基于MMTD的病毒特征代碼檢測(cè)算法

朱俚治

（南京航空航天大學(xué)信息中心 江蘇 210016）

0 引言

當(dāng)今病毒檢測(cè)算法是多種多樣的。在這些眾多的病毒檢測(cè)算法中病毒特征代碼檢測(cè)算法出現(xiàn)的最早。但是目前病毒檢測(cè)算法只能根據(jù)已知的病毒特征來進(jìn)行病毒特征匹配，并且當(dāng)今的病毒特征匹配算法是一種靜態(tài)的病毒檢測(cè)算法。因此為了進(jìn)一步增強(qiáng)病毒特征匹配算法對(duì)病毒檢測(cè)時(shí)的智能性，病毒的研究人員必須在病毒特征代碼檢測(cè)算法中融入某些智能性病毒檢測(cè)算法。

在當(dāng)今的計(jì)算機(jī)技術(shù)中，模擬退火算法是一種智能性的算法。該算法在檢測(cè)病毒上進(jìn)行應(yīng)用，將有助于提高檢測(cè)算法的智能性。因此本文將模擬退火算法在病毒特征代碼檢測(cè)方法進(jìn)行應(yīng)用，該算法有助于提高病毒特征代碼在檢測(cè)病毒識(shí)時(shí)的智能性。本文中將中介的思想和方法應(yīng)用在病毒特征代碼的檢測(cè)算法之中。MMTD算法是一種中介思想的應(yīng)用算法，該算法在病毒特征代碼算法上的應(yīng)用檢測(cè)，這將進(jìn)一步提高病毒特征碼代碼檢測(cè)算法對(duì)病毒檢測(cè)時(shí)的智能性。

1 MMTD算法技術(shù)簡(jiǎn)介

1.1 中介真值程度度量知識(shí)簡(jiǎn)介

中介邏輯將事物的屬性描述成三種狀態(tài)，事物屬性的兩個(gè)對(duì)立面和對(duì)立面的中間過渡狀態(tài)。在中介真值程度度量方法中，提出了事物超態(tài)屬性概念，該方法符合中介思想事物的屬性并且被劃分為五種狀態(tài)：事物的兩個(gè)對(duì)立面，對(duì)立面的中間過渡狀態(tài)和事物超態(tài)對(duì)立面[1-2]。這里用符號(hào)表示為 ～P，P與╕P，超態(tài)+p與超態(tài) ╕+p?，F(xiàn)用數(shù)軸將以上的描述的概念表達(dá)如下[1-2]：

對(duì)數(shù)軸y=f(x)表示的含義有以下說明[1-2]：

數(shù)軸上用符號(hào)P與╕P分別表示事物對(duì)立面的兩個(gè)屬性，符號(hào)P～ 表示反對(duì)對(duì)立面的中間過渡狀態(tài)達(dá)事物的屬性。

①如果數(shù)軸上數(shù)值點(diǎn)的位置逐步接近P，則事物 A所具有P的屬性逐步增強(qiáng)

②如果該數(shù)值點(diǎn)的位置落在真值P╕和P的取范圍之間，則事物A的屬性就部分地具有P╕的屬性，同時(shí)又部分地具有P的屬性。

③如果數(shù)軸上數(shù)值點(diǎn)的位置逐步接近P╕，則事物A所具有P╕的屬性逐步增強(qiáng)。

⑵中介真值程度度量中的距離比率函數(shù)

在中介真值程度度量的方法中，數(shù)軸上某數(shù)值點(diǎn)通過距離比率函數(shù)來計(jì)算事物所具有屬性的強(qiáng)弱。

定理 1 給定y= f（x）∈f（X），ξ（h（y））=h（y），則有[1-2]

（1）當(dāng)αF+εF

（2）當(dāng)y>αT +εT時(shí)，gT（x）>1；當(dāng)y<αF -εF時(shí)，gF（x）>1；

（3）當(dāng)y<αF -εF時(shí)，gT（x）<0；當(dāng)y>αT +εT時(shí)，gF（x）<0；

（4）gT（x）+ gF（x）=1.

①相對(duì)于P的距離比率函數(shù)[1-2]

②相對(duì)于P╕的距離比率函數(shù)[1-2]

2 退火算法簡(jiǎn)介

模擬退火算法的基本思想是，從一個(gè)初始解出發(fā)，不斷重復(fù)迭代產(chǎn)生新解，對(duì)新解進(jìn)行斷定，舍棄，最終取得令人滿意的全局最優(yōu)解[3]。

模擬退火算法的數(shù)學(xué)模型由解空間、目標(biāo)函數(shù)、和初始解三部分組成[3]。

模擬退火算法的解空間為關(guān)于一個(gè)問題所有可能的解的集合，它限定了初始解選取的范圍和新解產(chǎn)生的范圍[3]。

目標(biāo)函數(shù)是對(duì)問題的優(yōu)化目標(biāo)的數(shù)學(xué)描述，通常表述為若干優(yōu)化目標(biāo)的一個(gè)和式[3]。

