傳統和深度學習方法在惡意軟件檢測中的應用

張燕子

（西安郵電大學信息中心，陜西 西安 710121）

0 引 言

基于深度學習模型進行網絡空間安全特別是軟件安全檢測方面的研究，已成為當前的熱點。XIN Y[1]等人分析了機器學習和深度學習算法在網絡空間入侵檢測的關鍵案例。SUCIU O[2]討論了惡意軟件的對抗示例性方面的問題。LI H[3]等人提出一種基于雙目標對抗網絡的反例攻擊方法。CHEN B[4]等人提出兩種白盒方法和一種黑盒方法來攻擊惡意軟件檢測器以及利用GAN進行某種防御訓練。JAVAID[5]等人通過基準數據集的改進版本來驗證基于NIDS的自學學習的可用性。YUANCHENG L[6]等人提出了一種基于自動編碼器和深度信念網絡的混合惡意代碼檢測方案，具有較好的檢測性能。TAO M[7]等人提出了一種結合譜聚類（SC）和深度神經網絡（DNN）算法的SCDNN算法，提升了檢測準確率。以上的研究方法都是通過深度學習模型改進和升級的。本文對傳統惡意軟件檢測方法與基于深度學習的惡意軟件檢測方法之間的特點、區別和聯系進行分析，并討論了軟件安全未來可能面臨的主要挑戰。

1 研究背景

國家計算機網絡應急技術處理協調中心發布的《計算機惡意程序傳播渠道安全監測報告》顯示，高危惡意程序占惡意程序總數的2/3，木馬類惡意程序占45.5%。2019年，有超過6 200萬的計算機惡意軟件樣本已經備案，其中包含計算機惡意程序家族66萬多個，由此可見對惡意軟件的防控不可忽視。根據Malwarebytes Labs發布的《2020 State of Malware Report》，2019年的網絡威脅主要是詐騙銀行木馬Emotet，攻擊者通過編寫惡意宏代碼的釣魚軟件作為載荷附著在郵件中，從而進行病毒的傳播。國家計算機網絡應急技術處理協調中心發布了《2019年我國互聯網網絡安全現狀》，報告顯示軟件安全局勢出現向好的一面，惡意程序增量首次出現下降，這為以后的檢測和防控工作帶來希望。

2 惡意軟件分類

常見的惡意軟件分類及其特點如表1所示。

表1 常見的惡意軟件分類及其特點

3 傳統的惡意軟件檢測方法

3.1 靜態分析

靜態分析是惡意軟件分析過程的第一步，負責檢查可執行文件但不查看實際的指令?；镜撵o態分析可以判斷文件是否存在惡意行為，提供關于文件功能信息或生成簡單網絡簽名的信息。靜態分析對復雜的惡意軟件基本上無效，往往錯過一些較為重要的惡意行為。

3.1.1 消息摘要算法5

消息摘要算法5（簡稱MD5）是一種常用的惡意軟件識別方法。通過哈希函數運行惡意軟件，生成的哈希值用于識別某種特定的惡意軟件。在深度學習中，特征提取哈希是一種常用算法，它可以將任意大小的數據映射成固定大小的數據。

3.1.2 PEiD檢測

PEiD是檢測包裝文件的常用方法，通常利用其來檢測通過打包器或編譯器生成的文件。由于惡意軟件經常被包裝或混淆，以至于其生成的惡意文件更難被檢測，因此會嚴重阻礙惡意軟件的分析工作。PEiD在工作中也存在安全隱患，原因是其插件往往會自動運行惡意可執行文件，因此需要營造一個安全的惡意運行和分析環境。

3.1.3 可執行文件格式分析

PE文件格式是一種數據結構類型，Windows系統中加載的幾乎所有可執行代碼的文件都是PE文件格式。PE文件從頭部開始，包括代碼、應用程序類型、庫函數等信息，文件頭部中的信息對惡意軟件分析人員很有價值。

3.1.4 交互式反匯編專家（IDA Pro）

IDA Pro作為高級的靜態分析方法，也是大多數惡意軟件分析人員、漏洞分析人員的首選反匯編工具。字符串是惡意軟件靜態分析的起點，利用其交叉引用特性來查看字符串在代碼中的確切位置和使用方式，另外反匯編器提供了程序在第一個指令執行之前的快照。

3.2 動態分析

動態分析技術是惡意軟件分析過程的第二步。動態分析通常是在基本靜態分析作用效果不明顯之后采取的加強措施，它可以在惡意軟件運行時監視惡意軟件，或者在惡意軟件執行后檢查系統。與靜態分析不同，動態分析允許查看惡意軟件的真正功能和內部信息。動態分析也是識別惡意軟件的有效方法。

3.2.1 沙 箱

沙箱技術作為基本的動態分析工具，也是一種安全機制。它的作用在于為不被信任的程序提供了一個安全的運行環境，并且系統本身不會被真正的損害，這彌補了PEiD檢測的不足。沙箱利用在虛擬環境中的某些條件來模擬網絡服務，其目的是確保被測試的軟件或惡意軟件能夠正常運行。沙箱并不是完美的，因為它沒有命令行選項而無法執行命令操作。另外，沙箱可能不會記錄所有事件，因為它沒有足夠的等候時間。

3.2.2 Process Monitor

Process Monitor（簡 稱Procmon）是Windows系統中的高級監視工具，通過監視某些注冊表、網絡進程及線程活動來判斷有無惡意行為。利用Procmon可監視所有運行時的系統調用，但不可能檢查全部。另外，其長時間工作會占用可用內存以致內存耗盡，最終使虛擬機無法工作。

