CN110633570B - 面向恶意软件汇编格式检测模型的黑盒攻击的防御方法 - Google Patents

Abstract

一种面向恶意软件汇编格式检测模型的黑盒攻击的防御方法，包括以下步骤：1)获取数据集，将其划分为训练集和测试集；2)恶意软件汇编格式的处理；3)构建卷积神经网络分类器；4)基于梯度下降的恶意软件汇编格式检测模型的白盒攻击；5)设计具有代表性的深度学习模型结构，作为用于迁移攻击的迁移分类器；6)将初始的训练数据集的一部分用于MalConv的学习，一部分用于迁移分类器的学习；7)生成对抗样本；8)将步骤7)获取的对抗样本对恶意软件汇编格式检测模型重训练进行优化，获得能够防御对抗攻击的恶意软件检测模型；9)利用能够防御对抗攻击的恶意软件检测模型对恶意软件进行识别。

Description

面向恶意软件汇编格式检测模型的黑盒攻击的防御方法

技术领域

本发明属于网络空间安全技术领域，设计了一种面向恶意软件汇编格式检测模型的黑盒攻击的防御方法。

背景技术

随着计算机和互联网的飞速发展，人们之间的沟通越来越便捷，网络信息交流和智能应用在人们日常生活中扮演着至关重要的角色。根据资料显示，到2016年6月为止，全世界使用互联网的人群数量已经达到了36亿以上，用户首次占比过半。同时网络的发展也伴随着许多网络安全问题，恶意软件就是其中一个重要的影响因素。恶意软件(MaliciousSoftware，Malware)指有目的地实现攻击者破坏计算机、服务器、客户端或计算机网络的软件程序。恶意软件的代表类型有病毒、蠕虫、特洛伊木马、后门、Rootkits、勒索软件、僵尸网络等，通过自行复制、注入、诱惑、隐藏等形式渗透进入网络系统和受害者的计算机，试图破坏网络和计算机系统的正常运转、获取网络和主机资源、盗取机构和个人的敏感信息，对主机工作的安全性、网络传输的安全性和用户隐私的安全性都带来了极大的威胁。恶意软件能够有目的地实现对网络和主机的攻击、窃取信息和隐私、监视网络的使用，对主机的安全性、网络的安全性和隐私的安全性都具有极大的损害，对其进行检测、分析和预防一直是网络与信息安全研究工作的重点和热点之一。

目前存在的恶意软件检测方法有许多，深信服科技股份有限公司首先获取多个恶意软件产生的网络流量，再基于网络流量的统计特征对多个恶意软件粗粒度聚类，得到第一聚类结果，然后基于网络流量的内容特征对第一类聚类结果中的每一类恶意软件细粒度聚类，得到第二聚类结果，最后为第二聚类结果中的每一类恶意软件生成签名，以利用签名进行恶意软件检测。签名是一小段字节序列，它对于每一种已知的恶意软件类型都是独一无二的。这种从软件二进制代码中识别特定的字符串来鉴别恶意性质的方法，虽然一定程度上解决了检测问题，但是其需要域名专家进行手工制作、更新和上传，费时费力且易出错；北京物资学院首先从已知软件类型的软件样本集合中，提取各个软件样本的静态特征和动态特征，再将提取的各个软件样本的静态特征和动态特征有效结合，形成混合特征数据集，根据主成分分析方法和特征权重的选择方法，降低特征维度，去除冗余特征，得到优化后的混合特征数据集，然后运用支持向量机模型对优化后的混合特征集中的特征进行训练，形成分类检测模型，最后根据分类检测模型对待检测软件进行检测，但是基于向量机模型等机器学习的检测技术的泛化性能仍然不够高，且手工提取的待分析特征一旦被攻击者发现，可轻易地修改样本成功逃逸检测。

深度学习作为机器学习中神经网络技术进一步的发展思想，以分布式的结构自动地学习数据的特征表征，利用深度学习算法实现对恶意软件的检测为新趋势。大连理工大学构建卷积神经网络分类器实现对恶意软件的检测，广东工业大学通过循环神经网络得到恶意软件识别器，然而以上方法都是对恶意软件的检测，对于目前存在的恶意软件检测的攻击并没有涉及，而在实际情况中，对于恶意软件检测的攻击已经出现，因此，实现对恶意软件检测攻击的防御方法是目前亟待解决的问题。

