肖茂，郭春+，申國偉，蔣朝惠

1.貴州大學 計算機科學與技術學院，貴陽550025

2.公共大數(shù)據(jù)國家重點實驗室，貴陽550025

惡意軟件作為網(wǎng)絡空間安全的主要威脅之一，主要分為病毒、蠕蟲、特洛伊木馬、間諜軟件以及勒索軟件等。AV-TEST 在2020 年報告指出，近十年來惡意軟件的數(shù)量在不斷增加，其新變種數(shù)量將近3.75億，其中占比不到1%的勒索軟件從2016 年至今就已造成了高達幾十億美元的經(jīng)濟損失。因此，安全研究人員針對惡意軟件提出了多種自動化檢測方法，其中，基于灰度圖的檢測方法通過將惡意軟件轉化為灰度圖，無需執(zhí)行軟件或反匯編源文件，且通過引入深度學習模型在節(jié)省人工構造高階特征工作量的情況下仍能獲取較高的檢測精度，在惡意軟件檢測領域得到了廣泛關注和應用。惡意軟件檢測與反檢測的對抗博弈是一場永無止境的斗爭，伴隨著基于灰度圖的惡意軟件檢測方法的提出及應用，國內外研究者圍繞能夠欺騙該方法給出錯誤檢測結果的對抗樣本（adversarial example）開展了一系列研究工作。

現(xiàn)階段國內外研究者針對惡意軟件檢測技術的對抗樣本研究成果主要包括基于惡意軟件字節(jié)碼分類的對抗樣本生成方法和面向惡意軟件灰度圖檢測方法的對抗樣本生成方法兩類。前者大多是針對MalConv字節(jié)碼檢測模型進行的攻擊，主要使用快速梯度符號（fast gradient sign method,FGSM）、C&W（Carlini and Wagner attacks）等對抗算法迭代修改PE 文件間隙空間或尾部空間的字節(jié)碼生成對抗樣本，此類方法生成對抗樣本耗時相對較長且目前并未被應用于對抗基于灰度圖的惡意軟件檢測方法；后者大多無法確保所生成對抗樣本的可用性（指PE 文件能夠正常運行）或功能性（指PE 文件所包含的程序功能可以正常使用）不被破壞，例如對PE 文件轉化的灰度圖進行無區(qū)域限定的像素更改的方法或對某些具有功能的區(qū)段進行更改的方法均會導致原PE 文件的可用性或功能性受損。為使所生成的對抗樣本保留原PE 文件的可用性和功能性，部分國內外研究者提出了在PE 文件尾部進行字節(jié)添加的對抗樣本，但這類對抗樣本可通過文件頭信息進行準確檢測。

針對上述問題，本文從PE 文件的結構和對齊機制入手，提出了一種可保留PE 文件可用性和功能性的字節(jié)碼攻擊方法（bytecode attack remaining availability and functionality，BARAF），用于生成針對基于灰度圖的惡意軟件檢測方法的對抗樣本。

本文的主要工作如下：

（1）分析PE 文件的格式與對齊機制，對不破壞PE 文件可用性和功能性的字節(jié)碼可添加/修改區(qū)域進行分析，發(fā)現(xiàn)可供添加/修改字節(jié)碼的區(qū)域有尾部空間、間隙空間以及“模擬拉伸”的擴展空間。后續(xù)分析發(fā)現(xiàn)對尾部空間的字節(jié)追加通過文件頭信息便能進行準確檢測，而對間隙空間以及擴展空間的字節(jié)修改或添加較難通過文件頭信息準確檢測。

（2）基于擴展空間和間隙空間提出一種可保留PE 文件可用性和功能性的字節(jié)碼攻擊方法BARAF。該方法通過在PE 文件的擴展空間、間隙空間以及兩者組成的混合空間內添加或修改字節(jié)碼生成對抗樣本，能夠欺騙基于灰度圖的惡意軟件檢測方法。

