基于條件隨機場的多引擎云安全機制研究.pdf

1、云安全是當前熱門的研究方向,它使用多引擎檢測,并將病毒數(shù)據(jù)庫置于云端。它一方面克服了傳統(tǒng)殺毒軟件采用單一病毒檢測策略,對相當數(shù)量的病毒無法檢測的缺陷;另一方面,通過云端共享病毒庫數(shù)據(jù),一旦有新病毒產(chǎn)生,其信息即被整個網(wǎng)絡識別。這使得病毒被發(fā)現(xiàn)和清除的時間更短,大大減少了病毒造成的損失。然而,現(xiàn)有的云安全架構仍存在一些不足。
　　首先,多引擎檢測使用的熱門技術主要有特征字節(jié)碼技術和行為分析技術。它們一般基于病毒的字節(jié)碼序列和系統(tǒng)調用

2、序列的頻次信息,使用數(shù)據(jù)挖掘或分類算法建立病毒模型,然后將該模型用于病毒識別。其不足之處在于,它們只使用了字節(jié)碼序列和系統(tǒng)調用序列的頻次信息,卻忽略了各序列之間的次序關系。其次,對于惡意文件的海量序列信息,通常使用的方法是選擇頻次較高的部分序列。然而,一般病毒信息中病毒碼的出現(xiàn)頻次并不一定高,只選擇頻次高的序列必將忽視病毒的一些特征信息。再次,對于多引擎檢測結果如何進行決策的問題,大多數(shù)采用投票分類方法,即將引擎數(shù)量較多的結果集作為最終

3、的檢測結果。該方法只考慮引擎數(shù)量,而忽略了各個引擎本身的檢測準確度,導致誤報誤殺問題頻繁產(chǎn)生。
　　本文主要研究基于條件隨機場的云安全機制。首先,本文對當前已有的特征字節(jié)碼和行為分析技術進行改進。在建模過程中,除了使用字節(jié)碼和系統(tǒng)調用的頻次信息之外,還考慮它們之間的次序信息,本研究中稱該信息分別為次序字節(jié)碼對和次序系統(tǒng)調用對。同時,使用信息增益理論對得到的頻次信息進行篩選,選取信息增益較大的部分序列。然后,使用條件隨機場理論,基于