面向軟件在線升級過程的信任鏈機制

安美芳，季宏志，朱 琳，賀麗紅

(1.北京交通大學 計算機與信息技術學院，北京 100044；2.中國鐵路信息科技集團有限公司 網絡安全部，北京 100844；3.中國網絡安全審查技術與認證中心 綜合與質量部，北京 100020；4.北京朋創天地科技有限公司 技術研發部，北京 100089)

0 引 言

信任鏈機制是可信計算最核心的內容之一。信任鏈是指系統將運行控制傳遞給下一級可執行代碼之前，需要確認被調用代碼是可信的。通過信任鏈機制，系統的運行完整性得到保證，比如它能夠有效阻止系統被惡意代碼感染和破壞，或者對使用人員安裝和運行軟件的行為進行有效規范和控制等，保證系統運行狀態符合預期。

傳統信任鏈機制實現都是通過可信標記方式來驗證被調用代碼是否可信。可信標記是在代碼運行前通過多種方法對代碼是否可信進行檢測和分析。但是軟件在線升級對上述信任鏈機制實現是一個嚴重挑戰。因為軟件在線升級后，系統在調用新升級的代碼時，會存在代碼不能通過可信驗證的問題。但是在線升級能力對大多數軟件已經是一種不可或缺的自我修復和自我提升機制，如果信任鏈機制不能很好地支持軟件在線升級能力，那么可信計算技術的應用和推廣必將受到極大的限制。

本文對軟件在線升級過程中的信任鏈機制進行研究，提出一種軟件在線升級代碼的識別和實時可信判斷方法，該方法無需對可執行代碼本身的結構和行為進行分析，判斷速度快，實時性好，不影響代碼調用性能，保證良好的用戶操作體驗。本文研究結果對可信計算技術的應用和推廣有極大的推動作用和十分重要的現實意義。

1 相關研究

信任鏈機制研究中的幾類關鍵問題包括：①可信代碼的標識和驗證；②可信代碼的運行完整性保證；③可執行代碼的可信檢測、分析和確認。

可信代碼的標識一般常采用可信標簽或可信代碼清單等方式來表示，可信標簽可以是與可執行代碼相關聯的數字簽名(由可信的權威機構針對該代碼文件簽發)。為了保證可信代碼清單的真實性和完整性，系統在引用可信代碼清單之前會驗證相關的數字簽名。

為防止可執行代碼在驗證時可信，在運行過程中被破壞的情況發生(比如通過DMA方式向代碼內存區域注入惡意代碼)，Intel、AMD和ARM等CPU廠商分別從硬件上提供了可信隔離保護支持基礎，保證系統從加電引導到應用運行過程中具有一定適應能力的代碼可信傳遞，同時通過新的指令集擴展和訪問控制機制，保證應用程序能夠運行在一個相對安全隔離的地址空間環境中，防止應用敏感數據被外部讀取或破壞。在前述硬件支持的基礎上，研究人員也針對可信運行環境(trusted execution environment，TEE)領域開展了大量研究，并提出不同方式和顆粒度的工程實現方法[1-4]。

可信代碼的傳遞和運行環境保護獲得保證后，剩下的信任鏈機制的關鍵問題就是如何判斷被調用的可執行代碼是可信的。目前常見方法有以下幾種：信任模型方法、靜態代碼分析方法和動態代碼行為分析方法等。

信任模型方法一般適用于對第三方軟件的信任度量和信任度計算，信任模型可以采用基于軟件來源、口碑、推薦、服務可靠性、權威認證等多種信任因子或這些信任因子的加權組合來建立。信任模型的研究是針對開放網絡中參與方身份的信任驗證問題，提出了基于其它網絡節點推薦值的定量化信任度估計模型和方法。隨著網絡技術和應用的發展，信任模型的應用領域不斷擴展，比如社交網絡(social network)[5,6]、P2P網絡(peer-to-peer)、云計算(cloud computing)[7,8]、物聯網(Internet of Things)[9,10]、無線和自組織網絡[11]等。

