朱俚治
(南京航空航天大學(xué)信息中心 江蘇 210016)
當(dāng)今病毒檢測(cè)算法是多種多樣的。在這些眾多的病毒檢測(cè)算法中病毒特征代碼檢測(cè)算法出現(xiàn)的最早。但是目前病毒檢測(cè)算法只能根據(jù)已知的病毒特征來進(jìn)行病毒特征匹配,并且當(dāng)今的病毒特征匹配算法是一種靜態(tài)的病毒檢測(cè)算法。因此為了進(jìn)一步增強(qiáng)病毒特征匹配算法對(duì)病毒檢測(cè)時(shí)的智能性,病毒的研究人員必須在病毒特征代碼檢測(cè)算法中融入某些智能性病毒檢測(cè)算法。
在當(dāng)今的計(jì)算機(jī)技術(shù)中,模擬退火算法是一種智能性的算法。該算法在檢測(cè)病毒上進(jìn)行應(yīng)用,將有助于提高檢測(cè)算法的智能性。因此本文將模擬退火算法在病毒特征代碼檢測(cè)方法進(jìn)行應(yīng)用,該算法有助于提高病毒特征代碼在檢測(cè)病毒識(shí)時(shí)的智能性。本文中將中介的思想和方法應(yīng)用在病毒特征代碼的檢測(cè)算法之中。MMTD算法是一種中介思想的應(yīng)用算法,該算法在病毒特征代碼算法上的應(yīng)用檢測(cè),這將進(jìn)一步提高病毒特征碼代碼檢測(cè)算法對(duì)病毒檢測(cè)時(shí)的智能性。
中介邏輯將事物的屬性描述成三種狀態(tài),事物屬性的兩個(gè)對(duì)立面和對(duì)立面的中間過渡狀態(tài)。在中介真值程度度量方法中,提出了事物超態(tài)屬性概念,該方法符合中介思想事物的屬性并且被劃分為五種狀態(tài):事物的兩個(gè)對(duì)立面,對(duì)立面的中間過渡狀態(tài)和事物超態(tài)對(duì)立面[1-2]。這里用符號(hào)表示為 ~P,P與╕P,超態(tài)+p與超態(tài) ╕+p?,F(xiàn)用數(shù)軸將以上的描述的概念表達(dá)如下[1-2]:
對(duì)數(shù)軸y=f(x)表示的含義有以下說明[1-2]:
數(shù)軸上用符號(hào)P與╕P分別表示事物對(duì)立面的兩個(gè)屬性,符號(hào)P~ 表示反對(duì)對(duì)立面的中間過渡狀態(tài)達(dá)事物的屬性。
①如果數(shù)軸上數(shù)值點(diǎn)的位置逐步接近P,則事物 A所具有P的屬性逐步增強(qiáng)
②如果該數(shù)值點(diǎn)的位置落在真值P╕和P的取范圍之間,則事物A的屬性就部分地具有P╕的屬性,同時(shí)又部分地具有P的屬性。
③如果數(shù)軸上數(shù)值點(diǎn)的位置逐步接近P╕,則事物A所具有P╕的屬性逐步增強(qiáng)。
⑵中介真值程度度量中的距離比率函數(shù)
在中介真值程度度量的方法中,數(shù)軸上某數(shù)值點(diǎn)通過距離比率函數(shù)來計(jì)算事物所具有屬性的強(qiáng)弱。
定理 1 給定y= f(x)∈f(X),ξ(h(y))=h(y),則有[1-2]
(1)當(dāng)αF+εF (2)當(dāng)y>αT +εT時(shí),gT(x)>1;當(dāng)y<αF -εF時(shí),gF(x)>1; (3)當(dāng)y<αF -εF時(shí),gT(x)<0;當(dāng)y>αT +εT時(shí),gF(x)<0; (4)gT(x)+ gF(x)=1. ①相對(duì)于P的距離比率函數(shù)[1-2] ②相對(duì)于P╕的距離比率函數(shù)[1-2] 模擬退火算法的基本思想是,從一個(gè)初始解出發(fā),不斷重復(fù)迭代產(chǎn)生新解,對(duì)新解進(jìn)行斷定,舍棄,最終取得令人滿意的全局最優(yōu)解[3]。 模擬退火算法的數(shù)學(xué)模型由解空間、目標(biāo)函數(shù)、和初始解三部分組成[3]。 模擬退火算法的解空間為關(guān)于一個(gè)問題所有可能的解的集合,它限定了初始解選取的范圍和新解產(chǎn)生的范圍[3]。 目標(biāo)函數(shù)是對(duì)問題的優(yōu)化目標(biāo)的數(shù)學(xué)描述,通常表述為若干優(yōu)化目標(biāo)的一個(gè)和式[3]。 