（3）在VX-Heaven、Virusshare 以及360 安全軟件管家收集的4 688 個樣本上進行實驗測試，對BARAF所生成不同對抗樣本的攻擊性能、生成成功率以及檢測準確性進行評估與分析。

1 背景知識

1.1 基于灰度圖的惡意軟件檢測方法

將一個待檢測軟件判別為惡意軟件或正常軟件可以視為一個分類問題?，F(xiàn)有研究表明，利用深度學習從惡意軟件轉化的灰度圖中自動提取特征，再結合機器學習進行分析的框架能夠獲得較高的惡意軟件分類準確率。該框架將惡意軟件可視化為灰度圖的流程如圖1 所示，在將惡意軟件的PE 文件以二進制形式讀取后，將二進制序列中每8 bit 視作一個單元，轉化為單個數(shù)值范圍為0 到255 的無符號整型數(shù)值列表，之后將列表轉換為256×維的二維數(shù)組并導出為灰度圖，其中為灰度圖的高，值視文件字節(jié)尺寸而定。在該框架中深度學習與機器學習算法的選擇上，國內外研究者運用VGG16 與支持向量機（support vector machine，SVM）組合（后續(xù)簡稱為灰度圖+VGG16+SVM）在惡意軟件檢測/分類上獲得了很高的準確率。

圖1 惡意軟件可視化為灰度圖流程Fig.1 Process of visualizing malware as gray image

灰度圖+VGG16+SVM 檢測方法框架如圖2 所示，在將軟件灰度圖化后，利用VGG16 自動提取特征，再進一步將提取的特征通過SVM構建檢測模型以判斷待檢測PE文件為良性軟件還是某一類惡意軟件。

圖2 灰度圖+VGG16+SVM 檢測方法框架Fig.2 Gray+VGG16+SVM detection method framework

在灰度圖+VGG16+SVM 方法完成檢測模型構建之后，可以使用對抗樣本干擾其檢測準確性。對抗樣本被灰度圖+VGG16+SVM 方法作為輸入的待檢測樣本，將執(zhí)行可視化、特征提取和檢測等步驟以判斷其類別。由于對抗樣本是對原始PE 文件中部分字節(jié)針對性修改后所得，其對應生成的灰度圖與原始PE 文件所生成的灰度圖也會存在不同，從而影響檢測方法的判別準確性。本文將圍繞針對灰度圖+VGG16+SVM 方法的對抗樣本展開研究。

1.2 針對基于灰度圖的惡意軟件檢測方法的對抗樣本

基于灰度圖的惡意軟件檢測方法以灰度圖化的軟件作為分析對象?；贘acobian的顯著性圖攻擊、DeepFool、生成對抗網(wǎng)絡和FGSM 等多種對抗算法被用于生成對抗樣本來欺騙圖片識別方法。在基于灰度圖的惡意軟件檢測方法的對抗樣本研究領域，Liu 等人運用FGSM、C&W 等對抗算法對惡意軟件轉化的灰度圖直接進行像素點擾動來生成對抗樣本。Vi 等人提出的對抗樣本則是通過FGSM算法對PE 文件的資源段進行擾動而得到。Khormali等人提出的對抗樣本是通過在PE 文件轉化的灰度圖尾部拼接其被Cleverhans庫擾動后的灰度圖或其他類別軟件轉化的灰度圖來形成。

分析上述相關工作，若將PE 文件轉化的灰度圖進行無區(qū)域限定的像素修改或將PE 文件資源段區(qū)域對應的像素點進行修改，將會影響所對應PE 文件的可用性或功能性；而針對尾部空間進行字節(jié)添加的對抗樣本，由于未修改任何頭部信息而易通過文件頭信息進行準確檢測。針對相關工作存在的問題，本文重點分析PE 文件的結構和對齊機制，研究能夠保留PE 文件的可用性和功能性的可添加/修改字節(jié)區(qū)域和相應的字節(jié)碼攻擊方法。

