基于機(jī)器學(xué)習(xí)動(dòng)靜態(tài)檢測(cè)模型的惡意軟件檢測(cè)系統(tǒng)設(shè)計(jì)與實(shí)現(xiàn)

楊文遠(yuǎn),趙 鑫

(南昌航空大學(xué)科技學(xué)院,江西 共青城 332020)

0 引言

惡意軟件會(huì)造成計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)的癱瘓,并導(dǎo)致用戶隱私信息的泄露或數(shù)字財(cái)產(chǎn)的損失。鑒于惡意軟件具有變種多、危害大等特點(diǎn),必須堅(jiān)持預(yù)防為主的原則,通過(guò)準(zhǔn)確識(shí)別惡意軟件并及時(shí)采取控制措施,保護(hù)計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)的安全。相關(guān)人員需將基于機(jī)器學(xué)習(xí)的靜態(tài)檢測(cè)模型和基于深度學(xué)習(xí)的動(dòng)態(tài)檢測(cè)模型相結(jié)合,在2種檢測(cè)技術(shù)優(yōu)勢(shì)互補(bǔ)的基礎(chǔ)上搭建惡意軟件檢測(cè)系統(tǒng),以達(dá)到高效率、高準(zhǔn)確率的效果,在保障計(jì)算機(jī)網(wǎng)絡(luò)安全方面發(fā)揮作用。

1 基于動(dòng)靜態(tài)檢測(cè)模型的惡意軟件檢測(cè)系統(tǒng)設(shè)計(jì)

1.1 系統(tǒng)整體框架

本文基于動(dòng)靜態(tài)檢測(cè)模型設(shè)計(jì)的惡意軟件檢測(cè)系統(tǒng),主要由客戶端、系統(tǒng)緩存和惡意軟件檢測(cè)系統(tǒng)服務(wù)器3部分組成。客戶端用于上傳文件和展示檢測(cè)結(jié)果;系統(tǒng)緩存用于存儲(chǔ)PE原始文件和訓(xùn)練模型;服務(wù)器支持靜態(tài)和動(dòng)態(tài)分析以及文件讀取等功能的實(shí)現(xiàn)?？蛻舳伺c服務(wù)器之間采用超文本傳輸協(xié)議(HTTP)進(jìn)行數(shù)據(jù)傳遞,服務(wù)器與系統(tǒng)緩存之間基于I/O口完成數(shù)據(jù)交互[1]。該系統(tǒng)具有數(shù)據(jù)上傳、數(shù)據(jù)處理和結(jié)果展示3項(xiàng)基本功能,功能架構(gòu)如圖1所示。

圖1 惡意軟件檢測(cè)系統(tǒng)整體架構(gòu)

1.2 系統(tǒng)功能模塊設(shè)計(jì)

1.2.1 數(shù)據(jù)上傳模塊

該模塊支持用戶上傳可執(zhí)行文件。當(dāng)用戶向Web服務(wù)器發(fā)出上傳文件的請(qǐng)求后,服務(wù)器首先執(zhí)行一個(gè)判斷程序“上傳文件是否為空”。如果判斷結(jié)果為“否”,即用戶在沒(méi)有選中文件的情況下直接點(diǎn)擊上傳,那么系統(tǒng)報(bào)錯(cuò),在屏幕上提示“請(qǐng)選擇有效文件”;如果判斷結(jié)果為“是”,服務(wù)器再執(zhí)行一個(gè)判斷程序“文件類型是否合格”。系統(tǒng)默認(rèn)的文件類型有.exe、.dll、.sys、.drv等幾種,若用戶上傳文件不屬于上述類型,系統(tǒng)報(bào)錯(cuò)并提示“文件類型錯(cuò)誤”;若用戶上傳文件屬于默認(rèn)類型,服務(wù)器接收文件,并將其保存在系統(tǒng)緩存中。數(shù)據(jù)上傳流程如圖2所示。

