鉴于恶意软件的威胁,国内外研究者提出了大量针对恶意软件的可视化检测方法。其中基于灰度图像和深度学习的恶意软件检测方法具有无需特征工程和检测率高的特点,在恶意软件检测领域得到了广泛关注。但现有研究表明,经过精心设计的对抗样本可欺骗基于灰度图像和深度学习的恶意软件检测方法。安全领域的攻防研究从不停歇,本文为提升该检测模型面对pe文件对抗样本的鲁棒性提出一种新的对抗样本生成方式,且通过分析其攻击机理研究对应防御方法。本文的主要工作包括:(1)可添加量不受限的字节码攻击方法。当前大部分字节码攻击方法所生成的对抗样本难以在不破坏原文件功能完整性的情况下大幅度降低该类检测方法对其的判别准确性。在分析可执行(Portable Executable,pe)文件的结构以及加载机制的基础上,发现了添加量不受限分散于各区段末尾且不会载入内存的“区段附加空间”,并基于该空间提出一种不破坏pe文件原有功能且可添加量不受限的字节码攻击方法(Bytecode Attack method with Unlimited Amount of Additions,BAUAA)。通过在pe文件的“区段附加空间”添加字节码来生成对抗样本,由于该空间具有可添加量不受限的特点可使得生成的对抗样本所转化的灰度图像在尺寸和纹理上发生变化,从而能够影响基于灰度图像和深度学习的恶意软件检测方法对其的判别准确性。并且在VX-heaven、Virusshare、360软件管家收集数据集上进行攻击性能评估,实验结果表明,基于灰度图像的恶意软件检测方法对BAUAA所生成的对抗样本判别准确率显著下降。(2)可防御BAUAA攻击的ASRIE防御模型。为增加基于灰度图像与深度学习的恶意软件检测模型的鲁棒性,本文通过分析BAUAA攻击机理,其通过修改区段头的方式制作分散于各区段末尾的添加区域。于是本文结合对抗样本检测与输入预处理的方式,提出一种可保留对正常样本完整信息并且通过关键信息提取对基于文件结构混淆的对抗样本进行降噪的两步预处理方法(Two-Step Preprocessing Method Based on Adversarial Sample Recognition and Key Information Extraction,ASRIE),并基于该方法提出ASRIE防御模型以此达到防御BAUAA对抗样本的目的。实验结果表明,ASRIE防御模型比原模型Model更鲁棒,对于BAUAA对抗样本其误分类率(Misclassification Rate,MR)维持在5%左右。
DLL(dynamic link library)注入作为目前开展隐蔽化渗透攻击的主流技术经过多年发展已形成多种类型,从最初的显式调用系统API创建远程线程逐步过渡到伪造系统DLL以及静态修改pe文件等方式.注入过程更复杂,方式更隐蔽,对检测技术也提出...
详细信息
DLL(dynamic link library)注入作为目前开展隐蔽化渗透攻击的主流技术经过多年发展已形成多种类型,从最初的显式调用系统API创建远程线程逐步过渡到伪造系统DLL以及静态修改pe文件等方式.注入过程更复杂,方式更隐蔽,对检测技术也提出了更大的挑战.主要对常见的10种DLL注入技术原理进行分析.同时对当前业界主流的6种检测技术进行介绍,归纳总结各类技术优缺点,并提出该领域未来的研究方向,为后续开展DLL注入检测技术研究提供参考.
暂无评论