淺析基于深度學習的惡意軟件檢測

◆黎臻 羅栗

（中國電子科技集團公司第三十研究所 四川 610041）

如今，各種各樣的互聯(lián)網軟件為人們生活提供了便利，但也帶來了一定的潛在危險。惡意軟件是故意設計以危害計算機、智能設備，竊取機密信息，滲透網絡或破壞關鍵的基礎設施等為目的的一種網絡威脅。惡意軟件的類型多種多樣，如病毒，蠕蟲，特洛伊木馬，邏輯炸彈，間諜軟件，廣告軟件，垃圾郵件，彈出窗體等。據卡巴斯基實驗室最近的一份報告稱[1]，由于惡意軟件攻擊，大約在兩年之內全球的金融機構共盜竊了十億美元。為了遏止惡意軟件造成的巨大損失和損害，惡意軟件檢測已成為計算機安全的熱點研究方向。

1 惡意軟件檢測的發(fā)展現(xiàn)狀

近年來，關于惡意軟件檢測的學術研究數(shù)量迅速增加。在早期，基于簽名的檢測方法被廣泛使用。Malhotra等人[2]提出一種新穎的算法將惡意軟件分類為干凈、正常惡意軟件和多態(tài)、變質惡意軟件。該方法使用基于簽名的模式匹配技術計算任意兩個文件之間的相似性得分，然后使用DBScan算法對所選特征進行分類。基于簽名的檢測方法可以快速有效地應對已知的惡意軟件，但對于零時差惡意軟件的效果則不佳。

隨著時間的流逝，研究人員開始使用基于行為、啟發(fā)式和模型檢查的檢測技術，以及新技術，例如基于深度學習、云、移動設備和物聯(lián)網的檢測。

Cimitile A等人[3]提出了一種基于模型檢查的方法來推斷移動惡意軟件的系統(tǒng)樹。通過在droid-Sapiens工具中實施該方法，證明了移動惡意軟件家族來自祖先，并且根據其展示的有效載荷來影響自己的后代。

Azmoodeh A等人[4]提出了一種應用于物聯(lián)網基于機器學習的方法，通過監(jiān)視Android設備的功耗來檢測勒索軟件攻擊。具體來說，該方法可監(jiān)控不同進程的能耗模式，以對來自非惡意應用程序的勒索軟件進行分類。實驗證明了該方法在準確率，查全率，準確率和F度量方面優(yōu)于K最近鄰，神經網絡，支持向量機和隨機森林。

即使每種檢測方法都有其自己的優(yōu)勢，但是沒有一種檢測方法可以檢測到所有惡意軟件。當惡意軟件的復雜性（未知惡意軟件，新一代惡意軟件，混淆惡意軟件）增加時，所有檢測方法的檢測率都會降低?？梢钥闯?，基于簽名方法、啟發(fā)式的方法以及大多數(shù)情況下的基于移動設備和物聯(lián)網的方法要比基于行為、模型檢查、云和深度學習的方法表現(xiàn)更差。這是因為后者的這些方法可以更有效地檢測未知和混淆的惡意軟件。

結合多種惡意軟件檢測方法可以提供更好的檢測機制，例如，將基于行為的行為與基于模型檢查的方法相結合，并同時使用深度學習和云技術一定會提供更好的檢測機制。此外，使用區(qū)塊鏈和大數(shù)據等新技術可能會提供更多機會來構建更有效的檢測器。

2 深度學習的特點

深度學習是數(shù)據挖掘和機器學習的一個新領域，已在各種各樣的應用領域取得了成功，例如計算機視覺、音頻和自然語言處理。卷積神經網絡（Convolutional Neural Network,CNN）是深度學習中最具代表性的算法之一。CNN的最顯著特征是它通過權重共享，局部場和空間中的子樣本的思想來減少了大量的計算。它在一組CNN神經元之間具有相同的權重，通過卷積運算在局部場上挖掘特征信息。CNN直接將原始數(shù)據的向量表示作為輸入，并以端到端的結構前向傳播輸出分類或回歸結果。通過反向傳播算法更新CNN的神經元權重。CNN的典型應用是通過多個卷積層和池化層來識別手寫數(shù)字。每個卷積層輸出一組特征圖，而每個特征圖表示通過一個特定的卷積濾波器提取的高級特征。并且池化層主要使用局部相關原理完成下采樣，因此后續(xù)的卷積層可以從更全局的角度提取特征，這些大大減少了用于訓練深度網絡的權重參數(shù)和計算的數(shù)量。

多層深度學習架構在特征學習方面具有卓越的能力。更重要的是，深度學習架構通過分層預訓練克服了學習上的困難，即從最低層到最高層對多層特征檢測器進行預訓練以構建最終的分類模型。這啟發(fā)我們設計基于深度學習的惡意軟件檢測架構。

3 基于深度學習的惡意軟件檢測

近年來，不少深度學習的研究工作已經投入到惡意軟件檢測上。Zhu D等人[5]提出了DeepFlow，這是一種基于深度學習的新穎方法，可直接從Android應用程序中的數(shù)據流中識別惡意軟件。在數(shù)千種良性軟件和惡意軟件上測試DeepFlow，結果表明DeepFlow可以達到95.05%的高檢測F1分數(shù)，優(yōu)于傳統(tǒng)的基于機器學習的方法，這表明了深度學習技術在惡意軟件檢測中的優(yōu)勢。

我們提出一種基于深度學習的惡意軟件檢測方法，該方法使用CNN和長短期記憶網絡（Long Short-Term Memory，LSTM）。對于惡意軟件檢測，實際上執(zhí)行二進制分類任務。我們的方法接收原始文件數(shù)據作為輸入，并輸出表明該惡意軟件可能性的識別概率。具體而言，檢測過程可以分為兩個階段。第一階段是預處理惡意軟件樣本數(shù)據，它采用可執(zhí)行文件的二進制形式，從中生成灰度圖像，并使用反編譯工具提取操作碼序列和元數(shù)據特征。因此，此階段將生成適當?shù)臄?shù)據格式，作為后續(xù)CNN和LSTM網絡的輸入。第二階段應用檢測網絡的核心過程，該過程分別采用CNN和LSTM網絡，從灰度圖像和操作碼序列中學習。為了優(yōu)化檢測性能，我們使用堆棧集成來集成兩個網絡的輸出和元數(shù)據特征。實際上從原始數(shù)據中學習了三種不同的特征集。首先，檢測網絡通過CNN從灰度圖像中學習惡意文件結構特征，然后通過LSTM從操作碼序列中學習惡意代碼模式特征。這兩個特征集整合并完善局部模式信息。同時，添加了一些簡單的元數(shù)據特征來描述全局信息。最后使用卷積塊對整合后的三種特征進行卷積操作，學習并壓縮特征，最終輸出的預測結果。

4 結語

深度學習能夠處理非結構化的數(shù)據，具有強大的表征學習能力，通過深層的網絡學習數(shù)據的特征，同時能大大降低特征量。并且許多現(xiàn)有的應用實例也表明了深度學習在分類任務上具有高準確率。這讓基于深度學習的惡意軟件檢測存在獨有的優(yōu)勢，啟發(fā)我們設計基于深度學習的惡意軟件檢測架構。