2 面向基于灰度圖的惡意軟件檢測方法的字節(jié)碼攻擊可添加/修改區(qū)域分析

PE 文件的可用性和功能性與PE 文件的結構密切相關。若想在不破壞PE 文件可用性及功能性情況下修改其部分字節(jié)來生成對抗樣本，需分析PE 文件的結構特點。因此，本文從PE 文件的結構特點出發(fā)，尋找能夠保留PE 文件的可用性和功能性的可添加/修改字節(jié)區(qū)域。PE 文件結構如圖3 所示，其主要由文件頭（file header，）以及區(qū)段數(shù)據(jù)（section，）兩部分組成。的NT 頭（NT header，）中包含此文件擁有的區(qū)段數(shù)、此文件的文件對齊因子（file alignment，）以及區(qū)段對齊因子（section alignment，）。因為軟件運行需要至少一個代碼段，所以≥1。區(qū)段頭（section header，）包含此文件的個區(qū)段標志信息，即=[,,…,SH]。文件中任意區(qū)段S均可由SH的區(qū)段段首地址（Pointer-ToRawData，PD）以及區(qū)段尺寸（SizeOfRawData，SD）進行定位，∈[1,]，S中包含的實際數(shù)據(jù)或代碼的量由虛擬尺寸（VirtualSize，VS）表示。如圖3中PE 文件示例所示，PD為指向區(qū)段的段首地址，VS為區(qū)段的實際字節(jié)碼量，例如為圖3 灰色部分字節(jié)碼“00 0E...6F FF”的字節(jié)總量。 SD為區(qū)段的區(qū)段總大小，其值為一個區(qū)段的間隙字節(jié)碼量與其實際字節(jié)碼量之和。

圖3 PE 文件結構示意圖Fig.3 Diagram of PE file structure

對一個包含個區(qū)段的PE 文件，在如圖3 中所示的文件尾部追加任意量的字節(jié)碼均不會破壞的可用性和功能性。當前已有研究者在PE 文件尾部追加字節(jié)碼來形成對抗樣本。文件尾部可以通過文件尾部地址定位，可由式（1）計算得到。

但通過在的尾部追加數(shù)據(jù)所形成的對抗樣本，以的文件頭判斷后是否存在數(shù)據(jù)即可準確檢測。

為尋找能夠保留PE 文件的可用性和功能性且難以通過文件頭信息準確檢測的可添加/修改字節(jié)區(qū)域，本文著眼于PE 文件的結構以及加載機制中的文件對齊與區(qū)段對齊，發(fā)現(xiàn)如圖3 中用黑色標識的間隙空間以及后續(xù)介紹的擴展空間能夠滿足上述要求。間隙空間因文件對齊機制而存在——為便于存儲與讀取數(shù)據(jù)，PE 文件每個區(qū)段需為磁盤區(qū)塊尺寸（其值等于）的整數(shù)倍，對不足整數(shù)倍部分將填充“0x00”字節(jié)碼從而形成該空間。各間隙空間可由各區(qū)段S的開始地址PD以及其間隙空間尺寸_gap進行定位，∈[1,]，兩者可分別由式（2）和式（3）計算。

由于一個區(qū)段S間隙空間量由文件對齊機制中的磁盤區(qū)塊尺寸決定，而該尺寸主流情況下最大為“0x1000”（4 KB），此時一個區(qū)段S的間隙空間的最小與最大空間分別為0 Byte 與4 095 Byte，其中可修改字節(jié)為0 對應區(qū)段S的尺寸SD恰好為整數(shù)倍而沒有填充字節(jié)的情況。

