基于MMTD的病毒特征代码检测算法

朱俚治

（南京航空航天大学信息中心 江苏 210016）

0 引言

当今病毒检测算法是多种多样的。在这些众多的病毒检测算法中病毒特征代码检测算法出现的最早。但是目前病毒检测算法只能根据已知的病毒特征来进行病毒特征匹配，并且当今的病毒特征匹配算法是一种静态的病毒检测算法。因此为了进一步增强病毒特征匹配算法对病毒检测时的智能性，病毒的研究人员必须在病毒特征代码检测算法中融入某些智能性病毒检测算法。

在当今的计算机技术中，模拟退火算法是一种智能性的算法。该算法在检测病毒上进行应用，将有助于提高检测算法的智能性。因此本文将模拟退火算法在病毒特征代码检测方法进行应用，该算法有助于提高病毒特征代码在检测病毒识时的智能性。本文中将中介的思想和方法应用在病毒特征代码的检测算法之中。MMTD算法是一种中介思想的应用算法，该算法在病毒特征代码算法上的应用检测，这将进一步提高病毒特征码代码检测算法对病毒检测时的智能性。

1 MMTD算法技术简介

1.1 中介真值程度度量知识简介

中介逻辑将事物的属性描述成三种状态，事物属性的两个对立面和对立面的中间过渡状态。在中介真值程度度量方法中，提出了事物超态属性概念，该方法符合中介思想事物的属性并且被划分为五种状态：事物的两个对立面，对立面的中间过渡状态和事物超态对立面[1-2]。这里用符号表示为 ～P，P与╕P，超态+p与超态 ╕+p。现用数轴将以上的描述的概念表达如下[1-2]：

对数轴y=f(x)表示的含义有以下说明[1-2]：

数轴上用符号P与╕P分别表示事物对立面的两个属性，符号P～ 表示反对对立面的中间过渡状态达事物的属性。

①如果数轴上数值点的位置逐步接近P，则事物 A所具有P的属性逐步增强

②如果该数值点的位置落在真值P╕和P的取范围之间，则事物A的属性就部分地具有P╕的属性，同时又部分地具有P的属性。

③如果数轴上数值点的位置逐步接近P╕，则事物A所具有P╕的属性逐步增强。

⑵中介真值程度度量中的距离比率函数

在中介真值程度度量的方法中，数轴上某数值点通过距离比率函数来计算事物所具有属性的强弱。

定理 1 给定y= f（x）∈f（X），ξ（h（y））=h（y），则有[1-2]

（1）当αF+εF

（2）当y>αT +εT时，gT（x）>1；当y<αF -εF时，gF（x）>1；

（3）当y<αF -εF时，gT（x）<0；当y>αT +εT时，gF（x）<0；

（4）gT（x）+ gF（x）=1.

①相对于P的距离比率函数[1-2]

②相对于P╕的距离比率函数[1-2]

2 退火算法简介

模拟退火算法的基本思想是，从一个初始解出发，不断重复迭代产生新解，对新解进行断定，舍弃，最终取得令人满意的全局最优解[3]。

模拟退火算法的数学模型由解空间、目标函数、和初始解三部分组成[3]。

模拟退火算法的解空间为关于一个问题所有可能的解的集合，它限定了初始解选取的范围和新解产生的范围[3]。

目标函数是对问题的优化目标的数学描述，通常表述为若干优化目标的一个和式[3]。

初始解是算法开始迭代的起点。初始解得选取应使得算法导出较好的最终解[3]。

3 病毒传染机理和病毒传染模块

3.1 病毒的传染模块

病毒由多种模块组成，而传染模块是病毒的最重要的模块，如果某种程序不具备的复制和寄生的功能，那么这种程序就不是病毒。病毒的传染模块中的子模块具有如下的功能：①传染条件判断模块，②传染模块，③病毒复制模块等这些模块，在这些模块中每个模块都有自身的属性。在传染模块中这些子模块在功能是紧密的相互联系在一起，却少了一个子模块则病毒就无法实现其完整的功能。由于 Deng等人总结的病毒特点清晰地表明，多个特征并存才可以用来标识一个病毒，而非只采用一个病毒特征[4-6]。因此，根据上述理由在本文采用已知文件型病毒传染模块的属性作为病毒检测算法时的准则和依据。

3.2 病毒的感染标识代码

病毒的传染模块有若干子模块组成，病毒的传染条件判断模块是病毒重要模块之一。病毒的传染条件判断模块的功能是：在被寄生的程序中标识上具有判断该种病毒的代码，该代码被称为病毒的感染标记。病毒的感染标记可以代表着某种病毒，该标识代码就是病毒的名字。由于病毒的感染标记是病毒传染条件判断的标识符号代码，不同病毒的感染标识的代码是不同的，因此病毒感染标记的属性是有所差别。病毒寻找符合感染条件的程序是病毒传染自身代码的第一步。病毒通过感染标记来标识已被寄生的程序，以此来作为病毒传染条件判断条件和依据。每种病毒的感染标识是病毒的传染的重要条件，该程序代码具有的属性病毒的重要属性。这个感染标记包含着病毒的某些属性：病毒的类型，符合感染条件程序的类型等等。如果某些程序符合某种病毒的感染条件，病毒就会寄生于该程序中。

病毒寻找符合感染条件的程序是病毒传染自身代码的第一步。病毒通过感染标记来标识已被寄生的程序，以此来作为病毒传染条件判断条件和依据。每种病毒的感染标识是病毒的传染的重要条件，该程序代码具有的属性病毒的重要属性。这个感染标记包含着病毒的某些属性：病毒的类型，符合感染条件程序的类型等等。如果某些程序符合某种病毒的感染条件，病毒就会寄生于该程序中。病毒在特征代码的选取中，是多种多样的。不同病毒的感染标记是不同的，因此人们选取病毒的特征码时常常以病毒的感染标记为该病毒的特征码，因此在本文以病毒的感染标记做为病毒的特征码。

MMTD算法在病毒特征代码检测算法那上进行应用能够近一步提高杀毒软件对恶意程序检测时的智能性。模拟退火算法同样也是一种智能性的算法，因此本文将这两种智能算法结合到一处，提出了一种具有一定智能性病毒特征码检测算法。该算法能增强病毒检测算法对病毒的识别的能力，带一定程度上能够增强对具有有变形能力病毒的检测能力。该算法在理论上是可行，但该算法是否有效还需要在实际应用中得到检验和证明。

[1]朱梧槚，肖奚安.数学基础与模糊数学基础[J].自然杂志.7（1980）：723-726.

[2]梁旭，黄明著.现代智能优化混合算法及其应用.电子工业出版社2012年4月.

[3]慈庆玉.计算机变形病毒探讨[J].中国数据通信20051：37-40.