[发明专利]基于NIN神经网络的恶意代码变种检测方法

说明书

技术领域

本发明属于信息安全领域，尤其涉及一种基于NIN神经网络的恶意代码变种检测方法，属于恶意代码防护技术。

背景技术

随着互联网的蓬勃发展，恶意代码的规模呈指数增长，已经成为威胁互联网安全的关键因素之一。中国互联网络信息中心(CNNIC)发布了第39次《中国互联网络发展状况统计报告》显示，数据显示，2016年遭遇过网络安全事件的用户占比达到整体网民的7成，其中设备中病毒或木马是网民遇到的首要网络安全问题之一。截止2016年12月，由360安全中心监测到全国感染过病毒木马程序的PC数量为2.47亿台。截止2016年12月，由360安全中心检测到全国感染恶意程序的恶意程序的安卓智能手机共1.08亿台。同时，恶意代码变种的数目急剧增长，恶意代码作者花费更多的时间在轻微改动或打包用以进一步传播以及规避检测。因此，因而恶意代码变种检测具有重要的研究意义。

恶意代码变种大致可以分为2类：一类是重用基础模块实现恶意代码变种；另一类是恶意代码混淆技术。恶意代码混淆技术。按照其实现原理可分为2类：一类是干扰反汇编，使反汇编不能够得到正确的分析结果，从而阻碍进步机理分析；另一类是使用指令，这类混淆技术通常采用加壳、垃圾代码插入、等价指令替换、寄存器重新分配及代码变换等方式，改变恶意代码的语法特征，隐藏其内部调用逻辑关系。

而针对以上的两种情况，恶意代码检测算法主要分为2类：基于恶意代码二进制的静态特征的静态检测和基于恶意代码运行时行为的动态检测。基于恶意代码静态特征的静态检测方法通过分析其PE文件结构、二进制字节码、反汇编后的代码、反汇编后系统调用等因素并利用基于学习的分类算法区分良性软件与恶意代码。但是，静态分析严重依赖反汇编技术，各种混淆技术可以阻碍反汇编分析，导致静态分析难以得到正确结果。基于动态特征的恶意代码检测方法主要原理是将待检代码放入一个沙箱或蜜罐中，通过检测目标程序运行过程的恶意行为来判断是否为恶意代码。但当前的动态分析技术多是采用行为序列的曼哈顿距离或加权曼哈顿距离进行检测，恶意代码可以使用系统调用重排和加入垃圾调用等方式增大行为之间的距离，进而绕过以行为序列为特征的检测方案。

通常，在恶意代码检测技术分为静态分析和动态分析的基础上，主流的恶意代码检测技术可分为4类：基于主动学习的检测方法、基于特征码的检测方法、基于行为特征的检测方法和基于语义的特征检测方法。

基于主动学习的恶意代码检测方法，该方法基于最小估计风险的策略，增量式地主动学习未知样本，不断完善恶意代码检测分类器，仅需要少量已知样本即可得到较理想的恶意代码检测效果。但是也存在主动学习步长的选取在一定程度上影响恶意代码检测效果以及少数恶意代码漏检的问题。基于特征码的恶意代码检测方法根据提取恶意代码二进制文件的形态特征，通过模式匹配的方式检测恶意代码。但是，当恶意代码经过简单变形或者混淆后，基于特征码的检测方法将不能正确识别该恶意代码。

基于行为特征的恶意代码检测方法，该技术将恶意行为用一组自定义行为特征编码表示，通过对程序行为抽象后匹配特征编码，一定程度上能够降低代码混淆的影响，但该方法仍然不足以解决等价行为替换、系统调用重排等方法造成的漏报或误报问题。基于语义的特征检测从语义角度抽取特征，通过静态分析恶意代码，结合指令语义信息，使用三元操作符构造特征向量来进行检测，该方法可有效对抗指令重排、垃圾代码插入、寄存器重分配等混淆技术的干扰。但存在对行为混淆技术的抗干扰能力较弱，且其匹配判定过程比较复杂。

基于恶意代码同源性分析方法，本发明提出基于NIN神经网络的恶意代码变种检测方法，通过结合图像纹理分析技术与恶意代码变种检测技术，将恶意代码映射为无压缩灰阶图像，然后运用深度学习NIN神经网络进行训练，最终输出一个用于恶意代码变种检测的判别模型。

发明内容

本发明的主要目的在于提出了基于深度学习NIN神经网络的恶意代码变种检测方法，主要包括恶意代码映射为灰度图像、数据增强、面向灰阶图像检测的NIN神经网络设计。

为了实现使用深度学习NIN神经网络对恶意代码进行变种检测，首先，引入将恶意代码的二进制文件通过相应方法映射为无压缩的灰度图像。其次，为了使NIN神经网络能更好提取到恶意代码生成的灰度图像的特征以及解决图像数据规模过小的问题(避免过拟合)，提出使用数据增强方法提前处理灰度图片。最后，在现有数据的基础上，使用NIN神经网络模型进行训练。

本发明所提出的恶意代码变种检测方法包括以下流程：