本文所指的擴展空間源于區(qū)段對齊機制，即在系統(tǒng)中運行PE 文件需要將其加載到內存中，此過程中PE 文件每個區(qū)段需要與加載系統(tǒng)的內存單位（其尺寸等于）進行對齊，致使各個區(qū)段將填充“0x00”字節(jié)碼以進行相應擴展。本文通過填充字節(jié)碼的方式增加各區(qū)段S區(qū)段的尺寸SD并修改區(qū)段段首地址PD數(shù)值，將PE 文件在文件態(tài)下各區(qū)段S的尺寸等同于該文件內存態(tài)下′，從而擴展出如圖4 中用黑色標識的擴展空間。區(qū)段S的擴展空間可由增加量_expand與PD所定位，PD即為下一個區(qū)段的段首地址PD。區(qū)段S的擴展空間的_expand以及其首地址PD可由式（4）、式（5）計算。

圖4 PE 文件加載示意圖Fig.4 Diagram of PE file loading

其中，SA為區(qū)段對齊機制中用于加載樣本的系統(tǒng)內存頁尺寸SA主流情況下為64 位操作系統(tǒng)的內存頁尺寸“0x2000”（8 KB），此時一個區(qū)段S擴展空間的最小與最大空間分別為0 Byte與8 191 Byte，其中擴展空間為0對應區(qū)段S的尺寸SD恰好為整數(shù)倍。

綜上所述，在上述間隙空間和擴展空間中進行字節(jié)碼添加或修改可以生成針對基于灰度圖的惡意軟件檢測方法的對抗樣本，且該對抗樣本不會破壞原PE 文件的可用性和功能性。因此，本文從間隙空間、擴展空間以及兩者的混合空間出發(fā)，提出一種可保留可用性和功能性的對抗樣本，并將生成該對抗樣本的方法命名為BARAF。

3 可保留PE 文件可用性和功能性的字節(jié)碼攻擊方法

BARAF 方法框架如圖5 所示，在待檢測PE 文件轉化為灰度圖之前進行文件修改，可自主選擇修改或添加字節(jié)碼的空間及字節(jié)碼內容形成不同的對抗樣本。這些對抗樣本通過改變灰度圖區(qū)段紋理的方式影響基于灰度圖的惡意軟件檢測方法對其檢測的準確性。

圖5 BARAF 框架圖Fig.5 BARAF framework chart

BARAF 生成的對抗樣本根據(jù)攻擊區(qū)域的不同可分為基于擴展空間添加的對抗樣本、基于間隙空間修改的對抗樣本與基于混合空間增改的對抗樣本。三種對抗樣本的生成算法本文分別命名為擴展字節(jié)碼攻擊（expanded byte-code attack，EBCA）、間隙字節(jié)碼攻擊（gap byte-code attack，GBCA）以及混合字節(jié)碼攻擊（mixed byte-code attack，MBCA）。

3.1 基于擴展空間添加的對抗樣本

基于擴展空間添加的對抗樣本以PE 文件的擴展空間為攻擊區(qū)域。對包含個區(qū)段的PE 文件進行基于擴展空間添加的對抗樣本生成過程如算法1所示，其中∈N，其關鍵點包含區(qū)段空間拉伸與區(qū)段內容添加。區(qū)段空間拉伸如第2 章所述，通過數(shù)值修改來增大當前區(qū)段SD以及后續(xù)區(qū)段PD～ PD數(shù)值以擴展S的空間，所得′～′為S擴展后其后續(xù)區(qū)段的段首地址；添加內容BCT為在擴展空間進行字節(jié)添加時選擇的字節(jié)碼，可選字節(jié)范圍為“0x00～0xFF”中任意字節(jié)。

EBCA

3.2 基于間隙空間修改的對抗樣本

基于間隙空間修改的對抗樣本以PE 文件的間隙空間為攻擊區(qū)域。對含有個區(qū)段的PE 文件進行基于間隙空間修改的對抗樣本生成過程如算法2所示，其中∈N，其關鍵點包含間隙空間定位和字節(jié)碼修改。如第2 章所述，區(qū)段S的間隙空間可由_gap和PD定位；修改內容BCT為在間隙空間進行字節(jié)修改時選擇的字節(jié)碼，可選字節(jié)范圍為“0x00～0xFF”中任意字節(jié)。

