文/王鴻博 沈鴿

基于云計(jì)算的病毒惡意軟件分析

文/王鴻博 沈鴿

隨著信息技術(shù)領(lǐng)域的快速發(fā)展，傳統(tǒng)反病毒軟件的有效性日漸受到質(zhì)疑，近年來(lái)頻頻出現(xiàn)的惡性網(wǎng)絡(luò)事件也也證明了傳統(tǒng)惡意軟件分析方法確實(shí)存在不足，而為了能夠更好保護(hù)網(wǎng)絡(luò)安全，本文基于云計(jì)算的病毒惡意軟件分析展開(kāi)了具體研究，希望這一研究能夠相關(guān)業(yè)內(nèi)人士帶來(lái)一定啟發(fā)。

云計(jì)算 病毒惡意軟件分析 系統(tǒng)設(shè)計(jì)

云計(jì)算本質(zhì)上屬于一種信息資源處理方式，這一處理方式能夠在大型資源處理中心的支持下實(shí)現(xiàn)計(jì)算能力服務(wù)的提供，而如果將云計(jì)算與惡意軟件病毒的分析相結(jié)合，各類(lèi)最新病毒惡意軟件的信息就將實(shí)現(xiàn)第一時(shí)間發(fā)現(xiàn)、第一時(shí)間處理，傳統(tǒng)反病毒軟件、傳統(tǒng)分析方法存在的不足也將由此實(shí)現(xiàn)較好彌補(bǔ)，網(wǎng)絡(luò)安全的保護(hù)自然將獲得較為有力支持。

1 傳統(tǒng)病毒惡意軟件分析方法

為了較高質(zhì)量完成本文研究，我們首先需要深入了解傳統(tǒng)病毒惡意軟件分析方法，而結(jié)合筆者自身認(rèn)知，本文將這一傳統(tǒng)病毒惡意軟件分析方法概括為靜態(tài)分析法、動(dòng)態(tài)分析法兩類(lèi)。

1.1 靜態(tài)分析法

靜態(tài)分析法屬于傳統(tǒng)病毒惡意軟件分析方法的代表，在不運(yùn)行代碼前提下進(jìn)行程序代碼掃描是這一分析方法的核心，而由此實(shí)現(xiàn)的代碼特性值全面獲取就能夠?qū)崿F(xiàn)對(duì)病毒惡意軟件的全面分析，不過(guò)在壓縮加密、代碼迷惑等手段下，靜態(tài)分析法很容易出現(xiàn)誤報(bào)率較高的問(wèn)題。

1.2 動(dòng)態(tài)分析法

除了靜態(tài)分析法外，動(dòng)態(tài)分析法同樣屬于傳統(tǒng)病毒惡意軟件分析方法的代表，在程序運(yùn)行中進(jìn)行病毒惡意軟件分析是這一方法的核心。在動(dòng)態(tài)分析法應(yīng)用中，這一分析方法能夠?qū)崿F(xiàn)程序的一次執(zhí)行作為分析對(duì)象，而由此開(kāi)展的一次乃至多次分析就能夠較為準(zhǔn)確完成病毒惡意軟件分析，不過(guò)較為復(fù)雜的算法制約了動(dòng)態(tài)分析法的發(fā)展與效用發(fā)揮。

2 病毒惡意軟件動(dòng)態(tài)行為分析系統(tǒng)

結(jié)合云計(jì)算與動(dòng)態(tài)分析法這一傳統(tǒng)病毒惡意軟件分析方法存在的不足，本文研究建立了病毒惡意軟件動(dòng)態(tài)行為分析系統(tǒng)。

2.1 系統(tǒng)的總體架構(gòu)

