42、多态蠕虫签名生成与云存储访问策略优化

多态蠕虫签名生成与云存储访问策略优化

多态蠕虫签名生成

在网络安全领域，多态蠕虫的检测和签名生成是一项重要任务。下面将介绍相关的签名生成方法和算法。

1. 基本定义与匹配分数计算

首先，有一个关于序列匹配分数的定义。设 (t) 是序列 (Q) 中起始位置为 (a)、长度为 (w) 的子串，其匹配分数 (R(Q, a, w)) 表示为：
[R(Q, a, w) = \frac{1}{w - 1} \sum_{p = 1}^{w - 1} \log \frac{f(p, d_{a + p, a + p + 1})}{f}]
序列 (Q) 的匹配分数 (\Theta) 定义为：
[\Theta = \max_{a = 1}^{l - w + 1} R(Q, a, w) = \max_{a = 1}^{l - w + 1} \frac{1}{w - 1} \sum_{p = 1}^{w - 1} \log \frac{f(p, d_{a + p, a + p + 1})}{f}]
其中，(f) 可设为 (\frac{1}{255})，但为了区分蠕虫序列和正常流量，将 (f) 设为正常流量的邻居距离分布。(f(d)) 表示邻居距离 (d) 的出现频率，通过计算每个邻居距离的出现频率构成 (f(d))。

以下是一个 (w = 10) 时的 SNS 示例表格：
| (d) | (p = 1) | (p = 2) | (\cdots) | (p = 9) |
| — | — | — | — | — |
| (0) | (f(1,0)) | (f(2,0)) | (\cdots) | (f(9,0)) |