GBCA

3.3 基于混合空間增改的對抗樣本

基于混合空間增改的對抗樣本同時以PE 文件的擴展和間隙空間作為攻擊區(qū)域。對包含個區(qū)段的PE 文件進行基于混合空間增改的對抗樣本生成過程如算法3 所示，其中∈N，其關鍵點為3.1 節(jié)與3.2節(jié)所述的間隙空間定位、字節(jié)碼修改、區(qū)段空間拉伸、區(qū)段內容添加，添加內容BCT、修改內容BCT均在“0x00～0xFF”范圍內選擇。由基于混合空間增改的對抗樣本定義可知，在主流情況下（和分別為4 KB 和8 KB），中一個區(qū)段S可增改空間大小為0～12 286 Byte。

MBCA

4 實驗

4.1 數(shù)據(jù)預處理

為評估BARAF 所生成的對抗樣本對基于灰度圖的惡意軟件檢測方法的欺騙效果，本文收集了4 688個PE 文件，其中588 個良性軟件來源于360 安全管家并歸為1 個家族（benign），4 100 個分屬16 個家族的惡意軟件采集于VX-heaven和Virusshare。實驗中隨機抽取這17 個家族中每個家族的70%作為訓練集，剩余30%用作測試集。實驗數(shù)據(jù)分布如表1所示。

表1 實驗數(shù)據(jù)集詳情Table 1 Detail of experimental dataset

在實驗中，訓練集用于訓練基于灰度圖的惡意軟件檢測方法（在本實驗中為Gray+VGG16+SVM 方法），測試集中各樣本將被BARAF 進行攻擊。由BARAF 攻擊前后的樣本所轉化的部分灰度圖如圖6所示，共有12 個家族的軟件能夠生成基于混合空間增改的對抗樣本。圖6中為“0x80”，每個家族中的左圖為PE 文件轉化的原始圖像，右圖為同一文件進行混合空間增改所生成的對抗樣本所轉化圖像。圖6 顯示BARAF 攻擊生成的對抗樣本所轉化圖像相比于原始圖像皆進行了長度拉伸且產(chǎn)生了一定程度的圖像紋理變化。

圖6 原始灰度圖與灰度圖化的對抗樣本對比Fig.6 Comparison of original gray image and image-based adversarial example

4.2 評估指標

為評估BARAF 對Gray+VGG16+SVM 方法的影響情況，本文使用準確率（accuracy）、真陽率（true positive rate，TPR）、假陽率（false positive rate，F(xiàn)PR）、誤分類率（misclassification rate，MR）、對抗樣本生成成功率（success rate，SR）以及平均可添加量（average additive volume，AAV）作為評估指標。其中Accuracy用來評估Gray+VGG16+SVM 方法的檢測性能，TPR和FPR 用于評估檢測對抗樣本的準確性，AAV 為不同家族在單種攻擊下可供添加或修改的平均字節(jié)數(shù)。Accuracy、TPR 與FPR 通過式（6）～（8）計算，其中，TP（true positive）和TN（true negetive）表示正確預測正/負例樣本數(shù)量，F(xiàn)N（false negetive）和FP（false positive）表示正/負例樣本被錯誤預測的數(shù)量。

指標用于衡量BARAF 所生成的對抗樣本對檢測準確率的影響，可由式（9）計算，其中表示檢測方法的原始準確率，Accuracy表示檢測方法在攻擊后的測試集上得到的準確率。

指標用于衡量BARAF 生成對抗樣本的成功率，通過式（10）計算，其中表示測試樣本總數(shù)，表示成功生成對抗樣本的數(shù)量。

4.3 實驗結果

Gray+VGG16+SVM 對原始測試集和BARAF 攻擊后的測試集檢測結果如表2 所示。由于BARAF 選擇不同字節(jié)碼（選擇范圍為“0x00～0xFF”）將生成不同的對抗樣本，表2 給出了Gray +VGG16+SVM 對BARAF 分別 使用“0x00”“0x80”“0xFF”三組 字節(jié)碼進行間隙字節(jié)碼攻擊、擴展字節(jié)碼攻擊與混合字節(jié)碼攻擊后的測試集的檢測結果。

