計算機(jī)網(wǎng)絡(luò)安全病毒防御中的數(shù)據(jù)挖掘技術(shù)

李碩 車宇

（中國核動力研究設(shè)計院 四川省成都市 610041）

數(shù)據(jù)挖掘技術(shù)在計算機(jī)網(wǎng)絡(luò)安全病毒防御中的優(yōu)勢較為顯著，將網(wǎng)絡(luò)數(shù)據(jù)結(jié)合在一起綜合分析，數(shù)據(jù)挖掘技術(shù)涉及的范圍較廣，要充分結(jié)合當(dāng)前計算機(jī)網(wǎng)絡(luò)安全病毒的實際特點，詳細(xì)的對數(shù)據(jù)源模塊、數(shù)據(jù)決策模塊以及規(guī)則庫模塊進(jìn)行研究，使之適應(yīng)計算機(jī)網(wǎng)絡(luò)安全病毒防御的需要。

1 計算機(jī)網(wǎng)絡(luò)病毒的主要特點

隨著現(xiàn)代化科學(xué)信息技術(shù)的不斷發(fā)展，人們對計算機(jī)網(wǎng)絡(luò)的需求逐漸增加，在計算機(jī)網(wǎng)絡(luò)運(yùn)行的過程中容易受到多種因素的影響，網(wǎng)絡(luò)病毒現(xiàn)象時有發(fā)生，給計算機(jī)網(wǎng)絡(luò)系統(tǒng)帶來嚴(yán)重威脅，網(wǎng)絡(luò)病毒的特征具有多樣性，對計算機(jī)中的數(shù)據(jù)資源造成破壞。

（1）病毒的傳染特點較為明顯，計算機(jī)病毒的產(chǎn)生與人為因素有關(guān)，主要通過編制程序代碼的形式植入到用戶的計算機(jī)系統(tǒng)內(nèi)，并在病毒傳播的過程中自動匹配符合傳染條件的程序，通過自動搜索的形式隨即傳播。當(dāng)計算機(jī)存在病毒時處理不及時將會產(chǎn)生新的傳染源并繼續(xù)對其它文件以及程序造成影響。

（2）病毒傳播方式較多，計算機(jī)網(wǎng)絡(luò)病毒產(chǎn)生的前提是計算機(jī)處于正常運(yùn)行的狀態(tài)，一些社會上的不法分子往往通過電子郵件等多種形式傳播病毒，不及時處理將會影響計算機(jī)系統(tǒng)的平穩(wěn)運(yùn)行。其中，最主要的病毒傳播途徑是系統(tǒng)漏洞，可以對計算機(jī)遠(yuǎn)程主機(jī)系統(tǒng)進(jìn)行操控，此時的病毒將會自動的搜索，借助系統(tǒng)存在的漏洞侵入電腦中，破壞計算機(jī)系統(tǒng)。

（3）病毒的破壞能力較強(qiáng)，當(dāng)前最為常見的病毒主要有黑客以及木馬，具有較強(qiáng)的攻擊性。同時，黑客以及木馬病毒的隱蔽性較強(qiáng)，不易被使用者發(fā)現(xiàn)，導(dǎo)致使用者的關(guān)鍵信息數(shù)據(jù)經(jīng)常出現(xiàn)丟失的現(xiàn)象，重要信息將被泄露，阻礙了計算機(jī)系統(tǒng)的安全運(yùn)行。

