基于深度学习的恶意代码检测综述

恶意代码检测是网络空间安全领域的重要研究方向之一。在简要阐述恶意代码检测重大研究价值的基础上,结合国内外研究现状,总结了现有的基于深度学习的恶意代码检测技术及方法。首先,分别从静态、动态和混合检测方法多方面地梳理了传统检测技术,其次,分别从基于序列特征、图像可视化和数据增强的恶意代码特征提取方法出发,对基于深度学习的恶意代码分类识别方法进行了总结,最后,对基于深度学习的恶意代码特征提取与识别方向的技术难点和未来发展趋势进行了分析与展望。

基于高维多目标序贯三支决策的恶意代码检测模型

针对传统基于二支决策的恶意代码检测方法在面对动态环境中的复杂海量数据时,没有考虑在信息不充足条件下进行决策产生影响的问题,本文提出了一种基于卷积神经网络的序贯三支决策恶意代码检测模型。通过卷积神经网络对样本数据进行特征提取并构建多粒度特征集,引入序贯三支决策理论对恶意代码进行检测。为改善检测模型整体性能,避免阈值选取的主观性,本文在上述模型的基础上,同时考虑模型的综合分类性能、决策效率和决策风险代价建立高维多目标序贯三支决策模型,并采用高维多目标优化算法对模型进行求解。仿真结果表明,模型在保证检测性能的同时,有效地提升了决策效率,降低了决策时产生风险代价,更好地拟合了真实动态检测环境。

基于学习的源代码漏洞检测研究与进展

源代码漏洞自动检测是源代码漏洞修复的前提和基础,对于保障软件安全具有重要意义.传统的方法通常是基于安全专家人工制定的规则检测漏洞,但是人工制定规则的难度较大,且可检测的漏洞类型依赖于安全专家预定义的规则.近年来,人工智能技术的快速发展为实现基于学习的源代码漏洞自动检测提供了机遇.基于学习的漏洞检测方法是指使用基于机器学习或深度学习技术来进行漏洞检测的方法,其中基于深度学习的漏洞检测方法由于能够自动提取代码中漏洞相关的语法和语义特征,避免特征工程,在漏洞检测领域表现出了巨大的潜力,并成为近年来的研究热点.本文主要回顾和总结了现有的基于学习的源代码漏洞检测技术,对其研究和进展进行了系统的分析和综述,重点对漏洞数据挖掘与数据集构建、面向漏洞检测任务的程序表示方法、基于机器学习和深度学习的源代码漏洞检测方法、源代码漏洞检测的可解释方法、细粒度的源代码漏洞检测方法等五个方面的研究工作进行了系统的分析和总结.在此基础上,给出了一种结合层次化语义感知、多粒度漏洞分类和辅助漏洞理解的漏洞检测参考框架.最后对基于学习的源代码漏洞检测技术的未来研究方向进行了展望.

基于Bi-LSTM模型的恶意JavaScript代码检测方法

传统的静态检测恶意JavaScript代码方法十分依赖于已有的恶意代码特征,无法有效提取混淆恶意代码特征,导致检测混淆恶意JavaScript代码的精确率低。针对该问题提出基于双向长短期记忆网络(Bidirectional Long Short-term Memory, Bi-LSTM)的恶意代码检测模型。通过抽象语法树将JavaScript代码转化为句法单元序列,通过Doc2Vec算法将句法单元序列用分布式向量表示,将句向量矩阵送入Bi-LSTM模型进行检测。实验结果表明,该方法对于混淆恶意JavaScript代码具有良好的检测效果且检测效率高,准确率为97.03%,召回率为97.10%。

一种基于增量学习的恶意代码检测方法

文章提出了一种基于增量学习的恶意代码检测方法,不仅可以减小模型大小和使用的系统资源,保证准确率,而且还可以在降低模型训练时间的基础上有效解决大多数算法所面临的灾难性遗忘问题和数据流不平衡所产生的概念漂移现象。首先将良性和恶意代码的二进制文件转换成RGB三通道彩色图,然后提取图片特征进行增量训练。文章提出的方法将训练过程分为训练卷积层和全连接层、在偏差校正层使用线性模型校正残差两个阶段。实验结果表明,模型对恶意代码检测的准确率为95.8%,可以有效地提高分类精度,因此,可以很好地用于恶意代码检测。