靜態代碼分析方法對程序源代碼或目標代碼進行檢查和分析，判斷軟件是否有程序錯誤、安全漏洞或惡意目的的特征，從而確定軟件是否可信。隨著技術發展，靜態代碼分析方法也不斷發展。早期對惡意代碼的識別主要依靠對軟件中惡意代碼簽名(signature)特征的檢測和匹配，這種方法效率高，誤報率低，但是惡意代碼作者通過代碼變換(比如軟件加殼和代碼混淆)就可以逃避這種檢測。隨著人工智能相關理論技術的發展和成熟，人們也將自然語言處理、機器學習和神經網絡等技術方法應用在惡意代碼簽名特征的學習和分類中，以應對惡意代碼作者對惡意代碼簽名特征的隱藏[12,13]。

相比惡意代碼的簽名特征，人們發現代碼的行為特征能更好地反映出惡意代碼的目的和惡意操作方式，因此動態代碼行為分析方法采用行為特征作為惡意代碼檢測和分析中的判斷依據，常見的惡意代碼行為特征包括惡意代碼的機器碼序列、API調用序列和系統調用序列[14,15]；為了克服代碼混淆的干擾，研究人員讓這些代碼在沙箱和虛擬機等環境中實際運行，從而截獲其行為序列特征，或采用靜態代碼分析和動態分析相結合的方法得到代碼的行為序列特征[16]。

除了以上行為序列特征外，還有一些其它行為特征被采集并用于惡意代碼的檢測。比如通過對ROP/JOP攻擊中配件出現的頻率來檢測代碼重用攻擊[17]，或通過“污點”數據標記和跟蹤，并提取非法操作時刻的系統快照作為特征來檢測經過混淆的惡意代碼。近年來以機器學習、神經網絡和深度學習為基礎的惡意代碼檢測和分析研究成為熱點，這些研究基于高維復雜的特征對代碼的可信度進行分類，可能更適合于惡意代碼不斷演變以隱匿自身逃避檢測的安全現狀[18,19]。

實施翻轉課堂教學模式，活躍了課堂氣氛，加強了學生的參與度，帶來了課堂的高效性；大幅度增加了課上課下的互動時間，帶來了師生和生生的深度互動性；激發了學生的學習興趣，帶來了學生學習的主動性；學生可自定學習步調，實現了學生學習的個性化；有充裕的時間培養合作學習、探究學習等，提高了學生協作溝通、創新等能力的培養；網絡教學平臺記錄了所有學生學習的全部信息，實現了課程考核的過程化。

以上對可執行代碼的可信度量和評價方法都存在各種局限性。基于惡意代碼簽名特征的檢測方法難以應對攻擊變種和代碼混淆等方式攻擊，其它方法要么需要獨立的檢測環境(比如沙箱或虛擬機等)，要么在分析性能上不滿足實時性要求，因此很難應用于軟件在線升級等實際系統運行場景中。在軟件在線升級這類場景中，新的升級代碼在被下載到本地到被調用之前，系統往往對其相關信息一無所知，無法提前在獨立環境中對它們進行檢測分析，也難以承擔在系統運行過程中開展代碼實時分析所導致的系統運行延誤(甚至中斷)等嚴重影響系統運行穩定性和用戶體驗的后果。

（2）以人工的方式進行大致的攤鋪。攤鋪系數控制在1.2～1.3之間，不能拋擲材料。攤鋪時，若出現材料成團，則需要及時的進行松散處理。

2 軟件在線升級代碼的識別和可信評價

系統程序是指操作系統提供的程序，或被廣泛安裝和應用的平臺程序，比如.net平臺。系統程序是一種公共服務型軟件，用戶可以用它們調用和創建(比如復制、下載等)任何其它程序，也可以被任何其它程序調用。比如Windows系統中的explorer.exe、svchost.exe、service.exe、cmd.exe等。

