才東陽(yáng)

（國(guó)網(wǎng)冀北電力有限公司唐山供電公司，河北 唐山 063000）

0 引言

在網(wǎng)絡(luò)通信領(lǐng)域當(dāng)中，惡意代碼是指其本身沒(méi)有任何作用，但存在于網(wǎng)絡(luò)環(huán)境當(dāng)中會(huì)對(duì)用戶(hù)的通信信息帶來(lái)危險(xiǎn)。惡意代碼與正常代碼之間的區(qū)別在于，惡意代碼是一種完全為了實(shí)現(xiàn)某種惡意目的而編寫(xiě)出的計(jì)算機(jī)程序，通常會(huì)采用融合的方式潛藏在正常的計(jì)算機(jī)程序當(dāng)中，并選擇在特定的環(huán)境下完成執(zhí)行功能[1-3]。當(dāng)前，針對(duì)網(wǎng)絡(luò)通信環(huán)境當(dāng)中惡意代碼的檢測(cè)可分為靜態(tài)和動(dòng)態(tài)兩種，但在實(shí)際應(yīng)用中，這兩種檢測(cè)方法都存在檢測(cè)結(jié)果重復(fù)性和滯后性嚴(yán)重等問(wèn)題，同時(shí)在檢測(cè)精度上也無(wú)法達(dá)到網(wǎng)絡(luò)通信安全運(yùn)行的要求。針對(duì)這些問(wèn)題，為了能夠促進(jìn)網(wǎng)絡(luò)通信環(huán)境的安全性提升，保障用戶(hù)個(gè)人利益不受損，本文引入紋理特征技術(shù)，提出一種全新的網(wǎng)絡(luò)通信惡意代碼檢測(cè)方法，相關(guān)研究介紹如下。

1 網(wǎng)絡(luò)通信惡意代碼檢測(cè)方法

1.1 惡意代碼灰度工程矩陣紋理特征提取

為實(shí)現(xiàn)對(duì)惡意代碼紋理特征的快速提取，利用圖像像素灰度級(jí)在空間區(qū)域范圍內(nèi)對(duì)其分布模式進(jìn)行描述，結(jié)合紋理特征分析的方式，獲取圖像當(dāng)中重要的描述信息[4-5]。在生成惡意代碼灰度工程矩陣后，引入Gabor濾波器，利用其實(shí)現(xiàn)對(duì)處理圖像的小波變換，假設(shè)在灰度圖像當(dāng)中，某一處理圖像可用k（x，y）表示，則對(duì)其進(jìn)行二維小波變換之后，能夠得到如下表達(dá)式：

1.2 網(wǎng)絡(luò)通信惡意代碼紋理特征規(guī)范化處理

為了確保最終對(duì)惡意代碼檢測(cè)的精度，在完成對(duì)惡意代碼的紋理特征提取后，還需要對(duì)提取到的紋理特征進(jìn)行規(guī)范化處理。以具備單一紋理特征的惡意代碼灰度信息集為例，假設(shè)其灰度信息集的規(guī)模為N，且N 為常量[7]。若信息機(jī)的復(fù)雜程度較大，則利用信息熵的計(jì)算公式，能夠?qū)崿F(xiàn)對(duì)信息機(jī)不確定性的量化描述，以此便于對(duì)紋理特征值相等部分的量化，從而確定網(wǎng)絡(luò)通信環(huán)境當(dāng)中包含的惡意代碼具體類(lèi)型數(shù)量。信息熵的計(jì)算公式為

1.3 惡意代碼變種檢測(cè)

將網(wǎng)絡(luò)通信環(huán)境當(dāng)中不同屬性的惡意代碼匯總，以此構(gòu)建一個(gè)惡意代碼家族，其中包含了具備多個(gè)共同特性的代碼個(gè)體。共同特性當(dāng)中包含了代碼本身、圖案、應(yīng)用特征等。在惡意代碼家族當(dāng)中，個(gè)體成員之間由于具備相同屬性，因此其差異通常較小，并且其基因結(jié)構(gòu)基本相同，但當(dāng)變種產(chǎn)生后，其基因結(jié)構(gòu)會(huì)發(fā)生改變。針對(duì)可能為惡意代碼變種的成員，針對(duì)惡意代碼PE文件當(dāng)中給出的特征紋理變化進(jìn)行明確。在惡意代碼EP文件當(dāng)中，其內(nèi)容和特征紋理具有極大相似度，因此基于這一特點(diǎn)，利用紋理特征相似度，對(duì)其惡意代碼類(lèi)型進(jìn)行判斷。在實(shí)際檢測(cè)過(guò)程中，惡意代碼家族當(dāng)中會(huì)存在代碼重排的問(wèn)題，進(jìn)而造成判斷結(jié)果出現(xiàn)錯(cuò)誤。為了解決這一問(wèn)題，通過(guò)分段自增長(zhǎng)紋理分割，對(duì)PE文件進(jìn)行分隔處理，并實(shí)現(xiàn)對(duì)變種特征的匹配，以此實(shí)現(xiàn)對(duì)惡意代碼家族中惡意代碼變種檢測(cè)。