基于词汇的源代码克隆检测技术综述

代码克隆指在软件开发过程中对源代码复用、修改、重构产生的文本相似或结构相似的代码。代码克隆对提升软件开发效率、节约开发成本有积极作用,但也会引起Bug传播,并对软件的稳定性、可维护性产生负面影响。代码克隆检测在剽窃检测、漏洞检测、版权侵权等领域具有重要的研究意义和应用价值。基于词汇的克隆检测技术能快速检测1-3型克隆,能扩展到其他编程语言,已被广泛应用于大规模克隆检测任务中。文中对近5年基于词汇的克隆检测技术的研究现状进行了梳理,根据相似性算法中的基本计算粒度将其分为4类,并对10余个技术特征进行了分析和总结,讨论其局限性及面临的挑战,最后结合新技术的发展提出了基于词汇的克隆检测技术未来可能的研究方向。

基于动态切片与预训练模型的代码漏洞检测

当前大部分基于深度学习的漏洞检测模型,通常以整个文件或函数作为输入,检测粒度较粗,存在准确率低下、可扩展性差等挑战.为了应对这些挑战并提升漏洞检测技术的性能,同时针对静态切片方法在发现特定执行条件下的漏洞存在不足的问题,提出了一种基于动态切片与预训练模型的代码漏洞检测方法.通过动态切片获取包含路径特征的语句块,借助CodeBERT预训练模型的语义提取能力将具有语义特征和路径特征的动态切片结果表示成二维张量;将代码结构和语义特征编码成灰度图像中的像素值,借助Swin Transformer的特征提取能力,以此更准确地进行漏洞检测.实验数据表明本文的方法取得了较好的效果,可降低误报率和漏报率,同时提高漏洞检测的准确性和可靠性.

基于依赖增强的分层抽象语法树的代码克隆检测

在软件工程领域,基于语义相似的代码克隆检测方法可以降低软件维护的成本并预防系统漏洞,抽象语法树(AST)作为典型的代码抽象表征形式,已成功应用于多种程序语言的代码克隆检测任务,然而现有工作主要利用原始AST提取代码的语义,没有深入挖掘AST中的深层语义和结构信息。针对上述问题,提出一种基于依赖增强的分层抽象语法树(DEHAST)的代码克隆检测方法。首先,对AST进行分层处理,将AST划分得到不同的语义层次;其次,为AST的不同层次添加相应的依赖增强边构建DEHAST,将简单的AST变成具有更丰富程序语义的异构图;最后,使用图匹配网络(GMN)模型检测异构图的相似性,实现代码克隆检测。在BigCloneBench和Google Code Jam两个数据集上的实验结果显示,DEHAST能够检测100%的Type-1和Type-2代码克隆、99%的Type-3代码克隆和97%的Type-4代码克隆;与基于树的方法ASTNN(AST-based Neural Network)相比,F1分数均提高了4个百分点,验证了DEHAST可以较好地完成代码语义克隆检测。

基于行为特征的PowerShell恶意代码检测模型

随着网络攻击技术的发展,PowerShell恶意代码被广泛应用于无文件攻击中。为了有效检测PowerShell恶意代码,提出一种基于行为特征的PowerShell恶意代码检测模型。首先,通过搭建CAPE沙箱运行分析PowerShell脚本提取API序列。随后,使用一维卷积层提取获取API序列的短距离依赖关系,在应用Bi-LSTM获取API序列之间的时序依赖关系后,利用Transformer编码器捕获序列间的长距离依赖和全局关系。最后,使用全连接层实现恶意性检测。实验结果表明,模型能够有效检测PowerShell恶意代码。

