惡意代碼檢測技術(shù)研究綜述

郭沁怡

摘要：惡意代碼的危害性逐漸增大，且已威脅到網(wǎng)絡(luò)和信息安全。該文歸納了目前較為常見的三種惡意代碼檢測方法，并討論了每種方法的優(yōu)缺點(diǎn)，最后對(duì)當(dāng)前檢測技術(shù)所面臨的問題進(jìn)行總結(jié)，并闡述了未來可能的研究方向，旨在為惡意代碼檢測技術(shù)的發(fā)展提供幫助。

關(guān)鍵詞：檢測技術(shù)；惡意代碼；傳統(tǒng)方法；機(jī)器學(xué)習(xí)；深度學(xué)習(xí)

中圖分類號(hào)：TP311.12? ? ? ? 文獻(xiàn)標(biāo)識(shí)碼：A

文章編號(hào)：1009-3044（2023）13-0079-03

開放科學(xué)（資源服務(wù)）標(biāo)識(shí)碼（OSID）

0 引言

互聯(lián)網(wǎng)的快速發(fā)展豐富了人們的生活，給人們帶來了便利，但也存在著不可避免的安全風(fēng)險(xiǎn)。由于計(jì)算機(jī)技術(shù)的發(fā)展，因黑客攻擊而導(dǎo)致財(cái)產(chǎn)損失的案例越來越多，而惡意代碼是最常見的攻擊手段之一。惡意代碼與正常代碼的區(qū)別在于，惡意代碼是為特定的惡意目的而編寫的計(jì)算機(jī)程序，通常是將其與正常的計(jì)算機(jī)程序相結(jié)合，并選擇在特定環(huán)境下執(zhí)行其功能。個(gè)人、社會(huì)乃至國家都將面臨惡意代碼帶來的嚴(yán)重危害。因此，惡意代碼檢測問題不僅是防范的重點(diǎn)，同時(shí)也是一大難題。目前網(wǎng)絡(luò)安全領(lǐng)域也將重點(diǎn)放在如何精準(zhǔn)高效地檢測出惡意代碼。

1 傳統(tǒng)惡意代碼檢測方法

惡意代碼，又稱惡意軟件，是可以對(duì)用戶、計(jì)算機(jī)或網(wǎng)絡(luò)造成各種傷害的軟件。通過手動(dòng)分析惡意代碼的具體特征來檢測惡意軟件，不僅費(fèi)時(shí)，而且檢測效率低，不實(shí)用。傳統(tǒng)的惡意代碼檢測可分三種：啟發(fā)式檢測法﹑簽名檢測法和行為特征檢測法。

1.1 啟發(fā)式檢測法

啟發(fā)式檢測方法主要是將上層系統(tǒng)信息和從內(nèi)核獲得的系統(tǒng)狀態(tài)進(jìn)行對(duì)比，以此來檢測隱藏的文件、進(jìn)程和注冊(cè)表信息[1]，還有關(guān)于通過監(jiān)測特定系統(tǒng)資源來檢測惡意代碼的研究。啟發(fā)式檢測主要分為兩種檢測方法：靜態(tài)啟發(fā)式檢測和動(dòng)態(tài)啟發(fā)式檢測。

靜態(tài)啟發(fā)式檢測技術(shù)依賴于對(duì)代碼片段的分析來檢測病毒。通過對(duì)文件外部的靜態(tài)信息進(jìn)行分類，結(jié)合病毒的感染形式，模擬對(duì)代碼執(zhí)行過程的跟蹤，以確定其是否為病毒。動(dòng)態(tài)啟發(fā)式檢測是基于反病毒的VM技術(shù)。通過模擬英特爾處理器、計(jì)算機(jī)硬件組件（內(nèi)存、硬盤等）和Windows操作系統(tǒng)，建立一個(gè)反病毒虛擬機(jī)，然后將需要檢測和執(zhí)行的程序加載到模擬系統(tǒng)。兩者比較可以看出，靜態(tài)啟發(fā)式掃描是一種靜態(tài)行為檢測方法，它將病毒可能執(zhí)行的一些行動(dòng)作為簽名代碼列入病毒數(shù)據(jù)庫。而動(dòng)態(tài)啟發(fā)式掃描技術(shù)多了一項(xiàng)對(duì)CPU的模擬。在加密病毒的情況下，直接的靜態(tài)啟發(fā)式掃描無法檢測到這一點(diǎn)。動(dòng)態(tài)啟發(fā)式掃描通過模擬一臺(tái)具有基本操作環(huán)境的計(jì)算機(jī)來解決這個(gè)問題，首先模擬運(yùn)行一個(gè)可能是病毒的文件，然后在解密病毒后進(jìn)行靜態(tài)啟發(fā)式掃描[2]。

