科创中国

电子信息技术,软件

当前的恶意软件检测系统多基于恶意软件的行为特征、代码特征或动态运行指令序列特征实施检测。检测特征（或检测规则）仍主要依赖人工分析提取。由于恶意软件的复杂性和海量检测压力，传统分析检测方法难以有效支撑当前的恶意软件分析检测需求。利用机器学习、深度学习等智能分析方法，从海量样本中自动学习产生检测策略，是当前研究的热点。基于机器学习的恶意软件检测模型其基本思想是通过对海量样本的分类学习，输出划分恶意软件和非恶意软件集合的规则策略。虽然已有的检测模型已能展现较好的检测能力，但当攻击者已知检测模型时，只需对攻击方式做适当调整，即可造成检测模型的准确性急剧降低。恶意软件检测问题是一个高技术对抗问题，在现实环境中，不具备高对抗能力的检测模型难以发挥实际作用。因此，如何分析与评估恶意软件智能检测模型，进而提高恶意软件智能检测模型的对抗能力是当前恶意软件智能检测亟需解决的关键问题。

面对以上问题，本课题在对恶意软件机理深度分析的基础上，分析、评估了机器学习模型及其结果的有效性，进而优化检测模型，提升恶意软件检测模型的准确性和检测能力。主要内容如下： 1) 典型机器学习模型的解释研究。具体研究内容包括：a）基于局部逼近的解释方法研究。针对当前的机器学习模型可解释性方法进行研究总结，并实现相关解释研究方案；b）典型机器学习模型的解释研究。选择RFC、SVM等多种典型机器学习方法，针对勒索软件等多种典型恶意软件样本，完成机器学习模型的解释研究。 2) 恶意软件机理深度分析方法研究。具体研究内容包括：a）恶意行为依赖关系分析与提取。基于数据流与控制流分析，分析行为依赖关系，提取关键行为描述；b）漏洞利用过程的自动分析与提取。通过对漏洞利用过程的分析，识别并提取漏洞利用过程中环境布局、代码劫持等关键环节信息；c）对抗机制实现方式的逆向分析。对恶意软件展开逆向分析，剖析其对抗技术实现机理，提取其中关键代码。

宁波市智能制造产业研究院是受浙江省省委省政府委托，由宁波市政府与智能制造领域专家团队共同筹建的具有集团性质的机器人及智能制造企业集群。宁研院总投资3亿元，致力于搭建技术研究与成果产业化的桥梁，以打造“浙江制造”为核心目标，积极创造机器人名牌产品，业务覆盖智能制造核心部件、机器人本体、产业应用等多个领域，通过3-5年时间成为宁波市智能经济发展的核心支撑平台。