发明内容

为了克服恶意软件检测的攻击，本发明提供一种面向恶意软件汇编格式检测模型的黑盒攻击的防御方法。

本发明解决其技术问题所采用的技术方案是：

一种面向恶意软件汇编格式检测模型的黑盒攻击的防御方法，所述方法包括以下步骤：

1)获取数据集，将其划分为训练集和测试集。过程如下：

1.1)收集各个恶意软件家族样本数据集，数据以“.asm”后缀的汇编语言文件类型保存；

1.2)考虑各个类别的样本数量差异以及为便于后续的工作，将各个类别数据集以训练集占比约80％、测试集占比约20％的比例划分；

2)恶意软件汇编格式的处理，过程如下：

2.1)考虑到实验的效率，为降低资源的使用，筛选100万以下大小字节量的文件作分析，同时将文件的每个字符通过ASCII映射到0-255区间范围，在序列的末尾添加“0”的方式填充为100万大小的定长数组；

2.2)再使用PyTorch的Embedding函数随机生成256×8大小的映射矩阵将每一位字节映射为8位长度的向量；

2.3)最终形成1000000*8大小的8通道输入数值矩阵；

3)构建卷积神经网络分类器。卷积神经网络作为经典的深度学习网络，被广泛地应用在计算机分类任务中。对输入大小为1000000*8大小的8通道输入数值矩阵，构建卷积神经网络分类器，过程如下：

3.1)将步骤2.3)获取的8通道输入数值矩阵的前四个通道和后四个通道分别通过128个500*4大小的卷积进行一维卷积，分别为卷积层1.1(conv1.1)、卷积层1.2(conv1.2)，其中卷积层1.1(conv1.1)的输出通过Sigmoid激活函数，另一个不作处理，步长均为500；

3.2)将步骤3.1)获得的两个卷积层的卷积结果通过一个乘积层2(mul2)进行哈达玛积运算(对应位相乘)；

3.3)将步骤3.2)获取的运算结果通过池化层3(max_pool3)进行全局最大值池化，形成128×1大小的高维特征序列，最大限度地降低资源消耗；

3.4)将步骤3.3)获取的序列通过两个全连接层分别为全连接层4(fc4)和全连接层5(fc5)以输出预测数值；

3.5)最后经过Sigmoid层(sigmoid5)运用Sigmoid函数输出0-1之间的分类概率，实验最终达到了99.83％的分类精度；

4)基于梯度下降的恶意软件汇编格式检测模型的白盒攻击，具体过程如下：

4.1)选择一个被分类为“恶意”的样本(概率>0.5)；

4.2)将样本的“0”填充字节重新进行随机初始化；

4.3)依次选择一个填充字节；

4.4)求出其他255个字节关于当前字节值在梯度方向上的投影距离与梯度的距离；

4.5)选择在梯度方向上的投影距离大于0且与梯度最近的字节，将其替换到该样本中形成对抗样本；

4.6)计算新的对抗样本被分类器预测的概率，若检测概率>0.5则重复4.3、4.4、4.5、4.6四个步骤直到该对抗样本被分类器检测为良性软件(概率<0.5)；

5)设计几个具有代表性的深度学习模型结构，并将它们作为用于迁移攻击的迁移分类器；

6)将初始的训练数据集划分为两部分，一部分用于MalConv的学习，一部分用于迁移分类器的学习；

7)将步骤4)说明的白盒攻击方法用于对训练完成的迁移分类器进行攻击，生成对抗样本；

8)将步骤7)获取的对抗样本对恶意软件汇编格式检测模型重训练进行优化，获得能够防御对抗攻击的恶意软件检测模型；

9)利用能够防御对抗攻击的恶意软件检测模型对恶意软件进行识别，能够防御对恶意软件检测模型的对抗攻击。

本发明的技术构思为：对于恶意软件，提出获取基于梯度下降的恶意软件汇编格式检测模型的白盒攻击以及基于迁移攻击的黑盒攻击的对抗样本实现恶意软件检测模型的对抗攻击的防御方法。

