李樂(lè)凡，劉曉東，2

（1.武漢郵電科學(xué)研究院，湖北武漢 430000；2.武漢虹旭信息技術(shù)有限責(zé)任公司，湖北 武漢 430000）

2021年，AV-test 系統(tǒng)檢測(cè)到超過(guò)12.9 億個(gè)惡意軟件。作為旨在干擾計(jì)算機(jī)正常運(yùn)行的軟件，惡意軟件是病毒、木馬和其他破壞性計(jì)算機(jī)程序的總稱。嵌入式設(shè)備的數(shù)量呈指數(shù)型增長(zhǎng)[1]，忽略了安全和隱私問(wèn)題。近年針對(duì)Linux 內(nèi)核的惡意軟件數(shù)量不斷增長(zhǎng)，其可以針對(duì)非常多樣化的目標(biāo)[2]。

綜上，對(duì)Linux 惡意軟件進(jìn)行高效快速地識(shí)別十分具有必要性。惡意軟件的自動(dòng)分析和檢測(cè)一直是研究的重點(diǎn)和難點(diǎn)[3]。鑒于此，文中給出了基于Linux 系統(tǒng)調(diào)用序列的惡意軟件檢測(cè)技術(shù)，首先，使用Linux 軟件系統(tǒng)調(diào)用序列進(jìn)行分割和提??；其次，將特征數(shù)據(jù)映射到RGBA 圖像文件；最后，使用膠囊網(wǎng)絡(luò)對(duì)圖像進(jìn)行檢測(cè)和識(shí)別。僅需少量標(biāo)記樣本，就可在測(cè)試數(shù)據(jù)集上達(dá)到極高的準(zhǔn)確率，在實(shí)驗(yàn)結(jié)果的基礎(chǔ)上，優(yōu)化膠囊網(wǎng)絡(luò)模型參數(shù)，以達(dá)到最優(yōu)的檢測(cè)性能。

1 系統(tǒng)調(diào)用與序列特征提取

1.1 系統(tǒng)調(diào)用數(shù)據(jù)

在Linux 系統(tǒng)中，進(jìn)程不能訪問(wèn)內(nèi)核，其中一組用于實(shí)現(xiàn)系統(tǒng)功能的子程序稱為系統(tǒng)調(diào)用。由于系統(tǒng)調(diào)用序列標(biāo)識(shí)軟件的行為，系統(tǒng)調(diào)用序列可作為一種檢測(cè)Linux 惡意軟件的特征[4]。對(duì)于Linux 系統(tǒng)調(diào)用序列的研究較少并且集中在入侵檢測(cè)[5]、異常檢測(cè)等方向。

獲取惡意軟件和良性軟件的系統(tǒng)調(diào)用序列數(shù)據(jù)。惡意軟件的系統(tǒng)調(diào)用序列由基于沙箱的動(dòng)態(tài)分析報(bào)告得到，目前尚無(wú)通用或官方的Linux 惡意軟件數(shù)據(jù)集，自行構(gòu)建惡意軟件系統(tǒng)調(diào)用序列數(shù)據(jù)集。沙箱分析時(shí)會(huì)捕獲系統(tǒng)調(diào)用序列這一動(dòng)態(tài)特征，將沙箱數(shù)據(jù)中這一冗余的分析信息利用起來(lái)，期望能到達(dá)較高的準(zhǔn)確率。良性軟件不會(huì)對(duì)系統(tǒng)造成危害，因此，可采用較為簡(jiǎn)單的方式獲取良性的系統(tǒng)調(diào)用序列，良性軟件的系統(tǒng)調(diào)用序列使用strace 命令追蹤的系統(tǒng)軟件得到，strace 顯示有關(guān)進(jìn)程系統(tǒng)調(diào)用的信息，可以確定程序使用的系統(tǒng)函數(shù)。

