基于圖標(biāo)相似性分析的惡意代碼檢測方法

楊萍 趙冰 舒輝

摘 要：據(jù)統(tǒng)計，在大量的惡意代碼中，有相當(dāng)大的一部分屬于誘騙型的惡意代碼，它們通常使用與常用軟件相似的圖標(biāo)來偽裝自己，通過誘騙點(diǎn)擊達(dá)到傳播和攻擊的目的。針對這類誘騙型的惡意代碼，鑒于傳統(tǒng)的基于代碼和行為特征的惡意代碼檢測方法存在的效率低、代價高等問題，提出了一種新的惡意代碼檢測方法。首先，提取可移植的執(zhí)行體（PE）文件圖標(biāo)資源信息并利用圖像哈希算法進(jìn)行圖標(biāo)相似性分析;然后，提取PE文件導(dǎo)入表信息并利用模糊哈希算法進(jìn)行行為相似性分析;最后，采用聚類和局部敏感哈希的算法進(jìn)行圖標(biāo)匹配，設(shè)計并實(shí)現(xiàn)了一個輕量級的惡意代碼快速檢測工具。實(shí)驗(yàn)結(jié)果表明，該工具對惡意代碼具有很好的檢測效果。

關(guān)鍵詞：圖標(biāo)相似性;哈希算法;導(dǎo)入表比對;局部敏感哈希;惡意代碼檢測

中圖分類號： TP309

文獻(xiàn)標(biāo)志碼：A

Abstract： According to statistics， a large part of large amount of malicious codes belong to deceptive malicious codes. They usually use icons which are similar to those icons commonly used softwares to disguise themselves and deceive users to click to achieve the purpose of communication and attack. Aiming at solving the problems of low efficiency and high cost of traditional malicious code detection methods based on code and behavior characteristics on the deceptive malicious codes， a new malicious code detection method was proposed. Firstly， Portable Executable （PE） file icon resource information was extracted and icon similarity analysis was performed by image hash algorithm. Then， the PE file import table information was extracted and a fuzzy hash algorithm was used for behavior similarity analysis. Finally， clustering and local sensitive hash algorithms were adopted to realize icon matching， designing and implementing a lightweight and rapid malicious code detection tool. The experimental results show that the designed tool has a good detection effect on malicious code.

Key words： icon similarity; hash algorithm; import table comparison; local sensitive hash; malicious code detection

0 引言

隨著互聯(lián)網(wǎng)的迅猛發(fā)展，娛樂、辦公等應(yīng)用軟件不斷增長的同時，也出現(xiàn)了許多惡意代碼，這些惡意代碼在互聯(lián)網(wǎng)上傳播十分迅速，且危害性極大。比如，勒索病毒是一種近年來愈發(fā)流行的惡意代碼，這些病毒會加密鎖定被感染的計算機(jī)上的用戶資源和資產(chǎn)，要求受害者支付贖金后才提供解密服務(wù)，否則相關(guān)資源將永遠(yuǎn)無法恢復(fù)。據(jù)統(tǒng)計，在大量的惡意代碼中，有相當(dāng)大的一部分屬于誘騙型的惡意代碼，其通常使用與WORD等常用軟件相似的圖標(biāo)來簡單地偽裝自己，進(jìn)而誘騙用戶去點(diǎn)擊。在點(diǎn)擊運(yùn)行之后，此類惡意代碼則進(jìn)行一系列的竊密、勒索等操作，使用戶的信息資產(chǎn)面臨嚴(yán)重的風(fēng)險。因此，開展基于圖標(biāo)相似性分析的惡意代碼檢測方法的研究，對于惡意代碼的檢測工作具有重要的現(xiàn)實(shí)意義。

惡意代碼[1]也稱為惡意軟件，是指運(yùn)行在計算機(jī)上，使系統(tǒng)按照攻擊者意愿執(zhí)行任務(wù)的一組指令。傳統(tǒng)的惡意代碼分析方法[2-3]主要分為靜態(tài)分析方法和動態(tài)分析方法。靜態(tài)分析方法是指在不執(zhí)行程序的情況下，對程序進(jìn)行反匯編、反編譯等，然后再進(jìn)行分析，分析方法主要有靜態(tài)源代碼分析、靜態(tài)反匯編分析、反編譯分析;動態(tài)分析方法是指利用程序調(diào)試工具對惡意代碼進(jìn)行跟蹤，觀察惡意代碼執(zhí)行過程，剖析惡意代碼的工作機(jī)理并驗(yàn)證靜態(tài)分析結(jié)果，分析方法主要有系統(tǒng)調(diào)用行為分析方法和啟發(fā)式掃描技術(shù)。但是，傳統(tǒng)的基于代碼和行為特征的惡意代碼檢測方法往往需要經(jīng)過繁瑣的步驟，耗費(fèi)大量的時間才能達(dá)到較好的效果。