1.2 簽名檢測法

Android是時(shí)下非常流行的移動(dòng)操作系統(tǒng)，盡管Android系統(tǒng)的開放性受到應(yīng)用開發(fā)者的歡迎，但存在許多安全隱患。當(dāng)前，Android設(shè)備和Windows PC是惡意軟件主要的攻擊目標(biāo)。檢測Android中的惡意軟件的主要方法是傳統(tǒng)的簽名檢測技術(shù)。簽名檢測的原理是將被測應(yīng)用程序的簽名與已知惡意軟件的簽名進(jìn)行比較。如果簽名相同，被測應(yīng)用程序就是惡意軟件。傳統(tǒng)的簽名檢測方法的優(yōu)點(diǎn)是快速和高效，但在檢測混淆代碼或重新包裝的惡意軟件方面并不有效，因?yàn)樗环治霰粰z測應(yīng)用程序的整體簽名，只要攻擊者稍微改變代碼，例如名稱，惡意軟件的簽名就會(huì)發(fā)生重大變化，使傳統(tǒng)的簽名檢測無效[3]。

1.3 行為特征檢測法

傳統(tǒng)的檢測方法的優(yōu)點(diǎn)是一旦識(shí)別出惡意代碼的靜態(tài)簽名，就可以準(zhǔn)確地檢測和刪除，而缺點(diǎn)是在沒有預(yù)定的簽名代碼的情況下，無法對(duì)未知的惡意代碼進(jìn)行有效檢測。行為特征檢測是將惡意代碼的行為特征進(jìn)行定義和抽象化來檢測和捕獲程序的異常行為的方法，以保護(hù)操作系統(tǒng)和合法應(yīng)用程序[4]。一般來說，具有行為特征的惡意代碼檢測系統(tǒng)由四層組成，即行為監(jiān)測層、行為分析層、行為決策層和聯(lián)動(dòng)響應(yīng)層以及惡意行為庫[4]。

行為檢測是基于從惡意代碼中提取的特征。與基于啟發(fā)式的檢測方法相比，該方法聚焦在惡意代碼的實(shí)際行為，有效避開了只混淆代碼的方法可能帶來的影響，具有效率高、誤報(bào)率低的優(yōu)點(diǎn)，因此在惡意代碼檢測工具中被普遍使用，是目前惡意代碼檢測比較常見的方法[1]。然而，這種方法也有缺點(diǎn)，例如無法防止行為混淆方法，如行為等價(jià)替換。

2 基于機(jī)器學(xué)習(xí)技術(shù)的惡意代碼檢測

機(jī)器學(xué)習(xí)，或使計(jì)算機(jī)能夠在沒有特殊編程的情況下學(xué)習(xí)。機(jī)器學(xué)習(xí)是人工智能的一個(gè)重要領(lǐng)域，包含了廣泛的模型，有些偏向于符號(hào)，有些偏向于連接，有些則兩者都不偏向。在信息安全領(lǐng)域，不同類型的機(jī)器學(xué)習(xí)模型也可用于解決惡意軟件檢測問題。以下是三種傳統(tǒng)機(jī)器學(xué)習(xí)檢測方法：

1） 支持向量機(jī)（SVM） 檢測法

Android惡意軟件可以通過竊取隱私、耗費(fèi)流量和抵扣電話費(fèi)等方式造成嚴(yán)重?fù)p害，并將用戶置于危險(xiǎn)之中。而Android系統(tǒng)使用權(quán)限機(jī)制來控制應(yīng)用程序?qū)ο到y(tǒng)資源和用戶私人信息的訪問，因此， Android應(yīng)用程序使用的權(quán)限與它們的行為密切相關(guān)，通過分析權(quán)限信息可以有效檢測Android惡意軟件。

