随着互联网的繁荣，现阶段的恶意代码也呈现出快速发展的趋势，主要表现为变种数量多、传播速度快、影响范围广。在这样的形势下，传统的恶意代码检测方法已经无法满足人们对恶意代码检测的要求。比如基于签名特征码的恶意代码检测，这种方法收集已知的恶意代码，以一种固定的方式生成特定的签名，维护这样的签名库，当有新的检测任务时，通过在签名库中检索匹配的方法进行检测。暂且不说更新、维护签名库的过程需要耗费大量的人力物力，恶意代码编写者仅仅通过混淆、压缩、加壳等简单的变种方式便可绕过这样的检测机制。

为了应对上面的问题，基于机器学习的恶意代码检测方法一直是学界研究的热点。由于机器学习算法可以挖掘输入特征之间更深层次的联系，更加充分地利用恶意代码的信息，因此基于机器学习的恶意代码检测往往表现出较高的准确率，并且一定程度上可以对未知的恶意代码实现自动化的分析。恶意代码的检测本质上是一个分类问题，即把待检测样本区分成恶意或合法的程序。基于机器学习算法的恶意代码检测技术步骤大致可归结为如下范式：

采集大量的恶意代码样本以及正常的程序样本作为训练样本；对训练样本进行预处理，提取特征；进一步选取用于训练的数据特征；选择合适的机器学习算法训练分类模型；通过训练后的分类模型对未知样本进行检测。

深度学习作为机器学习的一个分支，由于其可以实现自动化的特征提取，近些年来在处理较大数据量的应用场景，如计算机视觉、语音识别、自然语言处理时可以取得优于传统机器学习算法的效果。随着深度学习在图像处理等领域取得巨大的成功，许多人将深度学习的方法应用到恶意软件检测上来并取得了很好的成果。实际上就是用深度神经网络代替上面步骤c中的人为的进一步特征提取和传统机器学习算法。根据步骤b中对训练样本进行预处理的方式，可以将检测分为静态分析与动态分析：静态分析不运行待检测代码，而是通过直接对程序（如反汇编后的代码）进行统计分析得到数据特征，而动态分析则在虚拟机或沙箱中执行程序，获取程序执行过程中所产生的数据（如行为特征、网络特征），进行检测和判断。这两种方式都各有优劣，下面我们分别讨论近年来以这两种方式进行恶意代码检测的研究成果。

静态分析，一般来说，在绝大部分情形下我们无法得到恶意程序的源代码。因此，常用的静态特征包括程序的二进制文件、从使用IDAPro等工具进行反汇编得到的汇编代码中提取的汇编指令、函数调用等信息，另外基于字符串和基于API调用序列的特征也是比较常见的。文献[i]提出一种对PE文件的恶意程序检测方法，提取PE文件四个类型的特征：字节频率、二元字符频率、PEImportTable以及PE元数据特征，采用包含两个隐藏层的DNN作为分类模型，但是为了提取长度固定的输入数据，他们丢弃了PE文件中的大部分信息。文献[ii]使用CNN作为分类器，通过API调用序列来检测恶意软件，其准确率达到99.4%，远高于传统的机器学习算法。然而，当恶意代码存在混淆或加壳等情形时，对所选取的静态特征具有较大的影响，因此静态分析技术本身具有一定的局限性。

动态分析，利用虚拟机或沙箱执行待测程序，监控并收集程序运行时显现的行为特征，并根据这些较为高级的特征数据实现恶意代码的分类。一般来讲，行为特征主要包括以下几个方面：文件的操作行为；注册表键值的操作行为；动态链接库的加载行为；进程访问的操作行为；系统服务行为；网络访问请求；API调用。文献[iii]通过API调用序列记录进程行为，使用RNN提取特征向量，随后将其转化为特征图像使用CNN进行进一步的特征提取，提取其可能包含的局部特征并进行分类。文献[iv]提出了一个基于动态分析的２层架构的恶意软件检测系统：第１层是RNN，用于学习API事件的特征表示；第２层是逻辑回归分类器，对RNN学习的特征进行分类，然而这种方法的误报率较高。文献[v]提出了用LSTM和GRU代替传统RNN进行特征的提取，并提出了使用CNN的字符级别的检测方案。文献[vi]提出在恶意软件运行的初期对其进行恶意行为的预测，他们使用RNN进行PE文件检测，根据恶意代码前４秒的运行行为，RNN对恶意软件的预测准确率是91%，随着观察的运行时间的增长，RNN的预测准确率也随之提高。可以看到，相对于静态分析，动态分析的过程更加复杂耗时，相对而言采用了较高层次的特征，因此可解释性也较差。

在网络攻击趋于精细化、恶意代码日新月异的今天，基于深度学习算法的恶意代码检测中越来越受到学术界和众多安全厂商的关注。但这种检测技术在现实应用中还有很多尚未解决的问题。例如上面提到的静态分析与动态分析存在的不足，现在发展的主流方向是将静态、动态分析技术进行结合，使用相同样本的不同层面的特征相对独立地训练多个分类器，然后进行集成，以弥补彼此的不足之处。除此之外，深度学习算法的可解释性也是制约其发展的一个问题，当前的分类模型一般情况下作为黑盒被加以使用，其结果无法为安全人员进一步分析溯源提供指导。我们常说攻防是息息相关的，螺旋上升的状态。既然存在基于深度学习的恶意代码检测技术，那么自然也有基于深度学习的或者是针对深度学习的恶意代码检测绕过技术，这也是近年来研究的热点问题，那么如何提高模型的稳健性，防止这些定制化的干扰项对我们的深度学习算法产生不利的影响，对抗生成网络的提出或许可以给出答案。

 

 

 

 

 

参考文献

[i]Saxe,J.,&Berlin,K.(2015,October).Deepneuralnetwork-basedmalwaredetectionusingtwo-dimensionalbinaryprogramfeatures.In201510thInternationalConferenceonMaliciousandUnwantedSoftware(MALWARE)(pp.11-20).IEEE.

[ii]Nix,R.,&Zhang,J.(2017,May).ClassificationofAndroidappsandmalwareusingdeepneuralnetworks.In 2017Internationaljointconferenceonneuralnetworks(IJCNN) (pp.1871-1878).IEEE.

[iii]Tobiyama,S.,Yamaguchi,Y.,Shimada,H.,Ikuse,T.,&Yagi,T.(2016,June).Malwaredetectionwithdeepneuralnetworkusingprocessbehavior.In2016IEEE40thAnnualComputerSoftwareandApplicationsConference(COMPSAC)(Vol.2,pp.577-582).IEEE.

[iv]Pascanu,R.,Stokes,J.W.,Sanossian,H.,Marinescu,M.,&Thomas,A.(2015,April).Malwareclassificationwithrecurrentnetworks.In2015IEEEInternationalConferenceonAcoustics,SpeechandSignalProcessing(ICASSP)(pp.1916-1920).IEEE.

[v]Athiwaratkun,B.,&Stokes,J.W.(2017,March).MalwareclassificationwithLSTMandGRUlanguagemodelsandacharacter-levelCNN.In 2017IEEEInternationalConferenceonAcoustics,SpeechandSignalProcessing(ICASSP) (pp.2482-2486).IEEE.

[vi]Athiwaratkun,B.,&Stokes,J.W.(2017,March).MalwareclassificationwithLSTMandGRUlanguagemodelsandacharacter-levelCNN.In2017IEEEInternationalConferenceonAcoustics,SpeechandSignalProcessing(ICASSP)(pp.2482-2486).IEEE.