【摘 要】 本文提出了一种基于AlexNet卷积神经网络的检测方法。首先,对APT攻击恶意代码二进制样本进行解压缩、反编译等数据预处理操作,并在沙箱内运行APT攻击恶意代码样本,将获取的流量数据转化成灰度图像;然后,对预处理的图像进行特征提取和家族聚类;最后,选取8个家族的APT攻击恶意代码样本数据来训练和测试AlexNet卷积神经网络模型。实验结果表明,该方法对APT攻击恶意代码及其变体检测的平均准确率可达98.84%。
【关键词】APT攻击 恶意代码 灰度图像 AlexNet网络
1 引言
与传统网络攻击不同的是,APT攻击组织通常受雇于国家或政府,攻击行为具有国家意志,拥有最先进的网络攻击工具、相当成熟的攻击方案,能够演变出层出不穷的攻击变体,使得现有网络安全防御措施在APT攻击面前形同虚设。为应对这一紧迫的网络空间安全威胁,针对APT攻击的防护技术研究也蓬勃发展。本文首先介绍了APT攻击的相关知识,分析了研究现状,之后提出了一种基于AlexNet卷积神经网络的APT攻击恶意代码及其变体的检测技术,最后通过实验验证了技术的可行性和准确性,可为现阶段APT攻击检测工作提供参考。
2 APT攻击研究技术
纵观国内外APT攻击防护领域,主要采取的方式是针对APT攻击中所用的恶意代码进行检测。APT攻击恶意代码的检测方式主要分为动态检测和静态检测两类。
在动态检测中,主要通过沙箱收集APT攻击恶意代码的系统调用、操作,检测恶意软件的异常情况。Rieck等使用在沙箱中运行恶意样本,监控了其网络行为,通过机器学习分析APT攻击网络行为信息,实现对恶意代码的检测;Shukla等通过在应用程序和内核层创建沙箱,监视和控制应用程序的行为,同样利用了机器学习的方法实现检测。在虚拟机和沙箱中进行的虚拟检测存在的缺陷使大部分APT攻击恶意代码可通过加壳、混淆等技术躲避安全人员的虚拟执行,从而降低检测准确性。
在静态检测中,安全人员主要通过提取和分析APT攻击恶意代码,匹配恶意代码库的方式检测和分类攻击行为。Saxe等通过统计APT攻击恶意代码二进制文件中恶意软件中可打印的字符、字节数值的熵值、调用的函数表等内容,并将统计结果作为数据集训练深度神经网络获得分类模型,最终实现分类;Zhang等将二进制可执行文件分解成操作码序列并作为特征向量,以此训练神经网络分类模型。静态检测主要受到APT攻击样本集的限制,若出现新的APT攻击恶意代码变体,静态检测的准确性将大打折扣。
随着APT攻击恶意代码威胁从个人计算机扩散至工业控制系统,APT攻击恶意代码领域出现了大量已有恶意代码的变体,能够绕过传统的基于代码特征的检测系统。因此,对APT攻击恶意代码变体的检测变得至关重要。本文通过运用动态和静态检测技术,结合代码可视化和深度学习技术,检测APT攻击渗透期所用的恶意代码及其变体,切断APT攻击链条,从而实现对APT攻击的防御。
3 基于AlexNet卷积神经网络的APT攻击恶意代码及其变体检测
3.1 方案设计
方案设计主要包括4个步骤,图1展示了方案整体的流程。
3.1.1 APT攻击恶意代码解压缩、反编译
在虚拟执行之前,需要对原始数据进行处理。为了对抗在动态沙箱上采取的虚拟执行分析检测,许多APT攻击恶意代码都通过代码混淆、压缩、变形、加壳等操作,增加了虚拟执行的时间成本和代码可变性。为克服上述不足,本文结合了静态和动态的解包技术处理原始的数据集。首先通过使用查壳工具PEID,检查并解包原始数据。PEID是采用匹配数据签名集的方式识别代码的加壳行为,采用已知的解包机制提取二进制文件中隐藏的代码,通过该技术可以侦测并解包出大部分的加壳行为。考虑到PEID可能未及时更新一些新的加壳打包技术,本文结合使用了动态解包工具PolyUnpack,其克服了静态查壳工具的局限性,进一步实现对APT攻击恶意代码的解包,并采用了反编译器W32asm对APT攻击二进制代码实现了反编译。解包流程图如图2所示。
3.1.2 虚拟执行获得灰度图像
在经过解压缩、反编译等处理之后,在带有抗逃逸技术的动态沙箱中运行二进制代码,排除HTTP等正常协议,过滤出带有SSL等数据传输协议和未知可疑协议的流量会话数据。通过B2M、T2G等映射算法将APT攻击恶意代码流量会话数据映射为灰度图,实现APT攻击恶意代码可视化,图3是将APT攻击恶意代码样本及其变体映射成的灰度图。为了使灰度图更容易识别和分类,本文采用了形态学中膨胀(dilation)和腐蚀(erosion)两种基本的形态学运算,对灰度图像进行图像增强处理,保留有用信息的同时清除噪声干扰,增强灰度图的对比度。图4是灰度图经过膨胀和腐蚀处理之后的对比。