初始解是算法開始迭代的起點(diǎn)。初始解得選取應(yīng)使得算法導(dǎo)出較好的最終解[3]。 病毒由多種模塊組成,而傳染模塊是病毒的最重要的模塊,如果某種程序不具備的復(fù)制和寄生的功能,那么這種程序就不是病毒。病毒的傳染模塊中的子模塊具有如下的功能:①傳染條件判斷模塊,②傳染模塊,③病毒復(fù)制模塊等這些模塊,在這些模塊中每個(gè)模塊都有自身的屬性。在傳染模塊中這些子模塊在功能是緊密的相互聯(lián)系在一起,卻少了一個(gè)子模塊則病毒就無法實(shí)現(xiàn)其完整的功能。由于 Deng等人總結(jié)的病毒特點(diǎn)清晰地表明,多個(gè)特征并存才可以用來標(biāo)識(shí)一個(gè)病毒,而非只采用一個(gè)病毒特征[4-6]。因此,根據(jù)上述理由在本文采用已知文件型病毒傳染模塊的屬性作為病毒檢測(cè)算法時(shí)的準(zhǔn)則和依據(jù)。 病毒的傳染模塊有若干子模塊組成,病毒的傳染條件判斷模塊是病毒重要模塊之一。病毒的傳染條件判斷模塊的功能是:在被寄生的程序中標(biāo)識(shí)上具有判斷該種病毒的代碼,該代碼被稱為病毒的感染標(biāo)記。病毒的感染標(biāo)記可以代表著某種病毒,該標(biāo)識(shí)代碼就是病毒的名字。由于病毒的感染標(biāo)記是病毒傳染條件判斷的標(biāo)識(shí)符號(hào)代碼,不同病毒的感染標(biāo)識(shí)的代碼是不同的,因此病毒感染標(biāo)記的屬性是有所差別。病毒尋找符合感染條件的程序是病毒傳染自身代碼的第一步。病毒通過感染標(biāo)記來標(biāo)識(shí)已被寄生的程序,以此來作為病毒傳染條件判斷條件和依據(jù)。每種病毒的感染標(biāo)識(shí)是病毒的傳染的重要條件,該程序代碼具有的屬性病毒的重要屬性。這個(gè)感染標(biāo)記包含著病毒的某些屬性:病毒的類型,符合感染條件程序的類型等等。如果某些程序符合某種病毒的感染條件,病毒就會(huì)寄生于該程序中。 病毒尋找符合感染條件的程序是病毒傳染自身代碼的第一步。病毒通過感染標(biāo)記來標(biāo)識(shí)已被寄生的程序,以此來作為病毒傳染條件判斷條件和依據(jù)。每種病毒的感染標(biāo)識(shí)是病毒的傳染的重要條件,該程序代碼具有的屬性病毒的重要屬性。這個(gè)感染標(biāo)記包含著病毒的某些屬性:病毒的類型,符合感染條件程序的類型等等。如果某些程序符合某種病毒的感染條件,病毒就會(huì)寄生于該程序中。病毒在特征代碼的選取中,是多種多樣的。不同病毒的感染標(biāo)記是不同的,因此人們選取病毒的特征碼時(shí)常常以病毒的感染標(biāo)記為該病毒的特征碼,因此在本文以病毒的感染標(biāo)記做為病毒的特征碼。 MMTD算法在病毒特征代碼檢測(cè)算法那上進(jìn)行應(yīng)用能夠近一步提高殺毒軟件對(duì)惡意程序檢測(cè)時(shí)的智能性。模擬退火算法同樣也是一種智能性的算法,因此本文將這兩種智能算法結(jié)合到一處,提出了一種具有一定智能性病毒特征碼檢測(cè)算法。該算法能增強(qiáng)病毒檢測(cè)算法對(duì)病毒的識(shí)別的能力,帶一定程度上能夠增強(qiáng)對(duì)具有有變形能力病毒的檢測(cè)能力。該算法在理論上是可行,但該算法是否有效還需要在實(shí)際應(yīng)用中得到檢驗(yàn)和證明。 [1]朱梧槚,肖奚安.數(shù)學(xué)基礎(chǔ)與模糊數(shù)學(xué)基礎(chǔ)[J].自然雜志.7(1980):723-726. [2]梁旭,黃明著.現(xiàn)代智能優(yōu)化混合算法及其應(yīng)用.電子工業(yè)出版社2012年4月. [3]慈慶玉.計(jì)算機(jī)變形病毒探討[J].中國數(shù)據(jù)通信20051:37-40.2 退火算法簡(jiǎn)介
3 病毒傳染機(jī)理和病毒傳染模塊
3.1 病毒的傳染模塊
3.2 病毒的感染標(biāo)識(shí)代碼
網(wǎng)絡(luò)安全技術(shù)與應(yīng)用2014年9期