陸濤

摘 要： 惡意程序的入侵方式簡單、隱藏方式多且更新速度快，傳統(tǒng)惡意程序檢測算法檢測誤報率高、惡意程序更新追蹤能力不佳，為此設(shè)計了基于概率論和線性疊加的惡意程序檢測算法。該算法由行為特征提取模塊、行為特征檢測模塊和惡意程序輸出模塊組成，行為特征提取模塊將被測網(wǎng)絡(luò)中程序的行為特征提取出來，經(jīng)由行為特征檢測模塊對其中的具體行為和隱含行為進行動態(tài)檢測，給出程序惡意程度文件，惡意程序輸出模塊以程序惡意程度文件作為輸入，根據(jù)設(shè)計的線性疊加函數(shù)和深度檢測流程圖檢測出其中的惡意程序并輸出。經(jīng)實驗證明，設(shè)計的算法檢測誤報率低、惡意程序更新追蹤能力強。

關(guān)鍵詞： 惡意程序； 檢測算法； 惡意程度文件； 檢測誤報率

中圖分類號： TN915.08?34； TP309.5 文獻標(biāo)識碼： A 文章編號： 1004?373X（2017）03?0085?04

Research and implementation of malicious program detection algorithm

LU Tao

（College of Information Engineering， Nanning University， Nanning 530200， China）

Abstract： Since the malicious program has simple invasion way， massive hidden ways and fast update speed， and the traditional detection algorithm dealing with the malicious program has high false alarm rate of the detection， poor update and tracking ability， a malware program detection algorithm based on probability theory and linear superposition was designed. The algorithm is composed of the behavior feature extraction module， behavior feature detection module and malicious program output module. The program behavior feature in the network under test are extracted by means of the behavior feature extraction module， and its concrete behavior and hidden behavior are dynamically detected via the behavior feature detection module. The malicious degree file of the program is given， and taken as the input of the malicious program output module. According to the designed linear superposition function and depth detection flow chart， the malicious program was detected and output. The experimental results show that the algorithm has low false alarm rate of the detection， and good capacity to track the updated malicious program.

Keywords： malicious program； detection algorithm； malicious degree file； false alarm rate of detection

0 引 言

2009年，源于某視頻網(wǎng)站遭受的惡意程序非法入侵，致使網(wǎng)絡(luò)服務(wù)器出現(xiàn)癱瘓，使電子信息廠商對惡意程序檢測算法的研究與實現(xiàn)格外關(guān)注[1?3]。惡意程序的入侵方式較為簡單、隱藏方式眾多，且更新速度非?？?，導(dǎo)致傳統(tǒng)的惡意程序檢測算法無法對其進行有效應(yīng)對，檢測誤報率高且惡意程序更新追蹤能力不佳。因而，設(shè)計了一種基于概率論和線性疊加的惡意程序檢測算法[4?6]。

文獻[7]對基于人腦解析的惡意程序檢測算法進行設(shè)計，這種算法的設(shè)計人員意識到對惡意程序特征的準(zhǔn)確提取是算法高水平檢測的基礎(chǔ)，而計算機往往無法對惡意程序特征進行深度挖掘，故利用構(gòu)建人腦解析模型增強算法的惡意程序更新追蹤能力。這種算法需要大量技術(shù)人員實時監(jiān)管，實現(xiàn)較為不易。文獻[8]對基于貝葉斯定理的惡意程序檢測算法進行設(shè)計，其檢測誤報率較低，但這種算法需要在相對獨立的環(huán)境中進行檢測工作，這一點將惡意程序的更新隔絕在檢測環(huán)境外，因此幾乎不具備惡意程序更新追蹤能力。文獻[9]對基于機器學(xué)習(xí)的惡意程序檢測算法進行設(shè)計，這種方法的惡意程序更新追蹤能力較強，但機器學(xué)習(xí)只能針對以往出現(xiàn)過的惡意程序進行檢測，因此算法的檢測誤報率較高。文獻[10]對基于線性疊加的惡意程序檢測算法進行設(shè)計，這種方法的檢測誤報率較低且擁有較強的惡意程序更新追蹤能力。但線性疊加只考慮到了惡意程序的具體行為對網(wǎng)絡(luò)造成的傷害，若想進一步提高該算法的檢測水平，還需通過特定手段對惡意程序的隱含行為進行挖掘和雙向檢測。

通過對傳統(tǒng)惡意程序檢測算法進行分析，設(shè)計了基于概率論和線性疊加的惡意程序檢測算法，利用概率論手段對惡意程序的行為進行深度分析，對惡意程度文件進行線性疊加檢測，減少算法的檢測誤報率，增強算法的惡意程序更新追蹤能力。

1 惡意程序檢測算法設(shè)計

基于概率論和線性疊加的惡意程序檢測算法由行為特征提取模塊、行為特征檢測模塊和惡意程序輸出模塊組成。行為特征提取模塊對被測網(wǎng)絡(luò)中程序的行為特征進行提取，行為特征檢測模塊利用概率論手段對程序行為特征的惡意程度進行分析。惡意程序輸出模塊利用線性疊加函數(shù)檢測惡意程序并輸出。

