第2 7卷 第 期 7
21 00年 7
月计算 机 应 用软与
件Cou e p i ansa d iSfw aemp t rAp lct o n ot r
oV_ 7 No7 l 2 .
J1 0
0u. 21
基
B 于P神 网络经的手 病 毒检 测机 法方
华威 梅张铭泉 (
北电力华学计大机科算与学技学术 院河北保 0 1定0 )703
摘
要
针 手机 病对 的毒日益 重, 严而机手病 毒测检术技成 不熟问的 ,题 出一了 新的手机种病检 测毒方法, 方法于基机手病 该
提毒
的作原理工和染方感式 ,B 把 P神 经网络 引入计算到病机毒防检范测 中 ,创 了基于建B P经神络网的手机病毒 检模 测,型通过 病毒
型映类射来 判断表毒类病 , 仿真型果表 结: 此方明法很能地检好测 已病 毒知, 未对病知毒也可 出一作 的检定测。 关键 词手机病毒 病 毒原理 BP神经 络网 病检测 毒
o
NoIB ME LH oN E Ⅵ URS PSE DETCEI To NABSED o N BP NEUR A LNET RKS Wo
Me Huia Zi n ihg u n w ea Mgn q a (c loC m e ucn en heoyoⅣ Ci Ea e r e U i orta i, 70 3H bi Cia h oS po tSi c Tdnlc 0 r e,a g nh l ctP wr n vs y B nn0 10 , ee ,n )h i eic d g
Abt a t rsc I wio h b ert ab l hn iu esg t n n r igay sr u u h e e t n t c n gl o u vrhs s i nv e fe p lo m ht tmo i o epv rs s i e tg i ce nsl e is bte d tc ie h ooy f r sc i e es iot o u
is m am e,u e e t ne ap o c rmo i h n i s si o p oe. h smhe d i ea tne wk opi cp e a dfic inm oe tl l itr anw dt i cp r h a bf l p e vore r p sdT i t osb s od rn il n re td o o eu s h o
o n lb h n i s si o t ue P n u a we r is t he e c n h ee t n b
o
l h n i s s tsu ee t mn eo f mo ip oe vr e , nr d c sB e r ln tok no t d f e ne a td detci f e uo mo i p o e vr e , sep da tc i d l e ou
f o i n ihss ae n B er oe kn , edt ete ov s sh og i ys a p g ael. i i ls ls o osm b lo ev u oe dos P n aun rs t d u gash p f e i r hvru p p i e Sbm utnr t h w r eu rbl w j r y tuu t m n tao e
a h sme t hd c p rn cl e e ht nw is s ad ib e tn h n wn n s etti x e t ht i t t o a fe td tc e k o nvre , n sa o fl td eu ko n e oo a c r n te n e .yt iua Ke owd y s Mo i r h n is s Vis i cp ep B r l ewe rs i s dVtc i nlbp o evr e e r u r ni l P nu a o kt u n r uee t
o ) 硬”等 ” 和伤 害 (毁 损M卡 、 S I芯片等硬件坏 )损 。例如信息短、
引 0 言