為了能夠解決傳統(tǒng)動(dòng)態(tài)分析法存在的不足，筆者確定了病毒惡意軟件多分支路徑的分析策略，而這一策略在云計(jì)算的支持下就能夠?qū)崿F(xiàn)惡意行為的確定。圖1為本文研究病毒惡意軟件的動(dòng)態(tài)行為分析系統(tǒng)的上層架構(gòu)，而由此實(shí)現(xiàn)的虛擬機(jī)環(huán)境可疑程序監(jiān)控、惡意行為確定、執(zhí)行的條件分支路徑探索、使用進(jìn)程復(fù)制分派器實(shí)現(xiàn)的進(jìn)程復(fù)制、結(jié)合云網(wǎng)絡(luò)虛擬機(jī)結(jié)點(diǎn)實(shí)現(xiàn)的可疑文件分析報(bào)告形成，就能夠真正解決統(tǒng)動(dòng)態(tài)分析法存在的不足，網(wǎng)絡(luò)安全的保護(hù)也能夠由此得到更為有力支持。

2.2 具體實(shí)施方案

對(duì)于本文研究的病毒惡意軟件動(dòng)態(tài)行為分析系統(tǒng)來(lái)說(shuō)，標(biāo)簽數(shù)據(jù)生成器、執(zhí)行引擎和解釋器、進(jìn)程分派器、消息傳遞系統(tǒng)、分析報(bào)告生成器都屬于該系統(tǒng)的具體實(shí)施方案，介于篇幅原因本文僅對(duì)這其中的執(zhí)行引擎和解釋器實(shí)施方案進(jìn)行詳細(xì)論述。

對(duì)于病毒惡意軟件動(dòng)態(tài)行為分析系統(tǒng)的執(zhí)行引擎和解釋器實(shí)施方案來(lái)說(shuō)，病毒惡意軟件的隔離是這一實(shí)施方案的主要內(nèi)容，結(jié)合病毒惡意軟件普遍存在的文件行為、注冊(cè)表行為、圖形界面、反跟蹤和反調(diào)試、網(wǎng)絡(luò)行為、網(wǎng)絡(luò)僵尸等行為，我們就能夠建立執(zhí)行引擎和解釋器實(shí)施方案架構(gòu)，在架構(gòu)支持下，病毒惡意軟件就將真正失去效用，整個(gè)病毒惡意軟件動(dòng)態(tài)行為分析系統(tǒng)的效用發(fā)揮也將獲得更為有力支持。

3 病毒惡意軟件靜態(tài)行為分析系統(tǒng)

簡(jiǎn)單了解病毒惡意軟件動(dòng)態(tài)行為分析系統(tǒng)后，我們還需要就基于靜態(tài)分析法這一傳統(tǒng)病毒惡意軟件分析方法建立的病毒惡意軟件靜態(tài)行為分析系統(tǒng)進(jìn)行深入分析，采用新式CFO算法訓(xùn)練集成人工神經(jīng)網(wǎng)絡(luò)作為模式的分類(lèi)器則屬于這一系統(tǒng)的核心。

3.1 行為模式的獲取方式

對(duì)于本文研究的病毒惡意軟件靜態(tài)行為分析系統(tǒng)來(lái)說(shuō)，靜態(tài)的語(yǔ)義分析、特征提取選擇、訓(xùn)練測(cè)試屬于這一系統(tǒng)的具體組成。

（1）對(duì)于靜態(tài)的語(yǔ)義分析來(lái)說(shuō)，可執(zhí)行文件的匯編語(yǔ)言代碼化分解、程序執(zhí)行流圖的獲取、執(zhí)行樹(shù)的翻譯、提取系統(tǒng)調(diào)用的執(zhí)行路徑四個(gè)環(huán)節(jié)是這一靜態(tài)語(yǔ)義分析的核心內(nèi)容，而這一核心內(nèi)容的前兩個(gè)環(huán)節(jié)需要得到分解工具IDA Pro的支持，而在靜態(tài)語(yǔ)義分析中調(diào)用序列方式支持下，病毒惡意軟件常見(jiàn)的變形技術(shù)也將真正失去效用，代碼行為描述的質(zhì)量也將由此多大會(huì)更好保證。