初始解是算法開始迭代的起點(diǎn)。初始解得選取應(yīng)使得算法導(dǎo)出較好的最終解[3]。

3 病毒傳染機(jī)理和病毒傳染模塊

3.1 病毒的傳染模塊

病毒由多種模塊組成，而傳染模塊是病毒的最重要的模塊，如果某種程序不具備的復(fù)制和寄生的功能，那么這種程序就不是病毒。病毒的傳染模塊中的子模塊具有如下的功能：①傳染條件判斷模塊，②傳染模塊，③病毒復(fù)制模塊等這些模塊，在這些模塊中每個(gè)模塊都有自身的屬性。在傳染模塊中這些子模塊在功能是緊密的相互聯(lián)系在一起，卻少了一個(gè)子模塊則病毒就無法實(shí)現(xiàn)其完整的功能。由于 Deng等人總結(jié)的病毒特點(diǎn)清晰地表明，多個(gè)特征并存才可以用來標(biāo)識(shí)一個(gè)病毒，而非只采用一個(gè)病毒特征[4-6]。因此，根據(jù)上述理由在本文采用已知文件型病毒傳染模塊的屬性作為病毒檢測(cè)算法時(shí)的準(zhǔn)則和依據(jù)。

3.2 病毒的感染標(biāo)識(shí)代碼

病毒的傳染模塊有若干子模塊組成，病毒的傳染條件判斷模塊是病毒重要模塊之一。病毒的傳染條件判斷模塊的功能是：在被寄生的程序中標(biāo)識(shí)上具有判斷該種病毒的代碼，該代碼被稱為病毒的感染標(biāo)記。病毒的感染標(biāo)記可以代表著某種病毒，該標(biāo)識(shí)代碼就是病毒的名字。由于病毒的感染標(biāo)記是病毒傳染條件判斷的標(biāo)識(shí)符號(hào)代碼，不同病毒的感染標(biāo)識(shí)的代碼是不同的，因此病毒感染標(biāo)記的屬性是有所差別。病毒尋找符合感染條件的程序是病毒傳染自身代碼的第一步。病毒通過感染標(biāo)記來標(biāo)識(shí)已被寄生的程序，以此來作為病毒傳染條件判斷條件和依據(jù)。每種病毒的感染標(biāo)識(shí)是病毒的傳染的重要條件，該程序代碼具有的屬性病毒的重要屬性。這個(gè)感染標(biāo)記包含著病毒的某些屬性：病毒的類型，符合感染條件程序的類型等等。如果某些程序符合某種病毒的感染條件，病毒就會(huì)寄生于該程序中。

病毒尋找符合感染條件的程序是病毒傳染自身代碼的第一步。病毒通過感染標(biāo)記來標(biāo)識(shí)已被寄生的程序，以此來作為病毒傳染條件判斷條件和依據(jù)。每種病毒的感染標(biāo)識(shí)是病毒的傳染的重要條件，該程序代碼具有的屬性病毒的重要屬性。這個(gè)感染標(biāo)記包含著病毒的某些屬性：病毒的類型，符合感染條件程序的類型等等。如果某些程序符合某種病毒的感染條件，病毒就會(huì)寄生于該程序中。病毒在特征代碼的選取中，是多種多樣的。不同病毒的感染標(biāo)記是不同的，因此人們選取病毒的特征碼時(shí)常常以病毒的感染標(biāo)記為該病毒的特征碼，因此在本文以病毒的感染標(biāo)記做為病毒的特征碼。

MMTD算法在病毒特征代碼檢測(cè)算法那上進(jìn)行應(yīng)用能夠近一步提高殺毒軟件對(duì)惡意程序檢測(cè)時(shí)的智能性。模擬退火算法同樣也是一種智能性的算法，因此本文將這兩種智能算法結(jié)合到一處，提出了一種具有一定智能性病毒特征碼檢測(cè)算法。該算法能增強(qiáng)病毒檢測(cè)算法對(duì)病毒的識(shí)別的能力，帶一定程度上能夠增強(qiáng)對(duì)具有有變形能力病毒的檢測(cè)能力。該算法在理論上是可行，但該算法是否有效還需要在實(shí)際應(yīng)用中得到檢驗(yàn)和證明。

[1]朱梧槚，肖奚安.數(shù)學(xué)基礎(chǔ)與模糊數(shù)學(xué)基礎(chǔ)[J].自然雜志.7（1980）：723-726.

[2]梁旭，黃明著.現(xiàn)代智能優(yōu)化混合算法及其應(yīng)用.電子工業(yè)出版社2012年4月.

[3]慈慶玉.計(jì)算機(jī)變形病毒探討[J].中國數(shù)據(jù)通信20051：37-40.