(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202210103560.4 (22)申请日 2022.01.21 (71)申请人 张瑜 地址 510665 广东省广州市天河区中山大 道西293号广东技术师范大学网络空 间安全学院 申请人 石元泉　孙葭 (72)发明人 张瑜　石元泉　孙葭　 (51)Int.Cl. G06F 21/56(2013.01) G06V 10/44(2022.01) G06V 10/774(2022.01) G06V 10/82(2022.01) G06K 9/62(2022.01) G06N 3/04(2006.01) G06N 3/08(2006.01)G06T 1/20(2006.01) G06T 1/60(2006.01) (54)发明名称 一种基于RGB图像的内存隐遁攻击 检测方法 (57)摘要 本发明涉及一种基于RGB图像的内存隐遁攻 击检测方法， 主要包括以下步骤： 获取并分析内 存隐遁攻击样本的内存镜像数据； 进行内存镜像 数据冗余预处理； 将预处理后的内存镜像一维数 据转换为二维灰度图像数据； 将二维灰度图像转 换为RGB彩色图像； 对生成的小样本内存隐遁攻 击RGB彩色图像进行图像增强， 以扩展训练图像 数据集， 确保数据集的平衡性； 基于 所生成的RGB 图像数据集， 利用深度卷积神经网络实施检测识 别验证。 本发明可用于内存隐遁攻击 检测识别。 权利要求书1页 说明书5页 附图3页 CN 115248921 A 2022.10.28 CN 115248921 A 1.一种基于RGB图像的内存隐遁攻击检测方法， 其特 征在于， 包括以下步骤： (1)获取并分析内存隐遁攻击样本的内存镜像数据； (2)进行内存镜像数据冗余预处 理； (3)将预处 理后的内存镜像一维数据转换为 二维图像数据； (4)将二维灰度图像转换为RGB彩色图像； (5)对生成的小样本内存隐遁攻击RGB彩色图像进行图像增强， 以扩展训练数据集， 保 持数据集的平衡性； (6)基于所生成的RGB图像数据集， 利用深度卷积神经网络实施检测验证。 2.根据权利要求1所述的基于RGB图像的内存隐遁攻击检测方法， 其特征在于， 所述步 骤(3)具体为： 将内存取证获得的长度为L的一维数据， 转换成宽度和高度均为 的二维 灰度图。 3.根据权利要求1所述的基于RGB图像的内存隐遁攻击检测方法， 其特征在于， 所述步 骤(4)具体为： 将二维图像数据的每个二进制字节(8位)转换为对应的十进制数(0 ‑255)， 并 将其作为图像的R通道， 将整个图像的局部熵值作为G通道， 将每个二进制字节的信息熵值 作为B通道， 并依此构建RGB彩色图像。 4.根据权利要求1所述的基于RGB图像的内存隐遁攻击检测方法， 其特征在于， 所述步 骤(5)具体为： 对所生 成的小样本内存隐遁攻击RGB彩色图像进 行图像几何变换(图像缩放、 图像翻转、 图像仿射)， 以扩展训练图像数据集， 保存数据集的平衡性。权　利　要　求　书 1/1 页 2 CN 115248921 A 2一种基于RGB 图像的内存隐遁攻 击检测方 法 一、 技术领域 [0001]本发明涉及内存攻击防御技术领域， 特别是涉及一种基于RGB图像 的内存隐遁攻 击检测方法。 二、 背景技术 [0002]随着网络攻击面的扩大化， 攻击者的组织化、 规模化， 攻击技术的智能化、 武器化， 攻击不断加剧， 威胁日新月异， 防御直面严峻考验。 据美国Sophos[1]研究报告称： 2020年全 球网络威胁激增40 0％， 迎来网络安全至暗时刻， 新兴威胁形势 异常严峻。 [0003]在各类新兴高级威胁技术中， 内存隐遁攻击以其独具的 “隐匿性与持久性 ”而被广 泛使用。 据  CrowdStrike[2]研究统计显示： 10个成功突防的攻击向量中有8个使用了内存隐 遁攻击技术。 所谓内存隐遁攻击[3]， 是指在攻击链的某些阶段， 通过漏洞利用、 进程注入、 脚 本借用、 工具使用等方式避免将攻击载荷文件直接复制 到目标系统磁盘空间， 从而规避安 全检测的一种新兴高级隐遁威胁。 [0004]目前， 内存隐遁攻击已成为网络高级威胁的关键共性技术[4]， 被广泛应用于勒索 病毒、 挖矿病毒、 RAT  远控、 僵尸网络等恶意软件以及各类具有国家背景的APT(Advanced   Persistent  Threat， 高级持续性威胁)攻击活动， 用于获取系统访问权限、 窃取凭证、 维持 持久性及转移数据， 安全威胁 极大。 由于内存隐遁攻击不触及磁盘文件而仅存在于内存中， 或者利用合法进程或工具， 使得传统的基于文件特征码和基于进程行为的安全检测方法难 以获取攻击样本数据， 导 致扫描与监控失效、 不能有效防御内存隐遁攻击 。 [0005]为有效防御恶意代码攻击， 已有研究者提出了基于人工智能的检测方法。 2011年 Nataraj等[5]通过将恶意代码二进制 文件转换为灰度图， 并发现同族恶意代码图像具有相 似的纹理特征， 通过机器学习方法比较恶意代码灰度图像的Gist纹理特征， 实现恶意代码 分类。 2015年Han等[6]提出了熵图概念， 并通过比较恶意代码图像的熵 值对恶意代码进行分 类。 尽管这些方法开创了利用恶意代码图像来进行智能检测识别的研究新思路， 但仍存在 如下问题： (1)将恶意代码二进制数据转换为灰度图而非包含 更多细节信息的RGB  彩色图， 导致用于检测识别的特征信息不完整； (2)仅以局部熵图进行同族恶意代码相似性检测识 别， 没有考虑 全局信息熵， 导致图像稳定性和容错性欠佳， 恶意代码 检测鲁棒性不好； (3)小 样本攻击图像数据将 影响训练数据集的类型平衡性， 导致模 型出现过拟合问题； (4)没有针 对内存隐遁攻击样本特征进行有效攻击数据内存取证分析与提取， 不能有效应用于内存隐 遁攻击检测领域。 上述因素影响了基于恶意代码图像的智能检测方法在内存隐遁攻击检测 中准确性与有效性。 三、 发明内容 [0006]针对当前安全防御方法应对内存隐遁攻击不力的安全困境， 本发明所要解决的技 术问题是提供一种基于RGB图像的内存隐遁攻击检测方法， 可推广至恶意隐遁攻击检测及 分类。 尽管内存隐遁攻击全程无文件落地， 但由冯 ·诺依曼计算体系可知， 所有运行于CPU说　明　书 1/5 页 3 CN 115248921 A 3