基于云计算的病毒恶意软件分析

文/王鸿博 沈鸽

基于云计算的病毒恶意软件分析

文/王鸿博 沈鸽

随着信息技术领域的快速发展，传统反病毒软件的有效性日渐受到质疑，近年来频频出现的恶性网络事件也也证明了传统恶意软件分析方法确实存在不足，而为了能够更好保护网络安全，本文基于云计算的病毒恶意软件分析展开了具体研究，希望这一研究能够相关业内人士带来一定启发。

云计算 病毒恶意软件分析 系统设计

云计算本质上属于一种信息资源处理方式，这一处理方式能够在大型资源处理中心的支持下实现计算能力服务的提供，而如果将云计算与恶意软件病毒的分析相结合，各类最新病毒恶意软件的信息就将实现第一时间发现、第一时间处理，传统反病毒软件、传统分析方法存在的不足也将由此实现较好弥补，网络安全的保护自然将获得较为有力支持。

1 传统病毒恶意软件分析方法

为了较高质量完成本文研究，我们首先需要深入了解传统病毒恶意软件分析方法，而结合笔者自身认知，本文将这一传统病毒恶意软件分析方法概括为静态分析法、动态分析法两类。

1.1 静态分析法

静态分析法属于传统病毒恶意软件分析方法的代表，在不运行代码前提下进行程序代码扫描是这一分析方法的核心，而由此实现的代码特性值全面获取就能够实现对病毒恶意软件的全面分析，不过在压缩加密、代码迷惑等手段下，静态分析法很容易出现误报率较高的问题。

1.2 动态分析法

除了静态分析法外，动态分析法同样属于传统病毒恶意软件分析方法的代表，在程序运行中进行病毒恶意软件分析是这一方法的核心。在动态分析法应用中，这一分析方法能够实现程序的一次执行作为分析对象，而由此开展的一次乃至多次分析就能够较为准确完成病毒恶意软件分析，不过较为复杂的算法制约了动态分析法的发展与效用发挥。

2 病毒恶意软件动态行为分析系统

结合云计算与动态分析法这一传统病毒恶意软件分析方法存在的不足，本文研究建立了病毒恶意软件动态行为分析系统。

2.1 系统的总体架构

为了能够解决传统动态分析法存在的不足，笔者确定了病毒恶意软件多分支路径的分析策略，而这一策略在云计算的支持下就能够实现恶意行为的确定。图1为本文研究病毒恶意软件的动态行为分析系统的上层架构，而由此实现的虚拟机环境可疑程序监控、恶意行为确定、执行的条件分支路径探索、使用进程复制分派器实现的进程复制、结合云网络虚拟机结点实现的可疑文件分析报告形成，就能够真正解决统动态分析法存在的不足，网络安全的保护也能够由此得到更为有力支持。

2.2 具体实施方案

对于本文研究的病毒恶意软件动态行为分析系统来说，标签数据生成器、执行引擎和解释器、进程分派器、消息传递系统、分析报告生成器都属于该系统的具体实施方案，介于篇幅原因本文仅对这其中的执行引擎和解释器实施方案进行详细论述。

对于病毒恶意软件动态行为分析系统的执行引擎和解释器实施方案来说，病毒恶意软件的隔离是这一实施方案的主要内容，结合病毒恶意软件普遍存在的文件行为、注册表行为、图形界面、反跟踪和反调试、网络行为、网络僵尸等行为，我们就能够建立执行引擎和解释器实施方案架构，在架构支持下，病毒恶意软件就将真正失去效用，整个病毒恶意软件动态行为分析系统的效用发挥也将获得更为有力支持。

3 病毒恶意软件静态行为分析系统

简单了解病毒恶意软件动态行为分析系统后，我们还需要就基于静态分析法这一传统病毒恶意软件分析方法建立的病毒恶意软件静态行为分析系统进行深入分析，采用新式CFO算法训练集成人工神经网络作为模式的分类器则属于这一系统的核心。

3.1 行为模式的获取方式

对于本文研究的病毒恶意软件静态行为分析系统来说，静态的语义分析、特征提取选择、训练测试属于这一系统的具体组成。

（1）对于静态的语义分析来说，可执行文件的汇编语言代码化分解、程序执行流图的获取、执行树的翻译、提取系统调用的执行路径四个环节是这一静态语义分析的核心内容，而这一核心内容的前两个环节需要得到分解工具IDA Pro的支持，而在静态语义分析中调用序列方式支持下，病毒恶意软件常见的变形技术也将真正失去效用，代码行为描述的质量也将由此多大会更好保证。

（2）对于特征提取选择来说，笔者选择了n-gram方式用于数据的特征提取，而结合滑动窗口所收集的子串，并结合文献频率分析和信息增益技术，就能够真正实现高质量的特征提取，而完成提取后进行特征向量使用表示可执行文件，就能够为后续CFO算法训练神经网络分类器的应用提供更有力支持。

3.2 CFO算法训练神经网络分类器

CFO算法训练神经网络分类器属于本文研究病毒恶意软件静态行为分析系统的核心，这一CFO算法训练神经网络分类器的真正获取需要通过基本CFO优化算法、算法推导、算法的收敛性分析、人工神经网络训练集成等一系列环节实现，介于篇幅原因笔者仅对人工神经网络训练集成进行简单介绍。

在人工神经网络训练集成中，多目标优化、集成网络求得是其中的关键环节，这里我们需要将均方差函数作为目标函数，这样才能够通过将整个集成网络作为分类器完成人工神经网络训练集成，在CFO算法支持下我们需要按照生成n个子网络的初始质子组、更新加速度和迭代次数、更新位置、计算目标函数值、缩小决策空间、停止迭代条件等流程完成具体人工神经网络训练集成。

4 结论

在本文基于云计算的病毒恶意软件分析展开的研究中，笔者详细论述了传统病毒恶意软件分析方法、病毒恶意软件动态行为分析系统、病毒恶意软件静态行为分析系统，结合这一系列内容我们就能够较为深入了解云计算在病毒恶意软件分析中所能够发挥的优秀效用，也能够在一定程度上明晰云计算在其中应用的思路，希望由此能够为我国网络安全的相关发展带来一定启发。

[1]张娜.基于云计算的恶意软件分析检测研究[J].软件导刊,2016(01):159-160.

[2]王昊哲,刘旸.云计算时代的自主恶意软件防护建构[J].信息网络安全,2010(05):34-36.

作者单位空军航空大学图书馆 吉林省长春市 130000

王鸿博（1984-），男，吉林省长春市人。硕士研究生。空军航空大学图书馆馆员。研究方向为情报与信息技术。沈鸽（1985-），女，吉林省长春市人。硕士研究生。空军航空大学图书馆馆员。研究方向为文献流通管理。