基于One-Hot的CNN惡意代碼檢測技術(shù)

傅依嫻 蘆天亮 馬澤良

(中國人民公安大學(xué)信息技術(shù)與網(wǎng)絡(luò)安全學(xué)院 北京 100076)

0 引 言

隨著網(wǎng)上支付和網(wǎng)上銀行的全面普及，計(jì)算機(jī)已經(jīng)成為人們?nèi)粘Ｉ畹闹匾糠郑煌瑫r(shí)，由于普遍缺乏有效的安全屏障，物聯(lián)網(wǎng)設(shè)備也成為網(wǎng)絡(luò)攻擊者覬覦的目標(biāo)。根據(jù)McAfee在2017年發(fā)布的報(bào)告可知，2017年因?yàn)榫W(wǎng)絡(luò)犯罪而使全球造成的經(jīng)濟(jì)損失已經(jīng)高達(dá)6 000億美元，大約占到全球GDP的0.8%。面對惡意軟件的常態(tài)化及其破壞性，計(jì)算機(jī)用戶不得不投入更多的成本來維護(hù)系統(tǒng)安全；因此，檢測和防御惡意軟件目前已經(jīng)成為網(wǎng)絡(luò)安全領(lǐng)域研究的重點(diǎn)和主要方向。惡意代碼檢測方法當(dāng)前主要分為兩個(gè)階段：特征提取階段和檢測階段。在特征提取階段，提取的特征主要有靜態(tài)特征和動態(tài)特征，相應(yīng)的提取手段分別為靜態(tài)特征提取技術(shù)和動態(tài)特征提取技術(shù)。

在靜態(tài)方法分析領(lǐng)域主要以基于靜態(tài)簽名為代表，基于靜態(tài)簽名的惡意軟件檢測方法利用程序的靜態(tài)特性來區(qū)分良性和惡意程序。基于靜態(tài)簽名的惡意軟件檢測需要檢查惡意軟件，并為每個(gè)新發(fā)現(xiàn)的惡意軟件創(chuàng)建一個(gè)不同的簽名。簽名可以基于字節(jié)碼、二進(jìn)制匯編指令、導(dǎo)入的動態(tài)鏈接庫(DLL)或函數(shù)和系統(tǒng)調(diào)用。Baldangombo等[1]將惡意程序資源段的特征、DLL、程序字符串常量、字節(jié)碼信息與數(shù)據(jù)挖掘算法結(jié)合進(jìn)行靜態(tài)分析與分類。錢雨村等[2]以代碼函數(shù)控制流程圖和函數(shù)調(diào)用作為相似性度量。陳琪等[3]為了解決特征函數(shù)提取不均問題，嘗試將惡意代碼的函數(shù)特征作為單類支持向量機(jī)OCSVM輸入，并篩選出樣本特征函數(shù)，之后引入聚類算法BSAS的思想構(gòu)建家族特征庫，以字符串、API和N-Gram的相似度作為惡意代碼樣本的分類提供依據(jù)。不幸的是，惡意軟件作者使用各種混淆技術(shù)來生成同一惡意軟件的新變種來回避基于簽名的識別。反惡意軟件供應(yīng)商是建立在已知惡意軟件的基礎(chǔ)上的，他們無法區(qū)分模糊的惡意軟件，甚至是已知惡意軟件的變種。以殺毒軟件為例，當(dāng)前它是世界上發(fā)展較為成熟的惡意代碼檢測軟件和對抗工具，目前主要是使用基于簽名的檢測方法，不足之處是它只能檢測已知的惡意代碼，而對于那些使用代碼混淆和多態(tài)技術(shù)修改的惡意代碼仍無能為力。

