在经济利益的驱动下,恶意代码相关的安全事件日益频繁。根据AV-Test的恶意代码统计数据,平均每天新发现25万多个新的恶意代码样本,与此同时恶意代码在快速进化。面对日益复杂的环境,人工分析已经难以及时应对如此海量的恶意代码。因此,人工智能技术被广泛的应用到恶意代码分析与检测系统中,人们开始广泛利用人工智能对大量的恶意代码样本训练检测模型。然而随着人工智能模型的广泛应用,人工智能本身的可信性受到了挑战,令其可能成为系统中薄弱的一环。在人工智能面临的诸多挑战中,对抗样本问题显得尤为严峻。传统机器学习模型大多基于一个稳定性假设:训练数据与测试数据近似服从相同分布。但是,当罕见样本甚至是恶意构造的非正常样本输入到机器学习模型时,就有可能导致机器学习模型输出异常结果。利用这一事实,通过构造对抗样本,攻击者可以间接干扰人工智能服务推理过程,进而达成误导分类、逃避检测等攻击效果。并且攻击者不需要目标模型的大量信息,即使是黑盒攻击也可以转化为白盒攻击,因此攻击手段隐蔽简单且高效。同时,由于对抗样本问题目前是人工智能模型黑箱的一部分,所以无法有效绕开。针对对抗样本问题,在计算机视觉领域,已经对此有了较多的研究,包括攻击与防御方法。然而在应用深度学习的恶意软件检测领域,人们往往只执着于分类效果的好坏和模型的有效性,而忽视了恶意软件检测系统模型本身的可信安全问题,这必然为人工智能技术在安全领域的应用前景埋藏了一个潜在的危机。为此,基于以上恶意软件人工智能检测领域所存在的问题,本文基于字节级恶意软件检测模型开展了针对对抗样本攻击的可信防护研究。通过对恶意软件输入空间的固定特征与运算过程中神经元不变量的可信防御分析,从两个不同角度对对抗样本开展防御方法设计。同时,本文基于tensorflow实现了上述防御方案,实验结果表明,该多层次可信防护方案可以有效识别对抗样本,相比于同类相关工作,具有低误报率和漏报率,从而验证了我们方案的有效性和高效性。本文的主要贡献包括:1.针对现有的恶意软件对抗样本防御方法中主要局限于图像领域的沿袭,缺乏与恶意软件自身特性相结合的问题,开展了在恶意软件输入特征层面的可信对抗样本防御研究,提出了一种基于输入空间恶意软件固定特征的可信防御方案TCFD。我们用代表恶意软件恶意行为的固定特征作为可信基对输入进行检测,实现了人工智能系统在恶意软件检测领域的输入层可信防护要求。2.针对当前恶意软件对抗样本防御方法只关注样本输入特征层面研究,而存在对于模型数据流缺乏分析的局限性问题,开展了计算过程中基于不变量的对抗样本可信度量研究,提出了一种新的不变量寻找方案BVI。通过在深度学习模型运行过程中,利用传统安全中边界检查的思路,基于神经元分布的情况作为不变量,实现了过程可信防护要求,与之前通用领域的不变量防御方案相比,本方案开销更小,适用性更强。3.基于以上研究,使用tensorflow实现了上述防护方案,采用多模型融合手段,通过三种强恶意软件对抗样本攻击测试集,上述可信防御方案可以有效监测出对抗样本,同时保持正常样本的分类,能够有效发现防御对抗样本攻击,同时具有极低的误报漏报率。