基于行為關(guān)系網(wǎng)絡(luò)的惡意代碼檢測(cè)方法

劉建松, 張 磊, 方 勇

(四川大學(xué)網(wǎng)絡(luò)空間安全學(xué)院, 成都 610065)

惡意代碼是一種能夠自我激活、可自動(dòng)執(zhí)行,并對(duì)互聯(lián)網(wǎng)用戶(hù)產(chǎn)生巨大威脅的應(yīng)用程序,常見(jiàn)的有病毒、木馬、蠕蟲(chóng)、間諜軟件和特洛伊木馬等. 近幾年來(lái),勒索軟件和挖礦木馬開(kāi)始大肆感染用戶(hù)的設(shè)備.由于利益驅(qū)使攻擊者會(huì)通過(guò)各種手段將挖礦程序植入受害者的計(jì)算機(jī)中,在受害者不知道的情況下利用云計(jì)算進(jìn)行挖礦,從而獲取利益. 這些活動(dòng)都會(huì)造成計(jì)算機(jī)、移動(dòng)設(shè)備及人員財(cái)產(chǎn)等受到影響. 根據(jù)2020年中國(guó)網(wǎng)絡(luò)安全報(bào)告[1],2020年瑞星“云安全”系統(tǒng)共截獲病毒樣本總量1.48億個(gè),病毒感染次數(shù)3.52億次,病毒總體數(shù)量比2019年同期上漲43.71%.報(bào)告期內(nèi),木馬病毒新增7728萬(wàn)個(gè),為第一大種類(lèi)病毒;排名第二的為蠕蟲(chóng)病毒,數(shù)量為2981萬(wàn)個(gè).感染型病毒、灰色軟件和后門(mén)等分別占到總體數(shù)量的12.19%、9.59%和3.75%.除此以外，還包括漏洞攻擊和其他類(lèi)型病毒. 因此,惡意代碼的爆發(fā)式增長(zhǎng)威脅著當(dāng)今世界的互聯(lián)網(wǎng)安全.

現(xiàn)有的惡意代碼自動(dòng)化分析技術(shù)大多都是基于其樣本文件本身的內(nèi)容,即靜態(tài)特征或者自身的動(dòng)態(tài)行為特征來(lái)做進(jìn)一步分析的. 比如,Liu等[2]直接提取PE文件的頭信息和節(jié)信息作為特征, Kolter等[3]從文件中提取n-gram字節(jié)碼作為特征. 但以字節(jié)n-gram作為特征的分類(lèi)器非常容易產(chǎn)生過(guò)擬合.部分安全研究員認(rèn)為,惡意代碼匯編指令序列比單純的字節(jié)流更能表達(dá)惡意代碼的靜態(tài)特點(diǎn).Canfora等[4]先將可執(zhí)行程序反匯編,再提取匯編指令序列作為特征進(jìn)行分析. 隨著深度學(xué)習(xí)的發(fā)展,一些深度學(xué)習(xí)的方法也被應(yīng)用到惡意代碼檢測(cè)領(lǐng)域.Pascanu 等[5]借鑒自然語(yǔ)言處理中的建模方法,探索使用回聲狀態(tài)網(wǎng)絡(luò)和遞歸神經(jīng)網(wǎng)絡(luò)講匯編指令N-gram映射到低維向量的方法,再用邏輯回歸分類(lèi)器對(duì)向量進(jìn)行最終分類(lèi). 也有將程序的源代碼[6]或者API序列[7,8]看成語(yǔ)義豐富的文本,再基于現(xiàn)有的NLP模型進(jìn)行改進(jìn)來(lái)訓(xùn)練和分類(lèi)的. 惡意代碼可視化是近年才出現(xiàn)的惡意代碼分析新方法.2011年Nataraj等[9]首次提出了完備的惡意代碼樣本圖像化方法.他們首先將惡意可執(zhí)行程序按字節(jié)轉(zhuǎn)化為灰度圖,然后將灰度圖的GIST特征作為樣本特征,使用支持向量機(jī)對(duì)樣本進(jìn)行分類(lèi). Yuan 等[10]提出一種將惡意代碼可執(zhí)行程序轉(zhuǎn)換為馬爾可夫圖像,然后使用深度卷積神經(jīng)網(wǎng)絡(luò)自動(dòng)從圖像中提取特征進(jìn)行惡意代碼家族分類(lèi)的方法.

