數(shù)據(jù)挖掘技術(shù)在計算機(jī)網(wǎng)絡(luò)病毒防御中的應(yīng)用分析

欒志福

（濰坊科技學(xué)院，山東 濰坊 262700）

在當(dāng)前計算機(jī)網(wǎng)絡(luò)實際應(yīng)用過程中，網(wǎng)絡(luò)病毒已經(jīng)成為人們正常使用計算機(jī)網(wǎng)絡(luò)的一個重要問題.在運用計算機(jī)網(wǎng)絡(luò)過程中，應(yīng)當(dāng)選擇科學(xué)有效技術(shù)對計算機(jī)網(wǎng)絡(luò)病毒進(jìn)行防御，防止其對計算機(jī)網(wǎng)絡(luò)造成威脅以及破壞.數(shù)據(jù)挖掘技術(shù)運用在網(wǎng)絡(luò)防御方面起到十分重要作用，使計算機(jī)網(wǎng)絡(luò)安全性得到大大提高，從而使計算機(jī)網(wǎng)絡(luò)得到更好應(yīng)用[1].

1 計算機(jī)網(wǎng)路病毒及數(shù)據(jù)挖掘技術(shù)

1.1 計算機(jī)網(wǎng)絡(luò)病毒的特點

第一，病毒傳播方式較廣泛且擴(kuò)散較快.網(wǎng)絡(luò)病毒與網(wǎng)絡(luò)之間是緊密結(jié)合的，計算機(jī)病毒利用多種途徑對計算機(jī)網(wǎng)絡(luò)蓄意進(jìn)行破壞以及入侵，對其計算機(jī)網(wǎng)絡(luò)病毒，其重要傳播方式主要包括不良網(wǎng)頁、系統(tǒng)漏洞以及電子郵件.

第二，網(wǎng)絡(luò)病毒具有較強(qiáng)的破壞性.一般情況下，我們所了解的網(wǎng)絡(luò)病毒均是依賴其他相關(guān)技術(shù)得以存在的，像黑客技術(shù)與木馬技術(shù)等等，這類型病毒具備十分強(qiáng)烈的破壞力.該類類病毒所表現(xiàn)出特點往往為混合型，網(wǎng)絡(luò)運行環(huán)境中要發(fā)現(xiàn)是十分困難的.此類病毒極有可能導(dǎo)致計算機(jī)內(nèi)部儲存的重要信息非法外泄，丟失重要數(shù)據(jù)甚至造成計算機(jī)系統(tǒng)癱瘓等惡劣后果，會在極大程度上破壞計算機(jī)網(wǎng)絡(luò)的穩(wěn)定性與安全性.

第三，病毒有很多種類，并且在變化方面比較快.對于目前網(wǎng)絡(luò)病毒，大部分都很容易進(jìn)行制作與生產(chǎn)，很多病毒的編寫借助的是高級程序，其他人若想重新編寫或者修改病毒非常容易，僅需要變換幾個簡單指令就能制造出許多新的病毒來，在種類上網(wǎng)絡(luò)病毒包含比較多，并且存在不確定性.

第四，病毒具有針對性.隨著現(xiàn)代網(wǎng)絡(luò)技術(shù)不斷發(fā)展計算機(jī)病毒生產(chǎn)目的也發(fā)生變化，對于傳統(tǒng)網(wǎng)絡(luò)病毒來說，無非就是病毒設(shè)計者想要表現(xiàn)自身具有較高的程序編寫技術(shù)，從另一層面來講，實質(zhì)上體現(xiàn)的是個體心理扭曲對社會造成的負(fù)面影響.但隨著我國市場經(jīng)濟(jì)以及社會的不斷發(fā)展與進(jìn)步，病毒制造也不再僅僅為了展示個人所具備的較高編程能力，而具有更大的攻擊性，開始朝著商業(yè)盈利方向轉(zhuǎn)變，個體病毒程序編寫員企圖通過病毒入侵獲取非法利益.

