惡意軟件的操作碼可視化方法研究

任卓君，陳 光，盧文科

東華大學(xué) 信息科學(xué)與技術(shù)學(xué)院，上海201620

從廣義上說，惡意軟件是任何有害于用戶、計(jì)算機(jī)或網(wǎng)絡(luò)的可執(zhí)行程序，包括病毒、木馬、后門、蠕蟲、Rootkits、勒索軟件、間諜程序等。為了實(shí)現(xiàn)惡意軟件分析，需要一個(gè)高效且準(zhǔn)確的檢測(cè)機(jī)制以免誤報(bào)查殺了合法的正常文件。經(jīng)典的處理方法是提取能代表該樣本靜態(tài)特征的二進(jìn)制簽名，或者是在運(yùn)行時(shí)動(dòng)態(tài)跟蹤由應(yīng)用程序執(zhí)行的函數(shù)。然而，這些方法完全是由人工操作來實(shí)現(xiàn)，且簽名特征的構(gòu)建是一個(gè)非常耗時(shí)且容易出錯(cuò)的過程。相反地，惡意攻擊者借助病毒編寫引擎批量地生產(chǎn)惡意代碼。面對(duì)數(shù)以億計(jì)的待測(cè)可疑樣本而不得不手工逐一分析的事實(shí)，使得惡意代碼分析工作不僅十分的繁瑣，而且對(duì)安全研究人員的業(yè)務(wù)水平和專業(yè)知識(shí)有著很高的要求。更嚴(yán)重的是，隨著網(wǎng)絡(luò)攻擊技術(shù)（如混淆技術(shù)、反跟蹤調(diào)試技術(shù)等）的迅速進(jìn)步，使得原本攻擊能力弱化的傳統(tǒng)惡意代碼（如病毒、蠕蟲等）通過多態(tài)、變形等手段，進(jìn)化出更具威脅的變種，屢屢逃脫安全防御掃描，暴露了現(xiàn)有檢測(cè)手段的局限性。Lee等人[1]通過研究發(fā)現(xiàn)使用可視化技術(shù)可以加速惡意代碼的檢測(cè)進(jìn)程。大量的數(shù)據(jù)、復(fù)雜的分析要求、及時(shí)地反饋專家推理，這些客觀需求使得這一研究領(lǐng)域非常需要可視化分析技術(shù)。

惡意代碼可視化可以通過交互界面進(jìn)行科學(xué)的推理，極大地補(bǔ)充人類的認(rèn)知，近年來，這一領(lǐng)域涌現(xiàn)出很多有意義的研究成果。例如Zhuo等人[2]研發(fā)的MalwareVis系統(tǒng)重點(diǎn)研究惡意樣本的網(wǎng)絡(luò)行為。Trinius等人[3]設(shè)計(jì)的線圖分析系統(tǒng)直觀地呈現(xiàn)了待測(cè)惡意樣本所執(zhí)行的系統(tǒng)調(diào)用。Gove等人[4]實(shí)現(xiàn)的視覺分析系統(tǒng)以交互的方式探索大型的惡意屬性集。Nataraj等人[5]從灰度圖像上提取各種紋理特征用于分類。Yoo[6]采用自組織映射的方法來呈現(xiàn)文件中受感染的區(qū)域。Ren等人[7-9]設(shè)計(jì)了一系列基于字節(jié)和熵的可視化映射。另外，還有一些研究使用可視化技術(shù)來表達(dá)分層聚類[10]，如Anderson等人[11]繪制熱圖來反映惡意樣本對(duì)內(nèi)核的使用情況。

為了有效地分類惡意代碼，本文提出了基于操作碼頻率的惡意代碼可視化分析方法。該方法將惡意代碼分析轉(zhuǎn)化為圖像間的比較，使用VGG16[12]卷積網(wǎng)絡(luò)和支持向量機(jī)分類器構(gòu)成的深度融合網(wǎng)絡(luò)來學(xué)習(xí)惡意代碼生成的圖像并分類。

1 方法描述

不受混淆技術(shù)干擾的情況下，逆向反匯編能夠提供惡意代碼較全面的信息。匯編源程序文件中包含了豐富的信息，其中CPU指令反映了惡意樣本的核心功能，因此本文著重研究惡意代碼的操作碼特征。相關(guān)的研究工作有，Billar等人[13]分別統(tǒng)計(jì)了正常文件和惡意軟件中操作碼的分布情況后發(fā)現(xiàn)罕見的操作碼可以作為惡意代碼檢測(cè)的指示器。Santos等人[14]提出了基于操作碼N-gram模型的惡意代碼檢測(cè)方法。該方法通過挖掘各操作碼間的相關(guān)性來給不同的操作碼賦予權(quán)重，以此計(jì)算文件間的相似度。Feher等人[15-16]基于操作碼詞頻使用隨機(jī)森林分類器分析了3萬個(gè)樣本，取得了96%的正確率。Sekar等人[17]通過研究執(zhí)行系統(tǒng)調(diào)用的異常操作碼序列來構(gòu)建入侵檢測(cè)模型。

