傳統(tǒng)和深度學(xué)習(xí)方法在惡意軟件檢測中的應(yīng)用

張燕子

（西安郵電大學(xué)信息中心，陜西 西安 710121）

0 引 言

基于深度學(xué)習(xí)模型進(jìn)行網(wǎng)絡(luò)空間安全特別是軟件安全檢測方面的研究，已成為當(dāng)前的熱點。XIN Y[1]等人分析了機(jī)器學(xué)習(xí)和深度學(xué)習(xí)算法在網(wǎng)絡(luò)空間入侵檢測的關(guān)鍵案例。SUCIU O[2]討論了惡意軟件的對抗示例性方面的問題。LI H[3]等人提出一種基于雙目標(biāo)對抗網(wǎng)絡(luò)的反例攻擊方法。CHEN B[4]等人提出兩種白盒方法和一種黑盒方法來攻擊惡意軟件檢測器以及利用GAN進(jìn)行某種防御訓(xùn)練。JAVAID[5]等人通過基準(zhǔn)數(shù)據(jù)集的改進(jìn)版本來驗證基于NIDS的自學(xué)學(xué)習(xí)的可用性。YUANCHENG L[6]等人提出了一種基于自動編碼器和深度信念網(wǎng)絡(luò)的混合惡意代碼檢測方案，具有較好的檢測性能。TAO M[7]等人提出了一種結(jié)合譜聚類（SC）和深度神經(jīng)網(wǎng)絡(luò)（DNN）算法的SCDNN算法，提升了檢測準(zhǔn)確率。以上的研究方法都是通過深度學(xué)習(xí)模型改進(jìn)和升級的。本文對傳統(tǒng)惡意軟件檢測方法與基于深度學(xué)習(xí)的惡意軟件檢測方法之間的特點、區(qū)別和聯(lián)系進(jìn)行分析，并討論了軟件安全未來可能面臨的主要挑戰(zhàn)。

1 研究背景

國家計算機(jī)網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心發(fā)布的《計算機(jī)惡意程序傳播渠道安全監(jiān)測報告》顯示，高危惡意程序占惡意程序總數(shù)的2/3，木馬類惡意程序占45.5%。2019年，有超過6 200萬的計算機(jī)惡意軟件樣本已經(jīng)備案，其中包含計算機(jī)惡意程序家族66萬多個，由此可見對惡意軟件的防控不可忽視。根據(jù)Malwarebytes Labs發(fā)布的《2020 State of Malware Report》，2019年的網(wǎng)絡(luò)威脅主要是詐騙銀行木馬Emotet，攻擊者通過編寫惡意宏代碼的釣魚軟件作為載荷附著在郵件中，從而進(jìn)行病毒的傳播。國家計算機(jī)網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心發(fā)布了《2019年我國互聯(lián)網(wǎng)網(wǎng)絡(luò)安全現(xiàn)狀》，報告顯示軟件安全局勢出現(xiàn)向好的一面，惡意程序增量首次出現(xiàn)下降，這為以后的檢測和防控工作帶來希望。

2 惡意軟件分類

常見的惡意軟件分類及其特點如表1所示。

表1 常見的惡意軟件分類及其特點

3 傳統(tǒng)的惡意軟件檢測方法

3.1 靜態(tài)分析

靜態(tài)分析是惡意軟件分析過程的第一步，負(fù)責(zé)檢查可執(zhí)行文件但不查看實際的指令?；镜撵o態(tài)分析可以判斷文件是否存在惡意行為，提供關(guān)于文件功能信息或生成簡單網(wǎng)絡(luò)簽名的信息。靜態(tài)分析對復(fù)雜的惡意軟件基本上無效，往往錯過一些較為重要的惡意行為。

3.1.1 消息摘要算法5

消息摘要算法5（簡稱MD5）是一種常用的惡意軟件識別方法。通過哈希函數(shù)運行惡意軟件，生成的哈希值用于識別某種特定的惡意軟件。在深度學(xué)習(xí)中，特征提取哈希是一種常用算法，它可以將任意大小的數(shù)據(jù)映射成固定大小的數(shù)據(jù)。

3.1.2 PEiD檢測

PEiD是檢測包裝文件的常用方法，通常利用其來檢測通過打包器或編譯器生成的文件。由于惡意軟件經(jīng)常被包裝或混淆，以至于其生成的惡意文件更難被檢測，因此會嚴(yán)重阻礙惡意軟件的分析工作。PEiD在工作中也存在安全隱患，原因是其插件往往會自動運行惡意可執(zhí)行文件，因此需要營造一個安全的惡意運行和分析環(huán)境。

3.1.3 可執(zhí)行文件格式分析

PE文件格式是一種數(shù)據(jù)結(jié)構(gòu)類型，Windows系統(tǒng)中加載的幾乎所有可執(zhí)行代碼的文件都是PE文件格式。PE文件從頭部開始，包括代碼、應(yīng)用程序類型、庫函數(shù)等信息，文件頭部中的信息對惡意軟件分析人員很有價值。

