意代碼進(jìn)行檢測(cè)也變得越來(lái)越重要。一種有效的惡意代碼檢測(cè)方式是借鑒機(jī)器學(xué)習(xí)技術(shù)，訓(xùn)練檢測(cè)模型并使用其檢測(cè)新樣本中是否含有惡意代碼。為達(dá)到此目的，使用操作碼特征的檢測(cè)方法近年來(lái)深受歡迎。用于高效、可配置地反匯編多種平臺(tái)多種格式類(lèi)型的可執(zhí)行樣本，避免基于遞歸下降反匯編算法的 IDA Pro 遇到的各種問(wèn)題;本文還重新設(shè)計(jì)和實(shí)現(xiàn)了 “飛鼠”惡意代碼檢測(cè)系統(tǒng)，自動(dòng)化地采集、標(biāo)記、處理樣本，提高反匯編成功率。

1 “飛鼠”惡意代碼檢測(cè)系統(tǒng)

　　針對(duì)此問(wèn)題，論文根據(jù)IDA Pro 遇到的各種問(wèn)題;論文還重新設(shè)計(jì)和實(shí)現(xiàn)了“飛鼠”惡意代碼檢測(cè)系統(tǒng)，自動(dòng)化地采集、標(biāo)記、處理樣本，在兼容 IDA Pro的基礎(chǔ)上，同時(shí)支持操作碼特征，能夠在允許一定程度的反匯編代碼不準(zhǔn)確的情況下，提高反匯編成功率，增加可利用的樣本數(shù)目;訓(xùn)練數(shù)據(jù)集樣本量的大幅增加可以彌補(bǔ)樣本反匯編質(zhì)量小幅度降低的損失，最終超越，或保持，基于 IDA Pro 的檢測(cè)模型的檢測(cè)效果。實(shí)驗(yàn)中還發(fā)現(xiàn)，使用多項(xiàng)式核函數(shù)的支持向量機(jī)分類(lèi)算法在實(shí)踐中有著更好的性能和應(yīng)用價(jià)值。如圖1和圖2所示。

2 互聯(lián)網(wǎng)與病毒發(fā)展現(xiàn)狀

　　隨著計(jì)算機(jī)技術(shù)的高速發(fā)展和計(jì)算機(jī)網(wǎng)絡(luò)的不斷普及，計(jì)算機(jī)和互聯(lián)網(wǎng)已經(jīng)深入到人們?nèi)粘Ｉ詈凸ぷ鞯姆椒矫婷?。根?jù)中國(guó)互聯(lián)網(wǎng)信息中心在2018年1月發(fā)布的《第41次中國(guó)互聯(lián)網(wǎng)絡(luò)發(fā)展?fàn)顩r統(tǒng)計(jì)報(bào)告》，截至2017 年12 月，我國(guó)網(wǎng)民規(guī)模達(dá)7.72億，全年共計(jì)新增網(wǎng)民4074 萬(wàn)人，互聯(lián)網(wǎng)普及率達(dá)55.8%，相比較于2016年底提升了2.6%。同時(shí)我國(guó)在線(xiàn)政務(wù)服務(wù)用戶(hù)規(guī)模達(dá)到4.85 億，占總體網(wǎng)民的62.9%，通過(guò)支付寶或微信城市服務(wù)平臺(tái)獲得政務(wù)服務(wù)的使用率為44.0% 。

　　日益便捷的網(wǎng)絡(luò)互聯(lián)環(huán)境和成熟的計(jì)算機(jī)技術(shù)，也為網(wǎng)絡(luò)攻擊的產(chǎn)生與傳播提供了極大的便利條件，每年新增的軟件數(shù)量呈現(xiàn)出持續(xù)性增長(zhǎng)的趨勢(shì)。在賽門(mén)鐵克(Symantec)公司2010 年發(fā)布的安全報(bào)告中指出，賽門(mén)鐵克公司相比于2008 年捕獲到169323 個(gè)新型軟件，2009 年共捕獲到了2895802個(gè)新型軟件。根據(jù)中國(guó)互聯(lián)網(wǎng)應(yīng)急響應(yīng)中心(CNCERT/CC )在2017年5月發(fā)布的《2016 年中國(guó)互聯(lián)網(wǎng)網(wǎng)絡(luò)安全報(bào)告》，CNCERT/CC 通過(guò)自主捕獲以及與廠(chǎng)商交換獲得的移動(dòng)互聯(lián)網(wǎng)惡意程序數(shù)量約205萬(wàn)個(gè)。

3 “飛鼠”的設(shè)計(jì)

　　基于特征碼的靜態(tài)惡意代碼檢測(cè)流程可以分為三部分，首先需要獲取惡意代碼，然后對(duì)現(xiàn)有已知的惡意代碼進(jìn)行特征分析，提取相應(yīng)的特征碼;然后匯總整理，將提取的特征碼存入特征庫(kù);最后，在對(duì)未知的可執(zhí)行樣本進(jìn)行檢測(cè)時(shí)，根據(jù)特征庫(kù)中的特征碼逐項(xiàng)進(jìn)行匹配。如果待檢測(cè)樣本中包含特征庫(kù)中的特征信息，則認(rèn)為該樣本是惡意代碼，反之，則認(rèn)為是非惡意代碼。如圖3。

