白軼 車宇

（中國核動力研究設(shè)計(jì)院 四川省成都市 610041）

數(shù)據(jù)挖掘技術(shù)作為一種新型技術(shù)，通過對數(shù)據(jù)的深入挖掘與分析了解網(wǎng)絡(luò)病毒的規(guī)律，并為計(jì)算機(jī)網(wǎng)絡(luò)病毒防御工作提供重要參考依據(jù)。當(dāng)前人類的生活方式發(fā)生了翻天覆地的變化，生活水平在提升的同時，人們需要依靠電子數(shù)據(jù)完成交流與溝通活動，而信息技術(shù)的價值也得到了廣泛的認(rèn)可，由于當(dāng)前網(wǎng)絡(luò)病毒侵害計(jì)算機(jī)現(xiàn)象較多，有必要應(yīng)用數(shù)據(jù)挖掘技術(shù)剖析病毒數(shù)據(jù)，幫助計(jì)算機(jī)抵御病毒威脅。

1 計(jì)算機(jī)網(wǎng)絡(luò)病毒特征分析

1.1 隱蔽性

計(jì)算機(jī)病毒的隱蔽性是最為核心的特點(diǎn)之一，尤其是針對企業(yè)計(jì)算機(jī)群組的攻擊性病毒，由于網(wǎng)絡(luò)安全防護(hù)能力較高，所以病毒的隱蔽性也經(jīng)過了大幅度的升級。在大數(shù)據(jù)時代，以APT攻擊為首的網(wǎng)絡(luò)病毒類型已經(jīng)產(chǎn)生了多種變種，并且其具有極高的隱蔽性，潛伏期也通常較長，對于計(jì)算機(jī)網(wǎng)絡(luò)的破壞效果明顯。同時這類病毒也能夠獲取海量的數(shù)據(jù)，并通過建立的隱蔽信道把數(shù)據(jù)傳出，無論是對于傳統(tǒng)的物理防火墻還是軟件防火墻，都容易在這一攻擊手段之下無法發(fā)揮應(yīng)有作用。

1.2 資源占用性

資源占用性體現(xiàn)在兩個方面，一種是以計(jì)算機(jī)硬件資源占用為目標(biāo)的攻擊類病毒，另一種是以數(shù)據(jù)獲取為目標(biāo)的非法侵入性病毒。前者運(yùn)行過程會通過病毒的自我繁殖，在最短的時間之內(nèi)導(dǎo)致計(jì)算機(jī)系統(tǒng)癱瘓，作為一種大能量破壞性病毒，當(dāng)前發(fā)揮的價值較為有限，近些年這類病毒基本不再出現(xiàn)。后者在運(yùn)行過程必然會侵占計(jì)算機(jī)系統(tǒng)的硬件空間，或者對原有的軟件系統(tǒng)造成較大的運(yùn)行負(fù)擔(dān)，占用資源現(xiàn)象無法避免，并且在數(shù)據(jù)的傳輸層面也會占據(jù)較大的空間。

1.3 非法侵入性

在非法侵入性方面，所有的病毒都不會冠冕堂皇的被安裝到計(jì)算機(jī)硬盤之內(nèi)，而是會通過系統(tǒng)本身存在的硬件或軟件錯誤以及缺陷，通過某種手段存儲于硬件設(shè)備之中。非法侵入性病毒在大數(shù)據(jù)時代具有更高的隱藏效果，尤其是對于APT攻擊，通常情況下，計(jì)算機(jī)系統(tǒng)本身不會產(chǎn)生報錯，同時專業(yè)化的防火墻也難以完全阻隔針對網(wǎng)絡(luò)系統(tǒng)的攻擊，自然容易出現(xiàn)大范圍的數(shù)據(jù)泄露問題。

2 數(shù)據(jù)挖掘技術(shù)應(yīng)用原理

2.1 數(shù)據(jù)的采樣

數(shù)據(jù)挖掘技術(shù)必然需要從數(shù)據(jù)源以及數(shù)據(jù)流中獲取樣本，記錄在某個時間段內(nèi)的所有數(shù)據(jù)包，并且分析當(dāng)前是否存在惡意攻擊行為，而在各類數(shù)據(jù)包內(nèi)都含有相關(guān)的數(shù)據(jù)身份表明密文。在未遭受攻擊之時，這類密文中含有的字符具有極高的線性相關(guān)效果，但是在一些隱蔽性攻擊中，會通過對于數(shù)據(jù)包的惡意更改，讓數(shù)據(jù)包可以攜帶隱藏的信息，雖然該方法容易引發(fā)數(shù)據(jù)的丟包問題，但是造成的損失往往由計(jì)算機(jī)網(wǎng)絡(luò)和硬件設(shè)備的保有者承擔(dān)，攻擊者無需注重該問題的既成后果，在防御用的數(shù)據(jù)挖掘技術(shù)中，必然會通過對這類數(shù)據(jù)的采樣和使用，從中找到各類數(shù)據(jù)的分布模式，為后續(xù)的分析工作奠定基礎(chǔ)。

