張燕子

（西安郵電大學(xué)信息中心，陜西 西安 710121）

0 引 言

基于深度學(xué)習(xí)模型進(jìn)行網(wǎng)絡(luò)空間安全特別是軟件安全檢測(cè)方面的研究，已成為當(dāng)前的熱點(diǎn)。XIN Y[1]等人分析了機(jī)器學(xué)習(xí)和深度學(xué)習(xí)算法在網(wǎng)絡(luò)空間入侵檢測(cè)的關(guān)鍵案例。SUCIU O[2]討論了惡意軟件的對(duì)抗示例性方面的問(wèn)題。LI H[3]等人提出一種基于雙目標(biāo)對(duì)抗網(wǎng)絡(luò)的反例攻擊方法。CHEN B[4]等人提出兩種白盒方法和一種黑盒方法來(lái)攻擊惡意軟件檢測(cè)器以及利用GAN進(jìn)行某種防御訓(xùn)練。JAVAID[5]等人通過(guò)基準(zhǔn)數(shù)據(jù)集的改進(jìn)版本來(lái)驗(yàn)證基于NIDS的自學(xué)學(xué)習(xí)的可用性。YUANCHENG L[6]等人提出了一種基于自動(dòng)編碼器和深度信念網(wǎng)絡(luò)的混合惡意代碼檢測(cè)方案，具有較好的檢測(cè)性能。TAO M[7]等人提出了一種結(jié)合譜聚類(lèi)（SC）和深度神經(jīng)網(wǎng)絡(luò)（DNN）算法的SCDNN算法，提升了檢測(cè)準(zhǔn)確率。以上的研究方法都是通過(guò)深度學(xué)習(xí)模型改進(jìn)和升級(jí)的。本文對(duì)傳統(tǒng)惡意軟件檢測(cè)方法與基于深度學(xué)習(xí)的惡意軟件檢測(cè)方法之間的特點(diǎn)、區(qū)別和聯(lián)系進(jìn)行分析，并討論了軟件安全未來(lái)可能面臨的主要挑戰(zhàn)。

1 研究背景

國(guó)家計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心發(fā)布的《計(jì)算機(jī)惡意程序傳播渠道安全監(jiān)測(cè)報(bào)告》顯示，高危惡意程序占惡意程序總數(shù)的2/3，木馬類(lèi)惡意程序占45.5%。2019年，有超過(guò)6 200萬(wàn)的計(jì)算機(jī)惡意軟件樣本已經(jīng)備案，其中包含計(jì)算機(jī)惡意程序家族66萬(wàn)多個(gè)，由此可見(jiàn)對(duì)惡意軟件的防控不可忽視。根據(jù)Malwarebytes Labs發(fā)布的《2020 State of Malware Report》，2019年的網(wǎng)絡(luò)威脅主要是詐騙銀行木馬Emotet，攻擊者通過(guò)編寫(xiě)惡意宏代碼的釣魚(yú)軟件作為載荷附著在郵件中，從而進(jìn)行病毒的傳播。國(guó)家計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心發(fā)布了《2019年我國(guó)互聯(lián)網(wǎng)網(wǎng)絡(luò)安全現(xiàn)狀》，報(bào)告顯示軟件安全局勢(shì)出現(xiàn)向好的一面，惡意程序增量首次出現(xiàn)下降，這為以后的檢測(cè)和防控工作帶來(lái)希望。

2 惡意軟件分類(lèi)

常見(jiàn)的惡意軟件分類(lèi)及其特點(diǎn)如表1所示。

表1 常見(jiàn)的惡意軟件分類(lèi)及其特點(diǎn)

3 傳統(tǒng)的惡意軟件檢測(cè)方法

3.1 靜態(tài)分析

靜態(tài)分析是惡意軟件分析過(guò)程的第一步，負(fù)責(zé)檢查可執(zhí)行文件但不查看實(shí)際的指令?；镜撵o態(tài)分析可以判斷文件是否存在惡意行為，提供關(guān)于文件功能信息或生成簡(jiǎn)單網(wǎng)絡(luò)簽名的信息。靜態(tài)分析對(duì)復(fù)雜的惡意軟件基本上無(wú)效，往往錯(cuò)過(guò)一些較為重要的惡意行為。

3.1.1 消息摘要算法5

消息摘要算法5（簡(jiǎn)稱(chēng)MD5）是一種常用的惡意軟件識(shí)別方法。通過(guò)哈希函數(shù)運(yùn)行惡意軟件，生成的哈希值用于識(shí)別某種特定的惡意軟件。在深度學(xué)習(xí)中，特征提取哈希是一種常用算法，它可以將任意大小的數(shù)據(jù)映射成固定大小的數(shù)據(jù)。