其中αi,βi,δi,σi和ki(i=1,2,3)都是待定常數。令Tan、Tanh和exα1+yβ1+tδ1+σ1等項的系數為零可得

在進入具體研究內容之前，我們給出兩個可信假設。第一個假設是：可信軟件的升級代碼可以被認為是可信的。盡管這一假設可能存在安全漏洞，比如可信軟件提供商出于其不正當的商業利益，在其在線升級代碼中暗藏惡意代碼，在后臺收集用戶主機中的敏感信息，但是在實際系統中，我們的可信假設仍然有十分重要的現實意義和合理性。

第二個假設是：當前運行系統支持信任鏈傳遞機制，即只有那些被認為是可信的可執行代碼才可以被系統調用運行，比如這些可信的代碼帶有可信機構簽發的數字證書，或者在可信代碼清單中。

同時，我們對一些術語進行非嚴格定義的說明。軟件是指一組服務于特定功能目的的可執行代碼及其運行環境參數文件，一般可能包括主程序代碼文件、動態鏈接庫文件、運行參數文件等等，比如一個軟件安裝包安裝之后，會在系統相應位置存放與軟件功能相關的各種可執行代碼和參數文件；程序是一類可獨立被系統調用和運行的可執行代碼，比如cmd.exe，系統中還有一些不會被獨立調用和運行的可執行代碼，比如動態鏈接庫文件等，但是為了描述方便，并考慮習慣，本文對程序和可執行代碼并不總是嚴格區分。

本文還給出一個關于同族程序的定義，兩個程序是同族程序是指它們都來源于同一個軟件安裝包，并服務于同一服務目標。一般情況下，符合規范的軟件都有其固定的一個或幾個私有文件夾，包括它們在系統臨時文件夾下的子文件夾，這些軟件在安裝完成后，它們的可執行代碼文件都位于這些私有文件夾中。通過判斷兩個程序對應文件所在的位置，可以確定它們是否為同族程序。

另外，本文提到的可信標記是指在確認可執行代碼可信后，將其放入到可信代碼清單中，或者為其加上被系統認可的數字簽名，或者加上其它系統能夠辨識的標記，系統通過它們可以快速確認相關的可執行代碼是可信的。

還有一點需要說明，某些第三方管理工具類軟件(比如某類電腦管家)能夠通過檢測互聯網資源，在發現特定軟件版本發生變化后，自動下載和安裝新版本的軟件安裝包。這一升級方式不屬于我們前面定義的軟件在線升級，因為它本質上是第三方下載和安裝軟件的過程，而不是軟件代碼自身檢測升級并下載安裝的過程。

本章首先對程序進行分類，然后對各類程序的特點進行分析和總結，進而提出一種識別可信軟件在線升級代碼的方法(software upgrade code identifying method，SUCIM)。

2.1 程序分類

SUCIM將程序按照其特點，分為以下3個類型：系統程序、工具類程序和一般應用程序。

在系統運行過程中，對被調用的未知代碼進行判斷，分析它們是否屬于可信軟件的在線升級代碼，進而確定其是否可信，對支持可信軟件的在線升級十分關鍵和重要，這也是本節的主要研究內容。

（3）遞歸生成模型，該模型中每個詞的左子結點和右子結點分別由各自的馬爾柯夫模型順次產生：左子結點的產生方向是自右向左，右子結點的產生方向是自左向右的。每一個子結點的生成建立在支配詞和它前一個子結點上，是自頂向下的遞歸生成式模型。

工具類程序是指非操作系統自帶的，甚至是第三方機構提供的服務型軟件，比如第三方FTP文件下載工具等。工具類程序具有一定的公共性，即操作人員可以通過它們調用和創建任何其它程序；但是與系統程序不同，它們不一定在每個用戶主機系統中都有安裝，即使安裝也不一定像系統程序那樣有眾所周知的安裝位置，因此它們往往是依靠操作人員手動調用，很少被程序自動調用。工具類程序的特點表明它們大概率會被用來創建和調用非同族程序。

一般應用程序是指非操作系統自帶的，服務于特定功能并具有一定封閉性特征，它們能夠被其它程序調用，但是不會調用除系統程序和同族程序之外的其它程序，也不會創建非同族程序。