SVM，又名最大邊緣算法，是由Vapnik提出的一種機(jī)器學(xué)習(xí)方法。SVM是以統(tǒng)計(jì)學(xué)習(xí)理論為基礎(chǔ)，將結(jié)構(gòu)風(fēng)險(xiǎn)降到最低，其學(xué)習(xí)策略是間隔最大化。SVM的特點(diǎn)是有著強(qiáng)泛化能力，能夠解決小樣本、高密度和非線性問題。支持向量機(jī)的原理是在正負(fù)數(shù)據(jù)中找到最優(yōu)超平面，使這個(gè)超平面能最大限度地將正負(fù)數(shù)據(jù)的分布展現(xiàn)出來，如圖1所示[5]。

在圖1中， H是最優(yōu)超平面，H1和H2分別是兩個(gè)平行于H的支持平面， margin是H1和H2之間的距離[5]。原則上，SVM避免了傳統(tǒng)的歸納和推理過程，允許從訓(xùn)練模型到預(yù)測模型的高效“過渡性推理”，大大簡化了傳統(tǒng)的分類和回歸問題[6]。然而，這種方法有一些缺點(diǎn)，例如，很難將SVM算法應(yīng)用于大型訓(xùn)練樣本。由于SVM算法在求解支持向量時(shí)運(yùn)用二次規(guī)劃，過程中需要計(jì)算一個(gè)m階的矩陣（m為樣本數(shù)），對(duì)于大量的m來說，存儲(chǔ)和計(jì)算這個(gè)矩陣會(huì)消耗大量的內(nèi)存和計(jì)算時(shí)間。

2） 決策樹檢測方法

在機(jī)器學(xué)習(xí)中，決策樹是一種樹狀結(jié)構(gòu)，其中葉節(jié)點(diǎn)代表類別，非葉節(jié)點(diǎn)代表定義類別的屬性。決策樹是一個(gè)預(yù)測模型，提供了屬性和類別之間的映射[7]。樹上的每個(gè)節(jié)點(diǎn)代表被測試對(duì)象的一個(gè)屬性，節(jié)點(diǎn)之間的分叉路徑代表測試某個(gè)特定屬性的結(jié)果，最后的預(yù)測也只能在決策樹的葉子節(jié)點(diǎn)上顯示。

決策樹模型以前被用來從惡意應(yīng)用分類的未知文件中提取靜態(tài)信息，但基于神經(jīng)網(wǎng)絡(luò)的模型有固有的缺點(diǎn)。首先，無法知道哪些信息在網(wǎng)絡(luò)的輸入層起著關(guān)鍵作用，導(dǎo)致需要收集所有的數(shù)據(jù)供已形成的網(wǎng)絡(luò)模型使用，這不僅限制了處理，也使已形成的網(wǎng)絡(luò)模型中包含的知識(shí)無法被提取并用于其他相關(guān)項(xiàng)目。其次，神經(jīng)網(wǎng)絡(luò)所需的樣本數(shù)量不應(yīng)過大，因?yàn)檩斎牍?jié)點(diǎn)的元數(shù)據(jù)，即可以提取的PE文件的數(shù)量很難與隱藏層的數(shù)量相匹配，盡管有經(jīng)驗(yàn)理論可能會(huì)提供一些指導(dǎo)，但在應(yīng)用于具有“變化粒度”的多層次模型時(shí)，就會(huì)更加復(fù)雜。然而，決策樹可以用來彌補(bǔ)神經(jīng)網(wǎng)絡(luò)的這些缺點(diǎn)，它可以通過統(tǒng)計(jì)方法獲得數(shù)據(jù)，有著評(píng)估過程中快速而直觀的優(yōu)點(diǎn)。

3） 隨機(jī)森林檢測法

隨機(jī)森林是一個(gè)分類器，包含幾個(gè)隨機(jī)構(gòu)建的決策樹。當(dāng)有輸入時(shí)，幾棵樹分別評(píng)估，最終的分類結(jié)果是由匹配過程得到的。隨機(jī)森林有能力對(duì)許多類型的信息產(chǎn)生非常準(zhǔn)確的分類器，減少泛化和錯(cuò)誤，而且學(xué)習(xí)過程很快[7]。