在惡意代碼分析領(lǐng)域,存在一些非歐式結(jié)構(gòu)的數(shù)據(jù),比如函數(shù)依賴(lài)圖、API調(diào)用圖和數(shù)據(jù)流圖,傳統(tǒng)的神經(jīng)網(wǎng)絡(luò)難以直接處理這種不規(guī)則的數(shù)據(jù). 為解決這些問(wèn)題,一些研究人員[11]選擇先通過(guò)各種手段對(duì)圖進(jìn)行標(biāo)準(zhǔn)化處理,轉(zhuǎn)換到統(tǒng)一的規(guī)格后再輸入神經(jīng)網(wǎng)絡(luò)進(jìn)行訓(xùn)練.除此之外,圖卷積神經(jīng)網(wǎng)絡(luò)(Graph Convolutional Network, GCN)[12]的提出給圖數(shù)據(jù)的處理帶來(lái)新的思路.但是GCN只能處理節(jié)點(diǎn)類(lèi)型單一的同質(zhì)圖,無(wú)法處理包含多種節(jié)點(diǎn)類(lèi)型的異質(zhì)信息網(wǎng)絡(luò). 2017年Hou等[13]利用APP和不同種類(lèi)的API調(diào)用來(lái)構(gòu)建異質(zhì)信息網(wǎng)絡(luò),然后使用基于元路徑的方法計(jì)算APP之間的相似性，次年又將其應(yīng)用到Windows惡意程序檢測(cè)中[14]. 2019年Wang等[15]利用系統(tǒng)事件數(shù)據(jù)構(gòu)建異質(zhì)信息網(wǎng)絡(luò),包含進(jìn)程、文件和套接字3種不同的實(shí)體,可以捕獲程序的行為,提出MatchGNet模型,能夠基于程序行為的不變圖模型得到圖嵌入向量,再進(jìn)行未知軟件和正常軟件的相似度判斷,低于一定閾值的都?xì)w為惡意軟件.

針對(duì)同質(zhì)圖無(wú)法融合異構(gòu)特征的問(wèn)題,受文獻(xiàn)[13]的啟發(fā),本文利用樣本運(yùn)行期間的行為記錄來(lái)構(gòu)建一種系異質(zhì)信息網(wǎng)絡(luò)的行為關(guān)系網(wǎng)絡(luò),將惡意代碼的多種敏感行為結(jié)合分析,融合樣本的多種行為特征. 本文選取惡意代碼中常常出現(xiàn)的幾種敏感行為作為特征,如關(guān)鍵API調(diào)用、注冊(cè)表訪問(wèn)和文件讀寫(xiě)操作. 本文提出的方法中,首先在沙箱中執(zhí)行收集的惡意樣本,然后從沙箱報(bào)告中提取樣本的三種行為記錄,利用這些行為信息來(lái)構(gòu)建樣本行為關(guān)系網(wǎng)絡(luò),再使用一種基于元圖的方法來(lái)計(jì)算樣本之間的相似度,最后構(gòu)造SVM分類(lèi)器用于惡意代碼檢測(cè).本文的主要貢獻(xiàn)如下：(1) 在從沙箱報(bào)告中提取的API調(diào)用記錄、注冊(cè)表訪問(wèn)記錄和文件操作記錄,構(gòu)建文件行為關(guān)系網(wǎng)絡(luò). 所構(gòu)建的行為關(guān)系網(wǎng)絡(luò)中包含PE文件、API、注冊(cè)表和普通文件4種節(jié)點(diǎn)類(lèi)型,3種行為本身作為邊,可將樣本期間的多種敏感行為結(jié)合起來(lái),并且在合適的方法下能夠自然地融合這些動(dòng)態(tài)特征.(2) 不同于文獻(xiàn)[13]提出的基于異質(zhì)信息網(wǎng)絡(luò)的安卓惡意程序檢測(cè)方法——基于元路徑計(jì)算安卓程序之間的相似性，本文使用一種基于元圖的方法計(jì)算PE文件間的相似性,通過(guò)計(jì)算元圖上的交換矩陣來(lái)反應(yīng)PE文件間的相似度,最后使用一種自定義核的支持向量機(jī)(Support Vector Machine, SVM)模型來(lái)進(jìn)行訓(xùn)練和預(yù)測(cè).(3) 在公開(kāi)的數(shù)據(jù)集上對(duì)所提模型進(jìn)行驗(yàn)證,達(dá)到95.5%的分類(lèi)準(zhǔn)確率,優(yōu)于基于元路徑的方法.

