恶意代码可视化检测技术研究综述

最新推荐文章于 2025-10-21 14:40:24 发布
原创 最新推荐文章于 2025-10-21 14:40:24 发布 · 5.9k 阅读 · 81 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#python #机器学习 #人工智能

摘要

随着反检测技术的不断发展,产生了大量形态多样的恶意代码变种,传统检测技术已无法准确检测出该种未知恶意代码。由于数据可视化方法能将恶意代码的核心表现在图像特征中,因此可视化恶意代码检测方法受到越来越多关注。首先对传统恶意代码检测技术进行概括总结,然后介绍当前主流的恶意代码可视化方法,接着分析了基于恶意代码图像的机器学习与深度学习检测方法,具体涵盖了该方法所用的模型结构、创新点及评估结果,最后对当前检测技术所面临的问题进行总结,并阐述了未来可能的研究方向,旨在助力恶意代码检测技术的发展。

关键词

反检测技术; 恶意代码; 数据可视化; 机器学习; 深度学习

0 引言

在大数据时代,互联网的发展加快了人们生活节奏,极大程度提高了生活品质,但在很多方面都存在着无法避免的安全问题。随着计算机技术的不断发展,越来越多黑客通过网络攻击来获取利益,恶意代码即是其中的常见手段之一。恶意代码的泛滥给国家、社会及个人带来了巨大危害。2020年,国家互联网应急中心CNCERT捕获恶意程序样本数量超过4 200万个,日均传播次数达到482万余次,涉及恶意程序家族近34.8万个[1]。因此,如何快速、准确地检测出恶意代码,是目前网络安全领域的研究热点。

目前,国内外针对恶意代码检测技术进行全面综述的文献较少。如文献[2]从动态、静态和形式化3个角度分析各种检测方法的原理及优缺点,但文献发表时间较长,缺乏先进性与全面性;文献[3]是一篇全面描述在Windows平台上进行恶意软件检测的综述性文章,从特征提取、特征处理及分类器设计方面对智能检测进行归纳与总结,但对当前研究热点(基于可视化的恶意代码检测)的分析较少。本文对不同类型的恶意代码检测方法进行全面的调研分析,从恶意代码可视化方法、图像特征提取、分类器设计、当前检测所面临的问题4个方面系统地进行探究,总结了近年来针对恶意代码检测的新兴技术,提出未来可能的研究方向,旨在提高恶意代码检测的准确率与效率。

1 传统恶意代码检测方法

恶意代码也称为恶意软件,是指通过各种手段对用户、计算机或网络造成破坏的软件。通过人工分析恶意代码具体函数来检测恶意软件,不仅时间成本高,而且检测效率低、实用性差。依据是否运行程序可将传统恶意代码检测技术分为静态检测、动态检测与混合检测3类。

1.1 静态检测技术

静态检测技术不需要运行恶意软件,其研究重点在于如何准确、有效地提取静态特征。通常对恶意代码文件进行反编译、反汇编、文件结构分析以及控制流与数据流分析,提取程序中的指令、字节序列、文件头部信息等作为静态特征。该方法的优点在于能耗小、风险低、速度快,且对实时性要求低,对恶意样本覆盖率高,可快速捕获语法和语义信息进行全面分析,但缺点是受到经变形、多态、代码混淆技术处理后的恶意代码干扰,会出现误报和漏报的情况。本文根据静态特征种类对不同静态检测技术进行探究与分析。

恶意代码的字节序列特征通常使用N-Gram方法提取,原因是恶意代码由字符、文字和符号等构成,包含了语义和区块结构,所以统计语言模型N-Gram适用于恶意代码特征提取。N-Gram方法需要设置一个长度为n的滑动窗口,在原始字节序列上进行平滑操作,将长度为n的子序列频率作为特征,提取方式如1所示。Schultz等[4]是第一个使用N-Gram方法在基于Windows平台下提取特征的,其将特征输入到各个分类器,并通过五倍交叉验证实验验证了N-Gram方法优于单纯基于签名的方法。滑动窗口大小是N-Gram方法的重要参数,将直接影响到恶意代码检测准确率。如果n值过小,提取的特征缺乏代码的整体性,容易陷入局部最优;如果n值过大,会影响特征之间的相关性。Kolter等[5]设置不同n值的N-Gram法进行特征提取,旨在找出最优n值以提高恶意代码检测准确率。由于N-Gram特征提取存在方法单一、效率较低等问题,通常将N-Gram提取的字节序列特征与其他特征融合或采用不同n值特征进行训练[6-7]。

