云端協同模式下惡意軟件透明檢測技術的探討

摘 要：基于云端協同模式下惡意軟件透明檢測技術的方式，根據終端運行的app運行環境，在云端也建立該app運行環境，由云端負責跟蹤記錄app運行行為，采用動態檢測惡意軟件技術對其檢測，根據動態檢測結果，將檢測結果傳遞給終端系統，終端系統做出警告提示。本項目基于云端協同模式進行檢測，充分利用云端和終端分離檢測的方式，降低惡意軟件透明檢測跟蹤分析的復雜性，同時充分利用云服務端強大的性能的優勢，提高了惡意軟件透明檢測的效率，根據惡意軟件運行隱蔽行為的不同，優化惡意軟件透明檢測的方法。

關鍵詞：云端協同；移動云計算；惡意軟件；透明檢測

DOI：10.16640/j.cnki.37-1222/t.2019.13.205

1 國內外研究現狀概況

近年來，不管是終端設備的存儲能力還是CPU配置的計算能力都遠超過臺式電腦、筆記本電腦等設備，網絡也由4G網絡逐步提升到5G網絡，智能終端設備的計算能力越來越強，且電子商務、社交網絡等傳統計算機網絡中的任務已經被廣泛轉移到移動網絡，現實增強、移動金融、醫療、教育等新的任務也正在被逐步部署于智能移動設備和移動網絡中，因此移動云計算（mobilecloudcomputing，MCC）應運而生[1]。

隨著移動網絡帶寬不斷提高、終端設備計算能力的不斷提升、云計算技術的不斷更新和移動應用場景的不斷深入和普及，移動云計算技術越來越需要針對不同應用需求彈性的優化分解計算任務和分配資源[2]、彈性的優化云端協同計算策略和提供安全的移動應用場景[3-4]。

在手機大行其道的當下，基于手機終端的彈性云端協同計算技術得到了深入的發展和提高，手機云端的性能和效率也得到了大幅提高，但也面臨了應用安全的挑戰，特別是惡意軟件帶來的安全隱患和個人隱私的泄露問題；手機目前采用的主流系統主要是Android系統和iOS系統，iOS系統的開發平臺具有生態封閉性和產品一致性，且應用程序經過嚴格審查，價值鏈控制嚴密；但而Android系統秉持開放性原則，吸引了大批用戶、手機廠商、應用開發商和銷售商，但是開放的應用市場和相對寬松的應用審查機制導致Android惡意軟件泛濫、安全威脅與日俱增[5]，且惡意軟件隱蔽性好，難以發現，給用戶帶來了使用上的隱患，因此有效的惡意軟件檢測方法顯得尤為重要。

目前，國內外研究者惡意軟件檢測方法主要基于靜態檢測和動態檢測兩種，動態檢測在程序運行過程中執行，靜態檢測在程序運行之前執行，這兩種方式取得了一定成果，如靜態檢測中的反編譯工具提取程序的靜態特征如語法語義、簽名等特性等進行分析，動態檢測中的虛擬化沙箱機制等[6-7]；靜態檢測能分析源代碼，速度較快，但是誤報率較高，且由于惡意軟件的作者會運用混淆和加密的方法使代碼難以理解，導致靜態檢測完全失效。動態檢測方法是通常在沙盒環境中執行程序，分析軟件運行時的行為，雖然費時，但是能有效監測惡意軟件變種[8-10]，但往往因終端設備安裝的app多、計算能力有限等要素，動態檢測方法復雜，效率低。

本文中重點討論在動態檢測惡意軟件方法的基礎上，如何通過云端協同模式下提高惡意軟件透明監測、檢測的技術方法。

2 云端協同模式下惡意軟件透明檢測技術原理

2.1 原理

云端協同模式下惡意軟件透明檢測技術是基于云計算的軟件即服務層（SaaS，softwareasaservice）的擴展，云端的虛擬機系統（MV）是終端設備的軟件系統的克隆，也就是說云端和終端上的軟件系統的層次和狀態是一致的，當用戶在終端執行app應用程序時，終端設備向云端提出相應請求，根據終端運行的app運行環境，在云端也建立該app運行環境，由云端負責跟蹤記錄app運行行為，采用動態檢測惡意軟件技術對其檢測，根據動態檢測結果，將檢測結果傳遞給終端系統，終端系統做出警告提示。該方案基于云端協同模式進行檢測，充分利用云端和終端分離檢測的方式，降低惡意軟件透明檢測跟蹤分析的復雜性，同時充分利用云服務端強大的性能的優勢，提高了惡意軟件透明檢測的效率，根據惡意軟件運行隱蔽行為的不同，優化惡意軟件透明檢測的方法。