盡管有大量的惡意軟件變體，但原始惡意軟件往往表現(xiàn)出相同的執(zhí)行能力，因?yàn)殪o態(tài)混淆技術(shù)通常不會改變惡意軟件的行為。因此，檢查惡意軟件的動態(tài)特性比檢查容易混淆的靜態(tài)特性更可靠。在動態(tài)方法分析領(lǐng)域，主要圍繞行為特征描述和軟件行為分析技術(shù)兩大關(guān)鍵問題展開，使用能夠代表惡意代碼行為的特征，主要包括系統(tǒng)特征計(jì)數(shù)、API調(diào)用序列以及軟件代碼。Al-Sheshtawi等[4]使用APImonitor監(jiān)控多種API系統(tǒng)調(diào)用，使用n-gram算法產(chǎn)生API系統(tǒng)調(diào)用短序列。榮俸萍等[5]引入面向目標(biāo)關(guān)聯(lián)挖掘的概念，通過挖掘出代表惡意行為的API調(diào)用序列模式，作為異常行為特征進(jìn)行惡意代碼檢測。Gui等[6]提取出惡意程序在動態(tài)運(yùn)行過程中的流量信息，以此來識別出未知程序的惡意行為。基于行為的方法其主要優(yōu)點(diǎn)是可以更好地理解惡意軟件是如何產(chǎn)生和實(shí)現(xiàn)的。在基于行為的惡意軟件方法中，可疑對象是根據(jù)他們在系統(tǒng)中無法執(zhí)行的活動進(jìn)行評估的，為實(shí)現(xiàn)明顯不規(guī)則或非官方的活動，而將可疑對象認(rèn)定為惡意的。

隨著機(jī)器學(xué)習(xí)在惡意軟件檢測的應(yīng)用，并且取得了良好的分類效果，該領(lǐng)域的研究也不斷趨于成熟化。近年來，研究人員正不斷嘗試將深度學(xué)習(xí)算法應(yīng)用于惡意軟件檢測方向，這是目前比較有研究意義的發(fā)展趨勢。Saxe等[7]使用前饋神經(jīng)網(wǎng)絡(luò)對靜態(tài)分析結(jié)果進(jìn)行分類，然而，他們在研究中沒有考慮動態(tài)分析結(jié)果。在二進(jìn)制文件混淆的情況下，靜態(tài)分析可能無法提供令人滿意的分類輸出。另一方面，Huang等[8]使用了多達(dá)四層的前饋神經(jīng)網(wǎng)絡(luò)，但重點(diǎn)是評估多任務(wù)學(xué)習(xí)思想。Ding等[9]從惡意軟件中提取操作碼序列，利用未標(biāo)記的數(shù)據(jù)對多層生成模型進(jìn)行預(yù)處理，最后使用深度信念網(wǎng)絡(luò)(DBN)進(jìn)行檢測。本文借鑒自然語言處理的分析方法，將深度學(xué)習(xí)算法CNN應(yīng)用于惡意代碼檢測，從而取得更好的檢測效果。

本文主要相關(guān)工作：

(1) 搭建Cuckoo沙箱環(huán)境，通過搭建好的Cuckoo沙箱來模擬病毒真實(shí)運(yùn)行環(huán)境，最后從虛擬機(jī)中返回有效的病毒分析報(bào)告。

(2) 收集所提交樣本的分析報(bào)告，通過比對分析報(bào)告，提取所需的病毒特征。

(3) 惡意代碼檢測模型搭建，結(jié)合深度學(xué)習(xí)算法構(gòu)建代碼分類模型，用于判定未知程序的可疑性。

(4) 進(jìn)行充分的實(shí)驗(yàn)研究，將深度學(xué)習(xí)分類器結(jié)果與應(yīng)用較為成熟的機(jī)器學(xué)習(xí)分類器結(jié)果進(jìn)行對比；與目前公開檢測平臺的檢測結(jié)果進(jìn)行比對。

1 Cuckoo沙箱環(huán)境搭建

Cuckoo沙箱環(huán)境主要用于惡意代碼的動態(tài)分析，它能夠?qū)崟r(shí)地執(zhí)行和監(jiān)視惡意文件。整個(gè)惡意代碼動態(tài)分析的標(biāo)準(zhǔn)流程是在一個(gè)獨(dú)立、透明和安全的分析環(huán)境下運(yùn)行PE文件，并對樣本的動態(tài)行為進(jìn)行監(jiān)控。通過各種沙箱、虛擬化和仿真技術(shù)建立用來模仿文件真正運(yùn)行時(shí)的環(huán)境。