1.2 數(shù)據(jù)挖掘技術(shù)

數(shù)據(jù)挖掘技術(shù)，顧名思義，指的就是運用數(shù)據(jù)分類、聚類以及分析方式，找出病毒數(shù)據(jù)之間存在的具體規(guī)律的這樣一種病毒防御技術(shù).綜上所述，數(shù)據(jù)挖掘技術(shù)主要包括三個方面：準(zhǔn)備數(shù)據(jù)、尋找規(guī)律以及表示規(guī)律[2].確定了數(shù)據(jù)挖掘模式之后，相關(guān)挖掘引擎便能夠在知識庫要求的依據(jù)上進(jìn)行分析前期所收集到的數(shù)據(jù)，而后進(jìn)行詳細(xì)分類，并從中找出數(shù)據(jù)之間所存在的特定規(guī)律，為后勤數(shù)據(jù)的分析提供依據(jù).數(shù)據(jù)挖掘技術(shù)的重點內(nèi)容便是預(yù)處理數(shù)據(jù).預(yù)處理數(shù)據(jù)工作是數(shù)據(jù)挖掘的基礎(chǔ)階段，其處理效果直接影響后期數(shù)據(jù)分析的成效.預(yù)處理數(shù)據(jù)主要由鏈接數(shù)據(jù)、數(shù)據(jù)凈化、變量整合以及格式轉(zhuǎn)換等構(gòu)成.數(shù)據(jù)挖掘步驟的整個過程十分復(fù)雜且繁復(fù)，不僅含有大量的規(guī)劃以及準(zhǔn)備工作，同時還嚴(yán)格要求操作步驟.

1.3 網(wǎng)絡(luò)病毒攻擊及數(shù)據(jù)挖掘技術(shù)關(guān)系

對于計算機(jī)網(wǎng)絡(luò)病毒而言，其先感染主機(jī)，然后傳播并擴(kuò)散病毒，在這一整個過程中，病毒首先應(yīng)向用戶操作系統(tǒng)入侵，然后掃描用戶信息及用戶網(wǎng)絡(luò)中所存在其它用戶信息，然后進(jìn)行破壞、竊取信息以及將其他用戶感染等一些操作.所存在這些異常行為能夠為應(yīng)用數(shù)據(jù)挖掘技術(shù)提供支持.通過數(shù)據(jù)挖掘技術(shù)能夠抓取并分析網(wǎng)絡(luò)過程中數(shù)據(jù)，從而依據(jù)分析結(jié)果，對網(wǎng)絡(luò)中所存在異常問題及問題引發(fā)原因進(jìn)行確定，從而幫助用戶選擇適當(dāng)策略進(jìn)行安全防護(hù)，對病毒進(jìn)行阻止或者將其消除.

2 在計算機(jī)網(wǎng)絡(luò)病毒防御中應(yīng)用數(shù)據(jù)挖掘技術(shù)可行性

為能夠使應(yīng)用數(shù)據(jù)挖掘技術(shù)更好實現(xiàn)，應(yīng)當(dāng)進(jìn)一步分析并了解網(wǎng)絡(luò)病毒傳播過程，從而將相關(guān)依據(jù)提供給數(shù)據(jù)挖掘技術(shù)的應(yīng)用.比如計算機(jī)受到蠕蟲病毒感染，首先要做的工作就是掃描網(wǎng)絡(luò)上主機(jī)，該過程在對蠕蟲病毒檢測方面是十分關(guān)鍵的，與此同時在計算機(jī)預(yù)防系統(tǒng)建設(shè)方面屬于一個突破口.以數(shù)據(jù)挖掘技術(shù)作為基礎(chǔ)，將網(wǎng)絡(luò)病毒全新防御系統(tǒng)構(gòu)建出來.通常情況下，其由以下幾個部分構(gòu)成：數(shù)據(jù)源模塊，數(shù)據(jù)挖掘模塊，決策模塊，預(yù)處理模塊，規(guī)則庫模塊以及防御模塊.其工作原理為來源于網(wǎng)絡(luò)，向本地發(fā)送數(shù)據(jù)包在數(shù)據(jù)源形成之后，通過預(yù)處理模塊處理，并且記錄網(wǎng)絡(luò)信息傳輸病毒，并且對于今后性質(zhì)相同病毒有免疫形成，一旦有非法入侵出現(xiàn)，便會有警報及時產(chǎn)生，并且將主機(jī)保護(hù)防御系統(tǒng)保護(hù).

3 網(wǎng)絡(luò)病毒防御中數(shù)據(jù)挖掘技術(shù)的應(yīng)用分析

3.1 數(shù)據(jù)挖掘技術(shù)組成

在網(wǎng)絡(luò)病毒防御中所建設(shè)數(shù)據(jù)挖掘技術(shù)主要包括五個模塊，即數(shù)據(jù)源模塊、數(shù)據(jù)挖掘模塊、規(guī)則庫模塊、預(yù)處理模塊以及決策模塊[3].以上所述五個模塊互相作用形成數(shù)據(jù)挖掘系統(tǒng)，并組成病毒防御系統(tǒng).

