[發(fā)明專利]基于硬件追蹤技術(shù)的惡意程序智能檢測方法、裝置及系統(tǒng)有效
| 申請?zhí)枺?/td> | 202110280246.9 | 申請日: | 2021-03-16 |
| 公開(公告)號: | CN112989344B | 公開(公告)日: | 2022-07-05 |
| 發(fā)明(設(shè)計)人: | 田東海;陳家祺;應(yīng)前進;郁裕磊;張博;劉文懋 | 申請(專利權(quán))人: | 北京理工大學;綠盟科技集團股份有限公司 |
| 主分類號: | G06F21/56 | 分類號: | G06F21/56;G06F9/455;G06V10/774;G06V10/82;G06K9/62;G06N3/04 |
| 代理公司: | 北京理工大學專利中心 11120 | 代理人: | 高會允 |
| 地址: | 100081 *** | 國省代碼: | 北京;11 |
| 權(quán)利要求書: | 查看更多 | 說明書: | 查看更多 |
| 摘要: | |||
| 搜索關(guān)鍵詞: | 基于 硬件 追蹤 技術(shù) 惡意程序 智能 檢測 方法 裝置 系統(tǒng) | ||
本發(fā)明公開了基于硬件追蹤技術(shù)的惡意程序智能檢測方法、裝置及系統(tǒng),能夠?qū)崿F(xiàn)對惡意程序的動態(tài)檢測,利用程序運行時的PT數(shù)據(jù)進行深度學習處理,該檢測高效、準確。構(gòu)建用于在虛擬機中運行的樣本程序。在虛擬機中依次運行所有的樣本程序,采用Intel PT機制捕獲樣本程序的執(zhí)行信息,得到當前樣本程序的PT數(shù)據(jù)包序列;保存安全虛擬機快照,每個樣本程序執(zhí)行前均恢復(fù)安全虛擬機快照。將樣本程序?qū)?yīng)的PT數(shù)據(jù)包序列進行像素化處理,轉(zhuǎn)換為RGB圖像;每個樣本程序?qū)?yīng)RGB圖像及標簽組成一個模型訓練樣本。采用所有樣本程序?qū)?yīng)的RGB圖像訓練樣本,對預(yù)先構(gòu)建的卷積神經(jīng)網(wǎng)絡(luò)模型進行訓練得到惡意程序檢測模型,用于惡意程序檢測。
技術(shù)領(lǐng)域
本發(fā)明涉及軟件安全技術(shù)領(lǐng)域,具體涉及一種基于硬件追蹤技術(shù)的惡意程序智能檢測方法、裝置及系統(tǒng)。
背景技術(shù)
近年來,惡意程序增長迅速,給計算機和用戶帶來了嚴重的威脅。
惡意程序是指帶有攻擊意圖所編寫的一段程序,包括陷門、邏輯炸彈、特洛伊木馬、蠕蟲、病毒等多種形式,會對計算機或網(wǎng)絡(luò)系統(tǒng)造成嚴重危害。惡意程序檢測是一種能夠識別出惡意程序的方法,惡意程序檢測技術(shù)隨著惡意程序的發(fā)展而不斷發(fā)展。惡意程序檢測的方法主要分為靜態(tài)檢測和動態(tài)檢測。
靜態(tài)檢測技術(shù)使用待測程序的文件結(jié)構(gòu)特征來檢測惡意代碼,不需要在主機系統(tǒng)上運行待測程序,只需要分析其結(jié)構(gòu)及其指令即可,因此靜態(tài)檢測相對來說比較安全。目前最常見的靜態(tài)檢測技術(shù)是檢測可移植可執(zhí)行文件(PE files),通過分析PE文件頭中包含的信息,分析出待測程序用到的動態(tài)鏈接庫,這些信息對于檢測惡意程序是十分有效的。但是,一般情況下惡意程序樣本的源代碼并不容易獲得,因此通常需要進行分解和反編譯,并執(zhí)行逆向工程以分析低級匯編代碼,這個過程往往并不容易。靜態(tài)檢測還容易受到混淆代碼的干擾。混淆代碼是指惡意程序的編寫人員通過編寫一些代碼,以掩藏其真實執(zhí)行所需要的代碼,其中最典型的是加殼技術(shù)。加殼是將可執(zhí)行程序資源壓縮,壓縮后的程序可以直接運行,它可以防止程序被靜態(tài)反編譯,使得惡意程序變得難以分析。