本文主要針對此類誘騙型的惡意代碼展開研究，鑒于傳統(tǒng)的基于代碼和行為特征的惡意代碼檢測方法所存在的效率低、代價高等問題，提出了一種新的惡意代碼檢測方法，在圖標(biāo)資源相似性分析和導(dǎo)入表相似性分析的惡意代碼檢測方法結(jié)合的基礎(chǔ)上，采用聚類和局部敏感哈希的算法進(jìn)行圖標(biāo)匹配，設(shè)計并實(shí)現(xiàn)了一個輕量級的惡意代碼快速檢測工具。

1 相關(guān)工作

近年來，在惡意代碼檢測領(lǐng)域提出了一種基于圖標(biāo)相似性分析的新思路。Silva等[4]提出了一種利用機(jī)器學(xué)習(xí)的方法，從圖標(biāo)中提取信息來提高檢測惡意代碼檢測的精度。該方法包括兩個步驟：1）提取圖標(biāo)特征使用匯總統(tǒng)計（Summary Statistics） [5]、方向梯度直方圖（Histogram Of Gradient， HOG）[6]和一個卷積自動編碼器[7];2）根據(jù)提取的圖標(biāo)特征對圖標(biāo)進(jìn)行聚類。通過機(jī)器學(xué)習(xí)的方法對公開的數(shù)據(jù)進(jìn)行了大量的實(shí)驗(yàn)，實(shí)驗(yàn)結(jié)果表明該方法可以顯著地提高惡意軟件預(yù)測模型的有效性。實(shí)驗(yàn)表明，在預(yù)測模型中使用圖標(biāo)簇時，平均精度增加了10%，但并未給出一種有效的行為分析方法。文獻(xiàn)[8]提出了一種基于應(yīng)用程序圖標(biāo)的移動終端惡意代碼檢測方法及系統(tǒng)，具體步驟是：首先，對應(yīng)用程序的安裝包進(jìn)行分析，將該應(yīng)用程序的圖標(biāo)提取出;然后，從該應(yīng)用程序代碼文件中提取系統(tǒng)應(yīng)用程序編程接口 （Application Programming Interface， API）函數(shù)，將該應(yīng)用程序的圖標(biāo)與應(yīng)用圖標(biāo)功能規(guī)則庫相對應(yīng)，從而檢索到與此圖標(biāo)對應(yīng)的功能規(guī)則，將該應(yīng)用程序調(diào)用的API函數(shù)與該圖標(biāo)對應(yīng)的功能規(guī)則相比對，如果一致，則為正常的應(yīng)用程序，否則為惡意的應(yīng)用程序。但是，該項(xiàng)技術(shù)尚不成熟，并未得到普及。該思路的創(chuàng)新點(diǎn)在于從圖標(biāo)出發(fā)，利用了惡意代碼使用與正常軟件相似的圖標(biāo)來偽裝自己的這一特征，進(jìn)行惡意代碼檢測，極大地提高了惡意代碼檢測效率和精度。然而，現(xiàn)階段基于圖標(biāo)相似性分析的惡意代碼檢測相關(guān)研究成果較少，無論是研究的深度還是廣度都有待于進(jìn)一步提升。

本文主要采用了圖像哈希算法進(jìn)行圖標(biāo)相似性比對。目前，圖像的匹配算法[9]主要包括三類：基于灰度相關(guān)的匹配方法[10]、基于特征的匹配方法[11]和基于模型的匹配方法[12]。隨著互聯(lián)網(wǎng)上圖片的泛濫，一種快速和有效的圖像匹配技術(shù)顯得愈發(fā)重要。在20世紀(jì)90年代末，圖像哈希[13]技術(shù)誕生了。該方法廣泛應(yīng)用于“以圖識圖”的圖像檢索技術(shù)中，且國內(nèi)外許多搜索引擎都使用了這項(xiàng)技術(shù)，如Google、百度等。另外，在行為相似性比對方面，采用模糊哈希[14-15]的方法進(jìn)行導(dǎo)入表比對。它是一種快速、準(zhǔn)確、實(shí)用的行為分析方法，目前在惡意代碼檢測方面取得了很好的效果。與傳統(tǒng)的基于代碼和行為特征的方法相比，模糊哈希效率更高，它能快速地發(fā)現(xiàn)兩個可移植的執(zhí)行體 （Portable Executable， PE）文件的相似關(guān)系并計算其相似度;與傳統(tǒng)的單純API序列比較的方法相比，模糊哈希算法更為精確，它是計算兩個序列之間的相似度，某一位的改變都能給出一個準(zhǔn)確的數(shù)值。隨著檢測工具常規(guī)圖標(biāo)庫的不斷擴(kuò)大，為了避免圖標(biāo)的逐一比對，采用聚類[16]和局部敏感哈希[17]結(jié)合的算法對常用圖標(biāo)庫進(jìn)行分類、管理來提高圖標(biāo)匹配速度和檢測工具的效率。