2 計算機(jī)網(wǎng)絡(luò)安全病毒防御中數(shù)據(jù)挖掘技術(shù)的應(yīng)用原理

數(shù)據(jù)挖掘技術(shù)在計算中網(wǎng)絡(luò)安全病毒防御中的應(yīng)用效果較為突出，將數(shù)據(jù)挖掘技術(shù)應(yīng)用其中，主要通過數(shù)據(jù)分析方式，準(zhǔn)確的將數(shù)據(jù)進(jìn)行分類的處理，并在具體的分類過程中找出數(shù)據(jù)之間存在的關(guān)聯(lián)性。同時，數(shù)據(jù)挖掘技術(shù)包含的方面具有多樣性，要將數(shù)據(jù)的整理、收集以及清理等結(jié)合在一起綜合分析，并在計算機(jī)網(wǎng)絡(luò)病毒防御工作中發(fā)揮價值。數(shù)據(jù)挖掘技術(shù)有效的掌握了病毒的產(chǎn)生以及傳播方式，在數(shù)據(jù)挖掘技術(shù)的支持下通過計算機(jī)主機(jī)掃描的方式檢測病毒，并以此為依據(jù)構(gòu)建科學(xué)合理的病毒防御機(jī)制，在此環(huán)節(jié)中，需要發(fā)揮數(shù)據(jù)挖掘模塊以及數(shù)據(jù)源模塊的優(yōu)勢，并與預(yù)處理數(shù)據(jù)模塊相結(jié)合，通過分析數(shù)據(jù)包的形式對計算機(jī)存在的病毒信息進(jìn)行記錄處理，該技術(shù)的應(yīng)用可以提升計算機(jī)系統(tǒng)抵御病毒的能力，借助報警裝置的作用針對計算機(jī)網(wǎng)絡(luò)系統(tǒng)中存在的病毒現(xiàn)象進(jìn)行及時的報警，隨即自動啟動防御程序，為用戶營造良好的計算機(jī)網(wǎng)絡(luò)運(yùn)行環(huán)境[1]。

3 計算機(jī)網(wǎng)絡(luò)安全病毒防御中數(shù)據(jù)挖掘技術(shù)的主要形式

3.1 數(shù)據(jù)源

數(shù)據(jù)源主要指的是抓包程序，當(dāng)計算機(jī)系統(tǒng)處于正常運(yùn)行的狀態(tài)時，其中數(shù)據(jù)源中包含的信息具有多樣性，主要包括觀測數(shù)據(jù)、分析測定數(shù)據(jù)、圖形數(shù)據(jù)、統(tǒng)計調(diào)查數(shù)據(jù)以及遙感數(shù)據(jù)等，數(shù)據(jù)源是開放式數(shù)據(jù)庫連接驅(qū)動，能夠連接到數(shù)據(jù)庫上必需的信息。注重觀察抓包程序運(yùn)行狀態(tài)，并及時接收信息，隨即需要對收集上來的信息進(jìn)行處理，此時需要與數(shù)據(jù)預(yù)處理模塊相連接，確保數(shù)據(jù)分析的準(zhǔn)確性。

3.2 數(shù)據(jù)決策

數(shù)據(jù)決策較為關(guān)鍵，發(fā)揮數(shù)據(jù)挖掘技術(shù)的優(yōu)勢，通過構(gòu)建數(shù)據(jù)庫的形式將收集到的數(shù)據(jù)進(jìn)行實時的匹配，在此環(huán)節(jié)中需要與規(guī)則庫進(jìn)行連接，并在檢驗計算機(jī)網(wǎng)絡(luò)安全病毒的環(huán)節(jié)中，與規(guī)則庫進(jìn)行比較，當(dāng)出現(xiàn)二者之間的信息保持一致的狀態(tài)時，此時數(shù)據(jù)決策模塊中出現(xiàn)病毒，針對該方式可以準(zhǔn)確的對計算機(jī)系統(tǒng)是否感染病毒進(jìn)行判定。同時，監(jiān)測數(shù)據(jù)決策模塊的運(yùn)行狀態(tài)，在與規(guī)則庫進(jìn)行連接的過程中，要詳細(xì)的分析與規(guī)則庫數(shù)據(jù)不相匹配的現(xiàn)象，當(dāng)發(fā)生該現(xiàn)象時則計算機(jī)網(wǎng)絡(luò)系統(tǒng)可能存在新的網(wǎng)絡(luò)病毒，此時則需要進(jìn)一步的與規(guī)則庫進(jìn)行比較，并對該新型病毒進(jìn)行分類。

3.3 規(guī)則庫

規(guī)則庫的作用較為顯著，實時關(guān)注數(shù)據(jù)庫的運(yùn)行狀態(tài)，并對該數(shù)據(jù)庫進(jìn)行優(yōu)化與處理，規(guī)則庫在數(shù)據(jù)處理的過程中，可以及時的將病毒信息進(jìn)行展示，并與數(shù)據(jù)庫中的信息相匹配，準(zhǔn)確的識別出計算機(jī)網(wǎng)絡(luò)系統(tǒng)中可能存在的病毒風(fēng)險，并對病毒的類型進(jìn)行分析，納入到規(guī)則庫中。規(guī)則庫具有較強(qiáng)的記錄功能，當(dāng)計算機(jī)網(wǎng)絡(luò)系統(tǒng)存在病毒問題時，規(guī)則庫將會及時的發(fā)現(xiàn)系統(tǒng)中存在的病毒，并對病毒特征進(jìn)行記錄，隨即開展計算機(jī)網(wǎng)絡(luò)病毒對比分析工作[2]。

