【技术实现步骤摘要】
一种基于遗传对抗的恶意代码样本变体生成方法及系统
[0001]本专利技术涉及网络空间安全
,具体的说,是一种基于遗传对抗的恶意代码样本变体生成方法及系统
。
技术介绍
[0002]恶意代码检测中,需要使用样本变体生成技术产生足够多样且具有逃逸检测能力的样本数据集
。
现有的恶意代码变体生成技术中,引入遗传算法作为生成手段,形成基于遗传对抗性机器学习的恶意代码攻击
(Genetic Adversarial Machine learning Malware Attack
,
GAMMA)
的研究方向
。
现有研究中,由于过分依赖遗传的随机性且缺乏对世代的约束,呈现出3类问题:过分依赖随机的生成策略将在过程中产生大量结构已遭破坏的变体个体,占用负责保障功能性的后续检测资源,造成浪费;对变体个体的可运行能力评估不充分,仅依靠静态分析容易将不符合预期功能的个体误判为合格;缺少对非预期特征的约束,使变体个体容易包含异常数量的注入节数据或总体文件大小
。...
【技术保护点】
【技术特征摘要】
1.
一种基于遗传对抗的恶意代码样本变体生成方法及系统,其特征在于,包括:步骤
S1、
使用良性二进制程序文件
PE
文件片段和预定义操作相结合的方式产生作用于样本变体的修改操作集合,所述修改操作集合分为仅针对结构的修改和针对行为的修改;步骤
S2、
采用遗传迭代生成器实现遗传算法的选择和变异行为,每轮迭代中随机选取一种修改操作作用于当前世代,并产生下一世代的个体;遗传迭代生成器获取每代适应性计算结果,根据预置值使用适应性排序靠前的个体继续生成;步骤
S3、
使用图神经网络判别器学习原始样本家族语义相似性,并在适应性计算时用于计算当前变体与家族语义模式的相似性,作为遗传迭代的静态约束条件;步骤
S4、
使用长短时记忆递归神经网络学习原始样本家族的
API
调用模式,与当前变体计算
Jaccard
相似系数,用于判断当前变体与家族的
API
调用相似性程度,同时加入反病毒引擎检出率,在适应性计算中产生遗传迭代的动态约束条件;步骤
S5、
遗传迭代根据动态约束条件和静态约束条件调整世代,最终产生变体样本集合
。2.
根据权利要求1所述的一种基于遗传对抗的恶意代码样本变体生成方法及系统,其特征在于,所述针对结构的修改即修改仅对文件的结构产生影响,包括:尾部填充,在文件尾部追加无意义字节;
DOS
存根修改,在
Windows
平台
PE
文件的
DOS
存根部分替换字节;
DOS
头部修改,在长度限制内更改
DOS
头部中的值;
COFF
头部修改;可选头部修改;数据目录修改,在数据目录列表中随机选择一项数据进行修改;所述针对行为的修改即修改在改变文件结构的同时,对其执行行为也产生影响,包括:节区重命名,节区注入,注入内容为从良性
PE
文件中截取的片段;松弛空间填充,利用文件对齐在文件节数据区的松弛空间注入片段;代码空洞填充,对原整体逻辑未使用的字节片段进行随机修改和片段注入;异或混淆,对原文件整体进行异或加密,并增加引导程序在运行时释放原文件;加壳,对原文件进行加密和重编码混淆
。3.
根据权利要求1所述的一种基于遗传对抗的恶意代码样本变体生成方法及系统,其特征在于,所述图神...
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。