1.4 惡意代碼紋理分塊形式化表征

生成的二進(jìn)制文件是按照PE文件格式進(jìn)行存儲(chǔ)，在各個(gè)分區(qū)區(qū)段當(dāng)中都包含了多個(gè)惡意代碼。在對(duì)其進(jìn)行分塊形式化表征時(shí)，將不同區(qū)段按照頁(yè)邊界對(duì)其進(jìn)行處理，并形成一個(gè)連續(xù)性的完整結(jié)構(gòu)。為了能夠降低特征紋理在分割時(shí)的時(shí)間復(fù)雜度，引入?yún)^(qū)域增長(zhǎng)算法，在完成對(duì)紋理特征的分割處理后，利用連通域表示完成分段處理后各個(gè)區(qū)域上的紋理特征。為了避免惡意代碼紋理分開(kāi)形式化表征時(shí)出現(xiàn)混淆，在上述對(duì)惡意代碼圖像進(jìn)行灰度處理的基礎(chǔ)上，將惡意代碼全局特征與局部特征相互融合，以此形成一種全新的表征模式，從而使具備新特征的惡意代碼紋理具備一定抗混淆性。利用具備新特征的表征形式還可實(shí)現(xiàn)對(duì)惡意代碼類(lèi)型的具體劃分。針對(duì)相同紋理特征的惡意代碼，在灰度圖像當(dāng)中通常會(huì)分布在相同區(qū)域中，不同紋理特征的代碼通常會(huì)分布在不同區(qū)域中，以此實(shí)現(xiàn)對(duì)惡意代碼紋理分塊形式化表征，并使其具備抗混淆性，提高檢測(cè)方法整體檢測(cè)精度。

2 對(duì)比實(shí)驗(yàn)

結(jié)合上述論述內(nèi)容，為了實(shí)現(xiàn)對(duì)引入紋理特征檢測(cè)方法應(yīng)用效果的檢驗(yàn)，針對(duì)其開(kāi)展對(duì)比實(shí)驗(yàn)研究。將本文設(shè)計(jì)方法作為實(shí)驗(yàn)組，將動(dòng)態(tài)檢測(cè)方法作為對(duì)照1組，將靜態(tài)檢測(cè)方法作為對(duì)照2組，針對(duì)三種檢測(cè)方法在相同實(shí)驗(yàn)環(huán)境中對(duì)惡意代碼的檢測(cè)過(guò)程及結(jié)果進(jìn)行對(duì)比，以此實(shí)現(xiàn)對(duì)三種檢測(cè)方法的應(yīng)用驗(yàn)證?；诒疚臋z測(cè)方法和動(dòng)態(tài)檢測(cè)、靜態(tài)檢測(cè)的應(yīng)用需要，選擇將具備更高效率的索引結(jié)構(gòu)算法作為惡意代碼檢測(cè)的索引結(jié)構(gòu)。選擇與某網(wǎng)絡(luò)通信真實(shí)環(huán)境作為本文實(shí)驗(yàn)環(huán)境，在實(shí)驗(yàn)過(guò)程中向該環(huán)境引入五種不同的惡意代碼測(cè)試樣本集，其基本屬性如表1所示。

表1 惡意代碼測(cè)試樣本集屬性對(duì)照表

針對(duì)上述五種惡意代碼，分別利用上述三種檢測(cè)方法對(duì)其進(jìn)行檢測(cè)。由于本文上述選擇的五種類(lèi)型惡意代碼是網(wǎng)絡(luò)通信中常見(jiàn)的惡意代碼，因此后續(xù)進(jìn)一步得出的實(shí)驗(yàn)結(jié)果具備了一定普遍性，實(shí)驗(yàn)結(jié)果也會(huì)更加具有說(shuō)服力。在上述論述基礎(chǔ)上，首先，針對(duì)三種檢測(cè)方法完成對(duì)所有惡意代碼檢測(cè)的時(shí)間進(jìn)行記錄，并將結(jié)果繪制成圖1。

圖1 三種檢測(cè)方法檢測(cè)時(shí)間

從圖1可看出，實(shí)驗(yàn)組檢測(cè)方法在對(duì)網(wǎng)絡(luò)通信環(huán)境當(dāng)中的惡意代碼進(jìn)行檢測(cè)時(shí)，其檢測(cè)速度更快，不存在檢測(cè)滯后性問(wèn)題。

計(jì)算得出在存在五種不同惡意代碼類(lèi)型的情況下，三種檢測(cè)方法的檢測(cè)結(jié)果匹配度，并將得出的結(jié)果繪制成表2。

表2 三種檢測(cè)方法檢測(cè)結(jié)果匹配度記錄表

從表2可以看出，本文提出的基于紋理特征的檢測(cè)方法在對(duì)多種不同類(lèi)型惡意代碼檢測(cè)時(shí)，能夠確保檢測(cè)結(jié)果的匹配度達(dá)到90%以上，檢測(cè)結(jié)果具備更高精度。

3 結(jié)束語(yǔ)

通過(guò)本文上述論述，針對(duì)原有動(dòng)態(tài)檢測(cè)和靜態(tài)檢測(cè)方法對(duì)網(wǎng)絡(luò)通信惡意代碼進(jìn)行檢測(cè)時(shí)存在的諸多問(wèn)題，在引入紋理特征技術(shù)使其得以解決。將本文提出的檢測(cè)方法應(yīng)用于實(shí)際能夠?qū)Χ喾N不同惡意代碼進(jìn)行檢測(cè)，并確保檢測(cè)結(jié)果具備更高的可靠性。在實(shí)驗(yàn)過(guò)程中，由于研究能力有限，選擇的惡意代碼語(yǔ)料庫(kù)容量較小，惡意代碼測(cè)試樣本集不足，因此為了實(shí)現(xiàn)對(duì)檢測(cè)方法應(yīng)用效果的進(jìn)一步驗(yàn)證，在后續(xù)的研究當(dāng)中還應(yīng)選用容量更大的惡意代碼語(yǔ)料庫(kù)，針對(duì)更多類(lèi)型以及更多數(shù)量的惡意代碼進(jìn)行檢測(cè)，并通過(guò)得出的檢測(cè)性能分析結(jié)果實(shí)現(xiàn)對(duì)本文檢測(cè)方法的進(jìn)一步優(yōu)化。■