楊波　張健　李煥洲　唐彰國(guó)　李智翔

摘要：為解決現(xiàn)有惡意代碼檢測(cè)方法存在的特征提取能力不足、檢測(cè)模型泛化性弱的問(wèn)題，提出了一種基于Windows API調(diào)用序列的惡意代碼檢測(cè)方法.使用N-gram算法和TF-IDF算法提取序列的統(tǒng)計(jì)特征，采用Word2Vec模型提取語(yǔ)義特征，將統(tǒng)計(jì)特征和語(yǔ)義特征進(jìn)行特征融合，作為API調(diào)用序列的特征.設(shè)計(jì)了基于Stacking的三層檢測(cè)模型，通過(guò)多個(gè)弱學(xué)習(xí)器構(gòu)成一個(gè)強(qiáng)學(xué)習(xí)器提高檢測(cè)模型性能.實(shí)驗(yàn)結(jié)果表明，提出的特征提取方法可以獲得更關(guān)鍵的特征，設(shè)計(jì)的檢測(cè)模型的準(zhǔn)確率、精確率、召回率均優(yōu)于單一模型且具有良好的泛化性，證明了檢測(cè)方法的有效性.

關(guān)鍵詞：惡意代碼檢測(cè); API調(diào)用序列; 特征融合; 機(jī)器學(xué)習(xí); 三層檢測(cè)模型

中圖分類(lèi)號(hào)：TP309.5 文獻(xiàn)標(biāo)志碼：A 文章編號(hào)：1001-8395（2023）05-0700-06

Windows操作系統(tǒng)一直是使用最廣泛的PC端操作系統(tǒng)，在給人們的工作和生活帶來(lái)方便的同時(shí)，也受到許多針對(duì)Windows操作系統(tǒng)的惡意代碼的攻擊.傳統(tǒng)的惡意代碼檢測(cè)方法依賴(lài)大量的人工進(jìn)行手動(dòng)分析且速度較慢，面對(duì)未知病毒時(shí)無(wú)法及時(shí)更新其特征庫(kù)，導(dǎo)致難以檢測(cè)未知病毒.

針對(duì)以上問(wèn)題，人們開(kāi)始研究基于機(jī)器學(xué)習(xí)的惡意代碼檢測(cè)方法，此方法包括靜態(tài)檢測(cè)方法和動(dòng)態(tài)檢測(cè)方法[1].靜態(tài)檢測(cè)方法通過(guò)對(duì)惡意代碼進(jìn)行反編譯獲取文件字節(jié)碼操作碼等靜態(tài)特征進(jìn)行檢測(cè)，具有流程簡(jiǎn)便、執(zhí)行速度快的優(yōu)點(diǎn).但對(duì)于經(jīng)過(guò)加殼、代碼混淆等操作的惡意程序，靜態(tài)分析很難獲取其源代碼相關(guān)信息，使得準(zhǔn)確率較低.動(dòng)態(tài)檢測(cè)方法通過(guò)將惡意代碼放置在沙箱等虛擬環(huán)境中運(yùn)行，可以獲取惡意代碼運(yùn)行中的Windows API（application programming interface）調(diào)用序列、網(wǎng)絡(luò)流量等動(dòng)態(tài)特征進(jìn)行檢測(cè).API調(diào)用序列可以反映一個(gè)惡意代碼的實(shí)際運(yùn)行情況，是惡意代碼檢測(cè)中非常重要的特征.Tang等[2]提出了一種API序列的特征提取方法，根據(jù)顏色映射規(guī)則、API的類(lèi)別、出現(xiàn)次數(shù)生成特征圖像，采用卷積神經(jīng)網(wǎng)絡(luò)模型對(duì)圖像分類(lèi).雷凱[3]通過(guò)挖掘API調(diào)用序列數(shù)據(jù)信息，將API分為296類(lèi)，對(duì)API進(jìn)行One-hot編碼，使用Light GBM模型進(jìn)行分類(lèi)，取得了97.4%的準(zhǔn)確率，但通過(guò)調(diào)用種類(lèi)對(duì)API序列進(jìn)行分類(lèi)會(huì)明顯丟失API序列的時(shí)序特征.文獻(xiàn)[1-2]均在基于API調(diào)用序列的動(dòng)態(tài)檢測(cè)技術(shù)上有所研究.這些研究成果可以很好應(yīng)對(duì)靜態(tài)檢測(cè)技術(shù)的缺點(diǎn)，但也存在特征提取能力不足，模型泛化能力差的缺點(diǎn).

