恶意代码知识表示与知识库构建方法研究

We still face many challenges in the field of malicious code detection: The number of new malicious code generated each year is in millions, and it is increasingly unrealistic to rely solely on experts to manually analyze behavior features of malicious code. Although the original intention of intelligent detection is to replace field experts to realize automatic detection of malicious code, at present intelligent detection methods can not accurately represent the true behavior of malicious code, and even if malicious code is detected, intelligent detection methods cannot give an accurate explanation. Intelligent detection methods cannot explain the detection results, making the intelligent detection methods lack a reliable basis. In addition, some basic problems in the field, such as family common behavior and the relationship between individuals and families, have not been solved well. One major reason for the above problems is that the current research ignores the construction of the knowledge base of malicious code. In view of this, this project studies the knowledge representation of malicious code and how to build a knowledge base of malicious code. We propose to construct a hierarchical knowledge model of malicious code, which models malicious code knowledge from three levels, individuals, families and global. The knowledge base can formally describe the behavior features of individuals and families, and constructs a complete and consistent knowledge system framework. The goal is to build a complete knowledge base of malicious code that allows the machine to automatically understand and manipulate knowledge, and lay the foundation for the complete automation of malicious code analysis and detection.

恶意代码领域的研究依然面临诸多挑战：每年新产生的恶意代码以百万计，单纯依赖专家手工分析恶意代码的行为特征愈来愈不现实；虽然智能检测的初衷是替代领域专家，实现恶意代码自动检测，但目前智能检测方法无法准确表示恶意代码的真实行为，即便检测出恶意代码，也无法给出准确的解释，导致智能检测方法缺少可靠的基础。此外，恶意代码领域的一些基础性问题，如家族共性行为、个体与家族之间的关系等问题也没有得到很好的解决。产生上述问题的一个主要原因就是目前的研究忽视了恶意代码知识库的建设。针对此，本项目研究恶意代码的知识表示，及如何构建恶意代码知识库，我们提出构建恶意代码层次知识模型，从个体、局部、整体三个层面对恶意代码进行建模，对恶意代码个体及家族行为特征进行形式化描述，构建其完整、一致的知识体系框架。目标是构建恶意代码完整的知识体系，使机器能自动理解、处理知识，为最终实现恶意代码分析与检测的完全自动化奠定基础。

恶意代码作为网络安全领域的重要威胁，其相关研究面临诸多挑战。一方面，随着恶意代码数量的急剧增长和内部结构的日益复杂化，单纯依赖专家手工分析恶意代码的行为特征愈来愈不现实。另一方面，基于机器学习的智能检测方法虽然能够替代领域专家，实现恶意代码的自动化检测，但其无法准确表示恶意代码的真实行为。即使检测出恶意代码，也无法给出准确的解释，导致智能检测方法缺乏可解释性。此外，恶意代码领域的一些基础性问题，如家族共性行为、个体与家族之间的关系等问题也没有得到很好的解决，主要是由于现有的研究忽视了恶意代码知识库的建设。为解决上述问题，本项目研究恶意代码的知识表示方法，以及如何构建恶意代码知识库，提出恶意代码层次知识模型，从个体、家族、整体三个层面对恶意代码进行建模。通过对恶意代码个体及家族行为特征进行形式化描述，构建完整、一致的恶意代码知识体系框架，使机器能自动理解、处理知识，为最终实现恶意代码分析与检测的完全自动化奠定基础。具体地，通过研究恶意代码知识图谱构建以及嵌入表示学习方法，并结合大数据分析、机器学习等技术，挖掘海量恶意代码的行为规律，解决恶意代码本体建模、知识表示与嵌入学习、对抗样本生成与检测等关键问题，实现对未知恶意代码准确高效的检测与分析。