惡意軟件新型檢測(cè)方法

姚 鍵，劉耀宗，侯 君，凌 飛,4，李千目

?

惡意軟件新型檢測(cè)方法

姚 鍵1，劉耀宗2,3*，侯 君3，凌 飛3,4，李千目3

（1. 國(guó)家稅務(wù)總局北京市稅務(wù)局第一分局，北京 100089；2. 五邑大學(xué) 智能制造學(xué)部，廣東 江門(mén) 529020 3. 南京理工大學(xué) 計(jì)算機(jī)科學(xué)與工程學(xué)院，江蘇 南京 210094；4. 南京聯(lián)成科技發(fā)展股份有限公司 江蘇省研究生工作站，江蘇 南京 211800）

每年有數(shù)以千計(jì)的惡意軟件出現(xiàn)，這已經(jīng)成為一種嚴(yán)重的安全威脅。目前的殺毒軟件系統(tǒng)試圖通過(guò)人工啟發(fā)式生成來(lái)檢測(cè)這些新型的惡意程序。這種方法的困難在于，成本極高，且確定惡意程序的過(guò)程中，即分析程序和生成簽名時(shí)，系統(tǒng)處于程序的危險(xiǎn)中，經(jīng)常會(huì)導(dǎo)致檢測(cè)失效。本文提出一種針對(duì)未知工控惡意軟件的自動(dòng)挖掘框架。這個(gè)框架自動(dòng)發(fā)現(xiàn)現(xiàn)有數(shù)據(jù)集的模式，使用模式去檢測(cè)一組新的惡意二進(jìn)制文件。該方法在檢測(cè)工控未知惡意軟件的效率顯著高于當(dāng)前傳統(tǒng)的檢測(cè)方法。本文研究不僅對(duì)交通、電網(wǎng)等行業(yè)能有重要意義，對(duì)稅務(wù)系統(tǒng)中的稅控機(jī)、自助辦稅這類(lèi)設(shè)備也有顯著的價(jià)值。

網(wǎng)絡(luò)攻擊；網(wǎng)絡(luò)流量；信息安全

0 引言

惡意軟件是一段執(zhí)行惡意功能的程序，比如危害工控系統(tǒng)安全、破壞工控系統(tǒng)或者在未經(jīng)過(guò)用戶允許的情況下獲取敏感信息[1,2]。在工控安全領(lǐng)域檢測(cè)工控惡意軟件不是一個(gè)新問(wèn)題[3]。早期的方法使用簽名去檢測(cè)工控惡意軟件。這些簽名由許多不同的屬性組成：文件名、文本串或字節(jié)碼[4]。研究思路集中在保護(hù)系統(tǒng)使其不受工控惡意軟件創(chuàng)造的安全漏洞所侵害。例如，專(zhuān)家們手工分析可疑程序，發(fā)現(xiàn)簽名不同于其他工控惡意軟件或安全程序的工控惡意軟件[5]。這種分析方法盡管精確，但是代價(jià)高昂、速度緩慢。目前，檢測(cè)工控惡意軟件的方法是在已知工控惡意軟件庫(kù)中進(jìn)行匹配[6]。例如，有研究者開(kāi)發(fā)了一個(gè)可以自動(dòng)提取工控惡意軟件簽名的靜態(tài)方法[7]。文獻(xiàn)[8]提出了一個(gè)過(guò)濾惡意代碼的方法，這個(gè)方法是基于“跡象”來(lái)檢測(cè)惡意代碼的[8]。這些是通過(guò)觀察惡意代碼的特征來(lái)手動(dòng)設(shè)計(jì)的。不幸的是，一個(gè)新的工控惡意軟件可能不包含任何已知的簽名，導(dǎo)致傳統(tǒng)的基于簽名的方法無(wú)法檢測(cè)。為了解決這個(gè)問(wèn)題，有研究者提出手動(dòng)生成啟發(fā)式分類(lèi)器[9]。這種處理過(guò)程甚至比生成簽名代價(jià)還要大，研究人員曾將人工神經(jīng)網(wǎng)絡(luò)應(yīng)用到檢測(cè)引導(dǎo)扇區(qū)的惡意二進(jìn)制文件[10]。ANN是擴(kuò)展人類(lèi)認(rèn)知的神經(jīng)網(wǎng)絡(luò)模型的分類(lèi)器。使用ANN分類(lèi)器，將所有引導(dǎo)扇區(qū)工控惡意軟件的字節(jié)作為輸入，研究人員可以成功識(shí)別80-85%未知的引導(dǎo)扇區(qū)可執(zhí)行文件，誤判率低于1%[11]。但是他們不能找到將ANN分類(lèi)器應(yīng)用到另外95%的計(jì)算機(jī)惡意二進(jìn)制文件上的途徑。