2 研究方法

2.1 方法概述

本文提出基于行為關(guān)系網(wǎng)絡(luò)惡意代碼檢測(cè)方法的分類(lèi)模型框架如圖1所示,包括沙箱執(zhí)行、文件行為關(guān)系網(wǎng)絡(luò)構(gòu)建、相似性矩陣計(jì)算和分類(lèi)與檢測(cè)模型. 通過(guò)在沙箱中執(zhí)行惡意代碼樣本得到其行為報(bào)告,并從報(bào)告中提取API調(diào)用、注冊(cè)表訪問(wèn)和文件操作3種行為記錄,再根據(jù)這些行為信息構(gòu)建文件行為關(guān)系網(wǎng)絡(luò)；然后使用基于元圖的方法計(jì)算相似性矩陣；而后將各相似性矩陣的線性組合作為最后SVM的核矩陣,進(jìn)行分類(lèi)與訓(xùn)練；最后將訓(xùn)練好的模型用于惡意代碼檢測(cè).

圖1 分類(lèi)模型框架 Fig.1 The frame of the classification model

2.2 行為關(guān)系網(wǎng)絡(luò)的構(gòu)建

定義1異質(zhì)信息網(wǎng)絡(luò)[16](Heterogeneous Information Network, HIN). 定義為一個(gè)具有實(shí)體類(lèi)型映射函數(shù)φ:V→A和關(guān)系類(lèi)型映射函數(shù)ψ:E→R的有向圖G=(V,E,φ,ψ). 其中,每個(gè)實(shí)體v∈V屬于實(shí)體類(lèi)型集合A:φ(v)∈A中的一個(gè)特定實(shí)體類(lèi)型,每條鏈接e∈E屬于關(guān)系類(lèi)型集合R:ψ(e)∈R中的一個(gè)特定關(guān)系類(lèi)型,并且滿(mǎn)足實(shí)體類(lèi)型數(shù)|A|>1或者關(guān)系類(lèi)型數(shù)|R|>1.

本文構(gòu)建的文件行為關(guān)系網(wǎng)絡(luò)是一種異質(zhì)信息網(wǎng)絡(luò),也叫做異質(zhì)圖. 異質(zhì)圖是相對(duì)于同質(zhì)圖而言的,同質(zhì)圖只包含一種類(lèi)型的節(jié)點(diǎn)和邊,異質(zhì)圖包含多種類(lèi)型的節(jié)點(diǎn)或者邊. 相比于同質(zhì)圖而言,異質(zhì)圖可以更好地反應(yīng)實(shí)體間復(fù)雜的關(guān)系,可以保留更全面的語(yǔ)義及結(jié)構(gòu)信息. 近年來(lái),異質(zhì)圖迅速成為數(shù)據(jù)挖掘等領(lǐng)域中的研究熱點(diǎn),常見(jiàn)的有社交網(wǎng)絡(luò)、科技文獻(xiàn)和醫(yī)療系統(tǒng),常被應(yīng)用于分類(lèi)、聚類(lèi)、推薦等.本文構(gòu)建的文件行為關(guān)系網(wǎng)絡(luò)包含4種節(jié)點(diǎn)類(lèi)型和3種邊類(lèi)型,屬于異質(zhì)信息網(wǎng)絡(luò).