3.1.4 交互式反匯編專家（IDA Pro）

IDA Pro作為高級的靜態(tài)分析方法，也是大多數(shù)惡意軟件分析人員、漏洞分析人員的首選反匯編工具。字符串是惡意軟件靜態(tài)分析的起點，利用其交叉引用特性來查看字符串在代碼中的確切位置和使用方式，另外反匯編器提供了程序在第一個指令執(zhí)行之前的快照。

3.2 動態(tài)分析

動態(tài)分析技術(shù)是惡意軟件分析過程的第二步。動態(tài)分析通常是在基本靜態(tài)分析作用效果不明顯之后采取的加強措施，它可以在惡意軟件運行時監(jiān)視惡意軟件，或者在惡意軟件執(zhí)行后檢查系統(tǒng)。與靜態(tài)分析不同，動態(tài)分析允許查看惡意軟件的真正功能和內(nèi)部信息。動態(tài)分析也是識別惡意軟件的有效方法。

3.2.1 沙 箱

沙箱技術(shù)作為基本的動態(tài)分析工具，也是一種安全機(jī)制。它的作用在于為不被信任的程序提供了一個安全的運行環(huán)境，并且系統(tǒng)本身不會被真正的損害，這彌補了PEiD檢測的不足。沙箱利用在虛擬環(huán)境中的某些條件來模擬網(wǎng)絡(luò)服務(wù)，其目的是確保被測試的軟件或惡意軟件能夠正常運行。沙箱并不是完美的，因為它沒有命令行選項而無法執(zhí)行命令操作。另外，沙箱可能不會記錄所有事件，因為它沒有足夠的等候時間。

3.2.2 Process Monitor

Process Monitor（簡 稱Procmon）是Windows系統(tǒng)中的高級監(jiān)視工具，通過監(jiān)視某些注冊表、網(wǎng)絡(luò)進(jìn)程及線程活動來判斷有無惡意行為。利用Procmon可監(jiān)視所有運行時的系統(tǒng)調(diào)用，但不可能檢查全部。另外，其長時間工作會占用可用內(nèi)存以致內(nèi)存耗盡，最終使虛擬機(jī)無法工作。

3.2.3 Process Explorer

Process Explorer作為任務(wù)管理器，通常在執(zhí)行動態(tài)分析使用。它可以對系統(tǒng)內(nèi)運行的進(jìn)程（包括進(jìn)程、DLL、系統(tǒng)信息）提供有利的分析。此外還可使用它來啟動、驗證、終止進(jìn)程。Process Explorer可以將正在監(jiān)視的進(jìn)程以樹形結(jié)構(gòu)可視化顯示。

3.2.4 OllyDbg

OllyDbg是用于惡意軟件分析測試的高級動態(tài)調(diào)試器。調(diào)試器是一種軟件或硬件，用于測試另一個程序的運行情況并查看其在程序運行時的動態(tài)視圖，這些信息很難從反匯編器獲得。WinDbg作為OllyDbg的升級版，可以輔助其進(jìn)行內(nèi)核調(diào)試和Rootkit分析。

動態(tài)技術(shù)存在局限性，并不是所有的代碼路徑都可以在惡意軟件運行時執(zhí)行。目前較好的辦法是使用先進(jìn)的動態(tài)或動靜結(jié)合技術(shù)來解決強制惡意軟件執(zhí)行的問題。

3.3 常用檢測工具

VirusTotal是一個使用許多不同的防病毒程序來掃描惡意軟件的在線服務(wù)網(wǎng)站，同時也是一個綜合性的惡意軟件數(shù)據(jù)集。Wireshark是一個動態(tài)分析網(wǎng)絡(luò)數(shù)據(jù)包和網(wǎng)絡(luò)協(xié)議的工具，可以捕獲惡意網(wǎng)絡(luò)流量并分析許多不同的網(wǎng)絡(luò)協(xié)議。PE Explorer是用來查看可執(zhí)行文件格式的分析工具，將其作為靜態(tài)解壓縮器可自動解包文件。Capture BAT是一個用于監(jiān)控正在運行的惡意軟件的動態(tài)分析工具，其主要負(fù)責(zé)監(jiān)視文件系統(tǒng)、注冊表及進(jìn)程活動。

4 基于深度學(xué)習(xí)的惡意軟件檢測方法

深度學(xué)習(xí)是機(jī)器學(xué)習(xí)的一個重要分支。面對海量網(wǎng)絡(luò)應(yīng)用流量數(shù)據(jù)時，傳統(tǒng)的檢測方法很難有效判斷新型惡意程序的特征，即使設(shè)計出惡意特征數(shù)據(jù)庫，也需要耗費大量人力成本?；谏疃葘W(xué)習(xí)技術(shù)設(shè)計的智能化惡意檢測方法可以有效檢測新出現(xiàn)的樣本，極大程度地減少人工參與的工作量，具有較強的泛化能力。下面列舉幾個典型的深度學(xué)習(xí)檢測模型。

