漏洞挖掘利用及恶意代码防御

本书从基于人工智能助力网络安全的视角出发，瞄准助力攻击和助力防御两个方向，刻画人工智能攻击链框架，着重描述自动化漏洞挖掘、软件漏洞自动化利用、基于神经网络的隐秘精准型恶意代码、隐秘精准型恶意代码的增强实现、基于深度学习和机器学习的未知特征恶意代码检测、基于知识图谱的威胁发现等6方面技术成果，在对比梳理新相关研究进展的同时，提出了大量技术问题解决思路和相关攻防实战方法，支撑行业管理、技术研究、产品研发和攻防实战。

序言
前言
第1章 自动化漏洞挖掘 1
1.1 软件自动化漏洞挖掘技术介绍 3
1.1.1 软件漏洞定义与分类 3
1.1.2 模糊测试技术 3
1.1.3 符号执行技术 4
1.2 基于多层导向模糊测试的堆漏洞挖掘技术 5
1.2.1 MDFuzz 系统框架 6
1.2.2 程序中目标代码位置自动识别 7
1.2.3 距离计算 9
1.2.4 基于概率的多层种子队列 10
1.2.5 适应度函数 11
1.3 基于混合执行的自动化漏洞挖掘技术 12
1.3.1 情况概述 13
1.3.2 系统框架简述 13
1.3.3 程序符号执行非线性函数约束求解优化方案 15
1.3.4 动静结合的符号执行引导算法 16
1.4 基于方向感知的模糊测试方法 19
1.4.1 情况概述 20
1.4.2 AFLPro 系统框架 21
1.4.3 基本块权重计算 23
1.4.4 种子选择 24
1.4.5 种子能量分配 25
1.4.6 语义信息收集 26
1.5 实验与结果分析 27
1.5.1 导向性堆漏洞挖掘性能评估 27
1.5.2 混合执行漏洞挖掘能力评估 31
1.5.3 方向感知漏洞挖掘性能评估 32
1.6 本章小结 37
参考文献 37
第2章 软件漏洞自动化利用 41
2.1 软件漏洞利用相关技术介绍 42
2.1.1 崩溃分析 42
2.1.2 漏洞自动化利用 42
2.2 通过指数搜索的自动化漏洞生成 43
2.2.1 AEG-E 系统架构 43
2.2.2 静态分析 44
2.2.3 崩溃路径复现 44
2.2.4 利用描述文件解析 46
2.2.5 漏洞利用生成 49
2.3 动静态分析相结合的漏洞自动化挖掘与利用 50
2.3.1 情况概述 51
2.3.2 AutoDE 系统框架 52
2.3.3 漏洞自动化挖掘AutoD 54
2.3.4 漏洞自动化利用AutoE 56
2.4 人机协同的软件漏洞利用 59
2.4.1 人机交互机制设计 60
2.4.2 基于专家知识的复杂软件漏洞挖掘 62
2.4.3 基于流程驱动的漏洞利用 65
2.5 实验与结果分析 70
2.5.1 可扩展模型的漏洞利用性能评估 70
2.5.2 漏洞自动化挖掘与利用性能评估 72
2.6 本章小结 74
参考文献 74
第3章 基于神经网络的隐秘精准型恶意代码 77
3.1 人工智能赋能恶意代码概述 78
3.1.1 静态对抗型恶意代码 78
3.1.2 动态对抗型恶意代码 79
3.1.3 鱼叉式钓鱼软件 80
3.1.4 智能僵尸网络 81
3.1.5 智能蜂群网络 82
3.1.6 隐秘精准型恶意代码 82
3.2 隐秘精准型恶意代码建模 84
3.2.1 概念描述 84
3.2.2 模型定义 84
3.2.3 模型架构 85
3.2.4 黑盒特性 87
3.3 隐秘精准型恶意代码案例分析 88
3.3.1 现实世界的案例—BIOLOAD 88
3.3.2 现实世界的案例—Gauss 88
3.3.3 实验室里的案例—DeepLocker 89
3.4 人工智能对隐秘精准型恶意代码的赋能作用 91
3.4.1 人工智能赋能的核心模型 91
3.4.2 人工智能赋能的必要条件 92
3.5 对隐秘精准性的安全度量 92
3.5.1 安全属性分析 93
3.5.2 四大度量指标 93
3.6 本章小结 95
参考文献 95
第4章 隐秘精准型恶意代码的增强实现 98
4.1 基于深度神经网络的隐秘精准型恶意代码增强实现方案 98
4.1.1 深度神经网络黑盒概述 99
4.1.2 不同类型深度神经网络黑盒的对比 99
4.1.3 基于深度神经网络黑盒的候选密钥生成器 102
4.1.4 基于哈希黑盒的候选密钥鉴别器 103
4.1.5 基于深度神经网络的隐秘精准型恶意代码的完整实现 104
4.2 基于感知哈希的隐秘精准型恶意代码增强实现方案 105
4.2.1 泛化一致性感知哈希模型架构 105
4.2.2 递进式三层相似度匹配算法 107
4.2.3 增强实现与隐秘精准性分析 110
4.3 深度神经网络与感知哈希的能力辨析 111
4.3.1 泛化一致性度量 112
4.3.2 体积增量度量 113
4.3.3 实际可行性度量 114
4.4 本章小结 115
参考文献 115
第5章 基于深度学习和机器学习的未知特征恶意代码检测 117
5.1 基于深度学习和机器学习的未知特征恶意代码检测概述 117
5.1.1 进程行为检测 117
5.1.2 恶意流量检测 118
5.1.3 DNS 窃密流量检测研究现状 119
5.2 面向人工智能模型训练的DNS 窃密数据自动生成 123
5.2.1 范围界定 123
5.2.2 DNS 窃密攻击的TTP 124
5.2.3 基于攻击TTP 的数据生成及应用设计 128
5.2.4 DNS 窃密流量自动生成框架实现 129
5.3 面向未知样本空间的DNS 窃密检测方法 134
5.3.1 数据集构建 134
5.3.2 特征集构建 135
5.3.3 检测模型训练 141
5.4 实际应用中的“最后一公里”问题 142
5.5 实验与结果分析 142
5.5.1 恶意流量自动生成 142
5.5.2 人工智能赋能的检测模型测试 144
5.6 本章小结 150
参考文献 150
第6章 基于知识图谱的威胁发现 153
6.1 基于知识图谱的威胁发现概述 153
6.1.1 基于知识图谱的传统威胁检测 154
6.1.2 基于知识图谱融合开源威胁情报的威胁发现 155
6.1.3 知识图谱在新型威胁领域的检测与应用 157
6.2 面向以太坊的智能合约蜜罐机理辨析 158
6.2.1 情况概述 158
6.2.2 基本概念 159
6.2.3 智能合约蜜罐机理 162
6.3 基于蜜罐家谱的各向异性合约蜜罐检测 167
6.3.1 基于各向异性的蜜罐检测范围界定 167
6.3.2 基于各向同性的蜜罐检测范围界定 170
6.3.3 动态检测路径规划 171
6.3.4 基于启发式算法的各向异性特征匹配 172
6.4 实验与结果分析 173
6.4.1 数据集构建 173
6.4.2 已知合约蜜罐检测对比 174
6.4.3 0day 合约蜜罐检测能力对比 176
6.4.4 未验证空间的0day 合约蜜罐检测 176
6.4.5 实验数据分析 178
6.5 本章小结 180
参考文献 181