(19)中华人民共和国国家知识产权局(12)发明专利申请(10)申请公布号CN114143024A(43)申请公布日2022.03.04(21)申请号202111245092.6G06N3/08(2006.01)(22)申请日2021.10.26(71)申请人广州大学地址510006广东省广州市番禺区大学城外环西路230号(72)发明人李树栋李正阳吴晓波韩伟红方滨兴田志宏殷丽华顾钊铨厉源肖林鹤张海鹏许娜赵传彧(74)专利代理机构广州市华学知识产权代理有限公司44245代理人李斌(51)Int.Cl.H04L9/40(2022.01)G06N3/04(2006.01)权利要求书3页说明书11页附图5页(54)发明名称基于生成对抗网络的黑盒恶意软件检测对抗样本生成方法及装置(57)摘要本发明公开了一种基于生成对抗网络的黑盒恶意软件检测对抗样本生成方法及装置，方法包括下述步骤：根据PE文件结构特性设计基于集成策略的恶意软件对抗性扰动方法，该扰动方法添加扰动的方式为:修改DOS头、节区末尾填充、文件末尾填充；构建基于生成对抗网络的黑盒恶意软件对抗样本生成模型；在模型攻击过程中，输入恶意软件到黑盒恶意软件对抗样本生成模型，利用训练过的生成器模型G在很短的时间内生成对抗性样本。本发明添加对抗性扰动到恶意软件的非功能区域，从而实现了保留恶意功能和样本的真实性，这样不仅可以省去检验恶意软件样本在沙箱中的动态分析方法以确保二进制文件的功能不受损害的高成本过程，还可以高效的生成恶意软件对抗样本。CN114143024ACN114143024A权利要求书1/3页1.基于生成对抗网络的黑盒恶意软件检测对抗样本生成方法，其特征在于，包括下述步骤：根据PE文件结构特性设计基于集成策略的恶意软件对抗性扰动方法，该扰动方法添加扰动的方式为：修改DOS头、节区末尾填充、文件末尾填充；构建基于生成对抗网络的黑盒恶意软件对抗样本生成模型，具体为：在生成对抗网络训练过程中，通过多次迭代同时训练生成器模型G和判别器模型D；设计损失函数优化生成器模型G和判别器模型D的参数，优化后的生成器模型G用于生成骗过判别器模型D的恶意软件对抗样本，优化后的判别器模型D与黑盒模型具有较高的判别相似性；根据攻击成功率指标来评估对抗式攻击方法的性能，当攻击成功率达到设定阈值，完成模型训练；所述攻击成功率表示黑盒模型检测到的恶意软件样本的比率，但在被设计为对抗性样本后成功规避；在模型攻击过程中，输入恶意软件到黑盒恶意软件对抗样本生成模型，利用训练过的生成器模型G在短时间内生成对抗性样本。2.根据权利要求1所述基于生成对抗网络的黑盒恶意软件检测对抗样本生成方法，其特征在于，所述PE文件包括DOS头、PE头、可选头和节区表；所述DOS头，包含用于在DOS环境中加载可执行文件的元数据，以及一些在DOS环境中执行时将打印“这个程序不能在DOS模式下运行”的指令；所述PE头，包含两字节签名PE和可执行文件的特性；所述可选头，包含操作系统初始化加载程序所需的信息；所述节区表，是一个条目列表，用于指示程序每个节的特征。3.根据权利要求1所述基于生成对抗网络的黑盒恶意软件检测对抗样本生成方法，其特征在于，所述在生成对抗网络训练过程中，通过多次迭代同时训练生成器模型G和判别器模型D，具体为：将恶意软件样本Xmal输入到到生成器模型G，生成对抗性有效载荷αadv，并将对抗性有效载荷αadv拆分填充到集成的不影响功能的字节空间中，生成最终的恶意软件对抗样本Xadv；将生成的恶意软件对抗样本Xadv和抽取的原始良性样本Xben组成数据池，用待攻击的黑盒目标模型将数据池打上标签；将有标签的数据池样本转化为字节序列来训练判别器模型D使其模仿目标黑盒模型对原始良性样本和生成的恶意软件对抗样本的判别。4.根据权利要求1所述基于生成对抗网络的黑盒恶意软件检测对抗样本生成方法，其特征在于，所述不影响功能的字节空间包括DOS头、节区末尾填充和文件末尾填充。5.根据权利要求1所述基于生成对抗网络的黑盒恶意软件检测对抗样本生成方法，其特征在于，所述设计损失函数去优化生成器模型和判别器模型的参数，具体为：所述生成器模型的损失函数如下，其中：其中，Ex表示期望，表示对抗样本数据，Ea表示期望，表示对抗载荷，D(x)和D(a)表示判别器输出结果；2CN114143024A权利要求书2/3页所述判别器模型的损失函数LD如下：LD＝Ex～xadvH(D(x)，f(x))+Ex～xbenH(D(x)，f(x))其中f(x)表示目标模型输出结果，H(x，y)表示欧式距离量度；Ex表示期望，xben表示良性样本数据。6.基于生成对抗网络的黑盒恶意软件检测对抗样本生成方法，其特征在于，所述攻击成功率的计算公式如下：其中，表示第i个恶意样本，表示第i