隨機(jī)森林結(jié)合了“Bootstrap aggregating”想法和“Random Subspace Metho”的想法，其中隨機(jī)性體現(xiàn)在樣本和特征中。前者對(duì)于確保每棵樹都有隨機(jī)數(shù)量的特征很有用，而后者則有助于保證樣本分裂的多樣性。與決策樹相比，隨機(jī)森林作為一種由弱分類器整合而成的強(qiáng)分類器的組合式分類器，在有效降低風(fēng)險(xiǎn)、抗噪聲、分類器更好地泛化以及減少過擬合等方面具有優(yōu)勢。在建立隨機(jī)森林的過程中，必須經(jīng)歷兩個(gè)階段，第一階段是森林生成階段，第二階段是決策階段。

隨著研究的深入，使用機(jī)器學(xué)習(xí)從大量的數(shù)據(jù)中提取潛在的價(jià)值，并發(fā)現(xiàn)數(shù)據(jù)中信息之間的關(guān)聯(lián)性，正在吸引越來越多的關(guān)注。最近的研究集中在如何將大數(shù)據(jù)挖掘、機(jī)器學(xué)習(xí)和深度神經(jīng)網(wǎng)絡(luò)的知識(shí)與大量的惡意代碼實(shí)例相結(jié)合進(jìn)行檢測[8]。現(xiàn)階段，研究學(xué)者對(duì)惡意代碼的探索基本上都是應(yīng)用數(shù)據(jù)分析和機(jī)器學(xué)習(xí)。根據(jù)機(jī)器學(xué)習(xí)的檢測方法可以分成兩階段：從海量信息中提取特征與建立檢測模型。Bayer等人[9]提出了基于概率的聚類算法來檢測惡意代碼，用局部敏感哈希來表示惡意代碼行為信息。這類聚類算法方法能夠很好地尋找最近鄰。Shabtai等人[10]依據(jù)惡意代碼的靜態(tài)數(shù)據(jù)特點(diǎn)，提出了一種用于惡意代碼檢測的機(jī)器學(xué)習(xí)模型，達(dá)到了相對(duì)較高的準(zhǔn)確度和較低的漏報(bào)率。該方法運(yùn)用N-Gram優(yōu)化算法獲取惡意代碼的命令層和字節(jié)數(shù)層特點(diǎn)，并用多分類器進(jìn)行訓(xùn)練，對(duì)這些分類器的分類結(jié)果使用一種主動(dòng)學(xué)習(xí)機(jī)制以及加權(quán)算法。Sun等人[11]等給出了一種基于靜態(tài)數(shù)據(jù)特征提取的惡意代碼檢測方法。該方法獲取字節(jié)碼、PE文檔、匯編代碼的特點(diǎn)，挑選8個(gè)分類器模型從而找尋最理想的分類器。經(jīng)過特征融合后，隨機(jī)森林分類器最終獲得了93.56%的F1分?jǐn)?shù)。

使用機(jī)器學(xué)習(xí)檢測惡意代碼的技術(shù)方面涉及兩個(gè)關(guān)鍵點(diǎn)：特征提取和檢測分類模型的選擇。在特征提取層面，找尋更好的特征提取方法；在模型選擇方面，找到更好的分類算法模型和檢測準(zhǔn)確率。因而，傳統(tǒng)式機(jī)器學(xué)習(xí)檢測方法的主要缺點(diǎn)是隨機(jī)森林（RF） 、SVM算法（Support Vector Machines） 、決策樹算法（DT） 等分類器模型較為簡單。這種模型不能全自動(dòng)高效地獲取惡意代碼更深層次的特征，并且基于機(jī)器學(xué)習(xí)的惡意代碼檢測依賴于人工特征提取，不能完全準(zhǔn)確地描述惡意代碼。而特征提取大大影響了惡意代碼檢測的結(jié)果，導(dǎo)致惡意代碼檢測的準(zhǔn)確率較低等問題[8]。