本文提出在大量數(shù)據(jù)中發(fā)現(xiàn)模式，使用數(shù)據(jù)挖掘算法在一組惡意和良性的可執(zhí)行文件上訓(xùn)練多分類(lèi)器，例如字節(jié)碼，并使用這些模式在相似數(shù)據(jù)中去檢測(cè)未來(lái)的實(shí)例（新實(shí)例），利用分類(lèi)器檢測(cè)新的工控惡意軟件。這些二進(jìn)制文件首先被靜態(tài)分析并提取特征屬性，然后分類(lèi)器會(huì)訓(xùn)練這些數(shù)據(jù)的子集。分類(lèi)器是由數(shù)據(jù)挖掘算法在訓(xùn)練數(shù)據(jù)集上得到的一個(gè)規(guī)則集或是檢測(cè)模型。

1 檢測(cè)思路

本文通過(guò)探索若干數(shù)據(jù)挖掘方法來(lái)分析和找尋準(zhǔn)確的探測(cè)器用于未知二進(jìn)制文件。首先在實(shí)驗(yàn)中，集中大量的公共來(lái)源的程序，并將這些程序分成兩個(gè)類(lèi)別：惡意的和良性的可執(zhí)行文件。為了使數(shù)據(jù)集標(biāo)準(zhǔn)化，實(shí)驗(yàn)使用了MacAfee更新的病毒掃描器，將程序打上惡意或者良性可執(zhí)行文件的標(biāo)簽。由于病毒掃描器的更新，且病毒來(lái)源于公開(kāi)渠道，本文假設(shè)病毒掃描器為每一種惡意病毒生成了簽名。其次，將數(shù)據(jù)集分開(kāi)為兩個(gè)子集：訓(xùn)練集和測(cè)試集。數(shù)據(jù)挖掘算法利用訓(xùn)練集生成規(guī)則集。本文利用測(cè)試集檢驗(yàn)分類(lèi)器在未知實(shí)例上的準(zhǔn)確性。接下來(lái)，本文從數(shù)據(jù)集的每一個(gè)實(shí)例中自動(dòng)提取它們的二進(jìn)制配置文件，然后利用分類(lèi)器從配置文件中提取特征。在數(shù)據(jù)挖掘框架中，特征就是從數(shù)據(jù)集中提取出的屬性，比如字節(jié)序列，分類(lèi)器可以利用這些屬性生成檢測(cè)模型。利用不同的特征，訓(xùn)練出一組數(shù)據(jù)挖掘分類(lèi)器來(lái)辨別良性或工控惡意軟件。注意，提取的特征是二進(jìn)制的靜態(tài)屬性，不需要執(zhí)行二進(jìn)制文件。

本文使用系統(tǒng)資源信息、字符串和從數(shù)據(jù)集的工控惡意軟件中提取出的字節(jié)序列作為不同類(lèi)型的特征，本文使用了三種學(xué)習(xí)算法：

?基于規(guī)則的布爾規(guī)則

?給定一組特征的某一類(lèi)概率的概率方法

?結(jié)合多個(gè)分類(lèi)器輸出的多分類(lèi)器系統(tǒng)