手 病毒是以手机为机击攻 目标的一 种计 算病机毒 式 , 形 它够 能手以网络和机计 算网机络平为台, 过 手通通机 信途径 , 手对 机 及以消息网短关 网等设络备进 攻击行 ,造成手机 异常 病 毒和 扩的 。散在 2 0 “00 亚洲年计算 机反 毒 大会 病 的”病 报毒 告 , 中
W PA服务 ,一方面 他确 们实能 我们带 给来便 , 方需只几按个键 就可以下载你 喜的爱铃声。一方另 , 也正面这些功 能, 可是写 以系入统或忆体 的指记 ,令破坏者 要只找缺出口, 传出一个 毒带 的 短 信 ,息A smb gr a n 以ms el P rmoig 改变统系的 内码机, y将令指
在藏忆体 中记 ,然开启后其它手机 电的话本, 大传肆播 病毒, 就能 够破坏
机手统。 系
仅两有例手病机 毒。到而 0 027 底手机年毒种病类达高数百种, 机病手毒在 正越以来快越的 速度生 。衍但一是直来很 以少有 人 对
动移端 的终息信全安投 以要必 关注的。随手着设持备日趋 开 , 操放作 统系 趋统日 ,一各
种接口标 准也 渐 渐统一, 这 一都切给 基 于据服务 数的机病毒手传播的带来了极 大方的 便由于手 。机 的 量数庞大, 来手机未病 毒成造危 害的度速 与程都度 大将 大地 超过以往 何时任 。因候 , 此对手病机毒 及 应对其 策略 行进分 析和 究 ,研 着有其极重要的意义和作用 。
2 手机 病 通毒用 程序 表 达
机手病 区别于正常程序仅毒在于其态动执行 过程 中具病有 毒递传性 而,当病毒 弃放感染 动 作 时,表现 为 个正一常的程 就 序 。 假设存一在个检测机手 毒病函数的 D tPt, e e() 检当到测程 序cP 有具染感 动作时 返回T 否U返回则 FLE。 RE ,A S用类 语c表示言如 :下 B
O END t (trg a P O L eAc Por m e)
1
手机 病的概毒述 手
病机原理毒和 算机病毒计一样 , 以是手机感染为对象, 以 移动
通信络和计 算机网网络 为 平 台, 通过毒短病信等形 式 ,对 手
iP感有动作染 )f (
{
/ 是P毒病者己或被病毒经感 ;染 /
R ue n TURE; rt
机进行击攻 ,造手成机异或常盗取人私息信 。 手机毒病有传具播 能功 可利,用 送发普短通 信、信 、 网 上 浏览 彩、 下载件软 、蓝牙 方式等, 实现 络网到机 、手或者 手机手机与 间传播之 。手机病 毒具有似计算类病毒机 的危害果后, 包 括 伤 害 ””软(
如机死、 关机 、 除删存 的资储料 、外发送向 圾邮件 垃 、打拨 话电
}
Ele s
R
u e nFL A tE rS
}
稿 收期 日0 8:—1 。梅华威0 20, 2 3—硕 士, 研 领主 : 数域据 库管与 理 息信统 系,决策 持支系统。
计算 机 用应软与件
}
2 100鱼
式: 中迭是次代数; | } j 是n习学度 速, 根可据需要择 0选到 之1问 如设计果如下病毒Q ,它能 根据D t t 函数P的 返回果 e c(结 e)
小数 的。多迭代次后若达到度精求则要输出结 。果否 回到则 , 步骤
( )2 继续迭代。
动态调
程序整行序列执, 那就么成 功能逃避 Dt eet函数的 检 测 c :
P a Q n .i m I tcD P!T U= ) (fe t(e) E R{
基4 于BP神 经络的网病毒检测 方
4 法 确 定1输入表 方示 案 .
在建立 个病一毒检 系统之初 测 ,必须对 系统的实 性用进行
取感 消染 动作; }
E s l e
{
规划 使之能满足,实工作 际需要的 。先利首用 些 一
自动序将程 计 机病算毒割成切符字碎片 ,这些 符字碎 片从是个 一练训本 样
集分中产析生的, 然再从后病毒 片碎提中取 系一 已存 在列和 同不样 , 无也法式形证明地意任序程P 两个的演程化 序 存和在示 表的毒特征 , 而病 些 这存在已 不和存在表示 的 毒病 特征 通又过系列 的一…和… 来表 示 , 中 1, ’’ 1 其 … 表示存0 , 在0’ …表
示 不存 在
传染;。
f
P
是等否 ,价 z 为因P P和 可 通过 调用判以断过程来 改 它变们 i z
运的 行 形 态 。
基
