CN114745200B

CN114745200B - 一种基于恶意代码动态取证模型的恶意代码检测方法

Info

Publication number: CN114745200B
Application number: CN202210490550.0A
Authority: CN
Inventors: 罗恩韬; 刘忆宁; 徐旸; 陈可; 黄堂森; 程文志
Original assignee: Hunan University of Science and Engineering
Current assignee: Hunan University of Science and Engineering
Priority date: 2022-05-07
Filing date: 2022-05-07
Publication date: 2024-05-24
Anticipated expiration: 2042-05-07
Also published as: CN114745200A

Abstract

本发明公开的属于网络安全技术领域，具体为一种基于恶意代码动态取证模型的恶意代码检测方法，包括具体步骤如下：步骤一：获取待检测的代码序列流；步骤二：基于3‑Gram特征生成方法并利用滑动窗口技术在所述代码序列流上滑动提取出每个待测样本的动态行为特征向量，本发明通过恶意代码检测模型实现了对代码序列的初检，即恶意代码和非恶意代码的初步鉴别，再利用聚类分簇的手段，将初检出恶意代码的未知序列进行聚类，利用同一簇类下待测样本对应的恶意代码分类应当一致的机理进一步鉴别是否为恶意代码，通过双重鉴别大幅度提高了恶意代码的检测精度。

Description

一种基于恶意代码动态取证模型的恶意代码检测方法

技术领域

本发明涉及网络安全技术领域，具体为一种基于恶意代码动态取证模型的恶意代码检测方法。

背景技术

近年来，随着网络空间竞争的日益激烈，具有国家或黑客组织背景的网络攻击问题越来越严重，恶意代码(也称恶意软件)攻击的频率呈指数级增长，由恶意代码非法入侵导致的一系列网络安全事件给国家和社会造成了严重威胁。因此需要加快构建关键信息基础设施安全保障体系，全天候全方位感知网络安全态势，增强网络安全防御能力和威慑能力。应急响应处置是在恶意代码入侵系统后，采取相应的补救措施和行动，目的是为了抑制、阻止或减小网络安全事件对系统安全性带来的影响，甚至追踪和封堵入侵源，达到主动防御的目的。网络安全应急响应处置的研究，对于提高我国网络系统的应急响应能力、缓解网络攻击所造成的危害、提高系统的主动防御能力等具有十分重要的意义。

面对网络空间中层出不穷的恶意攻击，国内外工业界和学术界专家和学者提出了很多防御技术和解决方案。然而，“道高一尺，魔高一丈”，恶意攻击技术也在不断提升，恶意代码通过各种“分片”、“加密”等反取证手段，导致对恶意代码的检测也难上加难。同时，因为针对新增恶意代码的实时应急响应机制不够完善，造成恶意代码的影响范围越来越广。

传统的网络恶意代码取证技术大都关注于对某一特定背景下给定静态恶意代码数据集的取证，并没有讨论对新增恶意代码的动态保护，因此，恶意攻击者产生的新型或者变种恶意代码时，传统的恶意代码检测模型因为无法对动态演化恶意代码进行界定和度量，所以难以提供有效的保护方案。

为此，我们提出一种基于恶意代码动态取证模型的恶意代码检测方法。

发明内容

鉴于上述和/或现有一种基于恶意代码动态取证模型的恶意代码检测方法中存在的问题，提出了本发明。

因此，本发明的目的是提供一种基于恶意代码动态取证模型的恶意代码检测方法，能够解决上述提出现有的问题。

为解决上述技术问题，根据本发明的一个方面，本发明提供了如下技术方案：

一种基于恶意代码动态取证模型的恶意代码检测方法，其包括具体步骤如下：

步骤一：获取待检测的代码序列流；

步骤二：基于3-Gram特征生成方法并利用滑动窗口技术在所述代码序列流上滑动提取出每个待测样本的动态行为特征向量；

步骤三：将每个待测样本的动态行为特征向量输入至已训练好的恶意代码检测模型得到初检结果，所述初检结果表示初步检测所述待测样本对应的序列片段是否为恶意代码或正常代码，所述恶意代码检测模型的输入数据为代码序列的动态行为特征向量，输出数据为代码序列的初检结果；

步骤四：获取待测样本的聚类结果以及利用已有恶意代码构建的恶意代码分类模型，并基于同一簇下所述待测样本的检测出恶意代码的初检结果一致性，以及所述待测样本对应在所述恶意代码分类模型下的分类结果一致性判断所述待测样本是否为真实恶意代码。

