基于云計算的病毒惡意軟件分析

文/王鴻博 沈鴿

基于云計算的病毒惡意軟件分析

文/王鴻博 沈鴿

隨著信息技術(shù)領(lǐng)域的快速發(fā)展，傳統(tǒng)反病毒軟件的有效性日漸受到質(zhì)疑，近年來頻頻出現(xiàn)的惡性網(wǎng)絡(luò)事件也也證明了傳統(tǒng)惡意軟件分析方法確實存在不足，而為了能夠更好保護(hù)網(wǎng)絡(luò)安全，本文基于云計算的病毒惡意軟件分析展開了具體研究，希望這一研究能夠相關(guān)業(yè)內(nèi)人士帶來一定啟發(fā)。

云計算 病毒惡意軟件分析 系統(tǒng)設(shè)計

云計算本質(zhì)上屬于一種信息資源處理方式，這一處理方式能夠在大型資源處理中心的支持下實現(xiàn)計算能力服務(wù)的提供，而如果將云計算與惡意軟件病毒的分析相結(jié)合，各類最新病毒惡意軟件的信息就將實現(xiàn)第一時間發(fā)現(xiàn)、第一時間處理，傳統(tǒng)反病毒軟件、傳統(tǒng)分析方法存在的不足也將由此實現(xiàn)較好彌補，網(wǎng)絡(luò)安全的保護(hù)自然將獲得較為有力支持。

1 傳統(tǒng)病毒惡意軟件分析方法

為了較高質(zhì)量完成本文研究，我們首先需要深入了解傳統(tǒng)病毒惡意軟件分析方法，而結(jié)合筆者自身認(rèn)知，本文將這一傳統(tǒng)病毒惡意軟件分析方法概括為靜態(tài)分析法、動態(tài)分析法兩類。

1.1 靜態(tài)分析法

靜態(tài)分析法屬于傳統(tǒng)病毒惡意軟件分析方法的代表，在不運行代碼前提下進(jìn)行程序代碼掃描是這一分析方法的核心，而由此實現(xiàn)的代碼特性值全面獲取就能夠?qū)崿F(xiàn)對病毒惡意軟件的全面分析，不過在壓縮加密、代碼迷惑等手段下，靜態(tài)分析法很容易出現(xiàn)誤報率較高的問題。

1.2 動態(tài)分析法

除了靜態(tài)分析法外，動態(tài)分析法同樣屬于傳統(tǒng)病毒惡意軟件分析方法的代表，在程序運行中進(jìn)行病毒惡意軟件分析是這一方法的核心。在動態(tài)分析法應(yīng)用中，這一分析方法能夠?qū)崿F(xiàn)程序的一次執(zhí)行作為分析對象，而由此開展的一次乃至多次分析就能夠較為準(zhǔn)確完成病毒惡意軟件分析，不過較為復(fù)雜的算法制約了動態(tài)分析法的發(fā)展與效用發(fā)揮。

2 病毒惡意軟件動態(tài)行為分析系統(tǒng)

結(jié)合云計算與動態(tài)分析法這一傳統(tǒng)病毒惡意軟件分析方法存在的不足，本文研究建立了病毒惡意軟件動態(tài)行為分析系統(tǒng)。

2.1 系統(tǒng)的總體架構(gòu)

為了能夠解決傳統(tǒng)動態(tài)分析法存在的不足，筆者確定了病毒惡意軟件多分支路徑的分析策略，而這一策略在云計算的支持下就能夠?qū)崿F(xiàn)惡意行為的確定。圖1為本文研究病毒惡意軟件的動態(tài)行為分析系統(tǒng)的上層架構(gòu)，而由此實現(xiàn)的虛擬機(jī)環(huán)境可疑程序監(jiān)控、惡意行為確定、執(zhí)行的條件分支路徑探索、使用進(jìn)程復(fù)制分派器實現(xiàn)的進(jìn)程復(fù)制、結(jié)合云網(wǎng)絡(luò)虛擬機(jī)結(jié)點實現(xiàn)的可疑文件分析報告形成，就能夠真正解決統(tǒng)動態(tài)分析法存在的不足，網(wǎng)絡(luò)安全的保護(hù)也能夠由此得到更為有力支持。

2.2 具體實施方案

對于本文研究的病毒惡意軟件動態(tài)行為分析系統(tǒng)來說，標(biāo)簽數(shù)據(jù)生成器、執(zhí)行引擎和解釋器、進(jìn)程分派器、消息傳遞系統(tǒng)、分析報告生成器都屬于該系統(tǒng)的具體實施方案，介于篇幅原因本文僅對這其中的執(zhí)行引擎和解釋器實施方案進(jìn)行詳細(xì)論述。

對于病毒惡意軟件動態(tài)行為分析系統(tǒng)的執(zhí)行引擎和解釋器實施方案來說，病毒惡意軟件的隔離是這一實施方案的主要內(nèi)容，結(jié)合病毒惡意軟件普遍存在的文件行為、注冊表行為、圖形界面、反跟蹤和反調(diào)試、網(wǎng)絡(luò)行為、網(wǎng)絡(luò)僵尸等行為，我們就能夠建立執(zhí)行引擎和解釋器實施方案架構(gòu)，在架構(gòu)支持下，病毒惡意軟件就將真正失去效用，整個病毒惡意軟件動態(tài)行為分析系統(tǒng)的效用發(fā)揮也將獲得更為有力支持。

