劉清毅

(陜西廣播電視大學,西安 710068)

0 引言

計算機網(wǎng)路病毒屬于一種惡意攻擊的執(zhí)行代碼，往往會利用計算機網(wǎng)絡系統(tǒng)中的漏洞入侵用戶終端。計算機網(wǎng)絡具有明顯的開放性，所以病毒可以以非?？斓乃俣冗M行傳播，容易給用戶造成非常嚴重的經(jīng)濟損失甚至導致整個網(wǎng)絡系統(tǒng)的癱瘓。數(shù)據(jù)挖掘技術主要是從大型的、噪雜的、擁擠的空間中提取不被人知的數(shù)據(jù)，這些數(shù)據(jù)都是有用的潛在信息。傳統(tǒng)的數(shù)據(jù)挖掘技術存在一定的局限性。隨著互聯(lián)網(wǎng)技術的快速發(fā)展，將傳統(tǒng)數(shù)據(jù)挖掘與互聯(lián)網(wǎng)相結(jié)合所產(chǎn)生的網(wǎng)絡數(shù)據(jù)挖掘技術已經(jīng)普遍運用于計算機病毒防御系統(tǒng)中，使計算機網(wǎng)絡的安全性得到提高，確保計算機網(wǎng)絡能夠穩(wěn)定運行。

1 計算機網(wǎng)絡病毒特點

1)擴散快

計算機網(wǎng)絡病毒與網(wǎng)絡之間存在密切聯(lián)系，計算機病毒可以通過多種途徑對計算機網(wǎng)絡進行蓄意破壞或入侵，主要方式包括不良網(wǎng)頁、系統(tǒng)漏洞、電子郵件等。

2)破壞性強

網(wǎng)絡病毒具有較強的破壞性，人們所接觸到的網(wǎng)絡病毒大多是對其他相關技術有很強的依賴性，像木馬技術和黑客技術等，這類病毒往往是混合型病毒，對病毒的檢測非常困難，很容易導致計算機內(nèi)部重要信息泄露，甚至造成系統(tǒng)癱瘓。極大程度破壞計算機運行的穩(wěn)定性。

3)種類繁多

計算機網(wǎng)絡病毒種類繁多，變化也比較快，大部分網(wǎng)絡病毒都很容易制作與生產(chǎn)，許多病毒都是借助高級程序而進入電腦系統(tǒng)中，對病毒的編寫非常容易，僅僅需要變換幾個簡單的指令就會產(chǎn)生不同類型的電腦病毒，所以，網(wǎng)絡病毒種類繁多，而且存在不確定性。

4)針對性強

隨著計算機網(wǎng)絡的不斷發(fā)展，計算機病毒的產(chǎn)生目的也在發(fā)生著變化，傳統(tǒng)的網(wǎng)絡病毒僅僅是編寫者為了體現(xiàn)自身的高超技術，是一種心理扭曲所造成的負面影響。而當前的計算機網(wǎng)絡病毒具有一定的針對性，攻擊性非常強，已經(jīng)開始向商業(yè)盈利方向轉(zhuǎn)變，病毒的編寫人員也會通過制造病毒而獲取利益。

2 數(shù)據(jù)挖掘技術在網(wǎng)絡病毒防御中的技術可行性

計算機網(wǎng)絡病毒首先感染到主機，然后再進行擴散傳播，在傳播的過程中，病毒會入侵用戶的操作系統(tǒng)，然后掃描用戶信息以及用戶網(wǎng)絡中所存在的其他用戶信息，最終進行破壞、竊取信息等操作。這些異常的行為恰好可以為數(shù)據(jù)挖掘技術提供支持，通過數(shù)據(jù)挖掘技術可以抓取并且分析網(wǎng)絡過程中的數(shù)據(jù)，根據(jù)數(shù)據(jù)的分析結(jié)果，對網(wǎng)絡中存在異常問題的銀發(fā)原因進行診斷，從而幫助用戶選擇合適的策略來進行安全防護，及時的阻止或消除防落病毒。

為了更好的實現(xiàn)數(shù)據(jù)挖掘技術，需要進一步分析網(wǎng)絡病毒的感染與傳播，把相關的依據(jù)提供給數(shù)據(jù)挖掘技術。例如，計算機受到蠕蟲病毒感染，首先要對主機進行掃描，與此同時在計算機防御系統(tǒng)建設方面構(gòu)建一個突破口，將數(shù)據(jù)挖掘技術作為基礎，構(gòu)建全新的防御系統(tǒng)，在通常情況下，由以下幾個部分構(gòu)成：數(shù)據(jù)源模塊，數(shù)據(jù)挖掘模塊，決策模塊，預處理模塊，規(guī)則庫模塊以及防御模塊，主要的工作原理在于網(wǎng)絡，在數(shù)據(jù)源形成之后，由預處理模塊進行處理，記錄網(wǎng)絡信息傳播病毒，形成一定的免疫能力，以后一旦有類似病毒入侵，就會及時報警，通過防御系統(tǒng)對主機進行保護。