2.2 程序類別標注

根據各類程序的特征，可以通過系統程序判斷函數、數字簽名識別或人工標注等方法對程序進行類別標注。系統程序判斷函數能夠識別指定程序文件是否屬于操作系統程序；數字簽名識別是通過對可執行代碼文件的數字簽名進行驗證，確認它們是由操作系統廠商或平臺軟件廠商發布；人工標注指由管理人員基于可執行代碼文件的特征，確定它們是否屬于系統程序，并對其進行標注。

工具類程序的判斷和標注要相對復雜，一般可以通過程序調用關系和代碼創建關系來判斷。比如，假定A為代碼創建程序(或主調用程序)，B為被創建代碼(或被調用程序)，如果A和B不同族，且A不是系統程序，那么A可以被判定為工具類程序。

未被標注為系統程序和工具類程序的其它程序都“暫時”被認為是一般應用程序。這里的“暫時”表示有些工具類程序還沒有為人所知，被認為是一般應用程序。一旦它們調用或創建了非同族程序，就應該被標注為工具類程序。一旦程序被標注為系統程序或工具類程序后，除非管理人員手動修改，否則不可能被重新標注為一般應用程序。

式中：x和y分別為代碼創建程序和被創建代碼；p(x,y)是x和y的路徑名相似度判斷函數， 0≤p(x,y)≤1， 值越大，表示x和y的路徑名越相似，p(x,y) 有多種實現方法，比如采用NLP、余弦相似度、正則表達式等，具體選擇還要取決于這些方法對系統性能的影響；q(x,y) 是基于文件命名可讀性、存放位置和代碼創建頻率等因子的代碼規范性函數，0≤q(x,y)≤1， 值越大，表示x和y所屬軟件的規范化程度越高，意味著x和y是同族程序的可能性越大。

2.3 軟件在線升級代碼的識別和處理

SUCIM中，當代碼創建程序為一般應用程序時，如果被創建代碼與代碼創建程序是同族程序，那么可以認為該被創建代碼是代碼創建程序所屬軟件的在線升級代碼，因此應該被添加到可信代碼清單中。

根據同族程序的定義，可以通過比較兩個程序的路徑名是否相似來判斷它們是否同族。

2.2節和2.3節過程流程如圖1所示。

圖1 SUCIM對程序創建和程序調用的處理流程

2.4 風險分析

本節從惡意攻擊、用戶不規范操作和應用正常升級被誤攔截等3個角度對SUCIM展開風險分析。

2.4.1 惡意攻擊

惡意攻擊是指攻擊者利用SUCIM機制本身將惡意代碼偽裝成可信軟件的升級代碼，從而使它們被加入到可信代碼清單中。

SUCIM通過同族程序關系確定被創建代碼是否為軟件在線升級代碼，因此針對SUCIM的惡意攻擊會利用以下方法來實現攻擊：①通過系統程序或工具類程序將不可信程序(比如惡意代碼)復制(或下載)并保存到系統任意位置，并試圖調用和激活它們；②通過一般應用程序將不可信程序(比如惡意代碼)復制(或下載)并保存到同族的文件夾中，并試圖調用和激活它們。

雖然一部分特色農產品企業已經認識到了英語標準化翻譯的重要性，但在實際中卻存在很多問題。如拼音的過度使用、片面的中式英語翻譯、錯誤翻譯等，使農產品英語標準化翻譯成為空談，極大地影響

從中國經濟宏觀環境來看，中美貿易摩擦對峙，短期內可能會對中國經濟發展帶來負面影響，如加劇通貨緊縮的壓力，增加人民幣貶值的可能性，影響勞動力就業率等。

第一種攻擊方法會被SUCIM阻止。復制(或下載)程序的過程本質上是一個代碼創建過程，由于代碼創建程序是系統程序或工具類程序，因此無論不可信程序被復制或下載到系統任何位置，SUCIM都不會將它們添加到可信代碼清單中。