3 病毒惡意軟件靜態(tài)行為分析系統(tǒng)

簡單了解病毒惡意軟件動態(tài)行為分析系統(tǒng)后，我們還需要就基于靜態(tài)分析法這一傳統(tǒng)病毒惡意軟件分析方法建立的病毒惡意軟件靜態(tài)行為分析系統(tǒng)進(jìn)行深入分析，采用新式CFO算法訓(xùn)練集成人工神經(jīng)網(wǎng)絡(luò)作為模式的分類器則屬于這一系統(tǒng)的核心。

3.1 行為模式的獲取方式

對于本文研究的病毒惡意軟件靜態(tài)行為分析系統(tǒng)來說，靜態(tài)的語義分析、特征提取選擇、訓(xùn)練測試屬于這一系統(tǒng)的具體組成。

（1）對于靜態(tài)的語義分析來說，可執(zhí)行文件的匯編語言代碼化分解、程序執(zhí)行流圖的獲取、執(zhí)行樹的翻譯、提取系統(tǒng)調(diào)用的執(zhí)行路徑四個環(huán)節(jié)是這一靜態(tài)語義分析的核心內(nèi)容，而這一核心內(nèi)容的前兩個環(huán)節(jié)需要得到分解工具IDA Pro的支持，而在靜態(tài)語義分析中調(diào)用序列方式支持下，病毒惡意軟件常見的變形技術(shù)也將真正失去效用，代碼行為描述的質(zhì)量也將由此多大會更好保證。

（2）對于特征提取選擇來說，筆者選擇了n-gram方式用于數(shù)據(jù)的特征提取，而結(jié)合滑動窗口所收集的子串，并結(jié)合文獻(xiàn)頻率分析和信息增益技術(shù)，就能夠真正實現(xiàn)高質(zhì)量的特征提取，而完成提取后進(jìn)行特征向量使用表示可執(zhí)行文件，就能夠為后續(xù)CFO算法訓(xùn)練神經(jīng)網(wǎng)絡(luò)分類器的應(yīng)用提供更有力支持。

3.2 CFO算法訓(xùn)練神經(jīng)網(wǎng)絡(luò)分類器

CFO算法訓(xùn)練神經(jīng)網(wǎng)絡(luò)分類器屬于本文研究病毒惡意軟件靜態(tài)行為分析系統(tǒng)的核心，這一CFO算法訓(xùn)練神經(jīng)網(wǎng)絡(luò)分類器的真正獲取需要通過基本CFO優(yōu)化算法、算法推導(dǎo)、算法的收斂性分析、人工神經(jīng)網(wǎng)絡(luò)訓(xùn)練集成等一系列環(huán)節(jié)實現(xiàn)，介于篇幅原因筆者僅對人工神經(jīng)網(wǎng)絡(luò)訓(xùn)練集成進(jìn)行簡單介紹。

在人工神經(jīng)網(wǎng)絡(luò)訓(xùn)練集成中，多目標(biāo)優(yōu)化、集成網(wǎng)絡(luò)求得是其中的關(guān)鍵環(huán)節(jié)，這里我們需要將均方差函數(shù)作為目標(biāo)函數(shù)，這樣才能夠通過將整個集成網(wǎng)絡(luò)作為分類器完成人工神經(jīng)網(wǎng)絡(luò)訓(xùn)練集成，在CFO算法支持下我們需要按照生成n個子網(wǎng)絡(luò)的初始質(zhì)子組、更新加速度和迭代次數(shù)、更新位置、計算目標(biāo)函數(shù)值、縮小決策空間、停止迭代條件等流程完成具體人工神經(jīng)網(wǎng)絡(luò)訓(xùn)練集成。

4 結(jié)論

在本文基于云計算的病毒惡意軟件分析展開的研究中，筆者詳細(xì)論述了傳統(tǒng)病毒惡意軟件分析方法、病毒惡意軟件動態(tài)行為分析系統(tǒng)、病毒惡意軟件靜態(tài)行為分析系統(tǒng)，結(jié)合這一系列內(nèi)容我們就能夠較為深入了解云計算在病毒惡意軟件分析中所能夠發(fā)揮的優(yōu)秀效用，也能夠在一定程度上明晰云計算在其中應(yīng)用的思路，希望由此能夠為我國網(wǎng)絡(luò)安全的相關(guān)發(fā)展帶來一定啟發(fā)。

[1]張娜.基于云計算的惡意軟件分析檢測研究[J].軟件導(dǎo)刊,2016(01):159-160.

[2]王昊哲,劉旸.云計算時代的自主惡意軟件防護(hù)建構(gòu)[J].信息網(wǎng)絡(luò)安全,2010(05):34-36.

作者單位空軍航空大學(xué)圖書館 吉林省長春市 130000

王鴻博（1984-），男，吉林省長春市人。碩士研究生?？哲姾娇沾髮W(xué)圖書館館員。研究方向為情報與信息技術(shù)。沈鴿（1985-），女，吉林省長春市人。碩士研究生?？哲姾娇沾髮W(xué)圖書館館員。研究方向為文獻(xiàn)流通管理。