李 棟

（四川愛里爾科技有限公司，四川成都，610015）

試論程序語義基礎下計算機病毒的檢測方法

李 棟

（四川愛里爾科技有限公司，四川成都，610015）

程序語義是計算機技術中一項非常重要的內容，也是計算機程序的核心部分，而通過對程序語義進行檢測可以有效的識別出系統(tǒng)中的病毒程序。因此，本文就程序語義基礎下計算機病毒的檢測方法展開研究和分析。

程序語義；計算機；病毒

0 引言

當前隨著現(xiàn)代科學技術的不斷發(fā)展和廣泛應用，計算機技術已經(jīng)成為人們生活中必不可少的一部分，電腦對人們的生活有著非常重要的作用。但是隨著計算機技術發(fā)展的同時，計算機病毒也更加被人們所重視。而通過計算機程序的語義能夠有效的識別系統(tǒng)中的病毒程序。

1 病毒結構分析

1.1 傳統(tǒng)病毒

過去傳統(tǒng)的計算機病毒程序主要是通過將有毒的程序依附于正常的計算機程序當中，通過正常的計算機程序進入系統(tǒng)，然后對計算機系統(tǒng)進行攻擊，并獲得系統(tǒng)的控制權，因此傳統(tǒng)的計算機病毒在感染過程中主要包括三個環(huán)節(jié)，分別是獲取控制權、重新定位、復制。此外，為了能夠繼續(xù)感染其他正常的程序，病毒將在獲得系統(tǒng)控制權之后，對系統(tǒng)的硬盤區(qū)進行掃描，對所有的文件進行分析，找到能夠被感染的對象。因此，這種傳統(tǒng)性病毒主要包括以下幾種結構模塊。

第一，獲取系統(tǒng)控制權。這是病毒進行感染的第一個任務，在執(zhí)行的過程中主要有三種方法。首先，是通過切換路徑。即是指通過替換掉合法的系統(tǒng)代碼位置，進入到系統(tǒng)中。其次，是通過替換信息。是指將病毒信息替換掉系統(tǒng)數(shù)據(jù)結構中的相關內容，這樣一旦系統(tǒng)運行這些代碼就等于在運行病毒代碼。最后是將自身作為OS的一個單位。這種方式可以讓病毒自動創(chuàng)建一個進程，從而作為OS調度程序使用。第二，重新定位模塊。由于病毒感染的程序位置不同，各個變量也會在系統(tǒng)的內存中有著不同的存儲位置，因此為了能夠將這些病毒變量引用起來，就必須進行重新定位。第三，復制模塊。這一部分的功能主要是把病毒寫進系統(tǒng)的主程序中，通過主程序來幫助病毒進行傳播。

1.2 蠕蟲病毒

蠕蟲病毒與傳統(tǒng)的病毒有所區(qū)別，是通過將病毒代碼復制到系統(tǒng)的一個目錄中，因此其主要的感染方式有進行系統(tǒng)漏洞攻擊、通過電子郵件進行傳播。

1.3 木馬程序

木馬程序主要通過網(wǎng)絡進行傳播，通常是用電子郵件等形式將木馬程序植入到系統(tǒng)中，此外也可以通過緩沖區(qū)域進行寫碼來完成后病毒傳播。

2 程序語義模型和流程

2.1 轉換模型

在本文中主要是研究基于程序語義的病毒代碼檢測方式，因此是為了在新型病毒出現(xiàn)時能夠有效的進行識別和防御，進而減少計算機病毒對系統(tǒng)的嚴重威脅，切實提升計算機系統(tǒng)的病毒檢測效率和準確性，增強對病毒進行處理的能力。減少系統(tǒng)出現(xiàn)誤判的情況發(fā)生，同時能夠對未知的病毒進行識別。

因此想要獲得和系統(tǒng)程序想對應的語義關系結構，就應當對原有程序的語義結構進行轉換。其轉換的系統(tǒng)函數(shù)設置為t。t所解決的問題是通過對原程序進行掃描之后進行讀取，并通過t來提出語義關系。進而建立語義關系模型。在構建語義關系模型之后，需要抽取其中的匯編程序，其中包括了程序的流程以及結構，在病毒的檢測方法中需要使用抽取結構的方法的思路。其具體的轉換方式為：

P=S1；S2；S3；......Si；...Sn；其中P為原程序，S為程序中的語句，n為程序的長度。因此得出G=（N,E），G為程序中的語義框架，N,E為程序中的節(jié)點。

2.2 數(shù)據(jù)層設計

在檢測技術的設計中，對一個擁有龐大數(shù)據(jù)的程序進行語義關系的抽取是非常復雜的。因此在檢測技術中主要使用分治的方式來實現(xiàn)，將所有需要檢測的程序全都拆解成眾多子程序，再對每個子程序進行框架的抽取。同時為了能夠對所有子程序的信息、流程、序間以及結構進行描述，需要設計好子程序的鏈接點，再通過對鏈接點進行調用，實現(xiàn)被鏈接的節(jié)點與程序的節(jié)點之間數(shù)據(jù)相連。