1.2 系統(tǒng)調(diào)用序列特征處理

每個(gè)系統(tǒng)調(diào)用都有不同的功能，例如大多數(shù)情況下open/read/write/ioctl/close 就可以實(shí)現(xiàn)對(duì)各種設(shè)備的輸入、輸出、設(shè)置、控制等；connect/socket 標(biāo)識(shí)了網(wǎng)絡(luò)行為特征。此外，系統(tǒng)調(diào)用序列具有前后關(guān)聯(lián)性，例如open-read-close 表示對(duì)某文件的讀操作。首先將系統(tǒng)調(diào)用序列按照進(jìn)程pid 劃分為單進(jìn)程的數(shù)據(jù)。系統(tǒng)調(diào)用序列的關(guān)聯(lián)性基于調(diào)用了同一參數(shù)或返回了同一地址，即對(duì)同一對(duì)象進(jìn)行操作，因此基于參數(shù)進(jìn)行劃分，得到可標(biāo)識(shí)軟件行為的系統(tǒng)調(diào)用特征序列。將特征序列轉(zhuǎn)換為對(duì)應(yīng)的RGBA 圖像，同樣大小的圖像RGBA 類型可以攜帶更多信息，可以攜帶比灰度圖更多的特征信息。將系統(tǒng)調(diào)用序列以字節(jié)為單位映射到對(duì)應(yīng)的四個(gè)通道上，將整個(gè)序列按字節(jié)進(jìn)行劃分，每四個(gè)字節(jié)對(duì)應(yīng)四個(gè)數(shù)值，其取值范圍為0～255，每四個(gè)字節(jié)映射一個(gè)像素點(diǎn)，即將每四個(gè)字節(jié)對(duì)應(yīng)數(shù)值映射到三個(gè)顏色通道以及一個(gè)透明度通道。如exec對(duì)應(yīng)的數(shù)值為（203,227,46,62）。最終，得到的圖像如圖1 所示，圖1(a)為良性軟件系統(tǒng)調(diào)用序列的特征圖，圖1(b)為惡意軟件系統(tǒng)調(diào)用序列的特征圖。

圖1 特征生成圖像

2 核心算法與優(yōu)化

2.1 核心算法

在基于系統(tǒng)調(diào)用的惡意軟件檢測(cè)領(lǐng)域[6]，從最初的傳統(tǒng)的靜態(tài)檢測(cè)、動(dòng)態(tài)檢測(cè)到基于數(shù)據(jù)挖掘和啟發(fā)式學(xué)習(xí)的檢測(cè)，發(fā)展到目前基于深度學(xué)習(xí)的惡意軟件檢測(cè)[7]。神經(jīng)網(wǎng)絡(luò)具有良好的處理復(fù)雜信息的能力，以便處理前后關(guān)聯(lián)的序列信息[8]。對(duì)于傳統(tǒng)的動(dòng)靜態(tài)檢測(cè)，或是當(dāng)前的機(jī)器學(xué)習(xí)、深度學(xué)習(xí)算法，都存在一些問(wèn)題[9]。2017年，Hinton 首次提出膠囊網(wǎng)絡(luò)模型[10]，該模型被認(rèn)為是下一代重要的神經(jīng)網(wǎng)絡(luò)模型。由于其優(yōu)異的性能，膠囊網(wǎng)絡(luò)模型很好地應(yīng)用于小型樣本圖像分類任務(wù)[11]。膠囊網(wǎng)絡(luò)可以保持比卷積神經(jīng)網(wǎng)絡(luò)（CNN）更強(qiáng)的空間信息關(guān)系[12]。