3.1.2 PEiD檢測(cè)

PEiD是檢測(cè)包裝文件的常用方法，通常利用其來(lái)檢測(cè)通過(guò)打包器或編譯器生成的文件。由于惡意軟件經(jīng)常被包裝或混淆，以至于其生成的惡意文件更難被檢測(cè)，因此會(huì)嚴(yán)重阻礙惡意軟件的分析工作。PEiD在工作中也存在安全隱患，原因是其插件往往會(huì)自動(dòng)運(yùn)行惡意可執(zhí)行文件，因此需要營(yíng)造一個(gè)安全的惡意運(yùn)行和分析環(huán)境。

3.1.3 可執(zhí)行文件格式分析

PE文件格式是一種數(shù)據(jù)結(jié)構(gòu)類(lèi)型，Windows系統(tǒng)中加載的幾乎所有可執(zhí)行代碼的文件都是PE文件格式。PE文件從頭部開(kāi)始，包括代碼、應(yīng)用程序類(lèi)型、庫(kù)函數(shù)等信息，文件頭部中的信息對(duì)惡意軟件分析人員很有價(jià)值。

3.1.4 交互式反匯編專(zhuān)家（IDA Pro）

IDA Pro作為高級(jí)的靜態(tài)分析方法，也是大多數(shù)惡意軟件分析人員、漏洞分析人員的首選反匯編工具。字符串是惡意軟件靜態(tài)分析的起點(diǎn)，利用其交叉引用特性來(lái)查看字符串在代碼中的確切位置和使用方式，另外反匯編器提供了程序在第一個(gè)指令執(zhí)行之前的快照。

3.2 動(dòng)態(tài)分析

動(dòng)態(tài)分析技術(shù)是惡意軟件分析過(guò)程的第二步。動(dòng)態(tài)分析通常是在基本靜態(tài)分析作用效果不明顯之后采取的加強(qiáng)措施，它可以在惡意軟件運(yùn)行時(shí)監(jiān)視惡意軟件，或者在惡意軟件執(zhí)行后檢查系統(tǒng)。與靜態(tài)分析不同，動(dòng)態(tài)分析允許查看惡意軟件的真正功能和內(nèi)部信息。動(dòng)態(tài)分析也是識(shí)別惡意軟件的有效方法。

3.2.1 沙 箱

沙箱技術(shù)作為基本的動(dòng)態(tài)分析工具，也是一種安全機(jī)制。它的作用在于為不被信任的程序提供了一個(gè)安全的運(yùn)行環(huán)境，并且系統(tǒng)本身不會(huì)被真正的損害，這彌補(bǔ)了PEiD檢測(cè)的不足。沙箱利用在虛擬環(huán)境中的某些條件來(lái)模擬網(wǎng)絡(luò)服務(wù)，其目的是確保被測(cè)試的軟件或惡意軟件能夠正常運(yùn)行。沙箱并不是完美的，因?yàn)樗鼪](méi)有命令行選項(xiàng)而無(wú)法執(zhí)行命令操作。另外，沙箱可能不會(huì)記錄所有事件，因?yàn)樗鼪](méi)有足夠的等候時(shí)間。

3.2.2 Process Monitor

Process Monitor（簡(jiǎn) 稱(chēng)Procmon）是Windows系統(tǒng)中的高級(jí)監(jiān)視工具，通過(guò)監(jiān)視某些注冊(cè)表、網(wǎng)絡(luò)進(jìn)程及線程活動(dòng)來(lái)判斷有無(wú)惡意行為。利用Procmon可監(jiān)視所有運(yùn)行時(shí)的系統(tǒng)調(diào)用，但不可能檢查全部。另外，其長(zhǎng)時(shí)間工作會(huì)占用可用內(nèi)存以致內(nèi)存耗盡，最終使虛擬機(jī)無(wú)法工作。

3.2.3 Process Explorer

Process Explorer作為任務(wù)管理器，通常在執(zhí)行動(dòng)態(tài)分析使用。它可以對(duì)系統(tǒng)內(nèi)運(yùn)行的進(jìn)程（包括進(jìn)程、DLL、系統(tǒng)信息）提供有利的分析。此外還可使用它來(lái)啟動(dòng)、驗(yàn)證、終止進(jìn)程。Process Explorer可以將正在監(jiān)視的進(jìn)程以樹(shù)形結(jié)構(gòu)可視化顯示。