1.1 行為特征提取模塊設(shè)計

基于概率論和線性疊加的惡意程序檢測算法的行為特征提取模塊主要由控制芯片組、網(wǎng)絡(luò)交互器和模擬器組成，其結(jié)構(gòu)如圖1所示。

由圖1可知，控制芯片組決定著整個行為特征提取模塊的工作水平，其負(fù)責(zé)對模塊提取工作中產(chǎn)生的中斷請求和直接內(nèi)存訪問進行控制，控制芯片組的接口電路圖如圖2所示。網(wǎng)絡(luò)交互器可實現(xiàn)程序在被測網(wǎng)絡(luò)和行為特征提取模塊間進行數(shù)據(jù)交互。模擬器用于對被測網(wǎng)絡(luò)進行虛擬化，并提供程序數(shù)據(jù)交互接口。網(wǎng)絡(luò)交互器和模擬器均有兩組，分別安放在網(wǎng)絡(luò)入口和出口處。

由圖2可知，基于概率論和線性疊加的惡意程序檢測算法每進行一次檢測工作，都要利用特征提取模塊從被測網(wǎng)絡(luò)提取程序的行為特征，這有助于增強算法的惡意程序更新追蹤能力。為了提高行為特征提取模塊的整體效率，需要在控制芯片組中寫入PE文件。

PE文件是能夠在網(wǎng)絡(luò)中進行直接提取的文件的統(tǒng)稱，這類文件是在設(shè)計基于概率論和線性疊加的惡意程序檢測算法前經(jīng)由多次實踐獲取到的。PE文件的內(nèi)容主要是網(wǎng)絡(luò)共通非惡意程序，這些程序的內(nèi)部機制較為完善，永久不會被惡意行為特征入侵。因此，行為特征提取模塊可以對PE文件進行忽略提取，以提高模塊整體效率。同時，用戶也可手動開啟行為特征提取模塊對PE文件進行提取。

隨后，行為特征檢測模塊將對行為特征提取模塊的提取結(jié)果進行分析。

1.2 行為特征檢測模塊設(shè)計

行為特征檢測模塊基于概率論和線性疊加的惡意程序檢測算法，對特征提取模塊提取結(jié)果的分析使用概率論手段，旨在獲取惡意程序的具體行為和隱含行為。惡意程序行為包括具體行為和隱含行為，如圖3所示。

由圖3可知，具體行為是指惡意程序直接利用網(wǎng)絡(luò)漏洞進行入侵的行為，這種行為比較容易被發(fā)現(xiàn)；隱含行為是指惡意程序設(shè)計者模仿非惡意程序行為進行設(shè)計，用于迷惑用戶發(fā)出不正當(dāng)指令的行為，包括行動指令行為和指令調(diào)用行為，這種行為具有一定的傳播和侵蝕能力，而且分析較為困難。

行為特征檢測模塊對惡意程序行為的分析是一種動態(tài)檢測方式。在具體行為下，惡意程序的惡意代碼會直接體現(xiàn)在行為文件中，行為文件數(shù)據(jù)量很大，用戶通常不會主動查閱，這就需要借助概率論構(gòu)建概率論測試文件對行為文件中的具體行為進行定位和審查，得出程序惡意程度文件，再經(jīng)由惡意程序輸出模塊進行深度檢測。

在惡意程序的隱含行為下，指令行為和指令調(diào)用行為均會在惡意程序的行為文件中嵌入指令代碼，這些指令代碼可用概率論進行動態(tài)檢測，如圖4所示。

由圖4可知，行為特征檢測模塊先進行惡意文件隱含行為的文件格式分析，利用概率論對文件格式進行模擬，建立概率論測試文件。行為特征檢測模塊可根據(jù)概率論測試文件獲取虛擬程序和程序中的二進制代碼，對二者同時進行動態(tài)檢測可獲取程序惡意程度文件。

將程序的具體行為和隱含行為的程序惡意程度文件組合起來，共同傳至惡意程序輸出模塊進行深度檢測。

2 惡意程序檢測算法軟件設(shè)計

基于概率論和線性疊加的惡意程序檢測算法在軟件中給出行為特征檢測模塊的概率論分析函數(shù)，以及惡意程序輸出模塊的線性疊加函數(shù)和深度檢測流程。

2.1 概率論分析函數(shù)和線性疊加函數(shù)設(shè)計

概率論分析函數(shù)的作用是對程序行為特征的惡意程度進行挖掘。將行為特征提取模塊的提取結(jié)果組成集合[K]，選取[K]中閾值的最大值[KMAX]和最小值[KMIN]（下角標(biāo)代表二者的位置坐標(biāo)值），則惡意程序與非惡意程序間閾值的概率差[M]可表示為：