于B P神经网 络的病 毒 检系 测的输 统入 式模就是 : 先
首
3B 神P经 网络
采用 B P算训练多层法知感是器 当前应用 最广泛的神 经网 络。图 1 是 一个3 层 BP网 络, 中各矩阵的其阶都表数示其在 下方 ;1 层2的 练 训函 数第 、可选择 s im、ni 和 pr ii dt so a g ueg函n l
建一立个 字由符片组 成碎列的表 ,这 列个表包 要所有 含在的扇
区中存病毒的在特征 符字 碎; 片其要 清次除集合 的那中些 经常 出现独立在集的合没感被染 的 计机算程序 的病毒特征; 再次
从这要病毒些特征表 中分析 出每列个 一毒病的 毒特性 (病1 由 “
或… ”0 表 )示最形后成一 个 完全 病毒特 的表 , 中训征集练中 其; 每种毒病至 有 少种特四征在 存 ,其即值为 …。从 而 就 出 得B 1 ’P网 络行训练学进习 训练输的入本样集。图 2为 B P 神网络 的
经
, 数如何搭可根据具配体题问过通验而定 实 ;络网输入 量向 为 的维
数 , 为第l2层 络输网出 向量 的维数一般 地 , 层 B 、 网络P的 递关推系可述描 为 :
a+ = 1W + Ⅱ l / + ( m1+b + ()=n , ,, 1 一 ( ) ,1 1… 0 1)
病
毒测系统训练检程图。 流
切
式中 + 、m 。 +和 b n分+别示第表 +m + 、 W l层 络网训的函 练
割
三
切
割 成
三
分 析 以出
0
数 权、 值、 置值 和 络输网 ; 出 +=a 偏n + +6。 为第+ m+ 1 。 层 网络
的 净 入输 。
输人 工gg jD md0 兽线 层
性成
建 立
字 字 l 苷 节 裘 的 _ —的 — 示● . 病 病 毒 特毒 征
输 入 训 练 样 本
—
提
供 测 试 样 本
瑾
—
对■
手
机 瘸 毒 检
铡系
特 征
碎
特
征
碎
的
病
毒
蓥 网
络
本神
经
络 髓 测 试
统 建
立 完 成
片
片
特
征
练
j
2 1
。。 。 ^ 。。 。。 。。。 。。●。 _ 。。。。。。- L●。-, 。。。。。’__ - 。。。。。。 。 ●-
一图2
基 B 于P经神网络 病毒检的测统系练流程图训
=1 gsga P+ b ) o i ( 1
g = Pl n 2 ue i( q+ ) r
42
病 毒样 本训 练 .
在手 机系 统 , 以用中 病于毒检测 工作 的练训据数十 有 可
分
图1 P网络B
B P算法的步骤 为:
限。 而在有所 的利用可毒样本病中 , 还须必预留下 %5 的病 毒0
样 本 作为以 的测后试本 。样以所最终 B神P经 络存网在 一定误
(
) 将习样学本输 网入并 向络前播 ,传 1 网络 外部接从 受
输 入P 即有 :
a,:P 0 ( 2 )
是肯判定在存 ,的是 系 统该 把应 判误控制在 一定范 之 内。围 但 外另一个于训基数练据的题问 是每个一合 法程的都应序该由 一
列… 系成 的输组 模入 式来 表。示因此 , ’0 如果其 的中任 一何个 的 分量为 正”“ ,则将 被认会为 被是 病 毒染感。然 显, 样将会 这
() 使 用 (式 2 1) 计算网 的络各层出。输
(将) 络 网实 的输际出 与a目标输 出 t较 比 未,到 3得相
期望若的 出则通输过感度计敏算公式将敏 感 度s 反传播向 。敏感
是度络网的实输 出际与 目标输之间的出方均对 网差络入输变化
致导诊 断异常, 就是那一个当 法合程序 产生 了一 个错的误 的正 的输入
量 分 , 神经网时络会 产将生一个误“ 肯定 ” 即。认为这个
的
感性敏, 其计式 为 :算
= F ( + + ( M=一1M 一 2 …, ) () n) iI m , , 1 3
合法
序程被病毒是感 染的 解决这 。个问题办 :法通 过 学习练训
认时为只 含一个包 “ l” 而它其的 征 都特是 “ ”0 的 情下 况我们 仍
然
认为合是法 的序程 。这就样使任得何个一 单的一… ’1 特是征 能不定其断否被感染。 是
中式 (表)示第 m 层网络 习函学对数输 净 的入一 阶 导
34 毒分病 以类 病及毒试 .