3.4 數(shù)據(jù)資源預(yù)處理

數(shù)據(jù)資源預(yù)處理是數(shù)據(jù)挖掘技術(shù)的重要組成部分，一定程度上有助于提升數(shù)據(jù)挖掘的效果。數(shù)據(jù)資源預(yù)處理模塊是提升數(shù)據(jù)辨識度的關(guān)鍵，計算機(jī)網(wǎng)絡(luò)系統(tǒng)在運(yùn)行的環(huán)節(jié)中，數(shù)據(jù)資源預(yù)處理模塊與數(shù)據(jù)源模塊進(jìn)行連接，實時獲取數(shù)據(jù)源中的數(shù)據(jù)信息，并對數(shù)據(jù)源模塊傳輸過來的數(shù)據(jù)信息進(jìn)行分析以及歸類，在必要時還可以實現(xiàn)數(shù)據(jù)之間的轉(zhuǎn)換。數(shù)據(jù)資源預(yù)處理模塊的適應(yīng)能力較強(qiáng)，在操作的過程中通過數(shù)據(jù)轉(zhuǎn)換的形式與計算機(jī)網(wǎng)絡(luò)系統(tǒng)進(jìn)行識別，確保數(shù)據(jù)信息處理的準(zhǔn)確性。數(shù)據(jù)預(yù)處理模塊中的數(shù)據(jù)信息來源具有多樣性，主要涉及目標(biāo)IP 地址以及源IP 地址等，數(shù)據(jù)預(yù)處理可以實現(xiàn)清理異常值、糾正錯誤數(shù)據(jù)等功能，主要包括數(shù)據(jù)清理、數(shù)據(jù)集成、數(shù)據(jù)變換以及數(shù)據(jù)歸約等，該模塊的應(yīng)用一定程度上提高了數(shù)據(jù)挖掘模式的質(zhì)量，降低實際挖掘所需要的時間。

3.5 數(shù)據(jù)挖掘

數(shù)據(jù)挖掘模塊是數(shù)據(jù)挖掘技術(shù)中的重要組成部分，在應(yīng)用數(shù)據(jù)挖掘技術(shù)的環(huán)節(jié)中，借助數(shù)據(jù)挖掘中的挖掘算法的優(yōu)勢對數(shù)據(jù)進(jìn)行歸納與分析，隨即產(chǎn)生事件庫，有助于保證數(shù)據(jù)分析結(jié)果的準(zhǔn)確性。在應(yīng)用數(shù)據(jù)挖掘模塊的過程中，主要是對各項數(shù)據(jù)進(jìn)行精確的分析，并從眾多數(shù)據(jù)中找出其中存在的規(guī)律，其中主要涉及的是數(shù)據(jù)準(zhǔn)備、規(guī)律尋找和規(guī)律等。