1  N-Gram提取字节序列特征

Fig. 1  N-Gram extracts byte sequence features

PE文件通常由DOS头、PE头与各类区块段组成,具体结构如2所示。由于PE头是特有的可执行文件头,包含程序文件的结构特征、动态链接库及导入导出表等信息,所以PE头信息也可作为恶意代码检测的静态特征。Li等[8]将恶意代码样本中的文件头、熵、DLL等信息作为特征,并通过实验证明了训练出的分类器对重要类别的自动规避攻击具有鲁棒性;Kumar等[9]组合了PE头的原始值与派生值,对比了集成特征集与原始特征集(头部信息、熵等特征)在机器学习分类器中的效果,通过实验证明了集成特征集训练出的分类器能以较高精度与较低成本分类出良性或恶性代码。

2  PE文件结构

Fig. 2  PE file structure

除上述两种静态特征外,还有动态链接库(DLL)、API序列、可阅读字符串和熵等信息可作为静态特征。但随着对抗反汇编、反调试、反虚拟机、加壳与脱壳等恶意代码反检测技术的发展,使得传统静态检测方法提取的特征不能准确代表恶意代码攻击信息。

1.2 动态检测技术

动态检测技术是指监控恶意代码在虚拟环境(模拟器)中运行的行为。为充分展现恶意代码的行为及隐藏功能,需在运行前赋予恶意代码足够的权限。要保障含有不同攻击内容的恶意代码能