2.2 數(shù)據(jù)的識別

在數(shù)據(jù)的識別階段，要求已經(jīng)獲得了的數(shù)據(jù)樣本要經(jīng)過全面以及細(xì)致的分析，確定所有數(shù)據(jù)是否遭受了篡改，從而判斷當(dāng)前是否出現(xiàn)了嚴(yán)重的網(wǎng)絡(luò)攻擊。在大數(shù)據(jù)時代，由于個人信息以及企業(yè)信息能夠?yàn)榉欠ǚ肿訋砀嗟氖找?，所以這一攻擊方法成為了主流，本文也只是研究了大數(shù)據(jù)時期的多種主要攻擊手段，從實(shí)際的作用效果上來看，正是由于這類攻擊手段難以被計(jì)算機(jī)系統(tǒng)察覺，會導(dǎo)致原有的各類防范手段失效，在數(shù)據(jù)的識別階段，采用網(wǎng)絡(luò)數(shù)據(jù)挖掘技術(shù)，自然可以詳細(xì)的分析各類數(shù)據(jù)和字符的構(gòu)成、字符的集中范圍、數(shù)據(jù)的集合模式等。

2.3 問題的查找

問題的查找過程需要找到在遭受攻擊之時攻擊程序的存儲節(jié)點(diǎn)和分布區(qū)域，以APT攻擊為例，數(shù)據(jù)挖掘技術(shù)可以在極短時間內(nèi)實(shí)現(xiàn)對規(guī)劃范圍內(nèi)節(jié)點(diǎn)的數(shù)據(jù)分析工作，并且把節(jié)點(diǎn)分配為根節(jié)點(diǎn)以及葉節(jié)點(diǎn)，當(dāng)發(fā)現(xiàn)某節(jié)點(diǎn)和正常運(yùn)行狀態(tài)下的數(shù)據(jù)不符，則分析以該節(jié)點(diǎn)為中心，周邊節(jié)點(diǎn)的數(shù)據(jù)產(chǎn)生情況，并且將存在缺陷和故障的節(jié)點(diǎn)記錄在案，從而合理確定當(dāng)前網(wǎng)絡(luò)攻擊的蔓延范圍，并且可以通過生成攻擊圖的形式，讓專業(yè)人員可以找到最佳的問題處理手段。

3 計(jì)算機(jī)網(wǎng)絡(luò)病毒防御用數(shù)據(jù)挖掘技術(shù)構(gòu)成

3.1 關(guān)聯(lián)規(guī)則設(shè)定

網(wǎng)絡(luò)數(shù)據(jù)的傳播階段，計(jì)算機(jī)系統(tǒng)的硬件設(shè)備、軟件體系中都具備一定的關(guān)聯(lián)方法，包括節(jié)點(diǎn)之間的關(guān)聯(lián)、數(shù)據(jù)層面的關(guān)聯(lián)、數(shù)據(jù)庫中各類數(shù)據(jù)表現(xiàn)之間的關(guān)聯(lián)等，常用形式包括因果關(guān)聯(lián)、簡單關(guān)聯(lián)和時序關(guān)聯(lián)三種，并在最終構(gòu)成關(guān)聯(lián)網(wǎng)絡(luò)。從最終產(chǎn)生的數(shù)據(jù)效果和字符含量上來看，未被攻擊的數(shù)據(jù)體系具有極高的線性相關(guān)性，即某數(shù)據(jù)的產(chǎn)生頻率基本相同，并不會出現(xiàn)突然變化狀況。數(shù)據(jù)挖掘技術(shù)的構(gòu)成過程必然需要通過對關(guān)聯(lián)規(guī)則的設(shè)定和使用，根據(jù)不同的關(guān)聯(lián)方式找到各類節(jié)點(diǎn)之間的關(guān)聯(lián)模式，從而讓分析的數(shù)據(jù)類型和數(shù)據(jù)表現(xiàn)可以更好地支持應(yīng)有的分析工作，以最大限度提高整個系統(tǒng)的運(yùn)行穩(wěn)定性和病毒防護(hù)的高效性。