本发明的有益效果主要表现在：对于恶意软件检测过程中出现的黑盒攻击，提出了一种基于迁移攻击的黑盒攻击的防御方法。在真实恶意软件上的实验结果表明，该算法具有良好的适用性和精度，能够有效的防御对恶意软件模型的黑盒攻击，取得较好的检测效果。

附图说明

图1是本发明所使用的卷积神经网络分类器的框架图。

图2是本发明基于梯度选择可填充字节的图示。

图3是本发明基于梯度下降的恶意软件汇编格式白盒攻击的流程图。

具体实施方式

下面结合附图对本发明作进一步描述。

参照图1～图3，一种面向恶意软件汇编格式检测模型的黑盒攻击的防御方法，包括以下步骤：

1)获取数据集，将其划分为训练集和测试集。过程如下：

1.1)收集各个恶意软件家族样本数据集，数据以“.asm”后缀的汇编语言文件类型保存；

1.2)考虑各个类别的样本数量差异以及为便于后续的工作，将各个类别数据集以训练集占比约80％、测试集占比约20％的比例划分；

2)恶意软件汇编格式的处理，过程如下：

2.1)考虑到实验的效率，为降低资源的使用，筛选100万以下大小字节量的文件作分析，同时将文件的每个字符通过ASCII映射到0-255区间范围，在序列的末尾添加“0”的方式填充为100万大小的定长数组；

经筛选后符合要求的是Ramnit和Keilhos_ver3两个恶意软件家族的样本，其中Ramnit有372个训练集样本，75个测试集样本，Keilhos_ver3有1976个训练集样本，505个测试集样本。

2.2)再使用PyTorch的Embedding函数随机生成256×8大小的映射矩阵将每一位字节映射为8位长度的向量；

2.3)最终形成1000000*8大小的8通道输入数值矩阵；

3)构建卷积神经网络分类器。卷积神经网络作为经典的深度学习网络，被广泛地应用在计算机分类任务中。对输入大小为1000000*8大小的8通道输入数值矩阵，构建卷积神经网络分类器，过程如下：

3.1)将步骤2.3)获取的8通道输入数值矩阵的前四个通道和后四个通道分别通过128个500*4大小的卷积进行一维卷积，分别为卷积层1.1(conv1.1)、卷积层1.2(conv1.2)，其中卷积层1.1(conv1.1)的输出通过Sigmoid激活函数，另一个不作处理，步长均为500；

3.2)将步骤3.1)获得的两个卷积层的卷积结果通过一个乘积层2(mul2)进行哈达玛积运算(对应位相乘)；

3.3)将步骤3.2)获取的运算结果通过池化层3(max_pool3)进行全局最大值池化，形成128×1大小的高维特征序列，最大限度地降低资源消耗；

如图1所示，池化层池化核为2000，步长也为2000。

3.4)将步骤3.3)获取的序列通过两个全连接层分别为全连接层4(fc4)和全连接层5(fc5)以输出预测数值；

如图1所示，全连接层4(fc4)全连接到128个神经元，全连接层5(fc5)全连接到1个神经元。

3.5)最后经过Sigmoid层(sigmoid5)运用Sigmoid函数输出0-1之间的分类概率；

概率>0.5被分类到Ramnit恶意软件家族，否则被分类到Keilhos_ver3家族，实验最终达到了99.83％的分类精度。其中精度为分类正确的样本占总样本的比例，精度的计算公式如下：

其中f(x_i)为分类器对样本x_i的分类结果，y_i为样本真实的标签，样本总数为n。

4)基于梯度下降的恶意软件汇编格式检测模型的白盒攻击，具体过程如下：

4.1)选择一个被分类为“恶意”的样本(概率>0.5)；

4.2)将样本的“0”填充字节重新进行随机初始化；

4.3)依次选择一个填充字节；

4.4)求出其他255个字节关于当前字节值在梯度方向上的投影距离与梯度的距离；

4.5)选择在梯度方向上的投影距离大于0且与梯度最近的字节，将其替换到该样本中形成对抗样本；

如图2所示，首先将0-255的字节表示通过随机生成的256×8大小的映射矩阵映射为8维表征向量。假设z_j为当前所使用的填充字节，m₀-m₂₅₅为可供选择的256种离散字节，黑色点线g_j为分类器输出关于当前字节的梯度的所在方向，红线n_j为当前梯度下降的方向向量ω_j的单位向量：

