0 引言

在網(wǎng)絡(luò)迅猛發(fā)展的今天，惡意代碼已經(jīng)成為網(wǎng)絡(luò)安全的重要威脅，在網(wǎng)絡(luò)信息安全中占有一席之地。當(dāng)開(kāi)源代碼概念出現(xiàn)之后，產(chǎn)生了各種類型的代碼，現(xiàn)在即使是新手也可以輕松地使用駭客工具創(chuàng)建惡意代碼并發(fā)布到網(wǎng)絡(luò)上，目前這種代碼呈指數(shù)增長(zhǎng)和擴(kuò)散。現(xiàn)如今，國(guó)家網(wǎng)絡(luò)安全問(wèn)題受到了前所未有的關(guān)注。

日益嚴(yán)重的安全問(wèn)題，已經(jīng)滲入到人民日常生活乃至國(guó)家層面上，特別是在工業(yè)互聯(lián)網(wǎng)中的網(wǎng)絡(luò)攻擊會(huì)給國(guó)家的工業(yè)造成巨額損失。例如，震網(wǎng)病毒曾于2010年大面積出現(xiàn)，是當(dāng)今世界上第一個(gè)完全根據(jù)工業(yè)控制環(huán)境所產(chǎn)生的毀滅性蠕蟲(chóng)病毒，它在短時(shí)期內(nèi)危及著許多公司的正常運(yùn)營(yíng)[3]。伊萬(wàn)諾-弗蘭科夫斯克半數(shù)以上的家庭受到了停電影響，困擾持續(xù)了幾個(gè)小時(shí)。在電站遭到攻擊的同時(shí)，烏克蘭的許多其他能源企業(yè)，如煤礦和石化等，也成為網(wǎng)絡(luò)攻擊的目標(biāo)。

近年來(lái)，深度學(xué)習(xí)技術(shù)在人工智能應(yīng)用領(lǐng)域受到了人們更多的關(guān)注。在語(yǔ)音識(shí)別、圖形視覺(jué)效果及自然語(yǔ)言處理等應(yīng)用領(lǐng)域，深度學(xué)習(xí)比淺層學(xué)習(xí)模型在特征提取、分類以及預(yù)測(cè)準(zhǔn)確性方面有許多優(yōu)勢(shì)。鑒于其在其他領(lǐng)域的廣泛應(yīng)用，研究人員已經(jīng)將深度學(xué)習(xí)用于惡意軟件檢測(cè)系統(tǒng)的開(kāi)發(fā)，已有很好的檢測(cè)結(jié)果，但也存在著不足之處。

比如，通過(guò)簽名的惡意代碼檢測(cè)技術(shù)一般根據(jù)模式匹配的思路。2012年，Desnos提出了一種基于相似距離的檢測(cè)軟件之間的相似性和惡意軟件的系統(tǒng)，從應(yīng)用程序中提取簽名，可以確定兩個(gè)應(yīng)用程序的相似性[5]。基于簽名的惡意代碼檢測(cè)方法十分準(zhǔn)確，但是對(duì)于未知的惡意代碼來(lái)說(shuō)卻無(wú)能為力，因?yàn)樾枰嘘P(guān)人員不斷地進(jìn)行標(biāo)記、更新病毒庫(kù)，無(wú)法自動(dòng)標(biāo)記和更新，否則停歇之后，就會(huì)被逐漸淘汰下來(lái)，喪失其使用價(jià)值。

2020年，Kishore等人提出了一種利用沙盒輔助集成模型分析和檢測(cè)JavaScript的新技術(shù)[6]。使用惡意軟件沙箱提取有效載荷，以獲得真實(shí)的腳本。將提取的腳本進(jìn)行分析，以定義創(chuàng)建數(shù)據(jù)集所需的特征。但這種方法開(kāi)銷大，耗費(fèi)大量的時(shí)間，需要保證虛擬環(huán)境下不被惡意代碼攻擊。

所以，針對(duì)以上惡意代碼檢測(cè)方法存在無(wú)法自動(dòng)和高效提取惡意代碼的問(wèn)題，本文從紋理特征和操作碼特征入手，提出了基于特征序列的惡意代碼靜態(tài)檢測(cè)方法來(lái)實(shí)現(xiàn)自動(dòng)、高效準(zhǔn)確的惡意代碼檢測(cè)。

本文詳細(xì)內(nèi)容請(qǐng)下載：http://m.jysgc.com/resource/share/2000004991。

作者信息：

魏利卓，石春竹，許鳳凱，張慕榕，郝  嬌

(中國(guó)電子信息產(chǎn)業(yè)集團(tuán)有限公司第六研究所，北京100083)