基于深度神经网络的恶意代码变种检测技术的研究与实现

发布时间：2020-07-14 10:35

【摘要】：随着互联网技术不断创新,恶意代码传播途径增多,恶意代码的种类及数量呈现爆发式增长趋势。由于巨大黑灰色利益驱动,恶意代码作者使用复杂的加壳、变形、多态等技术生成恶意代码变种来躲避杀毒引擎的查杀。在攻防信息不对等的情况下,面对层出不穷的恶意代码变种,如何迅速、高效的对恶意代码变种进行识别和家族分类成为了保护网络安全的重要研究内容。当前对恶意代码变种检测的研究,大多数基于特征提取的方式,通过对恶意代码的字节码、汇编码、PE结构或动态执行结果进行特征提取,使用各类机器学习算法完成恶意代码的变种检测。这种方式可以简单、直观的挖掘恶意代码的恶意行为模式,但是在面对加壳、混淆、反沙箱、变形等复杂恶意代码对抗技术的时候,无法及时的对恶意代码变种进行识别和分类。随着深度学习技术的发展,使用深度神经网络技术对恶意代码变种进行快速准确识别成为了研究趋势。本文致力于使用深度神经网络技术对恶意代码变种进行检测,本文的研究成果主要由以下三个方面构成:(1)提出一种基于恶意代码图像化的恶意代码变种检测方法。针对传统恶意代码图像化方案中数据维度单一、文件大小不可控的问题,本文提出了一种基于汇编结构和连续可见字符的恶意代码图像化增强方案,并基于文件结构对恶意代码关键信息进行提取,最终将恶意代码转换为RGB格式的彩色图像。接下来本文使用Imagenet的冠军模型Densenet对恶意代码图像进行训练和预测,通过深度卷积神经网络对恶意代码图像进行高维特征模式提取,完成恶意代码变种的检测。(2)提出一种基于恶意代码序列化的恶意代码变种检测方法。针对传统恶意代码动态检测方法中难以对大规模软件执行序列有效建模,检测准确率和效率低下的问题,本文将API执行序列转换为词向量并提出了一种改进的TextCNN算法,使用空洞卷积和K维最大池化扩大API序列的局部感受野,在显著提高效率的同时保留足够的局部关联,使得算法可以有效从大量冗余的序列信息中挖掘恶意代码变种行为模式,从而完成恶意代码变种检测。(3)开发恶意代码变种检测系统。为验证本文提出两种方法的有效性,设计并实现了恶意代码变种检测系统,对系统的整体设计流程和模块化细节进行了详细的介绍。最后,本文使用了三个公开数据集对本文设计的系统进行了实验,其中在Malimg数据集中达到了99.57%的静态检测准确率,在阿里云数据集中达到了 92.06%的动态检测准确率,相较于数据集其他公开解决方案具有明显提升。两种方案融合模型在真实样本数据集Virus Share中也取得了良好的迁移检测效果,经过多重实验对比结果显示,本文提出的基于深度神经网络的恶意代码变种检测方案可以有效提高恶意代码变种的检测率和识别率。
【学位授予单位】：北京邮电大学
【学位级别】：硕士
【学位授予年份】：2019
【分类号】：TP309;TP183
【图文】：

第一章绪论逡逑究背景逡逑联网技术迅猛发展的今天，网络安全形势却不容乐观，各。瑞星公司发布的年度报告［１］显示，２０１８年瑞星云安全系统７７８６万个，发现病毒感染次数１１．２５亿次，病毒总体数量比．６３％。其中恶意代码作者重点关注挖矿病毒、勒索病毒领引擎的对抗愈发激烈，病毒种类与数量都有了极大的增长。２０１８年上半年度恶意代码［２］中，Ｗｉｎｄｏｗｓ可执行文件占据ｆ、ｍｓｉ等Ｗｉｎｄｏｗｓ平台类型文件又占据了邋２３％，根据统计意代码攻击仍占据了绝大多数的攻击，针对Ｗｉｎｄｏｗｓ平题仍是安全领域最为棘手的难题之一。逡逑

第二章恶意代码研究综述逦逡逑数基于软件静态特征的查杀方式。目前加壳的常用的方式是在二进制的程序中逡逑入一段代码，在运行的时候优先取得程序的控制权，之后再把控制权交还给原逡逑代码，从而隐藏程序真正的入口点。加壳的程序会通过各种检测对抗手段来阻逡逑外部程序或软件对加壳程序本身的反汇编分析或者动态分析，以保护壳内原始逡逑序以及保障软件不被外部程序破坏，保证原始程序正常运行。这项技术被广泛逡逑用于软件保护、版权保护等领域，在恶意代码领域，由于加壳可以绕过一些杀逡逑软件的扫描，从而实现它的一些入侵或破坏的特性，也同样被广泛使用。常见逡逑加壳工具有ＵＰＸＳｈｅｌｌ［２８］、ＰＥＣｏｍｐａｃｔ［２９］、ＶＭＰｒｏｔｅｃｔ＾等。版权破解和恶意代逡逑保护都能带来大量的黑灰色收入，加壳领域的对抗也是软件攻防技术最为激烈逡逑阵地之一。逡逑Ｃ邋＊邋ｘ邋：＂＾ＴＶｓ．逦Ｃ３邋：邋ａｉｔ逦￣邋Ｓｔｒ－ｖｉ．－ｉｕｒｉ！逦￣邋ｔｓａｔｉ逦￣；逡逑ｏａｓｓ逦＊！逡逑：邋ｉｌｉＳ逦－ｅｓｔ；邋ｌ＊＊逦？？？？邋０．？？逦？＊？ｓｆ邋ｃｂ＊ｒ邋？＊？？？？＞逡逑

