[發(fā)明專利]一種基于深度學(xué)習(xí)的惡意代碼同源判定系統(tǒng)及其判定方法在審
| 申請?zhí)枺?/td> | 201810564657.9 | 申請日: | 2018-06-04 |
| 公開(公告)號: | CN109002711A | 公開(公告)日: | 2018-12-14 |
| 發(fā)明(設(shè)計)人: | 吳越;蔣永康;鄒福泰 | 申請(專利權(quán))人: | 上海交通大學(xué) |
| 主分類號: | G06F21/56 | 分類號: | G06F21/56;G06N3/04 |
| 代理公司: | 上海旭誠知識產(chǎn)權(quán)代理有限公司 31220 | 代理人: | 鄭立 |
| 地址: | 200240 *** | 國省代碼: | 上海;31 |
| 權(quán)利要求書: | 查看更多 | 說明書: | 查看更多 |
| 摘要: | |||
| 搜索關(guān)鍵詞: | 同源 惡意代碼 判定系統(tǒng) 學(xué)習(xí)模塊 判定 報告生成模塊 可視化模塊 數(shù)據(jù)庫模塊 脫殼模塊 自動化 數(shù)據(jù)庫 惡意代碼樣本 卷積神經(jīng)網(wǎng)絡(luò) 信息安全技術(shù) 抽象特征 結(jié)果生成 全局特征 神經(jīng)網(wǎng)絡(luò) 網(wǎng)絡(luò)空間 循環(huán)單元 灰度圖 可執(zhí)行 脫殼 無殼 重構(gòu) 合理性 學(xué)習(xí) 樣本 更新 | ||
本發(fā)明公開了一種基于深度學(xué)習(xí)的惡意代碼同源判定系統(tǒng)及其判定方法,涉及信息安全技術(shù)領(lǐng)域。同源判定系統(tǒng)包括同源數(shù)據(jù)庫模塊、自動化脫殼模塊、可視化模塊、深度學(xué)習(xí)模塊和報告生成模塊。判定方法為,同源數(shù)據(jù)庫模塊自動從網(wǎng)絡(luò)空間收集惡意代碼,提取同源信息,更新數(shù)據(jù)庫;自動化脫殼模塊對惡意代碼樣本進行查殼和自動化脫殼,重構(gòu)可執(zhí)行的無殼樣本;可視化模塊生成表征惡意代碼全局特征的灰度圖序列;深度學(xué)習(xí)模塊由提取抽象特征的卷積神經(jīng)網(wǎng)絡(luò)和進行序列學(xué)習(xí)的門循環(huán)單元神經(jīng)網(wǎng)絡(luò)組成。報告生成模塊結(jié)合同源數(shù)據(jù)庫中信息和深度學(xué)習(xí)模塊的結(jié)果生成同源報告。本發(fā)明提高了系統(tǒng)的通用性、合理性和對隨機惡意代碼的同源判定能力。
技術(shù)領(lǐng)域
本發(fā)明涉及信息安全技術(shù)領(lǐng)域,尤其涉及一種基于深度學(xué)習(xí)的惡意代碼同源判定系統(tǒng)及其判定方法。
背景技術(shù)
惡意代碼同源判定(Malware Attribution)是指分析不同惡意代碼源自同一組織或個人。這些惡意代碼可能源自不同的家族,使用不同的編譯器,通過不同加殼技術(shù)保護。
基于傳統(tǒng)機器學(xué)習(xí)算法的惡意代碼同源判定技術(shù)經(jīng)過了下述發(fā)展歷程。
2004年,F(xiàn)rantzeskou G、Gritzalis S、MacDonell S G發(fā)文提出基于源代碼編程風(fēng)格分析的惡意代碼同源判定方法。這類方法直觀,特征分析容易,但缺乏通用性,因為大多數(shù)情況下,惡意代碼的源碼無法拿到。
2011年,Rosenblum N、Zhu X、Miller B P發(fā)文提出基于惡意代碼二進制文件分析的同源判定方法。這類方法的特點是通過逆向工程,盡可能從二進制文件中還原惡意代碼的特征,再利用這些特征結(jié)合機器學(xué)習(xí)算法進行同源判定。2012年官強、劉星基于惡意代碼的靜態(tài)特征提出的同源性自動判定技術(shù),2015年張永錚基于調(diào)用習(xí)慣提出的惡意代碼同源判定方法以及2015年何源浩提出的一種海量惡意樣本同源判定方法都屬于Rosenblum N方法的類別。這類方法的缺點是反匯編耗時復(fù)雜,反編譯難以實現(xiàn),人工特征提取無法自動化。