作为本发明所述的一种基于恶意代码动态取证模型的恶意代码检测方法的一种优选方案，其中：所述待测样本为代码序列流的序列片段。

作为本发明所述的一种基于恶意代码动态取证模型的恶意代码检测方法的一种优选方案，其中：所述每个待测样本的动态行为特征向量表示为：

B＝{gs₁，gs₂，...gs_i...,gs_n}

式中，B为一个待测样本的动态行为特征向量，gs_i表示第i个3-Gram片段，gs_i的取值为0或1，n为待测样本的片段长度。

作为本发明所述的一种基于恶意代码动态取证模型的恶意代码检测方法的一种优选方案，其中：所述3-Gram是一种基于统计语言模型的算法，又被称为一阶马尔可夫链，其按照字节大小为n的滑动窗口，形成了长度为n的字节片段的序列，每个字节片段称为Gram，对所有的Gram的出现频率进行统计，并按照预先的阈值进行过来，形成关键Gram列表，若一个字节片段Gram不在关键Gram列表中，对应的gs_i取值为0，否则，为1。

作为本发明所述的一种基于恶意代码动态取证模型的恶意代码检测方法的一种优选方案，其中：所述恶意代码分类模型的构建流程如下：

流程一：获取已有恶意代码集；

流程二：利用聚类算法以及分类特征对所述恶意代码集进行聚类得到恶意代码的聚类结果；

流程三：基于每个类别的恶意代码的分类特征进行深度学习训练构建出所述恶意代码分类模型。

作为本发明所述的一种基于恶意代码动态取证模型的恶意代码检测方法的一种优选方案，其中：所述步骤四中，分类结果的一致性判断方法有以下两种：

第一种：从簇中按照抽样比例随机抽取样本，然后将抽取的同一簇下的样本输入所述恶意代码分类模型得到分类结果，若所述分类结果均一致，对应的待测样本的代码序列为恶意代码，否则，进行N次抽样，再判断N次抽样对应的分类结果是否一致，若一致，对应的待测样本的代码序列为恶意代码，其中，N次抽样完成时，保证遍历抽样直至每个待测样本均被检测完成；

第二种：将簇下每个待测样本分别输入所述恶意代码分类模型得到待测样本的分类结果，然后判断同一个簇下所述待测样本的分类结果是否一致，若一致，所述簇下的待测样本对应的代码序列为恶意代码。

与现有技术相比：

1.通过恶意代码检测模型实现了对代码序列的初检，即恶意代码和非恶意代码的初步鉴别，再利用聚类分簇的手段，将初检出恶意代码的未知序列进行聚类，利用同一簇类下待测样本对应的恶意代码分类应当一致的机理进一步鉴别是否为恶意代码，通过双重鉴别大幅度提高了恶意代码的检测精度，从恶意代码本身的特征出发利用了恶意代码检测模型实现了第一重检测，再利用分类特性实现了第二重检测，另一方面，本发明第一阶段中恶意代码检测模型是针对未知、全新恶意代码也是适用的，这相较于传统的静态恶意代码的检测更符合网络安全性的需求；

2.通过病毒模型动态训练，保证模型的动态更新性，模型一直在进化，可以抵御已有病毒，对未知病毒可以进行回滚，保证系统安全，并对未知病毒重新训练到模型里面，从而保证模型的动态检测能力，也能保证对新型病毒的安全免疫。

附图说明

图1为本发明流程示意图。

具体实施方式

为使本发明的目的、技术方案和优点更加清楚，下面将对本发明的实施方式作进一步地详细描述。

实施例1：

本发明提供一种基于恶意代码动态取证模型的恶意代码检测方法，请参阅图1，包括具体步骤如下：

步骤一：获取待检测的代码序列流；

步骤二：基于3-Gram特征生成方法并利用滑动窗口技术在代码序列流上滑动提取出每个待测样本的动态行为特征向量；

其中，待测样本为代码序列流的序列片段；

每个待测样本的动态行为特征向量表示为：

B＝{gs₁，gs₂，...gs_i...,gs_n}

式中，B为一个待测样本的动态行为特征向量，gs_i表示第i个3-Gram片段，gs_i的取值为0或1，n为待测样本的片段长度；

3-Gram是一种基于统计语言模型的算法，又被称为一阶马尔可夫链，其按照字节大小为n的滑动窗口，形成了长度为n的字节片段的序列，每个字节片段称为Gram，对所有的Gram的出现频率进行统计，并按照预先的阈值进行过来，形成关键Gram列表，若一个字节片段Gram不在关键Gram列表中，对应的gs_i取值为0，否则，为1；

3-Gram是N-Gram中的三元模型，恶意代码的子串，签名常用于恶意代码的检测，所以自然选用子串集作为一个自动检测系统的输入，用于文本分类的通用N-Gram分析(CNG)方法最近已成功地用于自动作者身份归属，文本聚类等，随着越来越多的恶意代码编写者使用工具来编写和编译其代码，N-Gram可以检测特定于某些工具或工具家族(包括代码生成器，编译器和编程环境)的代码功能，此外，N-Gram可以捕获特定的作者的特征，编码样式甚至行为特征，由于捕获的特征隐含在提取的N-Gram中，因此即使病毒编写者可以完全访问检测算法，病毒编写者也很难刻意编写使N-Gram分析蒙蔽的病毒；

