[當人工智能遇上安全] 5.基于機器學習算法的主機惡意代碼識別研究

前一篇文章普及了基于機器學習的惡意代碼檢測技術，主要參考鄭師兄的視頻總結，包括機器學習概述與算法舉例、基于機器學習方法的惡意代碼檢測、機器學習算法在工業(yè)界的應用。這篇文章將分享兩篇論文，介紹機器學習是如何運用到惡意代碼攻擊中的，并談談自己的理解，后續(xù)深入研究嘗試分享相關實驗，目前還是小白一只。基礎性文章，希望對您有所幫助，詳見參考文獻。

文章目錄

一.什么是惡意代碼？

二.惡意代碼檢測方法

（一）傳統的惡意代碼檢測

（二）基于機器學習算法的惡意代碼檢測

三.惡意代碼樣本采集

四.基于機器學習的靜態(tài)分析方法

五.基于機器學習的動態(tài)分析方法

六.惡意代碼分類算法

七.惡意代碼檢測實戰(zhàn)知識

八.總結

前文推薦(華為云)：

[當人工智能遇上安全] 1.人工智能真的安全嗎？浙大團隊外灘大會分享AI對抗樣本技術

[當人工智能遇上安全] 2.清華張超老師 - GreyOne: Discover Vulnerabilities with Data Flow Sensitive Fuzzing

[當人工智能遇上安全] 3.安全領域中的機器學習及機器學習惡意請求識別案例分享

[當人工智能遇上安全] 4.基于機器學習的惡意代碼檢測技術詳解

[當人工智能遇上安全] 5.基于機器學習算法的主機惡意代碼識別研究

https://github.com/eastmountyxz/AI-Security-Paper

隨著互聯網的繁榮，現階段的惡意代碼也呈現出快速發(fā)展的趨勢，主要表現為變種數量多、傳播速度快、影響范圍廣。在這樣的形勢下，傳統的惡意代碼檢測方法已經無法滿足人們對惡意代碼檢測的要求。比如基于簽名特征碼的惡意代碼檢測，這種方法收集已知的惡意代碼，以一種固定的方式生成特定的簽名，維護這樣的簽名庫，當有新的檢測任務時，通過在簽名庫中檢索匹配的方法進行檢測。暫且不說更新、維護簽名庫的過程需要耗費大量的人力物力，惡意代碼編寫者僅僅通過混淆、壓縮、加殼等簡單的變種方式便可繞過這樣的檢測機制。

為了應對上面的問題，基于機器學習的惡意代碼檢測方法一直是學界研究的熱點。

由于機器學習算法可以挖掘輸入特征之間更深層次的聯系，更加充分地利用惡意代碼的信息，因此基于機器學習的惡意代碼檢測往往表現出較高的準確率，并且一定程度上可以對未知的惡意代碼實現自動化的分析

。下面讓我們開始進行系統的介紹吧~

一.什么是惡意代碼？

惡意代碼（Malicious Code）?是指運行在目標主機中，按照攻擊者所規(guī)定邏輯執(zhí)行的指令，其類別包括計算機病毒、蠕蟲、木馬、僵尸網絡、勒索軟件等。惡意代碼攻擊可以竊取核心數據和敏感信息，甚至對計算機系統和網絡造成破壞，是當今網絡安全的最大威脅之一。

惡意代碼分析是一種解剖惡意代碼的藝術，了解惡意代碼是如何工作、如何識別，以及如何戰(zhàn)勝或消除它。

現階段，惡意代碼呈現變種數量多、傳播速度快、影響范圍廣的特點。尤其需要注意的是，惡意代碼常針對新型漏洞（如零日漏洞）進行設計，是敵手發(fā)動?高級持續(xù)性威脅（APT，advanced persistent threat）?的主要技術手段。

基于行為的惡意代碼檢測技術?被許多安全廠商用來打造“主動防御”、“啟發(fā)式查毒”產品。瑞星合理地將該技術應用于本機威脅感知、本機威脅化解及“云安全”中心威脅自動判定分析中，該技術是瑞星“云安全”策略實施的輔助支撐技術之一。

二.惡意代碼檢測方法

（一）傳統的惡意代碼檢測

傳統的惡意代碼檢測包括基于簽名特征碼 （ signature ）的檢測和基于啟發(fā)式規(guī)則（heuristic）的檢測，在應對數量繁多的未知惡意代碼時，正面臨越來越大的挑戰(zhàn)。