Rosenblum N方法的變種是基于惡意代碼運行時特征的惡意代碼同源判定技術(shù)。2015年,康排提出的基于行為特征相似性分析惡意代碼的同源性技術(shù)就屬于此類別。但基于運行時行為特征相似性的方法需要大量的對運行上下文環(huán)境進行建模,缺乏可行性和合理性。
基于深度學(xué)習(xí)算法的惡意代碼同源判定技術(shù)經(jīng)過了下述發(fā)展歷程。
2011年,Nataraj L、Karthikeyan S、Jacob G等發(fā)文提出基于惡意代碼可視化的同源判定方法,該方法的核心思想是將惡意代碼二進制文件直接轉(zhuǎn)換為灰度圖,再利用圖片分類的方法進行同源判定,該方法給海量惡意代碼的自動化同源判定提供了新思路。
近幾年,Nataraj L惡意代碼可視化的思想結(jié)合深度學(xué)習(xí)演化出好幾個版本的惡意代碼同源判定技術(shù)。但究其本質(zhì)都是用一張有限的灰度圖來標(biāo)識惡意代碼,然后利用成熟的卷積神經(jīng)網(wǎng)絡(luò)(Convolutional Neural Network,CNN)來進行同源判定。這類方法輸入層向量長度固定,難以消除不同編譯器帶來的噪聲;同時有限的灰度圖無法解決惡意代碼同源判定中的長期依賴問題(ong-term dependencies),即作者的編程風(fēng)格隨時間緩演化;惡意代碼本身具有空間和時間上的特征。最后該類方法也不能抵抗加殼技術(shù)。
綜上,現(xiàn)有方法中還沒有一種針對海量惡意代碼的、通用性強的、準(zhǔn)確率高的惡意代碼同源判定技術(shù)。
因此,本領(lǐng)域的技術(shù)人員致力于開發(fā)一種基于深度學(xué)習(xí)的惡意代碼同源判定系統(tǒng)及其判定方法,以期改良單一卷積神經(jīng)網(wǎng)絡(luò)在惡意代碼同源判定中存在的問題,同時得到一份全面的同源判定結(jié)果。
發(fā)明內(nèi)容
有鑒于現(xiàn)有技術(shù)的上述缺陷,本發(fā)明所要解決的技術(shù)問題是如何實現(xiàn)通用性強、自動化的惡意代碼同源判定系統(tǒng)。
該專利技術(shù)資料僅供研究查看技術(shù)是否侵權(quán)等信息,商用須獲得專利權(quán)人授權(quán)。該專利全部權(quán)利屬于上海交通大學(xué),未經(jīng)上海交通大學(xué)許可,擅自商用是侵權(quán)行為。如果您想購買此專利、獲得商業(yè)授權(quán)和技術(shù)合作,請聯(lián)系【客服】
本文鏈接:http://www.szxzyx.cn/pat/books/201810564657.9/2.html,轉(zhuǎn)載請聲明來源鉆瓜專利網(wǎng)。
- 學(xué)習(xí)設(shè)備、學(xué)習(xí)方法和程序
- 基于學(xué)習(xí)路徑圖的學(xué)習(xí)活動管理系統(tǒng)
- 人工智能英語學(xué)習(xí)平臺
- 一種多維度詞匯進階學(xué)習(xí)卡牌系統(tǒng)
- 一種移動互聯(lián)網(wǎng)自主學(xué)習(xí)平臺系統(tǒng)
- 一種智能學(xué)習(xí)推薦系統(tǒng)
- 一種能夠提升興趣程度的低齡化網(wǎng)絡(luò)學(xué)習(xí)平臺
- 一種基于憶阻器的巴甫洛夫雙模式切換的學(xué)習(xí)記憶電路
- 精準(zhǔn)學(xué)習(xí)數(shù)據(jù)挖掘
- 精準(zhǔn)授課數(shù)據(jù)挖掘