本文以惡意代碼的API調(diào)用序列為研究對(duì)象，提出了一種基于Windows API調(diào)用序列的惡意代碼檢測(cè)算法.主要貢獻(xiàn)如下：1） 提出一種新的基于API調(diào)用序列的惡意代碼特征提取方法，從統(tǒng)計(jì)特征與語(yǔ)義特征2個(gè)角度完成了對(duì)API序列的特征提取，可以從API序列中獲得更加豐富的特征;2） 設(shè)計(jì)基于Stacking集成策略的三層檢測(cè)模型，使用多個(gè)不同的弱學(xué)習(xí)器構(gòu)成一個(gè)強(qiáng)學(xué)習(xí)器，提升了檢測(cè)模型的性能.

1相關(guān)知識(shí)

1.1Windows API Windows API是Windows操作系統(tǒng)中內(nèi)置的功能函數(shù)，是應(yīng)用程序與Windows操作系統(tǒng)交互的接口.例如，應(yīng)用程序如果想要實(shí)現(xiàn)獲取權(quán)限、刪除文件、修改注冊(cè)表等功能就需要調(diào)用API實(shí)現(xiàn).

惡意代碼通過(guò)調(diào)用一系列的API來(lái)實(shí)現(xiàn)某種惡意行為.惡意行為相似的惡意代碼往往調(diào)用的API也具有相似性.因此可以通過(guò)分析API調(diào)用序列來(lái)判斷樣本是惡意樣本還是良性樣本.

1.2N-gram算法 N-gram算法是一種基于統(tǒng)計(jì)語(yǔ)言模型的算法，被廣泛應(yīng)用于詞性標(biāo)注、垃圾郵件分類(lèi)、機(jī)器翻譯和語(yǔ)音識(shí)別中.它的基本思想是將文本里面的內(nèi)容按照詞語(yǔ)進(jìn)行大小為N的滑動(dòng)窗口操作，形成長(zhǎng)度是N的詞語(yǔ)片段序列.其中N是指連續(xù)的N個(gè)詞語(yǔ)，N的取值任意.使用N-gram算法對(duì)API調(diào)用序列進(jìn)行特征提取，將這個(gè)序列以N為大小進(jìn)行窗口滑動(dòng)操作得到長(zhǎng)度為N的API序列.

N-gram算法可以較好地保留單個(gè)API之間的時(shí)序特性，但是當(dāng)N越大時(shí)，特征維數(shù)會(huì)急劇增加，使得分類(lèi)器的學(xué)習(xí)時(shí)間過(guò)長(zhǎng)、模型復(fù)雜度過(guò)高.因此，在使用N-gram算法時(shí)，需要選擇合適的N值.

1.3TF-IDF算法 TF-IDF（term frequency-inverse document frequency，詞頻-逆向文件頻率）是一種統(tǒng)計(jì)方法，用以評(píng)估一段文字中一個(gè)詞語(yǔ)在一個(gè)語(yǔ)料庫(kù)中的重要程度.核心思想是：如果某個(gè)詞語(yǔ)在一段文字中出現(xiàn)的頻率高且在其他文字中出現(xiàn)的頻率很低，則認(rèn)為此詞語(yǔ)具有很好的類(lèi)別區(qū)分能力，適合用來(lái)分類(lèi).TF-IDF值的計(jì)算可表示為：TF-IDF=TF·IDF#.（1）TF表示某個(gè)API片段在樣本j中出現(xiàn)的頻率，定義為

1.4Word2Vec模型 Word2Vec是一種從大量文本語(yǔ)料中以無(wú)監(jiān)督方式學(xué)習(xí)語(yǔ)義知識(shí)的語(yǔ)言模型，被廣泛地應(yīng)用于自然語(yǔ)言處理中.Word2Vec模型本質(zhì)上是具有一個(gè)隱含層的神經(jīng)元網(wǎng)絡(luò)，其特點(diǎn)是能夠?qū)卧~轉(zhuǎn)化為向量來(lái)表示，以便定量地去度量詞與詞之間的關(guān)系.

