基于深度學(xué)習(xí)的漏洞挖掘技術(shù)分析

◆王斌

基于深度學(xué)習(xí)的漏洞挖掘技術(shù)分析

◆王斌

（清遠(yuǎn)職業(yè)技術(shù)學(xué)院 廣東 511510）

現(xiàn)階段在進(jìn)行網(wǎng)絡(luò)安全管理時(shí)，對于深度學(xué)習(xí)賦能的惡意代碼攻防研究已經(jīng)成為了主要內(nèi)容。當(dāng)前在對相關(guān)技術(shù)進(jìn)行研究時(shí)，缺乏相應(yīng)的論述內(nèi)容，要想對該領(lǐng)域的研究成果進(jìn)行全面的轉(zhuǎn)化，需要加大技術(shù)的投入力度。要在現(xiàn)有技術(shù)的基礎(chǔ)上，對其進(jìn)行創(chuàng)新和優(yōu)化，才能提高綜合技術(shù)水平。在進(jìn)行技術(shù)研發(fā)的過程中，要對惡意代碼攻擊的一般流程進(jìn)行深入的了解，需要對深度學(xué)習(xí)的賦能攻擊點(diǎn)和防御點(diǎn)進(jìn)行定位，從而研發(fā)針對性的深度學(xué)習(xí)助力攻擊技術(shù)。本文就基于深度學(xué)習(xí)的漏洞挖掘技術(shù)進(jìn)行相關(guān)的分析和探討。

深度學(xué)習(xí)；漏洞挖掘技術(shù)；分析探討

惡意代碼主要包含了病毒和遠(yuǎn)控木馬以及僵尸程序等類型，自從蠕蟲出現(xiàn)以來，惡意代碼的破壞程度正在不斷增加，已經(jīng)引起了國內(nèi)外的廣泛關(guān)注。近幾年在進(jìn)行網(wǎng)絡(luò)安全事件分析時(shí)發(fā)現(xiàn)，惡意代碼的比重正在不斷提升，如僵尸網(wǎng)絡(luò)造成持續(xù)性威脅的安全事件，都是以惡意代碼作為核心產(chǎn)生的攻擊組件，并且造成了實(shí)際的危害。一旦出現(xiàn)相關(guān)事件，就會帶來嚴(yán)重的經(jīng)濟(jì)損失，且會對計(jì)算機(jī)設(shè)備造成嚴(yán)重的危害，甚至?xí)l(fā)停電等故障問題。因此要引進(jìn)更加先進(jìn)的漏洞挖掘技術(shù)，對相關(guān)問題進(jìn)行全面的解決[1]。

1 基于深度學(xué)習(xí)的助力攻擊技術(shù)

（1）基于對抗樣本的自動化免殺技術(shù)

在深度學(xué)習(xí)的基礎(chǔ)上研發(fā)助力攻擊技術(shù)，如果外界試圖通過惡意代碼攻擊鏈，對可操作的各個(gè)攻擊環(huán)節(jié)進(jìn)行賦能，可以增強(qiáng)攻擊的魯棒性。在惡意代碼攻擊鏈基礎(chǔ)上，對攻擊力流程進(jìn)行全方位的研究，將深度學(xué)習(xí)賦能的新型攻擊技術(shù)，劃分成5種類型。在惡意代碼攻擊的準(zhǔn)備階段，首先要構(gòu)建惡意代碼，提升代碼的免殺和生存能力。如果代碼出現(xiàn)了新的威脅或趨勢，反病毒引擎會作為對抗產(chǎn)物，需要對其進(jìn)行持續(xù)的發(fā)展，從而與惡意代碼產(chǎn)生制衡的狀態(tài)。反病毒引擎在進(jìn)行變種檢測時(shí)，健壯性正在不斷加強(qiáng)?，F(xiàn)階段反病毒引擎已經(jīng)研發(fā)出來，可以對惡意代碼進(jìn)行全面的查殺。但反病毒引擎的發(fā)展，會促進(jìn)惡意代碼的發(fā)展。為了對攻擊人員的意圖進(jìn)行深入的了解，并且制定全方位的防御措施。安全研究人員要從攻擊人員的角度，對惡意代碼的發(fā)展趨勢進(jìn)行預(yù)測，從而對惡意代碼的范式以及轉(zhuǎn)變形式進(jìn)行全面的了解[2]。