第二種攻擊方法只有在以下情形下可能成功：①復制或下載不可信程序的一般應用程序實際上是一個還未被標注的工具類程序，因為它與被創建代碼是同族關系，所以被創建代碼(不可信程序)會被添加到可信代碼清單中，成為可信代碼，因此可以被成功調用。SUCIM應該提高對工具類程序的自動發現和標注能力，只有這樣才可能有效阻止這種攻擊方式；②復制或下載不可信程序的一般應用程序有安全漏洞，攻擊者熟知并利用這些漏洞，將不可信程序復制或下載到同族文件夾下，從而被加到可信代碼清單中并成為可信代碼，要防范這種攻擊，需要發現或了解應用程序的安全漏洞。

2.4.2 用戶不規范操作

同樣，用戶不規范操作帶來的無意識攻擊與惡意攻擊在實際操作中并沒有本質區別，主要差異體現在攻擊者和一般用戶在攻擊位置、攻擊執著程度等方面的不同。比如，攻擊者對軟件漏洞的了解程度高于一般用戶，對攻擊的成功要求也高于一般用戶；而一般用戶的違規操作則往往是一種淺嘗輒止的試探行為，攻擊成功的范圍和概率也因此較小而且隨機。

陳升茶廠成立于2006年，經過12年的發展，已經成為一家擁有300余名員工，數百戶簽約農戶，集普洱茶精制加工、生產、銷售及茶文化和民族風情為一體的省級產業化重點龍頭企業。而陳升茶廠所在的勐海縣被稱作“中國普洱茶第一縣”，吸引著大批企業家投資設廠，其中包括一些不規范的代加工企業，他們在規范化生產、人力、設備等各方面投入成本低，有些甚至存在虛開發票等違法行為，嚴重影響和擾亂了市場秩序，對大型民營企業發展也造成了很大壓力。

2.4.3 應用正常升級被誤攔截

實際系統中，有些軟件可能包括不止一個祖宗目錄，比如有些軟件還在系統臨時文件夾下創建自己的子文件夾等。對于這種情況，可以根據多個祖宗目錄的相似程度來確定它們是否為同族程序。

3 同族程序判斷方法

基于以上風險分析可以看出，對同族程序的判斷準確程度決定了SUCIM的實際有效性。如果將本是同族程序關系的一般應用程序誤判為工具類程序，那么正常的軟件升級過程就會被SUCIM攔截；如果將工具類程序等漏判為一般應用程序，那么就可能導致不可信的程序被標記為可信代碼。本文研究的目標是確保在不可信程序不會被SUCIM標記為可信代碼的前提下，盡量減少可信軟件正常升級被SUCIM攔截的概率。

3.1 基于程序路徑名相似度的同族程序判斷方法

政府方，優選財政實力較強的市或區級政府，須查看經財政部門審核下發的部門預算文件。商業銀行還需開展再評估工作，結合區域內全部 PPP 項目規劃方案，統計未來年度財政支出責任，確保每一年度本級全部 PPP 項目從一般公共預算列支的財政支出責任，不超過當年本級一般公共預算支出的10%。

判斷兩個程序的路徑名是否相似，首先要排除操作系統的文件路徑。系統文件路徑的獲取方法比較簡單：在一個原生(未安裝應用軟件)的操作系統中，對系統的文件目錄進行遞歸掃描即可獲得。通過這種方法獲得的系統文件路徑具有一定的通用性，可以應用在同樣操作系統版本的主機環境中。比如，在一個原生的Windows10系統中， C:Windows 及其下一級目錄、 C:ProgramFiles(x86) 及其下一級目錄、 C:ProgramFiles及其下一級目錄等都被視為系統文件路徑。

將開始區分于系統文件路徑的第一級文件目錄(包括根目錄)定義為同族程序的祖宗目錄，即同一祖宗目錄下的程序都屬于同族程序。比如， C:ProgramFiles(x86)adobe 是Adobe Reader軟件的祖宗目錄，該目錄及其各級子目錄下的程序被認為是同族程序。

