基于模糊推理的程序恶意性分析模型

基于模糊推理的程序恶意性分析模型

1基于模糊推理的程序恶意性分析模型20世纪80年代，傅岗博士指出，“计算设备的有害性无法得到准确评估。”。然而,采用经典布尔逻辑无法描述“2个程序之间有多相似”等一类带有模糊性的命题,传统的信息处理方法也无法对“2个程序具有某种程度的相似性”这一模糊信息进行直接处理。为此,本文提出了一个基于模糊推理的程序恶意性分析模型。该模型利用模糊集理论对模糊概念的描述能力,用概率的方法建立模糊规则,并把这种规则型模糊推理用于未知程序恶意性的定量分析,最终实现对程序恶意性的近似判定。2分析结果对比早期的模糊理论主要应用于匹配搜索、军事评估本文提出的方法与以上方法都存在一定程度的不同。首先,本文需要建立一组模糊推理规则,对程序恶意性分析的结果是由建立的规则通过合适的模糊推理算法计算得出。其次,本文选取的恶意特征并不局限于单一的API调用序列特征,而是将文件格式异常、可疑指令序列等特征也纳入到分析的范围内。再次,本文中对未知程序的恶意性分析是静态完成的,因此从一定程度上可以认为分析涵盖了程序的全路径。最后,本文实现了一个基于模糊推理的程序恶意性判定原型系统,该原型系统对程序恶意性的判定能力,可以从一定程度上验证本文所提出方法的可行性。3模型设计3.1程序恶意性特征提取首先给出与模糊子集定义如下。定义1(模糊子集)所谓给定论域U上的一个模糊子集A,就是给定论域U到区间[0,1]的一个映射,且有映射μ接下来,定义程序恶意性分析的相关论域如下。1)论域U为表征可执行程序恶意性的恶意特征集合。若设能够反映程序恶意性的特征有m类,则有U={u2)论域V为程序恶意性模糊分类集合。若设根据程序恶意程度的不同而定义的模糊分类集合的个数为l,即有V={v给定程序全集论域P,未知程序x,(x∈P)。程序x的恶意性可用模糊子集{S程序x的恶意性分析结果可用模糊子集{T根据以上描述可以建立基于模糊推理的程序恶意性分析(FRMA,fuzzy-reasoningbasedmaliciousnessanalysis)模型。FRMA模型的输入为表示程序恶意性的特征向量S3.2优化算法设计求解多重多维模糊推理问题的基本步骤主要有以下3步第1步,采用点火法定义2(模糊幂集定义3(贴近度(3)当A⊆B⊆C时,q(A,C)≤q(A,B)∧q(B,C),则称q为F(U)中的贴近度,称q(A,B)为模糊集A与B的贴近度。定义4(择近原则第2步,采用单重多维模糊推理算法完成FRMA模型中对程序x的恶意性分析结果T已知:R求解:(T其中,R实现以上推理过程的已有方法主要有CRI方法、三I方法等,不同的解决方案又存在多种不同的推理算法。目前,在模糊控制领域中使用较多的有E.H.Mamdani提出的基于CRI方案的Mamdani算法、Mizumoto的模糊推理算法等。考虑到Mamdani算法应用的广泛性,本文在设计FRMA模型的模糊推理算法时重点研究了CRI方案中的Mamadani算法,并基于该算法设计、实现FRMA模型中的单重多维模糊推理算法。第3步,按照最大隶属原则,从隶属度分析结果中得出程序x恶意性的近似判定结果。最大隶属原则的定义如下。定义5(最大隶属原则)设U为论域,A={A以上求解过程的实现,需要设计并实现相关的贴近度算法和模糊推理算法。此部分内容将在模型实现中介绍。3.3恶意性判定模块设计按照经典的模糊推理机模型,构造用于实现程序恶意性分析的模糊推理系统,其系统结构如图1所示。该系统中各个模块的主要功能如下。恶意特征识别模块的主要工作是完成模糊化工作,即载入待分析可执行程序,采用反编译手段获取恶意特征识别模糊量S模糊推理机的主要工作是根据恶意特征识别模糊量,以及由已知恶意性分析经验得出的模糊推理规则,通过模糊推理算法的计算,得出恶意性判定模糊量T恶意性判定模块是完成反模糊化工作,即根据恶意性判定模糊量,按照预先设计好的判定规则,得出程序的恶意性近似判定结果,并向分析人员或用户提供处理建议;规则库用于存储以上模块中需要用到的规则信息;数据库则用于存储以上模块中需要用到的静态数据等信息。4模型完成4.1模糊南通系统优化方法Radux原型系统中选定7类特征来表征程序的恶意性,即S程序装载阶段完成对程序文件格式的分析与加载工作,并根据分析结果对S由于恶意代码编写者常采用混淆或其他变形方法来隐藏其函数调用行为,因此从恶意程序中提取的API序列与特征库中的序列有可能并不能完全匹配。为了解决这类序列的比较问题,Radux原型系统中采用了模糊模式识别的方法。首先,采用LD4.2可疑程序集cRadux原型系统中定义了3种程序恶意性模糊分类集合,即V={v首先采用贝叶斯算法对训练集中的程序进行训练以获取程序隶属于集合C和由贝叶斯算法性质可知,接下来求解程序y隶属于可疑程序集C的程度。