Cuckoo Sandbox[10]主要基于GPLv3開源協(xié)議，用來對惡意軟件進(jìn)行初步的動態(tài)分析，其主要功能包括：

(1) 捕捉惡意代碼各個(gè)進(jìn)程的調(diào)用情況；

(2) 監(jiān)測惡意軟件運(yùn)行過程中對文件的刪除、下載或者新建操作；

(3) 追蹤惡意代碼的網(wǎng)絡(luò)通信行為并以PCAP格式保存；

(4) 獲取惡意代碼的內(nèi)存鏡像。

Cuckoo Sandbox主要包括Host Machine(主機(jī))和Guest Machine(客戶機(jī))兩大部分，兩者之間通過建立虛擬網(wǎng)絡(luò)來相互進(jìn)行通信。Host Machine包括Cuckoo Sandbox軟件、虛擬機(jī)軟件Virtual Box以及各類分析組件，主要負(fù)責(zé)對樣本進(jìn)行啟動分析、行為監(jiān)測以及報(bào)告文件的產(chǎn)生等。Guest Machine主要負(fù)責(zé)執(zhí)行惡意代碼并向Host Machine匯報(bào)分析結(jié)果。圖1為Cuckoo Sandbox的結(jié)構(gòu)。

圖1 Cuckoo Sandbox結(jié)構(gòu)

2 基于CNN惡意代碼檢測模型設(shè)計(jì)

許多基于機(jī)器學(xué)習(xí)的系統(tǒng)已經(jīng)被開發(fā)出來，這些系統(tǒng)能用于解決大量惡意軟件樣本的問題。事實(shí)上，以往的工作試圖解決惡意軟件行為[11]建模的問題；除了行為數(shù)據(jù)，靜態(tài)代碼屬性也被用作統(tǒng)計(jì)分析的數(shù)據(jù)源；此外，有些研究工作試圖將靜態(tài)和動態(tài)方法[12]結(jié)合使用。深度學(xué)習(xí)目前越來越受廣大研究者的歡迎，因?yàn)樗鼈冊谠S多領(lǐng)域都帶來了性能的提高，但這些方法還沒有廣泛應(yīng)用于惡意軟件分析中。盡管如此，仍有嘗試將深度學(xué)習(xí)引入這一應(yīng)用領(lǐng)域的努力。例如，前饋神經(jīng)網(wǎng)絡(luò)被用來分析惡意代碼[13]，循環(huán)神經(jīng)網(wǎng)絡(luò)被用來建模系統(tǒng)調(diào)用序列，以構(gòu)建惡意代碼[14]的語言模型。

本實(shí)驗(yàn)通過使用卷積神經(jīng)網(wǎng)絡(luò)CNN來對惡意軟件進(jìn)行檢測和分析。圖2為基于CNN的惡意代碼檢測模型。

圖2 基于CNN的惡意代碼檢測模型

為了獲得實(shí)驗(yàn)所需的分析報(bào)告，我們將樣本文件提交至沙箱虛擬機(jī)系統(tǒng)中進(jìn)行分析，最后生成json格式的分析報(bào)告。分析報(bào)告中主要包含了追蹤到的函數(shù)調(diào)用行為、網(wǎng)絡(luò)行為、文件行為等信息，進(jìn)而為下一步的數(shù)據(jù)預(yù)處理提供支撐。分析報(bào)告的信息遠(yuǎn)超過我們所需的量，因此在利用這些數(shù)據(jù)之前需要對他們進(jìn)行預(yù)處理，我們主要提取動態(tài)API函數(shù)信息。提取這些特征的動機(jī)是，導(dǎo)入的函數(shù)可以幫助神經(jīng)網(wǎng)絡(luò)識別惡意軟件樣本的目的。例如，從kernel32.dll導(dǎo)入的函數(shù)，如OpenProcess、GetCurrentProcess和GetProcessHeap，意味著惡意軟件打開并操縱進(jìn)程。這個(gè)DLL文件為大多數(shù)Win32 api提供了函數(shù)，許多GUI操作函數(shù)，如RegisterClassEx、SetWindowText和ShowWindow，都充分表明了惡意軟件具有GUI，并且可能會模仿良性應(yīng)用程序GUI的外觀。從shell32.dll導(dǎo)入的函數(shù)意味著惡意軟件啟動了其他程序。