3 網(wǎng)絡病毒防御中數(shù)據(jù)挖掘技術的應用分析

數(shù)據(jù)挖掘技術主要是對功能覆蓋范圍內(nèi)的所有數(shù)據(jù)進行分類與分析，查找到數(shù)據(jù)中存在的潛在關系。數(shù)據(jù)挖掘技術以及應用過程如圖1所示：

圖1 數(shù)據(jù)挖掘結(jié)構(gòu)圖

當數(shù)據(jù)模式確定以后，相關的挖掘引擎都會按照知識庫的相關要求對數(shù)據(jù)進行分析與歸類，然后查找規(guī)律和特點，為后期的數(shù)據(jù)分析提供支持。在網(wǎng)絡病毒防御系統(tǒng)中所構(gòu)建的數(shù)據(jù)挖掘技術主要包含五個模塊：數(shù)據(jù)源模塊、數(shù)據(jù)挖掘模塊、規(guī)則庫模塊、預處理模塊、決策模塊。

3.1 工作原理

1)數(shù)據(jù)源模塊。數(shù)據(jù)源模塊的主要工作在于將網(wǎng)絡所截獲的數(shù)據(jù)包傳送到主機，數(shù)據(jù)源模塊中最原始的數(shù)據(jù)包存在包括與某個特定數(shù)據(jù)相關的數(shù)據(jù)結(jié)構(gòu)，處于數(shù)據(jù)源模塊中的抓包程序接收數(shù)據(jù)包，然后移交給預處理模塊，從而實現(xiàn)數(shù)據(jù)的預處理目的。

2)預處理模塊

由數(shù)據(jù)源模塊所收集到的信息交給預處理模塊進行歸類和分析，轉(zhuǎn)化為可以被識別處理的統(tǒng)一數(shù)據(jù)，可以按照數(shù)據(jù)包中的IP地址、端口信息等進行歸納與總結(jié)，通過數(shù)據(jù)預處理模塊可以有效的縮短數(shù)據(jù)分析與數(shù)據(jù)挖掘所需要的時間，提高挖掘效率，增強數(shù)據(jù)的辨識度。

3)數(shù)據(jù)挖掘模塊

數(shù)據(jù)挖掘模塊屬于挖掘技術的核心模塊，主要包括數(shù)據(jù)的挖掘算法、事件庫兩個部分。利用數(shù)據(jù)挖掘算法能夠?qū)?shù)據(jù)收集所生成的事件庫進行分析與歸納，最終形成特征明顯的分析結(jié)果。

4)規(guī)則庫模塊

在網(wǎng)絡病毒出現(xiàn)之后，規(guī)則庫模塊主要對以往的網(wǎng)絡病毒進行挖掘、識別、分類后得到一類規(guī)則集。其中記錄著網(wǎng)絡病毒的相關信息，這些信息可以用于指導挖掘計算機網(wǎng)絡中尋在的其他病毒，也可以對新識別的病毒進行分類，進一步來完善數(shù)據(jù)挖掘規(guī)則庫，為以后計算機病毒的特征分析提供大力支持。

5)決策模塊

通過數(shù)據(jù)挖掘而形成的數(shù)據(jù)庫與規(guī)則庫通過決策模塊進行匹配，在結(jié)果數(shù)據(jù)庫中如果存在于規(guī)則庫中相似度高的數(shù)據(jù)信息，則證明了該數(shù)據(jù)信息具有病毒的相關特征，有可能存在病毒，如果相似度不高，則證明數(shù)據(jù)包中存在的病毒具有新的特性，是一種新類型的病毒，需要將該病毒納入一個新的規(guī)則庫。

3.2 基于數(shù)據(jù)挖掘技術的計算機網(wǎng)絡安全病毒防御系統(tǒng)構(gòu)建

1)關聯(lián)規(guī)則

關聯(lián)對則是在數(shù)據(jù)庫中存在一類可以被關聯(lián)的知識，數(shù)據(jù)庫中所存在的變量之間具有一定的規(guī)律性，數(shù)據(jù)挖掘主要由因果關聯(lián)、時序關聯(lián)以及簡單關聯(lián)三種關聯(lián)組成，分析這三種關聯(lián)主要為了發(fā)現(xiàn)數(shù)據(jù)庫中的關聯(lián)網(wǎng)，挖掘數(shù)據(jù)之間存在的關系。