在进行样测本练的同时 , 训通过一定的 编规则码使得输 出 结
果不 能 检 测仅 病出 毒 存的在 且 能,够 指 出 病毒 的 型 。类然 后并根 病据毒 的 类 型 提出相应 的 处理方 法。
数
标准阵矩 。
( 使用近似的)最速 下法迭 代更新权 降值 和 偏置值 b 4,它们 的初始值随机选为 的取任小意 。数 (
k+ =1) ( ) 一 ∞a ) k ( ( )5 ( ) 6 ( b+1k b k=) () 一 s
a我们 通
在过本 样 练训 中入引病 毒类 映型 表射, 使得 神 B
P 下转第 ( o页 ) o 3
3
o0
计
机应算用 与软 件
社 ,0 6 2 .
0210 年
位0端口 及 以 61位协议志等标构成 L=9 6的二制进串呈抗提 , 原
采用 r 连续位配匹方计算 法和亲力( =8, r) 取选 初 始自体合集
大小 = O4 。 次每 网上从获 捕10 I个 , I行进预处 理, P0包对 包P 将 变其 换为测系检统理的处原抗式 。系格统的误 率记警 F 为 。 P
[ 5]涛李 计.算机疫免 学[ .E: M ] j 电京工业 出版社子 0,. 2 4 0 [ 6 闫]巧, 江勇, 吴 建.平 基于免疫机 的网理络侵入 测检系统 抗体 的生
与检成测组 [ ]计算件 机报 学0, 5,99 :55—1 . J2. 20 2 ()1 51 2
在F
值P 的 对比实 验中 ,取采 方的是每 法0个数据1包中夹 0
杂4 O个 自体, 中 2其O个 自为新体近定 ,义 即前以 2 O个 这 PI包 被认为是不 正常的网 络 为行, 现在 被 认为它们 是正常 的 但 ( 比
[7]鲁云 平 宋, 军,雪 梅. 于 疫 的免络网入检侵 测算法 进改 [ 计] 姚 基J .
算科机 学0, 8 ( 3 )5ll一8 0 ,2 5 :9 l1
如.有 2网端络 刚口被 打 开以供 的提务服 )以观 F察0 ,个 值P。
由系于统参数结果影对响很大 , 过经复的比较实反验 , 最选终定 了一参数组: = A0= , 74 天 = 8小, 。时组这 数组参合 在 保证4 较了检测率 的前高 提下, 尽 可P 的低 能, 以到 2 2 % 达 可 F5. 左 ,右 系统表现定稳具体结。如果 图 1 所且 。示
( 上接
第 24页 ) 8
经络网洲练在 中建立这 么起 种映一射 系 关,以 通编码 过方式 的达到病对分毒类的能功。然后通 测过样试本证病毒验型类映射
表的正确性 之。就可 后在以 毒病检 中测得 病 毒的出型 , 类 可并
以
根病毒的据类型给一定出处的理意见。 在 练训中用使是 B 的神经 P络网, 由于 毒病本 样不完的整, 因此
用B P经网络来神进 的行测检学习 只能达 7到 % 一 %的8 5 5 确率。准
结 5束语
基 神于经络 网的毒病测 检统系技术已经 在内外的国些一
型的大
杀毒防 软件 中得到应用毒 , 由于手机病 毒现不久 ,出还 有没
1 选定最优图数后参 FP 值
较完善 的比防系范 统,手 机病毒的种类 以 防范及 没有还完 善 对的策 略,于 B 基 P经神 网络 的手 机病检毒测 略可策以发现 大 部分 已知毒病, 对并已知 毒病 的变种 未知病及毒 的检上作 测 出 了一
为
便于了 比较 , 用 了 采3开放 源个代码的 I系S 统:rn、D o S t
B oDa oS 共 用 选5时天间测 , 试r, rng , I D各检测的误器警率如表 l所 示从表 中可。以 看出 ,本 算 法文 的 误率较警低。主 要 原因 在于 :测 集合动器态改变, 检 经一段 时过间学 的后 习 以识别 可,
新 的种探索。
参
考
文
献
多的变更化自体 , 大大降 低 误警率了 。 表 1 各检
测 误 警器率 对 比 表
[]马 平,1 王英 .敏 遗传于优化 经神络网的故 诊断障 研究[ ]微 计 基 J. 算机 息信, 0 ,() 1 2 1 33 7271 :1 —4 ,. 0 0 4 0 [ 2姜楠.] 手机病与防毒 护 []计机安算 ,全 0 (2 : — 1J. 2 41 ) 65. 0 8 []3王世安.手机病 原理毒防及 范 [] 连轻工大 学院学报 业 , 0 , . J 42 02 3( ):
7. 7 41 —7
4][孙杰 戴,月. 于基传遗 经神络网 入的侵 测检系统设计 [ ]微计 算.