因此，本文的主要工作包括：1）解析PE文件結(jié)構(gòu)，從PE文件中提取圖標(biāo)資源和導(dǎo)入表信息;2）研究各種圖像相似性比對算法的原理與特點(diǎn)，通過設(shè)計并進(jìn)行實(shí)驗(yàn)，選取dhash（difference hashing）算法作為本文圖標(biāo)相似性比對的算法;3）采用基于內(nèi)容分割的模糊哈希算法對兩個PE文件的導(dǎo)入表信息進(jìn)行相似性比對;4）設(shè)計并實(shí)現(xiàn)了一個輕量級的惡意代碼檢測工具，該工具由樣本信息提取模塊、常規(guī)信息庫和惡意代碼檢測模塊構(gòu)成，并通過對樣例的測試與分析，驗(yàn)證了該工具的有效性。

2 基于圖標(biāo)相似性分析的惡意代碼檢測方法

本文旨在設(shè)計并實(shí)現(xiàn)一種輕量級的惡意代碼快速識別工具。因此，首先通過實(shí)驗(yàn)驗(yàn)證，選取dhash算法作為本文的圖標(biāo)相似性比對算法，其次，采用模糊哈希算法對提取的導(dǎo)入表信息進(jìn)行比對。

2.1 總體思路

檢測工具的總體設(shè)計思路如圖1所示，從總體上包含三大模塊：樣本信息提取模塊、常規(guī)信息庫的構(gòu)建，以及惡意性檢測模塊。整個檢測工具采用python語言實(shí)現(xiàn)，下面分別闡述各個功能模塊的具體實(shí)現(xiàn)過程以及檢測工具的整體流程。

2.1.1 各模塊實(shí)現(xiàn)

樣本信息提取模塊對傳入的待測樣本進(jìn)行PE結(jié)構(gòu)解析，提取出其圖標(biāo)資源信息與導(dǎo)入表中的API函數(shù)信息，作為下一步惡意性檢測的信息輸入。在實(shí)現(xiàn)過程中，本文采用python的第三方模塊Pefile對PE結(jié)構(gòu)進(jìn)行解析，在此基礎(chǔ)上提取出所需信息。圖標(biāo)資源的提取過程封裝為ExtractIcon類，導(dǎo)入表信息的提取直接封裝為GetPEIAT函數(shù)。

常規(guī)信息庫是指圖標(biāo)dhash特征值與API模糊哈希特征值所構(gòu)成的庫，是惡意性檢測的信息參照。具體構(gòu)建流程如下：1）收集Windows平臺下常用軟件的可執(zhí)行程序，包括WORD.exe、QQ.exe和Chrome.exe等，其中WORD等應(yīng)用程序的圖標(biāo)在惡意代碼中應(yīng)用極為廣泛，對普通用戶而言具有極強(qiáng)的誘騙性。2）對10萬個常規(guī)軟件，首先進(jìn)行圖標(biāo)資源信息和導(dǎo)入表API信息的提取，提取的方式與樣本信息提取模塊的功能設(shè)計相同。3）利用dhash計算各圖標(biāo)資源的圖標(biāo)哈希值，利用模糊哈希算法計算各導(dǎo)入表API的模糊哈希值，并按照〈文件名稱，圖標(biāo)哈希值，導(dǎo)入表模糊哈希值〉的結(jié)構(gòu)組織成信息庫，常規(guī)信息庫采用簡單的文本方式存儲。

圖標(biāo)資源的哈希值計算在PE文件解析的基礎(chǔ)上，采用python的第三方模塊imagehash完成，imagehash提供了ahash（average hashing）、dhash、whash（wavelet hashing）等多種哈希函數(shù)功能接口，能夠快速地完成所需功能。導(dǎo)入表的提取以PE文件解析為基礎(chǔ)，提取出導(dǎo)入表信息存為文本文件后，采用python第三方模塊ssdeep，通過其接口函數(shù)ssdeep.hash_from_file（file_path）能夠直接完成對特定文件的模糊哈希計算。

惡意性檢測模塊以常規(guī)信息庫為依據(jù)，對輸入的待測樣本信息分別進(jìn)行圖標(biāo)相似性分析和行為相似性分析，并輸出對樣本惡意性的判定結(jié)果。

2.1.2 整體流程

惡意性檢測的整體流程如圖2所示。

對提取的樣本圖標(biāo)信息進(jìn)行dhash相似性分析，從常規(guī)信息庫中檢索是否存在與之相似的常規(guī)軟件，相似性判定的方式為比較兩個dhash數(shù)值間的漢明距離。本文中漢明距離的閾值IconHashThreshold設(shè)定為10，即在漢明距離小于等于10條件下，兩個圖標(biāo)是相似的，漢明距離超過10則認(rèn)為兩個圖標(biāo)是不相似的。

當(dāng)判定樣本圖標(biāo)與常規(guī)信息庫中某個常規(guī)軟件的圖標(biāo)不相似時，則認(rèn)為無法檢測該樣本的惡意性;如果存在相似性，則進(jìn)一步進(jìn)行導(dǎo)入表相似性分析，通過比較樣本與該常規(guī)軟件的導(dǎo)入表模糊哈希特征值，來實(shí)現(xiàn)對行為差異性的判定。

