文献标识码:A
DOI:10.19358/j.issn.2097-1788.2022.04.009
引用格式: 魏利卓,石春竹,许凤凯,等. 基于特征序列的恶意代码静态检测技术[J].网络安全与数据治理,2022,41(4):56-64.
0 引言
在网络迅猛发展的今天,恶意代码已经成为网络安全的重要威胁,在网络信息安全中占有一席之地。当开源代码概念出现之后,产生了各种类型的代码,现在即使是新手也可以轻松地使用骇客工具创建恶意代码并发布到网络上,目前这种代码呈指数增长和扩散。现如今,国家网络安全问题受到了前所未有的关注。
日益严重的安全问题,已经渗入到人民日常生活乃至国家层面上,特别是在工业互联网中的网络攻击会给国家的工业造成巨额损失。例如,震网病毒曾于2010年大面积出现,是当今世界上第一个完全根据工业控制环境所产生的毁灭性蠕虫病毒,它在短时期内危及着许多公司的正常运营[3]。伊万诺-弗兰科夫斯克半数以上的家庭受到了停电影响,困扰持续了几个小时。在电站遭到攻击的同时,乌克兰的许多其他能源企业,如煤矿和石化等,也成为网络攻击的目标。
近年来,深度学习技术在人工智能应用领域受到了人们更多的关注。在语音识别、图形视觉效果及自然语言处理等应用领域,深度学习比浅层学习模型在特征提取、分类以及预测准确性方面有许多优势。鉴于其在其他领域的广泛应用,研究人员已经将深度学习用于恶意软件检测系统的开发,已有很好的检测结果,但也存在着不足之处。
比如,通过签名的恶意代码检测技术一般根据模式匹配的思路。2012年,Desnos提出了一种基于相似距离的检测软件之间的相似性和恶意软件的系统,从应用程序中提取签名,可以确定两个应用程序的相似性[5]。基于签名的恶意代码检测方法十分准确,但是对于未知的恶意代码来说却无能为力,因为需要有关人员不断地进行标记、更新病毒库,无法自动标记和更新,否则停歇之后,就会被逐渐淘汰下来,丧失其使用价值。
2020年,Kishore等人提出了一种利用沙盒辅助集成模型分析和检测JavaScript的新技术[6]。使用恶意软件沙箱提取有效载荷,以获得真实的脚本。将提取的脚本进行分析,以定义创建数据集所需的特征。但这种方法开销大,耗费大量的时间,需要保证虚拟环境下不被恶意代码攻击。
所以,针对以上恶意代码检测方法存在无法自动和高效提取恶意代码的问题,本文从纹理特征和操作码特征入手,提出了基于特征序列的恶意代码静态检测方法来实现自动、高效准确的恶意代码检测。
本文详细内容请下载:https://www.chinaaet.com/resource/share/2000004991。
作者信息:
魏利卓,石春竹,许凤凯,张慕榕,郝 娇
(中国电子信息产业集团有限公司第六研究所,北京100083)