3 基于深度學(xué)習(xí)技術(shù)的惡意代碼檢測方法

深度學(xué)習(xí)算法可以將處理過的惡意軟件數(shù)據(jù)作為檢測或分類的輸入，為最終檢測或分類進(jìn)行高效的特征提取。

卷積神經(jīng)網(wǎng)絡(luò)（CNN） 是一類包含卷積計(jì)算且具有深度結(jié)構(gòu)的前饋神經(jīng)網(wǎng)絡(luò)[12]，常用于視覺圖像分析。卷積神經(jīng)網(wǎng)絡(luò)在各領(lǐng)域被廣泛應(yīng)用，如圖像處理、自然語言處理、文本處理及惡意軟件檢測等。

卷積神經(jīng)網(wǎng)絡(luò)通常由輸入層、卷積層、池化層以及全連接層組成。各種常規(guī)神經(jīng)網(wǎng)絡(luò)的結(jié)構(gòu)基本相同。如圖2所示，在卷積神經(jīng)網(wǎng)絡(luò)中，首先輸入層輸入數(shù)據(jù)，通過卷積層對(duì)輸入數(shù)據(jù)進(jìn)行計(jì)算得到輸入數(shù)據(jù)的特征空間。其次，池化層用于篩選特征空間中的突出特征，經(jīng)過幾次反復(fù)的卷積和融合，得到輸入數(shù)據(jù)的最終特征空間。最后，提取的特征空間被用作全連接層的輸入。全連接層的主要功能是完成從輸入數(shù)據(jù)到標(biāo)簽的映射，以實(shí)現(xiàn)分類目標(biāo)。

對(duì)于機(jī)器學(xué)習(xí)算法檢測技術(shù)性的缺點(diǎn)，深度學(xué)習(xí)模型可以全自動(dòng)獲取惡意代碼更深層次的特征，更準(zhǔn)確地描述惡意代碼。因而，根據(jù)深度學(xué)習(xí)的惡意代碼檢測理論是這兩年的新研究趨勢。Yujie Fan[13]利用惡意代碼的指令層操作碼序列特征來發(fā)現(xiàn)惡意代碼操作碼序列模式，根據(jù)神經(jīng)網(wǎng)絡(luò)算法來高效地檢測惡意代碼。Pascanu等人[14]獲得了惡意代碼語義層系統(tǒng)的序列特征，并根據(jù)遞歸神經(jīng)網(wǎng)絡(luò)對(duì)惡意代碼進(jìn)行檢測分類。試驗(yàn)結(jié)果顯示，自動(dòng)門遞歸算法模塊351（GRU） 和LSTMl36模型具有較好的分類特性。Cui Z等人[15]將惡意代碼的特征展示在二值圖像中，運(yùn)用CNN全自動(dòng)獲取惡意代碼圖像的特征，對(duì)圖片進(jìn)行歸類從而達(dá)到惡意代碼檢測的目的。

深度學(xué)習(xí)發(fā)展趨勢十分迅速，近些年，根據(jù)深度學(xué)習(xí)的惡意代碼檢測研究逐漸增加。利用深度學(xué)習(xí)模型，例如CNN、RNN、深層置信網(wǎng)絡(luò)等模型，成了一個(gè)新的研究領(lǐng)域，其檢測效果很好。但是，傳統(tǒng)的基于深度學(xué)習(xí)的惡意代碼檢測方式存在劣勢。因?yàn)閻阂獯a特征序列長度并不是相對(duì)穩(wěn)定的，所以在單用LSTM作為惡意代碼的檢測模型的情形下，LSTM模型不能獲取較長序列的特征信息內(nèi)容；單用卷積和神經(jīng)系統(tǒng)模型作為惡意代碼的檢測和分類模型時(shí)，通過CNN訓(xùn)練后，特征與前后文不相干，會(huì)嚴(yán)重影響檢測實(shí)際效果。