Word2Vec模型有CBOW[4]和Skip-Gram[5]兩種方式.CBOW方法用周?chē)~預(yù)測(cè)中心詞，根據(jù)中心的預(yù)測(cè)結(jié)果，使用Gradient Descent調(diào)整周?chē)~的向量.Skip-Gram方法用中心詞來(lái)預(yù)測(cè)周?chē)~，根據(jù)周?chē)~的預(yù)測(cè)結(jié)果，使用Gradient Descent調(diào)整中心詞的詞向量.CBOW對(duì)小型數(shù)據(jù)庫(kù)比較合適;Skip-Gram在大型語(yǔ)料中表現(xiàn)更好，語(yǔ)料庫(kù)中有大量低頻詞時(shí)Skip-Gram的學(xué)習(xí)更加細(xì)致.

1.5集成學(xué)習(xí) 集成學(xué)習(xí)就是將多個(gè)弱學(xué)習(xí)器按某種組合策略進(jìn)行組合，構(gòu)成一個(gè)強(qiáng)學(xué)習(xí)器，發(fā)揮單個(gè)學(xué)習(xí)器各自的優(yōu)點(diǎn)，提高整體模型的分類(lèi)性能[6].Sagi等[7]指出集成學(xué)習(xí)可以提高模型的性能的原因有以下3點(diǎn)：

1） 避免過(guò)擬合：當(dāng)只有少量數(shù)據(jù)可用時(shí)，學(xué)習(xí)算法容易找到許多不同的假設(shè)，這些假設(shè)正確地預(yù)測(cè)了所有訓(xùn)練數(shù)據(jù)，而對(duì)未知實(shí)例的預(yù)測(cè)較差.平均不同的假設(shè)可以降低選擇錯(cuò)誤假設(shè)的風(fēng)險(xiǎn)，從而提高整體預(yù)測(cè)性能.

2） 計(jì)算優(yōu)勢(shì)：執(zhí)行局部搜索的單個(gè)學(xué)習(xí)器可能陷入局部最優(yōu).通過(guò)組合多個(gè)學(xué)習(xí)器，集成方法降低了獲得局部最小值的風(fēng)險(xiǎn).

3） 最佳假設(shè)：組合不同的學(xué)習(xí)器，可以擴(kuò)展搜索空間，從而更好地?cái)M合數(shù)據(jù)空間.

常見(jiàn)的組合策略有Bagging、Boosting、Stacking.Bagging的主要作用是減少數(shù)據(jù)的方差，Boosting主要作用是減少數(shù)據(jù)的偏差，Stacking集成學(xué)習(xí)框架是一種具有數(shù)學(xué)基礎(chǔ)，并且在不同領(lǐng)域得到良好應(yīng)用的集成學(xué)習(xí)算法，主要用于提升預(yù)測(cè)結(jié)果.

2基于Windows API的惡意代碼檢測(cè)方法

2.1算法設(shè)計(jì) 本文提出的惡意代碼檢測(cè)方法總體架構(gòu)如圖1所示.基本步驟如下：

1） 使用沙箱獲取待檢測(cè)樣本的API調(diào)用序列，API進(jìn)行截?cái)嗯c去重操作;

2） 提取API調(diào)用序列的統(tǒng)計(jì)特征與語(yǔ)義特征;

3） 使用基于Stacking的三層檢測(cè)模型進(jìn)行檢測(cè).