本文設(shè)計(jì)了一個(gè)自動(dòng)的簽名生成器，將數(shù)據(jù)挖掘方法和傳統(tǒng)的基于簽名方法比較。由于商業(yè)的掃描器包含數(shù)據(jù)集中所有工控惡意軟件的簽名，因此無(wú)法使用現(xiàn)成的病毒掃描器模仿新工控惡意軟件的檢測(cè)。像數(shù)據(jù)挖掘算法，基于簽名的算法僅僅被允許在訓(xùn)練集上生成簽名。這允許本文的數(shù)據(jù)挖掘框架在新數(shù)據(jù)上能與傳統(tǒng)掃描器公平對(duì)比。為了量化表示本文方法的表現(xiàn)，本文展示了正確肯定、正確否定、錯(cuò)誤肯定、錯(cuò)誤否定計(jì)數(shù)的表格。正確肯定是惡意例子被正確標(biāo)注為惡意，正確否定是良性實(shí)例被正確分類(lèi)。錯(cuò)誤肯定是良性實(shí)例被算法錯(cuò)誤歸為工控惡意軟件，錯(cuò)誤否定是工控惡意軟件被錯(cuò)誤歸為良性程序。為了評(píng)價(jià)這些表現(xiàn)，本文計(jì)算了錯(cuò)誤肯定率（假陽(yáng)性率）和檢測(cè)率。

根據(jù)上述思路，本文的數(shù)據(jù)集由4266個(gè)程序組成，其中有3265個(gè)工控惡意軟件，1001個(gè)無(wú)害程序。數(shù)據(jù)集中沒(méi)有程序副本，每個(gè)程序都由商業(yè)病毒掃描器標(biāo)記為惡意或良性。工控惡意軟件是從不同的FTP網(wǎng)站上下載的，被商業(yè)病毒掃描器貼上正確的類(lèi)別標(biāo)簽（惡意的或是良性的）。數(shù)據(jù)集由5%的特洛伊木馬和95%的工控病毒。本文也檢查數(shù)據(jù)的PE（可移植的可執(zhí)行文件）格式的子集。由PE格式的可執(zhí)行文件組成的數(shù)據(jù)集包含206個(gè)良性程序和38個(gè)工控惡意軟件。

2 LibBFD數(shù)據(jù)處理與特征分析

首先，使用LibBFD，僅檢測(cè)PE文件的子集。然后，使用更多的普通方法提取所有類(lèi)型的二進(jìn)制文件的特征。為了從Windows二進(jìn)制文件中提取源信息，本文使用GNU二進(jìn)制目錄檢索文件。GNU二進(jìn)制目錄檢索文件套件工具能夠在Windows上分析PE二進(jìn)制文件，在PE或者通用目標(biāo)文件格式（COFF）中，程序標(biāo)題由一個(gè)COFF標(biāo)題、一個(gè)選配標(biāo)題、磁盤(pán)操作系統(tǒng)（MS-DOS）和一個(gè)文件簽名組成。PE標(biāo)題本文使用libBFD（包含二進(jìn)制目錄檢索文件的庫(kù)）來(lái)提取目標(biāo)格式的信息。PE二進(jìn)制文件的目標(biāo)格式給出了文件大小、動(dòng)態(tài)鏈接庫(kù)（DLLs）名稱(chēng)和DLLS及重定位表的函數(shù)調(diào)用的名稱(chēng)。從目標(biāo)格式中本文提取特征集，用于組成每個(gè)二進(jìn)制文件的特征向量。

為了理解資源如何影響二進(jìn)制文件的行為，本文利用三種特征來(lái)完成本文的試驗(yàn)：二進(jìn)制文件使用的DLLs（動(dòng)態(tài)鏈接庫(kù)）的清單；二進(jìn)制文件的DLLs的函數(shù)調(diào)用清單；每個(gè)DLL的函數(shù)被調(diào)用的次數(shù)。

第一步，剖析二進(jìn)制文件使用的DLLs。加載二進(jìn)制文件作為特征，如式（1）所示。特征向量包含30個(gè)布爾值，表示此文件是否使用了DLLs。并不是每個(gè)DLL都被所有二進(jìn)制文件使用，大部分文件調(diào)用相同的資源。例如，幾乎所有的二進(jìn)制文件調(diào)用了GDI32.DLL，這是Windows的圖形設(shè)備接口，是Windows操作系統(tǒng)的核心組件。

┑advapi32∧avicap32∧……∧

winmm∧┑wsock32 (1)