定義2網(wǎng)絡(luò)模式[16](network schema). 記為T(mén)G=(A,R),是帶有實(shí)體類(lèi)型映射φ:V→A和關(guān)系類(lèi)型映射ψ:E→R的信息網(wǎng)絡(luò)G=(V,E)的元模式.具體地,網(wǎng)絡(luò)模式是定義在實(shí)體類(lèi)型集合A上的有向圖,并以R上的關(guān)系為邊. 網(wǎng)絡(luò)模式更直觀的反應(yīng)了行為網(wǎng)絡(luò)結(jié)構(gòu),本文的惡意代碼網(wǎng)絡(luò)模式圖如圖3.

圖2 本文構(gòu)建的行為關(guān)系網(wǎng)絡(luò)

圖3 惡意代碼行為網(wǎng)絡(luò)模式圖Fig.3 Network schema

定義4元圖[17]. 元圖是一個(gè)有向無(wú)環(huán)圖,包含一個(gè)源節(jié)點(diǎn)(入度為0)和一個(gè)目標(biāo)點(diǎn)ns和一個(gè)目標(biāo)點(diǎn)nt.因此在異質(zhì)信息網(wǎng)絡(luò)G=(V,E,φ,ψ)和網(wǎng)絡(luò)模式TG=(A,R)基礎(chǔ)上定義元圖為M=(VM,EM,TM,RM,ns,nt)，其中VM?V,EM?E,并約束AM?A和RM?R.

元圖是Zhao等[17]提出的概念,用于刻畫(huà)實(shí)體間的復(fù)雜的信息共享關(guān)系. 如圖4所示,元圖M4就能讓同時(shí)調(diào)用過(guò)同一API和訪問(wèn)過(guò)同一注冊(cè)表項(xiàng)的PE文件相關(guān)聯(lián).所以本文使用基于元圖的方法去計(jì)算PE文件之間的相似度. 本文構(gòu)建的行為關(guān)系網(wǎng)絡(luò)中抽取出的元圖如圖4所示,元路徑可以看作特殊的元圖.

圖4 七種元圖Fig.4 The seven types of meta-graph

2.3 相似性矩陣計(jì)算

定義5交換矩陣[16]. 給定一個(gè)異質(zhì)信息網(wǎng)絡(luò)圖G=(V,E,φ,ψ)和網(wǎng)絡(luò)模式TG=(A,R). 假設(shè)有一條元路徑(A1,A2,…,Al),交換矩陣定義為C=WA1A2WA2A3…WAlAl+1,其中WAiAj是實(shí)體Ai和Aj間的鄰接矩陣.

表1 各鄰接矩陣的定義

而元圖的交換矩陣卻沒(méi)有直接的定義.我們采用一種基于計(jì)數(shù)的方法來(lái)計(jì)算元圖的交換矩陣. 算法的核心思想為,在分支節(jié)點(diǎn)處,遍歷所有分支,把每條分支看成新的元路徑分別計(jì)算其交換矩陣,再將所有分支的交換矩陣的哈達(dá)瑪積作為分支節(jié)點(diǎn)最后的交換矩陣,剩余的計(jì)算步驟同計(jì)算元路徑交換矩陣. 算法的關(guān)鍵就在于采用哈達(dá)瑪積去合并分支節(jié)點(diǎn)的交換矩陣. 例如,圖4中M5元圖的交換矩陣計(jì)算偽代碼如下.

算法1計(jì)算M5元圖的交換矩陣

輸入:PE與API的鄰接矩陣,WPA;PE與文件的鄰接矩陣,WPF;

輸出: M5元圖的交換矩陣,CM5;

3)CM5=CP1⊙CP2

4) returnCM5

2.4 分類(lèi)與檢測(cè)模型

檢測(cè)階段要預(yù)測(cè)未知樣本時(shí),將未知樣本先與訓(xùn)練集構(gòu)造異質(zhì)信息網(wǎng)絡(luò),然后求得它與訓(xùn)練數(shù)據(jù)集的交換矩陣,最后把該交換矩陣輸入到已訓(xùn)練好的模型中進(jìn)行檢測(cè).