2.2數(shù)據(jù)預(yù)處理 由于原始數(shù)據(jù)中的API序列數(shù)據(jù)較為冗余.本文借鑒文獻(xiàn)[8]的方法，對(duì)API序列中的連續(xù)出現(xiàn)相同的API合并為一個(gè)API.

2.3特征提取 本文使用N-gram算法和TF-IDF算法提取API序列的統(tǒng)計(jì)特征，使用Word2Vec模型提取API序列的語(yǔ)義特征.統(tǒng)計(jì)特征和語(yǔ)義特征進(jìn)行拼接作為融合特征.

1） 統(tǒng)計(jì)特征提取.使用N-gram算法將API序列處理成API片段.利用TF-IDF算法計(jì)算每個(gè)API片段的TF-IDF值作為API片段的特征值，可以為區(qū)分度較強(qiáng)的API片段分配更高的權(quán)重.N-gram算法導(dǎo)致特征維度過(guò)高，計(jì)算TF-IDF值時(shí)需要設(shè)置參數(shù)min_df與max_df過(guò)濾API片段進(jìn)行特征降維.即當(dāng)一個(gè)API片段的出現(xiàn)頻率（API_df）小于等于min_df或大于等于max_df時(shí)，則舍棄該API片段，可以有效地減少API序列的特征維度.

2） 語(yǔ)義特征提取.由于API序列數(shù)據(jù)量較大，故采用Word2Vec模型的Skip-Gram方法訓(xùn)練Word2Vec模型，訓(xùn)練完成后可以將每個(gè)API表示為k維向量，向量之間的空間距離越小則說(shuō)明二者的語(yǔ)義越相似.本文使用Word2Vec模型獲取API序列中單個(gè)API向量，以API序列的API向量的平均值作為此API序列的語(yǔ)義特征.

2.4基于Stacking的三層檢測(cè)模型設(shè)計(jì) 本文采用Stacking組合策略設(shè)計(jì)了一個(gè)三層檢測(cè)模型，以提高模型的預(yù)測(cè)性能.本文設(shè)計(jì)的基于Stacking的三層檢測(cè)模型第一層為隨機(jī)森林（random forest，RF），第二層為L(zhǎng)ight GBM（LGB）和XGBoost（XGB），第三層為邏輯回歸（Logistic regression，LR）.第一層使用特征維度為n的原始數(shù)據(jù)訓(xùn)練隨機(jī)森林，獲得一組預(yù)測(cè)結(jié)果R1以及對(duì)特征的重要性排序;根據(jù)特征的重要性，選擇m維特征作為第二層的輸入來(lái)訓(xùn)練LGB和XGB，在第二層獲得2組預(yù)測(cè)結(jié)果R2和R3;以上述的三組預(yù)測(cè)結(jié)果作為第三層LR的輸入，LR的預(yù)測(cè)結(jié)果作為最后的結(jié)果.

3實(shí)驗(yàn)結(jié)果與分析

本章完成了本文提出的特征提取方法的論證，以及本文所設(shè)計(jì)模型的評(píng)估.

3.1數(shù)據(jù)集 本文共使用3個(gè)數(shù)據(jù)集.數(shù)據(jù)集1來(lái)自阿里云安全惡意程序檢測(cè)比賽，共約9 000萬(wàn)次調(diào)用記錄[9];數(shù)據(jù)集2來(lái)自文獻(xiàn)[10]中公開(kāi)的數(shù)據(jù)集;數(shù)據(jù)集3來(lái)自Kaggle網(wǎng)站上公開(kāi)的數(shù)據(jù)集[11]，各數(shù)據(jù)集樣本分布如表1所示.后續(xù)實(shí)驗(yàn)中采用5次5折交叉驗(yàn)證進(jìn)行實(shí)驗(yàn)，實(shí)驗(yàn)結(jié)果為各次實(shí)驗(yàn)結(jié)果的平均值.