在可視化分析方面，Han等人[18]提出了圖像矩陣的方法，該方法將惡意代碼靜態(tài)分析得到的操作碼序列轉(zhuǎn)換成圖像矩陣上的RGB像素點(diǎn)，通過比較圖像矩陣之間的相似度來識(shí)別惡意代碼。由于該方法只分析了三類惡意代碼族的9個(gè)樣本，因此在應(yīng)用上缺乏普適性。此外，該方法使用SimHash和djb2函數(shù)獲得像素點(diǎn)的坐標(biāo)值和顏色值，鑒于哈希值的唯一性，只有完全相同的操作碼序列才能以相同的顏色出現(xiàn)在圖像矩陣的同一位置，而實(shí)現(xiàn)相同惡意功能的基本塊并不一定由完全相同的操作碼序列構(gòu)成，這會(huì)導(dǎo)致實(shí)現(xiàn)相似功能的同族惡意代碼所生成的圖像矩陣在視覺表現(xiàn)上并不一定相似。

為了解決上述問題，本文以同族的操作碼頻率相近、而異族的操作碼頻率差別較大為前提，設(shè)計(jì)了基于操作碼頻率的惡意代碼可視化分析方法。該方法以空間填充曲線遍歷RGB顏色空間的順序重排樣本中的操作碼，令同一操作碼以相同顏色聚集，形成反映操作碼頻率的可視化表征。如圖1所示，該方法由以下三個(gè)步驟來實(shí)現(xiàn)：（1）操作碼的字符提取、采樣與轉(zhuǎn)換；（2）像素標(biāo)記；（3）空間映射重排。

圖1 所提方法的實(shí)現(xiàn)流程Fig.1 Implement process of proposed method

（1）操作碼的字符提取、采樣與轉(zhuǎn)換。首先從反匯編的惡意樣本中提取操作碼字符序列；再以縮放采樣的方式將其固定為65 536長(zhǎng)度的新操作碼序列；之后按首字母順序，將操作碼字符轉(zhuǎn)換成[0，253]之間的整數(shù)。

（2）像素標(biāo)記。按圖2設(shè)計(jì)的色譜標(biāo)記微軟樣本集中出現(xiàn)數(shù)量最多的前15種操作碼，其余操作碼則用其對(duì)應(yīng)的整數(shù)值C來標(biāo)記灰度，即顏色向量為(C,C,C)。

圖2 出現(xiàn)數(shù)量排名前15位的操作碼對(duì)應(yīng)的色譜Fig.2 Corresponding chromatogram of the top 15 opcodes

（3）空間映射重排。分別使用Gray曲線、Hilbert曲線、Sweep曲線和Zigzag曲線（見圖3）遍歷RGB空間（RGB顏色的數(shù)量為2563個(gè)），所得關(guān)于顏色的排序是不同的。因此，按這4種RGB顏色順序重新排列上一步驟的像素序列，使得相同的操作碼在圖像中集中在一起，形成關(guān)于操作碼頻率的可視化結(jié)果。需要解釋的是，遍歷RGB顏色空間需用12階曲線（因?yàn)?12=2563）；而65 536定長(zhǎng)像素序列則使用8階曲線填充構(gòu)圖（因?yàn)?8=65 536=2562）。

圖3 四種空間填充曲線Fig.3 Four types of space filling curves

2 實(shí)驗(yàn)結(jié)果分析

本文采用微軟公開的惡意樣本集來驗(yàn)證所提的方法。（BIG 2015|Kaggle）的訓(xùn)練集包括了10 868個(gè)來自9種惡意代碼族的樣本，每個(gè)惡意樣本都有一個(gè)唯一識(shí)別的ID（一個(gè)20字符的哈希值）。從圖4統(tǒng)計(jì)的各族樣本數(shù)量上可以看出，該數(shù)據(jù)集的分布很不均勻。需要說明的是，該樣本集中有些惡意樣本不能由反匯編工具解析，因此無法提取到任何指令信息，故將其剔除（剔除數(shù)量見圖4）。

圖4 惡意樣本集的構(gòu)成Fig.4 Composition of malware samples

2.1 可視化結(jié)果的視覺分析

將所提方法應(yīng)用于微軟惡意樣本集，可視化結(jié)果見圖5、6。圖5給出了以12階Gray曲線遍歷RGB顏色空間的順序重排像素位置后，再按8階Gray曲線填充256×256分辨率圖像的結(jié)果。該結(jié)果能明顯地反映出同族樣本相似而異族樣本不同，說明該方法具有較好的視覺區(qū)分度。為節(jié)省篇幅，圖6只展示了第8類示例樣本對(duì)應(yīng)的各種映射重排圖。圖7給出了圖像矩陣方法的可視化結(jié)果。

