一种基于RGB图像的内存隐遁攻击检测方法技术

本发明专利技术涉及一种基于RGB图像的内存隐遁攻击检测方法，主要包括以下步骤：获取并分析内存隐遁攻击样本的内存镜像数据；进行内存镜像数据冗余预处理；将预处理后的内存镜像一维数据转换为二维灰度图像数据；将二维灰度图像转换为RGB彩色图像；对生成的小样本内存隐遁攻击RGB彩色图像进行图像增强，以扩展训练图像数据集，确保数据集的平衡性；基于所生成的RGB图像数据集，利用深度卷积神经网络实施检测识别验证。本发明专利技术可用于内存隐遁攻击检测识别。本发明专利技术可用于内存隐遁攻击检测识别。本发明专利技术可用于内存隐遁攻击检测识别。

【技术实现步骤摘要】
一种基于RGB图像的内存隐遁攻击检测方法
一、

[0001]本专利技术涉及内存攻击防御
，特别是涉及一种基于RGB图像的内存隐遁攻击检测方法。
二、
技术介绍

[0002]随着网络攻击面的扩大化，攻击者的组织化、规模化，攻击技术的智能化、武器化，攻击不断加剧，威胁日新月异，防御直面严峻考验。据美国Sophos
[1]研究报告称：2020年全球网络威胁激增400％，迎来网络安全至暗时刻，新兴威胁形势异常严峻。
[0003]在各类新兴高级威胁技术中，内存隐遁攻击以其独具的“隐匿性与持久性”而被广泛使用。据 CrowdStrike
[2]研究统计显示：10个成功突防的攻击向量中有8个使用了内存隐遁攻击技术。所谓内存隐遁攻击
[3]，是指在攻击链的某些阶段，通过漏洞利用、进程注入、脚本借用、工具使用等方式避免将攻击载荷文件直接复制到目标系统磁盘空间，从而规避安全检测的一种新兴高级隐遁威胁。
[0004]目前，内存隐遁攻击已成为网络高级威胁的关键共性技术
[4]，被广泛应用于勒索病毒、挖矿病毒、RAT 远控、僵尸网络等恶意软件以及各类具有国家背景的APT(Advanced Persistent Threat，高级持续性威胁)攻击活动，用于获取系统访问权限、窃取凭证、维持持久性及转移数据，安全威胁极大。由于内存隐遁攻击不触及磁盘文件而仅存在于内存中，或者利用合法进程或工具，使得传统的基于文件特征码和基于进程行为的安全检测方法难以获取攻击样本数据，导致扫描与监控失效、不能有效防御内存隐遁攻击。
[0005]为有效防御恶意代码攻击，已有研究者提出了基于人工智能的检测方法。2011年Nataraj等
[5]通过将恶意代码二进制文件转换为灰度图，并发现同族恶意代码图像具有相似的纹理特征，通过机器学习方法比较恶意代码灰度图像的Gist纹理特征，实现恶意代码分类。2015年Han等
[6]提出了熵图概念，并通过比较恶意代码图像的熵值对恶意代码进行分类。尽管这些方法开创了利用恶意代码图像来进行智能检测识别的研究新思路，但仍存在如下问题：(1)将恶意代码二进制数据转换为灰度图而非包含更多细节信息的RGB 彩色图，导致用于检测识别的特征信息不完整；(2)仅以局部熵图进行同族恶意代码相似性检测识别，没有考虑全局信息熵，导致图像稳定性和容错性欠佳，恶意代码检测鲁棒性不好；(3)小样本攻击图像数据将影响训练数据集的类型平衡性，导致模型出现过拟合问题；(4)没有针对内存隐遁攻击样本特征进行有效攻击数据内存取证分析与提取，不能有效应用于内存隐遁攻击检测领域。上述因素影响了基于恶意代码图像的智能检测方法在内存隐遁攻击检测中准确性与有效性。
三、
技术实现思路