表2 BARAF 對Gray+VGG16+SVM 的性能影響Table 2 Impact of BARAF on performance of Gray+VGG16+SVM

如表2 所示，Gray+VGG16+SVM 方法在原始測試集上獲得的Accuracy 為90.33%，而在三種攻擊方法攻擊后的測試集中，產(chǎn)生最大MR 值的攻擊方法為選擇“0xFF”字節(jié)碼的MBCA，其MR 值達到31.58%（即使得檢測方法的Accuracy 下降31.58 個百分點）；其次是選擇“0xFF”字節(jié)碼的EBCA，其攻擊后的測試集產(chǎn)生了26.67%的MR 值；MR 值最低的攻擊方法為GBCA，最多僅能獲得13.57%的MR。在不同字節(jié)碼對攻擊方法的影響方面，除GBCA 選擇“0x00”時由于攻擊前后的灰度圖未發(fā)生變化而未影響檢測準確性外，不同攻擊均是在使用“0xFF”時獲得最佳的MR值，因此可以將“0xFF”作為BARAF所用字節(jié)碼的推薦值。表2還顯示了GBCA 的AAV 值最?。? 702 Byte），而EBCA的AAV值為7 743 Byte，約為GBCA的2.87倍。

為進一步分析BARAF，本小節(jié)首先將對其進行對抗樣本生成成功率分析，然后通過文件頭信息對其攻擊后的測試集中樣本進行檢測準確性分析。由于MBCA 的攻擊區(qū)域是GBCA 和EBCA 攻擊區(qū)域的疊加，僅對GBCA 和EBCA 攻擊后的測試集進行檢測準確性分析，最后將BARAF 與其他文章所提出的攻擊方法進行對比分析。

（1）對抗樣本生成成功率分析

BARAF 在測試集樣本上生成三種不同對抗樣本的成功率及各家族對抗樣本生成情況分別如表3、表4所示。表3顯示GBCA對應的對抗樣本生成成功率最高（SR值為73.76%），而MBCA的SR值僅為41.04%。具體到各個家族，表4 顯示EBCA 在“B.Small”和“TG.OnLineGames”家族上成功生成的對抗樣本數(shù)量為0，這是因為這兩個家族的樣本中所有區(qū)段皆已區(qū)段對齊。而“B.Shark”“TB.Banker”與“TS.Zbot”家族的樣本由于存在實際字節(jié)碼量與區(qū)段實際功能代碼量不相等的情況，GBCA 難以準確定位間隙空間而導致GBCA 在這三個家族的樣本上成功生成對抗樣本的數(shù)量較少。最后，由于GBCA 與MBCA 兩者皆可成功生成的樣本重合率過低，導致MBCA 在本文測試集上生成對抗樣本的成功率低于50%。

表3 對抗樣本生成成功率Table 3 Creation success rate of adversarial examples 單位：%

表4 各家族對抗樣本生成結果Table 4 Generation result of adversarial examples of each family

（2）對抗樣本檢測準確性分析

本小節(jié)將選定為“0xFF”，通過文件頭信息對GBCA 和MBCA 攻擊后的測試集進行對抗樣本檢測，檢測結果分別如圖7、圖8 所示，圖中“No.A”表示GBCA 或MBCA 在各家族測試樣本上成功生成對抗樣本的數(shù)量，“No.B”表示通過文件頭信息判斷為各家族對抗樣本的數(shù)量。從圖7 和圖8 可以看到，在多個家族中通過文件頭信息判別為對抗樣本的數(shù)量超過了該家族測試樣本中對抗樣本的實際數(shù)量。

