CN110826059B

CN110826059B - 面向恶意软件图像格式检测模型的黑盒攻击的防御方法及其装置

Info

Publication number: CN110826059B
Application number: CN201910886217.XA
Authority: CN
Inventors: 陈晋音; 袁俊坤; 邹健飞
Original assignee: Zhejiang University of Technology ZJUT
Current assignee: Zhejiang University of Technology ZJUT
Priority date: 2019-09-19
Filing date: 2019-09-19
Publication date: 2021-10-15
Anticipated expiration: 2039-09-19
Also published as: CN110826059A

Abstract

一种面向恶意软件图像格式检测模型的黑盒攻击的防御方法，包括：1)获取数据集，分为训练集和测试集；2)转换为恶意软件图像格式；3)构建基于深度卷积生成对抗网络(DCGAN)生成扰动的黑盒攻击模型，黑盒攻击模型结构分为生成器和判别器两部分；4)经过步骤3)构建的生成器和判别器之间的不断对抗过程，生成器最终生成能够模仿样本B的对抗样本；5)将步骤4)获取的对抗样本对恶意软件汇编格式检测模型重训练进行优化，获得能够防御对抗攻击的恶意软件检测模型；6)利用能够防御对抗攻击的恶意软件检测模型对恶意软件进行识别。本发明还包括实施面向恶意软件图像格式检测模型的黑盒攻击的防御方法的装置。

Description

面向恶意软件图像格式检测模型的黑盒攻击的防御方法及其装置

技术领域

本发明涉及一种面向恶意软件图像格式检测模型的黑盒攻击的防御方法及其装置。

背景技术

随着计算机和互联网的飞速发展，人们之间的沟通越来越便捷，网络信息交流和智能应用在人们日常生活中扮演着至关重要的角色。根据资料显示，到2016年6月为止，全世界使用互联网的人群数量已经达到了36亿以上，用户首次占比过半。同时网络的发展也伴随着许多网络安全问题，恶意软件就是其中一个重要的影响因素。恶意软件(MaliciousSoftware，Malware)指有目的地实现攻击者破坏计算机、服务器、客户端或计算机网络的软件程序。恶意软件的代表类型有病毒、蠕虫、特洛伊木马、后门、Rootkits、勒索软件、僵尸网络等，通过自行复制、注入、诱惑、隐藏等形式渗透进入网络系统和受害者的计算机，试图破坏网络和计算机系统的正常运转、获取网络和主机资源、盗取机构和个人的敏感信息，对主机工作的安全性、网络传输的安全性和用户隐私的安全性都带来了极大的威胁。恶意软件能够有目的地实现对网络和主机的攻击、窃取信息和隐私、监视网络的使用，对主机的安全性、网络的安全性和隐私的安全性都具有极大的损害，对其进行检测、分析和预防一直是网络与信息安全研究工作的重点和热点之一。

目前存在的恶意软件检测方法有许多，深信服科技股份有限公司首先获取多个恶意软件产生的网络流量，再基于网络流量的统计特征对多个恶意软件粗粒度聚类，得到第一聚类结果，然后基于网络流量的内容特征对第一类聚类结果中的每一类恶意软件细粒度聚类，得到第二聚类结果，最后为第二聚类结果中的每一类恶意软件生成签名，以利用签名进行恶意软件检测。签名是一小段字节序列，它对于每一种已知的恶意软件类型都是独一无二的。这种从软件二进制代码中识别特定的字符串来鉴别恶意性质的方法，虽然一定程度上解决了检测问题，但是其需要域名专家进行手工制作、更新和上传，费时费力且易出错；北京物资学院首先从已知软件类型的软件样本集合中，提取各个软件样本的静态特征和动态特征，再将提取的各个软件样本的静态特征和动态特征有效结合，形成混合特征数据集，根据主成分分析方法和特征权重的选择方法，降低特征维度，去除冗余特征，得到优化后的混合特征数据集，然后运用支持向量机模型对优化后的混合特征集中的特征进行训练，形成分类检测模型，最后根据分类检测模型对待检测软件进行检测，但是基于向量机模型等机器学习的检测技术的泛化性能仍然不够高，且手工提取的待分析特征一旦被攻击者发现，可轻易地修改样本成功逃逸检测。