3 CNN模型

卷積神經(jīng)網(wǎng)絡(luò)沿用了普通的多層感知器結(jié)構(gòu)的神經(jīng)元網(wǎng)絡(luò)，是一個(gè)前饋網(wǎng)絡(luò)。它們包含多重非線性特征變換，其中該變換的參數(shù)使用梯度下降程序進(jìn)行訓(xùn)練。在前饋神經(jīng)網(wǎng)絡(luò)中，變換過程如下：

(1)

式中：wi為神經(jīng)網(wǎng)絡(luò)的參數(shù)(權(quán)值)，f為非線性函數(shù)，增加了模型的復(fù)雜性。

卷積層使用一個(gè)非線性函數(shù)，通過在預(yù)定義的窗口中移動卷積濾波器，從數(shù)據(jù)樣本中提取特征。與濾波器k離散卷積對輸入i執(zhí)行以下變換：

(2)

濾波器從以下公式得出：

(3)

卷積層(Y)的輸出由一系列特征圖組成，第i個(gè)特征圖(Yi)計(jì)算公式為：

Yi=Bi+∑Ki,j×Xj

(4)

在圖像處理領(lǐng)域，卷積濾波器主要被用來從圖像中來識別特征。與圖像相似，在文本處理中(如句子分類、搜索、推薦等)，我們可以使用卷積濾波器對短文本進(jìn)行信息提取和高層次特征檢測。由于包含惡意可執(zhí)行程序指令的日志由預(yù)定義字典中的單詞序列組成，因此在選擇建模方法時(shí)，與文本文檔有明顯的相似之處。

圖3展示了卷積神經(jīng)網(wǎng)絡(luò)架構(gòu)的概述，借鑒CNN在自然語言處理方面的成熟應(yīng)用，對樣本的惡意動態(tài)行為進(jìn)行檢測。

圖3 卷積神經(jīng)網(wǎng)絡(luò)架構(gòu)概述

3.1 輸入層詞向量生成

在生成詞向量的過程中，本實(shí)驗(yàn)選擇兩種模型進(jìn)行比較，一種是Word2vec中的Skip-gram模型，一種是One-Hot編碼。

(1) Skip-gram模型 本實(shí)驗(yàn)選用了基于Word2vec提供的Skip-gram語言模型來建模，將文本的各特征之間的聯(lián)系以詞向量形式展現(xiàn)。在實(shí)驗(yàn)中，我們輸入預(yù)處理過程中提取出的API序列，通過Skip-gram將其數(shù)值向量化。Skip-gram模型是一種無監(jiān)督訓(xùn)練算法，用來實(shí)現(xiàn)詞向量的分布特征表示，通過映射關(guān)系實(shí)現(xiàn)詞與詞之間的位置關(guān)系來反映他們在語義層面的聯(lián)系。

(2) One-Hot編碼 One-Hot編碼使用N位狀態(tài)寄存器來對N個(gè)狀態(tài)進(jìn)行編碼，并且只有一位有效。使用One-Hot編碼，可以將離散特征的取值擴(kuò)展到了歐式空間，在分類過程中，特征之間距離的計(jì)算或相似度的計(jì)算通常都是在歐式空間進(jìn)行。在實(shí)驗(yàn)中，輸入API函數(shù)調(diào)用序列，利用獨(dú)熱編碼將其轉(zhuǎn)化為數(shù)學(xué)向量。對于離散型特征，基于距離的模型，使用One-Hot編碼，能夠很好地處理稀疏特征的情況。

