(19)国家知识产权局(12)发明专利申请(10)申请公布号CN115062306A(43)申请公布日2022.09.16(21)申请号202210754193.4(22)申请日2022.06.28(71)申请人中国海洋大学地址266000山东省青岛市崂山区松岭路238号(72)发明人马慧周瀚阁宿浩张赟张静李婉青姜雪娜闫雅彤(74)专利代理机构深圳泛航知识产权代理事务所(普通合伙)44867专利代理师王辉(51)Int.Cl.G06F21/56(2013.01)G06K9/62(2022.01)权利要求书3页说明书11页附图3页(54)发明名称一种针对恶意代码检测系统的黑盒对抗攻击方法(57)摘要本发明公开了一种针对恶意代码检测系统的黑盒对抗攻击方法，包括以下步骤：S1：收集训练数据；S2：对恶意代码和良性代码的功能区进行二进制提取；S3：训练数据，采用不同的模型架构进行对比实验，选出最优的模型作为攻击目标；S4：攻击实施；S5：进一步评估攻击效果；S6：采用特征压缩(FeatureSqueeze)技术和对抗训练(AdversarialTraining)探究本攻击方法在防御机制下的效果，利用颜色深度减少(ColorDepthReduce)和局部中值平滑窗口(LocalMedianSmoothing)对代码图像进行攻击过滤；S7：探究对抗训练防御机制对本攻击的缓解能力。本发明对抗训练即把攻击成功的对抗样本反馈给模型进行重新训练，增加模型的泛化能力和鲁棒性，增加对抗攻击混淆欺骗模型的难度。CN115062306ACN115062306A权利要求书1/3页1.一种针对恶意代码检测系统的黑盒对抗攻击方法，其特征在于：包括以下步骤：S1：收集训练数据，抽取恶意(malware)代码和良性(benign)代码，将恶意(malware)代码和良性(benign)代码分别进行二进制代码可视化转换、以及核心功能区代码过滤技术，得到图像化的样本，将处理后的样本作为训练数据；S2：对恶意代码和良性代码的功能区进行二进制提取，并可视化成灰度图，分别选取不同的模型架构进行训练，根据准确率(Accuracy)、精准度(Precision)和召回率(Recall)选择最优的模型架构作为攻击目标：S3：训练数据，采用不同的模型架构进行对比实验，选出最优的模型作为攻击目标；S4：攻击实施，构造对抗样本，基于自适应差分进化算法(SADE)进行one‑pixel攻击，噪声添加范围限制在代码图像的非功能区；S5：进一步评估攻击效果，增加攻击像素节点的数量，观察模型的误分类率和分类错误的置信度；S6：采用特征压缩(FeatureSqueeze)技术和对抗训练(AdversarialTraining)探究本攻击方法在防御机制下的效果，利用颜色深度减少(ColorDepthReduce)和局部中值平滑窗口(LocalMedianSmoothing)对代码图像进行攻击过滤；S7：探究对抗训练防御机制对本攻击的缓解能力。对抗训练即把攻击成功的对抗样本反馈给模型进行重新训练，增加模型的泛化能力和鲁棒性，增加对抗攻击混淆欺骗模型的难度。2.根据权利要求1所述的针对恶意代码检测系统的黑盒对抗攻击方法，其特征在于：所述步骤3具体包括：确定要优化的问题，即攻击策略的制定。输入n维的向量X＝(x1,x2,...,xn)，模型返回F(X)＝[F(X)0,F(X)1],s.t.F(X)0+F(X)1＝1，其中F0代表模型判断X为良性样本的概率，F1是模型判断输入X为恶意样本的概率；样本X的正确分类标签为而构造对抗攻击的目标是找到一个恶意扰动δ，使得模型输出新分类标签且因此整个攻击的攻击目标可抽象为：3.根据权利要求2所述的针对恶意代码检测系统的黑盒对抗攻击方法，其特征在于：所述S3中，在构造对抗样本时，往往需要对攻击程度进行限制，在计算机视觉领域和自然语言处理领域是为了避免图片或者音频的修改幅度过大从而被人所感知到源样本被攻击所发2CN115062306A权利要求书2/3页生变化，一般对抗攻击的限制方法有无穷范数、第二范数和第零范数：L0:||z||0＝#{i|zi≠0}。4.根据权利要求1所述的针对恶意代码检测系统的黑盒对抗攻击方法，其特征在于：所述S4具体包括：使用自适应差分进化算法进行对抗样本的构造，首先初始化整个种群和个体，设置好算法的迭代次数、超参数和fitness阈值，然后进行个体变异，交叉和选择，算法的整个过程如下：5.根据权利要求4所述的针对恶意代码检测系统的黑盒对抗攻击方法，其特征在于：所述步骤4，在个体变异过程中，为避免特征值超出界限，采用以下两种边界约束函数：其中，前者规定当个体特征值超出界限时，直接等于边界值；后者则是随机生成新的个体特征值。6.根据权利要求4所述的针