2.2 主要方法

2.2.1 圖標(biāo)相似性比對方法

ahash[18]，即平均哈希算法。一張圖片包含高頻和低頻的部分，對處理后的灰度圖像計算平均值。phash（perception hashing）[18]，即感知哈希算法。phash算法利用的是離散余弦變換（Discrete Cosine Transform， DCT）。ahash算法太過嚴(yán)格，比較適合搜索縮略圖，在實(shí)際圖像比對中不如phash算法精確。dhash[18]，即差異哈希算法。dhash算法在相鄰像素之間起作用，并在比較左側(cè)和右側(cè)兩個像素的亮度后對整個圖像進(jìn)行采樣。此算法的具體步驟是：首先，將圖片縮小為9×8，72個像素值;其次，將其轉(zhuǎn)化為灰度圖，將縮放后的圖片轉(zhuǎn)換為256階灰度;然后，計算平均值，再計算每一行中左右兩個像素的差值，每行8個，共8行生成64個值;隨后，得到信息指紋，如果左邊的像素比右邊的像素亮，則記為1，否則為0;最后，計算兩張圖片形成指紋的漢明距離，即可得知它們相似度。whash[18]，即小波散列哈希算法。whash將phash的DCT替換為離散小波變換 （Discrete Wavelet Transform， DWT）。DWT是在傅里葉變換的基礎(chǔ)上發(fā)展起來的，它是一種空間或時間和頻率之間的局部變換，通過放大、縮小和移動等變換可對所得數(shù)據(jù)進(jìn)行多尺度的細(xì)節(jié)分析，所以能夠從數(shù)據(jù)中提取有效信息。

2.2.2 行為相似性比對方法

在行為相似性比對中，采用模糊哈希的方法。模糊哈希算法是一種簡單、快速的行為分析方法，已被廣泛用于以簡單識別為目的的領(lǐng)域。一般的哈希算法具有精確匹配的特性，無法判斷內(nèi)容稍有不同的同類文件，這對于惡意代碼檢測是非常不利的。模糊哈希算法與模糊邏輯搜索很像，它可以尋找相似但不完全相同的文件，即所謂的同源性文件。模糊哈希的原理是先對文件進(jìn)行分塊，計算每一塊的哈希值，然后將得到的一系列的哈希值利用比較函數(shù)與其他哈希值進(jìn)行比較，來確定相似程度，因此，僅僅某一部分變化了只會導(dǎo)致某一或幾個分塊的哈希值發(fā)生變化，而其他分塊的哈希值不發(fā)生變化。模糊哈希的算法的主要步驟：首先，使用一個弱哈希計算文件的局部內(nèi)容，在特定條件下對文件進(jìn)行分析;其次，使用一個強(qiáng)哈希對文件每片計算哈希值;然后，將這些值連接起來，與分片一起構(gòu)成一個模糊哈希值;最后，使用一個字符串相似性比對算法判斷兩個模糊哈希值的相似度。

在本文中，利用模糊哈希的方法快速比對導(dǎo)入表的相似度，具體實(shí)現(xiàn)方法是先將PE文件的導(dǎo)入表信息提取出來，再將導(dǎo)入表信息按首字母排序后生成兩個文本文件，計算兩個文本文件的模糊哈希值，最后利用ssdeep提供的compare函數(shù)計算匹配度，即兩個PE文件導(dǎo)入表的相似度。為驗(yàn)證此方法的有效性，實(shí)驗(yàn)設(shè)計如下：

但是，在實(shí)際情況中，進(jìn)行行為相似性比對時會遇到諸多問題。面對一些特殊情況的樣本，如一些壓縮自解壓文件，壓縮后會表現(xiàn)出來一些壓縮軟件的圖標(biāo)，對于這類樣本，本工具可能存在誤判問題。設(shè)計了如下實(shí)驗(yàn)，將pycharm、QQ、Wechat、WORD通過WinRAR創(chuàng)建它們的自解壓文件，如圖5所示。常規(guī)信息庫如表4所示，將它們作為測試樣本輸入工具進(jìn)行測試，測試結(jié)果為四個自解壓文件均具有惡意性。自解壓過程使得四個文件的導(dǎo)入表信息完全相同，如表5所示。這也引出了一個新的問題，對于一些自解壓文件或者加殼的文件，在檢測前需要對樣本進(jìn)行預(yù)處理如脫殼使之成為普通樣本，然后進(jìn)行檢測，這也是下一步工作研究的內(nèi)容之一。表6為QQ.sfx樣本的檢測過程信息。