深度学习作为机器学习中神经网络技术进一步的发展思想，以分布式的结构自动地学习数据的特征表征，利用深度学习算法实现对恶意软件的检测为新趋势。大连理工大学构建卷积神经网络分类器实现对恶意软件的检测，广东工业大学通过循环神经网络得到恶意软件识别器，然而以上方法都是对恶意软件的检测，对于目前存在的恶意软件检测的攻击并没有涉及，而在实际情况中，对于恶意软件检测的攻击已经出现，因此，实现对恶意软件检测攻击的防御方法是目前亟待解决的问题。

发明内容

为了克服现有技术的上述缺点，本发明提供一种面向恶意软件图像格式检测模型的黑盒攻击的防御方法及其装置。

本发明解决其技术问题所采用的技术方案是：

本发明提供了一种面向恶意软件图像格式检测模型的黑盒攻击的防御方法，包括以下步骤：

1)获取数据集，将其划分为训练集和测试集。具体包括：

1.1)收集各个恶意软件家族样本数据集，数据以“.asm”后缀的汇编语言文件类型保存；

1.2)考虑各个类别的样本数量差异以及为便于后续的工作，将各个类别数据集以训练集占比约80％、测试集占比约20％的比例划分；

2)转换为恶意软件图像格式，过程如下：

2.1)对于步骤1.1)中的“.asm”后缀的汇编语言文件，文件的每个字符都可以在ASCII编码中找到，首先将其通过ASCII标准表映射为十六进制的数字；

2.2)再通过进制转换转化为十进制的数字，恶意软件的长字符串就转化为十进制的长数组；

2.3)将十进制长数组以一定的方式进行拼接(定宽切割拼接、定长切割拼接等)，转换为64×64大小的恶意软件灰度图像；

2.4)最后获取图像格式的恶意软件样本；

3)构建基于深度卷积生成对抗网络(DCGAN)生成扰动的黑盒攻击模型；黑盒攻击模型结构分为生成器和判别器两部分，具体包括：

3.1)由神经网络搭建生成器(Generator)的结构模型，生成器学习将随机分布z的映射为扰动图，扰动图加到原始样本A上生成模仿样本B的对抗样本；从噪声中采样出长度为N的一维数组，将其通过全连接层和尺度变化操作转为(4,4,1024)大小的特征图；通过四层卷积核为3×3、步长为2的反卷积层，将噪声转变的特征图进行一步步地反卷积操作直到和原始数据图具有一样的尺寸(64,64,1)；整个生成器网络共五层，共6,194,304个带训练参数(除去偏置值和第一个全连接层，且实际训练时由于前向、反向计算和优化器的使用，参数量将有所增加)；生成器完成从噪声随机分布的采样到扰动图的映射，它使用扰动图加到原始样本A中生成的对抗样本被判别器分类的概率和被攻击样本B的标签(数值1)的交叉熵作为损失函数，使扰动能让样本A尽可能地模仿样本B，迷惑判别器；

3.2)由神经网络搭建判别器(Discriminator)的结构模型，判别器学习如何将3.1)中生成器生成的样本A的对抗样本和样本B区分开来；输入的一个通道的图像，通过四层卷积核为4×4、步长为2的卷积层逐层提取特征，最后通过全连接层输出分类概率的数值大小；网络共5层，共2,161,728个带训练参数(除去偏置值，且实际训练时由于前向、反向计算和优化器的使用，参数量将有所增加)；判别器完成对样本A、B的区分，它以当前样本的分类概率和当前样本的标签(A样本的标签为0，B样本的标签为1)的交叉熵作为损失函数，使得判别器能抵挡住生成器的迷惑，具有良好的分类鲁棒性；