對于惡意代碼免殺的研究來說，深度學(xué)習(xí)技術(shù)的應(yīng)用優(yōu)勢，在于可以對重要的特征進(jìn)行自動學(xué)習(xí)，不需要對特征進(jìn)行人工選擇。對于惡意代碼中一些潛在的威脅，可以自動預(yù)測或刪除。深度學(xué)習(xí)技術(shù)的自主學(xué)習(xí)能力比較強(qiáng)，適用范圍更廣。在惡意代碼查殺的基礎(chǔ)上融合深度學(xué)習(xí)技術(shù)，可以增強(qiáng)拓展性。早在2016年，就有科研人員基于前向?qū)?shù)算法生成的具有對抗性的惡意代碼進(jìn)行了研究，從而對深度神經(jīng)網(wǎng)絡(luò)的攻擊進(jìn)行有效的對抗和查殺。在實(shí)驗(yàn)的過程中發(fā)現(xiàn)，這種技術(shù)的誤分類率在15%左右，也就是說這項(xiàng)技術(shù)的可行性非常高[3]。

如圖1所示，2017年在此模型基礎(chǔ)上，構(gòu)建了相應(yīng)的模型，繞過黑核檢測系統(tǒng)生成對抗性惡意代碼，能夠?qū)z測率降低到接近于零。基于再訓(xùn)練防御效技術(shù)，難以對抗相應(yīng)的攻擊，將深度學(xué)習(xí)中的遞歸神經(jīng)網(wǎng)絡(luò)與這項(xiàng)技術(shù)進(jìn)行有機(jī)結(jié)合，可以生成對抗性惡意代碼，從而對抗多種不同結(jié)構(gòu)的模擬反病毒引擎。2018年科研人員首次在字節(jié)粒度上，提出末尾填充字節(jié)的方式，生成對抗性惡意代碼?；谔荻认陆邓惴ǎ瑢σ畛涞淖止?jié)進(jìn)行指導(dǎo)測試，準(zhǔn)確率高達(dá)92.83%?；谧止?jié)粒度的檢測系統(tǒng)，存在60%的成功率[4]。

（2）基于自然語言的自動化網(wǎng)絡(luò)釣魚技術(shù)

準(zhǔn)備階段武器構(gòu)建完成之后，構(gòu)建人員要將其投放到目標(biāo)環(huán)境中，網(wǎng)絡(luò)釣魚屬于主流的攻擊形式。早在2012年91%的定向攻擊，使用了魚叉式網(wǎng)絡(luò)釣魚攻擊形式，可以誘騙受害人員打開惡意網(wǎng)站或文件。網(wǎng)絡(luò)釣魚與威脅管理公司在2017年指出，網(wǎng)絡(luò)釣魚屬于主要的攻擊媒介。2019年數(shù)據(jù)泄露報(bào)告顯示，32%的數(shù)據(jù)泄露事件是由網(wǎng)絡(luò)釣魚引發(fā)的。78%的網(wǎng)絡(luò)間諜事件涉及網(wǎng)絡(luò)釣魚技術(shù)。在對實(shí)際攻擊案例進(jìn)行分析時(shí)發(fā)現(xiàn)，惡意代碼投進(jìn)中，魚叉式網(wǎng)絡(luò)釣魚屬于首選技術(shù)。將深度學(xué)習(xí)的賦能效應(yīng)融合到惡意代碼投遞能力提升中，自動化網(wǎng)絡(luò)魚叉式釣魚技術(shù)的發(fā)展速度正在不斷加快，可以實(shí)現(xiàn)惡意代碼投遞的自動化發(fā)展。因此要引進(jìn)新型的防御技術(shù)，對釣魚機(jī)器人進(jìn)行檢測[5]。

圖1 構(gòu)建模型

（3）基于神經(jīng)網(wǎng)絡(luò)的精準(zhǔn)定位與打擊技術(shù)