動態(tài)檢測是指在檢測待測樣本時運行該樣本程序,在運行的過程中觀察該樣本的活動過程,并同時觀察系統(tǒng)在運行該樣本時發(fā)生的變化,可以觀察到惡意程序的實際功能,同時可以時刻檢測惡意程序?qū)ο到y(tǒng)中的各個部分所做的更改。動態(tài)檢測通常是在靜態(tài)檢測無法繼續(xù)分析的情況下才進行的,因為靜態(tài)檢測不需要運行樣本,所以靜態(tài)檢測只能針對樣本程序本身進行分析,相比之下動態(tài)檢測更準確、更全面。但是動態(tài)檢測需要執(zhí)行待測樣本程序,可能會危害到系統(tǒng)環(huán)境,因此在使用動態(tài)檢測時,通常會將待測程序放入一個虛擬環(huán)境中,從主機觀察虛擬機系統(tǒng)中發(fā)生的變化,這樣可以防止主機系統(tǒng)及網(wǎng)絡(luò)被惡意程序破壞。現(xiàn)有的動態(tài)檢測一般基于規(guī)則對樣本行為進行打分,分值的高低代表惡意程度的高低,其智能檢測程度不高。大部分動態(tài)檢測方法需要攔截目標程序的API函數(shù)調(diào)用(或者系統(tǒng)調(diào)用),給目標程序帶來較大的性能開銷。
面對快速發(fā)展的惡意程序,傳統(tǒng)的機器學習方法已經(jīng)難以勝任檢測工作,而基于深度學習的檢測方法得到了廣泛的研究與應(yīng)用。
目前深度學習方法在惡意程序檢測領(lǐng)域得到了廣泛的應(yīng)用。由于深度學習方法,尤其是卷積神經(jīng)網(wǎng)絡(luò)在圖像處理領(lǐng)域取得了十分優(yōu)異的成果,因此在進行惡意程序檢測時,通常會把惡意程序轉(zhuǎn)化為圖像或矩陣,然后再按照深度學習的步驟進行訓練,最終獲得一個訓練好的模型。
將惡意程序轉(zhuǎn)換為圖像有很多方法,較常見的方法有以下兩種:
(1)將樣本程序轉(zhuǎn)換為灰度圖,這種方法通過靜態(tài)分析目標二進制程序?qū)⑵滢D(zhuǎn)換成灰度圖。一個二進制程序的每個字節(jié)范圍在00到FF之間,可以對應(yīng)灰度圖的0到255。通過設(shè)置長和寬,可將程序的字節(jié)序列轉(zhuǎn)換為矩陣。其中,矩陣中每一項可對應(yīng)灰度圖中一個像素點。最后,可利用深度學習算法對灰度圖進行分析,識別對應(yīng)的惡意程序。
該專利技術(shù)資料僅供研究查看技術(shù)是否侵權(quán)等信息,商用須獲得專利權(quán)人授權(quán)。該專利全部權(quán)利屬于北京理工大學;綠盟科技集團股份有限公司,未經(jīng)北京理工大學;綠盟科技集團股份有限公司許可,擅自商用是侵權(quán)行為。如果您想購買此專利、獲得商業(yè)授權(quán)和技術(shù)合作,請聯(lián)系【客服】
本文鏈接:http://www.szxzyx.cn/pat/books/202110280246.9/2.html,轉(zhuǎn)載請聲明來源鉆瓜專利網(wǎng)。
