本發(fā)明屬于網(wǎng)絡(luò)安全技術(shù)領(lǐng)域，公開一種基于生成對抗網(wǎng)絡(luò)的惡意軟件檢測器抗概念漂移方法，包括：從沙箱提取惡意代碼的API調(diào)用序列，并通過word2vec將API調(diào)用序列轉(zhuǎn)換為特征向量；基于所述特征向量訓(xùn)練輔助分類生成對抗網(wǎng)絡(luò)；利用訓(xùn)練好的輔助分類生成對抗網(wǎng)絡(luò)生成惡意代碼API調(diào)用序列，同時加入實(shí)際的惡意代碼API調(diào)用序列，通過GRU網(wǎng)絡(luò)進(jìn)行訓(xùn)練得出惡意軟件檢測器；將惡意軟件檢測器的檢測結(jié)果作為訓(xùn)練集，重新訓(xùn)練輔助分類生成對抗網(wǎng)絡(luò)，重新訓(xùn)練惡意軟件檢測器，以提高惡意軟件檢測器的抗概念漂移性能。本發(fā)明可有效抵抗檢測器的老化。

技術(shù)領(lǐng)域

本發(fā)明屬于網(wǎng)絡(luò)安全技術(shù)領(lǐng)域，尤其涉及一種基于生成對抗網(wǎng)絡(luò)的惡意軟件檢測器抗概念漂移方法。

背景技術(shù)

網(wǎng)絡(luò)環(huán)境日趨復(fù)雜，各種攻擊手段層出不窮，惡意軟件作為網(wǎng)絡(luò)攻擊的重要載體，具有破壞、竊取、勒索等多種功能。據(jù)卡巴斯基2019年度報告稱(https://securelist.com/ksb-2019/“Kaspersky?Security?Bulletin?2019”)，2019年度檢測到新的惡意軟件數(shù)量達(dá)到約兩千四百萬，為全世界網(wǎng)絡(luò)安全帶來了嚴(yán)重威脅。因此，能夠有效檢測惡意軟件具有重要意義。

現(xiàn)階段常規(guī)的防御惡意軟件的手段，通常是使用商業(yè)反病毒軟件。商業(yè)反病毒軟件使用基于簽名的方法或者基于啟發(fā)式的方法，其優(yōu)點(diǎn)是精度高，速度快。但是遇到新的惡意軟件則無法有效檢測，并且簽名庫需要線上實(shí)時更新，在一些應(yīng)用場景下無法及時且有效防御惡意軟件。檢測惡意軟件有動態(tài)檢測與靜態(tài)檢測兩大類方法，這些方法都能夠在檢測性能上獲得良好的檢測率，同時也有研究者考慮到了一些變種惡意軟件和一些難以檢測類型的惡意軟件。但是，大多數(shù)的研究沒有關(guān)注隨時間產(chǎn)生的樣本概念漂移的問題，當(dāng)檢測器使用新收集到的惡意軟件時，由于樣本概念漂移造成模型檢測結(jié)果產(chǎn)生偏差。

近來，有越來越多的研究者開始關(guān)注由于新出現(xiàn)的惡意軟件造成樣本集產(chǎn)生偏差的問題。樣本的偏差造成檢測器模型老化，這在機(jī)器學(xué)習(xí)中是一個不可避免的問題，大多數(shù)惡意軟件研究目的是提升檢測惡意軟件的精度，和惡意軟件本身出現(xiàn)的逃逸問題檢測。盡管惡意軟件技術(shù)不斷改進(jìn)，同一類型或同一家族中新的惡意軟件層出不窮(樣本概念漂移)，這本身是一種逃逸問題，大多數(shù)的研究對此應(yīng)對不足。一種基于API調(diào)用、使用馬爾科夫鏈的檢測方法(Onwuzurike?L,Mariconti?E,Andriotis?P,et?al.MaMaDroid:Detectingandroid?malware?by?building?markov?chains?of?behavioral?models(extendedversion)[J].ACM?Transactions?on?Privacy?and?Security(TOPS),2019,22(2):14.)能夠長期有效的對抗樣本的漂移問題，但是該方法基于靜態(tài)檢測，遇到加密的惡意樣本則會導(dǎo)致該類型檢測性能的下降。而眾多惡意軟件對抗樣本問題的研究，絕大多數(shù)的關(guān)注點(diǎn)在防御對抗檢測器攻擊，而目前Grosse等人(Grosse?K,Papernot?N,Manoharan?P,etal.Adversarial?examples?for?malware?detection[C]//European?Symposium?onResearch?in?Computer?Security.Springer,Cham,2017:62-79.)提出使用蒸餾法緩解對抗樣本的問題，在一定程度上能緩解概念漂移造成的檢測率下降。以上方法在對抗樣本漂移上已經(jīng)提出了較為有效的解決方法，但是這些研究更偏重于樣本空間的偏差帶來的影響，而未考慮時間偏差所造成的影響。

發(fā)明內(nèi)容

本發(fā)明針對現(xiàn)有的對抗樣本漂移方法中存在的未考慮時間偏差所造成的影響，從而不能較好解決惡意樣本隨時間變化產(chǎn)生的概念漂移的問題，提出一種基于生成對抗網(wǎng)絡(luò)的惡意軟件檢測器抗概念漂移方法。

為了實(shí)現(xiàn)上述目的，本發(fā)明采用以下技術(shù)方案：

一種基于生成對抗網(wǎng)絡(luò)的惡意軟件檢測器抗概念漂移方法，包括：