觀察組：采取生化檢驗法，在檢查前一晚，病患遵醫囑禁食禁飲，第2天早晨保持空腹狀態進行采集靜脈血，劑量5 mL。采用醫療專業設備全自動生化分析儀，對病患的TC（血清總膽固醇），TG（甘油三酯），2 hPBG（餐后2 h血糖）和葡萄糖耐量情況進行觀察。

SUCIM可能會導致某些應用在正常升級后被誤攔截。比如有些應用軟件的開發過程不夠規范，其升級下載的代碼可能因為與代碼創建程序不是同族關系，沒有被SUCIM加入到可信代碼清單中，并因此被系統拒絕運行。

我國數據信息比較豐富，政府掌握著80%以上的數據，但是政府有關部門沒有正確認識到數據資源的巨大價值，缺乏對數據資源挖掘利用的意識，不能有效發揮數據資源的應有作用。主要是長期以來我國政府管理模式是以經驗為主的行政體制，政府機構以科層制的管理模式運行，政府大數據治理理念缺乏，數據管理意識落后，不愿意共享開放，仍然沿襲著傳統的管理思路，認識不到數據對政府治理能力建設的重要性，傳統的思維意識與管理理念影響了大數據深入應用，阻礙政府治理創新發展。

3.2 改進的同族程序判斷方法

由于上述實現只是對SUCIM的原理可行性進行一個初步驗證，因此對a和b沒有特別訓練，而只是簡單的都設置為1，f(x,y) 的臨界值也設置為1，當f(x,y)≥1時，x和y被認為是同族程序，否則x和y不同族。

根據大量軟件樣本分析，一個有良好開發規范的軟件會在程序命名和存放位置上有好的慣例。比如，軟件升級過程經常利用系統臨時目錄存放(或暫存)所下載的程序代碼，但是，基于良好開發規范的軟件與不規范軟件(或惡意代碼)有明顯區別，后者在文件命名、文件數量和文件保存位置等方面更加隨意，更傾向于故意隱藏自身，比如，文件命名沒有規律導致缺乏可讀性或可理解性，或者存放在其它軟件的文件保存目錄中，以讓分析人員無法正確判斷其功能目的或身份來源。

改進的同族程序判斷方法在基于程序路徑名相似度的同族程序判斷方法基礎上，更多地將軟件開發習慣和規律等因素納入算法判斷中，比如前面提到的文件命名、系統臨時目錄使用方式、文件創建頻率和存放位置等因素，比如代碼創建程序在同一個目錄位置中創建代碼文件的頻次如果大于一個閾值，遠超人工創建文件的正常速度，那么這個代碼創建程序為工具類程序的可能性就相對較低。

本文提出一個改進的同族程序判斷算法，用于驗證SUCIM的技術可行性，算法框架如下

f(x,y)=a*p(x,y)+b*q(x,y)

在SUCIM的實現中，程序的調用和創建過程及其相關參數可以通過系統鉤子機制截獲和實時分析，比如在Windows系統中的文件過濾驅動層設置鉤子機制，可以截獲程序創建過程的各種信息，包括程序的位置、類型等。

a、b分別為函數p(x,y) 和q(x,y) 在結果函數f(x,y) 中的權重，a、b≥0，a+b=1。

f(x,y) 可以表示為一個0或1的二值函數：a*p(x,y)+b*q(x,y) 大于一個預設的(或者通過訓練得到的)臨界值時，f(x,y)=1， 表示x和y是同族程序；否則f(x,y)=0， 表示x和y不是同族程序。

3.1節基于程序路徑名相似度的同族程序判斷方法在實際應用中還存在較大的誤差，可能導致SUCIM將很多一般應用程序標記為工具類程序，從而將正常的軟件升級過程攔截。出現這一問題的原因是因為基于程序路徑相似度的同族程序判斷方法不能完全反映軟件開發的習慣和規律。

