二進制可視化和機器學習的結合在網絡安全方面已經展示了巨大潛力，惡意軟件和釣魚網站檢測就是其中的熱點領域，本文我們將介紹該領域的兩大創新應用進展。

[[423863]]

一、用深度學習檢測惡意軟件

檢測惡意軟件的傳統方法是在文件中搜索惡意負載的已知簽名。惡意軟件檢測器擁有一個包含病毒操作碼序列或代碼片段的數據庫，它可搜索被檢測的新文件中是否存在這些簽名。但惡意軟件開發人員可以使用不同的技術輕松規避此類檢測方法，例如混淆檢測代碼或使用多態技術在運行時改變他們的代碼。雖然動態分析工具可嘗試在運行時檢測惡意行為，但速度較慢，并且需要設置沙箱環境來測試可疑程序。

近年來，研究人員嘗試了一系列機器學習技術來檢測惡意軟件。這些機器學習模型在惡意軟件檢測的一些領域上取得了進展，例如代碼混淆。但機器學習也面臨著新挑戰，包括需要學習太多的特征和分析目標樣本的虛擬環境。

二進制可視化可以通過將惡意軟件檢測轉化為計算機視覺問題來重新定義惡意軟件檢測。在這種方法中，文件通過將二進制和ASCII值轉換為顏色代碼的算法運行。

研究人員表明，當使用這種方法可視化良性和惡意文件時，可以將兩者分開，惡意文件往往包含各種類別的ASCII字符，呈現出豐富多彩的圖像，而良性文件則具有更清晰的圖片和值分布。企業可以利用此檢測模型進行惡意文件檢測。

研究人員創建了一個包含良性和惡意文件的可視化二進制文件數據集，該數據集包含各種惡意負載(病毒、蠕蟲、木馬、rootkit 等)和文件類型(.exe、.doc、.pdf、.txt 等)。

然后研究人員使用這些圖像來訓練分類器神經網絡。他們使用的架構是自組織增量神經網絡(SOINN)，速度快，尤其擅長處理噪聲數據。他們還使用圖像預處理技術將二值圖像縮小為 1,024 維特征向量，這使得在輸入數據中學習模式變得更加容易且計算效率更高。由此產生的神經網絡足夠高效，可以在配備英特爾酷睿i5處理器的個人工作站上在15秒內計算包含4,000個樣本的訓練數據集。

研究人員的實驗表明，深度學習模型特別擅長檢測.doc和.pdf文件中的惡意軟件，這些文件是勒索軟件攻擊的首選媒介。研究人員建議，如果調整模型以將文件類型作為其學習維度之一，則可以提高模型的性能?？傮w而言，該算法實現了約74%的平均檢測率。

二、用深度學習檢測釣魚網站

網絡釣魚攻擊正成為組織和個人面臨的日益嚴重的問題。許多網絡釣魚攻擊誘使受害者點擊一個指向惡意網站的鏈接，這些網站偽裝成合法服務，他們最終會在其中輸入敏感信息，例如憑據或財務信息。

檢測網絡釣魚網站的傳統方法主要是將惡意域名列入黑名單或將安全域名列入白名單。前一種方法對名單內未收錄的新型網絡釣魚網站沒有篩選能力，而后一種方法限制性太強，需要付出大量努力才能提供對所有安全域名的訪問。

2020年，研究人員使用二進制可視化和深度學習開發了一種檢測網絡釣魚網站的新方法。該技術使用二進制可視化庫將網站標記和源代碼轉換為顏色值。與良性和惡意應用程序文件的情況一樣，在可視化網站時，會出現區分安全和惡意網站的獨特模式。研究人員寫道：“合法站點具有更詳細的RGB值，因為它將由來自許可證、超鏈接和詳細數據輸入表的附加字符構成。而網絡釣魚網站通常包含單個或不包含CSS引用、多個圖像而不是表單和一個沒有安全腳本的登錄表單。這將在抓取時創建一個較小的數據輸入字符串。”

研究人員創建了一個代表合法和惡意網站代碼的圖像數據集，并用它來訓練分類機器學習模型。他們使用的架構是MobileNet，這是一種輕量級卷積神經網絡(CNN)，經過優化可在用戶設備上運行，而不是在大容量云服務器上運行。CNN特別適用于計算機視覺任務，包括圖像分類和對象檢測。

一旦模型經過訓練，它就會被插入到網絡釣魚檢測工具中。當用戶偶然發現一個新網站時，它首先檢查該URL是否包含在其惡意域數據庫中。如果是新域名，則通過可視化算法進行轉化，并通過神經網絡運行，檢查是否有惡意網站的模式。這種兩步架構確保系統使用黑名單數據庫的速度和基于神經網絡的網絡釣魚檢測技術的智能檢測。

研究人員的實驗表明，該技術檢測網絡釣魚網站的準確率高達94%。此外，研究人員還在探索使用二進制可視化和機器學習來檢測物聯網網絡中的惡意軟件流量。二元可視化表明，只要有足夠的創造力和嚴謹性，我們就可以為舊問題找到新的解決方案。

【本文是51CTO專欄作者“安全牛”的原創文章，轉載請通過安全牛（微信公眾號id:gooann-sectv）獲取授權】

戳這里，看該作者更多好文