第一，數(shù)據(jù)源模塊.數(shù)據(jù)源模塊的核心在于抓包程序.其所指的就是將利用網(wǎng)絡(luò)將所截獲的數(shù)據(jù)包輸送于主機(jī).數(shù)據(jù)源模塊中有最原始的網(wǎng)絡(luò)數(shù)據(jù)包，數(shù)據(jù)包內(nèi)存在包括與某個特定數(shù)據(jù)相關(guān)的數(shù)據(jù)結(jié)構(gòu).處于數(shù)據(jù)源模塊中的抓包程序接收數(shù)據(jù)包，而后將其移交給預(yù)處理模塊，實現(xiàn)數(shù)據(jù)的預(yù)處理目的.

第二，預(yù)處理模塊.預(yù)處理模塊是對數(shù)據(jù)源模塊工作的進(jìn)一步深化.預(yù)處理模塊接收到移交自數(shù)據(jù)源模塊的數(shù)據(jù)后，通過對數(shù)據(jù)分析、變換以及處理，進(jìn)行劃分歸類，使得數(shù)據(jù)在轉(zhuǎn)換之后能夠被識別處理.在經(jīng)過預(yù)處理模塊工作之后，不僅可以有效縮短挖掘數(shù)據(jù)的處理時間，同時還可以有效縮短分析數(shù)據(jù)的時間，切實提高數(shù)據(jù)的辨識度與準(zhǔn)確性.例如借助數(shù)據(jù)包中源IP地址、目標(biāo)IP地址以及端口信息等數(shù)據(jù)信息，實現(xiàn)對數(shù)據(jù)的整理、集合與歸類處理.也即完成數(shù)據(jù)的預(yù)處理工作.

第三，規(guī)則庫模塊.規(guī)則庫模塊運用于網(wǎng)絡(luò)病毒出現(xiàn)之后.規(guī)則庫模塊借助挖掘數(shù)據(jù)、特征識別以及聚類分析等方式來實現(xiàn)規(guī)則集的獲取目的.如果在規(guī)則集內(nèi)有此網(wǎng)絡(luò)病毒調(diào)整屬性等一些信息的詳細(xì)記錄，能夠在挖掘指導(dǎo)工作中將該記錄進(jìn)行應(yīng)用，并且能夠分析網(wǎng)絡(luò)中可能潛在病毒，實現(xiàn)有效防御病毒的作用.除此以外，在規(guī)則庫模塊中還可以運用聚類分析方法鑒別網(wǎng)絡(luò)病毒.在已經(jīng)劃分好但還未標(biāo)記的數(shù)據(jù)集中通常使用聚類分析方法，此方法可歸納該數(shù)據(jù)集，使其成為較多小組，而后劃分出差異度最小的一組數(shù)據(jù)，不同組之間的較大數(shù)據(jù)差異度也會比較大.針對數(shù)據(jù)挖掘技術(shù)來講，主要就是聚類分析數(shù)據(jù).聚類分析數(shù)據(jù)不僅能夠使數(shù)據(jù)挖掘規(guī)則庫得到有效完善，還能夠提供準(zhǔn)確且有效數(shù)據(jù)支持而分析網(wǎng)絡(luò)病毒特征.

第四，數(shù)據(jù)挖掘模塊.數(shù)據(jù)挖掘模塊是通過數(shù)據(jù)挖掘算法對數(shù)據(jù)庫進(jìn)行詳細(xì)分析.事件庫主要是由連接請求記錄組成[4].在數(shù)據(jù)挖掘技術(shù)總體組成中數(shù)據(jù)挖掘模塊屬于比較關(guān)鍵的組成部分之一.詳細(xì)來講，數(shù)據(jù)挖掘模塊主要包括數(shù)據(jù)挖掘算法以及事件庫.運用數(shù)據(jù)挖掘算法可以收集數(shù)據(jù)組成事件庫，進(jìn)而分析并歸納數(shù)據(jù)，形成規(guī)則明顯、特征清晰的探究結(jié)果.

第五，決策模塊.決策模塊運用數(shù)據(jù)挖掘形成數(shù)據(jù)庫，在數(shù)據(jù)匹配的基礎(chǔ)上密切連接規(guī)則庫.在數(shù)據(jù)庫之后，若有些信息與規(guī)則庫之間存在較高聯(lián)系，則能夠表示決策模塊中信息有一定病毒特征存在，有大可能感染病毒.若規(guī)則數(shù)據(jù)以及存在于結(jié)果數(shù)據(jù)庫的數(shù)據(jù)無法匹配，則表明在該數(shù)據(jù)包中存在被稱之為新型規(guī)則類的新型特征型病毒.那么，就有必要向規(guī)則庫中引入此病毒.