4 計算機(jī)網(wǎng)絡(luò)安全病毒防御中數(shù)據(jù)挖掘技術(shù)的實際應(yīng)用

4.1 關(guān)聯(lián)規(guī)則的應(yīng)用

關(guān)聯(lián)規(guī)則在計算機(jī)網(wǎng)絡(luò)安全病毒防御中的應(yīng)用效果較為顯著，由于計算機(jī)系統(tǒng)內(nèi)部之間的緊密性較強(qiáng)，注重將關(guān)聯(lián)分析理念應(yīng)用其中，在開展關(guān)聯(lián)分析的過程中，針對數(shù)據(jù)庫自身具有關(guān)聯(lián)性的特點從中總結(jié)出數(shù)據(jù)庫中的運(yùn)行規(guī)律，實時關(guān)注計算機(jī)網(wǎng)絡(luò)系統(tǒng)的運(yùn)行狀態(tài)，當(dāng)網(wǎng)絡(luò)系統(tǒng)出現(xiàn)異常的現(xiàn)象，將會及時準(zhǔn)確的發(fā)現(xiàn)病毒并處理病毒，避免對計算機(jī)網(wǎng)絡(luò)系統(tǒng)的平穩(wěn)運(yùn)行造成影響。關(guān)聯(lián)規(guī)則的應(yīng)用一定程度上可以詳細(xì)的對數(shù)據(jù)之間的關(guān)系進(jìn)行整合與分析，有助于從整體上提升數(shù)據(jù)挖掘技術(shù)的應(yīng)用水平。數(shù)據(jù)挖掘技術(shù)通過關(guān)聯(lián)規(guī)則的方式來對計算機(jī)網(wǎng)絡(luò)病毒進(jìn)行精準(zhǔn)定位，實時搜集數(shù)據(jù)知識，當(dāng)發(fā)現(xiàn)病毒時，并與整體數(shù)據(jù)信息進(jìn)行比較，當(dāng)與數(shù)據(jù)信息之間呈現(xiàn)出一定的規(guī)律時，則體現(xiàn)出關(guān)聯(lián)性，數(shù)據(jù)內(nèi)容存在關(guān)聯(lián)的形式具有多樣性，可以是因果關(guān)系，也可以是時序的轉(zhuǎn)變，針對計算機(jī)網(wǎng)絡(luò)安全病毒防御操作的實際情況進(jìn)行關(guān)聯(lián)性的分析，并關(guān)注系統(tǒng)數(shù)據(jù)的運(yùn)行狀態(tài)，從中總結(jié)出計算機(jī)病毒數(shù)據(jù)的關(guān)聯(lián)規(guī)則[3]。

4.2 分類規(guī)則的應(yīng)用

分類規(guī)則的應(yīng)用效果較好，在計算機(jī)網(wǎng)絡(luò)安全病毒防御的過程中，實時收集數(shù)據(jù)，并對其進(jìn)行分類處理，隨即通過建立模型的方式對病毒進(jìn)行分類，在此環(huán)節(jié)中主要以機(jī)器學(xué)習(xí)以及統(tǒng)一學(xué)習(xí)為主，針對計算機(jī)網(wǎng)絡(luò)系統(tǒng)中存在的病毒進(jìn)行分類處理，并由專業(yè)人員制定針對性的應(yīng)對方案，該規(guī)則的應(yīng)用一定程度上可以減少人力資源的消耗，有助于從整體上提升數(shù)據(jù)分類的質(zhì)量與效率，減少病毒對計算機(jī)網(wǎng)絡(luò)系統(tǒng)造成影響，是分析計算機(jī)網(wǎng)絡(luò)安全病毒防御的重要形式。在應(yīng)用分類規(guī)則的環(huán)節(jié)中，關(guān)注預(yù)定分類的實際特點，將計算機(jī)信息系統(tǒng)中的不同數(shù)據(jù)個體進(jìn)行結(jié)合分析。數(shù)據(jù)分類主要包括學(xué)習(xí)階段以及分類階段兩個方面，在學(xué)習(xí)階段中，主要指的是構(gòu)建分類模型，用分類算法分析訓(xùn)練數(shù)據(jù)集得到的模型，在分類階段中，主要是指使用模型預(yù)測給定數(shù)據(jù)的類標(biāo)號，通過檢驗數(shù)據(jù)集來評估分類規(guī)則的準(zhǔn)確性。應(yīng)用在計算機(jī)網(wǎng)絡(luò)安全病毒防御工作中，實時找出數(shù)據(jù)庫中的一組數(shù)據(jù)對象的共同特點，并在分類的過程中按照分類模式將其劃分，將數(shù)據(jù)庫中的數(shù)據(jù)項映射到給定的類別中，及時預(yù)測病毒信息，確保計算機(jī)網(wǎng)絡(luò)系統(tǒng)的安全性。

4.3 序列分析規(guī)則的應(yīng)用

序列分析規(guī)則的應(yīng)用主要是通過序列分析的方式進(jìn)行操作，在計算機(jī)網(wǎng)絡(luò)安全病毒防御的過程中，可以準(zhǔn)確的總結(jié)出存在病毒的排列規(guī)律，并對病毒進(jìn)行控制。在序列分析的過程中，相關(guān)的技術(shù)人員可以實時的獲取病毒的種類，根據(jù)病毒在系統(tǒng)中運(yùn)行的規(guī)律制定出有效的防治病毒的方案。在查找病毒的環(huán)節(jié)中，借助序列分析規(guī)則的優(yōu)勢構(gòu)建序列模型，并在此環(huán)節(jié)中，為了提升查找病毒的速度，可以將挖掘算法應(yīng)用其中，實現(xiàn)對病毒的控制，一定程度上有助于提升計算機(jī)網(wǎng)絡(luò)安全病毒防御能力，能夠適應(yīng)當(dāng)前計算機(jī)網(wǎng)絡(luò)系統(tǒng)運(yùn)行的實際需要。序列模式挖掘參數(shù)主要包括時間序列的時間長度、時間窗口以及發(fā)現(xiàn)模式中事件發(fā)生的時間間隔等[4]。