每一种可供选择的离散字节到当前字节在梯度方向上的投影距离s_i为：

可供选择的字节距离梯度的距离为：

d_i＝||m_i-(z_j+s_i·n_j)||₂ (5)

每次从可供选择的填充字节中找到所有投影距离s_i>0(即能满足梯度下降)，并从中选择距离梯度d_i最小(即距离梯度最接近)的字节，填充入文件末尾降低分类概率。

4.6)计算新的对抗样本被分类器预测的概率，若检测概率>0.5则重复4.3、4.4、4.5、4.6四个步骤直到该对抗样本被分类器检测为良性软件(概率<0.5)；

5)设计几个具有代表性的深度学习模型结构，并将它们作为用于迁移攻击的迁移分类器；

6)将初始的训练数据集划分为两部分，一部分用于MalConv的学习，一部分用于迁移分类器的学习；

7)将步骤4)说明的白盒攻击方法用于对训练完成的迁移分类器进行攻击，生成对抗样本；

假设分类器f对第i个样本的分类为f(x_i)，其标签是y_i，同时添加扰动的操作f′生成的对抗样本为f′(x_i)，则对抗样本的逃逸率为正确分类的样本添加扰动后的对抗样本被分类错误的样本数占所有正确分类的样本数的比例，如公式(7)所示。逃逸率越高，则攻击的效力越强。

8)将步骤7)获取的对抗样本对恶意软件汇编格式检测模型重训练进行优化，获得能够防御对抗攻击的恶意软件检测模型；

9)利用能够防御对抗攻击的恶意软件检测模型对恶意软件进行识别，能够防御对恶意软件检测模型的对抗攻击。

Claims (6)

1.一种面向恶意软件汇编格式检测模型的黑盒攻击的防御方法，包括以下步骤：

1)获取数据集，将其划分为训练集和测试集；具体过程如下：

1.1)收集各个恶意软件家族样本数据集，数据以“.asm”后缀的汇编语言文件类型保存；

1.2)考虑各个类别的样本数量差异以及为便于后续的工作，将各个类别数据集以训练集占比80％、测试集占比20％的比例划分；

2)处理恶意软件汇编格式，具体过程如下：

2.1)考虑到实验的效率，为降低资源的使用，筛选100万以下大小字节量的文件作分析，同时将文件的每个字符通过ASCII映射到0-255区间范围，在序列的末尾添加“0”的方式填充为100万大小的定长数组；

2.2)再使用PyTorch的Embedding函数随机生成256×8大小的映射矩阵将每一位字节映射为8位长度的向量；

2.3)最终形成1000000*8大小的8通道输入数值矩阵；

3)构建卷积神经网络分类器；卷积神经网络作为经典的深度学习网络，被广泛地应用在计算机分类任务中；对输入大小为1000000*8大小的8通道输入数值矩阵，构建卷积神经网络分类器，过程如下：

3.1)将步骤2.3)获取的8通道输入数值矩阵的前四个通道和后四个通道分别通过128个500*4大小的卷积进行一维卷积，分别为卷积层1.1、卷积层1.2，其中卷积层1.1的输出通过Sigmoid激活函数，另一个不作处理，步长均为500；