3.2評(píng)價(jià)指標(biāo) 機(jī)器學(xué)習(xí)中常用準(zhǔn)確率Acc（Accuracy）、精確率Pre（Precision）、召回率Rec（Recall）、F1值（F1-score）和ROC（Receiver Operating Characteristic）曲線(xiàn)對(duì)模型的性能進(jìn)行分析評(píng)估.

3.3實(shí)驗(yàn)環(huán)境 本文的實(shí)驗(yàn)環(huán)境分為硬件環(huán)境和軟件環(huán)境，硬件環(huán)境：CPU（2.2 GHz）、內(nèi)存（128 GB）、磁盤(pán)（36 TB）;軟件環(huán)境：系統(tǒng)環(huán)境（Centos 7.8）、Python環(huán)境（Python 3.6）.

3.4特征提取 本節(jié)實(shí)驗(yàn)在數(shù)據(jù)集1上完成了對(duì)API調(diào)用序列的特征提取.首先使用N-gram算法完成對(duì)API序列的離散化，計(jì)算API序列片段的TF-IDF值并設(shè)置min_df與max_df剔除冗余API片段，得到一維統(tǒng)計(jì)特征.其次，訓(xùn)練Word2Vec模型，得到API序列的統(tǒng)計(jì)特征.統(tǒng)計(jì)特征與語(yǔ)義特征進(jìn)行拼接作為融合特征.

3.5模型評(píng)估 經(jīng)過(guò)特征提取后，獲得的融合特征的維度為1 361維.本節(jié)實(shí)驗(yàn)使用本文設(shè)計(jì)的基于Stacking的三層檢測(cè)模型（ST）與單一模型進(jìn)行比較.實(shí)驗(yàn)結(jié)果分別如表4和圖2所示.

3.6檢測(cè)方法評(píng)估 本文方法與文獻(xiàn)[12-14]的方法，在數(shù)據(jù)集1上進(jìn)行對(duì)照實(shí)驗(yàn).實(shí)驗(yàn)結(jié)果表明：文獻(xiàn)[12-14]及本文的方法Acc分別為96.70%、97.10%、97.91%和98.30%.

可以看出本文提出的方法要優(yōu)于其他3個(gè)方法.其原因在于：1） 使用N-gram算法可以保留單個(gè)API之間時(shí)序特性.使用TF-IDF算法可以反映API的調(diào)用頻率特性，給分類(lèi)能力強(qiáng)的API片段賦予更高的權(quán)重，通過(guò)設(shè)置參數(shù)min_df和max_df過(guò)濾掉一些分類(lèi)能力較弱的API片段.使用Word2Vec模型可以從API的語(yǔ)義層面反應(yīng)API之間的關(guān)系.因此，本文所提出的惡意代碼特征提取方法可以獲得更重要的特征;2） 本文通過(guò)基于Stacking集成策略設(shè)計(jì)的學(xué)習(xí)器可以繼承各個(gè)學(xué)習(xí)器的優(yōu)點(diǎn)，增強(qiáng)模型的泛化性.所以在最后的實(shí)驗(yàn)中可以取得較好的檢測(cè)效果.

4結(jié)論

為了充分挖掘出API調(diào)用序列中的重要特征，提高模型的準(zhǔn)確性和泛化能力，本文提出了一種從API序列提取特征的方法，提取API序列的統(tǒng)計(jì)特征和語(yǔ)義特征為融合特征.設(shè)計(jì)了基于Stacking的三層檢測(cè)模型，利用集成學(xué)習(xí)的思想使用多個(gè)學(xué)習(xí)器構(gòu)成一個(gè)學(xué)習(xí)器，以提高模型的性能.實(shí)驗(yàn)結(jié)果表明，本文的特征提取方法是有效的.在多個(gè)數(shù)據(jù)集上證明了基于Stacking的三層檢測(cè)模型具有良好的準(zhǔn)確率和泛化性.通過(guò)與其他文獻(xiàn)的方法進(jìn)行比較，證明了本文檢測(cè)方法具有一定優(yōu)勢(shì).