3.2 卷積層動態(tài)特征提取

卷積層作為整個(gè)網(wǎng)絡(luò)結(jié)構(gòu)特征提取的重要層，主要有局部感知、權(quán)值共享以及多卷積核特征，前兩者起到了降維的作用，后者為不同粒度特征的再提取提供了具體操作。圖4顯示了卷積層的結(jié)構(gòu)。通過良好的特征提取，卷積神經(jīng)網(wǎng)絡(luò)體系結(jié)構(gòu)將幫助我們區(qū)分良性和惡意軟件家族之間的使用模式，實(shí)際上，卷積濾波器有助于發(fā)現(xiàn)對數(shù)據(jù)中的小變化不改變的高階局部特征。

圖4 卷積層

輸入矩陣的行表示離散的API調(diào)用函數(shù)，過濾器在矩陣的整行上滑動，類似于自然語言處理中的應(yīng)用。我們選擇過濾器的寬度為128，這表示API調(diào)用函數(shù)向量的維數(shù)。分別用多個(gè)卷積核對輸入的樣本矩陣進(jìn)行卷積，卷積核的長度可以任意選擇，這種處理方式類似于N-Gram算法，例如取長度為3的濾波器高度其實(shí)就是對相鄰的3個(gè)API動態(tài)行為提取特征。

3.3 池化層特征二次提取

池化層以卷積層提取的局部特征的結(jié)果來作為輸入，進(jìn)而提取最顯著的特征。主要有：Max Pooling和Average Pooling兩種。實(shí)驗(yàn)對卷積結(jié)果使用max-pooling(如圖4所示)，它在保持濾波器捕獲的重要全局信息的同時(shí)降低了輸出維數(shù)，因此取列向量中的最大值，這樣每一個(gè)列向量就可以轉(zhuǎn)變成一個(gè)1×1的值。池化層原理公式為：

pooling(xl-1)sl=f(βl·pooling(xl-1)+bl)

(5)

式中：pooling(xl-1)是對第l-1層的特征做池化操作，是卷積層的第l層輸出層，f是激活函數(shù)，βl和bl是特征圖輸出所用的偏移量。

4 實(shí) 驗(yàn)

4.1 實(shí)驗(yàn)環(huán)境和實(shí)驗(yàn)樣本

基于卷積神經(jīng)網(wǎng)絡(luò)的惡意代碼檢測技術(shù)的編程運(yùn)行環(huán)境(電腦A)：深度學(xué)習(xí)框架tensorflow，Windows 10 x64，CPU為酷睿8核、2.4 GHz，內(nèi)存條DDR4 2800 8 GB，SSD固態(tài)硬盤512 GB。

Cuckoo沙箱環(huán)境(電腦B)配置如表1所示。

表1 沙箱配置環(huán)境

本文選取使用量最大的Windows平臺上惡意樣本作為實(shí)驗(yàn)對象，主要從https://virusshare.com以及www.malware-traffic-analysis.net兩個(gè)公開網(wǎng)站下載Windows惡意PE文件集，共2 400個(gè)樣本；另外從360官方應(yīng)用商城下載正常樣本集，根據(jù)使用比例下載16類軟件(比如瀏覽器、文件編輯器、辦公軟件、媒體播放器等)共1 000個(gè)樣本。最終合計(jì)3 400個(gè)樣本。

4.2 不同濾波器下CNN結(jié)果比較

實(shí)驗(yàn)一，在卷積層我們主要測試了4個(gè)濾波器高度(分別為3，4，5，6)。使用One-Hot編碼的CNN分類結(jié)果Accuracy與使用Skip-gram模型的CNN分類結(jié)果Accuracy的比較如圖5所示。

圖5 不同濾波器下Accuracy比較

通過選取不同的濾波器高度，可以看到使用One-Hot編碼后的CNN模型在Accuracy的效果優(yōu)于使用Skip-gram后的CNN模型。這充分證明，對于稀疏的API特征，更適合選用One-Hot編碼來進(jìn)行向量化。因此在接下來的實(shí)驗(yàn)當(dāng)中，主要選擇One-Hot編碼作為詞向量的構(gòu)建，并與常見的機(jī)器學(xué)習(xí)算法以及殺毒軟件進(jìn)行比較。

