結(jié)合語(yǔ)義的統(tǒng)計(jì)機(jī)器學(xué)習(xí)方法在代碼安全中應(yīng)用研究.pdf

1、近兩年美國(guó)因病毒、間諜軟件等網(wǎng)絡(luò)攻擊損失近85億美元，而中國(guó)大陸更是有數(shù)以億計(jì)的大量主機(jī)和網(wǎng)絡(luò)被惡意攻擊、破壞和篡改。一方面，種類繁多功能各異的諸如病毒，蠕蟲，rootkit，間諜軟件等惡意代碼層出不窮，黑客攻擊方式、手段與過(guò)程不斷復(fù)雜深化；另一方面，信息系統(tǒng)漏洞不斷增長(zhǎng)，漏洞越來(lái)越多。強(qiáng)大的經(jīng)濟(jì)利益的驅(qū)動(dòng)使得惡意代碼檢測(cè)與防范問(wèn)題仍是信息安全屆亟需解決的首要問(wèn)題。攻擊者不斷升級(jí)并復(fù)雜化新的攻擊手段，防守者根據(jù)攻擊提出防護(hù)措施，例如修補(bǔ)

2、漏洞，注入防護(hù)疫苗等；進(jìn)一步地，攻擊者提出新的反檢測(cè)和規(guī)避技術(shù)，防護(hù)者也要不斷更新防護(hù)技術(shù)。攻防雙方不斷博弈，兩者在動(dòng)態(tài)平衡中，不斷將局部的馬鞍點(diǎn)向前推進(jìn)。
　　 統(tǒng)計(jì)機(jī)器學(xué)習(xí)源于統(tǒng)計(jì)，長(zhǎng)于關(guān)系推理和知識(shí)的自動(dòng)學(xué)習(xí)，已在文本分析，視頻分析，圖像理解，語(yǔ)音信號(hào)識(shí)別取得極好的效果。我們把惡意代碼檢測(cè)與攻擊比作一場(chǎng)貓捉老鼠的游戲，統(tǒng)計(jì)機(jī)器學(xué)習(xí)能不能有效的扮演“貓”的角色，能不能在已有的惡意代碼檢測(cè)與分析的基礎(chǔ)上在如虎添翼?該問(wèn)題的難點(diǎn)

3、在于安全信息系統(tǒng)的一些特征需求與機(jī)器學(xué)習(xí)應(yīng)用需求不是完全一致。例如信息安全中，對(duì)于誤報(bào)率和漏報(bào)率的容忍度達(dá)到了苛刻的程度；對(duì)機(jī)器學(xué)習(xí)的結(jié)果缺少解釋，模型的結(jié)果與實(shí)際的安全保障之間存在語(yǔ)義上的差距，很多結(jié)果在實(shí)際中不可行或者嚴(yán)重偏離信息系統(tǒng)程序和系統(tǒng)配置的現(xiàn)實(shí)；機(jī)器學(xué)習(xí)算法必須考慮攻擊和攻擊者各種各樣的逃避檢測(cè)策略。幾乎信息安全的所有問(wèn)題都是攻擊者和防守者之間的博弈過(guò)程，必須站在雙方的角度上著想，才有助于問(wèn)題的解決。
　　 針對(duì)代

4、碼分析的具體領(lǐng)域，在結(jié)合代碼分析領(lǐng)域內(nèi)知識(shí)的基礎(chǔ)上，我們提出以下問(wèn)題作為本文的研究對(duì)象。a)機(jī)器學(xué)習(xí)能不能在惡意代碼或者代碼分析中使用?b)在惡意代碼檢測(cè)(擴(kuò)展到代碼分析甚至系統(tǒng)安全中)，能起多大作用，如何使用并使其發(fā)揮最大功效?本文將此抽象問(wèn)題具體化為幾個(gè)子問(wèn)題(Q1-Q4)進(jìn)行細(xì)化，并通過(guò)具體的案例分析來(lái)回答。Q1：如何提取多態(tài)蠕蟲簽名?Q2：如何進(jìn)行多態(tài)shellcode歸屬性分析?Q3：如何檢測(cè)迷惑惡意代碼?Q4：多線程程序中，