3.2.4 OllyDbg

OllyDbg是用于惡意軟件分析測(cè)試的高級(jí)動(dòng)態(tài)調(diào)試器。調(diào)試器是一種軟件或硬件，用于測(cè)試另一個(gè)程序的運(yùn)行情況并查看其在程序運(yùn)行時(shí)的動(dòng)態(tài)視圖，這些信息很難從反匯編器獲得。WinDbg作為OllyDbg的升級(jí)版，可以輔助其進(jìn)行內(nèi)核調(diào)試和Rootkit分析。

動(dòng)態(tài)技術(shù)存在局限性，并不是所有的代碼路徑都可以在惡意軟件運(yùn)行時(shí)執(zhí)行。目前較好的辦法是使用先進(jìn)的動(dòng)態(tài)或動(dòng)靜結(jié)合技術(shù)來(lái)解決強(qiáng)制惡意軟件執(zhí)行的問(wèn)題。

3.3 常用檢測(cè)工具

VirusTotal是一個(gè)使用許多不同的防病毒程序來(lái)掃描惡意軟件的在線服務(wù)網(wǎng)站，同時(shí)也是一個(gè)綜合性的惡意軟件數(shù)據(jù)集。Wireshark是一個(gè)動(dòng)態(tài)分析網(wǎng)絡(luò)數(shù)據(jù)包和網(wǎng)絡(luò)協(xié)議的工具，可以捕獲惡意網(wǎng)絡(luò)流量并分析許多不同的網(wǎng)絡(luò)協(xié)議。PE Explorer是用來(lái)查看可執(zhí)行文件格式的分析工具，將其作為靜態(tài)解壓縮器可自動(dòng)解包文件。Capture BAT是一個(gè)用于監(jiān)控正在運(yùn)行的惡意軟件的動(dòng)態(tài)分析工具，其主要負(fù)責(zé)監(jiān)視文件系統(tǒng)、注冊(cè)表及進(jìn)程活動(dòng)。

4 基于深度學(xué)習(xí)的惡意軟件檢測(cè)方法

深度學(xué)習(xí)是機(jī)器學(xué)習(xí)的一個(gè)重要分支。面對(duì)海量網(wǎng)絡(luò)應(yīng)用流量數(shù)據(jù)時(shí)，傳統(tǒng)的檢測(cè)方法很難有效判斷新型惡意程序的特征，即使設(shè)計(jì)出惡意特征數(shù)據(jù)庫(kù)，也需要耗費(fèi)大量人力成本?；谏疃葘W(xué)習(xí)技術(shù)設(shè)計(jì)的智能化惡意檢測(cè)方法可以有效檢測(cè)新出現(xiàn)的樣本，極大程度地減少人工參與的工作量，具有較強(qiáng)的泛化能力。下面列舉幾個(gè)典型的深度學(xué)習(xí)檢測(cè)模型。

4.1 Malconv模型

MalConv模型基于門(mén)控卷積神經(jīng)網(wǎng)絡(luò)（Gated-CNN）實(shí)現(xiàn)端到端的惡意代碼檢測(cè)模型。輸入層以二進(jìn)制文件作為數(shù)據(jù)集，如PE主要分析其文件頭部信息，經(jīng)過(guò)嵌入層的數(shù)據(jù)預(yù)處理后得到固定大小的特征映射矩陣，將每個(gè)輸入字節(jié)映射到D維向量，在卷積層將特征圖與卷積核進(jìn)行點(diǎn)積運(yùn)算，通過(guò)兩個(gè)激活函數(shù)得到輸出特征圖，采用0元素填充，利用門(mén)控層用于解決梯度消失的問(wèn)題，采用最大池化進(jìn)行降采樣，再經(jīng)過(guò)全連接層和Softmax層，得到是否為惡意程序的概率。MalConv模型結(jié)構(gòu)[8]如圖1 所示。

圖1 Malconv模型結(jié)構(gòu)

4.2 ScaleMalNet模型

ScaleMalNet是一種用于惡意軟件檢測(cè)的可擴(kuò)展深度學(xué)習(xí)網(wǎng)絡(luò)體系結(jié)構(gòu)。該框架以分布方式從不同來(lái)源收集惡意軟件樣本，并以分布式方式應(yīng)用預(yù)處理，能夠?qū)崟r(shí)且按需處理大量惡意軟件樣本。ScaleMalNet框架對(duì)終端用戶(hù)主機(jī)收集的惡意軟件進(jìn)行深入學(xué)習(xí)，并遵循兩個(gè)階段的惡意軟件分析過(guò)程。在第一階段，采用靜態(tài)和動(dòng)態(tài)分析相結(jié)合的方法對(duì)惡意軟件進(jìn)行分類(lèi)；在第二階段，利用圖像處理方法將惡意軟件分為相應(yīng)的惡意軟件類(lèi)別。ScaleMalNe對(duì)于惡意程序的實(shí)時(shí)分析框架[9]如圖2所示。

