發(fā)布時間：2021-01-02 09:08

　　近年,隨著網(wǎng)絡(luò)技術(shù)的發(fā)展和普及,全球政治、經(jīng)濟(jì)、文化、社會、生態(tài)、國防等領(lǐng)域與互聯(lián)網(wǎng)全面融合,但同時網(wǎng)絡(luò)空間要面臨的攻擊入侵變得越來越頻繁。傳統(tǒng)的惡意代碼分析方法更側(cè)重于分析惡意代碼內(nèi)部函數(shù)調(diào)用邏輯關(guān)系或操作碼序列中的語義信息,用于惡意代碼分類、檢測,這種方法需要耗費大量的人力,且對分析人員的專業(yè)水平要求較高;而伴隨著人工智能技術(shù)在其他領(lǐng)域的應(yīng)用、發(fā)展、成熟,探索機(jī)器學(xué)習(xí)方法在網(wǎng)絡(luò)安全領(lǐng)域的應(yīng)用是一個十分重要的研究課題。本文采用代碼可視化技術(shù)將惡意代碼樣本以灰度圖的形式展現(xiàn),在此基礎(chǔ)上提出一種基于改進(jìn)的遷移Faster-rcnn網(wǎng)絡(luò)的惡意代碼分類方法,該方法利用Faster-rcnn網(wǎng)絡(luò)中的卷積神經(jīng)網(wǎng)絡(luò)提取惡意代碼圖像的全局特征,相較采用LBP算法和Gist算法提取局部紋理特征的方法而言能提取出更深層次的特征;采用遷移學(xué)習(xí)這種機(jī)器學(xué)習(xí)方法將預(yù)訓(xùn)練好的網(wǎng)絡(luò)模型中表征通用特征的低層參數(shù)直接遷移到惡意代碼分類模型中,微調(diào)集中貢獻(xiàn)于目標(biāo)數(shù)據(jù)集的高層網(wǎng)絡(luò)參數(shù),加快惡意代碼分類模型訓(xùn)練時的收斂速度;并構(gòu)建新的目標(biāo)函數(shù),解決RPN網(wǎng)絡(luò)生成惡意代碼圖像text節(jié)候選建議框時回歸誤差大導(dǎo)致分類占比不高的... 

【文章來源】：沈陽理工大學(xué)遼寧省

【文章頁數(shù)】：73 頁

【學(xué)位級別】：碩士

【部分圖文】：

傳統(tǒng)惡意代碼分析方法

沈陽理工大學(xué)碩士學(xué)位論文-12-碼的API調(diào)用信息，可以使用簡單的靜態(tài)分析工具，通過簡單的統(tǒng)計分析方法統(tǒng)計敏感API函數(shù)調(diào)用信息；還可以通過靜態(tài)反匯編惡意代碼得到PE格式的反匯編文件，從.asm反匯編文件中提取靜態(tài)API調(diào)用信息，運用數(shù)據(jù)挖據(jù)的技術(shù)提取API調(diào)用序列和頻率。這些信息可以反映出程序在運行過程可能會用到的windowsAPI端口。但是惡意代碼生存技術(shù)的運用會導(dǎo)致加殼加密后的惡意代碼能夠通過靜態(tài)分析手段提取出的API信息較少。方法二是通過動態(tài)執(zhí)行文件來獲得API調(diào)用信息。這些API調(diào)用信息實際是指windows提供的實現(xiàn)系統(tǒng)特定功能的函數(shù)接口信息，它能夠反映程序在運行過程中執(zhí)行了哪些操作，比如更改文件權(quán)限、建立網(wǎng)絡(luò)連接、發(fā)送信息等操作；由于攻擊者調(diào)用Win32API函數(shù)來實現(xiàn)這些操作的成本比直接使用系統(tǒng)調(diào)用的成本要低，因此通過動態(tài)方法獲取的API調(diào)用信息是用于惡意代碼分類檢測的一種較好的特征。2.2.3ASM文件ASM文件指通過IDAPro反匯編樣本生成的反匯編文件，如圖2.2所示，靜態(tài)分析方法提取的惡意代碼特征有部分是從ASM文件中可以提取到的，比如：靜態(tài)的API調(diào)用信息、Opcode序列、符號特征等，還可以將asm文件可視化處理，提取其中的紋理特征。M.Ahmadi等人在其論文中提出將asm文件中的“—、+、*、[、]、？、@”這七個特殊符號的頻率作為一類特征，即符號特征，對惡意代碼進(jìn)行分類檢測，分類的準(zhǔn)確率達(dá)到了98.15%[39]。圖2.2反匯編得到的惡意代碼的ASM文件Fig.2.2DisassembledASMfileofmaliciouscode

