一種智能型的病毒檢測(cè)方法

【摘要】目前由于傳統(tǒng)的病毒檢測(cè)算法缺乏智能性，因而使得殺毒軟件在檢測(cè)病毒時(shí)產(chǎn)生的漏檢和誤檢比率較高，因此解決當(dāng)前病毒檢測(cè)算法的智能性十分必要。不論是過(guò)去還是現(xiàn)在每種程序都有自身的屬性，因此本文從程序?qū)傩缘慕嵌瘸霭l(fā)，提出一種基于程序?qū)傩缘牟《緳z測(cè)算法。該算法以病毒的傳染模塊具有的屬性作為檢測(cè)未知程序是否為病毒的前提條件。本文提出的病毒檢測(cè)算法在檢測(cè)未知程序時(shí)分為三步：第一步提取程序的所有屬性，第二步將需要檢測(cè)程序的各種屬性值與病毒的特有屬性的屬性值進(jìn)行比較。第三步根據(jù)比較的結(jié)論，再根據(jù)實(shí)體與屬性存在的內(nèi)在聯(lián)系來(lái)判斷該未知程序是不是病毒。本文提出的算法具有一定的智能性，能夠作為現(xiàn)有病毒檢測(cè)算法的補(bǔ)充。

【關(guān)鍵詞】病毒；屬性；惡意程序

1.引言

由于病毒對(duì)程序具有攻擊性和破壞性，因此計(jì)算機(jī)用戶為了清除病毒，首先必須檢出病毒。自從第一個(gè)病毒出現(xiàn)以來(lái)，病毒的更新速度總比反病毒技術(shù)來(lái)得快，因此為了減少對(duì)未知程序的誤判，提高殺毒軟件的準(zhǔn)確率，使得殺毒軟件具有一定的智能性十分必要。智能性的殺毒算法除了能夠檢測(cè)出新病毒，同時(shí)也能檢測(cè)出已知的病毒。當(dāng)今已有的病毒智能檢測(cè)算法有如下幾種：⑴啟發(fā)式代碼掃描技術(shù)，⑵虛擬機(jī)查病毒技術(shù)，⑶計(jì)算機(jī)病毒的免疫技術(shù)。這幾種算法都具有一定的智能性，可以發(fā)現(xiàn)一定數(shù)量的未知型病毒，但在這些算法中仍有不足之處，單一的檢測(cè)方法不能檢測(cè)出所有未知的新病毒。因此本文將提出了一種新的智能性病毒檢測(cè)算法，該算法能夠?qū)ΜF(xiàn)有智能性算法起到一定的補(bǔ)充作用。

由于病毒技術(shù)在不斷地更新之中，因此新舊病毒共存。盡管在當(dāng)今不斷出現(xiàn)新病毒，但由于在各種程序中，每種程序都有各自固有的屬性，但同時(shí)這些程序的某些方面都有共性，因此不論是新病毒還是舊病毒，從病毒屬性的角度來(lái)分析可以發(fā)現(xiàn)不同病毒的屬性存在的差異是微小的。新病毒繼承了舊病毒的所有屬性，只要是病毒那么它們都具有病毒的所有屬性。為了在現(xiàn)有算法上提高算法的智能性和提高殺毒算法的準(zhǔn)確率，使現(xiàn)有的智能型病毒檢測(cè)技術(shù)更加智能化因此本文從程序?qū)傩缘慕嵌葋?lái)判斷該程序是否是病毒。從未知程序?qū)傩缘慕嵌瘸霭l(fā)，提出一種具有一定智能性的病毒檢測(cè)方法，該方法能夠提取一個(gè)未知程序的屬性，之后將未知程序?qū)傩耘c病毒的重要屬性——傳染屬性進(jìn)行比較，通過(guò)屬性之間的相互比較來(lái)判斷該未知程序是不是病毒。由于程序?qū)傩灾g的比較可以由機(jī)器自動(dòng)完成，無(wú)需人工干預(yù)，因此本文所提出的檢測(cè)算法具有一定智能性。

