一種基于概率訓練的病毒檢測模型

摘 要:特征代碼反病毒系統已經不能適應當前計算機病毒的檢測要求，行為檢測法將取代特征代碼法。在對病毒惡意行為進行簡要分析后，將狀態跳轉法應用到病毒的行為監測，提出基于概率訓練的病毒檢測模型。給出單個惡意行為和連續惡意行為病毒概率訓練的具體方法，分析病毒概率閾值訓練的過程，以此實現病毒判斷算法。通過實例分析、檢測結果驗證基于概率訓練的病毒檢測模型的有效性。

關鍵詞:病毒; 檢測模型; 形式化; 概率訓練

中圖分類號:TP309.5文獻標志碼:A

文章編號:1001-3695(2010)06-2316-05

doi:10.3969/j.issn.10013695.2010.06.092

One virus detection model based on probability training

CHEN Danweia，b， LIU Jieb， SUN Guozia，b， HAN Junb

(a.Institute of Computer Technology， b.College of Computer， Nanjing University of Posts Telecommunications， Nanjing 210003， China)

Abstract:Characteristic code antivirus system can no longer meet current computer virus detection demand and will be replaced by the behavior detection method. With a brief analysis of virus abnormal behavior and an application of the state transition method to the virus behavior detection， this paper proposed the probability training based virus detection model. Implemented the virus judgment algorithm with a concrete virus probability training procedure of both single and continuous abnormal behavior， and a training procedure of virus probability threshold. The probability training based virus detection model proves to be effective with reliable case analysis and detection result verification.

Key words:virus; detection model; formalize; probability training

隨著互聯網的廣泛應用，計算機犯罪變得猖獗起來，對社會造成的危害也越來越嚴重。計算機病毒與一般計算機程序不同，它一般具有傳染性、非授權性、隱蔽性、潛伏性、破壞性、不可預見性等特征[1]。目前檢測計算機病毒的方法大致有四種，即特征代碼法、校驗和法、行為監測法和軟件模擬法。這些方法依據的原理不同，實現時所需代價、檢測范圍不同，各有所長[2， 3]。

目前，特征代碼反病毒系統仍然是使用最為廣泛的反病毒系統，但該系統越來越不能滿足殺毒的需要，主要有兩個原因:a) 病毒程序越來越多，甚至有些病毒程序有很多變種，特征庫的記錄條數達到了數十萬條級別;b)操作系統和一些應用程序包含的文件越來越多，掃描一次操作系統需要相當長的時間。病毒檢測相關研究和實踐中，行為識別已經成為趨勢，行為監測法將取代特征代碼法。

1 病毒惡意行為的分析

任何程序要達到它的目的總是通過行為來實現，不管病毒偽裝得多巧妙，它總存在一些與一般程序不同的行為。

對于病毒惡意行為的檢測本質上是進行模式識別，包括模式的表示和識別方法。因此，通過對計算機病毒典型的惡意行為進行形式化描述，找到計算機病毒存在的關鍵信息是必要的。

目前對于計算機病毒的典型惡意行為形式化描述主要有兩種方法，即分類法和語義網絡法[2]。總結參考文獻的相關介紹，這兩者都具有各自的優點:分類法簡單實用，能很好地對病毒的惡意行為進行分類(圖1);語義網絡法便于用面向對象方法形式化地描述病毒的典型惡意行為(圖2)。但兩者都具有致命的缺點，分類法無法描述同類惡意行為的區別，而語義網絡法在不同病毒種類的惡意行為間存在交集關系，當出現某個多種病毒都具有的惡意行為時，病毒檢測引擎不能判斷該惡意行為屬于何種病毒種類。

2 基于概率訓練的病毒檢測模型

計算機病毒程序本質上是計算機程序，在它運行時處于一種動態的狀態。在計算機病毒程序運行的過程中，當出現一個新的惡意行為時，它會變遷到一種新的狀態。通過以上分析，可以對計算機病毒程序進行形式化建模，建模的具體過程參見文獻[4]。

狀態跳轉的形式化描述方法是基于病毒程序本質的，它既消除了分類法的簡單性，又消除了語義網絡法的二義性，能夠很合理地形式化描述病毒的惡意行為，同時它又是動態的，可用來動態地描述病毒程序。隨著惡意行為被采集，計算機程序從當前狀態跳轉到下一個狀態。