大多數(shù)軟件都存在不同版本的現(xiàn)象，比如當(dāng)對使用WORD圖標(biāo)的軟件進(jìn)行檢測時，即使該軟件是正常軟件，但由于其版本與常規(guī)信息庫中的WORD版本不一致，因而導(dǎo)致誤判。由于不同版本的正常軟件行為存在差異，于是進(jìn)行如下研究。以下是對WORD各版本進(jìn)行導(dǎo)入表提取，觀察API函數(shù)調(diào)用情況并采用模糊哈希計算相似度。實(shí)驗(yàn)結(jié)果表明，以上各種版本W(wǎng)ORD.exe的導(dǎo)入表API在內(nèi)容與數(shù)量上均差異不大，這也意味著兩者在功能、行為上很相似。但是，不同版本W(wǎng)ORD導(dǎo)入表信息所計算出模糊哈希值的相似度并不高，如表7所示。于是，針對正常軟件多版本的引起的誤判問題，本文采取以下解決方案。首先，在常規(guī)信息庫的收集過程中，盡可能收集同一軟件的多個版本。然后，在圖標(biāo)相似性達(dá)到要求的情況下，進(jìn)行導(dǎo)入表相似性比對，只要與其中一個版本的導(dǎo)入表相似度達(dá)到60，就認(rèn)為該輸入軟件為正常軟件;如果與所有版本的導(dǎo)入表相似低于60，則認(rèn)為該軟件為惡意軟件。

2.3 基于LSH的圖標(biāo)相似性匹配算法

2.3.1 算法基本思想

隨著檢測工具圖標(biāo)庫的不斷擴(kuò)大，每當(dāng)檢測惡意樣本時，如果將圖標(biāo)與圖標(biāo)庫的所有圖標(biāo)進(jìn)行逐一比對，效率非常低。LSH（Locality Sensitive Hashing）實(shí)現(xiàn)了快速地從海量的高維數(shù)據(jù)集合中找到與某個數(shù)據(jù)最相似的一個數(shù)據(jù)或多個數(shù)據(jù)，是一種針對海量高維數(shù)據(jù)的快速最近鄰查找算法，非常適合對種類繁多且海量的圖標(biāo)進(jìn)行相似性比對。為了提高檢測工具的效率，采用K-means算法[19]對圖標(biāo)進(jìn)行聚類[17]，形成一個高維向量作為一個dhash值的描述，然后利用局部敏感哈希算法進(jìn)行索引查詢，實(shí)現(xiàn)對檢測工具圖標(biāo)庫進(jìn)行分類、管理，從而提高圖標(biāo)的匹配速度，進(jìn)而提高檢測工具的檢測效率。

表格（有表名）

表7 不同版本W(wǎng)ORD的模糊哈希相似度

Tab. 7 Fuzzy hash similarity of different versions of WORD

版本2012201420152016

2012100715441

2014—1005841

2015——10047

2016———100

定義1 局部敏感哈希[18]。將一族hash函數(shù)H={h：S→U}稱為是（r1，r2，p1，p2）敏感的，如果對于任意H中的函數(shù)h，滿足以下兩個條件：

1）如果d（O1，O2）

2）如果d（O1，O2）>r2，那么Pr[h（O1）=h（O2）]≤p2。

其中：O1，O2∈S，表示兩個具有多維屬性的數(shù)據(jù)對象;d（O1，O2）為兩個對象的相異程度。

2.3.2 算法主要步驟

首先，計算10萬個圖標(biāo)dhash特征值，隨后，選取合適的LSH hash函數(shù)將每一個dhash特征值映射到Hash table，Hash table的尺度受圖標(biāo)數(shù)量、種類的影響。該算法在本文中大致實(shí)現(xiàn)過程如圖6所示。

圖片

圖6 Hash table構(gòu)造過程

Fig. 6 Process of generating Hash table

LSH針對不同的距離度量空間需要不同的算法，主要包括了Hamming距離、Euclidean距離、Jaccard 系數(shù)、余弦相似度。在本文中，擬選用P-stable hash[20]的算法。

首先，構(gòu)造p-stable分布LSH函數(shù)族，提出了如下hash函數(shù)族：

ha，b（v）=（a·v+b）/r

式中：b∈（0，r），是一個隨機(jī)數(shù);r是直線的分段長度;hash函數(shù)族的函數(shù)是依據(jù)a、b的不同建立的。選取合適的r值，能夠使得ρ=ln（1/p1）ln（1/p2）盡可能地小，r的取值要根據(jù)實(shí)際情況設(shè)定。具體依據(jù)為：先確定r1、r2的取值，然后選擇合適的r，使得p1、p2都達(dá)到要求。

其次，構(gòu)造hash table。按照減少漏報率[19]和誤報率[20]提供的算法，進(jìn)行hash table的構(gòu)造。

先設(shè)計兩個hash函數(shù)：H1、H2，將一個由k個數(shù)組成的整數(shù)向量映射到hash table的某一個位上，其中size是hash table的長度。

H1（x1，x2，…，xk）=（（∑ki=1rixi）mod C）mod size

H2 （x1， x2 ，…，xk ）=（∑ki=1r′ixi）mod C

H1：Zk→{0，1，2，…，C}。C=232-5，是一個大素數(shù)。這兩個函數(shù)具體的算法如下，其中，ri、r′i 是兩個隨機(jī)整數(shù)。H2計算的結(jié)果成為一個數(shù)據(jù)向量的“指紋”，它是由數(shù)據(jù)向量的k個hash值計算得到的，而H1相當(dāng)于是數(shù)據(jù)向量的指紋在hash table中的索引。