3.2 數(shù)據(jù)聚類分析

大數(shù)據(jù)技術(shù)的一個重要表現(xiàn)模式是，可以在極短時間內(nèi)分析獲取的數(shù)據(jù)樣本之間產(chǎn)生的相互關(guān)聯(lián)效果，在具體分析過程，通過對已經(jīng)記錄的數(shù)據(jù)包中，大量密文字符構(gòu)成狀態(tài)的分析和驗(yàn)證，可以研究是否存在數(shù)據(jù)的聚類現(xiàn)象，并且分析數(shù)據(jù)包的本身構(gòu)成狀態(tài)。當(dāng)發(fā)現(xiàn)字符之間不存在極強(qiáng)的線性相關(guān)性時，可確定當(dāng)前該計(jì)算機(jī)網(wǎng)絡(luò)已經(jīng)被病毒攻擊，并且這一信道的數(shù)據(jù)包發(fā)揮了網(wǎng)絡(luò)攻擊中的隱蔽信道作用。通過數(shù)據(jù)的發(fā)掘，可以把數(shù)據(jù)包中被檢測的密文納入到詳細(xì)的分析模型內(nèi)，才可讓檢測系統(tǒng)更好地研究是否遭受了攻擊。

3.3 數(shù)據(jù)分類分析

數(shù)據(jù)的分類分析作用區(qū)域是計(jì)算機(jī)軟件中，所以有數(shù)據(jù)的模塊和節(jié)點(diǎn)，通過分析可以讓該系統(tǒng)能夠處于安全穩(wěn)定的運(yùn)行狀態(tài)。不同軟件在運(yùn)行過程，其數(shù)據(jù)的分類和具體表現(xiàn)形式具有較大不同，軟件系統(tǒng)可以支持不同類型的功能。防護(hù)用計(jì)算機(jī)挖掘技術(shù)的建立過程，要求最終構(gòu)筑的項(xiàng)目要能夠從根源上研究不同數(shù)據(jù)包和數(shù)據(jù)集合體的發(fā)揮功能類型，并在這一基礎(chǔ)上，找到各類功能的實(shí)現(xiàn)方式，從而讓該系統(tǒng)可以處于科學(xué)高效的運(yùn)行狀態(tài)。

3.4 數(shù)據(jù)類型研究

無論是當(dāng)前常見的何種常見攻擊方式，只要最終目的是意圖通過攻擊手段，從計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)中獲得數(shù)據(jù)，都會通過建立的隱蔽信道獲得各項(xiàng)信息，而隱蔽信道的常用作用表現(xiàn)形式是通過對于數(shù)據(jù)包中密文的處理、記錄和篡改，讓數(shù)據(jù)包記錄另類信息。這一攻擊手段會讓原有密文部分的數(shù)據(jù)喪失線性相關(guān)性，而在數(shù)據(jù)挖掘技術(shù)的使用過程，可以通過對于密文部分字符構(gòu)成的分析，研究在不同時間段內(nèi)是否出現(xiàn)密文的非法輸送現(xiàn)象，確定存在隱蔽信道之后，可以按照APT攻擊的檢測工作模式，研究當(dāng)前系統(tǒng)中是否存在節(jié)點(diǎn)的被篡改問題，以此為標(biāo)準(zhǔn)落實(shí)后續(xù)的研究項(xiàng)目。而APT攻擊作為當(dāng)前較為成熟的大數(shù)據(jù)攻擊技術(shù)，基于攻擊圖的防護(hù)方法可以選用，核心技術(shù)是數(shù)據(jù)的發(fā)掘，通過數(shù)據(jù)的歸類、分解、表現(xiàn)形式的驗(yàn)證等，找到APT攻擊的具體影響模式。

4 數(shù)據(jù)挖掘在計(jì)算機(jī)網(wǎng)絡(luò)病毒防御中的應(yīng)用研究

4.1 序列分析與關(guān)聯(lián)規(guī)則

在動態(tài)數(shù)據(jù)的統(tǒng)計(jì)處理中應(yīng)用序列分析，可以得到有效的分析結(jié)果。該方法應(yīng)用時就是將隨機(jī)數(shù)據(jù)序列規(guī)律作為研究重點(diǎn)，以此為基礎(chǔ)探究試驗(yàn)庫內(nèi)所有計(jì)算機(jī)網(wǎng)絡(luò)病毒數(shù)據(jù)序列，然后再進(jìn)行數(shù)據(jù)挖掘分析，利用數(shù)據(jù)挖掘技術(shù)構(gòu)建序列模式模型。這一階段需要用到數(shù)據(jù)挖掘算法，對時間序列加以搜索。關(guān)于數(shù)據(jù)挖掘序列分析算法的應(yīng)用程序如下：如果事件庫D交易T和時間戳間的關(guān)系十分密切，這時交易處于（t1,t2）范圍之間，且事件庫D內(nèi)包含了x、y、z，這時序列規(guī)則可以用xy-}z來表示，規(guī)則支持度和置信度分別為Support（x}JY}JZ）和support（X U Y U Z）。