參考文獻(xiàn)

[1] GIBERT D， MATEU C， PLANES J. The rise of machine learning for detection and classification of malware：research developments， trends and challenges[J]. J Netw Comput Appl，2020，153：102526.

[2] TANG M D， QIAN Q. Dynamic API call sequence visualisation for malware classification[J]. IET Inf Secur，2019，13（4）：367-377.

[3] 雷凱. 使用Windows API進(jìn)行惡意軟件檢測(cè)的研究[D]. 北京：北京郵電大學(xué)，2021.

[4] MIKOLOV T， CHEN K， CORRADO G， et al. Efficient estimation of word representations in vector space[EB/OL]. （2013-01-16） [2022-12-14] https：//arxiv.org/pdf/1301.3781.pdf.

[5] MIKOLOV T， SUTSKEVER I， CHEN K， et al. Distributed representations of words and phrases and their compositionality[C]//Proc 26th Inter Conf Neural Info Process Syst. Sydney：NIPS，2013，2：3111-3119.

[6] DONG X B， YU Z W， CAO W M， et al. A survey on ensemble learning[J]. Frontiers of Computer Science，2020，14（2）：241-258.

[7] SAGI O， ROKACH L. Ensemble learning：a survey[J]. Wiley Interdisciplinary Reviews：Data Mining and Knowledge Discovery，2018，8（4）：18.

[8] TOBIYAMA S， YAMAGUCHI Y， SHIMADA H， et al. Malware detection with deep neural network using process behavior[C]//Proc Comput Soft & Appl Conf. Atlanta：IEEE，2016.

[9] 阿里云. 阿里云安全惡意程序檢測(cè)[EB/OL]. [2019-03-24]. https：//tianchi.aliyun.com.

[10] CATAK F O， YAZ A F， ELEZAJ O， et al. Deep learning based sequential model for malware analysis using windows exe API calls[J/OL]. Peer J Comput Sci，2020. doi：10.7717/peerj-cs.285.

[11] OLIVEIRA A. Malware analysis datasets：API call sequences[EB/OL]. （2022-08-20） [2022-12-14] www.kaggle.com.

[12] 蘆效峰，蔣方朔，周簫，等. 基于API序列特征和統(tǒng)計(jì)特征組合的惡意樣本檢測(cè)框架[J]. 清華大學(xué)學(xué)報(bào)（自然科學(xué)版），2018，58（5）：500-508.

[13] 王天歌. 基于API調(diào)用序列的Windows平臺(tái)惡意代碼檢測(cè)方法[D]. 北京：北京交通大學(xué)，2021.

[14] 趙翠镕，張文杰，方勇，等. 基于語(yǔ)義API依賴(lài)圖的惡意代碼檢測(cè)[J]. 四川大學(xué)學(xué)報(bào)（自然科學(xué)版），2020，57（3）：488-494.

Malware Detection Method Based on Windows API Call SequenceYANG Bo ZHANG Jian LI Huanzhou TANG Zhangguo LI Zhixiang（1. College of Physics and Electronic Engineering， Sichuan Normal University， Chengdu 610101， Sichuan;

2. Institute of Network and Communication Technology， Sichuan Normal University， Chengdu 610101， Sichuan）

Abstract：In order to solve the problems of insufficient feature extraction ability and weak generalization of the detection model in existing malicious code detection methods， this paper presents a malicious code detection method based on Windows API call sequence. This detection method uses N-gram algorithm and TF-IDF algorithm to extract the statistical features of the sequence， and uses Word2Vec model to extract the semantic features， and then fuses the statistical features and semantic features as the features of API call sequences. The three-layer detection model based on stacking is designed， which forms a strong learner through multiple weak learners to improve the performance of the detection model. The experimental results show that the proposed feature extraction method can obtain more critical features， and the designed detection model is superior to the single model in accuracy， precision and recall rates， and has good generalization， which proves the effectiveness of the detection method.

Keywords：malware detection; API call sequence; feature fusion; machines learning; three-layer detection model

（編輯 周俊）