4.4 異類規(guī)則的應(yīng)用

如今，計算機(jī)網(wǎng)絡(luò)系統(tǒng)中存在的病毒具有多樣性，以其自身具有傳播快的特點對使用者的信息安全造成一定的影響。計算機(jī)病毒相對復(fù)雜，像木馬以及黑客病毒則不容易被發(fā)現(xiàn)，而將計算機(jī)挖掘技術(shù)應(yīng)用其中一定程度上可以對病毒進(jìn)行精準(zhǔn)識別，提升計算機(jī)系統(tǒng)的病毒防御能力。在應(yīng)用異類規(guī)則的過程中，可以及時的發(fā)現(xiàn)數(shù)據(jù)中的偏離點，針對存在與之不相符合的數(shù)據(jù)進(jìn)行定位與查找，為計算機(jī)病毒防御攻擊提供理論依據(jù)。將異類規(guī)則應(yīng)用在計算機(jī)網(wǎng)絡(luò)安全病毒防御工作中，實時關(guān)注數(shù)據(jù)信息的孤立點，找出其中存在的不同規(guī)律的信息，并與普通規(guī)則進(jìn)行比較，并分析得出的數(shù)據(jù)結(jié)果，以此為依據(jù)來提升計算機(jī)系統(tǒng)的病毒防御能力。

4.5 聚類規(guī)則的應(yīng)用

聚類規(guī)則在計算機(jī)網(wǎng)絡(luò)安全病毒防御中的應(yīng)用效果較為顯著，計算機(jī)系統(tǒng)在運(yùn)行的環(huán)節(jié)中實時收集各階段的數(shù)據(jù)包，并交由專業(yè)人員對其進(jìn)行分析，并將分析出的數(shù)據(jù)按照規(guī)律將其進(jìn)行分組，其中小組之間存在一定的差異性，整合小組內(nèi)部數(shù)據(jù)包中的數(shù)據(jù)，并通過聚類分析的方式了解數(shù)據(jù)的分布情況，將數(shù)據(jù)真實的反應(yīng)出來。常見的聚類分析算法主要包括K-Means 劃分法、層次聚類法以及DBSCAN 密度法等幾種，以K-Means 劃分法為例進(jìn)行分析，在聚類標(biāo)準(zhǔn)制定的過程中，主要是將不同種類的樣本劃分到不同類中，使得每個點都屬于離它最近的質(zhì)心對應(yīng)的類。需要注意的是，聚類與分類之間存在差異性，主要體現(xiàn)在距離規(guī)則主要是針對數(shù)據(jù)的相似性和差異性將一組數(shù)據(jù)分為幾個類別。同時，在對該規(guī)則中的相同類別的數(shù)據(jù)進(jìn)行分析時可以發(fā)現(xiàn)其數(shù)據(jù)之間具有較強(qiáng)的相似性，聚類規(guī)則的應(yīng)用呈現(xiàn)出一定的辨識度，雖然相同類別的數(shù)據(jù)的相似度較高，但是不同類別之間數(shù)據(jù)的相似度卻很低，跨類的數(shù)據(jù)關(guān)聯(lián)性很低，有助于從整體上提升計算機(jī)系統(tǒng)的病毒防御能力，保證計算機(jī)系統(tǒng)的平穩(wěn)運(yùn)行。

5 結(jié)論

計算機(jī)網(wǎng)絡(luò)安全病毒防御中的數(shù)據(jù)挖掘技術(shù)的應(yīng)用方式具有多樣性，要將關(guān)聯(lián)規(guī)則、分類規(guī)則、序列分析規(guī)則以及異類規(guī)則進(jìn)行結(jié)合，并在實際的應(yīng)用過程中建立完善的技術(shù)標(biāo)準(zhǔn)體系，加強(qiáng)技術(shù)人才隊伍建設(shè)，構(gòu)建監(jiān)督運(yùn)行保障機(jī)制，針對在運(yùn)行環(huán)節(jié)中存在的問題進(jìn)行及時的糾正，以此保證計算機(jī)系統(tǒng)安全運(yùn)行。