4.1 Malconv模型

MalConv模型基于門控卷積神經(jīng)網(wǎng)絡(luò)（Gated-CNN）實現(xiàn)端到端的惡意代碼檢測模型。輸入層以二進(jìn)制文件作為數(shù)據(jù)集，如PE主要分析其文件頭部信息，經(jīng)過嵌入層的數(shù)據(jù)預(yù)處理后得到固定大小的特征映射矩陣，將每個輸入字節(jié)映射到D維向量，在卷積層將特征圖與卷積核進(jìn)行點積運算，通過兩個激活函數(shù)得到輸出特征圖，采用0元素填充，利用門控層用于解決梯度消失的問題，采用最大池化進(jìn)行降采樣，再經(jīng)過全連接層和Softmax層，得到是否為惡意程序的概率。MalConv模型結(jié)構(gòu)[8]如圖1 所示。

圖1 Malconv模型結(jié)構(gòu)

4.2 ScaleMalNet模型

ScaleMalNet是一種用于惡意軟件檢測的可擴(kuò)展深度學(xué)習(xí)網(wǎng)絡(luò)體系結(jié)構(gòu)。該框架以分布方式從不同來源收集惡意軟件樣本，并以分布式方式應(yīng)用預(yù)處理，能夠?qū)崟r且按需處理大量惡意軟件樣本。ScaleMalNet框架對終端用戶主機(jī)收集的惡意軟件進(jìn)行深入學(xué)習(xí)，并遵循兩個階段的惡意軟件分析過程。在第一階段，采用靜態(tài)和動態(tài)分析相結(jié)合的方法對惡意軟件進(jìn)行分類；在第二階段，利用圖像處理方法將惡意軟件分為相應(yīng)的惡意軟件類別。ScaleMalNe對于惡意程序的實時分析框架[9]如圖2所示。

圖2 ScaleMalNet模型實時分析框架圖

4.3 DroidDetector模型

DroidDetector是一款基于深度學(xué)習(xí)開發(fā)的Android惡意軟件檢測引擎[10]，本質(zhì)上利用關(guān)聯(lián)規(guī)則挖掘技術(shù)來表征惡意軟件的特征。該引擎以在線方式自動檢測應(yīng)用程序是否為惡意軟件，一旦應(yīng)用程序的.apk文件被提交，DroidDetector會檢查其完整性并確定其是否為完整、正確、合法的Android應(yīng)用程序。接下來，DroidDetector執(zhí)行靜態(tài)分析以獲取此應(yīng)用程序使用的權(quán)限和敏感API，通過在DroidBox中安裝并運行此應(yīng)用程序一段固定時間來執(zhí)行動態(tài)分析。通過這種方式，可以識別正在執(zhí)行的動態(tài)行為。DroidDetector的框架模型如圖3所示。

圖3 DroidDetector框架結(jié)構(gòu)圖

5 傳統(tǒng)與基于深度學(xué)習(xí)的檢測方法分析

傳統(tǒng)的惡意程序檢測方法主要通過人工方式對軟件的特征規(guī)則信息進(jìn)行設(shè)計與提取，將已經(jīng)確定的惡意軟件的特征碼與目標(biāo)待檢測程序的特征碼進(jìn)行比對，根據(jù)比對的匹配程度設(shè)定判定閾值，一般分為惡意與非惡意兩種結(jié)果。這種方式的優(yōu)點在于特征獲取比較直觀，具有較為豐富的語義信息；缺點是需要大量的人工制定，并且對于未出現(xiàn)在惡意程序特征庫中的新型惡意軟件無法做出有效 分類。

基于深度學(xué)習(xí)卷積神經(jīng)網(wǎng)絡(luò)的惡意程序檢測方法主要通過神經(jīng)網(wǎng)絡(luò)自動提取軟件中的特征信息，經(jīng)過提前設(shè)計好的分類器，可以對海量樣本數(shù)量進(jìn)行有效預(yù)測與分類。這種方式的優(yōu)點是減少了人工提取特征信息的工作量，可自動學(xué)習(xí)與判別新的惡意程序信息；缺點是可解釋性差，模型對于分析人員來說是無法掌握判定理由的黑盒，難以提供確切的可信任決策依據(jù)。

分別從檢測機(jī)制原理、使用范圍、檢測時間及存在的問題等幾個方面對傳統(tǒng)檢測方法和深度學(xué)習(xí)檢測方法進(jìn)行了比較，比較結(jié)果如表1所示。

表1 檢測方法對比分析表

6 結(jié) 語

傳統(tǒng)的惡意程序檢測技術(shù)一般都需要大量的人工參與，難以適應(yīng)互聯(lián)網(wǎng)海量應(yīng)用數(shù)據(jù)的檢測。利用深度學(xué)習(xí)框架設(shè)計的智能惡意程序檢測方法能夠自動化批處理海量樣本，并且對于新型惡意程序檢測具有良好的泛化能力，但普遍存在可解釋性差、難以提供決策依據(jù)的缺點。在未來的惡意軟件檢測技術(shù)發(fā)展中，用人工智能技術(shù)為傳統(tǒng)檢測方法賦能，是一個很有價值的發(fā)展方向，還有很多問題有待解決。