1.基于簽名特征碼的檢測

簽名特征碼檢測方法通過維護一個已知的惡意代碼庫，將待檢測代碼樣本的特征碼與惡意代碼庫中的特征碼進行比對，如果特征碼出現匹配，則樣本為惡意代碼。該方法需要耗費大量的人力、物力對惡意代碼進行研究并要求用戶及時更新惡意代碼庫，檢測效率和效果越來越力不從心，并且很難有效抵御未知惡意代碼。

2.基于啟發(fā)式規(guī)則的檢測

啟發(fā)式規(guī)則檢測方法通過專業(yè)的分析人員對現有的惡意代碼進行規(guī)則提取，并依照提取出的規(guī)則對代碼樣本進行檢測。但面對現階段惡意代碼爆炸式的增長趨勢，僅依賴人工進行惡意代碼分析，在實施上變得愈發(fā)困難。

傳統的特征檢測技術優(yōu)缺點如下圖所示：

那么，什么是特征碼技術呢？行為分析又是指什么呢？

人類社會的“特征碼”技術是——指紋。截取初犯的指紋放入檔案，當再犯時，查對指紋，就可確定誰是犯人。法院可以根據法律和收集的信息來定罪。

我們又怎么給程序判定罪證呢？

把程序看成“人”，制定適用于這些“人”的“法律”，監(jiān)視這個“人”的動作，整理、歸納收集到的信息，根據“法律”來判定“人”的好壞，行為分析就這樣出現了！

行為分析定義為將一系列已經規(guī)定好的惡意行為做為規(guī)范，根據這些規(guī)范，去監(jiān)視程序做了什么，再結合這個規(guī)范來判定程序是否是惡意代碼。它并不什么新技術，而是病毒分析專家判定經驗的應用。

瑞星公司的行為分析模型如下圖所示，在惡意行為庫中，監(jiān)控層見識程序作了什么，組織層抽象信息，判斷模塊確定具體判定方式。

通過推理機和惡意行為庫判斷惡意行為、惡意程序和正常程序。

惡意行為庫是系統設計和實施的重點，直接影響整個系統的設計、實現以及效果。惡意動作、惡意行為要盡可能地區(qū)別正常程序與惡意代碼，病毒分析經驗的運用。除了病毒分析專家之外，沒有再合適不過的人選了。

木馬行為防御的判定層實現：

針對進程集進行判定。

實時比對，為每個進程集合創(chuàng)建并維護惡意行為庫的匹配上下文。

內置惡意動作發(fā)生即可，順序無關。

擴展惡意動作按順序判定。

木馬行為防御的組織層實現：

相關進程集合（創(chuàng)建關系，釋放關系）。

忽略可見進程的程序動作。

必要時將程序動作加工成惡意動作。

記錄程序創(chuàng)建或修改的文件。

木馬行為防御的監(jiān)控層實現：

文件監(jiān)控。

進程監(jiān)控。

注冊表監(jiān)控。

關鍵API調用監(jiān)控。

指定惡意行為庫：

惡意動作：（內置）自我復制，建立自啟動關聯，掛接全局自釋放鉤子等；（可擴展）程序動作+約束（自定義特征）。

惡意行為：多個不重復內置惡意動作，一組有先后順序的擴展惡意動作。

未來做什么：

快速虛擬機實現

更合適規(guī)模的模擬環(huán)境實現

更細粒度的信息組織

更多的惡意動作

（二）基于機器學習算法的惡意代碼檢測

基于機器學習算法的防護技術為實現高準確率、自動化的未知惡意代碼檢測提供了行之有效的技術途徑，已逐漸成為業(yè)內研究的熱點。根據檢測過程中樣本數據采集角度的不同，可以將檢測分為：靜態(tài)分析與動態(tài)分析。

靜態(tài)分析不運行待檢測程序，而是通過程序（如反匯編后的代碼）進行分析得到數據特征，而動態(tài)分析在虛擬機或仿真器中執(zhí)行程序，并獲取程序執(zhí)行過程中所產生的數據（如行為特征），進行檢測和判斷。

根據 Cohen 對惡意代碼的研究結果，可知惡意代碼檢測的本質是一個分類問題，即把待檢測樣本區(qū)分成惡意或合法的程序。

其核心步驟為：

采集數量充分的惡意代碼樣本；（難點）

對樣本進行有效的數據處理，提取特征；（難點）

進一步選取用于分類的主要數據特征；

結合機器學習算法的訓練，建立分類模型；

通過訓練后的分類模型對未知樣本進行檢測。

三.惡意代碼樣本采集

惡意代碼樣本的有效采集是進行代碼分析工作的基礎。當結合機器學習算法進行檢測時，只有通過充分的樣本數據訓練，分類模型才能更準確地實現檢測功能。一般來講，惡意代碼樣本的獲取途徑有如下幾種。

