基于模糊推理的程序恶意性分析模型.docxVIP

基于模糊推理的程序恶意性分析模型 1 基于模糊推理的程序恶意性分析模型 20世纪80年代，傅岗博士指出，“计算设备的有害性无法得到准确评估。”。 然而, 采用经典布尔逻辑无法描述“2个程序之间有多相似”等一类带有模糊性的命题, 传统的信息处理方法也无法对“2个程序具有某种程度的相似性”这一模糊信息进行直接处理。 为此, 本文提出了一个基于模糊推理的程序恶意性分析模型。该模型利用模糊集理论对模糊概念的描述能力, 用概率的方法建立模糊规则, 并把这种规则型模糊推理用于未知程序恶意性的定量分析, 最终实现对程序恶意性的近似判定。 2 分析结果对比 早期的模糊理论主要应用于匹配搜索、军事评估 本文提出的方法与以上方法都存在一定程度的不同。首先, 本文需要建立一组模糊推理规则, 对程序恶意性分析的结果是由建立的规则通过合适的模糊推理算法计算得出。其次, 本文选取的恶意特征并不局限于单一的API调用序列特征, 而是将文件格式异常、可疑指令序列等特征也纳入到分析的范围内。再次, 本文中对未知程序的恶意性分析是静态完成的, 因此从一定程度上可以认为分析涵盖了程序的全路径。最后, 本文实现了一个基于模糊推理的程序恶意性判定原型系统, 该原型系统对程序恶意性的判定能力, 可以从一定程度上验证本文所提出方法的可行性。 3 模型设计 3.1 程序恶意性特征提取 首先给出与模糊子集定义如下。 定义1 (模糊子集) 所谓给定论域U上的一个模糊子集A, 就是给定论域U到区间[0, 1]的一个映射, 且有 映射μ 接下来, 定义程序恶意性分析的相关论域如下。 1) 论域U为表征可执行程序恶意性的恶意特征集合。若设能够反映程序恶意性的特征有m类, 则有U={u 2) 论域V为程序恶意性模糊分类集合。若设根据程序恶意程度的不同而定义的模糊分类集合的个数为l, 即有V={v 给定程序全集论域P, 未知程序x, (x∈P) 。程序x的恶意性可用模糊子集{S 程序x的恶意性分析结果可用模糊子集{T 根据以上描述可以建立基于模糊推理的程序恶意性分析 (FRMA, fuzzy-reasoning based maliciousness analysis) 模型。FRMA模型的输入为表示程序恶意性的特征向量S 3.2 优化算法设计 求解多重多维模糊推理问题的基本步骤主要有以下3步 第1步, 采用点火法 定义2 (模糊幂集 定义3 (贴近度 (3) 当A?B?C时, q (A, C) ≤q (A, B) ∧q (B, C) , 则称q为F (U) 中的贴近度, 称q (A, B) 为模糊集A与B的贴近度。 定义4 (择近原则 第2步, 采用单重多维模糊推理算法完成FRMA模型中对程序x的恶意性分析结果T 已知:R 求解: (T 其中, R 实现以上推理过程的已有方法主要有CRI方法、三I方法等, 不同的解决方案又存在多种不同的推理算法。目前, 在模糊控制领域中使用较多的有E.H.Mamdani提出的基于CRI方案的Mamdani算法、Mizumoto的模糊推理算法等。考虑到Mamdani算法应用的广泛性, 本文在设计FRMA模型的模糊推理算法时重点研究了CRI方案中的Mamadani算法, 并基于该算法设计、实现FRMA模型中的单重多维模糊推理算法。 第3步, 按照最大隶属原则, 从隶属度分析结果中得出程序x恶意性的近似判定结果。最大隶属原则的定义如下。 定义5 (最大隶属原则) 设U为论域, A={A 以上求解过程的实现, 需要设计并实现相关的贴近度算法和模糊推理算法。此部分内容将在模型实现中介绍。 3.3 恶意性判定模块设计 按照经典的模糊推理机模型, 构造用于实现程序恶意性分析的模糊推理系统, 其系统结构如图1所示。该系统中各个模块的主要功能如下。 恶意特征识别模块的主要工作是完成模糊化工作, 即载入待分析可执行程序, 采用反编译手段获取恶意特征识别模糊量S 模糊推理机的主要工作是根据恶意特征识别模糊量, 以及由已知恶意性分析经验得出的模糊推理规则, 通过模糊推理算法的计算, 得出恶意性判定模糊量T 恶意性判定模块是完成反模糊化工作, 即根据恶意性判定模糊量, 按照预先设计好的判定规则, 得出程序的恶意性近似判定结果, 并向分析人员或用户提供处理建议; 规则库用于存储以上模块中需要用到的规则信息; 数据库则用于存储以上模块中需要用到的静态数据等信息。 4 模型完成 4.1 模糊南通系统优化方法 Radux原型系统中选定7类特征来表征程序的恶意性, 即S 程序装载阶段完成对程序文件格式的分析与加载工作, 并根据分析结果对S 由于恶意代码编写者常采用混淆或其他变形方法来隐藏其函数调用行为, 因此从恶意程序中提取的API序列与特征库中的序列有可能并不能完全匹配。为了解决这