令最终,通过式(2)、式(3)和式(4)的计算,可由样本程序y得到一条模糊推理规则如下:对样本集中的样本程序按照以上步骤进行训练,对规则前件相同的规则予以合并,将最后得到的模糊推理规则存储到模糊推理规则库中。4.3征s的模糊逻辑处理假设按照4.2节中介绍的方法得到模糊推理规则的条数为n。将待分析的恶意性特征S本文选用最大最小法则最大最小法的计算式为其中,运算符“∧”为逻辑与操作,运算符“∨”为逻辑或操作。按照模糊逻辑中的常用方法,用min()函数处理逻辑与操作,用max()函数处理逻辑或操作。取矩阵A为由S若令C4.4不同方法处理的程序恶意性模糊分类问题由模型求解步骤可知,模糊推理的实现需要设计适用于程序恶意性分析的单重多维模糊推理算法,该算法主要实现式(1)的求解。在CRI方案下模糊推理算法主要由2部分组成:关系合成运算“→”和推理合成运算“◦”。在单重单维的Mamdani算法中,关系合成算法取为“∧”运算,推理合成算法则取为“∨-∧”。实现单重多维的Mamdani推理算法则主要有3种:Zadeh法、Tsukamoto法和Sugeno-Takagi法。这3种方法的最大不同在于降低模糊推理求解的维数时所采用的方法。由于本文所分析的7类恶意特征相互之间具有一定的独立性,从这些相互独立的特征中选取隶属度最小者代表所有恶意特征的方法,会忽略其他恶意特征对程序最终的恶意性模糊分类结果的影响。因此,Zadeh法中通过求笛卡尔直积来降维的方法并不适用于对程序恶意性分析问题的求解。在Tsukamoto法和Sugeno-Takagi法中,式(1)中的(S通过实验可以发现,现有Mamdani算法中通过“∧”运算实现关系合成的方法容易得出与事实不符的分析结果。经过对多种蕴涵算子的尝试后,本文最终选用Lukasiewicz蕴涵算子实现关系合成运算。设已提取待分析程序x的恶意性特征量为SR则实现由S1)取Lukasiewicz蕴涵算子为关系合成算法的模糊蕴涵算子,即R在实现Radux系统时,关系合成运算由7×1阶矩阵(S2)取推理合成运算算子“◦”为“∨-∧”。推理合成运算由1×7阶矩阵(S其中,上述计算过程中,运算符“∧”和运算符“∨”对应的运算函数与4.3节中的定义相同。4.5模糊分类集的生成通过式(7)、式(8)和式(9)可得程序x对模糊分类集v1)若μ(x)=μ2)若μ(x)=μ3)若μ(x)=μ5系统程序恶意性检测能力实验用样本程序共有7155个,其中一部分是WindowsXP首次安装后,系统盘Windows目录下全部PE文件、以及正版应用软件中随机采集的各种文件共3583个;另一部分是在网络上通过多种途径收集到的病毒代码共3572个。将所有实验用程序按照9:1的比例随机划分为训练样本集和测试样本集(2个集合不相交),训练样本集中的程序用于生成模糊推理规则,测试样本集用于测试系统对程序的近似判定效果。为了便于对实验结果进行分析,本文做以下定义:恶意程序被判定为恶意程序的情况,称为TP(truepositive);正常程序被判定为正常程序的情况,称为TN(truenegative);正常程序被判定为恶意程序的情况,称为FP(falsepositive);恶意程序被判定为正常程序的情况,称为FN(falsenegative)。测试指标一般包括检测率、误报率以及结合检测率和错报率的整体检测精度,其计算方式分别为本实验中由以下2个指标评测Radux系统对程序恶意性的判定能力。1)病毒变种检测率P2)可疑代码判定率P首先,使用Radux原型系统对测试样本集合中的715个程序进行检测,程序恶意性分析结果如表1所示。其次,为了检测Radux系统对病毒变体的检测能力,另从VXHeavens网站上收集了135类病毒变种,共681个病毒程序进行了测试,测试结果如表2所示。以上2部分实验的测试结果表明,Radux在检测率和检测精度上与主流的杀毒软件瑞星和诺顿相比具有一定的优势,并且具备良好的病毒变种检测能力。该实验结果也从一定程度上验证了本文中提出的恶意性分析模型的可行性与有效性。6基于模糊推理的程序恶意分析由于模糊推理在处理不精确、不完全或不完全可靠信息方面的优势,本文提出了一种基于模糊推理的程序恶意性分析模型FRMA,并在此基础上,设计并实现了一个可执行程序恶意性分析原型系统Radux。实验结果表明,该系统能够定量分析未知可执行程序的恶意性,检测已知病毒的成功率较高,对病毒变体也具备较好的检测能力。由于模糊推理系统的工作效果和效率与模糊推理算法的选择是否满足问题研究的需要有很大关系,因此,本文的下一步工