以式（1）為例，式（1）中給出的向量至少由兩項(xiàng)未使用的資源組成：ADVAPI32.DLL（高級(jí)的Windows API）和WSOCK32.DLL（Windows套接字API）。同樣，向量至少包含兩項(xiàng)使用的資源：AVICAP32.DLL（AVI捕捉API）和WINNM.DLL（Windows多媒體API）。

第二步，二進(jìn)制文件性能分析使用DLLs和函數(shù)調(diào)用作為特征。這一步與第一步類(lèi)似，但增加了函數(shù)調(diào)用的信息。特征向量由2229個(gè)布爾值組成，一些DLL有著相同的函數(shù)名，記錄了這些函數(shù)是哪個(gè)DLL的。式（2）是DLL及每個(gè)DLL內(nèi)部的函數(shù)調(diào)用，式（2）中給出的樣本向量至少包含四個(gè)資源。ADVAPI32.DLL的兩個(gè)函數(shù)調(diào)用：Adjust-Token-Privileges()和GetFileSecurityA()，還有WSOCK32. DLL的兩個(gè)函數(shù)調(diào)用：recv()和send()。

advapi32.AdjustTokenPrivileges()∧advapi32. GetFileSecurityA()∧……∧wsock32.recv()

∧wsock32.send() (2)

第三步，統(tǒng)計(jì)每個(gè)DLL內(nèi)部不同函數(shù)調(diào)用的次數(shù)。特征向量包括30個(gè)整型值。這個(gè)概要文件粗略測(cè)量DLL使用特定二進(jìn)制文件，統(tǒng)計(jì)每個(gè)資源調(diào)用數(shù)目，而不是列舉引用函數(shù)。比如，如果一個(gè)程序僅僅調(diào)用WSOCK32.DLL的recv()和send()函數(shù)，計(jì)數(shù)為2。注意：不統(tǒng)計(jì)函數(shù)可能被調(diào)用的次數(shù)。

3 GNU strings數(shù)據(jù)處理與特征分析

由于非PE可執(zhí)行文件同樣有著字符串編碼，可以使用這些信息來(lái)給所有的4266個(gè)項(xiàng)目數(shù)據(jù)集分類(lèi)，而不是小的LibBFD數(shù)據(jù)集。為了從第一個(gè)有4266個(gè)程序的數(shù)據(jù)集中提取特征，本文使用GNU字符串程序。這個(gè)字符串程序可以從任何文件中提取連續(xù)可打印字符。通過(guò)干凈程序中的相似字符串，能夠從中區(qū)分工控惡意軟件，通過(guò)工控惡意軟件中的相似字符串，可以從中區(qū)分干凈程序（通過(guò)相似字符串來(lái)區(qū)分工控惡意軟件和干凈程序）。二進(jìn)制文件中每個(gè)字符串都作為一個(gè)特征。在數(shù)據(jù)挖掘步驟，本文討論頻度分析如何在數(shù)據(jù)集的整個(gè)字節(jié)序列上工作。

一個(gè)二進(jìn)制文件中的字符串可能由重復(fù)代碼片段、作者簽名、文件名、系統(tǒng)資源信息等組成。這個(gè)檢測(cè)工控惡意軟件的方法已經(jīng)被反工控病毒社區(qū)用來(lái)生成工控惡意軟件的簽名。從可執(zhí)行文件中提取字符串并不如特征提取那樣強(qiáng)健，因?yàn)樗鼈兒苋菀妆桓淖儯虼吮疚姆治隽硪粋€(gè)特征，字節(jié)序列。

字節(jié)序列特征集中最后一個(gè)特征，本文利用整個(gè)4266個(gè)的數(shù)據(jù)集。本文利用hexdump來(lái)將二進(jìn)制文件轉(zhuǎn)成十六進(jìn)制文件。字節(jié)序列特征最具信息性，它表示可執(zhí)行文件的機(jī)器代碼，而不是像LibBFD特征這樣的資源信息。第二，分析整個(gè)二進(jìn)制文件可以給出非PE可執(zhí)行文件的更多信息，strings方法則不行。生成hexdump之后，可以得到如圖1中展示的特征，其中，每一行代表機(jī)器代碼指令的一個(gè)短序列。