惡意代碼投放到目標(biāo)環(huán)境中，會建立持續(xù)的控制。在影響階段釋放惡意攻擊行為之后，防御人員的檢測主動性會有所提升。如圖2所示，在對特定目標(biāo)進(jìn)行精準(zhǔn)打擊時(shí)，攻擊人員發(fā)現(xiàn)了新型的攻擊手段，并且將深度學(xué)習(xí)模型作為了主要的核心組件。利用深度學(xué)習(xí)技術(shù)實(shí)現(xiàn)精準(zhǔn)定位與打擊，構(gòu)建模型作為主要的攻擊組件。只有在特定攻擊目標(biāo)出現(xiàn)時(shí)，這個(gè)模型才會釋放惡意行為，實(shí)現(xiàn)精準(zhǔn)的打擊。因此相關(guān)模型的精準(zhǔn)識別能力比較強(qiáng)。現(xiàn)階段這項(xiàng)技術(shù)的最新研究成果，借助CNN模型實(shí)現(xiàn)了特定目標(biāo)的精準(zhǔn)定位與打擊。在對精準(zhǔn)定位與打擊的攻擊思路進(jìn)行研發(fā)時(shí)，不能僅僅停留在理論分析層面。在進(jìn)行拓展分析時(shí)可以發(fā)現(xiàn)，此種類型的攻擊手法已經(jīng)作用于高級的持續(xù)性威脅攻擊中。這類攻擊技術(shù)一旦被廣泛應(yīng)用，將會難以實(shí)現(xiàn)對抗[6]。

2 基于深度學(xué)習(xí)的助力防御技術(shù)

（1）基于深度學(xué)習(xí)的惡意代碼查殺技術(shù)

在深度學(xué)習(xí)技術(shù)基礎(chǔ)上進(jìn)行惡意代碼的查殺，屬于突破和存在階段的防御技術(shù)。突破階段防御人員需要在網(wǎng)絡(luò)邊界部署反病毒的引擎，存在階段攻擊人員已經(jīng)建立了立足點(diǎn)，反病毒引擎部署在終端的主機(jī)側(cè)。雖然部署位置存在較大的差異，但所有類型的反病毒引擎查殺對象，都屬于準(zhǔn)備階段構(gòu)建的惡意代碼。攻擊人員在進(jìn)行惡意代碼構(gòu)建時(shí)，趨向于增強(qiáng)代碼的生存性與隱蔽性的技術(shù)手段，需要實(shí)現(xiàn)代碼的持久性駐留。在傳統(tǒng)技術(shù)基礎(chǔ)上構(gòu)建反病毒引擎，無法對惡意代碼的潛在性特征進(jìn)行全面的了解。深度學(xué)習(xí)融合了自主學(xué)習(xí)的特征，為技術(shù)的研發(fā)提供了靈感，將其作用于突破和存在兩個(gè)環(huán)節(jié)?？梢詫Σ豢梢姷膼阂獯a進(jìn)行有效的查殺[7]。

圖2 精準(zhǔn)定位

（2）基于自動化網(wǎng)絡(luò)的釣魚攻擊識別技術(shù)

自動化網(wǎng)絡(luò)釣魚攻擊識別技術(shù)，是在投遞階段進(jìn)行賦能防御，這個(gè)階段的檢測對象屬于惡意代碼投放的傳播媒介。傳統(tǒng)的網(wǎng)絡(luò)釣魚，可以利用黑名單和機(jī)器學(xué)習(xí)等方法實(shí)現(xiàn)對抗。攻擊人員研發(fā)了新型的自動化網(wǎng)絡(luò)釣魚攻擊技術(shù)，在對技術(shù)進(jìn)行探索時(shí)，結(jié)合人工智能技術(shù)，構(gòu)建了自動化網(wǎng)絡(luò)釣魚活動。融合深度學(xué)習(xí)賦能的釣魚攻擊識別技術(shù)，可以構(gòu)建機(jī)器人檢測系統(tǒng)。這項(xiàng)系統(tǒng)的非線性特征比較明顯，在已經(jīng)訓(xùn)練好的模型中，大多數(shù)隱藏單元的激活值分布差異比較明顯。

