文獻標識碼: A
DOI: 10.19358/j.issn.2097-1788.2022.04.009
引用格式: 魏利卓,石春竹,許鳳凱,等. 基于特征序列的惡意代碼靜態檢測技術[J].網絡安全與數據治理,2022,41(4):56-64.
0 引言
在網絡迅猛發展的今天,惡意代碼已經成為網絡安全的重要威脅,在網絡信息安全中占有一席之地。當開源代碼概念出現之后,產生了各種類型的代碼,現在即使是新手也可以輕松地使用駭客工具創建惡意代碼并發布到網絡上,目前這種代碼呈指數增長和擴散。現如今,國家網絡安全問題受到了前所未有的關注。
日益嚴重的安全問題,已經滲入到人民日常生活乃至國家層面上,特別是在工業互聯網中的網絡攻擊會給國家的工業造成巨額損失。例如,震網病毒曾于2010年大面積出現,是當今世界上第一個完全根據工業控制環境所產生的毀滅性蠕蟲病毒,它在短時期內危及著許多公司的正常運營[3]。伊萬諾-弗蘭科夫斯克半數以上的家庭受到了停電影響,困擾持續了幾個小時。在電站遭到攻擊的同時,烏克蘭的許多其他能源企業,如煤礦和石化等,也成為網絡攻擊的目標。
近年來,深度學習技術在人工智能應用領域受到了人們更多的關注。在語音識別、圖形視覺效果及自然語言處理等應用領域,深度學習比淺層學習模型在特征提取、分類以及預測準確性方面有許多優勢。鑒于其在其他領域的廣泛應用,研究人員已經將深度學習用于惡意軟件檢測系統的開發,已有很好的檢測結果,但也存在著不足之處。
比如,通過簽名的惡意代碼檢測技術一般根據模式匹配的思路。2012年,Desnos提出了一種基于相似距離的檢測軟件之間的相似性和惡意軟件的系統,從應用程序中提取簽名,可以確定兩個應用程序的相似性[5]。基于簽名的惡意代碼檢測方法十分準確,但是對于未知的惡意代碼來說卻無能為力,因為需要有關人員不斷地進行標記、更新病毒庫,無法自動標記和更新,否則停歇之后,就會被逐漸淘汰下來,喪失其使用價值。
2020年,Kishore等人提出了一種利用沙盒輔助集成模型分析和檢測JavaScript的新技術[6]。使用惡意軟件沙箱提取有效載荷,以獲得真實的腳本。將提取的腳本進行分析,以定義創建數據集所需的特征。但這種方法開銷大,耗費大量的時間,需要保證虛擬環境下不被惡意代碼攻擊。
所以,針對以上惡意代碼檢測方法存在無法自動和高效提取惡意代碼的問題,本文從紋理特征和操作碼特征入手,提出了基于特征序列的惡意代碼靜態檢測方法來實現自動、高效準確的惡意代碼檢測。
本文詳細內容請下載:http://www.viuna.cn/resource/share/2000004991。
作者信息:
魏利卓,石春竹,許鳳凱,張慕榕,郝 嬌
(中國電子信息產業集團有限公司第六研究所,北京100083)