步骤三：将每个待测样本的动态行为特征向量输入至已训练好的恶意代码检测模型得到初检结果，初检结果表示初步检测待测样本对应的序列片段是否为恶意代码或正常代码，恶意代码检测模型的输入数据为代码序列的动态行为特征向量，输出数据为代码序列的初检结果；

其中，恶意代码分类模型的构建流程如下：

流程一：获取已有恶意代码集；

流程二：利用聚类算法以及分类特征(如蠕虫病毒特征、脚本病毒、格式化病毒、DoS攻击病毒等)对恶意代码集进行聚类得到恶意代码的聚类结果；

流程三：基于每个类别的恶意代码的分类特征进行深度学习训练构建出恶意代码分类模型；

步骤四：基于步骤三中待测样本的初检结果，利用检测出的恶意代码对应的待测样本构建待测样本集，并采用聚类算法进行聚类得到聚类结果，然后，获取利用已有恶意代码构建的恶意代码分类模型，并基于聚类结果中同一簇下的待测样本对应在恶意代码分类模型下的分类结果一致性，判断待测样本是否为真实恶意代码，若比较结果一致，对应的待测样本的代码序列为恶意代码；

其中，分类结果的一致性判断方法有以下两种：

第一种：从簇中按照抽样比例随机抽取样本，然后将抽取的同一簇下的样本输入恶意代码分类模型得到分类结果，若分类结果均一致，对应的待测样本的代码序列为恶意代码，否则，进行N次抽样，再判断N次抽样对应的分类结果是否一致，若一致，对应的待测样本的代码序列为恶意代码，其中，N次抽样完成时，保证遍历抽样直至每个待测样本均被检测完成；

第二种：将簇下每个待测样本分别输入恶意代码分类模型得到待测样本的分类结果，然后判断同一个簇下待测样本的分类结果是否一致，若一致，簇下的待测样本对应的代码序列为恶意代码。

实施例2：

步骤一：获取待检测的代码序列流；

其中，待测样本为代码序列流的序列片段；

每个待测样本的动态行为特征向量表示为：

B＝{gs₁，gs₂，...gs_i...,gs_n}

其中，恶意代码分类模型的构建流程如下：

流程一：获取已有恶意代码集；

步骤四：将所有待测样本进行聚类得到聚类结果，然后，基于步骤三中待测样本的初检结果，判断检测出的恶意代码所在的簇中其他待测样本的初检结果是否均为恶意代码，若是，则基于同一簇下的待测样本对应在恶意代码分类模型下的分类结果一致性，判断待测样本是否为真实恶意代码，若一致，对应的待测样本的代码序列为恶意代码；

其中，分类结果的一致性判断方法有以下两种：

虽然在上文中已经参考实施方式对本发明进行了描述，然而在不脱离本发明的范围的情况下，可以对其进行各种改进并且可以用等效物替换其中的部件。尤其是，只要不存在结构冲突，本发明所披露的实施方式中的各项特征均可通过任意方式相互结合起来使用，在本说明书中未对这些组合的情况进行穷举性的描述仅仅是出于省略篇幅和节约资源的考虑。因此，本发明并不局限于文中公开的特定实施方式，而是包括落入权利要求的范围内的所有技术方案。

Claims

1.一种基于恶意代码动态取证模型的恶意代码检测方法，其特征在于，包括具体步骤如下：

步骤一：获取待检测的代码序列流；

步骤四：获取待测样本的聚类结果以及利用已有恶意代码构建的恶意代码分类模型，并基于同一簇下所述待测样本的检测出恶意代码的初检结果一致性，以及所述待测样本对应在所述恶意代码分类模型下的分类结果一致性判断所述待测样本是否为真实恶意代码；

所述待测样本为代码序列流的序列片段；

所述恶意代码分类模型的构建流程如下：

流程一：获取已有恶意代码集；

流程三：基于每个类别的恶意代码的分类特征进行深度学习训练构建出所述恶意代码分类模型；

所述步骤四中，分类结果的一致性判断方法有以下两种：

2.根据权利要求1所述的一种基于恶意代码动态取证模型的恶意代码检测方法，其特征在于，所述每个待测样本的动态行为特征向量表示为：

式中，/>为一个待测样本的动态行为特征向量，/>表示第i个3-Gram片段，/>的取值为0或1，n为待测样本的片段长度。

3.根据权利要求2所述的一种基于恶意代码动态取证模型的恶意代码检测方法，其特征在于，所述3-Gram是一种基于统计语言模型的算法，又被称为一阶马尔可夫链，其按照字节大小为n的滑动窗口，形成了长度为n的字节片段的序列，每个字节片段称为Gram，对所有的Gram的出现频率进行统计，并按照预先的阈值进行过来，形成关键Gram列表，若一个字节片段Gram不在关键Gram列表中，对应的取值为0，否则，为1。