經(jīng)過實(shí)驗(yàn)證明，這項(xiàng)檢測系統(tǒng)可以將社交機(jī)器人與人類活動進(jìn)行分離，存在96%的分類精確度。將其作用于賬戶級別的檢測活動中，分類準(zhǔn)確性高達(dá)99%。利用深度神經(jīng)網(wǎng)絡(luò)，對網(wǎng)絡(luò)釣魚電子郵件進(jìn)行檢測，存在94.27%的檢測性能。因此這項(xiàng)技術(shù)的可行性非常高，可以作用于自動化網(wǎng)絡(luò)的釣魚識別活動中。在進(jìn)行技術(shù)研發(fā)時(shí)，需要充分發(fā)揮深度學(xué)習(xí)的賦能效應(yīng)，并且提高機(jī)器學(xué)習(xí)的檢測效果，才能對相關(guān)技術(shù)研發(fā)時(shí)的難點(diǎn)問題進(jìn)行有效的解決。這項(xiàng)技術(shù)不僅存在內(nèi)容檢測效果，還可以拓展檢測視角，用于流量的檢測。

3 結(jié)語

綜上所述，在進(jìn)行網(wǎng)絡(luò)空間安全技術(shù)研發(fā)時(shí)，要將深度學(xué)習(xí)賦能的惡意代碼攻防技術(shù)作為研究的重點(diǎn)。對于惡意代碼攻擊鏈定位深度學(xué)習(xí)的賦能點(diǎn)研發(fā)來說，可以在此基礎(chǔ)上，探索新型的惡意代碼生成機(jī)理，并且對代碼的入侵方式和攻擊釋放原理進(jìn)行重點(diǎn)研究。需要將相關(guān)技術(shù)進(jìn)行有機(jī)結(jié)合，將其作為技術(shù)研發(fā)的主要方向。在對代碼進(jìn)行研究時(shí)，融合深度學(xué)習(xí)技術(shù)，可以讓惡意代碼攻擊變得更加復(fù)雜且難以檢測。在對可行性攻擊進(jìn)行驗(yàn)證之后，可以在人工智能領(lǐng)域進(jìn)行新的探索，從而促進(jìn)技術(shù)的可持續(xù)發(fā)展。

[1]冀甜甜，方濱興，崔翔，等.深度學(xué)習(xí)賦能的惡意代碼攻防研究進(jìn)展[J].計(jì)算機(jī)學(xué)報(bào)，2021，44（04）：669-695.

[2]朱亞運(yùn)，余文豪，應(yīng)歡，張曉娟，繆思薇.嵌入式終端固件漏洞挖掘方法及框架實(shí)現(xiàn)[J].電力信息與通信技術(shù)，2021，19（02）：23-28.

[3]陳嘉煒，楊黎斌，周放.基于蜜網(wǎng)的工業(yè)互聯(lián)網(wǎng)協(xié)同檢測技術(shù)研究[J].保密科學(xué)技術(shù)，2021（02）：15-21.

[4]張振清，董玉亮，董可然，李湘文.基于人工智能的鐵路“六合一”乘客實(shí)名制核驗(yàn)系統(tǒng)研究[J].貴州大學(xué)學(xué)報(bào)（自然科學(xué)版），2021，38（01）：45-51.

[5]陳劍鋒，楊例鋼，陳天瑩.基于知識服務(wù)的網(wǎng)絡(luò)空間安全戰(zhàn)略風(fēng)險(xiǎn)管理研究[J].通信技術(shù)，2020，53（12）：3034-3039.

[6]范小雨，鄭旭東，鄭浩.智能實(shí)訓(xùn)教學(xué)何以可能：基于數(shù)字孿生技術(shù)的分析[J].職教通訊，2020（12）：26-31.

[7]孫倩文，閆寒，陳羽凡，李端，劉芷君.網(wǎng)絡(luò)安全技術(shù)發(fā)展方向與趨勢研究[J].今日科苑，2020（11）：32-39.

本文由“清遠(yuǎn)市網(wǎng)絡(luò)安全與維護(hù)技能大師工作室項(xiàng)目”和“O2O混合教學(xué)和眾測服務(wù)在網(wǎng)絡(luò)安全高技能人才培養(yǎng)中的應(yīng)用與研究項(xiàng)目”支持