隨著互聯網的發展，病毒數目正以幾何級數激增，傳統的特征代碼反病毒系統已經不能滿足需要，行為監測反病毒系統成為必然的趨勢。本文將狀態跳轉法應用到行為監測法上，建立了一個基于概率訓練的病毒檢測模型。

反病毒系統模型主要考慮特征庫及其訓練、惡意行為采集方法、病毒判斷算法以及病毒響應等五個問題。限于篇幅，本文重點討論特征庫的訓練以及病毒的判斷算法。

2.1 特征庫的訓練

2.1.1 惡意行為權值設計

狀態跳轉法既能合理地形式化描述惡意行為，又將計算機程序看成是動態的，隨著惡意行為被采集，計算機程序從當前狀態跳轉到另一種新的狀態。在設計惡意行為權值時，既要能夠反映計算機病毒存在的關鍵性信息，又要具有動態性，隨著惡意行為被采集，計算機程序總的權值會根據當前惡意行為的權值以及一定的算法實現跳轉。

貝葉斯復合算法是基于概率的一種算法，是偉大的數學大師Bayes所創建的[5， 6]。當一系列的不確定性現象出現時，貝葉斯復合算法能夠根據各個不確定的現象的概率分布求出總的概率分布。將貝葉斯復合算法應用到病毒判斷算法中，能夠根據各個惡意行為的病毒概率求出可疑程序的病毒概率，同時當新的惡意行為被采集時，能夠動態地根據可疑程序的當前病毒概率和當前惡意行為的病毒概率計算出新的可疑程序的病毒概率。

2.1.2 連續惡意行為對病毒概率的影響

行為監測反病毒系統檢測可疑程序，發現可疑程序執行了一個病毒程序所獨有的惡意行為，此時行為監測反病毒系統將不管之前可疑程序執行了什么惡意行為，哪怕之前可疑程序沒有執行任何惡意行為，均判定該可疑程序屬于病毒。在可疑程序的生命周期中，只要行為監測反病毒系統檢測到可疑程序執行了病毒程序所獨有的惡意行為，就會判定該可疑程序屬于病毒。

如果在檢測過程中，發現可疑程序的惡意行為都是一般程序和可疑程序都具有的惡意行為，使用貝葉斯復合算法求出可疑程序總的病毒概率。

2.1.3 單個惡意行為的病毒概率的訓練

單個惡意行為的病毒概率訓練方法如圖4所示。

1)收集大量的病毒程序和一般程序，建立病毒程序集和一般程序集。

2)用行為監測反病毒系統檢測并統計各個惡意行為出現的次數。按照上述方法分別處理病毒程序集和一般程序集中的所有程序。

3)每一個程序集對應一個哈希表，hashtable_virus對應病毒程序集，而hashtable_normal對應一般程序集。表中存儲惡意行為的形式化描述到出現次數的映射關系。

4)計算每個哈希表中惡意行為出現的概率P=(惡意行為出現次數) / (對應哈希表的長度)。

5)綜合考慮hashtable_virus和hashtable_normal，推斷出當行為監測反病毒系統檢測到可疑程序的惡意行為時，該可疑程序為病毒程序的概率。

形式化描述如下:

使用Pvirus表示病毒程序所占比例，Pnormal表示一般程序所占比例，有Pvirus+Pnormal=1。

A事件表示可疑程序為病毒程序，t1， t2， …， tn代表惡意行為。P(A|ti)表示在A事件中出現惡意行為ti時，該可疑程序為病毒程序的概率，設:

P1(ti) = (ti在hashtable_virus中的值)

P2(ti) = (ti在hashtable_normal中的值)

則P(A| ti)=P1(ti)×Pvirus/[ ( P1(ti)×Pvirus+P2(ti)×Pnormal]。

6)建立新的哈希表hashtable_probability_one存儲惡意行為ti到P(A| ti)的映射。

7)至此，病毒程序集和一般程序集的學習過程結束。

舉例如下:

如果某病毒程序在所有程序中所占比例為0.5，一個病毒程序A具有惡意行為序列:修改注冊表啟動項，ms06040溢出，殺死天網防火墻進程。一個一般程序B具有惡意行為序列:修改注冊表啟動項。

根據病毒程序A生成hashtable_virus，該哈希表中的記錄為:a)修改注冊表啟動項一次;b) ms06040溢出一次;c)殺死天網防火墻進程一次。計算得出在本哈希表中:a)修改注冊表啟動項出現的概率為0.333;b)ms06040溢出出現的概率為0.333;c)殺死天網防火墻進程出現的概率為0.333。