圖2 ScaleMalNet模型實(shí)時(shí)分析框架圖

4.3 DroidDetector模型

DroidDetector是一款基于深度學(xué)習(xí)開(kāi)發(fā)的Android惡意軟件檢測(cè)引擎[10]，本質(zhì)上利用關(guān)聯(lián)規(guī)則挖掘技術(shù)來(lái)表征惡意軟件的特征。該引擎以在線方式自動(dòng)檢測(cè)應(yīng)用程序是否為惡意軟件，一旦應(yīng)用程序的.apk文件被提交，DroidDetector會(huì)檢查其完整性并確定其是否為完整、正確、合法的Android應(yīng)用程序。接下來(lái)，DroidDetector執(zhí)行靜態(tài)分析以獲取此應(yīng)用程序使用的權(quán)限和敏感API，通過(guò)在DroidBox中安裝并運(yùn)行此應(yīng)用程序一段固定時(shí)間來(lái)執(zhí)行動(dòng)態(tài)分析。通過(guò)這種方式，可以識(shí)別正在執(zhí)行的動(dòng)態(tài)行為。DroidDetector的框架模型如圖3所示。

圖3 DroidDetector框架結(jié)構(gòu)圖

5 傳統(tǒng)與基于深度學(xué)習(xí)的檢測(cè)方法分析

傳統(tǒng)的惡意程序檢測(cè)方法主要通過(guò)人工方式對(duì)軟件的特征規(guī)則信息進(jìn)行設(shè)計(jì)與提取，將已經(jīng)確定的惡意軟件的特征碼與目標(biāo)待檢測(cè)程序的特征碼進(jìn)行比對(duì)，根據(jù)比對(duì)的匹配程度設(shè)定判定閾值，一般分為惡意與非惡意兩種結(jié)果。這種方式的優(yōu)點(diǎn)在于特征獲取比較直觀，具有較為豐富的語(yǔ)義信息；缺點(diǎn)是需要大量的人工制定，并且對(duì)于未出現(xiàn)在惡意程序特征庫(kù)中的新型惡意軟件無(wú)法做出有效 分類(lèi)。

基于深度學(xué)習(xí)卷積神經(jīng)網(wǎng)絡(luò)的惡意程序檢測(cè)方法主要通過(guò)神經(jīng)網(wǎng)絡(luò)自動(dòng)提取軟件中的特征信息，經(jīng)過(guò)提前設(shè)計(jì)好的分類(lèi)器，可以對(duì)海量樣本數(shù)量進(jìn)行有效預(yù)測(cè)與分類(lèi)。這種方式的優(yōu)點(diǎn)是減少了人工提取特征信息的工作量，可自動(dòng)學(xué)習(xí)與判別新的惡意程序信息；缺點(diǎn)是可解釋性差，模型對(duì)于分析人員來(lái)說(shuō)是無(wú)法掌握判定理由的黑盒，難以提供確切的可信任決策依據(jù)。

分別從檢測(cè)機(jī)制原理、使用范圍、檢測(cè)時(shí)間及存在的問(wèn)題等幾個(gè)方面對(duì)傳統(tǒng)檢測(cè)方法和深度學(xué)習(xí)檢測(cè)方法進(jìn)行了比較，比較結(jié)果如表1所示。

表1 檢測(cè)方法對(duì)比分析表

6 結(jié) 語(yǔ)

傳統(tǒng)的惡意程序檢測(cè)技術(shù)一般都需要大量的人工參與，難以適應(yīng)互聯(lián)網(wǎng)海量應(yīng)用數(shù)據(jù)的檢測(cè)。利用深度學(xué)習(xí)框架設(shè)計(jì)的智能惡意程序檢測(cè)方法能夠自動(dòng)化批處理海量樣本，并且對(duì)于新型惡意程序檢測(cè)具有良好的泛化能力，但普遍存在可解釋性差、難以提供決策依據(jù)的缺點(diǎn)。在未來(lái)的惡意軟件檢測(cè)技術(shù)發(fā)展中，用人工智能技術(shù)為傳統(tǒng)檢測(cè)方法賦能，是一個(gè)很有價(jià)值的發(fā)展方向，還有很多問(wèn)題有待解決。