3 實(shí)驗(yàn)結(jié)果和分析

3.1 實(shí)驗(yàn)數(shù)據(jù)集

實(shí)驗(yàn)數(shù)據(jù)中的惡意代碼樣本是從開(kāi)源惡意代碼庫(kù)VirusShare[19]下載,正常樣本來(lái)源于Windows操作系統(tǒng)中的正常軟件. 為了證明惡意樣本和正常樣本的純凈,上傳樣本到VirusTotal[20]進(jìn)行檢測(cè),剔除惡意樣本中的正常樣本和正常樣本中的惡意樣本.在Cuckoo沙箱中運(yùn)行樣本獲取樣本分析報(bào)告,通過(guò)解析Cuckoo沙箱報(bào)告文件——report.json包含的字典中“behavior”子項(xiàng),獲得各個(gè)進(jìn)程下的API調(diào)用信息;解析logs路徑下的文件,獲得進(jìn)程訪問(wèn)過(guò)的文件和注冊(cè)表信息.由于部分樣本對(duì)運(yùn)行環(huán)境敏感,存在反虛擬機(jī)、反沙箱行為,所以并未在分析環(huán)境中成功運(yùn)行,在分析報(bào)告中并未捕獲到惡意行為，因此剔除這類(lèi)樣本.80%的樣本用于模型訓(xùn)練,20%的樣本用于測(cè)試. 篩選后的數(shù)據(jù)集樣本空間如表2所示. 本文的訓(xùn)練樣本集和測(cè)試樣本集中共檢測(cè)到183個(gè)API，1526多個(gè)注冊(cè)表項(xiàng)和571文件.

表2 樣本分布

3.2 實(shí)驗(yàn)結(jié)果分析

本文使用準(zhǔn)確率、誤報(bào)率、漏報(bào)率作為評(píng)估指標(biāo),這些指標(biāo)涉及機(jī)器學(xué)習(xí)中的四個(gè)檢驗(yàn)指標(biāo):真陽(yáng)性 (TP)、真陰性 (TN)、假陽(yáng)性(FP)和假陰性(FN),各指標(biāo)含義如表3.

表3 檢驗(yàn)指標(biāo)的含義

準(zhǔn)確率(ACC)、誤報(bào)率(FPR)、漏報(bào)率(FNR)定義如下.

為了證明本文所提基于文件行為關(guān)系網(wǎng)絡(luò)的惡意代碼檢測(cè)方法的有效性,我們進(jìn)行了一系列實(shí)驗(yàn).首先是基于單個(gè)元圖(包括元路徑)和多元圖融合后的檢測(cè)性能評(píng)估,實(shí)驗(yàn)結(jié)果如表4所示.

從表4可見(jiàn),首先從基于元路徑M1、M2、M3的分類(lèi)結(jié)果來(lái)看,基于API調(diào)用行為的元路徑M1的表現(xiàn)結(jié)果最好,達(dá)到了90.8%的準(zhǔn)確率;基于注冊(cè)表訪問(wèn)的元路徑M2檢測(cè)效果次之,有85.2%的準(zhǔn)確率;基于文件操作的元路徑M3的表現(xiàn)結(jié)果最差,準(zhǔn)確率只有81.5%. 但總體來(lái)說(shuō),基于單條元路徑的分類(lèi)結(jié)果都不是很好,說(shuō)明以上的單個(gè)行為特征都不足以準(zhǔn)確刻畫(huà)惡意代碼行為模式.

表4 檢測(cè)性能評(píng)估

再把元圖M4、M5、M6、M7與元路徑M1、M2、M3的分類(lèi)結(jié)果作對(duì)比,檢測(cè)效果都得到了有效的提升.這是因?yàn)樵獔D能夠融合兩個(gè)或者多個(gè)的行為特征.比如,元圖M4、M5、M6分別融合了其中的兩個(gè)特征. 除了M6,融合了兩個(gè)特征的元圖都比對(duì)應(yīng)的單一特征的元路徑的分類(lèi)效果要好.而元圖M6檢測(cè)效果不如元路徑M2的原因可能是在此數(shù)據(jù)集上,這兩個(gè)特征存在一些過(guò)擬合. 但融合了三個(gè)特征的元圖M7表現(xiàn)結(jié)果非常得好,準(zhǔn)確率達(dá)到了93.4%,同時(shí)誤報(bào)率為5.9%,漏報(bào)率為7.3%.對(duì)比結(jié)果表明,基于單元圖的檢測(cè)效果優(yōu)于基于元路徑的.