基于神经网络平滑聚合机制的恶意代码增量训练及检测

为保证恶意代码变种检测模型的时效性,传统基于机器(深度)学习的检测方法通过集成历史数据和新增数据进行重训练更新模型存在训练效率低的问题。笔者提出一种基于神经网络平滑聚合机制的恶意代码增量学习方法,通过设计神经网络模型平滑聚合函数使模型平滑演进,通过添加训练规模因子,避免增量模型因训练规模较小而影响聚合模型的准确性。实验结果表明,对比重训练方法,增量学习方法在提升训练效率的同时,几乎不降低模型的准确性。

代码缺陷检测中被测模块开销预测方法

随着代码规模越来越大、代码文件越来越复杂,代码缺陷检测工具需要采用并行的方法进行调度。为了更好地使用并行的方法进行调度,提高缺陷检测效率和硬件资源利用率,提出一种代码缺陷检测中被测模块开销预测方法。该方法根据DTS(Defect Testing System)缺陷检测流程的特点提取出时间开销特征和空间开销特征,通过深度记忆网络提取出语义特征,将时间开销特征与语义特征进行融合得到融合特征,使用回归模型对融合特征进行时间开销的预测,对空间开销特征进行空间开销的预测。在8个开源C工程上的实验结果表明,该方法在开销预测方面有着较好的表现。

基于预训练Transformer语言模型的源代码剽窃检测研究

为解决源代码剽窃检测的问题,以及针对现有方法需要大量训练数据且受限于特定语言的不足,提出了一种基于预训练Transformer语言模型的源代码剽窃检测方法,其结合了词嵌入,相似度计算和分类模型。该方法支持多种编程语言,不需要任何标记为剽窃的训练样本,即可达到较好的检测性能。实验结果表明,该方法在多个公开数据集上取得了先进的检测效果,F1值接近。同时,对特定的能获取到较少标记为剽窃训练样本的场景,还提出了一种结合有监督学习分类模型的方法,进一步提升了检测效果。该方法能广泛应用于缺乏训练数据、计算资源有限以及语言多样的源代码剽窃检测场景。

一种基于多图像特征融合和GA-Stacking的恶意代码检测模型

随着互联网技术的不断进步,应用程序数量呈现出高速增长的态势,同时恶意软件的数量和种类不断增长,加剧了网络空间安全风险。基于多图像特征融合和GA-Stacking的恶意代码检测模型选取图像全局图像结构张量(Global Image Structure Tensor,GIST)特征、图像方向梯度直方图(Histogram of Oriented Gradient,HOG)特征和图像灰度共生矩阵(Gray Level Co-occurrence Matrix,GLCM)特征等表征恶意代码,采用遗传算法(Genetic Algorithm,GA)和Stacking策略对支持向量机(Support Vector Machine,SVM)、K近邻(K Nearest Neighbors,KNN)、随机森林(Random Forest,RF)等基分类器进行两阶段递进优化,以增强模型的检测性能。在恶意代码数据集DataCon2020上的实验结果显示,该模型检测准确率达到98.13%,F1值达到97.13%,相较于对比模型,均有明显提升。

基于大型工控网络的恶意代码检测技术研究

目前,针对工业控制系统(ICS)网络安全的途径主要是基于防火墙、数据二极管和其他入侵防御方法,这可能不足以应对那些日益增长的、来自积极攻击者的网络威胁。为了提高ICS的网络安全性,提出一种基于行为特征分析的恶意代码检测方法,该方法综合利用网络流量数据、主机系统数据以及测量的过程参数,实现对恶意代码的精准检测。详细分析ICS的业务特征以及网络拓扑,剖析针对ICS的网络攻击技术。所提方法通过对ICS的原始日志信息以及流量信息进行提取,利用基于空间分析和时间分析相互融合的恶意代码检测方法对ICS行为数据进行异常检测。实践表明,所提方法可以有效发现隐藏在网络中的恶意代码攻击行为。