4)经过步骤3.1)构建的生成器和3.2)构建的判别器之间的不断对抗过程，生成器最终生成能够模仿样本B的对抗样本；

5)将步骤4)获取的对抗样本对恶意软件汇编格式检测模型重训练进行优化，获得能够防御对抗攻击的恶意软件检测模型；

6)利用能够防御对抗攻击的恶意软件检测模型对恶意软件进行识别，能够防御对恶意软件检测模型的对抗攻击。

本发明还提供一种面向恶意软件图像格式检测模型的黑盒攻击的防御方法的装置，包括：

获取模块，获取数据集，并将其划分为训练集和测试集；具体包括：

收集各个恶意软件家族样本数据集，数据以“.asm”后缀的汇编语言文件类型保存；

考虑各个类别的样本数量差异以及为便于后续的工作，将各个类别数据集以训练集占比约80％、测试集占比约20％的比例划分；

转换模块，将步骤1)获取模块中获取的数据集转换为恶意软件图像格式，具体包括：

对于“.asm”后缀的汇编语言文件，文件的每个字符都可以在ASCII编码中找到，首先将其通过ASCII标准表映射为十六进制的数字；

再通过进制转换转化为十进制的数字，恶意软件的长字符串就转化为十进制的长数组；

将十进制长数组以一定的方式进行拼接转换为64×64大小的恶意软件灰度图像；

最后获取图像格式的恶意软件样本；

生成模块，构建基于深度卷积生成对抗网络(DCGAN)生成扰动的黑盒攻击模型；所述生成模块包含两个单元，具体包括：

第一生成单元，用于构建生成器，由神经网络搭建生成器(Generator)的结构模型，生成器学习将随机分布z的映射为扰动图，扰动图加到原始样本A上生成模仿样本B的对抗样本；从噪声中采样出长度为N的一维数组，将其通过全连接层和尺度变化操作转为(4,4,1024)大小的特征图；通过四层卷积核为3×3、步长为2的反卷积层，将噪声转变的特征图进行一步步地反卷积操作直到和原始数据图具有一样的尺寸(64,64,1)；整个生成器网络共五层，共6,194,304个带训练参数；生成器完成从噪声随机分布的采样到扰动图的映射，它使用扰动图加到原始样本A中生成的对抗样本被判别器分类的概率和被攻击样本B的标签的交叉熵作为损失函数，使扰动能让样本A尽可能地模仿样本B，迷惑判别器；

第二生成单元，用于构建判别器，由神经网络搭建判别器(Discriminator)的结构模型，判别器学习如何将3.1)中生成器生成的样本A的对抗样本和样本B区分开来；输入的一个通道的图像，通过四层卷积核为4×4、步长为2的卷积层逐层提取特征，最后通过全连接层输出分类概率的数值大小；网络共5层，共2,161,728个带训练参数；判别器完成对样本A、B的区分，它以当前样本的分类概率和当前样本的标签的交叉熵作为损失函数，A样本的标签为0，B样本的标签为1，使得判别器能抵挡住生成器的迷惑，具有良好的分类鲁棒性；

对抗模块，将第一生成单元构建的生成器和第二生成单元构建的判别器进行不断地对抗，最终第一单元构建的生成器生成能够模仿样本B的对抗样本；

防御模块，将对抗模块获取的对抗样本对恶意软件汇编格式检测模型重训练进行优化，获得能够防御对抗攻击的恶意软件检测模型；

利用步防御模块获取的能够防御对抗攻击的恶意软件检测模型对恶意软件进行识别，能够防御对恶意软件检测模型的对抗攻击。

本发明的技术构思为：对于恶意软件，提出获取基于深度卷积生成对抗网络(DCGAN)的黑盒攻击的对抗样本实现恶意软件检测模型的对抗攻击的防御方法及其装置。

本发明的有益效果主要表现在：对于面前恶意软件检测过程中出现的黑盒攻击，提出了一种基于DCGAN的黑盒攻击的防御方法及其装置。在真实恶意软件上的实验结果表明，该算法具有良好的适用性和精度，能够有效的防御对恶意软件检测模型的黑盒攻击，取得较好的检测效果。

