基於文本分類技術的惡意代碼檢測工具

作者 張東紅 中國科學院軟體研究所 (北京 100864)

本文引用地址：http://www.eepw.com.cn/article/201808/391178.htm

　　張東紅,碩士生，曾獲得「2012國際青年創新大賽」特等獎，以及「第十三屆『五四杯』大學生創業計劃競賽」二等獎。

摘要：惡意代碼對人們的工作和生活帶來了嚴重的威脅，對惡意代碼進行檢測也變得越來越重要。一種有效的惡意代碼檢測方式是借鑑機器學習技術，訓練檢測模型並使用其檢測新樣本中是否含有惡意代碼。為達到此目的，使用操作碼特徵的檢測方法近年來深受歡迎。用於高效、可配置地反彙編多種平臺多種格式類型的可執行樣本，避免基於遞歸下降反彙編算法的 IDA Pro 遇到的各種問題;本文還重新設計和實現了 「飛鼠」惡意代碼檢測系統，自動化地採集、標記、處理樣本，提高反彙編成功率。

1 「飛鼠」惡意代碼檢測系統

　　針對此問題，論文根據線性掃描反彙編算法實現了低精度的反彙編工具D-light，用於高效、可配置地反彙編多種平臺多種格式類型的可執行樣本，避免基於遞歸下降反彙編算法的 IDA Pro 遇到的各種問題;論文還重新設計和實現了「飛鼠」惡意代碼檢測系統，自動化地採集、標記、處理樣本，在兼容 IDA Pro的基礎上，同時支持線性掃描反彙編工具 D-light，並能夠根據配置選擇相應算法實現惡意代碼檢測。論文通過實驗分析指出，使用線性掃描反彙編算法提取操作碼特徵，能夠在允許一定程度的反彙編代碼不準確的情況下，提高反彙編成功率，增加可利用的樣本數目;訓練數據集樣本量的大幅增加可以彌補樣本反彙編質量小幅度降低的損失，最終超越，或保持，基於 IDA Pro 的檢測模型的檢測效果。實驗中還發現，使用多項式核函數的支持向量機分類算法在實踐中有著更好的性能和應用價值。如圖1和圖2所示。

2 網際網路與病毒發展現狀

　　隨著計算機技術的高速發展和計算機網絡的不斷普及，計算機和網際網路已經深入到人們日常生活和工作的方方面面。根據中國網際網路信息中心在2018年1月發布的《第41次中國網際網路發展狀況統計報告》，截至2017 年12 月，我國網民規模達7.72億，全年共計新增網民4074 萬人，網際網路普及率達55.8%，相比較於2016年底提升了2.6%。同時我國在線政務服務用戶規模達到4.85 億，佔總體網民的62.9%，通過支付寶或微信城市服務平臺獲得政務服務的使用率為44.0% 。

　　日益便捷的網絡互聯環境和成熟的計算機技術，也為網絡攻擊的產生與傳播提供了極大的便利條件，每年新增的軟體數量呈現出持續性增長的趨勢。在賽門鐵克(Symantec)公司2010 年發布的安全報告中指出，賽門鐵克公司相比於2008 年捕獲到169323 個新型軟體，2009 年共捕獲到了2895802個新型軟體。根據中國網際網路應急響應中心(CNCERT/CC )在2017年5月發布的《2016 年中國網際網路網絡安全報告》，CNCERT/CC 通過自主捕獲以及與廠商交換獲得的移動網際網路惡意程序數量約205萬個。

3 「飛鼠」的設計

　　基於特徵碼的靜態惡意代碼檢測流程可以分為三部分，首先需要獲取惡意代碼，然後對現有已知的惡意代碼進行特徵分析，提取相應的特徵碼;然後匯總整理，將提取的特徵碼存入特徵庫;最後，在對未知的可執行樣本進行檢測時，根據特徵庫中的特徵碼逐項進行匹配。如果待檢測樣本中包含特徵庫中的特徵信息，則認為該樣本是惡意代碼，反之，則認為是非惡意代碼。如圖3。

4 「飛鼠」系統特徵訓練檢測模型

　　在獲取到包含惡意代碼樣本和非惡意代碼樣本的原始實驗數據集，並進行預處理和數據集劃分之後，對訓練集數據首先使用線性掃描反彙編工具進行反彙編處理。然後從反彙編代碼中提取操作碼特徵。在完成操作碼特徵提取之後，會首先根據訓練集中操作碼特徵的數據特徵選擇一定的操作碼特徵對樣本進行向量化表示。最後將描述樣本的特徵向量輸入分類模型中進行訓練，得到用於惡意代碼檢測的惡意代碼檢測模型。測試階段，使用相同的線性掃描反彙編方法對未知樣本進行反彙編提取其操作碼特徵。根據訓練階段選擇出來的操作碼特徵子集對未知樣本進行向量化描述。最後將該描述向量輸入到訓練階段得到的惡意代碼檢測模型進行檢測，得到最終的惡意代碼檢測結果，惡意代碼或者非惡意代碼。

　　在惡意代碼檢測工作中，可以定義混淆矩陣(confusion matrix)來記錄相應的檢測結果數據。如表 1所示，TP 表示將惡意代碼檢測成為惡意代碼的樣本數，FP 表示非惡意代碼檢測成為惡意代碼的樣本數，FN 表示惡意代碼檢測成為非惡意代碼的樣本數，TN 表示非惡意代碼檢測成為非惡意代碼的樣本數。

5 結論

　　論文提出的解決方案，主要思想是通過訓練樣本數量的大幅增長來彌補操作碼特徵略微不準確的問題，所以在該解決方案中通過 D-light 反彙編工具獲取大量稍微有些不準確的反彙編代碼提取操作碼特徵來訓練惡意代碼檢測模型。在對反彙編代碼的質量和數量對惡意代碼檢測性能影響的實驗研究中，通過使用D-light反彙編提取操作碼特徵訓練得到的惡意代碼檢測模型與使用IDA Pro反彙編提取操作碼特徵訓練得到的惡意代碼檢測模型進行對比分析，發現使用 D-light反彙編提取操作碼特徵訓練得到的惡意代碼檢測模型的檢測性能更好一些，驗證了本文提出的使用線性掃描反彙編算法提取操作碼特徵訓練惡意代碼檢測模型的解決方案是有效和可行的。此外，在對比分析實驗中，本文還發現使用多項式核函數支持向量機分類算法的惡意代碼檢測模型在實踐中檢測性能表現最好。

　　參考文獻：

　　[1] 中國網際網路信息中心.第 41 次中國網際網路發展狀況統計報告[J]. 中國經濟報告, 2017(4).

　　[2] Nataraj L,Karthikeyan S,Jacob G,et al.Malware images: visualization and automatic classification[C]//Proceedings of the 8th international symposium on visualization for cyber security. ACM, 2011: 4.Fossi M, Egan G, Haley K, et al. Symantec global internet security threat report[J]. Volume 1, 2010.

　　[3] Fossi M,Egan G,Haley K,et al.Symantec global internet security threat report [J]. Volume XVI, 2011.

　　[4] 國家計算機網絡應急技術處理協調中心.2016 年中國網際網路網絡安全報告[M/OL].北京: 人民郵電出版社,(2017).http://www.cert.org.cn/publish/main/upload/File/2016_cncert_rep -ort.pdf.

　　本文來源於《電子產品世界》2018年第9期第75頁，歡迎您寫論文時引用，並註明出處。