膠囊（Capsule）是一組神經(jīng)元，用輸入輸出向量的長(zhǎng)度表征實(shí)體存在的概率，向量的方向表示實(shí)例化參數(shù)，即實(shí)體的某些圖形屬性[13]。輸入輸出向量的長(zhǎng)度表示了某個(gè)實(shí)體出現(xiàn)的概率，所以值必須在0～1 之間，為實(shí)現(xiàn)這種壓縮，膠囊網(wǎng)絡(luò)使用了Squashing 函數(shù)激活向量，該非線性函數(shù)確保短向量的長(zhǎng)度能夠縮短到幾乎等于零，而長(zhǎng)向量的長(zhǎng)度壓縮到接近但不超過(guò)1。具體計(jì)算如式（1）所示，其中，vj為膠囊j的輸出向量，sj為上一層所有膠囊輸出到當(dāng)前層膠囊j的向量加權(quán)和，即sj為膠囊j的輸入向量。

同一層級(jí)的膠囊通過(guò)變換矩陣對(duì)更高級(jí)別膠囊的實(shí)例化參數(shù)進(jìn)行預(yù)測(cè)，當(dāng)多個(gè)預(yù)測(cè)一致時(shí)，更高級(jí)別的膠囊將變得活躍。使用層間動(dòng)態(tài)路由（Dynamic Routing）算法找出最好的處理路徑，其核心是迭代地計(jì)算更新耦合系數(shù)cij，其能令預(yù)測(cè)向量最符合輸出向量vj，即找到最符合輸出的輸入向量。該耦合系數(shù)的Softmax 算法如式（2）所示，bij依賴于兩個(gè)膠囊的位置與類型。

當(dāng)輸出新的vj后可以迭代更新cij，不需要反向傳播而直接通過(guò)計(jì)算輸入與輸出的一致性更新參數(shù)，該路由算法容易收斂，實(shí)驗(yàn)證明，通過(guò)三次迭代即可得到最佳結(jié)果。

2.2 路由算法改進(jìn)

層間動(dòng)態(tài)路由算法的核心是預(yù)測(cè)耦合系數(shù)的柔性最大值算法。Softmax 函數(shù)將短向量縮小到幾乎為零，將長(zhǎng)向量長(zhǎng)度縮小到小于1。系數(shù)分布[14]集中在0.09～1.09 區(qū)間，這使得預(yù)測(cè)向量的總和sj難以區(qū)分，路由到最終膠囊的概率特征幾乎相等。使用最小系數(shù)和最大系數(shù)之間差異更大的Sigmoid 函數(shù)代替Softmax 函數(shù)，如式（3）所示：

式中，cij不再代表最終膠囊的路由分配概率，而是代表路由到最終膠囊之間的相關(guān)強(qiáng)度。將重要的預(yù)測(cè)向量與較大的耦合系數(shù)相乘，使顯著性特征更具決定性，而不相關(guān)特征的耦合系數(shù)較小。

2.3 超參數(shù)優(yōu)化

基于上述膠囊網(wǎng)絡(luò)模型，對(duì)其超參數(shù)進(jìn)行調(diào)整以達(dá)到最佳的檢測(cè)效果。模型中使用隨機(jī)梯度下降算法[15]，使用訓(xùn)練數(shù)據(jù)集來(lái)更新模型的迭代學(xué)習(xí)算法。

batch 控制在模型的內(nèi)部參數(shù)更新之前要處理的訓(xùn)練樣本的數(shù)量。學(xué)習(xí)率決定了參數(shù)移動(dòng)到最優(yōu)值的速度快慢，學(xué)習(xí)率過(guò)大或過(guò)小都會(huì)對(duì)模型收斂及收斂速度造成影響。實(shí)驗(yàn)中對(duì)照測(cè)試了不同維度的訓(xùn)練批次batch 和學(xué)習(xí)率LR 對(duì)識(shí)別準(zhǔn)確率造成的影響，訓(xùn)練批次依次為1、8、32、64、128，學(xué)習(xí)率為0.000 1、0.000 5、0.001、0.005、0.01、0.05、0.1。在實(shí)驗(yàn)中調(diào)整訓(xùn)練批次batch 和學(xué)習(xí)率LR 對(duì)模型分類準(zhǔn)確率的影響如圖2 所示，batch 為128 學(xué)習(xí)率為0.000 5 或0.001 時(shí)可以達(dá)到最高準(zhǔn)確率0.998 882。

