[发明专利]基于硬件追踪技术的恶意程序智能检测方法、装置及系统

说明书

本发明公开了基于硬件追踪技术的恶意程序智能检测方法、装置及系统，能够实现对恶意程序的动态检测，利用程序运行时的PT数据进行深度学习处理，该检测高效、准确。构建用于在虚拟机中运行的样本程序。在虚拟机中依次运行所有的样本程序，采用Intel PT机制捕获样本程序的执行信息，得到当前样本程序的PT数据包序列；保存安全虚拟机快照，每个样本程序执行前均恢复安全虚拟机快照。将样本程序对应的PT数据包序列进行像素化处理，转换为RGB图像；每个样本程序对应RGB图像及标签组成一个模型训练样本。采用所有样本程序对应的RGB图像训练样本，对预先构建的卷积神经网络模型进行训练得到恶意程序检测模型，用于恶意程序检测。

技术领域

本发明涉及软件安全技术领域，具体涉及一种基于硬件追踪技术的恶意程序智能检测方法、装置及系统。

背景技术

近年来，恶意程序增长迅速，给计算机和用户带来了严重的威胁。

恶意程序是指带有攻击意图所编写的一段程序，包括陷门、逻辑炸弹、特洛伊木马、蠕虫、病毒等多种形式，会对计算机或网络系统造成严重危害。恶意程序检测是一种能够识别出恶意程序的方法，恶意程序检测技术随着恶意程序的发展而不断发展。恶意程序检测的方法主要分为静态检测和动态检测。

静态检测技术使用待测程序的文件结构特征来检测恶意代码，不需要在主机系统上运行待测程序，只需要分析其结构及其指令即可，因此静态检测相对来说比较安全。目前最常见的静态检测技术是检测可移植可执行文件(PE files)，通过分析PE文件头中包含的信息，分析出待测程序用到的动态链接库，这些信息对于检测恶意程序是十分有效的。但是，一般情况下恶意程序样本的源代码并不容易获得，因此通常需要进行分解和反编译，并执行逆向工程以分析低级汇编代码，这个过程往往并不容易。静态检测还容易受到混淆代码的干扰。混淆代码是指恶意程序的编写人员通过编写一些代码，以掩藏其真实执行所需要的代码，其中最典型的是加壳技术。加壳是将可执行程序资源压缩，压缩后的程序可以直接运行，它可以防止程序被静态反编译，使得恶意程序变得难以分析。

动态检测是指在检测待测样本时运行该样本程序，在运行的过程中观察该样本的活动过程，并同时观察系统在运行该样本时发生的变化，可以观察到恶意程序的实际功能，同时可以时刻检测恶意程序对系统中的各个部分所做的更改。动态检测通常是在静态检测无法继续分析的情况下才进行的，因为静态检测不需要运行样本，所以静态检测只能针对样本程序本身进行分析，相比之下动态检测更准确、更全面。但是动态检测需要执行待测样本程序，可能会危害到系统环境，因此在使用动态检测时，通常会将待测程序放入一个虚拟环境中，从主机观察虚拟机系统中发生的变化，这样可以防止主机系统及网络被恶意程序破坏。现有的动态检测一般基于规则对样本行为进行打分，分值的高低代表恶意程度的高低，其智能检测程度不高。大部分动态检测方法需要拦截目标程序的API函数调用(或者系统调用)，给目标程序带来较大的性能开销。

面对快速发展的恶意程序，传统的机器学习方法已经难以胜任检测工作，而基于深度学习的检测方法得到了广泛的研究与应用。

目前深度学习方法在恶意程序检测领域得到了广泛的应用。由于深度学习方法，尤其是卷积神经网络在图像处理领域取得了十分优异的成果，因此在进行恶意程序检测时，通常会把恶意程序转化为图像或矩阵，然后再按照深度学习的步骤进行训练，最终获得一个训练好的模型。

将恶意程序转换为图像有很多方法，较常见的方法有以下两种：

(1)将样本程序转换为灰度图，这种方法通过静态分析目标二进制程序将其转换成灰度图。一个二进制程序的每个字节范围在00到FF之间，可以对应灰度图的0到255。通过设置长和宽，可将程序的字节序列转换为矩阵。其中，矩阵中每一项可对应灰度图中一个像素点。最后，可利用深度学习算法对灰度图进行分析，识别对应的恶意程序。