數(shù)據(jù)挖掘技術(shù)在網(wǎng)絡(luò)病毒防御應(yīng)用過程中，關(guān)聯(lián)規(guī)則是指某一類數(shù)據(jù)內(nèi)會有被發(fā)現(xiàn)的內(nèi)容，在變量取值中具有一定規(guī)律可循。這種規(guī)律的存在可以體現(xiàn)出數(shù)據(jù)和數(shù)據(jù)間的密切關(guān)系，且聯(lián)系十分緊密。應(yīng)用數(shù)據(jù)挖掘技術(shù)可以分析數(shù)據(jù)之間的關(guān)聯(lián)規(guī)則，并將具體關(guān)聯(lián)規(guī)則劃分為時序關(guān)聯(lián)規(guī)則、簡單關(guān)聯(lián)規(guī)則、因果關(guān)聯(lián)規(guī)則等。數(shù)據(jù)挖掘技術(shù)在應(yīng)用的同時應(yīng)對數(shù)據(jù)庫的數(shù)據(jù)展開分析，尋找數(shù)據(jù)與數(shù)據(jù)的關(guān)聯(lián)，找出數(shù)據(jù)變化規(guī)律，以此為前提找到關(guān)聯(lián)網(wǎng)，明確所有數(shù)據(jù)在數(shù)據(jù)庫內(nèi)的關(guān)聯(lián)規(guī)則，再對不同的關(guān)聯(lián)規(guī)則進(jìn)行分類處理，最終形成數(shù)據(jù)組，方便為日后計(jì)算機(jī)網(wǎng)絡(luò)病毒防御提供數(shù)據(jù)參考。

4.2 聚類分析與異類分析

數(shù)據(jù)挖掘技術(shù)中的聚類分析具體指對得到的數(shù)據(jù)包分解，分解后產(chǎn)生不同組別，每個組別間都有相同點(diǎn)和不同點(diǎn)。從數(shù)據(jù)之間的異同角度出發(fā)，對網(wǎng)絡(luò)病毒數(shù)據(jù)展開實(shí)時聚類分析，識別數(shù)據(jù)分布疏密度，觀察數(shù)據(jù)分布模式，從中總結(jié)出每一組數(shù)據(jù)的特征和數(shù)據(jù)間的關(guān)聯(lián)性。與聚類分析相對應(yīng)的是異類分析，異類分析也被成為孤立點(diǎn)分析，結(jié)合數(shù)據(jù)庫的不同點(diǎn)，即與其他數(shù)據(jù)存在較大偏離差距的信息，這部分?jǐn)?shù)據(jù)信息和常規(guī)數(shù)據(jù)在規(guī)模上偏差較大。根據(jù)這一特點(diǎn)展開數(shù)據(jù)集聚分析，尋找數(shù)據(jù)孤立點(diǎn)，判斷孤立點(diǎn)與其他數(shù)據(jù)是否有聯(lián)系，如果沒有聯(lián)系，且數(shù)據(jù)規(guī)模偏差較大，說明當(dāng)前計(jì)算機(jī)網(wǎng)絡(luò)內(nèi)部也發(fā)生了異常，這部分?jǐn)?shù)據(jù)就是病毒數(shù)據(jù)，要求相關(guān)人員提高警惕意識，做好網(wǎng)絡(luò)病毒的防御工作。

4.3 計(jì)算機(jī)網(wǎng)絡(luò)病毒防御系統(tǒng)設(shè)計(jì)

4.3.1 檢測模塊設(shè)計(jì)