2.病毒簡(jiǎn)介

（1）何謂病毒

病毒的定義如下：計(jì)算機(jī)病毒是一段附著在其它程序上的可以自我繁殖的程序代碼，復(fù)制后生成的新病毒同樣具有感染期他程序的功能[2]。因此，根據(jù)病毒的定義可以認(rèn)為計(jì)算機(jī)病毒是一種破壞計(jì)算機(jī)正常程序的惡意程序。

（2）毒的屬性

計(jì)算機(jī)病毒的傳染模塊有兩個(gè)重要特性：

①寄生性：病毒程序寄生于宿主程序中，宿主程序執(zhí)行時(shí)病毒程序首先被執(zhí)行，即具有寄生性[2]。

②傳染性：病毒程序能夠自我復(fù)制到其他宿主程序中，即具有傳染性。且在被感染的程序運(yùn)行時(shí)，病毒程序能夠進(jìn)一步感染其他目標(biāo)程序，從而使病毒得到傳播。能夠進(jìn)行自我復(fù)制是病毒最為本質(zhì)的特性[2]。

計(jì)算機(jī)病毒的一個(gè)重要特性就是具有傳染性。一個(gè)程序是否具有傳染性是判別該程序是否為計(jì)算機(jī)病毒的重要條件[6]。如果某種程序具有傳染性，那么該程序就是病毒。如果該程序不具備傳染的屬性，那么該程序就是非病毒程序[1] 。不論是病毒程序還是非病毒程序都具有自身的屬性。因此本文從病毒屬性的角度來(lái)設(shè)計(jì)一個(gè)病毒檢測(cè)算法，該病毒檢測(cè)算法以該病毒的傳染特性作為智能檢測(cè)未知程序的重要依據(jù)。該算法能夠?qū)σ粋€(gè)未知程序的屬性進(jìn)行智能化檢測(cè)，最終判斷該未知程序是不是病毒。

3.病毒檢測(cè)函數(shù)和算法

3.1 毒程序與非病毒程序的檢測(cè)

程序?qū)傩耘卸ê瘮?shù)：

3.2 程序?qū)傩院?jiǎn)要

①程序的屬性與屬性值

對(duì)于一個(gè)實(shí)體，其屬性需要用相應(yīng)的屬性值來(lái)描述[3]。在董氏系統(tǒng)中，屬性跟屬性值有著嚴(yán)格的對(duì)應(yīng)。有什么類(lèi)的屬性就有什么類(lèi)屬性值。世界上不存在沒(méi)有值的屬性，也不存在不指向任何屬性的屬性值[4]。因此實(shí)體的屬性決定實(shí)體的屬性值，同時(shí)屬性值能夠反映實(shí)體的屬性。

②程序的子屬性

現(xiàn)有某個(gè)程序員編寫(xiě)的某個(gè)程序，該程序由若干個(gè)小程序組成。而這些小程序?qū)崿F(xiàn)的功能是這個(gè)程序的子功能。而實(shí)現(xiàn)某種功能的程序具有自己的屬性，那么子程序所具有的屬性是整個(gè)程序的子屬性。

3.3 程序?qū)傩耘卸?/p>

計(jì)算機(jī)病毒在結(jié)構(gòu)上一般分為三個(gè)功能模塊：感染機(jī)制、觸發(fā)機(jī)制和有效載荷。這里定義的感染機(jī)制就包含了病毒自我復(fù)制部分[9]。病毒的傳染模塊主要完成病毒的自制 [10]。

計(jì)算機(jī)病毒傳染模塊負(fù)責(zé)傳染，而病毒的復(fù)制和寄生是傳染過(guò)程中的兩個(gè)獨(dú)立過(guò)程，因此復(fù)制和寄生是傳染模塊的兩個(gè)子屬性。

提取病毒傳染模塊中的兩個(gè)模塊：寄生程序和復(fù)制程序。計(jì)算寄生程序和復(fù)制程序的屬性值：

①寄生程序的屬性值用符號(hào)記為j；

②復(fù)制程序的屬性值用符號(hào)記為t。

實(shí)現(xiàn)整個(gè)程序最基本功能的程序稱(chēng)為最小功能程序，本文中稱(chēng)為原子程序。在這個(gè)未知程序中有n個(gè)原子程序，n個(gè)原子程序具有的屬性個(gè)數(shù)為：n1，n2，n3……nn；其屬性值分別為n1'，n2'，n3'……nn'。