最低0.47元/天 解锁文章
[系统安全] 三十二.恶意代码检测(2)常用技术详解及总结
杨秀璋的专栏
07-16 1万+
前文从产业界和学术界分别详细讲解恶意代码攻击溯源的相关知识,在学术界方面,用类似于综述来介绍攻击追踪溯源的不同方法;在产业界方面,主要参考李东宏老师从企业恶意样本分析的角度介绍溯源工作。这篇文章将详细总结恶意代码检测技术,包括恶意代码检测的对象和策略、特征值检测技术、校验和检测技术、启发式扫描技术、虚拟机检测技术和主动防御技术。希望这篇文章对您有所帮助,如果文章中存在错误、理解不到位或侵权的地方,还请告知作者与海涵。且看且珍惜,加油~
恶意代码可视化检测技术研究综述.docx
06-18
恶意代码可视化检测技术研究综述.docx
浅谈恶意代码检测分析
2301_76161259的博客
04-25 1791
现有的恶意代码变种,在实现上可大致分为两类:一类是基于基础技术的共用,恶意代码开发人员通过重用基础模块实现变种;一类是恶意代码专门针对现有防范技术而设计开发的混淆技术。混淆技术按实现机理,可分为两类:一类是干扰反汇编的混淆,使反汇编无法得到正确结果,从而阻碍进一步分析;另一类是指令/控制流混淆,此类混淆技术通常采用垃圾代码插入、寄存器重分配、等价指令替换及代码变换等方式,改变代码的语法特征,隐藏其内部逻辑关系。
12、自动化恶意软件哈希收集与威胁情报查询
最新发布
neovim7hacker的博客
10-21 32
本文介绍了两个实用的Python脚本,用于自动化收集恶意软件哈希列表和查询潜在恶意网站或文件的威胁情报。第一个脚本从VirusShare下载并整合大量恶意软件MD5哈希值,便于后续比对识别;第二个脚本利用VirusTotal API 对域名、IP或文件哈希进行批量查询,并将结果导出为CSV文件,支持请求频率控制以适配公共API限制。文章还提供了使用注意事项、扩展建议及实际应用案例,帮助安全分析师高效开展威胁检测与响应工作。
恶意代码检测技术的演化
03-21 2403
在本文中我们讨论了识别恶意代码的各种方法,它们彼此间在功能上(以及时间上)的联系,它们的技术以及特点。从一个方面讲,这里写到的许多技术和原理实际上并不仅仅可以用在反病毒方面,还可以用在计算机安全系统里更为广泛的环境下。从另一方面讲,有很多技术,它们确实重要,但只用在反病毒方面,如脱壳和流特征检测,对这样的技术本文没有讨论。引言最初的搜索恶意程序的技术是基于特征码的。特征码是一段能唯一确定恶
恶意代码检测
qq_42646885的博客
12-15 4699
恶意代码定义 恶意代码也称为恶意软件,是对各种敌对和入侵软件的概括性术语。包括各种形式的计算机病毒、蠕虫、特洛伊木马、勒索软件、间谍软件、广告软件以及其他的恶意软件。 恶意代码的种类 计算机病毒:指寄居在计算机系统中,在一定条件下被执行会破坏系统、程序的功能和数据,影响系统其他程序和自我复制。 蠕虫:也算是一种病毒,它具有自我复制能力并通过计算和网络的负载,消耗有限资源。 特洛伊木马:也...
4、软件安全指标与代码克隆检测技术综述
pea55的博客
07-02 93
本文综述了软件安全指标与代码克隆检测技术的研究现状及发展趋势。文章分析了当前软件安全指标在开发和验证中存在的问题,探讨了代码克隆的分类、检测方法及工具,并揭示了两者在软件开发中的关联和影响。最后,文章提出了未来发展方向及实际应用建议,旨在为提升软件质量和安全性提供参考。
15、安卓恶意软件检测智能技术综述
defi6farmer的博客
08-19 41
本文综述了基于智能技术的安卓恶意软件检测方法,涵盖静态、动态和混合分析技术。重点介绍了特征选择算法(如信息增益、相似性度量)、关联规则挖掘在权限分析中的应用,以及分类模型的评估指标。通过多个公开数据集和实验分析,比较了不同算法在准确率和F值上的表现。文章还探讨了恶意软件的盈利模式与检测挑战,如权限滥用、代码混淆和零日漏洞,并提出了多维度特征提取、机器学习与深度学习融合、实时动态分析及威胁情报共享等应对策略。最后展望了人工智能、区块链和物联网安全融合等未来发展趋势,并为用户和安全机构提供了实用建议。
malwarez:地球地图上的恶意软件可视化
06-28
恶意软件Z MalwareZ 是一个在地球地图上可视化恶意软件活动的项目。 当前版本是 v0.2a。 目标 目的是通过历史数据提供恶意软件活动的实时可视化。 这是一个示例演示: : : 当前状态 在演示站点 v0.2a 有两个可视化。 其中之一是显示根据地理位置检测到的恶意软件数量的 2D 地图。 数据是使用从分布式蜜罐中。 单击国家将导致 3D 地图显示。 通过观察条形高度,您将看到每个国家/地区的恶意软件命中率。 第二个可视化是热图显示。 无论是查看多样性还是恶意软件数量,都会重新生成热图。 2D 地图和热图都在实时模式下工作,即您将看到黄色或绿色圆点,这意味着此时检测到新的恶意软件命中。 根据与 hpfeeds 一起使用的通道频率,可能会看到更多的点。 单击左侧箭头可以收集一些统计知识。 滑动面板将显示顶部端口和 IP 号码。 如何安装 在安装之前,请确保您的系统已经
恶意代码检测方法与实践
AndyStorebrush的博客
12-24 1206
这些知识来源于Lets TG平台。什么是恶意代码恶意代码(Malware)是指旨在破坏计算机系统、窃取敏感信息或对系统进行非法操作的软件。常见的恶意代码包括病毒、蠕虫、特洛伊木马、勒索软件等。恶意代码检测方法1.签名检测:基于已知恶意代码的特征码进行检测。这种方法速度快,但难以检测未知的恶意代码。2.行为检测:通过监控程序的行为,判断其是否有恶意行为。这种方法能检测未知的恶意代码,但容易产生误报。3.基于机器学习检测:通过训练机器学习模型来识别恶意代码