根據一般程序B生成hashtable_normal，該哈希表中的記錄為:修改注冊表啟動項1。計算得出在本表中:修改注冊表啟動項出現的概率為1。

綜合考慮兩個哈希表，共有三個惡意行為，即修改注冊表啟動項、ms06040溢出和殺死天網防火墻進程。

當惡意行為中出現修改注冊表啟動項時，該可疑程序為病毒程序的概率為

Pa=0.333/(0.333+1)=0.250

出現ms06040溢出時的概率為

Pb=0.333/(0.333+0)=1

出現殺死天網防火墻進程時的概率為

Pc=0.333/(0.333+0)=1

由此可得第三個哈希表hashtable_probability_one， 其數據為:a)修改注冊表啟動項0.250;b)ms06040溢出1;c)殺死天網防火墻進程1。

當一個可疑程序的惡意行為序列為修改注冊表啟動項，修改注冊表啟動項，可得到兩個惡意行為，即修改注冊表啟動項和修改注冊表啟動項，查詢哈希表hashtable_probability_one可得:

P(病毒程序|修改注冊表啟動項)=0.250

此時該可疑程序為病毒程序的可能性為

P=(0.250×0.250)/[0.250×0.250+(1-0.250)×(1-0.250)]=0.1

2.1.4 連續惡意行為的病毒概率的訓練

前面已經討論過可疑程序單個惡意行為的病毒概率，在可疑程序的生命周期中，如果行為監測反病毒系統發現可疑程序執行了病毒程序才有的惡意行為(也就是病毒概率為1的惡意行為)，行為監測反病毒系統將會判定該可疑程序為病毒程序。如果在可疑程序的生命周期中，行為監測反病毒系統始終沒有發現可疑程序執行病毒程序所具有的惡意行為，而只是執行了一系列病毒程序和一般程序都具有的惡意行為，行為監測反病毒系統將會使用貝葉斯復合概率公式求出可疑程序的病毒概率，當可疑程序的病毒概率超過預定閾值，行為監測反病毒系統會判定該程序屬于病毒程序。

以上過程可疑程序的各個惡意行為被看成是毫無關系的，實際上病毒程序是由具有相對穩定的模塊組成的，而這些模塊是由一系列順序相對穩定的惡意行為組成的，如病毒程序傳染部分一般會執行遍歷硬盤和強行寫入病毒代碼兩個惡意行為。在計算可疑程序的病毒概率時，需要將具有聯系的連續惡意行為從惡意行為序列中分離開來，將這些反映病毒特性的連續惡意行為當成一個惡意行為插入原惡意行為序列相應位置，重新計算可疑程序的病毒概率。

由于行為監測反病毒系統檢測到病毒程序才具有的惡意行為就會判定可疑程序屬于病毒，訓練連續惡意行為的病毒概率時，只需要訓練連續的病毒程序和一般程序都具有的惡意行為的病毒概率。

將訓練單個惡意行為病毒概率的方法加以修改，可以得到訓練連續惡意行為病毒概率的方法:

a)收集大量的病毒程序和一般程序，建立病毒程序集一般程序集。

b)用行為監測反病毒系統檢測并統計連續兩個惡意行為出現的次數。按照上述的方法分別處理病毒程序集和一般程序集中的所有程序。具有聯系的連續惡意行為必須在病毒程序中存在普遍性，只有這樣的連續惡意行為才能反映出病毒的特性。在病毒程序集中(出現次數/病毒程序集病毒數目)大于預定閾值的連續惡意行為，可認為具有普遍性，只需統計這些連續惡意行為在病毒程序集和一般程序集中的出現次數。

c)每一個程序集對應一個哈希表，hashtable_virus對應病毒程序集，而hashtable_normal對應一般程序集。表中存儲連續惡意行為的形式化描述到出現次數的映射關系。

d)計算每個哈希表中連續惡意行為出現的概率P=(連續惡意行為出現次數) / (對應哈希表的長度)。

e)綜合考慮hashtable_virus和hashtable_normal，推斷出當行為監測反病毒系統檢測到可疑程序的連續惡意行為時，該可疑程序為病毒程序的概率。

形式化描述如下:

使用Pvirus表示病毒程序所占比例，Pnormal表示一般程序所占比例，有Pvirus+Pnormal=1。

A事件表示可疑程序為病毒程序，t1， t2， …， tn代表連續惡意行為。P(A| ti)表示在A事件中出現連續惡意行為ti時，該可疑程序為病毒程序的概率，設

P1(ti) = (ti在hashtable_virus中的值)

P2(ti) = (ti在hashtable_normal中的值)

則 P(A| ti) = P1(ti)×Pvirus/[ ( P1(ti)×Pvirus+P2(ti)×Pnormal]。

f)建立新的哈希表hashtable_probability_two存儲連續惡意行為ti到P(A|ti)的映射。

2.2 病毒判斷算法

2.2.1 病毒判斷算法基礎

結合上一節訓練單個惡意行為病毒概率和連續惡意行為病毒概率的過程，得到了兩個重要的哈希表 hashtable_probability_one(存放單個惡意行為的病毒概率)和hashtable_probability_two(存放連續惡意行為的病毒概率)。行為監測反病毒系統檢測可疑程序時，生成惡意行為序列，然后遍歷惡意行為序列，將其中具有普遍性連續惡意行為看成一個惡意行為(如果發現連續惡意行為的病毒概率為1，則判定該可疑程序屬于病毒程序)，再插入到原惡意行為序列相應位置，利用貝葉斯復合概率公式計算病毒概率。

假設經過整合之后可疑程序原n個惡意行為被替換成m個惡意行為t1， t2， …， tm在 hashtable_probability_one和hashtable_probability_two中對應的值為P1， P2， …， Pm，由復合概率公式可得

P(A|t1， t2， …， tm)=(P1×P2×… ×Pm)/[ P1×P2×…× Pm+(1-P1)×(1-P2)×…×(1-Pm) ]

當P(A|t1， t2， …， tm)超過預定閾值時，就可以判定該可疑程序為病毒程序。由于程序是動態的，程序的病毒概率需要隨著惡意行為的被采集動態地進行計算，其計算方法如下(P為當前病毒概率):

假設在程序運行過程中，先出現惡意行為t1，當前程序病毒概率P(A|t1) = P1;接著出現惡意行為t2，當前程序病毒概率P(A|t1， t2)=P2×P/[P2×P+(1-P)×(1-P2)];再出現惡意行為t3，當前程序病毒概率P(A|t1，t2，t3)=P3×P/[P3×P+(1-P)×(1-P3) ]。依此方法類推。

2.2.2 病毒概率閾值的訓練

在解決了單個惡意行為和連續惡意行為病毒概率的訓練問題之后，需要考慮閾值的訓練問題。選擇合理的閾值能夠有效地提高行為監測反病毒系統的性能，反之不合理的閾值會影響行為監測反病毒系統的性能。閾值過高，某些病毒不能被檢測出來，會出現漏報;而閾值過低，一般程序也會被判定為病毒程序，出現誤報。漏報誤報是反病毒系統必須要解決的問題。

目前有很多程序處于一般程序與病毒程序的邊緣，如流氓軟件到底屬不屬于病毒一直是網絡專家討論的話題。如雅虎助手一方面可以幫助用戶擺脫網絡騷擾，保護用戶隱私安全，但另一方面有60%的用戶是在不情愿的情況下安裝了雅虎助手。在設置病毒程序集和一般程序集時，將流氓軟件加入病毒程序集和將流氓軟件加入一般程序集會使單個惡意行為和連續惡意行為的病毒概率發生變化，進而使得訓練出來的閾值發生變化。

由于大部分病毒程序都存在一般程序所不具備的惡意行為，如傳染性是病毒程序區別于一般程序的最基本特征，病毒程序為了實現傳染機制，一般會執行強行將病毒代碼寫入宿主程序的惡意行為，當行為監測反病毒系統檢測到可疑程序執行了這一惡意行為時，由于該惡意行為病毒概率為1，經過計算可疑程序的病毒概率為1，也就是說，該可疑程序必定是病毒程序。而一小部分病毒程序在生命周期中，執行的都是病毒程序和一般程序都具有的惡意行為，它們的病毒概率都小于1。