附图说明

图1是本发明的实施例中基于DCGAN生成扰动的黑盒攻击模型。

图2是本发明的实施例中生成器的网络结构图。

图3是本发明的实施例中判别器的网络结构图。

图4是本发明的实施例中提供的一种基于深度学习的恶意软件检测装置的结构示意图。

具体实施方式

下面结合附图对本发明作进一步描述。

第一方面，本发明实施例提供了一种面向恶意软件图像格式检测模型的黑盒攻击的防御方法，请参考图1，包括以下步骤：

1)获取数据集，将其划分为训练集和测试集。具体包括：

2)转换为恶意软件图像格式，具体包括：

2.4)最后获取图像格式的恶意软件样本；

3.1)由神经网络搭建生成器(Generator)的结构模型，生成器学习将随机分布z的映射为扰动图，扰动图加到原始样本A上生成模仿样本B的对抗样本；生成器的目的是从噪声映射到扰动图像，从而达到将扰动图像加入到原始样本A中生成的对抗样本能迷惑判别器误分为样本B的目的，具体的结构信息参考图2。从噪声中采样出长度为N的一维数组，将其通过全连接层和尺度变化操作转为(4,4,1024)大小的特征图；通过四层卷积核为3×3、步长为2的反卷积层，将噪声转变的特征图进行一步步地反卷积操作直到和原始数据图具有一样的尺寸(64,64,1)；整个生成器网络共五层，共6,194,304个带训练参数(除去偏置值和第一个全连接层，且实际训练时由于前向、反向计算和优化器的使用，参数量将有所增加)；生成器完成从噪声随机分布的采样到扰动图的映射，它使用扰动图加到原始样本A中生成的对抗样本被判别器分类的概率和被攻击样本B的标签(数值1)的交叉熵作为损失函数，使扰动能让样本A尽可能地模仿样本B，迷惑判别器；

3.2)由神经网络搭建判别器(Discriminator)的结构模型，判别器学习如何将3.1)中生成器生成的样本A的对抗样本和样本B区分开来，具体的结构信息参考图3。输入的一个通道的图像，通过四层卷积核为4×4、步长为2的卷积层逐层提取特征，最后通过全连接层输出分类概率的数值大小；网络共5层，共2,161,728个带训练参数(除去偏置值，且实际训练时由于前向、反向计算和优化器的使用，参数量将有所增加)；判别器完成对样本A、B的区分，它以当前样本的分类概率和当前样本的标签(A样本的标签为0，B样本的标签为1)的交叉熵作为损失函数，使得判别器能抵挡住生成器的迷惑，具有良好的分类鲁棒性；

生成器与判别器的对抗过程，具体来说，假设p_data(x)为真实数据的概率分别，p_z(z)为噪声的分布。那么生成器G的目标就是找到一个映射关系，使得噪声的分布p_z(z)通过映射后能逼近于真实的数据的分布p_data(x)，从而迷惑判别器D。训练过程的优化目标如公式(1)所示，其由判别器的log损失函数的期望和判别器对生成器生成的分布的期望构成。它首先训练判别器，使损失函数最大化来增大判别器的真伪识别能力；然后训练生成器，使损失函数最小化来提高生成器的模仿能力。

4)经过3.1)构建的生成器和3.2)构建的判别器之间的不断对抗过程，生成器最终生成能够模仿样本B的对抗样本；

本设计中，设置生成器和判别器的总迭代训练次数为100次，其中每训练一次判别器将训练k次生成器，k是待研究超参数。高维空间的噪声是一维向量，其长度z是另一待研究超参数。训练结束后随机选取500个样本A的测试样本(不足500的使用所有测试样本)用于生成对抗样本以进行黑盒攻击，测试恶意软件检测器的精度变化情况。当z＝1000，k＝20时，恶意软件图像分类器的攻击效果达到最佳，分类精度降低到16.8％左右。其中精度为分类正确的样本占总样本的比例，精度的计算公式如下：