首先，將一個dhash的描述經(jīng)過LSH函數(shù)變換，LSH函數(shù)為隨機(jī)選取L組函數(shù)組gi（·），每個函數(shù)組都由k個隨機(jī)選取的函數(shù){g1（·），g2（·），…，gL（·）}構(gòu)成，其中L個函數(shù)組之間不一定是一樣的。然后，形成一個整型向量（x1，x2，…，xk），通過H1、H2變換得到索引信息，現(xiàn)在這L組函數(shù)分別對數(shù)據(jù)處理，只要有一組完全相等，就認(rèn)為兩條數(shù)據(jù)是相近的。此算法運(yùn)用到檢測工具的具體查詢過程如圖7所示。

3 實(shí)驗(yàn)與結(jié)果分析

3.1 實(shí)驗(yàn)設(shè)置

為驗(yàn)證本文工具對于欺騙性的惡意代碼具有很好的檢測效果，本文設(shè)計了三個實(shí)驗(yàn)：1）輸入疑似正常圖標(biāo)的惡意樣本11364個，對檢測工具進(jìn)行測試;2）輸入疑似正常圖標(biāo)的惡意樣本1136個和正常軟件1136個，對檢測工具進(jìn)行測試;3）輸入與實(shí)驗(yàn)2相同的樣本集，對不分析圖標(biāo)信息僅采用模糊哈希進(jìn)行行為檢測的方法進(jìn)行測試。本文實(shí)驗(yàn)的環(huán)境為Windows 7 x64旗艦版、Python2.7 （32b），使用Pefile的版本為2017.11.5，Imagehash版本為4.0，Ssdeep的版本為2.14.1。本文選取不同的樣本集進(jìn)行實(shí)驗(yàn)，結(jié)合常規(guī)信息庫中的10萬條記錄，輸入到惡意代碼檢測工具中，對實(shí)驗(yàn)結(jié)果進(jìn)行統(tǒng)計分析，然后對具體樣例進(jìn)行分析，證明了本文可以有效實(shí)現(xiàn)對圖標(biāo)資源的匹配和導(dǎo)入表的匹配，在此基礎(chǔ)上實(shí)現(xiàn)對可執(zhí)行程序惡意性的判定。

3.2 實(shí)驗(yàn)過程與結(jié)果

3.2.1 實(shí)驗(yàn)1

為驗(yàn)證檢測工具對真惡意代碼是否具有很好的檢測效果，對海量的惡意代碼樣本作預(yù)處理，篩選出具有此類特征的惡意代碼作為測試樣本。由于實(shí)驗(yàn)規(guī)模太小，因此，本文增加了惡意代碼樣本的數(shù)量，在VirusShare網(wǎng)站上下載了十萬個惡意代碼，從中篩選出疑似正常圖標(biāo)的惡意樣本11364個，并在相同的測試環(huán)境下，輸入檢測工具進(jìn)行測試，測試結(jié)果如表8所示。

3.2.2 實(shí)驗(yàn)2

為了進(jìn)一步說明檢測工具的有效性，設(shè)計了實(shí)驗(yàn)2，輸入1136個疑似正常圖標(biāo)的惡意樣本，以及從360寶庫中收集的1136個正常軟件，并對惡意樣本和正常軟件作標(biāo)記加以區(qū)分，在相同的測試環(huán)境下，輸入檢測工具進(jìn)行測試，測試結(jié)果如表9所示，類別結(jié)果如表10所示

3.2.3 實(shí)驗(yàn)3

為驗(yàn)證利用圖標(biāo)與行為分析相結(jié)合的方法進(jìn)行惡意代碼檢測，比僅對行為信息進(jìn)行分析的方法具有更好的檢測效果，設(shè)計實(shí)驗(yàn)3，與實(shí)驗(yàn)2進(jìn)行對比，輸入與實(shí)驗(yàn)2相同的樣本集，對不利用圖標(biāo)信息僅采用模糊哈希進(jìn)行行為檢測的方法進(jìn)行測試，測試結(jié)果如表11所示，類別結(jié)果如表12所示。

3.3 樣例分析

以上對三個實(shí)驗(yàn)結(jié)果的統(tǒng)計分析，說明該工具總體上已實(shí)現(xiàn)基本功能，下面對實(shí)驗(yàn)1中的樣例進(jìn)一步分析。

例如，樣本1的檢測過程信息如表13所示。首先，通過圖標(biāo)相似性比對，發(fā)現(xiàn)該樣本與常規(guī)信息庫中LEViewer.exe和WinRAR.exe存在圖標(biāo)匹配，其漢明距離分別為9和0。然后，進(jìn)一步通過導(dǎo)入表模糊哈希匹配發(fā)現(xiàn)其匹配度均為0，說明該樣本與正常可執(zhí)行程序的導(dǎo)入表差別極大，因此判定為存在惡意性。