式中[Lk]表示行為特征[k]的閾值。[Bk]值越大，程序行為特征的惡意程度就越高。

用[Ak]表示程序的被測點，[ak]表示被測點行為閾值，則線性疊加函數(shù)[T]可表示為：

2.2 惡意程序輸出模塊流程設(shè)計

基于概率論和線性疊加的惡意程序檢測算法設(shè)計的惡意程序輸出模塊的深度檢測流程，如圖5所示。

由圖5可知，惡意程序輸出模塊的檢測實質(zhì)是利用線性疊加函數(shù)將特征檢測模塊的程序惡意程度文件串聯(lián)起來，給出線性疊加函數(shù)[T]值?；诟怕收摵途€性疊加的惡意程序檢測算法對誤報率的要求在0.4%以下，故根據(jù)經(jīng)驗將惡意程序的預(yù)設(shè)值設(shè)為15，如果[T≥15]則判定被測程序為惡意程序。

惡意程序被檢測出來后，惡意程序輸出模塊將構(gòu)建惡意程序行為文件，作為日后檢測工作的參考數(shù)據(jù)，并將該文件上傳至云端，同時向用戶發(fā)出警報。

3 實驗驗證

實驗對本文算法、人腦解析算法和機器學(xué)習(xí)算法的檢測誤報率和惡意程序更新追蹤能力進行對比驗證。在被測網(wǎng)絡(luò)中給出100個程序并產(chǎn)生2 000個程序行為，其中的惡意行為有300個，惡意程序有18個。

3.1 檢測誤報率驗證

惡意程序檢測算法的檢測誤報率分為惡意程序漏報率和非惡意程序誤報率。記錄下實驗中檢測到第15，30，45，60，85，100個程序時，算法的惡意程序漏報率和非惡意程序誤報率的各自合計值，如圖6，圖7所示。

由圖6，圖7可知，本文算法的惡意程序漏報率和非惡意程序的誤報率均明顯低于其他兩種算法，證明本文算法的檢測誤報率低。

3.2 惡意程序更新追蹤能力驗證

隨機選擇被測網(wǎng)絡(luò)中的70個非惡意程序和15個惡意程序進行更新，使惡意程序更難被檢測到。用算法對更新后惡意程序的檢測時間表示其惡意程序更新追蹤能力，實驗曲線如圖8所示。

由圖8可知，本文算法對更新后惡意程序花費的檢測時間最少，證明本文算法惡意程序更新追蹤能力強。

4 結(jié) 論

本文通過對傳統(tǒng)的惡意程序檢測算法進行分析，設(shè)計了一種基于概率論和線性疊加的惡意程序檢測算法，其由行為特征提取模塊、行為特征檢測模塊和惡意程序輸出模塊組成。行為特征提取模塊主要由控制芯片組、網(wǎng)絡(luò)交互器和模擬器組成，算法每進行一次檢測工作都要利用以上三種元件從被測網(wǎng)絡(luò)中提取程序行為特征，提取到的行為特征將通過行為特征檢測模塊和惡意程序輸出模塊檢測出其中的惡意程序。實驗結(jié)果說明設(shè)計的算法具有檢測誤報率低、惡意程序更新追蹤能力強的優(yōu)點。

參考文獻

[1] 韓奕，姜建國，仇新梁，等.基于云計算的惡意程序檢測平臺設(shè)計與實現(xiàn)[J].計算機工程，2014，40（4）：26?31.

[2] 張躍騫，何涇沙.基于機器學(xué)習(xí)的Windows環(huán)境下惡意程序檢測系統(tǒng)[J].重慶郵電大學(xué)學(xué)報（自然科學(xué)版），2014，26（6）：778?784.

[3] 熊皓，陳杰，江坤航.一種基于行為分析的Android系統(tǒng)惡意程序檢測模型[J].湖北理工學(xué)院學(xué)報，2015，31（3）：42?46.

[4] 張葉慧，彭新光，蔡志標(biāo).基于類別以及權(quán)限的Android惡意程序檢測[J].計算機工程與設(shè)計，2014，35（5）：1568?1571.

[5] 劉曉蔚.基于數(shù)據(jù)挖掘的惡意程序智能檢測研究[J].東莞理工學(xué)院學(xué)報，2015，22（1）：38?42.

[6] 吳志忠，周學(xué)海.基于用戶行為周期的移動設(shè)備異常檢測方法[J].計算機系統(tǒng)應(yīng)用，2015，24（4）：184?189.

[7] 田朔瑋，楊岳湘，何杰，等.基于統(tǒng)計特征的隱匿P2P主機實時檢測系統(tǒng)[J].計算機應(yīng)用，2015，35（7）：1892?1896.

[8] 朱俚治.一種識別病毒和蠕蟲的算法[J].計算機測量與控制，2016，24（3）：224?227.

[9] 曹海英，元元.程序代碼抄襲檢測中串匹配算法的研究[J].信息安全與技術(shù)，2015，6（2）：34?36.

[10] 秦紹輝，胥光申，沈丹峰，等.基于LabVIEW的噴氣織機綜合水平測試系統(tǒng)[J].西安工程大學(xué)學(xué)報，2016，30（1）：107?111.