假設(shè)工控惡意軟件中有一些相似指令，可以通過(guò)它們來(lái)區(qū)分出干凈程序，干凈程序中也有相似指令來(lái)區(qū)分工控惡意軟件。類(lèi)似于strings特征，二進(jìn)制文件中每個(gè)字節(jié)序列都被當(dāng)做一個(gè)特征。

圖1 Hexdump例子

4 算法設(shè)計(jì)和分析

本文使用2個(gè)不同的數(shù)據(jù)挖掘算法來(lái)生成有不同特征的分類(lèi)器：Na?ve Bayes、Multi-Classifier系統(tǒng)。

基于簽名檢測(cè)方法是工業(yè)中最常用的算法。這些簽名被選擇來(lái)區(qū)分工控惡意軟件與干凈文件。簽名通過(guò)某個(gè)領(lǐng)域的專(zhuān)家生成或者通過(guò)自動(dòng)方法生成。典型地，簽名被用來(lái)說(shuō)明特定工控惡意軟件的獨(dú)特屬性。我們用這個(gè)方法實(shí)施一個(gè)基于簽名的掃描器。

首先，我們計(jì)算只在工控惡意軟件類(lèi)中發(fā)現(xiàn)的字節(jié)序列。這些字節(jié)序列串接在一起成為每個(gè)工控惡意軟件樣本唯一的簽名。因此，每個(gè)工控惡意軟件簽名包含只在工控惡意軟件類(lèi)中發(fā)現(xiàn)的字節(jié)序列。為了使簽名唯一，每個(gè)樣本中發(fā)現(xiàn)的字節(jié)序列串接在一起構(gòu)成一個(gè)簽名。由于訓(xùn)練時(shí)一個(gè)字節(jié)序列僅會(huì)在某類(lèi)中發(fā)現(xiàn)，也可能在另一類(lèi)中出現(xiàn)，這就導(dǎo)致了測(cè)試的假陽(yáng)性（誤報(bào)）。

其次，我們使用的算法是一個(gè)歸納規(guī)則（誘導(dǎo)性規(guī)則）學(xué)習(xí)者。這種算法生成一個(gè)由資源規(guī)則組成的檢測(cè)模型，被用于檢測(cè)未知的工控惡意軟件樣本。此算法使用libBFD信息作為特征。算法是基于規(guī)則的學(xué)習(xí)者，建立規(guī)則集來(lái)確定分類(lèi)，是錯(cuò)誤總數(shù)降到最小。錯(cuò)誤被定義為訓(xùn)練樣本被規(guī)則誤分類(lèi)的數(shù)目。

正例被定義為工控惡意軟件，反例被定義為良性程序。初始假設(shè)Find-S由<⊥，⊥，⊥，⊥>開(kāi)始。假設(shè)最具體的，因?yàn)樵诒M可能少的樣本上為真，none。檢查T(mén)able 2中第一個(gè)正例，算法選擇下一個(gè)最具體的假設(shè)。下一個(gè)正例，，不符合假設(shè)的第一個(gè)和第四個(gè)屬性（“Does it have a GUI?”和“Does it delete files?”）、還有假設(shè)中被下一個(gè)最通用的屬性代替的那些屬性T。

經(jīng)過(guò)兩個(gè)正例的結(jié)果假設(shè)是。算法越過(guò)第三個(gè)樣本（反例），發(fā)現(xiàn)這個(gè)假設(shè)符合Table 2中最后的樣本。Table 2列出的訓(xùn)練數(shù)據(jù)的最后規(guī)則是。規(guī)則基于訓(xùn)練數(shù)據(jù)，規(guī)定一個(gè)工控惡意軟件的屬性是擁有一個(gè)惡意功能、危害系統(tǒng)安全。這符合我們?cè)趇ntroduction中給出的工控惡意軟件的定義。在樣本中一個(gè)工控惡意軟件是否刪除文件或者是否有GUI這不重要。

