本文公開(kāi)的技術(shù)提供用于將第一控制流分組的第一數(shù)據(jù)轉(zhuǎn)換為第一像素，其中第一數(shù)據(jù)指示在應(yīng)用的已知執(zhí)行期間采用的一個(gè)或多個(gè)分支，使用第一像素和與從已知執(zhí)行生成的一個(gè)或多個(gè)其他控制流分組相關(guān)聯(lián)的一個(gè)或多個(gè)其他像素來(lái)生成像素陣列，將像素陣列轉(zhuǎn)換為一系列圖像，并使用具有輸入的機(jī)器學(xué)習(xí)算法來(lái)訓(xùn)練行為模型以識(shí)別應(yīng)用的未知執(zhí)行中的惡意行為。輸入包括一系列圖像中的一個(gè)或多個(gè)圖像以及分配給一個(gè)或多個(gè)圖像的相應(yīng)的圖像標(biāo)簽。更具體的實(shí)施例包括從表示已知執(zhí)行的至少一部分的執(zhí)行軌跡中提取第一控制流分組。

相關(guān)申請(qǐng)的交叉引用

本申請(qǐng)根據(jù)35 U.S.C.§119(e)要求于2017年12月28日提交的發(fā)明人為L(zhǎng)i Chen等人的題為“DEEP LEARNING ON PROCESSOR TRACE DATA FOR EXPLOIT DETECTION”的美國(guó)臨時(shí)申請(qǐng)序號(hào)62/611,312的優(yōu)先權(quán)。先前臨時(shí)申請(qǐng)的公開(kāi)內(nèi)容被認(rèn)為是本申請(qǐng)的公開(kāi)內(nèi)容的一部分，并且其全部?jī)?nèi)容通過(guò)引用方式并入本申請(qǐng)的公開(kāi)內(nèi)容中。

技術(shù)領(lǐng)域

本公開(kāi)一般涉及計(jì)算機(jī)系統(tǒng)領(lǐng)域，并且更具體地，涉及對(duì)執(zhí)行軌跡數(shù)據(jù)使用深度學(xué)習(xí)以用于漏洞檢測(cè)的計(jì)算機(jī)安全性。

背景技術(shù)

惡意軟件在過(guò)去幾年中發(fā)生了顯著變化，這可以從攻擊的量大和復(fù)雜性中得到證明。一些安全威脅報(bào)告表明，每天有超過(guò)一百萬(wàn)個(gè)惡意軟件變種沖擊因特網(wǎng)。傳統(tǒng)的基于簽名的惡意軟件檢測(cè)技術(shù)可能對(duì)某些類型的攻擊技術(shù)無(wú)效，所述攻擊技術(shù)例如，用于自動(dòng)編寫(xiě)新惡意軟件變體和零日漏洞的代碼混淆和多態(tài)性。此外，基于代碼重用的高級(jí)控制流攻擊是當(dāng)今主要的存儲(chǔ)器漏洞類型之一，并且傳統(tǒng)的惡意軟件檢測(cè)技術(shù)無(wú)法有效緩解這種攻擊。因此，需要更有效的技術(shù)來(lái)對(duì)惡意軟件進(jìn)行自動(dòng)檢測(cè)和分類。

附圖說(shuō)明

為了更完整地理解本公開(kāi)及其特征和優(yōu)點(diǎn)，結(jié)合附圖參考以下描述，其中相同的附圖標(biāo)記表示相同的部分，其中：

圖1是示出了根據(jù)本公開(kāi)的至少一個(gè)實(shí)施例的深度學(xué)習(xí)和惡意軟件檢測(cè)系統(tǒng)的示例組件的簡(jiǎn)化框圖。

圖2是示出了根據(jù)至少一個(gè)實(shí)施例的深度學(xué)習(xí)和惡意軟件檢測(cè)系統(tǒng)的示例流水線的簡(jiǎn)化框圖。

圖3是示出了根據(jù)至少一個(gè)實(shí)施例的與深度學(xué)習(xí)和惡意軟件檢測(cè)系統(tǒng)的組件相關(guān)聯(lián)的示例性訓(xùn)練和檢測(cè)流程的簡(jiǎn)化框圖。

圖4A是根據(jù)至少一個(gè)實(shí)施例的短采取未采用(TNT)控制流分組的示例格式的圖示。

圖4B是根據(jù)至少一個(gè)實(shí)施例的長(zhǎng)采取未采用(TNT)控制流分組的示例格式的圖示。

圖5是根據(jù)至少一個(gè)實(shí)施例的目標(biāo)互聯(lián)網(wǎng)協(xié)議(TIP)控制流分組的示例格式的圖示。

圖6是示出了根據(jù)至少一個(gè)實(shí)施例的與深度學(xué)習(xí)和惡意軟件檢測(cè)系統(tǒng)相關(guān)聯(lián)的示例操作的簡(jiǎn)化的交互圖。

圖7是根據(jù)至少一個(gè)實(shí)施例的由深度學(xué)習(xí)和惡意軟件檢測(cè)系統(tǒng)生成的圖像的時(shí)間序列的示例的代表性圖示。

圖8示出了根據(jù)至少一個(gè)實(shí)施例的深度神經(jīng)網(wǎng)絡(luò)系統(tǒng)的示例。

圖9是示出了根據(jù)至少一個(gè)實(shí)施例的與深度學(xué)習(xí)和惡意軟件檢測(cè)系統(tǒng)相關(guān)聯(lián)的示例操作的簡(jiǎn)化流程圖。

圖10是示出了根據(jù)至少一個(gè)實(shí)施例的與深度學(xué)習(xí)和惡意軟件檢測(cè)系統(tǒng)相關(guān)聯(lián)的示例操作的簡(jiǎn)化流程圖。

圖11是示出了根據(jù)至少一個(gè)實(shí)施例的與深度學(xué)習(xí)和惡意軟件檢測(cè)系統(tǒng)相關(guān)聯(lián)的示例操作的簡(jiǎn)化流程圖。

圖12是示出了根據(jù)至少一個(gè)實(shí)施例的與深度學(xué)習(xí)和惡意軟件檢測(cè)系統(tǒng)相關(guān)聯(lián)的示例操作的簡(jiǎn)化流程圖。

圖13是示出了根據(jù)至少一個(gè)實(shí)施例的與深度學(xué)習(xí)和惡意軟件檢測(cè)系統(tǒng)相關(guān)聯(lián)的示例操作的簡(jiǎn)化流程圖。