1.用戶端采樣

這是大多數殺毒軟件廠商的主要獲取方法，使用殺毒軟件的終端用戶將惡意代碼樣本上傳至廠商。該方法具有較好的實時性，但安全廠商的樣本數據往往選擇不對外開放，很難直接獲取。

2.公開的網絡數據庫

如 VirusBulletin、Open Malware、VX Heavens等，相比惡意代碼的更新速度，現階段公開在線樣本系統較有限，且站點存在隱蔽性不足、易遭到攻擊的問題。因此，建立威脅情報的共享機制，日益突顯出其重要性。

3. 其他技術途徑

通過蜜罐（如 Nepenthes蜜罐）等捕獲工具進行搜集，即設計一個專門的具有脆弱性的系統，誘導攻擊者進行攻擊進而得到惡意代碼樣本。一些木馬和網絡后門等也可以通過垃圾郵件陷阱或安全論壇（如卡飯論壇）的方式得到。

不過，上述技術途徑的捕獲樣本規(guī)模較有限。

蜜罐技術本質上是一種對攻擊方進行欺騙的技術，通過布置一些作為誘餌的主機、網絡服務或者信息，誘使攻擊方對它們實施攻擊，從而可以對攻擊行為進行捕獲和分析，了解攻擊方所使用的工具與方法，推測攻擊意圖和動機，能夠讓防御方清晰地了解他們所面對的安全威脅，并通過技術和管理手段來增強實際系統的安全防護能力。

四.基于機器學習的靜態(tài)分析方法

提取惡意代碼的靜態(tài)特征，通過對程序代碼進行逆向分析。常用的工具包括 IDA Pro、Hopper、OllyDbg 等。

1.樣本特征提取

①基于序列的特征類型

該方法在樣本特征的提取上應用最為廣泛，其代表技術為 N 元語法模型（N-gram）。N-gram 假定 N 個出現的詞只與之前出現的 N?1 個詞相關，其中，N 代表一個特征序列的長度。如果考慮一個長為 L 的詞組集合，則 N元語法模型會通過滑動窗口的形式，將詞組劃分為 L?N+1 個特征序列。例如，當 3-gram 被應用在詞集{PUSH, SUB, SAL, AND, DIV, LDS, POP}上（此時 L=7）時，如圖 2 所示，會得到 5 個特征序列，每個序列包含 3 個詞元。

Abou-Assaleh 等首先提出了基于字節(jié)（Byte）序列的特征提取框架，并使用 K 近鄰分類方法實現了惡意代碼的有效檢測。另一類詞元選擇方式是基于操作碼（Opcode）的，Opcode是描述程序執(zhí)行操作的機器語言指令，相對于字節(jié)序列來講，具有更強的實際意義和可靠性，結合 Opcode 的特征提取可以更好地表征惡意代碼。基于Opcode序列能完成了對惡意代碼進化的追蹤，Siddiqui等結合操作碼序列的方式，通過神經網絡、決策樹等分類算法，實現了 98.4%的檢測準確率。

②基于字符串的特征類型

另一種特征類型的提取方式是基于程序代碼中的可輸出字符串，因為可輸出字符串在某種程度上反映了待測程序的意圖。例如，從代碼中的“https://…”字符串可以推測程序的網絡連接意圖；而包含目錄路徑的字符串則說明程序可能嘗試讀取用戶文檔或注冊表信息等。文獻[18]選取了可執(zhí)行文件中 100 個可輸出字符串，以此為特征訓練基于支持向量機的分類器，實現了99.38%的準確率。與基于序列的特征類型相比，代碼中的字符串數量有限，因此提取的特征集具有較少的維度，在計算成本上可以實現有效的控制。

③基于 API 調用的特征類型

程序對應用程序編程接口（API，application programming interface）調用也可以作為特征類型。文獻[19]對 API 調用進行了討論，指出程序PE（portable executable）文件頭中的 API 信息不具有準確性，因為惡意代碼會在 PE 文件頭中夾雜錯誤的 API 信息。Ding等對反匯編后的代碼進行 API 調用分析，利用惡意代碼和合法代碼應用程序編程接口分布的差異性提取了基于 API 調用的程序特征。文獻[20]將代碼中的 API 調用序列轉化為對應的馬爾可夫（Markov）鏈，有向圖中邊的權重表示調用 API 的狀態(tài)轉移概率，通過基于 Markov 鏈的特征提取，實現了對未知惡意軟件的有效分類。