Malicious-Code-Detection:该资源为恶意代码检测与识别的相关链接汇总,希望对您有所帮助!-源码资源
03-24
恶意代码检测 该资源为恶意代码检测与识别的相关链接汇总,希望对您有所帮助! 这是一个webshel​​l收集项目 送人玫瑰,手有余香,如果各位下载了本项目,也请您能提交shell 本项目涵盖各种常用脚本 如:asp,aspx,php,jsp,pl,py 收集自网络各处的webshel​​l样本,用于测试webshel​​l扫描器检测率。 史上最全的恶意软件地址集合 最新webshel​​l大合集收集与整理了各种webshel​​l,在日后的项目中做Webshel​​l检测训练。 网络安全数据集 本文主要收录安全相关的数据集,适合初创,中小型企业用于训练和验证自己的机器学习的模型,提高准确率和准确度。后续会慢慢补充,慢慢增加。 恶意Web请求数据集 数据集:1.KDD99网络流量数据集,有dos,u2r,r21,probe等类行攻击2.HTTP DATASET CSIC 2010,包含
VirusSign:使用深度学习技术的可视化恶意软件分类实验
05-17
深度学习应用于恶意软件分类 该存储库包含使用深度学习技术的可视化恶意软件分类实验。 预训练的VGG16砝码可从以下网站下载:
机器学习算法的恶意代码检测
03-04
论文 有关用机器学习算法进行恶意代码检测。分别针对静态、动态这 2 种分析 模式下的检测方案进行了讨论,涵盖了恶意代码样本采集、特征提取与选择、机器学习算法分类模型的建立等要点。对机器学习算法下恶意代码检测的未来工作与挑战进行了梳理。为下一代恶意代码检测技术的设计 和优化提供了重要的参考
论文研究-基于行为分析和特征码的恶意代码检测技术.pdf
07-22
提出一种新的恶意代码检测技术,能自动检测和遏制(未知)恶意代码,并实现了原型系统。首先用支持向量机对恶意代码样本的行为构造分类器,来判断样本是否是恶意代码,同时对恶意代码提取出特征码。运行在主机的代理利用特征码识别恶意代码并阻断运行。为了精确分析程序行为,将程序放入虚拟机运行。实验结果表明,相对于朴素贝叶斯和决策树,系统误报率和漏报率均较低,同时分布式的系统架构加快了遏制速度。
从零开始学习恶意软件聚类可视化
Yale的博客
06-19 1173
0x00前言 本文章数据集来自Mandiant对某APT组织样本的整理,分析结果仅做学习探讨之用。 0x01 在本文开始之前,我们首先要明白为什么要做恶意样本的聚类分析。针对APT活动而言,我们需要知道一点,单纯的被动防御是没有胜算的,必须要学会主动防御。什么是主动防御呢?由于APT攻击的特性,总是一点点进行渗透,不会一下子造成大动静,我们要做的就是从其前期的攻击行为中归纳出攻击者的特征、行为,才能帮助我们可以进行更好的防御。而对恶意软件的聚类分析,就是其中不可或缺的一环。通过聚类,我们可以知道哪些恶意软件
恶意软件检测技术综述
北国觅梦
09-29 6716
目录 恶意软件检测技术综述 摘要 第一章绪论 第二章理论准备 2.1恶意软件检测技术与恶意软件检测器 2.2恶意软件检测研究现状 2.2.1基于异常的检测研究现状 2.2.2基于签名的检测研究现状 第三章从计算机系统结构看恶意软件检测 第四章总结 恶意软件检测技术综述 摘要 本文介绍了恶意软件、恶意软件探测技术和探测器的定义,以及研究它们的现实意义。概述了恶意软件探测技术的具体分类和各个类别的研究现状。结合研究现状,总结了软件探测器性能损耗高,覆盖范围有限的特点...
恶意代码检测方法(静态分析方法)
Super_FROG的博客
07-30 2614
1.图像法 参考论文《一种基于多特征集成学习的恶意代码静态检测框架》 将二进制文件按照8b无符号整数依次读取并存入向量中;其次读取文件大小,根据文件大小与灰度图宽度映射表得到灰度图的 width,而后根据文件大小和 width计算灰度图的height,将 这些向量转为形状是[height,weight]的 2D数组,最后将2D数组可视化[0,255] 范围内的灰度图像。 2.源代码检测 参考论文《基于深度学习的JavaScript恶意代码检测技术研究与实现_杨宇行》 一段恶意代码和非恶...
恶意软件检测-综述】Deep Learning for Android Malware Defenses:a Systematic Literature Review
czc的博客的csdn版本,欢迎访问我的还在建设的个人网站:czchx.cc
11-16 2168
恶意应用程序(特别是针对 Android 平台的应用程序)对开发人员和最终用户构成严重威胁。大量的研究工作致力于开发有效的方法来防御 Android 恶意软件。然而,鉴于Android恶意软件的爆炸式增长以及混淆、反射等恶意规避技术的不断进步,基于手动规则或传统机器学习的Android恶意软件防御方法可能并不有效。近年来,深度学习(DL)这一主导研究领域提供了强大的特征抽象能力,在自然语言处理和计算机视觉等多个领域表现出了令人信服且有前途的性能。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

宋罗世家技术屋

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值