基于云計(jì)算的病毒惡意軟件分析研究.pdf

1、目前反病毒軟件仍然是廣泛使用的檢測(cè)病毒惡意軟件的工具。然而傳統(tǒng)檢測(cè)方法的有效性一直被廣泛的質(zhì)疑。由于傳統(tǒng)的檢測(cè)方法不能夠?qū)π虏《竞蛺阂廛浖M(jìn)行有效的查殺,同時(shí)其逐步提高的復(fù)雜性也導(dǎo)致了其本身也容易被惡意軟件攻擊。云計(jì)算的出現(xiàn)改變了這一現(xiàn)狀。
　　云計(jì)算是分布式計(jì)算,網(wǎng)格計(jì)算,效用計(jì)算,虛擬化技術(shù)等計(jì)算機(jī)技術(shù)和網(wǎng)絡(luò)技術(shù)發(fā)展融合的產(chǎn)物。它聚集大量計(jì)算機(jī)資源,通過(guò)互聯(lián)網(wǎng)向普通用戶提供各種IT服務(wù),并按照使用量進(jìn)行付費(fèi)的一種模式。云計(jì)算可

2、以向終端用戶提供安全性的服務(wù)。云安全服務(wù)是指:使用大量的客戶端對(duì)網(wǎng)絡(luò)中軟件行為進(jìn)行異常的監(jiān)測(cè),得到網(wǎng)絡(luò)中木馬、蠕蟲(chóng)等病毒惡意軟件最新的信息,然后將這些信息發(fā)送到云服務(wù)器端進(jìn)行自動(dòng)分析和處理,最后將這些病毒惡意軟件的解決方案發(fā)到每一個(gè)客戶端。
　　本文將基于云計(jì)算的檢測(cè)惡意軟件病毒的方法同機(jī)器學(xué)習(xí)中算法分析理論相結(jié)合,利用了一種新式的分布式的CFO算法。該算法類似于粒子群算法是新型的基于天體物理學(xué)的多維搜索啟發(fā)式算法,具有確定性的特

3、點(diǎn),利用一組質(zhì)子在萬(wàn)有引力下的運(yùn)動(dòng),在決策空間搜索最優(yōu)解,而這組質(zhì)子依據(jù)萬(wàn)有引力規(guī)則在空間移動(dòng)。在本論文中對(duì)該算法進(jìn)行了收斂性和正確性的證明,使得該算法的應(yīng)用有了可靠地理論基礎(chǔ)。然后將該算法進(jìn)一步進(jìn)行改進(jìn)提出了分布式的CFO算法。由于該算法確定性的特點(diǎn),所以該算法特別適合于訓(xùn)練神經(jīng)網(wǎng)絡(luò)分類問(wèn)題。本文在云計(jì)算分布式環(huán)境中訓(xùn)練集成神經(jīng)網(wǎng)絡(luò)作為靜態(tài)行為模式分類器,利用集成神經(jīng)網(wǎng)絡(luò)將可疑病毒文件和正常的可執(zhí)行文件分類。
　　另外,本論文通

4、過(guò)最大獨(dú)立集優(yōu)化算法選擇云中的虛擬機(jī)結(jié)點(diǎn),安裝商用殺毒軟件實(shí)現(xiàn)并行分布式的對(duì)可疑文件進(jìn)行全面的檢測(cè)分析。同時(shí)利用云計(jì)算虛擬機(jī)結(jié)點(diǎn)的封閉式環(huán)境對(duì)可實(shí)現(xiàn)對(duì)病毒惡意軟件的動(dòng)態(tài)行為監(jiān)測(cè),在虛擬機(jī)封閉式的環(huán)境下觀察其系統(tǒng)調(diào)用的行為,確定是否是病毒惡意軟件。采用分布式波動(dòng)PIF算法來(lái)形式化描述動(dòng)態(tài)分析和分析報(bào)告返回的過(guò)程。依據(jù)分析的環(huán)境對(duì)波動(dòng)算法進(jìn)行相應(yīng)的改進(jìn),也進(jìn)一步提升了分析檢測(cè)的效率。
　　基于云計(jì)算平臺(tái)的特點(diǎn),本論文提出了云中病毒惡意