依靠數(shù)據(jù)挖掘技術(shù)創(chuàng)建計(jì)算機(jī)網(wǎng)絡(luò)病毒防御系統(tǒng)，對海量數(shù)據(jù)有效篩選，構(gòu)建模型后尋找網(wǎng)絡(luò)病毒的入侵特點(diǎn)，將挖掘到的數(shù)據(jù)存入數(shù)據(jù)庫內(nèi)，為今后的病毒防御做準(zhǔn)備。網(wǎng)絡(luò)病毒防御系統(tǒng)已數(shù)據(jù)為中心，實(shí)時記錄并分析大量數(shù)據(jù)，應(yīng)用數(shù)據(jù)挖掘技術(shù)記錄系統(tǒng)日志審計(jì)信息，從中找出入侵行為，解決病毒入侵問題。由于數(shù)據(jù)挖掘需要耗費(fèi)較長時間，可以將研究的重點(diǎn)放在入侵檢測模型中，系統(tǒng)提取網(wǎng)絡(luò)病毒特征，并建立入侵檢測模型。

4.3.2 控制防御模塊設(shè)計(jì)

不同防火墻有著不同程度的防御功能，多數(shù)計(jì)算機(jī)網(wǎng)絡(luò)設(shè)備集成中帶有防火墻系統(tǒng)，比如混合式防火墻。這些防火墻可以防御惡意數(shù)據(jù)入侵，保護(hù)計(jì)算機(jī)數(shù)據(jù)。該計(jì)算機(jī)網(wǎng)絡(luò)病毒防御系統(tǒng)的設(shè)計(jì)應(yīng)用了Linux系統(tǒng)，Iptables是系統(tǒng)中自帶的防火墻功能。分析Iptables防火墻在病毒防御系統(tǒng)內(nèi)的應(yīng)用，主要體現(xiàn)于以下兩方面：

（1）非法字符控制。字符串是最常見的病毒形式，在sql內(nèi)輸入指令時如果帶有“or 1=1”,應(yīng)使用防火墻控制非法字符，將數(shù)據(jù)包攔截后避免數(shù)據(jù)庫被損壞。防火墻可以在string模塊中控制非法字符，這一模塊和防火墻字符串相互匹配，并匹配數(shù)據(jù)報文，以瀏覽器的方式在sql注入?？梢姺阑饓ψ址ヅ鋾r能夠攔截域名、限制域名，阻止域名訪問，減少木馬入侵次數(shù)。

（2）應(yīng)用防火墻控制非法IP抵制，攔截惡意IP數(shù)據(jù)。應(yīng)用防火墻的過濾功能丟棄IP數(shù)據(jù)報文，截?cái)鄲阂釯P地址和網(wǎng)絡(luò)的連接，防止其向計(jì)算機(jī)發(fā)送惡意數(shù)據(jù)包，禁止用戶訪問該地址。

4.3.3 后續(xù)處理模塊設(shè)計(jì)

檢測模塊和控制防御模塊設(shè)計(jì)完成之后，應(yīng)檢測入侵到計(jì)算機(jī)內(nèi)網(wǎng)中的病毒，再進(jìn)一步展開防御處理。以上模塊無法完善病毒防御系統(tǒng)，還應(yīng)該對病毒入侵做好后續(xù)處理，將網(wǎng)絡(luò)入侵情況及時反饋給用戶。后續(xù)處理模塊具有監(jiān)控效果，能夠?qū)⑾到y(tǒng)監(jiān)控?cái)?shù)據(jù)如實(shí)記錄，方便管理人員處理數(shù)據(jù)，且該模塊擁有通知功能和防御控制功能，發(fā)生病毒入侵時能夠及時通知管理員，向?qū)Ψ桨l(fā)送郵件，將網(wǎng)絡(luò)病毒的類型和等級反饋到管理員，方便管理員采取處理措施。數(shù)據(jù)反饋之后，管理員對網(wǎng)絡(luò)病毒類型展開分析，探究病毒原理和特點(diǎn)，應(yīng)用Olly Debug工具分析病毒，及時更新病毒庫，將新病毒填入庫內(nèi)，逐漸提升系統(tǒng)防御效果。

5 總結(jié)

總而言之，本文應(yīng)用數(shù)據(jù)挖掘技術(shù)對計(jì)算機(jī)網(wǎng)絡(luò)病毒的入侵情況進(jìn)行在線檢測和控制，使用數(shù)據(jù)挖掘算法分析病毒，圍繞病毒入侵展開討論。根據(jù)數(shù)據(jù)挖掘技術(shù)的應(yīng)用原理，結(jié)合網(wǎng)絡(luò)病毒的特征表現(xiàn)，設(shè)計(jì)出計(jì)算機(jī)網(wǎng)絡(luò)病毒防御系統(tǒng)，通過檢測模塊、控制防御模塊、后續(xù)處理模塊的優(yōu)化設(shè)計(jì)，實(shí)現(xiàn)對病毒的科學(xué)防范。