圖2 數(shù)據(jù)上傳流程

1.2.2 數(shù)據(jù)處理模塊

惡意軟件檢測(cè)系統(tǒng)的數(shù)據(jù)處理模塊支持靜態(tài)和動(dòng)態(tài)2種分析模式。當(dāng)系統(tǒng)需要處理數(shù)據(jù)時(shí),以用戶上傳的文件名作為關(guān)鍵詞,在系統(tǒng)緩存中輸入關(guān)鍵詞并匹配相應(yīng)的文件。如果檢測(cè)系統(tǒng)緩存文件后未成功匹配,則提示“未找到有效文件”并自動(dòng)返回系統(tǒng)主界面;如果成功匹配,則進(jìn)一步判斷使用靜態(tài)分析還是動(dòng)態(tài)分析。判斷依據(jù)是客戶端的請(qǐng)求內(nèi)容。

若請(qǐng)求內(nèi)容為靜態(tài)分析,檢測(cè)系統(tǒng)對(duì)該文件進(jìn)行靜態(tài)分析。數(shù)據(jù)處理模塊讀取文件的靜態(tài)分析參數(shù),若參數(shù)為0,表示該文件是未選中狀態(tài),提示用戶選擇分析類型;用戶選中“靜態(tài)分析模型”后,參數(shù)變?yōu)?,此時(shí)數(shù)據(jù)處理模塊提取文件的靜態(tài)特征,并做向量化處理,設(shè)計(jì)人員將處理結(jié)果輸入已經(jīng)訓(xùn)練好的惡意軟件靜態(tài)檢測(cè)模型,完成對(duì)該樣本文件的分析和預(yù)測(cè)。

若請(qǐng)求內(nèi)容為動(dòng)態(tài)分析,檢測(cè)系統(tǒng)對(duì)該文件進(jìn)行動(dòng)態(tài)分析。數(shù)據(jù)處理模塊讀取文件的動(dòng)態(tài)分析參數(shù),若參數(shù)為1,則讀取該文件從原始PE文件中提取動(dòng)態(tài)特征。然后將PE文件放入沙箱環(huán)境進(jìn)行處理,得到該文件的行為日志。系統(tǒng)設(shè)計(jì)人員以行為日志作為處理對(duì)象,提取API序列特征,并做向量化處理。將處理結(jié)果輸入已經(jīng)訓(xùn)練好的惡意軟件動(dòng)態(tài)檢測(cè)模型,完成對(duì)該樣本文件的分析和預(yù)測(cè)[2]。

1.2.3 結(jié)果展示模塊

服務(wù)器在接收到客戶端發(fā)起的HTTP請(qǐng)求后,讀取請(qǐng)求中的數(shù)據(jù);在服務(wù)器內(nèi)部完成數(shù)據(jù)的動(dòng)靜態(tài)分析和預(yù)測(cè)后,將預(yù)測(cè)結(jié)果封裝成JSON格式的文件,再利用HTTP協(xié)議將文件返回至客戶端。服務(wù)器如果未找到與該請(qǐng)求對(duì)應(yīng)的處理結(jié)果,則發(fā)送431錯(cuò)誤碼并在客戶端上顯示。結(jié)果展示流程如圖3所示。

圖3 結(jié)果展示流程

1.3 前端界面的設(shè)計(jì)

系統(tǒng)設(shè)計(jì)人員在設(shè)計(jì)惡意軟件檢測(cè)系統(tǒng)的前端界面時(shí),除了要用簡(jiǎn)潔的文字概述本系統(tǒng)的核心功能,還要對(duì)該系統(tǒng)允許接收的合格文件作出必要限制,防止用戶上傳系統(tǒng)無(wú)法識(shí)別或無(wú)法使用的文件。例如,系統(tǒng)對(duì)文件的大小做了限制,默認(rèn)文件不得超過(guò)20 MB。當(dāng)用戶在系統(tǒng)前端界面上點(diǎn)擊“上傳文件”按鈕時(shí),系統(tǒng)會(huì)自動(dòng)識(shí)別該文件是否超過(guò)20 MB,如果超過(guò)則彈出對(duì)話框進(jìn)行提示,并重新刷新當(dāng)前頁(yè)面。前端界面的下方設(shè)計(jì)有2個(gè)復(fù)選按鈕,左側(cè)為“靜態(tài)分析”復(fù)選框,右側(cè)為“動(dòng)態(tài)分析”復(fù)選框。用戶選擇任意一個(gè)復(fù)選框后,從系統(tǒng)主界面跳轉(zhuǎn)至對(duì)應(yīng)的子頁(yè)面。