2.樣本特征選取

由于提取的數據特征常包含冗余信息，容易引起過度擬合問題，本節(jié)對數據特征選取的主要方法進行介紹，其種類主要包括信息增益（IG，information gain）、增益率（GR，gainratio）、文檔頻率（DF，document frequency）、主成分分析（PCA，principal component analysis）等。主成分分析也是一類常見的特征選取方法，在靜態(tài)、動態(tài)分析中常被用于實現對樣本數據的降維。PCA 通過線性變換，將原始數據投射到新的坐標系下，并通過新空間中最大線性無關組對數據樣本進行表達，該線性無關組特征值的空間坐標即 PCA 方法所選取的特征。與 IG、DF 等方法不同，PCA 使用變換后的特征，而非原始特征的子集。

五.基于機器學習的動態(tài)分析方法

惡意代碼的靜態(tài)分析技術，在應對代碼混淆或加殼等情形時，具有一定的局限性。為了保證代碼評估的準確性，動態(tài)分析技術利用虛擬機或仿真器執(zhí)行待測程序，監(jiān)控并收集程序運行時顯現的行為特征，并根據特征數據實現惡意代碼的分類。

靜態(tài)分析與動態(tài)分析區(qū)別：

調試逆向分為動態(tài)分析技術和靜態(tài)分析技術。動態(tài)分析技術指的是使用調試工具加載程序并運行，隨著程序運行，調試者可以隨時中斷目標的指令流程，以便觀察相關計算的結果和當前的設備情況。靜態(tài)分析技術是相對于動態(tài)分析而言的。由于在實際分析中，很多場合不方便運行目標（例如病毒程序，設備不兼容，軟件的單獨某一模塊）。那么這個時候就需要應用靜態(tài)分析技術。OD（OllyDbg）和IDA Pro這兩款工具分別是調試逆向的倚天劍和屠龍刀。雖然兩者都兼容動態(tài)和靜態(tài)的調試方式，但就動態(tài)調試而言，OD更為靈活和強大，而靜態(tài)調試工具的王者理所應當是功能極為強大的IDA Pro。

1.行為特征提取

沙箱技術是收集行為特征的重要技術途徑，許多安全公司提供了 Web 版的沙箱接口，用以對上傳的程序樣本進行動態(tài)分析，生成行為分析報告。目前常見的沙箱工具有 Anubis、Joe Sandbox、Cuckoo Sandbox、CWSandbox 等。

動態(tài)分析的重點是對監(jiān)控行為的類型進行合理選擇。一般來講，基于行為分析的方案主要考察程序運行過程中所涉及的以下方面：

系統文件的改變，如創(chuàng)建或修改文件；

注冊表鍵值的操作行為；

動態(tài)鏈接庫（DLL，dynamic link library）的加載情況；

進程訪問的情況；

系統服務行為，如開啟、創(chuàng)建或刪除服務；

網絡訪問情況；

應用程序編程接口（API）的調用。

此外，一些解決方案還對程序調用函數的數據信息進行分析，這時污點標簽設置方法常被結合使用。

文獻[22,23]結合行為報告的分析結果，對惡意代碼的行為特征進行識別，借助機器學習算法對可執(zhí)行文件進行分類。楊軼等通過分析污點傳播的過程，識別不同的惡意代碼行為間控制指令和數據的依賴關系，從而比較惡意代碼的相似性。Imran 等通過隱馬爾可夫模型對待測樣本的動態(tài)行為特征進行描述，并借助機器學習算法實現分類。Anderson 等則通過動態(tài)方式搜集程序指令序列，進而生成基于馬爾可夫鏈的有向圖。

2.行為特征選取

許多沙箱工具，如 Anubis 和 CWSandbox 的輸出格式為文本或可擴展標記語言（XML，

extensible markup language），這兩類格式更適用于小規(guī)模樣本的人工分析。具體來說，文本格式報告對行為特征的刻畫過于簡單，粒度較粗，一些重要的行為不再可見；而 XML 格式下的分析報告表述又過于繁冗，不便于開展自動化分析。為了高效處理行為分析數據，Trinius 等提出基于惡意軟件指令集（MIST，malware instruction set）的行為數據描述方法，常被用來對其他格式（如 XML 格式）的行為報告進行轉換，從而達到在行為數據中選取主要特征的目的。MIST 將程序行為的監(jiān)控結果描述為一系列指令，其中每個線程和進程的執(zhí)行流被分組在一個連續(xù)的報告中。每條指令都對應監(jiān)控到的一個系統調用（system call）及其調用到的參數（argument），指令以短數值的方式予以標識。此外，系統調用的具體參數被分隔在不同等級的塊中，反映不同程度的行為粒度。