圖5 使用Gray曲線映射重排的圖像示例Fig.5 Results of Gray mapping rearrangement

圖6 樣本0aVNj3qFgEZI6Akf4Kuv的四種映射重排結(jié)果Fig.6 Four mappings rearrangement results of sample 0aVNj3qFgEZI6Akf4Kuv

圖7 樣本0aVNj3qFgEZI6Akf4Kuv的圖像矩陣Fig.7 Image matrice of sample 0aVNj3qFgEZI6Akf4Kuv

分析圖5~7可知本文所提方法以醒目的顏色標(biāo)記不僅能讓分析人員直觀地了解樣本中存在哪些常規(guī)的操作碼，還能對(duì)少數(shù)罕見的操作碼進(jìn)行定位；而圖像矩陣方法，即使采用交互技術(shù)放大圖像，也無法從像素點(diǎn)的顏色上判斷出被映射的基本塊屬性。因此，本文所提方法在視覺分析上的優(yōu)勢(shì)更顯著。

2.2 分類性能比較

需要說明的是，將圖像矩陣方法應(yīng)用于微軟樣本集并計(jì)算各惡意樣本族的類內(nèi)相似度均為0，而人為觀察圖像顯示并非完全不相似。這一矛盾說明基于向量角距離的相似度算法[19]并不適用于大規(guī)模的圖像分類，故本文僅對(duì)圖像矩陣本身具備的可分性進(jìn)行比較。

（1）不同的圖像特征對(duì)分類結(jié)果的影響

為了評(píng)估不同的圖像特征對(duì)分類結(jié)果的影響，本項(xiàng)實(shí)驗(yàn)以L2范式分別對(duì)Gist特征[20]和卷積神經(jīng)網(wǎng)絡(luò)（ResNet50[21]、VGG16、VGG19）學(xué)習(xí)到的特征使用最近鄰決策算法分類，結(jié)果見表1。需要說明的是，本文要解決的惡意代碼分類任務(wù)不同于各深度卷積網(wǎng)絡(luò)最初的ImageNet分類應(yīng)用，因此本項(xiàng)實(shí)驗(yàn)只遷移基本的網(wǎng)絡(luò)結(jié)構(gòu)和部分權(quán)重，去除卷積網(wǎng)絡(luò)原先的全連接層和softmax分類器。

表1 不同圖像特征對(duì)分類的影響Table 1 Influence of different image features on classification

由表1可知，本文所提方法在各項(xiàng)比較中均優(yōu)于其他方法，尤其以Sweep映射重排圖的整體分類效果最好，當(dāng)使用VGG16網(wǎng)絡(luò)時(shí)獲得最佳的分類正確率為97.96%。

（2）不同的深度融合網(wǎng)絡(luò)對(duì)分類性能的影響

為了比較不同的卷積神經(jīng)網(wǎng)絡(luò)對(duì)所提方法分類性能的影響，本項(xiàng)實(shí)驗(yàn)使用卷積網(wǎng)絡(luò)疊加支持向量分類算法（SVC）[22]的深度融合網(wǎng)絡(luò)進(jìn)行驗(yàn)證，結(jié)果如表2所示，使用VGG系列網(wǎng)絡(luò)學(xué)習(xí)特征可以比殘差網(wǎng)絡(luò)ResNet50獲得更優(yōu)的分類結(jié)果，尤其是VGG16網(wǎng)絡(luò)取得最高98.50%的分類正確率（由Zigzag重排映射獲得）。通過分析可視化結(jié)果中不同的空間排序及其分類效果可知：在使用相同VGG網(wǎng)絡(luò)結(jié)構(gòu)的前提下，非遞歸的空間填充曲線映射與遞歸的空間填充曲線映射相比，其提供的特征更利于分類決策。

表2 不同深度融合網(wǎng)絡(luò)對(duì)分類的影響Table 2 Influence of different deep fusion networks on classification

本文還將Inception V3[23]、Xception[24]深度卷積網(wǎng)絡(luò)應(yīng)用于分類效果最優(yōu)的Zigzag映射重排圖，結(jié)果分別是95.05%和95.21%，該結(jié)果明了Xception網(wǎng)絡(luò)稍微優(yōu)于Inception V3，但并不適合惡意代碼分類。

3 結(jié)束語

本文提出了基于操作碼頻率的惡意代碼可視化分析方法，主要貢獻(xiàn)體現(xiàn)在以下三個(gè)方面：（1）在視覺表現(xiàn)方面，所提方法在安全分析人員與惡意樣本之間建立了直接的視覺通信，降低了人工分析的難度，并能從視覺效果上有效地區(qū)分各類惡意代碼族。（2）在惡意代碼分類方面，所提方法充分地利用了卷積神經(jīng)網(wǎng)絡(luò)在圖像分類上取得的有益成果，其分類正確率優(yōu)于其他方法。（3）在分析效率方面，所提方法能以自動(dòng)執(zhí)行的方式實(shí)現(xiàn)，極大地提高了工作效率。