申请/专利权人：北京航空航天大学

申请日：2021-11-29

公开（公告）日：2024-05-03

公开（公告）号：CN114036521B

主分类号：G06F21/56

分类号：G06F21/56

优先权：

专利状态码：有效-授权

法律状态：2024.05.03#授权;2022.03.01#实质审查的生效;2022.02.11#公开

摘要：本发明通过网络安全领域的方法，实现了一种Windows恶意软件对抗样本生成方法。以恶意软件可执行文件作为输入二进制转图像模块，以映射策略将对抗方法生成的对抗扰动添加的位置在指定的位置形成图像文件；之后，将图像通过对抗样本生成模块中的样本对抗生成器根据对抗样本生成方法生成原始图像的对抗样本，之后执行基于微分进化算法的扰动规模优化算法将对抗扰动添加到图像上；最后，以图像转二进制模块通过逆映射策略和调试两步形成最终抗样本输出。本发明提供的方法在保证生成原始样本的逻辑功能不被破坏且生成的对抗样本可以正常执行前提下，将扰动的位置设置于可执行文件各个区域；并实现了对扰动的规模有效控制。

主权项：1.一种Windows恶意软件对抗样本生成方法，其特征在于：以恶意软件可执行文件作为输入二进制转图像模块，以映射策略将对抗方法生成的对抗扰动添加的位置在指定的位置形成图像文件；之后，将图像通过对抗样本生成模块中的样本对抗生成器根据对抗样本生成方法生成原始图像的对抗样本，之后执行基于微分进化算法的扰动规模优化算法将对抗扰动添加到图像上；最后，以图像转二进制模块通过逆映射策略和调试两步形成最终抗样本输出；所述映射策略向二进制文件嵌入“0”，对于可执行文件：“.text”节，包含代码指令；“.idata”节：包含文件中使用的导入表信息，即DLL文件信息；“.rdata”节，包含初始化全局和静态变量；“.rsrc”节，包含资源信息，用于存放程序使用的资源数据，在PE文件指定位置生成对抗扰动，具体方法为，通过在每条指令之间插入连续的“0”来标记扰动生成的位置规则如下所示：规则1：在“.text”节中，在相邻指令间嵌入十六进制的“00”，该对抗扰动只能用一个十六进制表示；规则2：在“.rdata”节中，在相邻指令间连续嵌入16个十六进制的“00”；规则3：在二进制文件的尾部追加十六进制“00”，数量不受限制；该策略会生成一个添加了原始扰动的初始对抗样本和一个相应的掩码矩阵，其中，掩码矩阵是一个矩阵，矩阵的每一个元素都是0或者1，0表示相应位置的元素是原始样本的内容，属于不可修改的部分，1便是相应位置的元素是扰动的位置，可以对其进行修改；所述原始图像的对抗样本的生成方法为：输入“二进制转图像”模块的输出，即原始样本xi∈RNxM，检测模型F；目标类别y*；决定两个个体是否交叉运算的概率CR，该值为0.5；对于每个样本都存在一个相应的掩码矩阵Ipi∈RNxM，Ipi和xi相同的维度，Ipi是一个二进制向量，元素值为0或者1，为1表示相应位置的字节为嵌入的“00”，为0则表示相应位置的字节为原始文件内容，属于不可更改的，当向检测模型中输入一个恶意软件时，通过对抗样本生成方法生成初始的对抗样本；所述对抗样本生成方法为FGSM或JSMA；所述基于微分进化算法的扰动规模优化算法根据掩码矩阵选择该图像的所需要的对抗扰动，基于微分进化算法实现，微分进化算法对扰动的数量进行限制，并通过随机选择种群中的当前代两个个体的差集作为第三个个体的变异，生成下一代突变个体，并根据交叉概率决定下一代算子采用突变个体或原始样本个体，之后选择最优个体作为新的个体，得到最优的扰动位置集合更新扰动嵌入位置集合；所述逆映射策略将扰动替换为合适的内容，替换策略为：规则1：在“.text”节中，通过计算每个扰动像素和死代码指令之间的L1范数，选择L1范数最小的死代码指令替换扰动像素；规则2：在“.rdata”节中，通过计算扰动像素到API或者系统调用指令之间的欧几里得距离，并用最近的API或者系统调用替换扰动像素；规则3：在文件末尾，通过计算每个扰动像素和死代码指令之间的L1范数，选择距离最近的死代码指令替换扰动像素；之后在将生成的对抗扰动代码嵌入到二进制文件中的“.text”和“.rdata”段后，原始代码中指令、变量和数据保持不变，并通过反汇编工具将扰动后的对抗样本转换为恶意软件代码，具体过程为：首先，需要标记指令在二进制文件中扰动的位置；其次，根据上述规则，在汇编代码中添加到相应的指令上；最后，通过汇编工具编译汇编文件，生成可执行的二进制文件。

全文数据：

权利要求：

百度查询： 北京航空航天大学 一种Windows恶意软件对抗样本生成方法

免责声明
1、本报告根据公开、合法渠道获得相关数据和信息，力求客观、公正，但并不保证数据的最终完整性和准确性。
2、报告中的分析和结论仅反映本公司于发布本报告当日的职业理解，仅供参考使用，不能作为本公司承担任何法律责任的依据或者凭证。

阅读全文 双屏查看 官方信息 专利公告 收藏专利 下载PDF 下载WORD