3.2.3 Process Explorer

Process Explorer作為任務管理器，通常在執行動態分析使用。它可以對系統內運行的進程（包括進程、DLL、系統信息）提供有利的分析。此外還可使用它來啟動、驗證、終止進程。Process Explorer可以將正在監視的進程以樹形結構可視化顯示。

3.2.4 OllyDbg

OllyDbg是用于惡意軟件分析測試的高級動態調試器。調試器是一種軟件或硬件，用于測試另一個程序的運行情況并查看其在程序運行時的動態視圖，這些信息很難從反匯編器獲得。WinDbg作為OllyDbg的升級版，可以輔助其進行內核調試和Rootkit分析。

動態技術存在局限性，并不是所有的代碼路徑都可以在惡意軟件運行時執行。目前較好的辦法是使用先進的動態或動靜結合技術來解決強制惡意軟件執行的問題。

3.3 常用檢測工具

VirusTotal是一個使用許多不同的防病毒程序來掃描惡意軟件的在線服務網站，同時也是一個綜合性的惡意軟件數據集。Wireshark是一個動態分析網絡數據包和網絡協議的工具，可以捕獲惡意網絡流量并分析許多不同的網絡協議。PE Explorer是用來查看可執行文件格式的分析工具，將其作為靜態解壓縮器可自動解包文件。Capture BAT是一個用于監控正在運行的惡意軟件的動態分析工具，其主要負責監視文件系統、注冊表及進程活動。

4 基于深度學習的惡意軟件檢測方法

深度學習是機器學習的一個重要分支。面對海量網絡應用流量數據時，傳統的檢測方法很難有效判斷新型惡意程序的特征，即使設計出惡意特征數據庫，也需要耗費大量人力成本?；谏疃葘W習技術設計的智能化惡意檢測方法可以有效檢測新出現的樣本，極大程度地減少人工參與的工作量，具有較強的泛化能力。下面列舉幾個典型的深度學習檢測模型。

4.1 Malconv模型

MalConv模型基于門控卷積神經網絡（Gated-CNN）實現端到端的惡意代碼檢測模型。輸入層以二進制文件作為數據集，如PE主要分析其文件頭部信息，經過嵌入層的數據預處理后得到固定大小的特征映射矩陣，將每個輸入字節映射到D維向量，在卷積層將特征圖與卷積核進行點積運算，通過兩個激活函數得到輸出特征圖，采用0元素填充，利用門控層用于解決梯度消失的問題，采用最大池化進行降采樣，再經過全連接層和Softmax層，得到是否為惡意程序的概率。MalConv模型結構[8]如圖1 所示。

圖1 Malconv模型結構

4.2 ScaleMalNet模型

ScaleMalNet是一種用于惡意軟件檢測的可擴展深度學習網絡體系結構。該框架以分布方式從不同來源收集惡意軟件樣本，并以分布式方式應用預處理，能夠實時且按需處理大量惡意軟件樣本。ScaleMalNet框架對終端用戶主機收集的惡意軟件進行深入學習，并遵循兩個階段的惡意軟件分析過程。在第一階段，采用靜態和動態分析相結合的方法對惡意軟件進行分類；在第二階段，利用圖像處理方法將惡意軟件分為相應的惡意軟件類別。ScaleMalNe對于惡意程序的實時分析框架[9]如圖2所示。

圖2 ScaleMalNet模型實時分析框架圖

4.3 DroidDetector模型

DroidDetector是一款基于深度學習開發的Android惡意軟件檢測引擎[10]，本質上利用關聯規則挖掘技術來表征惡意軟件的特征。該引擎以在線方式自動檢測應用程序是否為惡意軟件，一旦應用程序的.apk文件被提交，DroidDetector會檢查其完整性并確定其是否為完整、正確、合法的Android應用程序。接下來，DroidDetector執行靜態分析以獲取此應用程序使用的權限和敏感API，通過在DroidBox中安裝并運行此應用程序一段固定時間來執行動態分析。通過這種方式，可以識別正在執行的動態行為。DroidDetector的框架模型如圖3所示。

圖3 DroidDetector框架結構圖

5 傳統與基于深度學習的檢測方法分析

傳統的惡意程序檢測方法主要通過人工方式對軟件的特征規則信息進行設計與提取，將已經確定的惡意軟件的特征碼與目標待檢測程序的特征碼進行比對，根據比對的匹配程度設定判定閾值，一般分為惡意與非惡意兩種結果。這種方式的優點在于特征獲取比較直觀，具有較為豐富的語義信息；缺點是需要大量的人工制定，并且對于未出現在惡意程序特征庫中的新型惡意軟件無法做出有效 分類。

基于深度學習卷積神經網絡的惡意程序檢測方法主要通過神經網絡自動提取軟件中的特征信息，經過提前設計好的分類器，可以對海量樣本數量進行有效預測與分類。這種方式的優點是減少了人工提取特征信息的工作量，可自動學習與判別新的惡意程序信息；缺點是可解釋性差，模型對于分析人員來說是無法掌握判定理由的黑盒，難以提供確切的可信任決策依據。

分別從檢測機制原理、使用范圍、檢測時間及存在的問題等幾個方面對傳統檢測方法和深度學習檢測方法進行了比較，比較結果如表1所示。

表1 檢測方法對比分析表

6 結 語

傳統的惡意程序檢測技術一般都需要大量的人工參與，難以適應互聯網海量應用數據的檢測。利用深度學習框架設計的智能惡意程序檢測方法能夠自動化批處理海量樣本，并且對于新型惡意程序檢測具有良好的泛化能力，但普遍存在可解釋性差、難以提供決策依據的缺點。在未來的惡意軟件檢測技術發展中，用人工智能技術為傳統檢測方法賦能，是一個很有價值的發展方向，還有很多問題有待解決。