5、如何消除時(shí)序相關(guān)的不確定性bug?本文關(guān)注的惡意代碼包含兩類，第一類是基于網(wǎng)絡(luò)包的惡意代碼，例如多態(tài)蠕蟲，通過(guò)網(wǎng)絡(luò)傳播的shellcode；第二類是基于文件的惡意代碼，例如被攻陷的可執(zhí)行文件或者動(dòng)態(tài)鏈接庫(kù)文件；另外本文還分析了一個(gè)多線程程序安全中的案例。
　　 針對(duì)上述問(wèn)題，我們進(jìn)行了下列研究：結(jié)合語(yǔ)義和統(tǒng)計(jì)特征，對(duì)多態(tài)蠕蟲提取簽名；結(jié)合語(yǔ)義和統(tǒng)計(jì)特征，對(duì)多態(tài)shellcode進(jìn)行歸屬性分析；結(jié)合語(yǔ)義特征和統(tǒng)計(jì)特征，檢測(cè)迷惑惡意

6、代碼；結(jié)合多線程運(yùn)行的上下文，來(lái)推測(cè)時(shí)序?qū)Σ淮_定性bug的影響。
　　 我們的工作有以下創(chuàng)新點(diǎn)。a)提出了語(yǔ)義分析和統(tǒng)計(jì)分析相結(jié)合的代碼分析新方法，用于檢測(cè)或者分類惡意代碼文件以及惡意代碼包；與語(yǔ)義分析方法相比，融合了統(tǒng)計(jì)方法定量描述的特長(zhǎng)；與統(tǒng)計(jì)方法相比，關(guān)注了更多的代碼語(yǔ)義特性，使得分析更加接近代碼語(yǔ)義本質(zhì)。b)提出了基于數(shù)據(jù)流分析的狀態(tài)轉(zhuǎn)移圖簽名，用于多態(tài)蠕蟲簽名提取，通過(guò)數(shù)據(jù)流分析去除隱含在網(wǎng)絡(luò)數(shù)據(jù)包中的噪聲數(shù)據(jù)，較好刻

7、畫蠕蟲的多態(tài)特性。c)提出了一種結(jié)合靜態(tài)污點(diǎn)分析和混合Markov模型的shellcode歸屬性分析算法；通過(guò)靜態(tài)污點(diǎn)分析保留語(yǔ)義相關(guān)字節(jié)，混合Markov模型獲取數(shù)據(jù)包的統(tǒng)計(jì)結(jié)構(gòu)特征；比單一的統(tǒng)計(jì)分析更加健壯，比僅僅的靜態(tài)污點(diǎn)分析方法更易于定量描述和進(jìn)行代碼相似性比較。d)提出了一種結(jié)合控制流和系統(tǒng)調(diào)用特征的迷惑惡意代碼檢測(cè)算法，用于檢測(cè)迷惑后的惡意代碼；控制流和系統(tǒng)調(diào)用獲取了代碼的語(yǔ)義特征，而同時(shí)結(jié)合統(tǒng)計(jì)特征，相互補(bǔ)充，盡可能準(zhǔn)確的

8、進(jìn)行迷惑惡意代碼的類別檢測(cè)。e)提出了使用HMM，刻畫影響多線程運(yùn)行的上下文，通過(guò)上下文(優(yōu)先級(jí)，系統(tǒng)負(fù)載，運(yùn)行時(shí)間等)捕獲環(huán)境對(duì)程序運(yùn)行的影響，并將這種影響進(jìn)一步量化，為不確定性bug提供分析的依據(jù)。
　　 通過(guò)以上研究，我們發(fā)現(xiàn)，結(jié)合或者體現(xiàn)某種程度語(yǔ)義的機(jī)器學(xué)習(xí)可以較為有效的應(yīng)用于代碼分析和檢測(cè)中。結(jié)合語(yǔ)義的多態(tài)shellcode簽名提取和歸屬性分析的相關(guān)技術(shù)已經(jīng)出現(xiàn)在DayZeroSystems產(chǎn)品中，提升多維特征的迷惑