其中f(x_i)为分类器对样本i的分类结果，y_i为样本真实的标签，样本总数为n。

第二方面，提供了一种实施面向恶意软件图像格式检测模型的黑盒攻击的防御方法的装置，请参考图4，所述装置包括：

转换模块，将获取模块中获取的数据集转换为恶意软件图像格式，具体包括：

对于的“.asm”后缀的汇编语言文件，文件的每个字符都可以在ASCII编码中找到，首先将其通过ASCII标准表映射为十六进制的数字；

最后获取图像格式的恶意软件样本；

防御模块，将对抗模块中获取的对抗样本对恶意软件汇编格式检测模型重训练进行优化，获得能够防御对抗攻击的恶意软件检测模型；

利用防御模块获取的能够防御对抗攻击的恶意软件检测模型对恶意软件进行识别，能够防御对恶意软件检测模型的对抗攻击。

本发明装置中，设置第一生成单元和第二生成单元的总迭代训练次数为100次，其中每训练一次第二生成单元将训练k次第一生成单元，k是待研究超参数。高维空间的噪声是一维向量，其长度z是另一待研究超参数。训练结束后随机选取500个样本A的测试样本(不足500的使用所有测试样本)用于生成对抗样本以进行黑盒攻击，测试恶意软件检测器的精度变化情况。当z＝1000，k＝20时，恶意软件图像分类器的攻击效果达到最佳，分类精度降低到16.8％左右。

本说明书实施例所述的内容仅仅是对发明构思的实现形式的列举，本发明的保护范围不应当被视为仅限于实施例所陈述的具体形式，本发明的保护范围也及于本领域技术人员根据本发明构思所能够想到的等同技术手段。

Claims

1.一种面向恶意软件图像格式检测模型的黑盒攻击的防御方法，包括以下步骤：

1)获取数据集，将其划分为训练集和测试集；具体包括：

1.2)考虑各个类别的样本数量差异以及为便于后续的工作，将各个类别数据集以训练集占比80％、测试集占比20％的比例划分；

2)转换为恶意软件图像格式，具体包括：

2.3)将十进制长数组以一定的方式进行拼接转换为64×64大小的恶意软件灰度图像；

2.4)最后获取图像格式的恶意软件样本；

3.1)由神经网络搭建生成器(Generator)的结构模型，生成器学习将随机分布z映射为扰动图，扰动图加到原始样本A上生成模仿样本B的对抗样本；从噪声中采样出长度为N的一维数组，将其通过全连接层和尺度变化操作转为(4,4,1024)大小的特征图；通过四层卷积核为3×3、步长为2的反卷积层，将噪声转变的特征图进行一步步地反卷积操作直到和原始数据图具有一样的尺寸(64,64,1)；整个生成器网络共五层，共6,194,304个带训练参数；生成器完成从噪声随机分布的采样到扰动图的映射，它使用扰动图加到原始样本A中生成的对抗样本被判别器分类的概率和被攻击样本B的标签的交叉熵作为损失函数，使扰动能让样本A尽可能地模仿样本B，迷惑判别器；

3.2)由神经网络搭建判别器(Discriminator)的结构模型，判别器学习如何将3.1)中生成器生成的样本A的对抗样本和样本B区分开来；输入的一个通道的图像，通过四层卷积核为4×4、步长为2的卷积层逐层提取特征，最后通过全连接层输出分类概率的数值大小；网络共5层，共2,161,728个带训练参数；判别器完成对样本A、B的区分，它以当前样本的分类概率和当前样本的标签的交叉熵作为损失函数，A样本的标签为0，B样本的标签为1，使得判别器能抵挡住生成器的迷惑，具有良好的分类鲁棒性；