基于自然语言处理的程序代码缺陷检测

本研究深入探讨了一种基于循环神经网络(recurrent neural network,RNN)的程序代码缺陷检测方法,并将其应用于公共漏洞和暴露(common vulnerabilities and exposures,CVE)数据集。首先,设计一个完整的程序代码缺陷检测框架。其次,通过引入L2正则化对基于RNN的模型进行优化,以提高模型的泛化能力和抗过拟合能力。最后,采用CVE数据集对所提出的方法进行测试,并与传统RNN方法进行对比。结果表明,该方法在准确率、精确率、召回率和F1值等评价指标上均优于传统RNN方法,具有更好的性能和效果。

基于图神经网络的代码抄袭检测方法

随着数据开源的不断深化,代码抄袭成本降低,严重影响软件行业的健康发展。因此,针对现有抄袭检测方法无法深度挖掘源代码语义和结构信息导致语义抄袭检测效果不佳的问题,提出一种基于图神经网络的代码抄袭检测方法。该方法利用图神经网络对源代码包括语义和结构信息在内的特征进行有效表征,并利用图注意力网络进行特征强化,进一步利用神经张量网络得到不同源代码之间的相似向量。最后,利用全连接网络计算不同源代码之间的相似度。同时,加入dropout机制平衡神经元权重,优化模型设计,防止过拟合。为了验证所提方法的有效性,在OJ系统数据集上进行实验验证,并将此方法与当前流行的检测方法进行了对比。实验结果表明,所提方法具有更好的检测效果。

一种基于卷积神经网络的恶意代码检测模型

随着恶意代码规模和种类的不断增加,传统的检测方法难以应对恶意代码变体和复杂加密样本等问题。本文提出了一种基于卷积神经网络的恶意代码检测模型AMCMnet(Adaptive Multi-Convolutional Memory Network)。首先,该模型从多个角度获取代码特征,采用软阈值函数进行去噪处理,解决特征图像缩放引起的特征信息丢失问题。其次,通过在DenseNet121架构中引入动态挤压激励模块(Dynamic Squeeze-and-ExcitationModule,DSEM)动态调整特征图的权重,增强对关键信息的捕捉能力,从而实现对恶意代码的检测。实验结果表明,与现有的恶意代码检测方法相比,AMCMnet在精确率、准确率、召回率和F1分数等指标上均显著提升,特别是在处理恶意软件变体和复杂加密样本时,展现出更强的泛化能力和抗干扰能力。

基于微服务架构的源代码安全检测技术研究

近年来,随着各种新技术新理念在各行各业的广泛应用,各类软件安全问题也正在影响软件的使用。尤其在金融领域,软件安全不仅关系到客户的个人信息安全,而且还直接影响到人身和财产安全。源代码是软件的根本,对软件的源代码安全检测是保证软件安全最有效的措施之一。只有源代码中的安全缺陷尽早在开发生命周期中消除,应用安全风险才能得到更好的控制,从而最终的软件产品具备更好的安全性。文章结合源代码安全测试工具对软件安全测试开展研究,基于微服务架构自主研发源代码安全检测平台,提供了一个方便、直观、易用的软件安全检测平台。

提升多维特征检测迷惑恶意代码

针对迷惑恶意代码识别率较低的问题,提出一种基于提升多维特征的迷惑恶意代码检测算法.该算法在对迷惑恶意代码反汇编后进行静态分析,从Opcode分布序列、调用流图特征、系统调用序列图这3个特征维度对恶意代码家族特征进行归纳和分析,结合统计和语义结构特征表现恶意代码"行为"特性,从而对分类结果加权投票后给出迷惑恶意代码家族判定信息.实验结果表明,该方法对迷惑恶意代码家族检测准确率较高.

基于语义的恶意代码行为特征提取及检测方法

提出一种基于语义的恶意代码行为特征提取及检测方法,通过结合指令层的污点传播分析与行为层的语义分析,提取恶意代码的关键行为及行为间的依赖关系;然后,利用抗混淆引擎识别语义无关及语义等价行为,获取具有一定抗干扰能力的恶意代码行为特征.在此基础上,实现特征提取及检测原型系统.通过对多个恶意代码样本的分析和检测,完成了对该系统的实验验证.实验结果表明,基于上述方法提取的特征具有抗干扰能力强等特点,基于此特征的检测对恶意代码具有较好的识别能力.