3 實(shí)驗(yàn)與結(jié)果分析

3.1 膠囊網(wǎng)絡(luò)結(jié)構(gòu)

實(shí)驗(yàn)使用膠囊網(wǎng)絡(luò)結(jié)構(gòu)，整體結(jié)構(gòu)圖如圖3 所示，使用Python 語(yǔ)言和pytorch 機(jī)器學(xué)習(xí)庫(kù)實(shí)現(xiàn)膠囊網(wǎng)絡(luò)，該架構(gòu)由兩個(gè)卷積層和一個(gè)全連接層組成。卷積核感受野為9×9，比傳統(tǒng)CNN 更大，在卷積層層數(shù)較少時(shí)能感受更多信息。第一個(gè)卷積層使用256個(gè)9×9 的卷積核，步幅等于1，使用ReLU 激活函數(shù)，輸出張量為20×20×256，層間權(quán)值數(shù)量為20 992 個(gè)。第二個(gè)卷積層（PrimaryCaps）中，將8 個(gè)卷積單元封裝成為一個(gè)膠囊單元，每次卷積操作會(huì)產(chǎn)生一個(gè)6×6×1×32 的張量，一個(gè)膠囊單元即產(chǎn)生了長(zhǎng)度為8 的6×6×8×32 的張量，該卷積層參數(shù)數(shù)量為5 308 672個(gè)。第三層（DigitCaps）的輸入為第二層輸出的向量，共6×6×32 個(gè)維度為8 的向量，使用動(dòng)態(tài)路由算法預(yù)測(cè)計(jì)算，即第i層共有1 152 個(gè)膠囊單元，第三層有10 個(gè)標(biāo)準(zhǔn)的膠囊單元，每個(gè)單元的輸出向量包含16 個(gè)元素，有1 152×10 個(gè)耦合系數(shù)cij，加權(quán)求和后有10 個(gè)16×1 的輸入向量，將該向量輸入到Squashing函數(shù)后得到最終的輸出向量vj，第三層網(wǎng)絡(luò)共有5 537 024 個(gè)參數(shù)。

圖3 膠囊網(wǎng)絡(luò)模型結(jié)構(gòu)圖

構(gòu)建損失函數(shù)，使用反向傳播更新所需參數(shù)，采用Margin loss 損失函數(shù)表達(dá)式如式（4）所示：

其中，c是分類類別，Tc是分類指示函數(shù)，c存在為1，c不存在為0，m+為上邊界，m-為下邊界，vc的模即向量的L2距離。使用全連接層對(duì)向量進(jìn)行重構(gòu)，利用預(yù)測(cè)的類別重新構(gòu)建出該類別代表的實(shí)際圖像，第三層的輸出向量被送至包含三個(gè)全連接層的解碼器中，結(jié)合損失函數(shù)計(jì)算并重構(gòu)圖像。

3.2 實(shí)驗(yàn)數(shù)據(jù)和評(píng)估指標(biāo)

文中的實(shí)驗(yàn)環(huán)境如表1 所示。該實(shí)驗(yàn)的實(shí)驗(yàn)數(shù)據(jù)來(lái)自互聯(lián)網(wǎng)中捕獲的惡意軟件以及Linux 系統(tǒng)的系統(tǒng)軟件，數(shù)據(jù)量為10 000 個(gè)樣本數(shù)據(jù)，惡意與非惡意樣本數(shù)據(jù)均為5 000個(gè)，每種樣本中4 000 個(gè)為訓(xùn)練集，1 000 個(gè)用作測(cè)試集。