在檢測結(jié)果中，有1643個樣本沒有從常規(guī)信息庫中匹配出圖標(biāo)信息，這主要由兩方面因素決定：其一，常規(guī)信息庫中的記錄數(shù)量。各種不同正常應(yīng)用程序收集得越多，測試樣本圖標(biāo)匹配的成功率就越高。其二，圖標(biāo)哈希閾值IconHashThreshold的取值。顯然當(dāng)IconHashThreshold的取值越大，對于各種不同變換的圖標(biāo)匹配成功度越高，但另一方面也可能會導(dǎo)致無關(guān)圖標(biāo)的匹配。通過實(shí)驗(yàn)與分析，驗(yàn)證了本文工具可以有效實(shí)現(xiàn)對圖標(biāo)資源的匹配和導(dǎo)入表的匹配，在此基礎(chǔ)上實(shí)現(xiàn)了對可執(zhí)行程序惡意性的判定。常規(guī)信息庫中收集的正常程序信息數(shù)量、圖標(biāo)哈希閾值和導(dǎo)入表模糊哈希閾值等因素，對檢測效果具有重要影響。下一步工作可以進(jìn)一步收集更多的正常程序，豐富常規(guī)信息庫，進(jìn)而提高檢測工具的能力。

在采用聚類和LSH算法后，將常規(guī)信息庫中10萬條記錄分成50個分類，每個分類包括2000條記錄。將使用了此算法后的測試結(jié)果與未使用此算法比較，發(fā)現(xiàn)準(zhǔn)確率明顯提高，匹配時間縮短，效率提高。但是針對此算法的實(shí)驗(yàn)，數(shù)據(jù)集不夠全面，評價指標(biāo)不夠科學(xué)，難以可靠地表明此算法的有效性，因此有待進(jìn)一步深入研究。

4 結(jié)語

首先，本文介紹了惡意代碼檢測技術(shù)的研究背景及研究意義，對惡意代碼種類、分析和檢測方法進(jìn)行了概述，介紹了國內(nèi)外在基于圖標(biāo)資源相似性分析的惡意代碼檢測方面的研究現(xiàn)狀;然后，介紹了工具的總體結(jié)構(gòu)設(shè)計，以及兩種主要方法——圖標(biāo)相似性比對方法和模糊哈希的行為相似性的快速比較方法;最后，設(shè)計了三個實(shí)驗(yàn)對工具進(jìn)行測試，并對實(shí)驗(yàn)結(jié)果進(jìn)行統(tǒng)計分析。從實(shí)驗(yàn)結(jié)果可以看出，本文主要有以下兩個方面創(chuàng)新：1）從圖標(biāo)入手進(jìn)行惡意代碼檢測，大幅度縮小了檢測開銷，提高了檢測效率;2）采用圖像哈希進(jìn)行圖標(biāo)相似性比對，采用模糊哈希進(jìn)行行為相似性比對，設(shè)計并實(shí)現(xiàn)了一個輕量級的惡意代碼快速檢測工具。

目前的研究還存在許多待解決的問題：1）該工具只能對一般情況的惡意軟件進(jìn)行快速檢測，面對一些特殊情況的樣本，如一些壓縮自解壓文件，壓縮后會表現(xiàn)出來一些壓縮軟件的圖標(biāo)，仍然存在誤判問題;2）常規(guī)信息庫需要大量的不同版本的正常軟件，下一步工作將采用機(jī)器學(xué)習(xí)的方法對常規(guī)信息庫的正常軟件進(jìn)行訓(xùn)練，進(jìn)而提高比對的精度。由于本文從圖標(biāo)入手，旨在實(shí)現(xiàn)一種輕量級的快速惡意代碼檢測工具，因此該工具針對的對象是欺騙型惡意代碼，對于一般的惡意代碼不具有很好的檢測效果，而且能達(dá)到相對較好的預(yù)處理效果，若此類惡意軟件采用與正常軟件高度類似的API表現(xiàn)，則仍然需要進(jìn)一步復(fù)雜的行為分析。

參考文獻(xiàn) （References）

[1] 徐嬋.基于行為的惡意軟件自動分類方法的研究[D].湘潭：湘潭大學(xué)，2014：7-9.（XU C. Research on automatic classification method of behavior-based malware [D]. Xiangtan： Xiangtan University， 2014： 7-9.）

[2] 王毅，唐勇，盧澤新，等.惡意代碼聚類中的特征選取研究[J].信息網(wǎng)絡(luò)安全，2016，16（9）：64-68.（WANG Y， TANG Y， LU Z X， et al. Research on features selection in malicious clustering [J]. Netinfo Security， 2016， 16（9）： 64-68.）

[3] 蔡林，陳鐵明.Android移動惡意代碼檢測的研究概述與展望[J].信息網(wǎng)絡(luò)安全，2016，16（9）：218-222.（CAI L， CHEN T M. Research review and outlook on Android mobile malware detection [J]. Netinfo Security， 2016， 16（9）： 218-222.）

[4] SILVA P， AKHAVAN-MASOULEH S， LI L. Improving malware detection accuracy by extracting icon information [C]// MIPR 2018： Proceedings of the 2018 IEEE Conference on Multimedia Information Processing and Retrieval. Piscataway， NJ： IEEE， 2018： 408-411.