靜態(tài)分析子界面的上部分為文字介紹,即基于LGBMopt模型的靜態(tài)分析結(jié)果;中間部分以表格形式展示上傳文件的分析預(yù)測(cè)結(jié)果,即該文件是惡意軟件或良性軟件的概率;下部分為“返回”選項(xiàng),可跳轉(zhuǎn)至主界面;動(dòng)態(tài)分析子界面的上部分為文字介紹,即基于T-Bilstm模型的動(dòng)態(tài)分析結(jié)果;中間部分以表格形式展示預(yù)測(cè)結(jié)果的排序,分別為最有可能,第二大可能、第三大可能,并給出了軟件的判斷結(jié)果,如worms病毒、trojans病毒、botnets病毒以及每種病毒的預(yù)測(cè)評(píng)分;下部分為“返回”選項(xiàng),可跳轉(zhuǎn)至主界面[3]。

2 基于動(dòng)靜態(tài)檢測(cè)模型的惡意軟件檢測(cè)系統(tǒng)功能實(shí)現(xiàn)

2.1 系統(tǒng)開(kāi)發(fā)工具的選擇

支持Python編程語(yǔ)言的Web應(yīng)用開(kāi)發(fā)工具有Django、Flask、Bottle等。從應(yīng)用效果來(lái)看,Flask作為一款輕量級(jí)、多功能的免費(fèi)開(kāi)發(fā)工具,具有支持單元測(cè)試、支持安全Cookie、支持功能擴(kuò)展等多種優(yōu)點(diǎn),因此本文選用Flask進(jìn)行惡意軟件檢測(cè)系統(tǒng)的開(kāi)發(fā)。

2.2 虛擬系統(tǒng)的構(gòu)建

系統(tǒng)設(shè)計(jì)人員使用Virtualenv創(chuàng)建一個(gè)虛擬環(huán)境,在該環(huán)境下用Flask開(kāi)發(fā)工具創(chuàng)建惡意軟件檢測(cè)系統(tǒng),主要包含Web客戶端、服務(wù)接口、Jinja2模板引擎、Web服務(wù)器等模塊。在后端程序中添加一個(gè)Flask類的實(shí)例,路由裝飾器會(huì)描述觸發(fā)自定義函數(shù)的URL,從而支持用戶自定義返回Web客戶端的信息。基于Flask的檢測(cè)系統(tǒng)能快速響應(yīng)文件上傳請(qǐng)求,服務(wù)器在響應(yīng)請(qǐng)求后會(huì)將上傳的文件保存在緩存中;同時(shí),設(shè)計(jì)人員根據(jù)請(qǐng)求對(duì)象的files屬性訪問(wèn)上傳的文件,并記錄文件名、文件存儲(chǔ)路徑等信息,為后期查詢和調(diào)用文件提供了便利[4]。設(shè)計(jì)人員在構(gòu)建系統(tǒng)時(shí),調(diào)用了render_template()函數(shù)來(lái)渲染前端頁(yè)面,達(dá)到優(yōu)化人機(jī)交互的效果。本系統(tǒng)的Web頁(yè)面按照功能的不同共有3種類型,分別是:

(1)用于上傳文件的主頁(yè)面index.html;

(2)用于展示靜態(tài)預(yù)測(cè)結(jié)果的子頁(yè)面detectStatic.html;

(3)用于展示動(dòng)態(tài)預(yù)測(cè)結(jié)果的子頁(yè)面detectDynamic.html。

系統(tǒng)設(shè)計(jì)人員將建成的Web應(yīng)用在本地服務(wù)器上運(yùn)行,并嘗試?yán)梅?wù)器端口訪問(wèn)該應(yīng)用,結(jié)果顯示可以正常訪問(wèn),在此基礎(chǔ)上對(duì)惡意軟件檢測(cè)系統(tǒng)的各項(xiàng)功能進(jìn)行測(cè)試。

