結(jié)合語(yǔ)義的機(jī)器學(xué)習(xí)方法在軟件安全中應(yīng)用研究.pdf

1、近兩年中美國(guó)因病毒、間諜軟件等網(wǎng)絡(luò)攻擊損失近85億美元，而中國(guó)大陸更是有數(shù)以?xún)|計(jì)的大量主機(jī)和網(wǎng)絡(luò)被惡意攻擊、破壞和篡改。一方面，種類(lèi)繁多功能各異的諸如virus，worm，rootkit,spyware，botnets,adware等malware層出不窮，黑客攻擊方式、手段與過(guò)程不斷復(fù)雜深化；另一方面，信息系統(tǒng)漏洞不斷增長(zhǎng)，漏洞越來(lái)越多。強(qiáng)大的經(jīng)濟(jì)利益的驅(qū)動(dòng)使得惡意代碼檢測(cè)(detection)與防范(defense)技術(shù)仍是信息安全

2、屆亟需解決的No.1問(wèn)題。攻擊者不斷升級(jí)并復(fù)雜化新的攻擊手段，防守者根據(jù)攻擊提出防護(hù)措施，例如修補(bǔ)patch,注入防護(hù)疫苗（vaccin）等；進(jìn)一步地，攻擊者提出新的反檢測(cè)(anti-detection)和規(guī)避（evasion）技術(shù)，防護(hù)者也要不斷更新防護(hù)技術(shù)。攻防雙方不斷博弈（game）,兩者在動(dòng)態(tài)平衡中，不斷將局部的馬鞍點(diǎn)（saddle point）向前推進(jìn)。統(tǒng)計(jì)機(jī)器學(xué)習(xí)源于統(tǒng)計(jì)，長(zhǎng)于關(guān)系推理和知識(shí)的自動(dòng)學(xué)習(xí)，已在文本分析，視頻分析

3、，圖像理解，語(yǔ)音信號(hào)識(shí)別取得極好的效果。我們把惡意代碼檢測(cè)與攻擊比作一場(chǎng)貓捉老鼠的游戲，統(tǒng)計(jì)機(jī)器學(xué)習(xí)能不能有效的扮演“貓”的角色，能不能在已有的惡意代碼檢測(cè)與分析的基礎(chǔ)上在如虎添翼？我們將通過(guò)幾個(gè)具體的案例分析來(lái)回答上述問(wèn)題。本文論域中的惡意代碼包含兩類(lèi)，第一類(lèi)是基于packet的惡意代碼，例如多態(tài)蠕蟲(chóng)，通過(guò)網(wǎng)絡(luò)傳播的shellcode;第二類(lèi)是基于文件的惡意代碼，例如被攻陷（compromised）的exe文件或者dll文件。最后我們

4、還給出了一個(gè)機(jī)器學(xué)習(xí)在多線程程序安全中的應(yīng)用案例分析。
　　 第二章中，提出了一種結(jié)合語(yǔ)義的多態(tài)蠕蟲(chóng)簽名提取算法，用于檢測(cè)多態(tài)蠕蟲(chóng)。字符串提取和匹配技術(shù)已經(jīng)廣泛的用于基于簽名提取的惡意代碼檢測(cè)中。但是，如何快速有效的產(chǎn)生蠕蟲(chóng)簽名尤其在敵手（adversarial）環(huán)境中仍然是一個(gè)十分挑戰(zhàn)的問(wèn)題。一方面，攻擊者有足夠的自由來(lái)操縱攻擊packet中的字符分布來(lái)逃脫檢測(cè)；另一方面，因?yàn)閻阂饬鞒兀╝ suspicious flow po