机信息,J 770 3 0:20 , )( 1—51 0. [5]7李雪 平 汪,兰晓. 于B 基P 经 网络 神图的书 馆络网 病检毒测方法
[
] 农图业情书报刊学 ,0 ,(1 : — 4 .J2 5 1 1 )1 1. 0 7 0 6]孔维[.广手 病毒机的 播传 理原 与策 分析 [ 对 武 ]科汉 学技学 院 .
J ,0报,0 7 :9—9 .520 2 ( )4 2
5 结
论
侵入测系检的统警可报信 题问 一直 一个是研 究热点, 警 误
( 上接第 2 7页 ) 9 时极大 地降 了额外 的网低传络输数 据量。针对 网 不稳络 定 中、
率
高较大地影极响 了检测果 结可的信。性 借鉴入检侵 系测统与 生物免系统疫 的似性 相,本 提文出了一种基于人工 疫免想思 ,检 测器集 (合 常系正轮统廓) 态动新 ,更降 误警率低 方法 的理论 。 析和仿 分对真比 实 表明 验 本算 法可 ,有以效 降低误警 。算率法 经适当过变的 , 也可化以用 于适其 的它异检测常题问 。
断等 场
,景特 别 计 了设第 方 心跳 三协议转发 、 MP传 送特 等S T性,
别特用适 于络不网稳 定环境 。此的
外 , 统 系 于 S基 框F 该 O
架
及以件架插设构 计,以方 地 进便行 性的特态 动扩。展系 可该
在统际应用中实运稳行定 ,表现 良好。
参
文
考
献
参
考
文
献
1 [闷巧 ,]喻建平 , 维信谢. 入 侵测检 系统的可 问题 信[] 计 机研算 究 J.
发与展,0 34 ( )012 ,008 23:—01 . 2 8
[
Rc] aS v sU I1 ri W e .e NX网编程络, ( hd卷t n 1 接套 A I 口X O 传e P / pn 和 接输 口A [I . P) M ]清华 学出大版 ,社9 . 1 99 [ 2R]a c t esU Ii rW S v n .N网X编络程, ( h e 2卷d进 程间 通信) ]M清 [华
大学. 出 社 ,版 0 00 .2
[
]2 oCa t i oasto Pt a Wat ao g . e apoo h how lTng n i u,i w ta p nn sA vl u r cp i n u br a e a t
cps - e an so r dc tni s e so e rs bs d itu n eie t ty u i m g d se n eq ii o s nra e ue c t nfe
s t
at a i bdub toprC / IE 0 ,023 t e u m t w tion y r[e ]/ P 0 3C2 0 . a oah n l e
[ 3]D ul
cm ,dthn D Hsn + co sgSh i S p e ut. 网+编 程络 卷,( act e o 1 运 用 A和模式E消复杂性除) M .中 科大学技 版社出 ,0 .C[ ]华 23 0 [ 4]D a CSu hi ,thnD H sn C +网+络 编程, go s c mdS p e ut .l t e o2( 卷于 基 A E和框架的统化复用 系)M . C[ ]子电工 业版出社 , 0. 24 0
[
]李涛. 3基免疫于 网的络监 模 型控[]计 机算 报学 。062( )J. 0 2,9 9 :l1 5
5— 12 5 2 .
[
4杨义先 ] ,钮心 忻 侵检测 理.论与 术 技 .[入 M 北]京: 等 育教出 版
高