4.3 與常見機(jī)器學(xué)習(xí)算法進(jìn)行比較

實(shí)驗(yàn)二，我們進(jìn)行了三次交叉驗(yàn)證實(shí)驗(yàn)來估計(jì)新數(shù)據(jù)上的結(jié)果。在每個(gè)實(shí)驗(yàn)中，隨機(jī)地將數(shù)據(jù)集分割成三個(gè)大小相同的分區(qū)，針對兩個(gè)分區(qū)進(jìn)行訓(xùn)練，并對剩余的分區(qū)進(jìn)行測試，這個(gè)過程重復(fù)三次，每次都留下一個(gè)不同的分區(qū)進(jìn)行測試。計(jì)算這三種測試的平均結(jié)果，最后獲得一個(gè)可靠的度量方法來衡量所提出的卷積神經(jīng)網(wǎng)絡(luò)模型再整個(gè)數(shù)據(jù)集上的性能。另外，選取MLP、NaiveBayes、SVM與CNN(One-Hot)進(jìn)行比較，檢測模型的性能。使用三個(gè)指標(biāo)對卷積神經(jīng)網(wǎng)絡(luò)模型的性能進(jìn)行了定量評估：Accuracy(精確度)，Recall(召回率)和F1-score。實(shí)驗(yàn)結(jié)果如表2所示。

表2 分類器的平均性能比較

由表2結(jié)果可以看出，CNN模型在Accuracy、Recall、F1-score的整體結(jié)果上均高于其他幾種常見的機(jī)器學(xué)習(xí)算法的結(jié)果，因此CNN相對于其他幾種機(jī)器學(xué)習(xí)的算法更具有優(yōu)勢。

4.4 與常見的殺毒軟件進(jìn)行比較

實(shí)驗(yàn)三，我們另外再下載100個(gè)不與實(shí)驗(yàn)一重復(fù)的PE惡意樣本。在virus Total上進(jìn)行提交，計(jì)算所有提交樣本在殺毒軟件Clam AV、TotalDefense、ZoneAlarm、Malwarebytes下的檢測率R=n/t，n為virus Total上對應(yīng)殺毒軟件檢測為惡意樣本的計(jì)數(shù)，t為上傳惡意樣本總數(shù)。使用CNN(One-Hot)檢測并與殺毒軟件Clam AV、TotalDefense、ZoneAlarm、Malwarebytes進(jìn)行比較，結(jié)果如表3所示。

表3 對未知惡意軟件的檢測率比較

由表3可知，CNN模型對于未知惡意軟件的檢測率高達(dá)90%以上，相比較其他常見的殺毒軟件，具有更好的檢測率。

5 結(jié) 語

本文借鑒了深度學(xué)習(xí)在自然語言處理方面的應(yīng)用，從而對卷積神經(jīng)網(wǎng)絡(luò)進(jìn)行建模，并用于惡意代碼檢測領(lǐng)域。實(shí)驗(yàn)結(jié)果可以表明，將深度學(xué)習(xí)算法引入惡意代碼檢測方向是當(dāng)前較為突出的一大創(chuàng)新，并且可 以取得高于機(jī)器學(xué)習(xí)算法的檢測結(jié)果。本文的不足在 于，實(shí)驗(yàn)數(shù)據(jù)集不夠多，容易造成模型訓(xùn)練不夠完善， 從而影響最終的檢測效果。另外，深度學(xué)習(xí)的一大便 利之處是不需要手工提取特征，未來將考慮的是利用深度學(xué)習(xí)進(jìn)行特征的自動學(xué)習(xí)，之后將抽取的特征應(yīng) 用于機(jī)器學(xué)習(xí)分類器上，以期達(dá)到更好的實(shí)驗(yàn)效果。