（1）未知屬性程序的原子程序?qū)傩耘c病毒寄生程序?qū)傩赃M(jìn)行比較

屬性判定函數(shù)：

；令x=n

，，……

討論：

①當(dāng)原子程序?qū)傩灾祅n'都大于寄生程序?qū)傩灾礿，這時(shí)nn'值越小，則yn=f（x）的值越接近于1，因此這時(shí)yn=f（x）取最小值。

③減少殺毒軟件對(duì)程序的誤判，提高殺毒軟件的完善性。

5.結(jié)束語(yǔ)

本文對(duì)程序?qū)傩赃M(jìn)行判斷是為了對(duì)未知程序的特性進(jìn)行判斷，并且使得檢測(cè)病毒的算法具有智能性。如果未知程序是病毒，那么該程序就有病毒的傳染性。如果未知程序不是病毒程序，那么該未知程序所有的屬性值都將偏離病毒屬性值。因此如果未知程序是病毒程序，那么從該程序中提取的屬性，將該程序的所有屬性值與病毒的重要屬性……傳染性的屬性值進(jìn)行相比較，從而判定未知程序是否是病毒。如果判定未知程序是病毒，則再通過(guò)比較該程序與已知病毒之間的屬性來(lái)判定該病毒屬于那一種病毒。盡管本文從病毒屬性的角度提出一種病毒檢測(cè)算法，但文本提出的方法有自身的不足之處，還十分希望有關(guān)安全研究人員提出修改意見(jiàn)。

參考文獻(xiàn)

[1]鄭晶，王春生.新一代病毒檢測(cè)技術(shù)研究[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2009，（9）：23-25.

[2]秦志光，鳳嶠編著.建峰主審.計(jì)算機(jī)病毒原理及防范技術(shù)[M].科學(xué)出版社，2012.

[3]郭劍毅，李真，余正濤，張志坤.領(lǐng)域本體概念實(shí)例、屬性和屬性值的抽取及關(guān)系預(yù)測(cè)[J].南京大學(xué)學(xué)報(bào)（自然科學(xué)）.2012（48）：383-389.

[4]劉春卉.屬性值與屬性特征語(yǔ)義語(yǔ)法差異考擦[J].漢語(yǔ)學(xué)習(xí).2008（3）：43-47.

[5]劉儉，唐朝京，鄭森強(qiáng).一種計(jì)算機(jī)病毒的檢方法[J].計(jì)算機(jī)工程，2003，30（6）：127-129.

[6]王培昌.走進(jìn)計(jì)算機(jī)病毒[M].人民郵電出版社，2010.

[7]朱俚治.病毒檢測(cè)技術(shù)的研究與0.5級(jí)環(huán)[J].計(jì)算機(jī)技術(shù)與發(fā)展，2012，22（9）：225-227.

[8]朱俚治.一種防病毒智能網(wǎng)絡(luò)接口的方案設(shè)計(jì)[J].中國(guó)科技信息，2011，1：73-74.

[9]韓蘭勝，劉銘，彭冰，付才.計(jì)算機(jī)病毒原理與防治技術(shù)[M].華中科技大學(xué)出版社，2010.

[10]盧勇，左志宏.計(jì)算機(jī)病毒的隨機(jī)傳染[J].計(jì)算機(jī)技術(shù)與發(fā)展，2007（17）：172-175.

本文是北京航空航天大學(xué)軟件開(kāi)發(fā)環(huán)境國(guó)家重點(diǎn)實(shí)驗(yàn)室開(kāi)放基金資助項(xiàng)目（SKLSDE-2013KF）。

作者簡(jiǎn)介：朱俚治（1980—），男，南京航空航天大學(xué)信息中心工程師，研究方向：計(jì)算機(jī)網(wǎng)絡(luò)和信息安全。