表4的最后一行是所有元圖(包含M1、M2、M3)融合后的分類(lèi)結(jié)果,結(jié)果表明基于元圖融合的檢測(cè)效果比所有單元圖的分類(lèi)檢測(cè)效果都要好,準(zhǔn)確率達(dá)到了95.5%,誤報(bào)率為4.7%,漏報(bào)率為4.2%,說(shuō)明了基于元圖融合的方法比基于單元圖的更有效.

本文還將文獻(xiàn)[13]提出的基于元路徑融合的方法應(yīng)用到本文的惡意代碼數(shù)據(jù)集上,并與本文提出的方法做了實(shí)驗(yàn)對(duì)比,實(shí)驗(yàn)結(jié)果見(jiàn)表5.

表5 檢測(cè)性能評(píng)估

如表5的實(shí)驗(yàn)結(jié)果所示,基于元路徑融合的方法的準(zhǔn)確率為93.8%,誤報(bào)率為4.7%,漏報(bào)率為7.7%,F1-score分?jǐn)?shù)為93.7%. 而本文提出的基于元圖融合的方法準(zhǔn)確率為95.5%,誤報(bào)率為4.7%,漏報(bào)率為4.2%,F1-score分?jǐn)?shù)為95.6%.除了誤報(bào)率相同,其余各指標(biāo)均優(yōu)于基于元路徑融合的方法.這說(shuō)明本文所提出的基于元圖融合的方法優(yōu)于基于元路徑融合的方法. 這是因?yàn)樵獔D可以自然融合多個(gè)特征.本文的方法就是元圖自然融合了API調(diào)用、注冊(cè)表訪問(wèn)和文件讀寫(xiě)三種行為特征,可以更準(zhǔn)確全面地捕獲惡意代碼的行為模式,從而具有更好的區(qū)分能力.

針對(duì)同質(zhì)圖無(wú)法融合多行為特征的問(wèn)題,本文提出了一種新穎的基于文件行為關(guān)系網(wǎng)絡(luò)的惡意代碼檢測(cè)方法.首先在Cuckoo沙箱中執(zhí)行惡意代碼樣本得到其行為報(bào)告,并從報(bào)告中提取API調(diào)用、注冊(cè)表訪問(wèn)和文件讀寫(xiě)操作三種行為記錄,再根據(jù)這些行為信息構(gòu)建文件行為關(guān)系網(wǎng)絡(luò).所構(gòu)建的行為關(guān)系網(wǎng)絡(luò)中包含PE”、“API”、“Registry”和“File”4種類(lèi)型的節(jié)點(diǎn)和API調(diào)用、注冊(cè)表訪問(wèn)和文件讀寫(xiě)三種類(lèi)型的邊,屬異質(zhì)信息網(wǎng)絡(luò). 不同于傳統(tǒng)的同質(zhì)圖的處理方法,本文使用一種基于元圖的方法——基于元圖計(jì)算PE文件的相似矩陣.在最后的SVM分類(lèi)模型中,使用一種自定義的核矩陣,結(jié)合多個(gè)元圖.實(shí)驗(yàn)結(jié)果表明,本文提出的方法能有效檢測(cè)惡意代碼.

本文提出的方法,選取了API調(diào)用、注冊(cè)表訪問(wèn)和文件操作信息三種行為記錄構(gòu)建行為關(guān)系網(wǎng)絡(luò).在下一步研究中,可以嘗試選取更多的行為特征,比如所調(diào)用的dll,惡意代碼所在的主機(jī)信息等重要信息,可以更全面準(zhǔn)確地刻畫(huà)惡意代碼行為模式.并且本文構(gòu)建的行為關(guān)系網(wǎng)絡(luò)中,沒(méi)有包含API序列這種重要的語(yǔ)義信息,惡意代碼的惡意行為都是通過(guò)底層調(diào)用的API來(lái)實(shí)現(xiàn).因此通過(guò)動(dòng)態(tài)提取的API序列特征可以很好地刻畫(huà)惡意樣本的行為.這也是未來(lái)研究中需要重點(diǎn)解決的問(wèn)題.