2.3 工作流程

在病毒檢測技術中，其語義關系的框架抽取方法主要是通過對子程序進行劃分決定的。其劃分的主要規(guī)則為：所有子程序都需要劃分成單獨的程序塊以及能夠改變其他流程的代碼序列劃分成單獨的程序塊。而在設計中每次進行劃分，都會形成一個程序塊，然后在程序鏈上添加上新的節(jié)點，同時記錄程序塊、其發(fā)出的指令、程序塊的類型、程序塊號、程序塊的表達方式等。最后根據(jù)這些數(shù)據(jù)經(jīng)其通過弧進行連接。

整個抽取流程包括：第一，開啟需要檢測的文件程序，然后對程序的首部以及最后的尾部展開結構框架的抽取，然后設置抽取所需要的數(shù)據(jù)，將其劃分成若干個子程序。最后，通過其子程序的連接、調用鏈、被調用鏈以及多次調用鏈進行組合，形成結構樹表示這些子程序之間的依賴關系。

如果需要抽取其中一個子程序，需要在結構樹上找到對應的關系節(jié)點，然后通過程序塊來得出其中的語義關系。

3 病毒檢測引擎

3.1 算法設計

在計算機病毒檢測技術設計中，還需要對一個十分重要的部分進行設計，就是對檢測引擎進行設計。在檢測系統(tǒng)中能夠真正對病毒檢測的效率和準確性產(chǎn)生影響的就是檢測引擎，在檢測引擎中是沒有具體畫面的關鍵程序，在檢查引擎的設計上主要是對計算方法以及工作流程進行設計。

在整個監(jiān)測引擎的計算方法設計上主要先解決兩個關鍵點。首先，是對系統(tǒng)框架中相應各個槽權值進行確定。其中槽權值的初始數(shù)值是參考其數(shù)值特征和病毒特征而設定的，因此當前的計算法的槽權值設定還需要通過人工的方式進行。此外，槽權值的準確度校對以及修改也都需要人工來完成。其次，閾值需要確定。在檢測引擎的算法中，閾值應當在進行測試之前就固定下來，檢測的過程就是通過計算程序框架的相似度再于閾值進行對比，判斷其中是否出現(xiàn)病毒。閾值D的取值方式為：D∈[0,1]，當D為0是表示系統(tǒng)沒有病毒，當D為1時則代表系統(tǒng)出現(xiàn)病毒。

例如在實際檢測試驗中，檢測結果出現(xiàn)以下的情況。

表1 病毒檢測結果

當閾值為0.7時共有175個病毒,誤檢數(shù)為54,感染程序數(shù)量為121；閾值為0.8時共有169個病毒,誤檢數(shù)為38,感染程序數(shù)量為130；閾值為0.9時共有165個病毒,誤檢數(shù)為28,感染程序數(shù)量為137。

3.2 工作流程設計

病毒檢測技術的工作流程主要是：將需要檢測的文件放入系統(tǒng)中，通過系統(tǒng)對程序的語義關系結構進行抽取，形成新的語義框架，然后進行計算，當計算結果與閾值進行比較之后，則可以判斷出程序是否攜帶病毒，最后通過檢測結果來執(zhí)行相應的系統(tǒng)操作，其中包括殺毒、刪除等。

對于一個病毒檢測技術來說，這一系統(tǒng)的執(zhí)行流程是十分長的，如果是對全部的程序代碼進行檢測可能效率會非常低。但是，通常在電腦中病毒的長度卻非常的短，通常只有幾KB或者十幾KB左右，而且這些病毒經(jīng)常是依附于正常程序的開頭或者結尾，因此對于這種病毒檢測系統(tǒng)的工作效率還需要一定程度的提升。

4 結論

通過程序的語義結構進行計算機病毒檢測是一種十分先進的檢測方法，對于計算機系統(tǒng)的安全運行有著非常重要的意義。隨著計算機技術的日趨完善和創(chuàng)新發(fā)展，需要針對計算機的安全問題設計更加嚴格的安全保護措施，通過程序的語義能夠對病毒程序有效的識別，因此應當增加對程序語義的研發(fā)，推動計算機安全防護技術的進步。

[1]孫喁喁.基于代碼迷惑的軟件保護及惡意代碼檢測技術研究[D].西安建筑科技大學,2014.

The test method of computer virus under the semantic foundation of the program

Li Dong
(Sichuan airiel technology co., LTD, Chengdu Sichuan,610015)

The application of semantic computer technology is a very important content, also is the core part of a computer program, and through to test the program semantics can effectively identify the virus in the system Therefore, this paper studies and analyzes the computer virus detection method based on the semantics of the program

procedural semantics; The computer; The virus