[5] 王文，芮國勝，王曉東，等.圖像多尺度統(tǒng)計模型綜述[J].中國圖象圖形學(xué)報，2007，12（6）：961-969.（WANG W， RUI G S， WANG X D， et al. A review of multiscale statistical image models [J]. Journal of Image and Graphics， 2007， 12（6）： 961-969.）

[6] 傅紅普，鄒北驥.方向梯度直方圖及其擴(kuò)展[J].計算機(jī)工程，2013，39（5）：212-217.（FU H P， ZOU B W. Histogram of oriented gradient and its extension [J]. Computer Engineering， 2013， 39（5）： 212-217.）

[7] 張定會，江平，單俊濤.卷積碼的神經(jīng)網(wǎng)絡(luò)編碼方法[J].數(shù)據(jù)通信，2011（4）：33-34，39.（ZHANG D H， JIANG P， SHAN J T. Neural network coding method for convolutional codes [J]. Data Communications， 2011（4）： 33-34， 39.）

[8] 潘宣辰，肖新光.基于應(yīng)用圖標(biāo)的移動終端惡意代碼檢測方法及系統(tǒng)：CN 103902906 A[P].2014-07-02.（PAN X C， XIAO X G. Mobile terminal malicious code detection method and system based on application icon： CN 103902906 A [P]. 2014-07-02.）

[9] 王立新，劉彤宇，李陽.SSDA圖像匹配算法的研究及實(shí)現(xiàn)[J].光電技術(shù)應(yīng)用，2005，20（3）：53-55.（WANG L X， LIU T Y， LI Y. Research and implementation of SSDA [J]. Electro-Optic Technology Application， 2005， 20（3）： 53-55.）

[10] 李強(qiáng)，張鈸.一種基于圖像灰度的快速匹配算法[J].軟件學(xué)報，2006，17（2）：216-222.（LI Q， ZHANG B. A fast matching algorithm based on image gray value [J]. Journal of Software， 2006， 17（2）： 216-222.）

[11] 陳磊.圖像配準(zhǔn)中基于特征提取和匹配的方法研究[D].長春：吉林大學(xué)，2016：1-2.（CHEN L. Research of image registration based on feature extraction and matching method [D]. Changchun： Jilin University， 2016： 1-2.）

[12] 楊薇.基于模型的圖像變形及應(yīng)用[D].無錫：江南大學(xué)，2013：32-44.（YANG W. Research on the technology and application of image deformation based on the model [D]. Wuxi： Jiangnan University， 2013： 32-44.）

[13] 曾勇.圖像感知哈希算法及應(yīng)用[D].杭州：浙江理工大學(xué)，2012：3-9.（ZENG Y. Image perceptual hashing algorithm and application [D]. Hangzhou： Zhejiang Sci-Tech University， 2012： 3-9.）

[14] 肖梓航，李柏松，肖新光.基于模糊哈希算法的惡意代碼檢測系統(tǒng)及方法：CN 102811213A[P].2012-12-05.（XIAO Z H， LI B S， XIAO X G. Malicious code detection system and method based on fuzzy hash algorithm： CN 102811213A [P]. 2012-12-05.）

[15] 吳悠漾，孟祥兆，田穎.基于模糊哈希的惡意代碼檢測[J].信息系統(tǒng)工程，2017（1）：62.（WU Y Y， MENG X Z， TIAN Y. Malicious code detection based on fuzzy hash [J]. China CIO News， 2017（1）： 62.）

[16] 伍育紅.聚類算法綜述[J].計算機(jī)科學(xué)，2015，42（S1）：491-499.（WU Y H. General overview on clustering algorithms [J]. Computer Science， 2015， 42（S1）： 491-499.）

[17] 史世澤.局部敏感哈希算法的研究[D].西安：西安電子科技大學(xué)，2013：5-9.（SHI S Z. Research on the locality sensitive hashing [D]. Xian： Xidian University， 2013： 5-9.）

[18] 葉衛(wèi)國，韓水華.基于內(nèi)容的圖像Hash算法及其性能評估[J].東南大學(xué)學(xué)報（自然科學(xué)版），2007，37（S1）：109-113.（YE W G， HAN S H. Performance evaluation for content-based image authentication [J]. Journal of Southeast University （Natural Science Edition）， 2007， 37（S1）： 109-113.）

[19] 喬端瑞.基于K-means算法及層次聚類算法的研究與應(yīng)用[D].長春：吉林大學(xué)，2016：5-17.（QIAO D R. Research and application based on K-means algorithm and hierarchical clustering algorithm [D]. Changchun： Jilin University， 2016： 5-17.）

[20] DATAR M， IMMORLICA N， INDYK P， et al. Locality-sensitive hashing scheme based on p-stable distributions [C]// SCG 2004： Proceedings of the 2004 Twentieth Annual Symposium on Computational Geometry. New York： ACM， 2004： 253-262.