二進制可視化和機器學習的結合在網(wǎng)絡安全方面已經(jīng)展示了巨大潛力，惡意軟件和釣魚網(wǎng)站檢測就是其中的熱點領域，本文我們將介紹該領域的兩大創(chuàng)新應用進展。

[[423863]]

一、用深度學習檢測惡意軟件

檢測惡意軟件的傳統(tǒng)方法是在文件中搜索惡意負載的已知簽名。惡意軟件檢測器擁有一個包含病毒操作碼序列或代碼片段的數(shù)據(jù)庫，它可搜索被檢測的新文件中是否存在這些簽名。但惡意軟件開發(fā)人員可以使用不同的技術輕松規(guī)避此類檢測方法，例如混淆檢測代碼或使用多態(tài)技術在運行時改變他們的代碼。雖然動態(tài)分析工具可嘗試在運行時檢測惡意行為，但速度較慢，并且需要設置沙箱環(huán)境來測試可疑程序。

近年來，研究人員嘗試了一系列機器學習技術來檢測惡意軟件。這些機器學習模型在惡意軟件檢測的一些領域上取得了進展，例如代碼混淆。但機器學習也面臨著新挑戰(zhàn)，包括需要學習太多的特征和分析目標樣本的虛擬環(huán)境。

二進制可視化可以通過將惡意軟件檢測轉化為計算機視覺問題來重新定義惡意軟件檢測。在這種方法中，文件通過將二進制和ASCII值轉換為顏色代碼的算法運行。

研究人員表明，當使用這種方法可視化良性和惡意文件時，可以將兩者分開，惡意文件往往包含各種類別的ASCII字符，呈現(xiàn)出豐富多彩的圖像，而良性文件則具有更清晰的圖片和值分布。企業(yè)可以利用此檢測模型進行惡意文件檢測。

研究人員創(chuàng)建了一個包含良性和惡意文件的可視化二進制文件數(shù)據(jù)集，該數(shù)據(jù)集包含各種惡意負載(病毒、蠕蟲、木馬、rootkit 等)和文件類型(.exe、.doc、.pdf、.txt 等)。

然后研究人員使用這些圖像來訓練分類器神經(jīng)網(wǎng)絡。他們使用的架構是自組織增量神經(jīng)網(wǎng)絡(SOINN)，速度快，尤其擅長處理噪聲數(shù)據(jù)。他們還使用圖像預處理技術將二值圖像縮小為 1,024 維特征向量，這使得在輸入數(shù)據(jù)中學習模式變得更加容易且計算效率更高。由此產(chǎn)生的神經(jīng)網(wǎng)絡足夠高效，可以在配備英特爾酷睿i5處理器的個人工作站上在15秒內計算包含4,000個樣本的訓練數(shù)據(jù)集。

研究人員的實驗表明，深度學習模型特別擅長檢測.doc和.pdf文件中的惡意軟件，這些文件是勒索軟件攻擊的首選媒介。研究人員建議，如果調整模型以將文件類型作為其學習維度之一，則可以提高模型的性能。總體而言，該算法實現(xiàn)了約74%的平均檢測率。

二、用深度學習檢測釣魚網(wǎng)站

網(wǎng)絡釣魚攻擊正成為組織和個人面臨的日益嚴重的問題。許多網(wǎng)絡釣魚攻擊誘使受害者點擊一個指向惡意網(wǎng)站的鏈接，這些網(wǎng)站偽裝成合法服務，他們最終會在其中輸入敏感信息，例如憑據(jù)或財務信息。

檢測網(wǎng)絡釣魚網(wǎng)站的傳統(tǒng)方法主要是將惡意域名列入黑名單或將安全域名列入白名單。前一種方法對名單內未收錄的新型網(wǎng)絡釣魚網(wǎng)站沒有篩選能力，而后一種方法限制性太強，需要付出大量努力才能提供對所有安全域名的訪問。

2020年，研究人員使用二進制可視化和深度學習開發(fā)了一種檢測網(wǎng)絡釣魚網(wǎng)站的新方法。該技術使用二進制可視化庫將網(wǎng)站標記和源代碼轉換為顏色值。與良性和惡意應用程序文件的情況一樣，在可視化網(wǎng)站時，會出現(xiàn)區(qū)分安全和惡意網(wǎng)站的獨特模式。研究人員寫道：“合法站點具有更詳細的RGB值，因為它將由來自許可證、超鏈接和詳細數(shù)據(jù)輸入表的附加字符構成。而網(wǎng)絡釣魚網(wǎng)站通常包含單個或不包含CSS引用、多個圖像而不是表單和一個沒有安全腳本的登錄表單。這將在抓取時創(chuàng)建一個較小的數(shù)據(jù)輸入字符串。”

研究人員創(chuàng)建了一個代表合法和惡意網(wǎng)站代碼的圖像數(shù)據(jù)集，并用它來訓練分類機器學習模型。他們使用的架構是MobileNet，這是一種輕量級卷積神經(jīng)網(wǎng)絡(CNN)，經(jīng)過優(yōu)化可在用戶設備上運行，而不是在大容量云服務器上運行。CNN特別適用于計算機視覺任務，包括圖像分類和對象檢測。

一旦模型經(jīng)過訓練，它就會被插入到網(wǎng)絡釣魚檢測工具中。當用戶偶然發(fā)現(xiàn)一個新網(wǎng)站時，它首先檢查該URL是否包含在其惡意域數(shù)據(jù)庫中。如果是新域名，則通過可視化算法進行轉化，并通過神經(jīng)網(wǎng)絡運行，檢查是否有惡意網(wǎng)站的模式。這種兩步架構確保系統(tǒng)使用黑名單數(shù)據(jù)庫的速度和基于神經(jīng)網(wǎng)絡的網(wǎng)絡釣魚檢測技術的智能檢測。

研究人員的實驗表明，該技術檢測網(wǎng)絡釣魚網(wǎng)站的準確率高達94%。此外，研究人員還在探索使用二進制可視化和機器學習來檢測物聯(lián)網(wǎng)網(wǎng)絡中的惡意軟件流量。二元可視化表明，只要有足夠的創(chuàng)造力和嚴謹性，我們就可以為舊問題找到新的解決方案。

【本文是51CTO專欄作者“安全牛”的原創(chuàng)文章，轉載請通過安全牛（微信公眾號id:gooann-sectv）獲取授權】

戳這里，看該作者更多好文