MIST 報告可以進一步通過向量空間模型（VSM，vector space model）進行向量化，生成可用于機器學習算法分類的數據。在特征項和特征項權重的計算上，可運用詞袋模型（BOW，bag of words）。

詞袋模型的示例如下，假設有下述 2 個文件。

Samuel detected a malware. I detected the malware too.

The malware was detected by us.

基于上述 2 個文件，可以構建一個詞匯表。

詞匯表={1．“Samuel”，2．“detected”，3．“a”， 4．“malware”，5．“I”，6．“the”，7．“too”，8．“was”， 9．“by”，10．“us”}。

這個詞匯表一共包含 10個不同的單詞，利用索引號，上面 2 個文件可分別用 10 維向量表示（向量中元素為詞表單詞在文件中出現的頻率）。

[1，2，1，2，1，1，1，0，0，0] [0，l，0，1，0，1，0，1，1，1]

利用詞袋模型，經過 MIST 處理后的指令語句將作為 VSM 模型中的特征項，指令的出現頻率即為特征項的權重，以建立惡意代碼的向量空間數據，這樣就可以利用機器學習算法（如支持向量機）進行惡意代碼的分類。

六.惡意代碼分類算法

惡意代碼進行靜態(tài)、動態(tài)分析后得到的特征數據，可以作為機器學習算法訓練的輸入，產生

相應的惡意代碼分類器。常見的算法如 K近鄰（KNN，k nearest neighbor）、支持向量機

（SVM，support vector machine）、樸素貝葉斯（Na?ve Bayes）、決策樹（DT，decision tree）、隨機森林（RF，randomforest），以及深度學習算法，如卷積神經網絡（CNN，convolutional neural network）等。

下圖展示了一種投毒攻擊的示意圖，以及機器學習訓練過程中安全威脅及防御措施。

在考慮敵手視角時，如果攻擊者也通過機器學習技術優(yōu)化惡意代碼的設計，對攻擊目標畫像并實現精準攻擊，該如何應對？同時，又該如何保證機器學習引擎不被攻擊者“投毒”，防止出現干擾項致使訓練出錯產生誤判，這些都是需要進一步研究和思考的問題。

七.惡意代碼檢測實戰(zhàn)知識

下面簡單舉一個示例——冰河木馬分析與檢測。后續(xù)希望自己能深入學習，學會這些實例分析，加油！

冰河開發(fā)的最初原因是為了開發(fā)一個功能強大的遠程控制軟件。但一經推出就成了黑客們的入侵工具。2006年以前冰河一直是國內不動搖的領軍木馬。功能有自動跟蹤目標機屏幕變化、記錄各種口令信息、獲取系統信息、限制系統功能、遠程文件操作、遠程文件操作等。下面從以下幾個不同方面分析冰河木馬。

1.進程檢測

從Procexp軟件可以明顯的看到，有一個KERNEL32.EXE進程（能否進一步確定該進程調用的模塊，進一步找準木馬程序）。這個明顯是假裝系統進程的木馬進程，CPU使用率達到了99%！

2.文件監(jiān)測

用Filemon監(jiān)測到，樣本先在c:\Windows\system32 目錄創(chuàng)建了一個KERNEL32.EXE文件，并往其中寫入了大量與自身運行有關的數據。如下圖所示：

然后又在C:\Windows\system32目錄下創(chuàng)建一個名SYSEXPLR.EXE的文件，隨后又把查看了電腦文件目錄信并把它們寫入這兩個文件。

3.注冊表監(jiān)測

從Regmon我們可以看出，木馬把KERNEL32.EXE注冊成了服務。并把KERNEL32.EXE注冊為開機啟動。

HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices(Default) SUCCESS “C:\WINDOWS\system32\KERNEL32.EXE”

如下圖所示：

另外，木馬還修改了 .TXT 文件的關聯， sysexplr.exe和TXT文件關聯。即使刪除了Kernel32.exe，但只要你打開 TXT文件，sysexplr.exe就會被激活，它將再次生成Kernel32.exe，于是冰河又回來了。