2.如权利要求1所述的面向恶意软件图像格式检测模型的黑盒攻击的防御方法，其特征在于：所述步骤1)中，获取了9个恶意软件家族样本数据集，共10868个恶意软件样本，将恶意软件原始“.asm”后缀的汇编语言文件通过ASCII映射、进制转换、拼接转换为64×64大小的恶意软件灰度图像。

3.如权利要求1所述的面向恶意软件图像格式检测模型的黑盒攻击的防御方法，其特征在于：在所述步骤3.1)中，生成器将高维空间的噪声通过全连接和反卷积过程转换为扰动图像并叠加到A样本的原始图像上形成对抗样本，以对抗样本被判别器识别错误作为目标和损失函数进行训练；在所述步骤3.2)中，判别器将A样本的对抗样本和真实的B样本进行判断，以把对抗样本和真实样本同时分类正确作为目标和损失函数进行训练，双方不断对抗，最终生成器通过非线性映射将噪声转换成能把A图像生成B图像的扰动图像。

4.如权利要求1所述的面向恶意软件图像格式检测模型的黑盒攻击的防御方法，其特征在于：在所述步骤4)中，设置生成器和判别器的总迭代训练次数为100次，其中每训练一次判别器将训练k次生成器，k是待研究超参数；高维空间的噪声是一维向量，其长度z是另一待研究超参数；训练结束后随机选取500个样本A的测试样本用于生成对抗样本以进行黑盒攻击，测试恶意软件检测器的精度变化情况；当z＝1000，k＝20时，恶意软件图像分类器的攻击效果达到最佳，分类精度降低到16.8％左右；其中精度为分类正确的样本占总样本的比例，精度的计算公式如下：

5.如权利要求1所述的面向恶意软件图像格式检测模型的黑盒攻击的防御方法，其特征在于：在所述步骤4)中，生成器与判别器的对抗过程具体包括：假设p_data(x)为真实数据的概率分别，p_z(z)为噪声的分布；那么生成器G的目标就是找到一个映射关系，使得噪声的分布p_z(z)通过映射后能逼近于真实的数据的分布p_data(x)，从而迷惑判别器D；训练过程的优化目标如公式(2)所示：

其由判别器的log损失函数的期望和判别器对生成器生成的分布的期望构成,首先训练判别器，使损失函数最大化来增大判别器的真伪识别能力；然后训练生成器，使损失函数最小化来提高生成器的模仿能力。

6.实施如权利要求1所述的一种面向恶意软件图像格式检测模型的黑盒攻击的防御方法的装置，其特征在于：包括依次连接的获取模块、转换模块、生成模块、对抗模块、防御模块；

获取模块获取数据集，并将其划分为训练集和测试集；具体包括：

考虑各个类别的样本数量差异以及为便于后续的工作，将各个类别数据集以训练集占比80％、测试集占比20％的比例划分；

转换模块将获取模块获取的数据集转换为恶意软件图像格式，具体包括：

最后获取图像格式的恶意软件样本；

生成模块构建基于深度卷积生成对抗网络(DCGAN)生成扰动的黑盒攻击模型；所述生成模块包含两个单元，具体包括：

第一生成单元，用于构建生成器，由神经网络搭建生成器(Generator)的结构模型，生成器学习将随机分布z映射为扰动图，扰动图加到原始样本A上生成模仿样本B的对抗样本；从噪声中采样出长度为N的一维数组，将其通过全连接层和尺度变化操作转为(4,4,1024)大小的特征图；通过四层卷积核为3×3、步长为2的反卷积层，将噪声转变的特征图进行一步步地反卷积操作直到和原始数据图具有一样的尺寸(64,64,1)；整个生成器网络共五层，共6,194,304个带训练参数；生成器完成从噪声随机分布的采样到扰动图的映射，它使用扰动图加到原始样本A中生成的对抗样本被判别器分类的概率和被攻击样本B的标签的交叉熵作为损失函数，使扰动能让样本A尽可能地模仿样本B，迷惑判别器；

利用防御模块获取的能够防御对抗攻击的恶意软件检测模型对恶意软件进行识别，防御对恶意软件检测模型的对抗攻击。