4 “飛鼠”系統(tǒng)特征訓(xùn)練檢測(cè)模型

　　在獲取到包含惡意代碼樣本和非惡意代碼樣本的原始實(shí)驗(yàn)數(shù)據(jù)集，并進(jìn)行預(yù)處理和數(shù)據(jù)集劃分之后，對(duì)訓(xùn)練集數(shù)據(jù)首先使用線(xiàn)性?huà)呙璺磪R編工具進(jìn)行反匯編處理。然后從反匯編代碼中提取操作碼特征。在完成操作碼特征提取之后，會(huì)首先根據(jù)訓(xùn)練集中操作碼特征的數(shù)據(jù)特征選擇一定的操作碼特征對(duì)樣本進(jìn)行向量化表示。最后將描述樣本的特征向量輸入分類(lèi)模型中進(jìn)行訓(xùn)練，得到用于惡意代碼檢測(cè)的惡意代碼檢測(cè)模型。測(cè)試階段，使用相同的線(xiàn)性?huà)呙璺磪R編方法對(duì)未知樣本進(jìn)行反匯編提取其操作碼特征。根據(jù)訓(xùn)練階段選擇出來(lái)的操作碼特征子集對(duì)未知樣本進(jìn)行向量化描述。最后將該描述向量輸入到訓(xùn)練階段得到的惡意代碼檢測(cè)模型進(jìn)行檢測(cè)，得到最終的惡意代碼檢測(cè)結(jié)果，惡意代碼或者非惡意代碼。

　　在惡意代碼檢測(cè)工作中，可以定義混淆矩陣(confusion matrix)來(lái)記錄相應(yīng)的檢測(cè)結(jié)果數(shù)據(jù)。如表 1所示，TP 表示將惡意代碼檢測(cè)成為惡意代碼的樣本數(shù)，F(xiàn)P 表示非惡意代碼檢測(cè)成為惡意代碼的樣本數(shù)，F(xiàn)N 表示惡意代碼檢測(cè)成為非惡意代碼的樣本數(shù)，TN 表示非惡意代碼檢測(cè)成為非惡意代碼的樣本數(shù)。

5 結(jié)論

　　論文提出的解決方案，主要思想是通過(guò)訓(xùn)練樣本數(shù)量的大幅增長(zhǎng)來(lái)彌補(bǔ)操作碼特征略微不準(zhǔn)確的問(wèn)題，所以在該解決方案中通過(guò) D-light 反匯編工具獲取大量稍微有些不準(zhǔn)確的反匯編代碼提取操作碼特征來(lái)訓(xùn)練惡意代碼檢測(cè)模型。在對(duì)反匯編代碼的質(zhì)量和數(shù)量對(duì)惡意代碼檢測(cè)性能影響的實(shí)驗(yàn)研究中，通過(guò)使用D-light反匯編提取操作碼特征訓(xùn)練得到的惡意代碼檢測(cè)模型與使用IDA Pro反匯編提取操作碼特征訓(xùn)練得到的惡意代碼檢測(cè)模型進(jìn)行對(duì)比分析，發(fā)現(xiàn)使用 D-light反匯編提取操作碼特征訓(xùn)練得到的惡意代碼檢測(cè)模型的檢測(cè)性能更好一些，驗(yàn)證了本文提出的使用線(xiàn)性?huà)呙璺磪R編算法提取操作碼特征訓(xùn)練惡意代碼檢測(cè)模型的解決方案是有效和可行的。此外，在對(duì)比分析實(shí)驗(yàn)中，本文還發(fā)現(xiàn)使用多項(xiàng)式核函數(shù)支持向量機(jī)分類(lèi)算法的惡意代碼檢測(cè)模型在實(shí)踐中檢測(cè)性能表現(xiàn)最好。

　　參考文獻(xiàn)：

　　[1] 中國(guó)互聯(lián)網(wǎng)信息中心.第 41 次中國(guó)互聯(lián)網(wǎng)絡(luò)發(fā)展?fàn)顩r統(tǒng)計(jì)報(bào)告[J]. 中國(guó)經(jīng)濟(jì)報(bào)告, 2017(4).

　　[2] Nataraj L,Karthikeyan S,Jacob G,et al.Malware images: visualization and automatic classification[C]//Proceedings of the 8th international symposium on visualization for cyber security. ACM, 2011: 4.Fossi M, Egan G, Haley K, et al. Symantec global internet security threat report[J]. Volume 1, 2010.

　　[3] Fossi M,Egan G,Haley K,et al.Symantec global internet security threat report [J]. Volume XVI, 2011.

　　[4] 國(guó)家計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心.2016 年中國(guó)互聯(lián)網(wǎng)網(wǎng)絡(luò)安全報(bào)告[M/OL].北京: 人民郵電出版社,(2017).http://www.cert.org.cn/publish/main/upload/File/2016_cncert_rep -ort.pdf.

　　本文來(lái)源于《電子產(chǎn)品世界》2018年第9期第75頁(yè)，歡迎您寫(xiě)論文時(shí)引用，并注明出處。