[发明专利]一种基于机器学习的恶意PNG图像识别方法

说明书

本发明提出了基于机器学习的恶意PNG图像识别方法，属于网络空间安全技术领域，首先建立PNG图像特征库和数字隐写识别模型；在服务端对上传图片文件请求进行审查，依据PNG图像特征库进行特征匹配识别，初步识别PNG图片是否合法，若合法则调用数字隐写识别模型挖掘PNG图片是否存在信息隐藏，若不合法或存在信息隐藏则拒绝上传；在客户端监测网页传输过程中的PNG图片格式文件数据，依据PNG图像特征库进行特征匹配识别，若合法则调用数字隐写识别模型挖掘PNG图片是否存在信息隐藏，若不合法或存在信息隐藏则禁止访问该图片资源。本发明可以在服务端禁止不合法图片的上传，在客户端禁止对不合法图片的访问，加强了网络安全。

技术领域

本发明属于网络空间安全技术领域，尤其涉及一种基于机器学习的恶意PNG图像识别方法。

背景技术

随着网络的迅速普及应用，数字化技术的快速发展，网络空间安全问题，逐渐走入人们的视野，为越来越多的人们所重视。

一方面，浏览器作为人们获取互联网信息的主要媒介，其安全问题不容轻视。近年来，由于JavaScript审查不严格等原因，越来越多的网页被植入了形形色色的网页广告，它们轻则诱导用户点击访问恶意链接，重则通过将恶意软件、恶意动态链接库文件(DynamicLink Libraries,DLL)附加到网页图片的方式，绕过计算机和网络防御系统，直接对用户个人电脑和移动设备造成感染病毒、信息泄露等恶劣影响。

另一方面，网站被非法控制、大量数据泄露事件层出不穷，而作为其中利用频繁的一项攻击技术---通过文件上传功能上传恶意代码，如一句话木马，进而控制服务器，其危害不容小觑。针对上传恶意代码的检测和绕过是博弈双方从未停止的防守和攻击。近年来，攻击者开始使用上传“合法”的PNG图片来躲避入侵检测系统的检测，而恶意代码则通过编码、LSB隐写等数字隐写技术隐藏在伪造的“合法”PNG图片中，一旦成功上传，攻击者就能通过访问解析精心构造的隐藏在PNG图片中的攻击载荷的方式，远程控制网站服务器，从而进行更具有破坏性的尝试和操作行为，如窃取网站用户隐私数据、远程控制网站服务器作为傀儡机发动对其它服务器的拒绝访问攻击(DoS)等。

归根结底，无论是在诸如浏览器之类的客户端，还是在部署网站服务器的服务端，一个亟待解决的问题就是对网页中的图片进行审核以防止隐藏的恶意行为。PNG格式的图片，以其体积小、无损压缩、优化的网络传输显示等特点被广泛使用在网页中，PNG图片也是良好的信息隐藏载体，应该是被重点研究的对象。

如果服务端在处理用户上传图片文件请求时，能够高效且准确的识别出合法的图片上传请求，并分析图片中是否使用了数字隐写技术而包含了恶意攻击载荷；客户端能够在访问网页资源时，对网页中的图片资源进行过滤，对疑似包含恶意程序文件的图片资源禁止自行下载，那么就能从源头上遏制该类恶意行为的发生。

为此，我们引入机器学习技术和数字隐写技术来解决这一问题。

机器学习技术的应用遍及人工智能的各个领域，是人工智能的核心技术。目前，机器学习技术以其自主学习、高效学习、精确学习的特性，也开始在网络空间安全领域发挥着巨大的作用。

机器学习的实现与三个部分有着不可分开的关系：环境、学习部分和执行部分。环境向系统的学习部分提供某些信息，学习部分利用这些信息修改知识库，以增进系统执行部分完成任务的效能，执行部分根据知识库完成任务，同时把获得的信息反馈给学习部分。

下面以识别PNG图像为例，详细描述影响机器学习系统设计的三个因素：

环境向系统提供的信息：知识库里存放的是指导执行部分动作的一般原则，但环境向系统提供的信息却是各种各样的。如果信息的质量比较高，与一般原则的差别比较小，则学习部分比较容易处理。如果向系统提供的是杂乱无章的指导执行具体动作的具体信息，则系统需要在获得足够数据之后，删除不必要的细节，进行总结推广，形成指导动作的一般原则，放入知识库，这样学习部分的任务就比较繁重，设计起来也较为困难。