基于云计算恶意软件分析检测研究.docVIP

基于云计算恶意软件分析检测研究 　　摘要摘要：在分析传统恶意软件检测方法优缺点的基础上，基于云计算，对恶意软件检测方法进行了改进，充分发挥了云计算并行分析检测的优势，使新型恶意软件检测方法更加高效。通过分配检测任务、粘贴数据标签，在多个封闭的虚拟机中进行动态代码分析，最后汇总分析形成报告反馈给用户，实现了云计算环境下恶意软件的分析和检测，在时间效率上明显优于传统的代码分析方法。 　　关键词关键词：云计算；恶意软件；软件分析；云安全 　　DOIDOI：10.11907/rjdk.1511108 　　中图分类号：TP309 　　文献标识码：A文章编号文章编号2016）001015902 　　0引言 　　云计算是基于互联网相关服务增加、使用和交付的一种模式，通常涉及通过互联网来提供动态的、易扩展的、虚拟化的资源。云计算诞生以来一直影响着计算机和网络技术的发展。云计算使计算分布在网络中而不是在本地计算机内，其涉及的网络技术、软件技术、组织架构都发生了显著的变化。因此，在云计算环境下，软件开发的环境、运行的模式都发生了变化，软件测试工具也应适应云工作平台而不再是传统的本地方式。对于云计算环境下软件技术、架构发生的变化，要求软件测试作出相应的调整。软件测试在关注传统软件质量的同时，还应关注云计算环境所提出的新的质量要求，如软件动态适应能力、大量用户支持能力、安全性、多平台兼容性等[1]。需要改变传统的分析方法，提出更适合云计算平台的软件分析检测方法。 　　1传统恶意软件分析方法 　　1.1静态分析法 　　对于恶意软件代码的分析和取证一般分为静态分析和动态分析两种方法。静态分析法是指在不运行代码的方式下，通过词法分析、语法分析、控制流、数据流分析等技术对程序代码扫描，验证代码是否满足规范性、安全性、可靠性等指标，通过对代码的全面分析获取代码的特征值，达到全面分析的效果。因为静态分析方法是不运行代码的，也就是说代码并没有直接执行，所以不会产生危害，但是对代码的全面分析，需要消耗大量系统资源，导致整体效率不高。静态分析法需要反汇编技术，如果恶意代码使用了压缩加密、代码迷惑等手段，该方法就很难取得好的效果。静态代码分析是通过程序扫描找到匹配某种规则模式的代码，从而发现代码中存在的问题。例如，定位strcpy（）可能存在漏洞函数，会将一些正确代码定位为缺陷问题，因此，静态分析有时会产生误报率较高的缺陷。 　　1.2动态分析法 　　动态分析法是在程序运行过程中进行分析。因为许多软件的整体功能要分解成若干模块完成，而且后一模块执行时，往往需要使用前一模块处理的结果，这一结果叫中间结果。如果只对软件本身进行静态分析，很难分析出这些中间结果，只有通过跟踪执行前一模块，才能看到这些结果。另外，在程序运行过程中，往往会在某一地方出现许多分支和转移，不同的分支和转移往往需要不同的条件，而这些条件一般由运行该分支之前的程序产生。如果想知道程序运行到该分支时最终走向哪一分支，不进行动态跟踪和分析是不得而知的。动态分析法把程序的一次执行作为分析对象，但是程序的一次执行并不能覆盖代码的所有执行路径，而大多数恶意程序代码往往存在多个执行路径。因此，一次动态分析可能发现不了恶意代码。许多学者对此提出了改进的方法，例如使用调试工具进行分析，但是这种使用人工干预的方法需要插入断点，会使动态分析法变得更加复杂从而降低分析效率[2]。动态分析法比静态分析法跟踪程序更加准确，但是动态分析法往往算法比较复杂，复杂的程序更容易成为恶意软件的目标。 　　1.3自动化分析工具 　　随着虚拟技术的出现，恶意软件也在不断推陈出新，许多恶意软件采用了加密技术、检测技术，当检测到有系统调试器时会隐藏自己的行为。学者提出使用一些自动化分析工具如CWSandbox、DyanmoRIO等对动态数据进行分析，当发现可疑程序后进行过程跟踪，分析程序行为，鉴别是否为恶意软件。该方法缺点是系统开销很大。 　　2云计算环境中恶意软件分析检测优势 　　云计算技术与恶意软件分析检测技术结合，可实现对恶意软件的快速分析检测。利用云计算服务的特点，采用虚拟化技术，在虚拟环境中运行可疑程序对现实系统不会产生影响，利用分布式计算同时执行多路分支检测，提高了效率。将虚拟技术与动态分析方法结合可对软件进行迅速、细致的分析。 　　云计算环境中计算资源分布在网络中，当遇到多分支语句时，云计算环境可以并行检测多个条件分支路径，不同于传统分析检测遇到多分支语句时，需要分析某一条语句后再回溯，减少了保存现场、恢复现场等系统开销，在时间性上优于传统的动态分析法[3]。因此，利用云计算环境的优势设计恶意软件分析检测方法势在必行。 　　3云计算环境中恶意软件分析检测系统设计 　　3.1分