5、軟件檢測(cè)模型的實(shí)施方案。與傳統(tǒng)的病毒檢測(cè)方法不同,該模型在每一個(gè)客戶端主機(jī)運(yùn)行一個(gè)輕型的主機(jī)代理程序,獲取進(jìn)入系統(tǒng)的可疑文件,發(fā)送這些文件到云端進(jìn)行檢測(cè)分析,然后根據(jù)返回的分析報(bào)告決定是運(yùn)行還是隔離。在云端,該模型充分利用云計(jì)算分布式并行計(jì)算的特點(diǎn),采用最大獨(dú)立集算法優(yōu)化云網(wǎng)絡(luò)結(jié)構(gòu),選擇出分布式虛擬機(jī)結(jié)點(diǎn),在結(jié)點(diǎn)上分別安裝不同的商用病毒惡意軟件的檢測(cè)引擎,用多個(gè)不同檢測(cè)引擎對(duì)病毒惡意軟件進(jìn)行分布式的并行檢測(cè)分析,最后的分析報(bào)告是綜合了各

6、個(gè)檢測(cè)引擎的分析結(jié)果,發(fā)送給客戶端主機(jī)代理軟件。同時(shí)在基于云計(jì)算病毒惡意軟件檢測(cè)分析的服務(wù)中,對(duì)新的可疑文件還提供了兩個(gè)行為分析引擎——?jiǎng)討B(tài)行為分析引擎和靜態(tài)行為分析引擎。
　　目前只能在單機(jī)系統(tǒng)中對(duì)病毒惡意軟件動(dòng)態(tài)的分析一條程序執(zhí)行的路徑,誤報(bào)率很高。為此,本文提出了基于云計(jì)算的動(dòng)態(tài)行為分析方案,該方案利用云計(jì)算分布式計(jì)算的特點(diǎn),在云計(jì)算多個(gè)虛擬機(jī)結(jié)點(diǎn)上并行的完成對(duì)病毒惡意軟件多條執(zhí)行路徑的分析,對(duì)虛擬機(jī)中系統(tǒng)調(diào)用的監(jiān)控發(fā)現(xiàn)病毒

7、惡意軟件在特定的條件下觸發(fā)的惡意行為。采用PIF算法來(lái)形式化的描述可疑文件分析和報(bào)告返回的過(guò)程,對(duì)該算法的改進(jìn)也同時(shí)提高了分析的效率,PIF算法是分布式算法特別適合在云計(jì)算環(huán)境中執(zhí)行。實(shí)驗(yàn)結(jié)果表明,該模型能夠檢測(cè)出病毒惡意軟件的條件觸發(fā)行為,并且可以發(fā)現(xiàn)觸發(fā)惡意行為的條件和滿足這些條件的輸入數(shù)據(jù),同時(shí)基于云計(jì)算的動(dòng)態(tài)監(jiān)測(cè)的性能比普通單機(jī)系統(tǒng)有了較大的提升。
　　當(dāng)前幾乎所有的對(duì)惡意代碼的靜態(tài)檢測(cè)都是采用基于簽名數(shù)據(jù)庫(kù)的方式。這種方

8、式導(dǎo)致了病毒惡意軟件可以使用一些比較簡(jiǎn)單的方式來(lái)躲避檢測(cè),比如代碼迷惑方式。針對(duì)這種情況,本文深入研究了集成神經(jīng)網(wǎng)絡(luò)作為模式識(shí)別器在病毒惡意軟件靜態(tài)檢測(cè)中的應(yīng)用,提出了一種基于云計(jì)算的靜態(tài)行為檢測(cè)的方式。與傳統(tǒng)通過(guò)動(dòng)態(tài)執(zhí)行方法去獲取系統(tǒng)調(diào)用序列不同,該方法通過(guò)基于 n-grams的特征提取方法得到系統(tǒng)調(diào)用序列,使用特征提取和選擇的算法得到可疑文件特征向量,作為訓(xùn)練測(cè)試的輸入數(shù)據(jù)。通過(guò)對(duì)一種新式CFO算法進(jìn)行比較詳細(xì)的理論分析研究,在此基