基于纹理特征的网络通信恶意代码检测方法

才东阳

（国网冀北电力有限公司唐山供电公司，河北 唐山 063000）

0 引言

在网络通信领域当中，恶意代码是指其本身没有任何作用，但存在于网络环境当中会对用户的通信信息带来危险。恶意代码与正常代码之间的区别在于，恶意代码是一种完全为了实现某种恶意目的而编写出的计算机程序，通常会采用融合的方式潜藏在正常的计算机程序当中，并选择在特定的环境下完成执行功能[1-3]。当前，针对网络通信环境当中恶意代码的检测可分为静态和动态两种，但在实际应用中，这两种检测方法都存在检测结果重复性和滞后性严重等问题，同时在检测精度上也无法达到网络通信安全运行的要求。针对这些问题，为了能够促进网络通信环境的安全性提升，保障用户个人利益不受损，本文引入纹理特征技术，提出一种全新的网络通信恶意代码检测方法，相关研究介绍如下。

1 网络通信恶意代码检测方法

1.1 恶意代码灰度工程矩阵纹理特征提取

为实现对恶意代码纹理特征的快速提取，利用图像像素灰度级在空间区域范围内对其分布模式进行描述，结合纹理特征分析的方式，获取图像当中重要的描述信息[4-5]。在生成恶意代码灰度工程矩阵后，引入Gabor滤波器，利用其实现对处理图像的小波变换，假设在灰度图像当中，某一处理图像可用k（x，y）表示，则对其进行二维小波变换之后，能够得到如下表达式：

1.2 网络通信恶意代码纹理特征规范化处理

为了确保最终对恶意代码检测的精度，在完成对恶意代码的纹理特征提取后，还需要对提取到的纹理特征进行规范化处理。以具备单一纹理特征的恶意代码灰度信息集为例，假设其灰度信息集的规模为N，且N 为常量[7]。若信息机的复杂程度较大，则利用信息熵的计算公式，能够实现对信息机不确定性的量化描述，以此便于对纹理特征值相等部分的量化，从而确定网络通信环境当中包含的恶意代码具体类型数量。信息熵的计算公式为

1.3 恶意代码变种检测

将网络通信环境当中不同属性的恶意代码汇总，以此构建一个恶意代码家族，其中包含了具备多个共同特性的代码个体。共同特性当中包含了代码本身、图案、应用特征等。在恶意代码家族当中，个体成员之间由于具备相同属性，因此其差异通常较小，并且其基因结构基本相同，但当变种产生后，其基因结构会发生改变。针对可能为恶意代码变种的成员，针对恶意代码PE文件当中给出的特征纹理变化进行明确。在恶意代码EP文件当中，其内容和特征纹理具有极大相似度，因此基于这一特点，利用纹理特征相似度，对其恶意代码类型进行判断。在实际检测过程中，恶意代码家族当中会存在代码重排的问题，进而造成判断结果出现错误。为了解决这一问题，通过分段自增长纹理分割，对PE文件进行分隔处理，并实现对变种特征的匹配，以此实现对恶意代码家族中恶意代码变种检测。

1.4 恶意代码纹理分块形式化表征

生成的二进制文件是按照PE文件格式进行存储，在各个分区区段当中都包含了多个恶意代码。在对其进行分块形式化表征时，将不同区段按照页边界对其进行处理，并形成一个连续性的完整结构。为了能够降低特征纹理在分割时的时间复杂度，引入区域增长算法，在完成对纹理特征的分割处理后，利用连通域表示完成分段处理后各个区域上的纹理特征。为了避免恶意代码纹理分开形式化表征时出现混淆，在上述对恶意代码图像进行灰度处理的基础上，将恶意代码全局特征与局部特征相互融合，以此形成一种全新的表征模式，从而使具备新特征的恶意代码纹理具备一定抗混淆性。利用具备新特征的表征形式还可实现对恶意代码类型的具体划分。针对相同纹理特征的恶意代码，在灰度图像当中通常会分布在相同区域中，不同纹理特征的代码通常会分布在不同区域中，以此实现对恶意代码纹理分块形式化表征，并使其具备抗混淆性，提高检测方法整体检测精度。

2 对比实验

结合上述论述内容，为了实现对引入纹理特征检测方法应用效果的检验，针对其开展对比实验研究。将本文设计方法作为实验组，将动态检测方法作为对照1组，将静态检测方法作为对照2组，针对三种检测方法在相同实验环境中对恶意代码的检测过程及结果进行对比，以此实现对三种检测方法的应用验证。基于本文检测方法和动态检测、静态检测的应用需要，选择将具备更高效率的索引结构算法作为恶意代码检测的索引结构。选择与某网络通信真实环境作为本文实验环境，在实验过程中向该环境引入五种不同的恶意代码测试样本集，其基本属性如表1所示。

表1 恶意代码测试样本集属性对照表

针对上述五种恶意代码，分别利用上述三种检测方法对其进行检测。由于本文上述选择的五种类型恶意代码是网络通信中常见的恶意代码，因此后续进一步得出的实验结果具备了一定普遍性，实验结果也会更加具有说服力。在上述论述基础上，首先，针对三种检测方法完成对所有恶意代码检测的时间进行记录，并将结果绘制成图1。

图1 三种检测方法检测时间

从图1可看出，实验组检测方法在对网络通信环境当中的恶意代码进行检测时，其检测速度更快，不存在检测滞后性问题。

计算得出在存在五种不同恶意代码类型的情况下，三种检测方法的检测结果匹配度，并将得出的结果绘制成表2。

表2 三种检测方法检测结果匹配度记录表

从表2可以看出，本文提出的基于纹理特征的检测方法在对多种不同类型恶意代码检测时，能够确保检测结果的匹配度达到90%以上，检测结果具备更高精度。

3 结束语

通过本文上述论述，针对原有动态检测和静态检测方法对网络通信恶意代码进行检测时存在的诸多问题，在引入纹理特征技术使其得以解决。将本文提出的检测方法应用于实际能够对多种不同恶意代码进行检测，并确保检测结果具备更高的可靠性。在实验过程中，由于研究能力有限，选择的恶意代码语料库容量较小，恶意代码测试样本集不足，因此为了实现对检测方法应用效果的进一步验证，在后续的研究当中还应选用容量更大的恶意代码语料库，针对更多类型以及更多数量的恶意代码进行检测，并通过得出的检测性能分析结果实现对本文检测方法的进一步优化。■