4 結(jié)束語

惡意代碼作為一種強(qiáng)有力的網(wǎng)絡(luò)攻擊工具，從竊取數(shù)據(jù)和身份信息、損壞系統(tǒng)和數(shù)據(jù)信息以及拒絕服務(wù)等多方面對(duì)個(gè)人、組織機(jī)構(gòu)和國家構(gòu)成了重大威脅。惡意代碼的檢測是一個(gè)至關(guān)重要的研究方向，雖然，研究者們?cè)趷阂獯a檢測技術(shù)方面取得了很大的進(jìn)展，但是各種新型的惡意代碼不斷涌現(xiàn)[16]，因此，基于圖像紋理特征的惡意代碼檢測將具有極高的應(yīng)用場景和研究價(jià)值。在未來的研究中可以探討的兩個(gè)方面是：首先，可以研究新型的惡意代碼可視化技術(shù)，將圖像中獨(dú)特的家族特征納入其中，并利用GAN來解決數(shù)據(jù)集分布不均的問題，提高模型的通用性；其次，目前檢測方法中使用的深度學(xué)習(xí)模型主要是CNN和RNN，未來的研究可以考慮結(jié)合數(shù)據(jù)可視化、圖像處理、GAN以及GCN技術(shù)來更有效地檢測新的惡意代碼[17]。

參考文獻(xiàn)：

[1] 王蕊，馮登國，楊軼，等.基于語義的惡意代碼行為特征提取及檢測方法[J].軟件學(xué)報(bào)，2012，23（2）： 378-393.

[2] 陳月玲.基于程序語義的計(jì)算機(jī)病毒檢測方法[D].青島：青島大學(xué)， 2007.

[3] 寧卓，邵達(dá)成，陳勇，等.基于簽名與數(shù)據(jù)流模式挖掘的Android惡意軟件檢測系統(tǒng)[J].計(jì)算機(jī)科學(xué)，2017，44（B11）：317-321.

[4] 左黎明，湯鵬志，劉二根，等.基于行為特征的惡意代碼檢測方法[J].計(jì)算機(jī)工程，2012，38（2）： 129-131.

[5] 張玉玲，尹傳環(huán).基于SVM的安卓惡意軟件檢測[J].山東大學(xué)學(xué)報(bào)（工學(xué)版），2017，47（1）： 42-47.

[6] 王義鋒.基于XGBoost+RF的個(gè)人信貸風(fēng)險(xiǎn)預(yù)測研究[D].重慶：重慶大學(xué)，2020.

[7] 戴逸輝，殷旭東.基于隨機(jī)森林的惡意代碼檢測[J].網(wǎng)絡(luò)空間安全，2018，9（2）：70-75.

[8] 陳克.基于深度學(xué)習(xí)的惡意代碼檢測技術(shù)研究[D].北京：北京交通大學(xué)，2020.

[9] Bayer U， Comparetti P M， Hlauschek C， et al. Scalable， behavior-based malware clustering[C]//NDSS，2009：8-11.

[10] Shabtai A，Moskovitch R，Elovici Y，et al.Detection of malicious code by applying machine learning classifiers on static features：a state-of-the-art survey[J].Information Security Tech Report，2009，14（1）：16-29.

[11] Sun B W，Li Q，Guo Y H，et al.Malware family classification method based on static feature extraction[C]//2017 3rd IEEE International Conference on Computer and Communications （ICCC）.December 13-16，2017，Chengdu，China.IEEE，2018：507-513.

[12] 何景暉，敖銀輝，趙偉良.光纜交接箱端口狀態(tài)的視覺檢測方法[J].微處理機(jī)，2021，42（2）：53-57.

[13] Yujie，F(xiàn)an.Malicious sequential pattern mining for automatic malware detection[J].Expert Systems With Applications，2016（52）：16-25.

[14] Pascanu R，Stokes J W，Sanossian H，et al.Malware classification with recurrent networks[C]//2015 IEEE International Conference on Acoustics，Speech and Signal Processing （ICASSP）.April 19-24，2015，South Brisbane，QLD，Australia.IEEE，2015：1916-1920.

[15] Cui Z H，Xue F，Cai X J，et al.Detection of malicious code variants based on deep learning[J].IEEE Transactions on Industrial Informatics，2018，14（7）：3187-3196.

[16] 韓曉光.惡意代碼檢測關(guān)鍵技術(shù)研究[D].北京：北京科技大學(xué)， 2015.

[17] 李豪，錢麗萍.惡意代碼可視化檢測技術(shù)研究綜述[J].軟件導(dǎo)刊，2022，21（5）： 9-16.

【通聯(lián)編輯：代影】