[发明专利]一种基于深度学习的恶意软件行为检测与分类系统

说明书

本发明公开了一种基于深度学习的恶意软件行为检测与分类系统，基于沙箱捕获的恶意软件动态行为数据，包含API调用序列特征工程和模型构建两大核心组成部分，其中特征工程部分摆脱了以往研究中只注重属性特征而忽视结构特征以及主要基于N‑gram采集属性特征进而缺乏语义理解能力的缺陷，模型构建部分利用集成学习思想构建综合检测与分类模型，子模型分别基于有监督学习、无监督学习和强化学习进行选择和设计，以实现对常规恶意软件高精确率检测和对未知APT恶意软件较高精确率检测；采用对抗训练的方法，将对抗攻击方法生成的对抗样本加入模型数据集，提高检测与分类模型抵御对抗样本攻击和鲁棒性的能力。

技术领域

本发明涉及信息安全技术领域，具体涉及一种基于深度学习的恶意软件行为检测与分类系统。

背景技术

恶意软件是黑灰产、境内外敌对势力实施网络攻击，进而实现非法牟利乃至颠覆政权等犯罪目的的主要攻击手段，给国家网络空间安全、经济安全和政治安全带来严重威胁。随着攻防对抗不断演化，越来越多的恶意软件通过复杂的加壳、混淆等技术手段，使得基于脱壳和反编译的静态分析、基于正则表达匹配的动态分析等传统方法束手无策，因而恶意软件相关检测与分类技术一直以来既是重点也是难点。

恶意软件检测方法主要分为静态分析和动态分析。然而，随着攻防对抗不断演化，越来越多的恶意软件通过复杂的加壳手段使得研究人员无法直接进行脱壳或反编译研究，需要基于沙箱捕获的恶意软件动态行为展开研究。与此同时，随着机器学习算法的快速发展，学术界、工业界开始探索将机器学习算法应用于恶意软件检测和分类之中，以实现恶意软件检测的自动化和智能化。

基于机器学习的恶意软件检测流程通常被分为软件行为采集、数据清洗和预处理、特征工程、模型构建和验证评估等步骤，其中提取恶意软件特征的特征工程以及恶意软件检测模型构建是最为核心的两个步骤，也成为了国内外相关研究工作的重点和难点。

在恶意软件特征提取与选择方面，2014年，韩晓光等人的《基于行为的恶意代码检测方法研究》中基于纹理分割算法，利用灰阶共生矩阵算法，提取恶意代码转换所得灰度图像的分块纹理特征，并在此基础上完成了恶意软件检测模型的构造。2015年杨晔在《基于行为的恶意代码检测方法研究》中提出将清洗过的API序列作为word2vec模型的输入，并将获得的词向量按序排列为矩阵，最终利用深度卷积神经网络完成特征的提取。2018年，孟曦在文献《基于深度学习的恶意代码分类与聚类技术研究》中提出基于word2vec的恶意代码基因向量化学习模型，从反汇编代码中提取代码基因序列，实现了恶意代码基因的特征提取。同年，倪铭在《基于数据挖掘技术的恶意软件检测关键问题研究》中采用one-hot编码对Windows API的N-gram序列进行特征表示，并作为CNN的输入，通过卷积和池化提取样本的隐藏特征。2019年，金逸灵的《基于卷积神经网络的容器中恶意软件检测》等将可恶意软件静态执行代码段转换为灰度图像，通过CNN提取多维局部特征。

在恶意软件特征选择上，国内众多专家学者也开展了大量的研究工作，取得了丰硕的研究成果。2018年，师炜在《基于特征融合的恶意代码多任务分类技术和恶意代码威胁性评估方法研究》中提出利用逐步回归思想的特征选择方法。该方法先选择初始特征子集，逐步添加新特征并每添加一个新特征时进行一次分类效果评估。同年，邹晓霞在《基于系统调用分析的恶意进程检测技术研究》中从系统调用记录中提取到1亿多个3-gram特征，使用递归特征消除(RFE)和LR检查器进行特征选择。