2)聚類分析

該分析需要把數(shù)據(jù)包分解為不同組，每個組都有相似的特征，不同組別之間又存在不同特征，通過聚類數(shù)據(jù)，可以識別數(shù)據(jù)分布中的疏密情況，使全局模式都能夠得到呈現(xiàn)，數(shù)據(jù)之間的屬性也會得到體現(xiàn)。

3)分類分析

分類分析是在預先設定的幾個分類中把個體根據(jù)類別進行納入，主要是為了利用統(tǒng)計方法和機器學習方法對分類模型進行構(gòu)造，利用分類規(guī)則來對數(shù)據(jù)進行分類。

4)異類分析

主要分析數(shù)據(jù)庫中不同點比較明顯的數(shù)據(jù)，這些數(shù)據(jù)大多與常規(guī)數(shù)據(jù)偏離，在異類分析中主要包括發(fā)現(xiàn)孤立點和分析孤立點，發(fā)現(xiàn)與一般數(shù)據(jù)相比價值更高的數(shù)據(jù)可能性會更大。

3.3 決策樹挖掘

決策樹是一種樹形狀的圖，由多個節(jié)點構(gòu)成，每個內(nèi)部節(jié)點都是一個性質(zhì)測試，每個樹枝代表一個檢測結(jié)果，葉子上的節(jié)點代表不同形式的狀態(tài)分配。在分類樹中最基本的運算法則是ID3和C4.5。這兩種方法都是從上到下樹的結(jié)構(gòu)。以下是使用決策樹分類算法未知程序是病毒還是非病毒進行分類。其流程如圖2所示。

具體說明：惡意病毒的決策條件

條件1：惡意程序有破壞的能力。

條件2：惡意程序有傳染的能力。

條件3：惡意程序有隱藏的能力。

檢測病毒程序的步驟

第一步：如果某個程序有破壞能力，就會到達節(jié)點1.否則到達葉節(jié)點1，并且判斷出該程序為非惡意程序。

第二部：到達節(jié)點1的惡意程序具有傳染能力，就會到達節(jié)點2，不就有傳染能力的情況下到達葉節(jié)點1，并且能夠判斷該惡意程序為非病毒程序。

第三步：惡意程序到達節(jié)點2，如果該程序具有隱藏能力，則可以判定該程序為病毒，否則該程序為非病毒程序。

防御計算機病毒系統(tǒng)的重要作用在于第一時間捕捉到樣本，為用戶提供正確的解決方案。決策樹模型可以減輕傳統(tǒng)防病毒工程中手工分揀的負擔，讓分析員優(yōu)先分析更近似于病毒的樣本，提高分析處理的效率。

4 總結(jié)

互聯(lián)網(wǎng)在人們生產(chǎn)生活中所應用的領域越來越廣，涉及到金融、財產(chǎn)以及人際關系的內(nèi)容越來越多，數(shù)據(jù)挖掘技術在計算機網(wǎng)絡安全防御系統(tǒng)中的地位越來越重要。數(shù)據(jù)挖掘技術基于大數(shù)據(jù)模塊更多的運用在計算機網(wǎng)絡詐騙防護、危機評估等。有效的檢測病毒的各種入侵活動。數(shù)據(jù)挖掘技術充分反應了當前防病毒工具的現(xiàn)進性，能夠準確的預測、檢測病毒的入侵形式和數(shù)量。在對電腦系統(tǒng)的防御中，數(shù)據(jù)挖掘技術扮演著“守護者”的重要角色。所以病毒防范系統(tǒng)的分析與應用具有遠大的戰(zhàn)略性意義。

[1] 高輝.數(shù)據(jù)挖掘在計算機網(wǎng)絡病毒防御中的應用[J].電子技術與軟件工程,2017，7(4):218.

[2] 欒志福.數(shù)據(jù)挖掘技術在計算機網(wǎng)絡病毒防御中的應用分析[J].赤峰學院學報(自然科學版),2015，10(8)：24-25.

[3] 張玉英.基于數(shù)據(jù)挖掘技術的計算機網(wǎng)絡病毒防御技術[J]電子技術與軟件工程,2017，8(3):222-223.

[4] 鄭剛.數(shù)據(jù)挖掘技術在計算機網(wǎng)絡病毒防御中的應用探討[J].信息與電腦(理論版),2016,8(2):25-27.

[5] 李嘉嘉.淺談數(shù)據(jù)挖掘在計算機網(wǎng)絡病毒防御中的應用[J].網(wǎng)絡安全技術與應用,2017,15(8):84-89.