按照實驗方法測定鈷產品生產過程CoCl2凈化液(樣品5)和Co(NO3)2凈化液(樣品6和7)中Cu、Fe、Ni、Cd、Zn、Mn、Mg、Si、As，并與標準方法YS/T 281—2011所規定的檢測方法結果進行對照，結果見表13。

4 實驗驗證

對SUCIM的效果和性能要通過實驗進行驗證。要驗證的內容和目標包括：

(1)可信軟件在線升級精確率。即正確判斷可信軟件在線升級代碼數量占所有判斷為可信軟件在線升級代碼數量的比例，它也反映了SUCIM將不可信程序判斷為可信軟件在線升級代碼的比例，基于SUCIM的功能目標，這個精確率需要達到100%。

(2)可信軟件在線升級召回率。在所有被測試的可信軟件中，能夠被正確判斷出來的比例。在精確率達到100%的前提下，盡量提高召回率，因為召回率越高，可信軟件在線升級成功的比例越高。

4.1 實驗環境和實驗數據來源

由于目前還沒有相應的開源數據集可以用來對SUCIM進行訓練和驗證，所以只能從互聯網上下載各類軟件，對基于3.2節改進的同族程序判斷方法所實現的SUCIM進行測試和驗證。

為了保證測試環境的可重復性，同時保證有足夠的測試環境數量，實驗環境采用了基于KVM的虛擬桌面系統，包括多個實驗母本，包括Windows7和Windows10兩種操作系統；每個母本安裝不同的測試用軟件，這樣既可以很方便地測試多個應用軟件，而且還能夠通過虛擬機還原到母本狀態，保證實驗的可重復性和可驗證性。

Study on solid liquid separation technology of human fecal water

測試應用軟件包括辦公、游戲、視頻、瀏覽器、聊天、輸入法、音樂、圖片、系統、編程等各種類型。其中一部分通過殺毒軟件檢測，確認為非惡意代碼后，被加入到可信代碼清單中(共41個)；另一部分則作為不可信軟件用例(共6個)。

在北大，我也碰到個別有負面情緒的年輕人，他們不是抱怨工資太低，領導對自己不好，同事缺點太多，就是抱怨社會不公平，自己沒有機會。試想一下，這樣的人怎么可能工作順暢，事業成功呢？

4.2 實驗結果和討論

實驗結果中，6個不可信軟件都沒有被SUCIM標記為可信軟件，符合我們的目標；41個可信軟件的升級過程中，有36個順利完成，5個被SUCIM攔截。可以得出SUCIM的精確率和召回率分別約為87.8%和100%。

我們對不成功的軟件升級過程進行深入分析，發現這些升級被攔截的軟件都有一個共同點，它們都習慣在系統文件夾或公共文件下創建文件，并且文件命名也非常隨意，導致它們被SUCIM判定為工具類程序，進而認為它們所創建的程序不屬于可信程序。

我們還發現，這些升級被攔截的軟件，有些行為特征與惡意代碼的隱匿特征非常相似，其中很大一部分軟件(如某些瀏覽器和終端安全/管理類軟件)的確也存在一些不良行為，雖然SUCIM導致它們自動在線升級失敗，但是從另一個角度分析，這一結果對于用戶以及惡意代碼發現也不失為一件好事。

5 結束語

SUCIM的核心算法是同族程序判斷方法，截至目前，我們只是基于自身對軟件開發的一些慣例和規律(以及對惡意軟件的一些特性)的認識和經驗，人工設計了一套判斷規則及其相關參數，實現一個初步的同族程序判斷算法，顯然，這個初步實現難免存在各種不足。

下一步的研究中，我們將重點從兩個方向繼續深入，一是采用多節點分布式截獲代碼調用和代碼創建過程信息，然后可信軟件在線升級過程進行綜合判斷，這樣能減少或避免單節點環境中的可能誤判；二是建立有更多、更合理測試樣本的軟件用例庫，并提取和建立有效特征庫；在算法設計中，引入機器學習和神經網絡等技術，在大樣本空間的基礎上，避免過于依靠人工經驗，得到更準確的同族程序判斷模型，從而進一步提高SUCIM的實用性。