接下來(lái)，引入Na?ve Bayes分類(lèi)器。Na?ve Bayes分類(lèi)器計(jì)算給出特征的一個(gè)程序是工控惡意軟件的似然估計(jì)。本文使用strings和字節(jié)序列數(shù)據(jù)來(lái)計(jì)算一個(gè)二進(jìn)制文件是惡意的概率。本文計(jì)算一個(gè)包含特征集F的程序的類(lèi)，定義C為分類(lèi)集上的一個(gè)隨機(jī)變量：良性和惡意的可執(zhí)行文件。本文想要計(jì)算P(C|F)，即程序在某類(lèi)中的概率，程序包含特征集F。為了訓(xùn)練分類(lèi)器，我們記錄了每個(gè)類(lèi)中有多少程序包含唯一特征。我們使用Na?ve Bayes算法，為字節(jié)序列和strings計(jì)算最可能的類(lèi)。

每個(gè)數(shù)據(jù)挖掘算法生成自己的規(guī)則集來(lái)評(píng)估新樣本。每個(gè)算法的規(guī)則集能合并為一個(gè)掃描器來(lái)檢測(cè)工控惡意軟件。規(guī)則的生成僅需要定期來(lái)做。

一個(gè)工控惡意軟件符合四個(gè)假設(shè)之一：

1. 不調(diào)用user32.EndDialog()，調(diào)用kernel32. EnumCalendarInfoA()

2. 不調(diào)用user32.LoadIconA()，kernel32.Get-TempPathA()和advapi32.dll中的其它任何函數(shù)

3. 調(diào)用shell32.ExtractAssociatedIconA()

4. 調(diào)用msvbbm.dll和the Microsoft Visual Basic Library中的任何函數(shù)

如果一個(gè)二進(jìn)制文件不符合Figure 5中所有惡意二進(jìn)制文件的假設(shè)，那么它會(huì)被標(biāo)記為良性。

由Multi-Na?ve Bayes算法生成的規(guī)則集是每個(gè)樸素貝葉斯分類(lèi)器組件生成的規(guī)則的集合。對(duì)每個(gè)分類(lèi)器，都有一個(gè)規(guī)則集。不同分類(lèi)器的概率規(guī)則可能不同，每個(gè)分類(lèi)器訓(xùn)練的基本數(shù)據(jù)是不一樣的。為了評(píng)估本文方法，定義：

? ?正確肯定（TP），工控惡意軟件樣本被歸類(lèi)為惡意的數(shù)目

? ?正確否定（TN），良性程序被歸類(lèi)為良性的數(shù)目

? ?錯(cuò)誤肯定（FP），良性程序被歸類(lèi)為惡意的數(shù)目

? ?錯(cuò)誤否定（FN），工控惡意軟件被歸類(lèi)為良性的數(shù)目

檢測(cè)率是所有工控惡意軟件中被標(biāo)記為惡意的百分比。假陽(yáng)性率是良性程序中被標(biāo)記為惡意的百分比，別稱(chēng)誤警。檢測(cè)率定義為T(mén)P/(TP+FN)，假陽(yáng)性率定義為FP/(TN+FP)，總準(zhǔn)確度是(TP+TN)/ (TP+ TN+FP+FN)。實(shí)驗(yàn)的結(jié)果如表1所示。

表1 實(shí)驗(yàn)結(jié)果

Tab.1 Experimental Result

5 結(jié)論

本文提出一種針對(duì)未知工控惡意軟件的自動(dòng)挖掘框架。這個(gè)框架自動(dòng)發(fā)現(xiàn)現(xiàn)有數(shù)據(jù)集的模式，使用模式去檢測(cè)一組新的惡意二進(jìn)制文件。通過(guò)與傳統(tǒng)的基于簽名（基于特征）方法比較，該方法在檢測(cè)工控未知惡意軟件的效率顯著高于當(dāng)前傳統(tǒng)的檢測(cè)方法。本文研究對(duì)稅控機(jī)、自助辦稅設(shè)備也很有意義。

[1] LIU Lixia, LING Ren, BEI Xiaomeng, GUO Rongwei, et al. coexistence of synchronization and anti-synchronization of a novel hyperchaotic finance system[C]. IEEE Proceeding of the 34th Chinese Control conference, Hangzhou, 2015: 8585- 8589.