基于云端協同模式下惡意軟件透明檢測技術模型是根據云計算移動終端運行的app運行環境，通過分析云服務端的惡意軟件運行情況，找到惡意軟件隱蔽行為的影響因素；根據云服務端惡意軟件運行行為檢測分析情況，找到惡意軟件運行行為跟蹤透明檢測的方法，通過云服務端惡意軟件運行行為檢測的分析逐步獲得優化云端協同模式下惡意軟件透明檢測的方法。

2.2 實驗環境

實驗環境可采用云計算平臺openstack進行硬件和軟件（cpu、內存、存儲資源、OS）配置。OpenStack是一個由NASA（美國國家航空航天局）和Rackspace合作研發并發起的，以Apache許可證授權的自由軟件和開放源代碼項目，OpenStack支持幾乎所有類型的云環境，項目目標是提供實施簡單、可大規模擴展、豐富、標準統一的云計算管理平臺。

2.3 總結與展望

針對移動云計算分解計算策略、云端協同計算的問題，用實驗的方法研究云端協同模式惡意透明檢測技術，解決在終端檢測復雜、效率低下、不能優化等應用環境下惡意軟件靜態檢測和動態檢測的不足，為今后移動云計算惡意軟件檢測、惡意軟件透明檢測等提供可參考、可深入理論研究的依據[11-13]。

參考文獻：

[1]王于丁，楊家海，徐聰，凌曉，楊洋.云計算訪問控制技術研究綜述[J].軟件學報，2015，26（05）：1129-1150.

[2]李春霖.云計算綜述與移動云計算的應用研究[J].科技創新與應用，2014（24）.

[3]柳興，李建彬，楊震等.移動云計算中的一種任務聯合執行策略[J].計算機學報，2017，40（02）：364-377.

（下轉第247頁）

（上接第222頁）

[4]李鵬偉，傅建明，李拴保，呂少卿，沙樂天.彈性移動云計算的研究進展與安全性分析[J].計算機研究與發展，2015：362-1377.

[5]李江華，邱晨.一種基于元信息的Android惡意軟件檢測方法[J/OL].計算機應用研究，2019（11）：1-7.

[6]陳紅閔，胡江村.安卓惡意軟件的靜態檢測方法[J].計算機系統應用，2018，27（07）：26-33.

[7]馮擘.Android平臺惡意軟件檢測系統的設計與實現[D].北京交通大學，2018.

[8]邱晨.Android惡意軟件檢測方法研究[D].江西理工大學，2018.

[9]肖錦琦，王俊峰.基于模糊哈希特征表示的惡意軟件聚類方法[J].四川大學學報（自然科學版），2018，55（03）：469-476.

[10]侯潔瓊.基于張量分解技術的安卓惡意軟件的分析與檢測[D].華東師范大學，2018.

[11]LeGuan，ShijieJia，BoChen，FengweiZhang，BoLuo，JingqiangLin，PengLiu，XinyuXing，SupportingTransparentSnapshotforBare-metalMalwareAnalysisonMobileDevicesLuningXiaInProceedingsofThe33rdAnnualComputerSecurityApplicationConference（ACSAC'17），SanJuan，PuertoRico，December，2017（DistinguishedPaperAward）.

[12]KevinLeach，FengweiZhang，andScotch：CombiningSoftwareGuardExtensionsandSystemManagementModetoMonitorCloudResourceUsage，WestleyWeimerInProceedingsofThe20thInternationalSymposiumonResearchinAttacks，IntrusionsandDefenses（RAID'17），Atlanta，Georgia，September，2017.

[13]ZhenyuNingandFengweiZhangNinja：TowardsTransparentTracingandDebuggingonARM，InProceedingsofThe26thUSENIXSecuritySymposium（USENIX-Security'17），Vancouver，BC，Canada，August，2017.

基金項目：貴州省教育廳青年科技人才成長項目“基于云端協同的彈性遷移計算技術的研究”（黔教合KY字[2018]439）；黔南民族師范學院校級項目“云端協同下惡意軟件檢測技術研究”（qnsy2018021）。

作者簡介：盧玉（1981-），男，貴州惠水人，本科，副教授，研究方向：云計算關鍵技術、民族文化數字化技術、網絡信息系統。