一種基于深度神經網絡的可視化惡意軟件檢測裝置及方法，利用反匯編技術將可執行文件樣本轉化為bytes文件和asm文件，將自己收集并標記過的正常軟件數據集與著名的BIG 2015惡意軟件數據集進行合并得到了一個平衡實驗數據集；為了有效地提取出數據樣本中的高維度特征，使用結合數據增強的可視化技術進一步將樣本轉化為RGB三通道圖像。還提出了一種獨特的深度神經網絡分類架構，用于提升檢測方法的性能；本發明的方法在其他眾多神經網絡模型方法中脫穎而出；通過實驗驗證了RGB三通道圖像在惡意軟件檢測的性能方面相比較于灰度圖像的優越性，表明了數據增強技術有助于可視化惡意軟件檢測；為其他研究人員進行惡意軟件檢測實驗提供了新的思路與方法。

技術領域

本發明涉及網絡安全技術領域，具體為一種基于深度神經網絡的可視化惡意軟件檢測裝置及方法。

背景技術

互聯網技術的快速發展帶動了計算機軟件產業的飛速進步，各種類型的應用軟件相繼產生并逐漸影響了人們的生活。不幸的是，在這其中包含了大量有害的惡意軟件，嚴重危害到了用戶的隱私與安全，同時還可能會對計算機、服務器和云計算環境造成破壞。惡意軟件一般具有如下特點：自動運行，強制安裝，難以卸載，惡意收集用戶信息以及其他侵犯用戶合法權益的惡意行為。

時至今日，通過惡意軟件進行的非法攻擊已經對互聯網安全構成了嚴重的威脅，同時，惡意軟件的數量正在急劇增加，各種各樣的變體不斷出現，而且多種用于逃避安全檢測的高級技術也應運而生。這樣的環境使得傳統的惡意軟件檢測技術，如反病毒掃描器逐漸失效，結果導致越來越多的主機可能被暴露在網絡攻擊之下。《卡巴斯基2019年年度安全報告（Kaspersky Security Bulletin 2019）》顯示，19.80%的用戶計算機在過去一年中至少遭受過一次惡意軟件的攻擊。共有來自全球203個國家和地區的數百萬卡巴斯基產品用戶參與了這次關于惡意活動的全球信息調查，且所有統計數據都是從2018年11月至2019年10月收集的。由此可以看出，有效識別惡意軟件及其變體已經變得勢在必行。

現有的惡意軟件檢測方法主要分為兩類：靜態檢測方法和動態檢測方法。其中，靜態檢測方法會利用可執行文件的結構信息來確定一個軟件是否是惡意軟件，動態檢測方法則會分析程序運行狀態下的行為來判定一個軟件是否是惡意軟件。動態檢測方法盡管具有非常高的準確率，但需要對已經處于運行狀態的程序進程進行監控，耗時較長且效率較低，不利于對惡意軟件的及時發現與處理。而靜態檢測的方法雖然可以很好地彌補這一缺陷，但傳統的靜態檢測方法往往需要依賴高質量的殺毒引擎和數量巨大的病毒庫，并且很難檢測出未知的惡意軟件，同時，其對于加入了混淆技術的惡意軟件變體也難以準確判斷。

為了解決這一問題，一些學者提出了將可視化技術應用于惡意軟件檢測的方法，這些方法繼承了傳統的惡意軟件檢測技術的優點，同時更加高效。這種新技術的可行性在于大多數惡意軟件的變體往往是通過使用自動化技術或者重用一些重要模塊生成的，因此它們的二進制代碼以及匯編代碼具有一定的相似性。惡意軟件分類問題類似于圖像識別問題，它們都需要識別原始實例的變體。區別在于圖像識別基于圖像相似性，惡意軟件檢測基于軟件相似性，而惡意軟件可視化方法成功地將這兩者進行統一。因此，基于可視化技術進行惡意軟件分析的方法有其獨到之處，為惡意軟件的檢測提供了新的思路。近些年來，越來越多的人開始考慮應用圖像處理技術對惡意軟件進行分類檢測，例如二進制文件灰度圖，反匯編語言文件壓縮灰度圖和二進制文件熵圖，并且都取得了不錯的效果。

此外，近年來，隨著人工智能技術的快速發展，神經網絡的優越性逐漸顯現出來——它能夠幫助人們更快、更好地捕捉到樣本數據中的內在規律和表示層次，自動化地提取出更加高維度的特征，從而更為有效地對樣本數據進行分析。因此，有的學者開始應用圖像處理技術結合神經網絡的方法對惡意軟件進行分類檢測，并且通過改良現有的技術提出了一些高效的檢測模型與裝置。