[发明专利]一种基于生成对抗网络的恶意文件智能分析方法

说明书

本发明公开了一种基于生成对抗网络的恶意文件智能分析方法，基于基本的应用数据集，利用生成式对抗网络对抗交互训练思想，由生成模型不断生成样本，扩充了标签样本集，可提升入侵检测模型检测分类，提高了对入侵行为的检测准确率，可以增强模型执行多分类任务的检测能力，为提升入侵检测模型泛化能力提供一种有效的方法。并且基于API行为特征的智能恶意代码检测方法能够更好地检测与已知恶意代码样本行为相似的未知恶意代码，而不受恶意代码的多态、代码混淆、加密和加壳等技术的影响，从而使本申请具有高检测率、低误报率的优点。

技术领域

本申请属于信息安全领域，具体涉及一种基于生成对抗网络的恶意文件智能分析方法。

背景技术

随着网络攻防战的升级，网络攻击逐步从简单的手段发展到以高级网络攻击为代表的复杂立体攻击。目前，市场上对高级网络攻击的检测大多还是停留在传统的层面，主要分为以下四类：网络流量分析、软件静态特征检测、动态沙箱检测和钩子技术。其中，网络流量分析利用流量进行可疑行为的判断，而软件静态特征检测、动态沙箱检测和钩子技术常用于恶意文件以及恶意程序(如RAT)的检测。

其中，网络流量分析一种常用的方法是基于网络数据包各维度数据特征进行攻击检测(如源/目的IP、端口号、协议类型等)，另一种则是以网络流量的统计特性作为特征进行攻击检测(如流量熵、主机之间的字节流量数等)。由于检测器依赖程序产生的流量，而不能直接观察恶意程序的活动，因此恶意程序有许多途径可以逃避基于网络流量分析的检测。因此当前常用的基于网络数据包和网络流量的统计特性的分析方法无法应对流量加密的情况，而已有的识别恶意加密流量的检测方法存在精度低、特征少等缺陷。

其中，恶意文件与恶意程序检测：对于软件静态特征检测，通常是指在不运行程序的情况下，提取程序的指令、函数调用等可用于异常检测的静态代码特征。传统的基于静态特征签名的检测方法容易被代码的多态变化和混淆所回避。再者，签名通常使用二进制文件的字节序列、字符串集和散列代码等没有语义的方式来提取，导致匹配不准确。对于基于API的钩子技术，因为钩子会修改底层实现代码逻辑，使得程序/系统变得不稳定，并可能暴露新的漏洞。最后，对于动态沙箱检测技术，因为沙箱配置运行的开销十分巨大，故其不能直接部署在客户端机器上，且有些恶意软件具有沙箱反侦查能力，可以在沙箱中刻意隐藏恶意行为。此外，上述方法所采用的数据集一般是公开的数据集或者是研究者自己采集的小样本数据集，数据量以及数据变式有限，无法满足真实复杂环境下恶意文件检测的需求。综上所述，当前的恶意文件与恶意程序检测方法无法适应高级网络攻击复杂多变的特点。主要表现在：一方面，恶意文件/程序的样本数量稀少，难以获得。另一方面，恶意文件/程序的变式多，检测困难。

尽管学术界和工业界对高级网络攻击智能分析发现提出了一系列的解决方案(如特征检测方案、异常检测方案、大数据分析方案等)，但是高级网络攻击的多样性、隐蔽性和样本稀缺性给检测带来了极大的困难，主要表现在：

在大规模网络侧，恶意文件分析样本稀少且检测误报高。随着互联网向着多样化、系统化、智能化持续发展，恶意文件技术也在不断更新。目前，分析恶意文件的主要方法大多是从可执行的二进制文件中提取静态信息，然后采用机器学习算法进行分类。由于大量标签样本的获取较为困难，有限的标签样本只能反馈有限的信息，以及现有机器学习模型较少考虑学习异常行为在网络连接方面呈现出的同步性和关联性等时序特征，分析技术难以满足日益增长的高检测率、低误报率的要求。因此，如何利用生成对抗网络进行样本增强，结合机器学习、统计分析方式实现高效准确的检测，是面向高级网络攻击的样本增强及智能分析方法研究中的一个关键科学问题。

发明内容

本申请的目的在于提供一种基于生成对抗网络的恶意文件智能分析方法，满足高检测率、低误报率的要求。

为实现上述目的，本申请所采取的技术方案为：

一种基于生成对抗网络的恶意文件智能分析方法，所述基于生成对抗网络的恶意文件智能分析方法，包括：