【技术实现步骤摘要】
一种跨平台恶意软件对抗样本生成方法及系统
[0001]本专利技术涉及软件安全
,尤其涉及一种跨平台恶意软件对抗样本生成方法及系统。
技术介绍
[0002]随着互联网的发展,互联网自身的脆弱性导致网络空间中出现大量的恶意软件,而且被广发传播,近年来大多数重大网络安全事件,如僵尸网络、持久性高级威胁和勒索软件,都将恶意软件作为主要攻击组件并以此造成重大损害。机器学习技术在恶意软件的检测与分类上已有广泛应用,但它们依然面临着对抗样本的威胁,所以恶意软件检测模型的抗攻击性显得格外重要。对抗样本研究是一个热门领域,但在恶意软件对抗样本的攻防研究上较少。
[0003]在目前常见的深度学习恶意软件对抗样本生成方法中,有基于生成对抗网络模型来生成恶意软件对抗样本、基于递归神经网络生成基于顺序的恶意软件对抗样本。其中,生成对抗网络有一对生成器和判别器,它们通过不断博弈生成恶意软件对抗样本;递归神经网络在原始恶意软件的API序列中插入一些不相关的API,生成基于顺序的恶意软件对抗样本,对抗多种不同RNN结构的模拟反病毒引擎,上述当前方法都只能针对单一平台恶意软件进行分析,效率低。
[0004]此外,现有的深度学习恶意软件对抗样本生成方法在对恶意软件文本进行修改时,动作空间难以找到恶意文件的主要位置,导致在进行动作空间的修改时,一方面花费较大的时间寻找关键位置,另一方面多次修改会带来较大的扰动,为模型带来负担。
技术实现思路
[0005]本专利技术的目的在于克服现有技术中只能针对单一平台恶意软件进行分 ...
【技术保护点】
【技术特征摘要】
1.一种跨平台恶意软件对抗样本生成方法,其特征在于,所述方法包括:采集不同平台的多种类型恶意软件样本,并将不同类型的恶意软件样本映射为统一的二进制文件;对所述二进制文件进行特征提取,生成代表恶意软件的特征向量;根据所述特征向量,搭建智能体和Actor
‑
Critic网络,设计恶意软件扰动动作并封装到深度强化学习行动空间,得到恶意软件对抗样本生成模型;输入一个新的二进制文件对恶意软件对抗样本生成模型进行训练,深度强化学习环境根据当前二进制文件的特征获取当前状态并提供给所述智能体和Actor
‑
Critic网络;恶意软件对抗样本生成模型采用Actor
‑
Critic算法策略决策行动,输出一个新的恶意软件扰动动作,修改当前二进制文件;将修改后的二进制文件逆映射为原平台恶意软件样本对应的文件格式,得到跨平台恶意软件样本;对跨平台恶意软件样本进行功能完整性验证,并给出完整性验证奖励;并对跨平台恶意软件样本进行反病毒引擎检测,给出检测奖励;深度强化学习环境根据当前的状态和奖励情况,判断跨平台恶意软件样本是否恶意;若跨平台恶意软件样本为恶意,则继续采用Actor
‑
Critic算法策略决策行动修改;当跨平台恶意软件样本检测为良性时,得到最终的恶意软件对抗样本生成模型。2.根据权利要求1所述的一种跨平台恶意软件对抗样本生成方法,其特征在于,所述多种类型恶意软件样本包括Windows平台的PE可执行文件、Linux平台的ELF可执行文件和Android平台的apk文件。3.根据权利要求2所述的一种跨平台恶意软件对抗样本生成方法,其特征在于,所述将不同类型的恶意软件样本映射为统一的二进制文件,包括:通过对恶意软件样本原文件的解析,将原文件中头文件信息的元数据、字节信息的元数据和一般文件信息的元数据填充到二进制文件中;将Windows平台的PE可执行文件解析出PE文件信息并映射到二进制文件中;将Linux平台的ELF可执行文件解析出ELF文件信息并映射到二进制文件中;将Android平台的apk文件先进行反编译,提取出dex可执行文件,再将dex文件信息映射到二进制文件中。4.根据权利要求3所述的一种跨平台恶意软件对抗样本生成方法,其特征在于,所述二进制文件包含文件头和分区,采用字节的存储方式。5.根据权利要求1所述的一种跨平台恶意软件对抗样本生成方法,其特征在于,所述行动空间包括:字符串混淆:通过分析抽象语法树,找到字符串和函数调用,然后对字符串进行混淆,在适当的位置插入变量定义/赋值,并且对函数进行隐藏然后混淆代码;节表修改:对节表进行覆盖追加、导入追加、节表重命名、节表添加、节表追加的操作;加壳与脱壳:使用 UPX加壳程序打包整个文件,压缩级别是从1到9随机选择的;使用 UPX加壳...
【专利技术属性】
技术研发人员:郑德生,吴欣隆,周永,温冬,李政禹,刘建超,柯武平,张秀容,付锦涛,许锡振,
申请(专利权)人:西南石油大学,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。