圖7 通過文件頭信息檢測GBCA 攻擊后的測試集的結果Fig.7 Detection result obtained by file header information on test set attacked by GBCA

圖8 通過文件頭信息檢測EBCA 攻擊后的測試集的結果Fig.8 Detection result obtained by file header information on test set attacked by EBCA

表5 給出了GBCA 和EBCA 攻擊后的測試集經(jīng)由基于文件頭信息檢測所得到的檢測結果。如表5所示，GBCA 和EBCA 的FPR 值分別為17.07%和59.81%，說明通過文件頭信息檢測這兩種攻擊后的測試集均會得到較多的誤報。出現(xiàn)高FPR 值的原因同對抗樣本生成成功率低的原因一致，即區(qū)段的實際字節(jié)碼量與區(qū)段的實際功能代碼量不相等而導致通過文件頭信息定位相應空間不準確。

表5 通過文件頭信息檢測不同攻擊后的測試集的結果Table 5 Detected results obtained by file header information on test sets attacked by different attacks 單位：%

（3）對比研究

為比較BARAF 與其他針對基于灰度圖的惡意軟件檢測方法的對抗攻擊所生成對抗樣本，本小節(jié)以不同方法所生成對抗樣本通過文件頭信息進行檢測的準確性高低、能否保留PE 文件的可用性和功能性等方面進行定性比較。如表6 所示，ATMPA方法通過對PE 文件轉化的灰度圖進行無區(qū)域限定的像素修改來生成對抗樣本，不易被文件頭信息檢測方法準確檢測，但該方法生成的對抗樣本可能會因文件結構所對應字節(jié)碼被修改而破壞PE 文件的可用性和功能性；RSRC+FGSM方法在生成對抗樣本時將擾動的區(qū)域限制為PE 文件的資源段，該方法生成的對抗樣本不易通過文件頭信息準確檢測，且由于其未修改文件的代碼段而使得對抗樣本具有可用性，但資源段中字節(jié)碼的修改會破害PE 文件的功能性；COPYCAT方法通過在PE 文件轉化的灰度圖尾部拼接其他類別軟件轉化的灰度圖來生成對抗樣本，未對PE 文件原有區(qū)段進行修改而不會破害其可用性和功能性，但該方法生成的對抗樣本由于未更改文件頭信息而較易通過文件頭信息進行準確檢測；本文提出的BARAF 由于未修改PE 文件的實際功能代碼，所生成的對抗樣本能保留原始PE 文件的可用性和功能性，并且由于攻擊時修改了文件頭的相應信息而不易通過文件頭信息準確檢測。

表6 不同攻擊方法所生成的對抗樣本對比Table 6 Comparison of adversarial examples generated by different attack methods

5 結束語

基于灰度圖的惡意軟件檢測方法由于具有高準確率的特點逐漸被廣泛應用。本文從迭代和完善的意圖出發(fā)研究基于灰度圖的惡意軟件檢測方法的對抗樣本，分析PE 文件的結構以及對齊機制，發(fā)現(xiàn)了一個能夠保留PE 文件的可用性和功能性的可添加字節(jié)區(qū)域——擴展空間，并進一步提出了一種可保留PE文件可用性和功能性的字節(jié)碼攻擊方法BARAF。BARAF 通過在特定的間隙空間和擴展空間內修改或添加字節(jié)碼來生成可保留原PE 文件可用性和功能性的對抗樣本。實驗結果表明BARAF 所生成的對抗樣本最多能使基于灰度圖的惡意軟件檢測方法Gray+VGG16+SVM 的Accuracy 降低31.58 個百分點，并且不易通過文件頭信息進行準確檢測。

在后續(xù)工作中將重點研究針對基于灰度圖的惡意軟件檢測方法的對抗樣本的防御方法，嘗試提出可抵御現(xiàn)有對抗樣本干擾的基于圖像的惡意軟件檢測方法。