3.2 數(shù)據(jù)挖掘技術(shù)下的病毒防御系統(tǒng)

第一，關(guān)聯(lián)規(guī)則.關(guān)聯(lián)規(guī)則，顧名思義，指的就是在數(shù)據(jù)庫中存在一類能夠被關(guān)聯(lián)的知識.也即如果在數(shù)據(jù)庫中存在兩個或者兩個以上變量的取值之間具有一定的規(guī)律，那么表明這些數(shù)據(jù)之間存在著一定的關(guān)聯(lián)性.數(shù)據(jù)挖掘技術(shù)主要由因果關(guān)聯(lián)、時序關(guān)聯(lián)以及簡單關(guān)聯(lián)三種關(guān)聯(lián)組成.分析以上所講的關(guān)聯(lián)就是為了找出數(shù)據(jù)庫中存在的關(guān)聯(lián)網(wǎng)，挖掘數(shù)據(jù)間存在的關(guān)系，找出數(shù)據(jù)之間的關(guān)聯(lián)規(guī)則.

第二，聚類分析.聚類分析需要將獲取的數(shù)據(jù)包進(jìn)行分解并劃分為不同組，對于每個組分類而言，其有某種或幾種相似特征存在，而不同組別之間又有不同特征存在.通過聚類數(shù)據(jù)，能夠及時識別數(shù)據(jù)分布中的疏密情況，使得全局分布模式得以全部呈現(xiàn)，使數(shù)據(jù)屬性之間所存在關(guān)系得以體現(xiàn).

第三，分類分析.分類分析所指的就是在預(yù)先所設(shè)定幾個分類中將個體根據(jù)其類別分別納入，分類目的就是利用各類統(tǒng)計方法與機(jī)器學(xué)習(xí)方法等對分類模型進(jìn)行構(gòu)造，在某個特定類映射數(shù)據(jù)庫中數(shù)據(jù)，然后利用該分類規(guī)則分類其它數(shù)據(jù).

第四，異類分析.異類分析也被稱為孤立點分析.指的就是分析數(shù)據(jù)庫中對不同點比較明顯以及與其它數(shù)據(jù)偏離較為明顯的數(shù)據(jù).這里所需要分析的數(shù)據(jù)也即與常規(guī)模式偏離的數(shù)據(jù)[5].在異類分析中主要包括發(fā)現(xiàn)孤立點以及對孤立點進(jìn)行分析，發(fā)現(xiàn)孤立點往往會有悖常理結(jié)果產(chǎn)生，在分析孤立點的過程中，發(fā)現(xiàn)與一般數(shù)據(jù)相比價值更高的數(shù)據(jù)的可能性會更大.

第五，序列分析.此分析方法是對數(shù)據(jù)進(jìn)行動態(tài)處理的一種統(tǒng)計型方式.序列分析借助對隨機(jī)數(shù)據(jù)序列間存在的特有規(guī)律地分析，找出于事件庫中存在的病毒數(shù)據(jù)序列.

4 結(jié)語

當(dāng)前社會計算機(jī)網(wǎng)路技術(shù)有著十分廣泛的應(yīng)用，在應(yīng)用過程中應(yīng)當(dāng)對網(wǎng)絡(luò)病毒加強(qiáng)注意，采取有效措施防御網(wǎng)絡(luò)病毒，在實際應(yīng)當(dāng)過程中應(yīng)當(dāng)通過對數(shù)據(jù)挖掘技術(shù)的應(yīng)用防御計算機(jī)病毒，避免計算機(jī)受到入侵而影響其正常使用，保證計算機(jī)安全以及正常運行.

〔1〕劉春娟.數(shù)據(jù)挖掘技術(shù)在計算機(jī)網(wǎng)絡(luò)病毒防御中的應(yīng)用分析[J].電子測試,2014(5).

〔2〕李智勇.數(shù)據(jù)挖掘在計算機(jī)網(wǎng)絡(luò)病毒防御中的應(yīng)用探究[J].電子測試,2014(12).

〔3〕趙松.基于數(shù)據(jù)挖掘技術(shù)的計算機(jī)網(wǎng)絡(luò)病毒防御系統(tǒng)設(shè)計[J].無線互聯(lián)科技,2014(8).

〔4〕呂睿.數(shù)據(jù)挖掘技術(shù)在計算機(jī)網(wǎng)絡(luò)病毒防御中的應(yīng)用分析[J].電子測試,2014(23).

〔5〕潘大勝.論數(shù)據(jù)挖掘在計算機(jī)網(wǎng)絡(luò)病毒防御中的應(yīng)用[J].西南農(nóng)業(yè)大學(xué)學(xué)報(社會科學(xué)版),2012(12).