2.3 系統(tǒng)功能的測(cè)試

2.3.1 文件上傳功能測(cè)試

本文設(shè)計(jì)的惡意軟件檢測(cè)系統(tǒng),對(duì)用戶上傳的文件有2個(gè)限制條件:其一是文件要控制在20 MB以內(nèi);其二是上傳文件不得為空。據(jù)此,設(shè)置T01～T03文件上傳測(cè)試用例,前置條件和測(cè)試結(jié)果如表1所示。

表1 文件上傳功能測(cè)試用例

由表1可知,針對(duì)系統(tǒng)文件上傳功能,分別進(jìn)行了“文件為空”“文件大小超過(guò)20 MB”和“不超過(guò)20 MB的非PE文件”3項(xiàng)測(cè)試。測(cè)試結(jié)果表明,當(dāng)上傳文件為空和文件為非PE文件時(shí),系統(tǒng)自動(dòng)返回上傳文件主頁(yè)面,并在該頁(yè)面上以彈窗的形式提示錯(cuò)誤信息;當(dāng)上傳文件的大小超過(guò)規(guī)定的20 MB時(shí),提示錯(cuò)誤碼431。

2.3.2 靜態(tài)分析模型預(yù)測(cè)功能測(cè)試

靜態(tài)分析模型的主要作用是識(shí)別用戶上傳文件的文件名,然后讀取文件內(nèi)容并從中提取靜態(tài)特征,系統(tǒng)設(shè)計(jì)人員將靜態(tài)特征的向量化處理結(jié)果作為靜態(tài)模型的訓(xùn)練樣本,經(jīng)過(guò)500次訓(xùn)練后,測(cè)試靜態(tài)分析模型的預(yù)測(cè)功能[5]。前置條件為成功上傳符合要求的文件,測(cè)試結(jié)果如表2所示。

表2 靜態(tài)分析模型預(yù)測(cè)結(jié)果

靜態(tài)分析模型的預(yù)測(cè)結(jié)果符合預(yù)期,測(cè)試通過(guò)。

2.3.3 動(dòng)態(tài)分析模型預(yù)測(cè)功能測(cè)試

動(dòng)態(tài)分析模型的主要作用是識(shí)別用戶上傳文件的文件名,然后將該文件置于沙箱環(huán)境中展開(kāi)動(dòng)態(tài)分析。設(shè)計(jì)人員在分析期間生成記錄日志,從日志中提取API調(diào)用序列,依次完成去重、特征向量化等一系列處理后,將最終處理結(jié)果作為動(dòng)態(tài)模型的訓(xùn)練樣板。經(jīng)過(guò)500次訓(xùn)練后,測(cè)試動(dòng)態(tài)分析模型的預(yù)測(cè)功能。前置條件為成功上傳符合要求的文件,測(cè)試結(jié)果如表3所示。

表3 動(dòng)態(tài)分析模型預(yù)測(cè)結(jié)果

動(dòng)態(tài)分析模型的預(yù)測(cè)結(jié)果符合預(yù)期,測(cè)試通過(guò)。

3 結(jié)語(yǔ)

在信息時(shí)代背景下,以機(jī)器學(xué)習(xí)和深度學(xué)習(xí)為代表的人工智能技術(shù)得到了成熟發(fā)展,并在計(jì)算機(jī)視覺(jué)和自然語(yǔ)言處理等方面得到了廣泛應(yīng)用。本文將基于機(jī)器學(xué)習(xí)的靜態(tài)檢測(cè)技術(shù)和基于深度學(xué)習(xí)的動(dòng)態(tài)檢測(cè)技術(shù)相結(jié)合,構(gòu)建了惡意軟件檢測(cè)系統(tǒng),該系統(tǒng)能夠準(zhǔn)確識(shí)別用戶提交文件是否為惡意軟件,并且對(duì)惡意軟件的具體類型作出預(yù)測(cè),從而為惡意軟件的處理提供了依據(jù),保障了計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)的運(yùn)行安全。