4.系統通信端口監(jiān)測

通過TCPView監(jiān)測 KERNEL32.EXE開啟了TCP7626端口。如下圖所示：

接著需要分析木馬樣本外部特征，包括文件特征、注冊表特征、進程特征、端口特征等。

該木馬的清除方法如下：

刪除C:Windows\system下的Kernel32.exe和Sysexplr.exe文件。

刪除注冊表HKEY_LOCAL_MACHINE/software/microsoft/windows/

CurrentVersionRun下鍵值為C:/windows/system/Kernel32.exe。

刪除注冊表HKEY_LOCAL_MACHINE/software/microsoft/windows/ CurrentVersion/Runservices下鍵值為C:/windows/system/ Kernel32.exe。

最后改注冊表HKEY_CLASSES_ROOT/txtfile/shell/ open/command 下的默認值，由中木馬后的C: /windows/system/Sysexplr.exe %1改為 正常情況下的C:/windows /notepad.exe %1，即可恢復TXT文件關聯功能。

八.總結

在網絡攻擊日益復雜、惡意代碼層出不窮的今天，機器學習算法在惡意代碼檢測中的應用逐漸受到學術界和眾多安全廠商的重視。本文對基于機器學習算法惡意代碼檢測的技術方法和主流方案進行了梳理和討論，這一工作將為新型主機惡意代碼檢測技術的設計和實現提供重要參考。但該領域仍屬于發(fā)展階段，還存在著許多未來工作和挑戰(zhàn)，對其歸納如下。

靜態(tài)分析檢測速度快、系統資源占用少，但隨著代碼混淆、加殼等反檢測技術的發(fā)展，靜態(tài)分析的準確性受到一定程度的限制。動態(tài)分析技術需要運行被測代碼，在效率上存在局限性。一個主流的發(fā)展方向是將靜態(tài)、動態(tài)分析技術進行有效結合，全方位地對待測代碼進行評估。

機器學習算法可以提供高準確率的惡意代碼分類，但分類器一般作為黑盒機制被加以使用，安全人員缺乏對結果的理解。結果往往在不質疑分類器性質的情況下直接被使用，因此分類結果受經驗閾值和數據特征的影響，出現一定傾向性。研究傳統量化分析（如準確率、誤報率）之外的統計學方法，如可信度（credibility），科學地評價和比較底層的機器學習算法，是未來一項重要的研究工作。

2022年加油，感恩能與大家在華為云遇見！

希望能與大家一起在華為云社區(qū)共同成長。原文地址：https://blog.csdn.net/Eastmount/article/details/120514813

(By:娜璋之家 Eastmount 2022-02-22 夜于貴陽)

參考文獻如下，本文參考了這些內容，再次感謝這些大佬。

[1] 張東, 張堯, 劉剛, 宋桂香. 基于機器學習算法的主機惡意代碼檢測技術研究[J]. 網絡與信息安全學報, 2017(7): 25-32.

[2] 楊軼, 蘇璞睿, 應凌云, 等. 基于行為依賴特征的惡意代碼相似性比較方法[J]. 軟件學報, 2011, 22(10): 2438-2453.

[3] 楊曄. 基于行為的惡意代碼檢測方法研究[D]. 西安: 西安電子科技大學, 2015.

[4] 李盼，趙文濤，劉強+，崔建京，殷建平. 機器學習安全性問題及其防御技術研究綜述，計算機科學與 探索，2018(12).

[5] 張蕾, 崔勇, 劉靜, 江勇, 吳建平. 機器學習在網絡空間安全研究中的應用[J]. 計算機學報, 2018(9): 1943-1975.

[6] IMRAN M, AFZAL M T, QADIR M A. Malware classification using dynamic features and hidden markov model[J]. Journal of In telligent & Fuzzy Systems, 2016, 31(2):837-847.

[7]?惡意程序行為分析工具 PeDoll - DBinary

[8] 《惡意代碼分析實戰(zhàn)》諸葛建偉 姜輝 張光凱

[9]?https://www.cnblogs.com/yunji5566/p/4249927.html

[10] 2008年瑞星安全技術大會

機器學習 軟件安全

版權聲明：本文內容由網絡用戶投稿，版權歸原作者所有，本站不擁有其著作權，亦不承擔相應法律責任。如果您發(fā)現本站中有涉嫌抄襲或描述失實的內容，請聯系我們jiasou666@gmail.com 處理，核實后本網站將在24小時內刪除侵權內容。