逦：－－？；．ＣＳＶ邋■．＊，？；．？？；逦？－：＜ｉＯＪ＊ｒ－邋－－－．＇３４ａｉＷ４－逡逑图２－１恶意代码经ＵＰＸ加壳软件处理前代码形态逡逑Ｔ＾：邋：；邋Ｉ邋ｒＶｆｊ－Ｏ－ｘ逦ａｔ＊邋：：？？．邋ｓ．ｔ－ｃ－ｔ，邋0邋■＂＇邋ＢｆＪ邋ｙ＇ｔｅ？－；逦Ｓ＇．邋Ｊｔｉｕ；ｔａｒｓｉ逦．’：逦；＊ｐｉｒ：；逦＇ｉｆ邋Ｓｓｍ逡逑Ｆ．ｊｉＢＣ．ｆ．ｉａｒ：邋ｎｓ＊？逦Ｓａｇｏｓ！，逡逑Ｓ邋Ｓｉｓｒｔ逦Ｖｆ？．ｉ逦丨ｐａｎｉｔ邋？＊？？逡逑｜＞ｒａｃ邋ａｒ－ｔｆ逡逑；ｖ＾邋，？Ｅ＊邋？＞９＜ｔ邋ｐ？ｒ邋－＊？０－逡逑－｜？ｎｈｉ逡逑？ａｎ逦ｒｓｆ，逦ａｗｕ－０逦Ｍａｍａ逡逑；ｉ？ｅ邋ｗｗｒ＜邋？？？？邋？？？｛ａａ逡逑￣￣１－１＊逡逑＜逦ｉ逦ｉｉｕｃ．ｏａｖｉＭ：逡逑一￣ｎ％ｗｖ．ｖ．－－－逦逦逦逦：ｎＡｖ逦？ａｉｘｖ逦）逡逑ｉ邋：ｒ；：邋＝邋ｖｌ邋：逦｜ｕｒｉ＞逦？？ｉ．逡逑Ａｓ．ｒ？ｉ４．逦Ｃ邋？邋＊逦；邋Ｊｆ邋ｗ？邋？邋＞ａ？逡逑ｆｒ－＇逦ａ＾－Ｊｊ＝，逡逑？邋：＾－－逡逑ｒ－￣＊．ｉ＝逦？：！？逦？ｗｔ．？，：逡逑ｊ．逦ｉｉ？逦ｉｆｃｏｒｔ逦ｉＫ邋？ＩＭ３＊逡逑—逦一邋ｔ逡逑ｒｎｍ－＆逦Ｊ逡逑嫇邋Ｉ逦逦＾．．，．．，．＾：？；．．？Ｉ逡逑？Ｍｉ逦？邋：：ＺＩｊ邋｜逡逑ＯＳＭｉ：＾；邋ｖ．＼＞ＤｉＳ６Ｓ；ＣＣ＇４０Ｓｒ￡？：邋ａ＝ｓｓｔ逡逑图２－２恶意代码经ＵＰＸ加壳软件处理后代码形态逡逑２．邋４．邋２混淆技术逡逑混淆技术是一种对代码进行变换以防止分析的技术。恶意代码开发者使用混逡逑淆技术来保护所开发的恶意代码源码

【相似文献】

相关期刊论文 前10条

1 胡悦;;金融市场中的神经网络拐点预测法[J];金融经济;2017年18期

2 陈晓燕;;浅析简单神经网络的发展及简单模型[J];数字技术与应用;2019年05期

3 迟惠生;陈珂;;1995年世界神经网络大会述评[J];国际学术动态;1996年01期

4 吴立可;;脉冲神经网络和行为识别[J];通讯世界;2018年12期

5 林嘉应;郑柏伦;刘捷;;基于卷积神经网络的船舶分类模型[J];信息技术与信息化;2019年02期

6 俞颂华;;卷积神经网络的发展与应用综述[J];信息通信;2019年02期

7 韩真;凯文·哈特尼特;;为神经网络的通用理论建造基石[J];世界科学;2019年04期

8 鲍伟强;陈娟;熊涛;;基于进化神经网络的短期电力负荷预测研究[J];电工技术;2019年11期

9 王丽华;杨秀萍;王皓;高峥翔;;智能双轮平衡车的设计研究[J];数字技术与应用;2018年04期

10 张庭略;;基于硬件的神经网络加速[J];通讯世界;2018年08期

相关会议论文 前10条

1 孙军田;张U

本文编号：2754858