第2章惡意代碼分類技術(shù)研究-13-Opcode是指ASM文件中的操作碼，操作碼是由操作符和操作數(shù)組成的，是描述機(jī)器語言的指令，每條指令使用操作碼告訴計算機(jī)系統(tǒng)程序執(zhí)行什么操作，由于操作數(shù)經(jīng)常是變量、數(shù)值或地址等不固定的信息，大多數(shù)研究都只是提取其中的操作符序列作為軟件控制流的語義信息，操作符在惡意代碼中出現(xiàn)的頻率、位置和順序都可能反應(yīng)程序的功能特點。我們可以提取Opcode的n-gram特征作為惡意代碼的一種特征[43]，文獻(xiàn)[15]中比較了幾種固定長度的Opcoden-gram序列作為特征的檢測結(jié)果，能夠獲得超過98%的惡意軟件準(zhǔn)確率。將asm文件進(jìn)行可視化處理類似于將惡意代碼的二進(jìn)制文件映射成對應(yīng)的灰度圖像，它是通過將asm文件中操作碼對應(yīng)的ASCII碼轉(zhuǎn)換成二進(jìn)制數(shù)值，再將二進(jìn)制向量劃分為8位一個字節(jié)的二進(jìn)制數(shù)組，一組的取值范圍為0-255，正好匹配灰度圖的像素值，設(shè)定寬度，將字節(jié)向量轉(zhuǎn)換成二維矩陣，可視化成對應(yīng)的灰度圖得到Asm-image，提取其中的紋理特征。2.2.4二進(jìn)制文件惡意代碼在計算機(jī)中的存放和執(zhí)行方式都是以二進(jìn)制文件的形式，從二進(jìn)制文件中提取的特征都是原始的機(jī)器碼特征。二進(jìn)制文件的字節(jié)取值范圍為0x00~0xFF，查看該文件時通常以十六進(jìn)制的格式呈現(xiàn)。如圖2.3所示。圖2.3反匯編得到的惡意代碼二進(jìn)制文件Fig.2.3Thedisassembledmaliciouscodebinaryfile

【參考文獻(xiàn)】：
期刊論文
[1]信息密度增強的惡意代碼可視化與自動分類方法[J]. 劉亞姝,王志海,侯躍然,嚴(yán)寒冰.  清華大學(xué)學(xué)報(自然科學(xué)版). 2019(01)
[2]基于特征融合的惡意代碼分類研究[J]. 張景蓮,彭艷兵.  計算機(jī)工程. 2019(08)
[3]一種基于多特征的惡意代碼家族靜態(tài)標(biāo)注方法[J]. 劉亮,劉露平,何帥,劉嘉勇.  信息安全研究. 2018(04)
[4]基于紋理特征的惡意代碼檢測方法測試[J]. 汪應(yīng)龍,黃祖源,劉愛蓮,李川.  移動通信. 2017(13)
[5]基于數(shù)據(jù)挖掘的惡意代碼檢測綜述[J]. 黃海新,張路,鄧麗.  計算機(jī)科學(xué). 2016(07)
[6]惡意代碼同源性分析及家族聚類[J]. 錢雨村,彭國軍,王瀅,梁玉.  計算機(jī)工程與應(yīng)用. 2015(18)
[7]基于紋理指紋的惡意代碼變種檢測方法研究[J]. 韓曉光,曲武,姚宣霞,郭長友,周芳.  通信學(xué)報. 2014(08)
[8]基于特征碼病毒掃描技術(shù)的研究[J]. 關(guān)欣,朱冰,陳震,彭雪海.  信息網(wǎng)絡(luò)安全. 2013(04)
[9]基于行為依賴特征的惡意代碼相似性比較方法[J]. 楊軼,蘇璞睿,應(yīng)凌云,馮登國.  軟件學(xué)報. 2011(10)

博士論文
[1]惡意代碼檢測關(guān)鍵技術(shù)研究[D]. 韓曉光.北京科技大學(xué) 2015

碩士論文
[1]基于特征融合的惡意代碼多任務(wù)分類技術(shù)和惡意代碼威脅性評估方法研究[D]. 師煒.戰(zhàn)略支援部隊信息工程大學(xué) 2018



本文編號：2953080