表1 實(shí)驗(yàn)環(huán)境

實(shí)驗(yàn)流程如圖4 所示，首次提取數(shù)據(jù)中的系統(tǒng)調(diào)用序列，對(duì)其進(jìn)行數(shù)據(jù)預(yù)處理，包含序列化與反序列化、篩選刪除、數(shù)據(jù)格式規(guī)范化等操作，然后進(jìn)行特征的可視化處理，即將系統(tǒng)調(diào)用特征圖像化，將圖像數(shù)據(jù)分為訓(xùn)練數(shù)據(jù)和測(cè)試數(shù)據(jù)。

圖4 實(shí)驗(yàn)流程圖

另外，編程實(shí)現(xiàn)膠囊網(wǎng)絡(luò)模型，使用訓(xùn)練數(shù)據(jù)訓(xùn)練模型，測(cè)試數(shù)據(jù)測(cè)試模型分類效果，過(guò)程中記錄準(zhǔn)確率、損失率、混淆矩陣等數(shù)據(jù)結(jié)果。

混淆矩陣中包含評(píng)估分類算法效果的基本指標(biāo)[16-20]，包括真正例(TP)、假正例(FP)、真負(fù)例(TN)、假負(fù)例(FN)。根據(jù)基本指標(biāo)計(jì)算出更能表達(dá)分類器效果的指標(biāo)精確率、召回率、準(zhǔn)確率和F1值，具體計(jì)算公式及含義如表2 所示。

表2 評(píng)價(jià)指標(biāo)公式

3.3 實(shí)驗(yàn)結(jié)果與結(jié)論

選用表2 中的評(píng)價(jià)指標(biāo)作為該實(shí)驗(yàn)結(jié)果的評(píng)測(cè)指標(biāo)，此時(shí)根據(jù)分類算法基本指標(biāo)計(jì)算的精確率、召回率、準(zhǔn)確率和F1 值如表3 所示，準(zhǔn)確率可達(dá)到99.8%，證明該方法可以對(duì)系統(tǒng)調(diào)用數(shù)據(jù)進(jìn)行有效的特征提取，并在分類準(zhǔn)確度上有較好效果。

表3 模型評(píng)價(jià)指標(biāo)

4 結(jié)束語(yǔ)

文中提出了一種基于Linux 系統(tǒng)調(diào)用序列的惡意軟件檢測(cè)技術(shù)，首先構(gòu)建惡意軟件和良性軟件系統(tǒng)調(diào)用序列的數(shù)據(jù)集，將系統(tǒng)調(diào)用序列數(shù)據(jù)進(jìn)行過(guò)濾并分割為可以表征軟件行為的子序列，然后將系統(tǒng)調(diào)用序列特征數(shù)據(jù)映射到可以攜帶大量信息的RGBA 圖像文件中，使用所得訓(xùn)練數(shù)據(jù)對(duì)膠囊網(wǎng)絡(luò)進(jìn)行訓(xùn)練，對(duì)網(wǎng)絡(luò)模型進(jìn)行調(diào)參，最終在測(cè)試集上取得了較高的檢測(cè)準(zhǔn)確率。綜合實(shí)驗(yàn)數(shù)據(jù)表明，該方法具有較高的準(zhǔn)確率，可以有效對(duì)Linux 惡意軟件進(jìn)行分類，模型達(dá)到了良好的指標(biāo)，有效解決了所提出的問(wèn)題和需求。隨著互聯(lián)網(wǎng)的迅猛發(fā)展，各種APT攻擊事件頻發(fā)，惡意軟件的數(shù)量和規(guī)模持續(xù)增長(zhǎng)，未來(lái)網(wǎng)絡(luò)安全業(yè)界勢(shì)必面臨更大的挑戰(zhàn)，為國(guó)家安全帶來(lái)了嚴(yán)重威脅，為了維護(hù)用戶的權(quán)益和信息安全，勢(shì)必需要精度更高、速度更快的惡意軟件識(shí)別技術(shù)，因此該文提出的方法有重要的意義，需要未來(lái)持續(xù)性、更深入的研究和探索。