[0006]针对当前安全防御方法应对内存隐遁攻击不力的安全困境，本专利技术所要解决的技术问题是提供一种基于RGB图像的内存隐遁攻击检测方法，可推广至恶意隐遁攻击检测及分类。尽管内存隐遁攻击全程无文件落地，但由冯
·
诺依曼计算体系可知，所有运行于CPU
中的进程与数据都需通过内存周转与存储，内存隐遁攻击也不例外。因此，内存是所有运行进程和数据必经之地，守着内存并进行内存取证就像扼住所有进行和数据的咽喉。通过对内存隐遁攻击样本进行内存取证转储，并将转储出的二进制数据转换为包含丰富信息的RGB图像，同时对小样本数据进行图像增强以保持训练数据集的类型平衡性，再利用深度卷积神经网络进行图像识别，将为内存隐遁攻击检测提供有力支持。
[0007]本专利技术解决其技术问题所采用的技术方案是：提供一种基于RGB图像的内存隐遁攻击检测方法，包括以下步骤：
[0008](1)获取并分析内存隐遁攻击样本的内存镜像数据；
[0009](2)进行内存镜像数据冗余预处理；
[0010](3)将预处理后的内存镜像一维数据转换为二维图像数据；
[0011](4)将二维灰度图像转换为RGB彩色图像；
[0012](5)对生成的小样本内存隐遁攻击RGB彩色图像进行图像增强，以扩展训练数据集，保持数据集的平衡性；
[0013](6)基于所生成的RGB图像数据集，利用深度卷积神经网络实施检测验证。
[0014]所述步骤(1)具体为：从VirusTotal下载内存隐遁攻击样本后，运行下载的内存隐遁攻击样本，并借助DumpIt工具获取内存镜像数据，利用Volatility(malfind模块)分析并定位内存隐遁攻击的内存镜像数据。
[0015]所述步骤(2)具体为：在获取的内存隐遁攻击内存数据中，删除连续的冗余字节(NULL字节或 0xFF字节)。
[0016]所述步骤(3)具体为：采用分段方式将一维数据转换为二维数据：假设一维数据长度为L，将其转换为宽度和高度均为的二维图像数据。
[0017]所述步骤(4)具体为：将二维图像数据的每个二进制字节(8位)转换为对应的十进制数(0
‑
255)，并将其作为图像的R通道，将整个图像的局部熵值作为G通道，将每个二进制字节的信息熵值作为B 通道，并依此构建RGB彩色图像。
[0018]所述步骤(5)具体为：对所获得的小样本内存隐遁攻击RGB彩色图像进行图像几何变换(图像翻转、图像平移、图像缩放和图像旋转)，以扩增训练图像数据集，保持训练数据集的平衡性。
[0019](二)技术方案
[0020]本专利技术的技术方案如图1所示(请见说明书附图)。
[0021](三)有益效果
[0022]由于采用了上述的技术方案，本专利技术与现有技术相比较，具有以下的优点和积极效果：
[0023](1)在图像视觉分析方面，本专利技术能生成内存隐遁攻击内存镜像数据RGB彩色图像，可从视觉感知上使同类的内存隐遁攻击样本在图像上具有相似性，不同类的内存隐遁攻击样本则具有明显的不同。
[0024](2)在RGB彩色图像分析方面，能通过字节的十进制灰度值(R通道)反映功能模块的实际位置，通过信息熵(B通道)反映出所采用的功能模块复杂程度，通过图像局部熵(G通道)反映出相似功能模块的位置变化程度，为检测内存隐遁攻击样本提供更丰富的特征支持。
[0025](3)在攻击样本分析方面，本专利技术通过RGB彩色图像使安全分析人员利用视觉分析内存隐遁攻击，极大地降低了分析难度，提升了分析便捷度。
[0026](4)在攻击数据获取方面，本专利技术通过内存取证获取内存隐遁攻击样本的内存镜像数据，可有效解决内存隐遁攻击样本数据难以获取的问题，使攻击样本数据获取方式多元化。
[0027](5)在攻击数据集扩展方面，本专利技术利用图像增强方法扩展小样本内存隐遁攻击数据集，既可极大丰富攻击样本数据集，也可保持训练数据集的平衡性。
[0028](6)在检测识别方面，本专利技术构建攻击样本RGB彩色图像并利用深度卷积神经网络提取图像特征作为分类识别依据，充分利用像素点位置、信息熵和局部熵等图像三维结构特征，可使分类特征更具体、检测识别更本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种基于RGB图像的内存隐遁攻击检测方法，其特征在于，包括以下步骤：(1)获取并分析内存隐遁攻击样本的内存镜像数据；(2)进行内存镜像数据冗余预处理；(3)将预处理后的内存镜像一维数据转换为二维图像数据；(4)将二维灰度图像转换为RGB彩色图像；(5)对生成的小样本内存隐遁攻击RGB彩色图像进行图像增强，以扩展训练数据集，保持数据集的平衡性；(6)基于所生成的RGB图像数据集，利用深度卷积神经网络实施检测验证。2.根据权利要求1所述的基于RGB图像的内存隐遁攻击检测方法，其特征在于，所述步骤(3)具体为：将内存取证获得的长度为L的一维数据，转换成宽度和高度均为的...

【专利技术属性】
技术研发人员：张瑜，石元泉，孙葭，
申请(专利权)人：石元泉孙葭，
类型：发明
国别省市：