（2）對(duì)于特征提取選擇來(lái)說(shuō)，筆者選擇了n-gram方式用于數(shù)據(jù)的特征提取，而結(jié)合滑動(dòng)窗口所收集的子串，并結(jié)合文獻(xiàn)頻率分析和信息增益技術(shù)，就能夠真正實(shí)現(xiàn)高質(zhì)量的特征提取，而完成提取后進(jìn)行特征向量使用表示可執(zhí)行文件，就能夠?yàn)楹罄m(xù)CFO算法訓(xùn)練神經(jīng)網(wǎng)絡(luò)分類(lèi)器的應(yīng)用提供更有力支持。

3.2 CFO算法訓(xùn)練神經(jīng)網(wǎng)絡(luò)分類(lèi)器

CFO算法訓(xùn)練神經(jīng)網(wǎng)絡(luò)分類(lèi)器屬于本文研究病毒惡意軟件靜態(tài)行為分析系統(tǒng)的核心，這一CFO算法訓(xùn)練神經(jīng)網(wǎng)絡(luò)分類(lèi)器的真正獲取需要通過(guò)基本CFO優(yōu)化算法、算法推導(dǎo)、算法的收斂性分析、人工神經(jīng)網(wǎng)絡(luò)訓(xùn)練集成等一系列環(huán)節(jié)實(shí)現(xiàn)，介于篇幅原因筆者僅對(duì)人工神經(jīng)網(wǎng)絡(luò)訓(xùn)練集成進(jìn)行簡(jiǎn)單介紹。

在人工神經(jīng)網(wǎng)絡(luò)訓(xùn)練集成中，多目標(biāo)優(yōu)化、集成網(wǎng)絡(luò)求得是其中的關(guān)鍵環(huán)節(jié)，這里我們需要將均方差函數(shù)作為目標(biāo)函數(shù)，這樣才能夠通過(guò)將整個(gè)集成網(wǎng)絡(luò)作為分類(lèi)器完成人工神經(jīng)網(wǎng)絡(luò)訓(xùn)練集成，在CFO算法支持下我們需要按照生成n個(gè)子網(wǎng)絡(luò)的初始質(zhì)子組、更新加速度和迭代次數(shù)、更新位置、計(jì)算目標(biāo)函數(shù)值、縮小決策空間、停止迭代條件等流程完成具體人工神經(jīng)網(wǎng)絡(luò)訓(xùn)練集成。

4 結(jié)論

在本文基于云計(jì)算的病毒惡意軟件分析展開(kāi)的研究中，筆者詳細(xì)論述了傳統(tǒng)病毒惡意軟件分析方法、病毒惡意軟件動(dòng)態(tài)行為分析系統(tǒng)、病毒惡意軟件靜態(tài)行為分析系統(tǒng)，結(jié)合這一系列內(nèi)容我們就能夠較為深入了解云計(jì)算在病毒惡意軟件分析中所能夠發(fā)揮的優(yōu)秀效用，也能夠在一定程度上明晰云計(jì)算在其中應(yīng)用的思路，希望由此能夠?yàn)槲覈?guó)網(wǎng)絡(luò)安全的相關(guān)發(fā)展帶來(lái)一定啟發(fā)。

[1]張娜.基于云計(jì)算的惡意軟件分析檢測(cè)研究[J].軟件導(dǎo)刊,2016(01):159-160.

[2]王昊哲,劉旸.云計(jì)算時(shí)代的自主惡意軟件防護(hù)建構(gòu)[J].信息網(wǎng)絡(luò)安全,2010(05):34-36.

作者單位空軍航空大學(xué)圖書(shū)館 吉林省長(zhǎng)春市 130000

王鴻博（1984-），男，吉林省長(zhǎng)春市人。碩士研究生?？哲姾娇沾髮W(xué)圖書(shū)館館員。研究方向?yàn)榍閳?bào)與信息技術(shù)。沈鴿（1985-），女，吉林省長(zhǎng)春市人。碩士研究生?？哲姾娇沾髮W(xué)圖書(shū)館館員。研究方向?yàn)槲墨I(xiàn)流通管理。