[2] 孫哲, 巫中正, 李千目. 基于網(wǎng)絡(luò)流量的安全可達(dá)性推理方法[J]. 軟件, 2018, 39(04): 36-43.

[3] 孫哲, 巫中正, 李千目. 流量攻擊圖的建模與生成方法[J]. 軟件, 2018, 39(04): 48-52.

[4] Li QM, Zhang H. Information Security Risk Assessment Technology of Cyberspace: a Review. INFORMATION. 2012, 15(11): 677-683.

[5] 鮑克, 嚴(yán)丹, 李富勇, 等. 車(chē)聯(lián)網(wǎng)信息安全防護(hù)體系研究[J]. 軟件, 2018, 39(6): 29-31.

[6] Li QM, Li J . Rough Outlier Detection Based Security Risk Analysis Methodology. CHINA COMMUNICATIONS. 2012, 9(7): 14-21.

[7] 孟晨宇, 史淵, 王佳偉, 等. Windows 內(nèi)核級(jí)防護(hù)系統(tǒng)[J]. 軟件, 2016, 37(3): 16-20.

[8] Li, QM; Hou, J; Qi, Y; Zhang, H. The Rule Engineer Model on the high-speed processing of Disaster Warning Infor-mation. DISASTER ADVANCES. 2012, 5(4): 1196-1201.

[9] 李磊. 數(shù)據(jù)通信網(wǎng)絡(luò)安全維護(hù)策略探討[J]. 軟件, 2018, 39(7): 191-193.

[10] 蘇奎, 張彥超, 董默. 一種計(jì)算機(jī)安全評(píng)價(jià)系統(tǒng)設(shè)計(jì)[J]. 軟件, 2015, 36(4): 119-122.

[11] 趙健, 桑笑楠, 馬迪揚(yáng)等. 智能電網(wǎng)安全策略切換判決算法設(shè)計(jì)[J]. 軟件, 2015, 36(9): 70-77.

New Industrial Control Malware Detection Method

YAO Jian1, LIU Yao-zong2,3*, HOU Jun3, LING Fei3,4, LI Qian-mu3

(1. The first branch of the Beijing Municipal Taxation Bureau of the State Administration of Taxation, Beijing, 100089; 2. Intelligent Manufacturing Department, Wuyi University, Jiangmen, 529020; 3. School of Computer science and Engineering, Nanjing University of Science and Technology, Nanjing 210094; 4. Jiangsu Postgraduate Workstation, Nanjing Liancheng Technology Development Co., Ltd, Nanjing 211800)

Thousands of industrial malware appear every year, which has become a serious security threat. The current industrial anti-virus software system attempts to detect these new malicious programs through artificial heuristic generation. The difficulty with this approach is that it is extremely costly, and in the process of identifying malicious programs, that is, when analyzing programs and generating signatures, the system is at risk of the program, often causing detection failure. This paper proposes an automatic mining framework for unknown industrial control malware. This framework automatically discovers the patterns of existing datasets and uses patterns to detect a new set of malicious binary files. Compared with the traditional signature-based (feature-based) method, the method is significantly more efficient in detecting industrially unknown malware than current traditional detection methods. This research not only has important support for transportation, power grid and other industries, but also has significant value for tax control machines and self-service taxation in the tax system.

Network attack; Network traffic; Information security

TP391

A

10.3969/j.issn.1003-6970.2018.10.001

江蘇省重大研發(fā)計(jì)劃(BE2017100、BE2017739)；賽爾下一代互聯(lián)網(wǎng)創(chuàng)新項(xiàng)目(NGII20160122)

姚鍵(1971-)，高級(jí)工程師，博士，研究方向?yàn)橹腔鄱悇?wù)、大數(shù)據(jù)、網(wǎng)絡(luò)安全；侯君(1982-)，助理研究員，研究方向?yàn)閿?shù)據(jù)分析、高等教育；凌飛(1984-)，高級(jí)工程師，研究方向?yàn)樾畔踩?/p>

劉耀宗(1974-)，講師，研究方向?yàn)樾畔踩?/p>

姚健，劉耀宗，侯君，等. 基于數(shù)據(jù)挖掘的新型惡意軟件檢測(cè)方法[J]. 軟件，2018，39（10）：01-05