3.2)将步骤3.1)获得的两个卷积层的卷积结果通过一个乘积层2进行对应位相乘的哈达玛积运算；

3.3)将步骤3.2)获取的运算结果通过池化层3进行全局最大值池化，形成128×1大小的高维特征序列，最大限度地降低资源消耗；

3.4)将步骤3.3)获取的序列通过两个全连接层分别为全连接层4和全连接层5以输出预测数值；

3.5)最后经过Sigmoid层运用Sigmoid函数输出0-1之间的分类概率，实验最终达到了99.83％的分类精度；

4)基于梯度下降的恶意软件汇编格式检测模型的白盒攻击，具体过程如下：

4.1)选择一个被分类为“恶意”的样本，概率>0.5；

4.2)将样本的“0”填充字节重新进行随机初始化；

4.3)依次选择一个填充字节；

4.4)求出其他255个字节关于当前字节值在梯度方向上的投影距离与梯度的距离；

4.5)选择在梯度方向上的投影距离大于0且与梯度最近的字节，将其替换到该样本中形成对抗样本；

4.6)计算新的对抗样本被分类器预测的概率，若检测概率>0.5则重复4.3、4.4、4.5、4.6四个步骤直到该对抗样本被分类器检测为良性软件，即概率<0.5；

5)设计深度学习模型结构，并将它们作为用于迁移攻击的迁移分类器；

6)将初始的训练数据集划分为两部分，一部分用于MalConv的学习，一部分用于迁移分类器的学习；

7)将步骤4)说明的白盒攻击方法用于对训练完成的迁移分类器进行攻击，生成对抗样本；

8)将步骤7)获取的对抗样本对恶意软件汇编格式检测模型重训练进行优化，获得能够防御对抗攻击的恶意软件检测模型；

9)利用能够防御对抗攻击的恶意软件检测模型对恶意软件进行识别，能够防御对恶意软件检测模型的对抗攻击。

2.如权利要求1所述的面向恶意软件汇编格式检测模型的黑盒攻击的防御方法，其特征在于：所述步骤1)中，获取了9个恶意软件家族样本数据集，共10868个恶意软件样本；所述步骤2)中，考虑到实验的效率，为降低资源的使用，筛选100万以下大小字节量的文件作分析，经筛选后符合要求的是Ramnit和Keilhos_ver3两个恶意软件家族的样本，其中Ramnit有372个训练集样本，75个测试集样本，Keilhos_ver3有1976个训练集样本，505个测试集样本。

3.如权利要求1所述的面向恶意软件汇编格式检测模型的黑盒攻击的防御方法，其特征在于：在所述步骤3)中，除去输入层网络共5层，共528,512个参数，除去偏置值，且实际训练时由于前向、反向计算和优化器的使用，使用的参数量将增大对应倍数；通过网络的层次传递，输入的1000000*8大小的8通道输入数值矩阵，最后输出该样本被分类到2个不同类别的恶意软件的概率大小。

4.如权利要求1所述的面向恶意软件汇编格式检测模型的黑盒攻击的防御方法，其特征在于：在所述步骤3.5)中，实验最终达到了99.83％的分类精度，其中精度为分类正确的样本占总样本的比例，精度的计算公式如下：

其中f(x_i)为分类器对样本x_i的分类结果，y_i为样本真实的标签，样本总数为n。

5.如权利要求1所述的面向恶意软件汇编格式检测模型的黑盒攻击的防御方法，其特征在于：在所述步骤4)中，首先将0-255的字节表示通过随机生成的256×8大小的映射矩阵映射为8维表征向量；假设z_j为当前所使用的填充字节，m₀-m₂₅₅为可供选择的256种离散字节，黑色点线g_j为分类器输出关于当前字节的梯度的所在方向，红线n_j为当前梯度下降的方向向量ω_j的单位向量：

每一种可供选择的离散字节到当前字节在梯度方向上的投影距离s_i为：

可供选择的字节距离梯度的距离为：

d_i＝||m_i-(z_j+s_i·n_j)||₂ (5)

每次从可供选择的填充字节中找到所有投影距离s_i>0，即能满足梯度下降，并从中选择距离梯度d_i最小，即距离梯度最接近的字节，填充入文件末尾降低分类概率。

6.如权利要求1所述的面向恶意软件汇编格式检测模型的黑盒攻击的防御方法，其特征在于：在所述步骤7)中，假设分类器f对第i个样本的分类为f(x_i)，其标签是y_i，同时添加扰动的操作f′生成的对抗样本为f′(x_i)，则对抗样本的逃逸率为正确分类的样本添加扰动后的对抗样本被分类错误的样本数占所有正确分类的样本数的比例，如公式(7)所示；逃逸率越高，则攻击的效力越强；

Images