某些病毒程序和一般程序都具有惡意行為的病毒概率較低，當一個可疑程序連續執行了幾次病毒概率較低的惡意行為時，該可疑程序的病毒概率會較低。假設一惡意行為病毒概率為0.1，當一個可疑程序連續執行兩次該惡意行為，其病毒概率為0.1×0.1/[0.1×0.1+(1-0.1)×(1-0.1)]=0.0122。某些病毒程序和一般程序都具有的惡意行為的概率較高，當一個可疑程序連續執行了幾次病毒概率較高的惡意行為時，該可疑程序的病毒概率會較高。假設一惡意行為病毒概率為0.9，當一個可疑程序連續執行了兩次該惡意行為，其病毒概率為0.9×0.9/[0.9×0.9+(1-0.9)×(1-0.9)]=0.988。那一小部分在生命周期中執行的都是病毒程序和一般程序都有的惡意行為的病毒程序之所以被稱為病毒程序，主要是它們執行的惡意行為主要是病毒概率比較高的惡意行為。如果一般程序所執行的都是病毒概率高的惡意行為，那這些一般程序就不能歸為一般程序，而必須歸為病毒程序了。因此，病毒程序的病毒概率要比一般程序的病毒概率高得多。當然，可能會有極個別的病毒程序的病毒概率比極個別的一般程序的病毒概率要低，但這只是個別情況。

病毒程序的概率比一般程序的病毒概率大得多，大部分一般程序的病毒概率為0(沒有執行任何惡意行為)，大部分病毒程序病毒概率為1(存在病毒程序所獨有的惡意行為)，一小部分病毒程序病毒概率小于1(執行的都是病毒程序和一般程序都具備的惡意行為)，一小部分一般程序病毒概率小于1，但基本上病毒概率都比病毒程序要小，只有極少數病毒程序的病毒概率比極少數一般程序的病毒概率要小。因此，行為監測反病毒系統可以選取一般程序的最大病毒概率作為閾值，也可以選取病毒程序的最小閾值作為閾值。如果選擇了一般程序的最大病毒概率作為閾值，行為監測反病毒系統檢測病毒概率小于閾值的病毒程序時將判定為一般程序，會出現漏報，但由于這部分病毒程序在所有病毒程序中所占比例很低，漏報率將很低，同時誤報率為0。如果選擇病毒程序的最低病毒概率作為閾值，行為監測反病毒系統檢測病毒概率大于閾值的一般程序時將判定其為病毒程序，會出現誤報，但這部分一般程序在一般程序中所占的比例很低，所以誤報率很低，同時漏報率為0。如果行為監測反病毒系統需要綜合考慮誤報率和漏報率，可以選擇病毒程序的最低概率和一般程序的最高概率的平均值作為閾值，這樣誤報率和漏報率都會很低。

3 實例分析

3.1 惡意行為病毒概率訓練

為了驗證狀態跳轉法的形式化分析方法的有效性，在PC機的Windows平臺上進行了檢測實驗。

首先訓練各種惡意行為的病毒概率，采集了大量的病毒程序和一般程序，病毒程序100個，根據目前各種病毒程序的比例分布(木馬程序占50%、蠕蟲病毒占30%、其他病毒占20%)，采集木馬程序52個、蠕蟲病毒24個、溢出程序10個、流氓軟件10個、其他程序4個。采集一般程序100個，包含Windows Office系列、防火墻殺毒軟件10個、遠程管理軟件10個、圖像處理軟件10個、媒體播放軟件10個、開發工具10個、網絡軟件10個等。

設置的惡意行為包括文件(包括修改、添加、刪除及修改除exe外的其他類型文件)、注冊表(包括修改啟動項、文件關聯、修改服務項)、進程(包括殺死防火墻殺毒軟件進程、創建進程)、網絡通信(包括開啟端口、連接遠程主機某端口、空密碼弱密碼攻擊、SQL注入等)四種類型。

用惡意行為病毒概率訓練模型將各惡意行為病毒概率訓練出來，特征庫的結果如表1所示。

表1 特征庫惡意行為病毒概率

序號形式化描述惡意行為病毒概率

1(F，M)修改exe文件0.89

2(F，A)添加exe文件0.78

3(F，D)刪除exe文件0

4(F，N)修改除exe外的其他類型文件0.12

5(F，B)添加除exe外的其他類型文件0.79

6(F，E)刪除除exe外的其他類型文件0.09

7(R，Z)修改啟動項0.36

8(R，X)修改文件關聯1

9(R，T)修改服務項0.10

10(P，K)殺死防火墻殺毒軟件進程1

11(P，C)創建進程0.56

12(N，S)開啟端口0.30

13(N，C)連接遠程主機某端口0.28

14(N，W)空密碼弱密碼攻擊1

15(N，M)SQL注入1

設置連續惡意行為的出現概率大于10% (即在病毒程序集惡意行為記錄中出現次數超過10次以上的連續惡意行為被認為是有聯系的惡意行為)，訓練出來的連續惡意行為特征庫結果如表2所示。

