基于云計算的病毒惡意軟件分析

文/王鴻博 沈鴿

基于云計算的病毒惡意軟件分析

文/王鴻博 沈鴿

隨著信息技術領域的快速發展，傳統反病毒軟件的有效性日漸受到質疑，近年來頻頻出現的惡性網絡事件也也證明了傳統惡意軟件分析方法確實存在不足，而為了能夠更好保護網絡安全，本文基于云計算的病毒惡意軟件分析展開了具體研究，希望這一研究能夠相關業內人士帶來一定啟發。

云計算 病毒惡意軟件分析 系統設計

云計算本質上屬于一種信息資源處理方式，這一處理方式能夠在大型資源處理中心的支持下實現計算能力服務的提供，而如果將云計算與惡意軟件病毒的分析相結合，各類最新病毒惡意軟件的信息就將實現第一時間發現、第一時間處理，傳統反病毒軟件、傳統分析方法存在的不足也將由此實現較好彌補，網絡安全的保護自然將獲得較為有力支持。

1 傳統病毒惡意軟件分析方法

為了較高質量完成本文研究，我們首先需要深入了解傳統病毒惡意軟件分析方法，而結合筆者自身認知，本文將這一傳統病毒惡意軟件分析方法概括為靜態分析法、動態分析法兩類。

1.1 靜態分析法

靜態分析法屬于傳統病毒惡意軟件分析方法的代表，在不運行代碼前提下進行程序代碼掃描是這一分析方法的核心，而由此實現的代碼特性值全面獲取就能夠實現對病毒惡意軟件的全面分析，不過在壓縮加密、代碼迷惑等手段下，靜態分析法很容易出現誤報率較高的問題。

1.2 動態分析法

除了靜態分析法外，動態分析法同樣屬于傳統病毒惡意軟件分析方法的代表，在程序運行中進行病毒惡意軟件分析是這一方法的核心。在動態分析法應用中，這一分析方法能夠實現程序的一次執行作為分析對象，而由此開展的一次乃至多次分析就能夠較為準確完成病毒惡意軟件分析，不過較為復雜的算法制約了動態分析法的發展與效用發揮。

2 病毒惡意軟件動態行為分析系統

結合云計算與動態分析法這一傳統病毒惡意軟件分析方法存在的不足，本文研究建立了病毒惡意軟件動態行為分析系統。

2.1 系統的總體架構

為了能夠解決傳統動態分析法存在的不足，筆者確定了病毒惡意軟件多分支路徑的分析策略，而這一策略在云計算的支持下就能夠實現惡意行為的確定。圖1為本文研究病毒惡意軟件的動態行為分析系統的上層架構，而由此實現的虛擬機環境可疑程序監控、惡意行為確定、執行的條件分支路徑探索、使用進程復制分派器實現的進程復制、結合云網絡虛擬機結點實現的可疑文件分析報告形成，就能夠真正解決統動態分析法存在的不足，網絡安全的保護也能夠由此得到更為有力支持。

2.2 具體實施方案

對于本文研究的病毒惡意軟件動態行為分析系統來說，標簽數據生成器、執行引擎和解釋器、進程分派器、消息傳遞系統、分析報告生成器都屬于該系統的具體實施方案，介于篇幅原因本文僅對這其中的執行引擎和解釋器實施方案進行詳細論述。

對于病毒惡意軟件動態行為分析系統的執行引擎和解釋器實施方案來說，病毒惡意軟件的隔離是這一實施方案的主要內容，結合病毒惡意軟件普遍存在的文件行為、注冊表行為、圖形界面、反跟蹤和反調試、網絡行為、網絡僵尸等行為，我們就能夠建立執行引擎和解釋器實施方案架構，在架構支持下，病毒惡意軟件就將真正失去效用，整個病毒惡意軟件動態行為分析系統的效用發揮也將獲得更為有力支持。

3 病毒惡意軟件靜態行為分析系統

簡單了解病毒惡意軟件動態行為分析系統后，我們還需要就基于靜態分析法這一傳統病毒惡意軟件分析方法建立的病毒惡意軟件靜態行為分析系統進行深入分析，采用新式CFO算法訓練集成人工神經網絡作為模式的分類器則屬于這一系統的核心。

3.1 行為模式的獲取方式

對于本文研究的病毒惡意軟件靜態行為分析系統來說，靜態的語義分析、特征提取選擇、訓練測試屬于這一系統的具體組成。

（1）對于靜態的語義分析來說，可執行文件的匯編語言代碼化分解、程序執行流圖的獲取、執行樹的翻譯、提取系統調用的執行路徑四個環節是這一靜態語義分析的核心內容，而這一核心內容的前兩個環節需要得到分解工具IDA Pro的支持，而在靜態語義分析中調用序列方式支持下，病毒惡意軟件常見的變形技術也將真正失去效用，代碼行為描述的質量也將由此多大會更好保證。

（2）對于特征提取選擇來說，筆者選擇了n-gram方式用于數據的特征提取，而結合滑動窗口所收集的子串，并結合文獻頻率分析和信息增益技術，就能夠真正實現高質量的特征提取，而完成提取后進行特征向量使用表示可執行文件，就能夠為后續CFO算法訓練神經網絡分類器的應用提供更有力支持。

3.2 CFO算法訓練神經網絡分類器

CFO算法訓練神經網絡分類器屬于本文研究病毒惡意軟件靜態行為分析系統的核心，這一CFO算法訓練神經網絡分類器的真正獲取需要通過基本CFO優化算法、算法推導、算法的收斂性分析、人工神經網絡訓練集成等一系列環節實現，介于篇幅原因筆者僅對人工神經網絡訓練集成進行簡單介紹。

在人工神經網絡訓練集成中，多目標優化、集成網絡求得是其中的關鍵環節，這里我們需要將均方差函數作為目標函數，這樣才能夠通過將整個集成網絡作為分類器完成人工神經網絡訓練集成，在CFO算法支持下我們需要按照生成n個子網絡的初始質子組、更新加速度和迭代次數、更新位置、計算目標函數值、縮小決策空間、停止迭代條件等流程完成具體人工神經網絡訓練集成。

4 結論

在本文基于云計算的病毒惡意軟件分析展開的研究中，筆者詳細論述了傳統病毒惡意軟件分析方法、病毒惡意軟件動態行為分析系統、病毒惡意軟件靜態行為分析系統，結合這一系列內容我們就能夠較為深入了解云計算在病毒惡意軟件分析中所能夠發揮的優秀效用，也能夠在一定程度上明晰云計算在其中應用的思路，希望由此能夠為我國網絡安全的相關發展帶來一定啟發。

[1]張娜.基于云計算的惡意軟件分析檢測研究[J].軟件導刊,2016(01):159-160.

[2]王昊哲,劉旸.云計算時代的自主惡意軟件防護建構[J].信息網絡安全,2010(05):34-36.

作者單位空軍航空大學圖書館 吉林省長春市 130000

王鴻博（1984-），男，吉林省長春市人。碩士研究生。空軍航空大學圖書館館員。研究方向為情報與信息技術。沈鴿（1985-），女，吉林省長春市人。碩士研究生。空軍航空大學圖書館館員。研究方向為文獻流通管理。