表2 連續惡意行為病毒概率

序號形式化描述連續惡意行為病毒概率

1(R， Z)→(F， A)修改啟動項→添加exe文件1

2(F， A)→(R， Z)添加exe文件→修改啟動項1

3(F， A)→(P， C)添加exe文件→創建進程1

3.2 病毒概率閾值訓練

使用訓練得到的特征庫(包括單個惡意行為特征庫和連續惡意行為特征庫)，圖5是程序病毒概率分布圖，左邊是一般程序的病毒概率分布曲線，右邊是病毒程序的病毒概率分布曲線。分析病毒程序集各病毒程序的病毒概率發現，大部分病毒的病毒概率為1，只有31%的病毒程序病毒概率小于1，而且最小值為0.482。大部分一般程序的病毒概率為0，有20%的一般程序病毒概率大于0，且最大值為0.345，選取兩者的平均值0.413作為閾值。

3.3 檢測結果

經過對木馬程序灰鴿子進行分析和檢測，灰鴿子在運行的過程中，在C:\\Windows目錄下生成了G_Server.exe、G_Server.dll、G_Server_Hook.dll三個文件，同時修改了注冊表服務項，實現開機自啟動。

灰鴿子的惡意行為序列為(F，A)→(F，B)→(F，B)→(R，T)，由于灰鴿子不存在有聯系的惡意行為，無須整合。經計算，(F，A)病毒概率0.78，(F，B)病毒概率0.79，(R，T)病毒概率0.10，使用貝葉斯復合算法計算得到病毒概率為0.852，大于閾值0.413，因此被判定為病毒程序。

類似地，對一些程序進行檢測，發現遠程管理軟件存在較高的誤報率，是因為遠程管理軟件和木馬程序原本就是一類軟件，只是木馬程序更多地執行了一些惡意行為，如果正常的遠程管理軟件被用戶用來刪除大量的exe文件，那么該遠程管理軟件此時完全可以看成是木馬軟件。

通過對整體進行統計，發現誤報率和漏報率均小于5%，表明該方法是有效的。

本方法相對于特征碼檢測法有如下優點:a)特征庫很小，減輕了病毒維護的工作量;b)傳統的特征碼技術需要頻繁的升級，而本方法大大減少了版本的升級頻率，僅需要當全新的惡意行為出現時才需要升級;c)可防范未知病毒。本方案利用了病毒API函數調用和惡意行為的映射關系，通過攔截API函數調用得到惡意行為序列，只要程序的病毒概率超過閾值就立即報警。所以在不知道未知病毒的類型、特點和特征碼的情況下，就達到檢測未知病毒的目的。

4 結束語

通過總結病毒的惡意行為，并通過狀態跳轉法形式化描述病毒的惡意行為，以此為基礎，設計了一種基于概率和貝葉斯算法的行為監測病毒檢測系統，能夠通過攔截程序的API函數調用來采集病毒的惡意行為，并根據貝葉斯算法計算程序的病毒概率，進而判斷程序是否屬于病毒。今后將在惡意行為的具體采集和病毒響應等方面進一步細化。

參考文獻:

[1]程勝利，談冉，熊文龍.計算機病毒及其防治技術[M].北京:清華大學出版社， 2004.

[2]韓俊. 一種病毒檢測的形式化分析方法[D]. 南京:南京郵電大學， 2008.

[3]王成， 龐建民， 趙榮彩，等. 基于可疑行為識別的PE病毒檢測方法[J]. 計算機工程， 2009， 35(15):132-134.

[4]CHEN Danwei， LIU Jianping， SUN Guozi， et al. One formalized method of virus detection[C]//Proc of International Symposium on Computer Network and Multimedia Technology. 2009:667-670.

[5]李聞天.基于貝葉斯過濾算法的反垃圾郵件策略[J]. 昆明理工大學學報:理工版， 2005，30(3):68-71.

[6]張銘鋒， 李云春， 李巍. 垃圾郵件過濾的貝葉斯方法綜述[J]. 計算機應用研究， 2005，22(8):14-19.