數(shù)據(jù)挖掘在計(jì)算機(jī)網(wǎng)絡(luò)病毒防御中的應(yīng)用

曾曉杰

摘要 本文通過對(duì)網(wǎng)絡(luò)病毒中的主流蠕蟲病毒和對(duì)可以擁有防御病毒的數(shù)據(jù)挖掘技術(shù)進(jìn)行簡單介紹和分析，對(duì)數(shù)據(jù)挖掘技術(shù)進(jìn)行網(wǎng)絡(luò)病毒的防御應(yīng)用進(jìn)行了具體的探討，確保計(jì)算機(jī)的安全性。

【關(guān)鍵詞】網(wǎng)絡(luò)病毒防御 蠕蟲病毒 數(shù)據(jù)挖掘技術(shù)

網(wǎng)絡(luò)病毒一般分為蠕蟲病毒和木馬病毒兩類，其主要通過電子郵件，網(wǎng)頁代碼，文件下載，漏洞攻擊等方式傳播?！澳崮穪啞辈《揪褪侨湎x病毒的一種，03年的沖擊波病毒，04年的震蕩波病毒，07年的“熊貓燒香”以及其變種都是蠕蟲病毒利用了系統(tǒng)的漏洞，破壞用戶的大部分重要數(shù)據(jù)。當(dāng)信息化程度越是高端的時(shí)候，產(chǎn)生的蠕蟲病毒也就會(huì)越強(qiáng)。我們傳統(tǒng)的防御方式漸漸顯得沒那么好用，對(duì)蠕蟲病毒的進(jìn)攻很多時(shí)候都無力防御，但是應(yīng)運(yùn)而生的數(shù)據(jù)挖掘技術(shù)卻可以充分替代這些落后的防毒，殺毒技術(shù)，對(duì)網(wǎng)絡(luò)病毒進(jìn)行有效的預(yù)防和抵制。

1 網(wǎng)絡(luò)病毒概述與傳播形式

1.1 概述

計(jì)算機(jī)病毒是人為的特制程序，具有自我復(fù)制的能力，還有很強(qiáng)的感染性，不定期的潛伏性，以及特定的觸發(fā)性和較大的破壞性。網(wǎng)絡(luò)病毒的種類很多，但現(xiàn)在較為流行的網(wǎng)絡(luò)病毒多為蠕蟲病毒。它的傳染機(jī)理是利用網(wǎng)絡(luò)進(jìn)行復(fù)制和傳播，傳染途徑是通過網(wǎng)絡(luò)和電子郵件。而數(shù)據(jù)挖掘技術(shù)能針對(duì)此機(jī)理進(jìn)行預(yù)防和遏制。

1.2 分類

根據(jù)用戶的使用情況將網(wǎng)絡(luò)病毒中主流的蠕蟲病毒大致分為了兩類：第一種是面向企業(yè)公司和局域網(wǎng)，這種病毒通過掃描遠(yuǎn)程Intemet的系統(tǒng)漏洞，主動(dòng)進(jìn)行攻擊，可以讓整個(gè)互聯(lián)網(wǎng)癱瘓，造成極壞性的后果。以“紅色代碼”、“尼姆達(dá)”以及最新的“SQL蠕蟲王”為代表。而第二種是針對(duì)普通用戶而言的，主要通過是電子郵件、惡意網(wǎng)頁等網(wǎng)絡(luò)形式迅速傳播的蠕蟲病毒，以愛蟲病毒、求職信病毒為代表。

1.3 傳播方式

蠕蟲一般不采取利用pe格式插入文件的方法，而是復(fù)制自身在互聯(lián)網(wǎng)環(huán)境下進(jìn)行傳播，病毒的傳染能力主要是針對(duì)計(jì)算機(jī)內(nèi)的文件系統(tǒng)而言，而蠕蟲病毒的傳染目標(biāo)是互聯(lián)網(wǎng)內(nèi)的所有計(jì)算機(jī)。局域網(wǎng)條件下的共享文件夾、電子郵件Email、網(wǎng)絡(luò)中的惡意網(wǎng)頁、大量存在著漏洞的服務(wù)器等，都成為蠕蟲傳播的良好途徑。網(wǎng)絡(luò)的發(fā)展也使得蠕蟲病毒可以在幾個(gè)小時(shí)內(nèi)蔓延全球，而且蠕蟲的主動(dòng)攻擊性和突然爆發(fā)性將使得人們手足無措

2 數(shù)據(jù)挖掘在預(yù)防網(wǎng)絡(luò)病毒中的作用

采用數(shù)據(jù)挖掘技術(shù)的病毒防御系統(tǒng)主要是由數(shù)據(jù)源、預(yù)處理、數(shù)據(jù)挖掘、規(guī)則庫、決策和預(yù)防這6大部分構(gòu)成。它是一種新型的計(jì)算機(jī)網(wǎng)絡(luò)病毒防御方法，能夠簡單有效的分析計(jì)算機(jī)網(wǎng)絡(luò)信息安全問題，它的工作原理則是由以下幾方面構(gòu)成：

（1）首先數(shù)據(jù)源其實(shí)是將網(wǎng)絡(luò)上和發(fā)向本機(jī)的所有數(shù)據(jù)包都截獲下來，然后發(fā)給預(yù)處理的一個(gè)抓包程序。

（2）其次預(yù)處理是將數(shù)據(jù)源中所截獲的數(shù)據(jù)包進(jìn)行一系列分析，處理成為計(jì)算機(jī)連接請(qǐng)求記錄的格式。這是因?yàn)槿湎x病毒會(huì)主動(dòng)的向我們的計(jì)算機(jī)主機(jī)發(fā)起連接請(qǐng)求。通過預(yù)處理部分為我們的數(shù)據(jù)分析提供了基本數(shù)據(jù)信息

（3）然后規(guī)則庫則是存儲(chǔ)我們暫時(shí)已經(jīng)知道的蠕蟲病毒的連接特征和通過數(shù)據(jù)挖掘出來的記錄和規(guī)則。

（4）接下來利用數(shù)據(jù)挖掘算法和科學(xué)的算法分析連接請(qǐng)求連接記錄，然后組合成為一個(gè)事件庫。

（5）最后決策部分則將我們的事件庫與規(guī)則庫已經(jīng)比對(duì)和匹配，如果匹配成功，就通過我們的預(yù)防部分進(jìn)行蠕蟲病毒的報(bào)警，如果不匹配，則通過預(yù)防部分將這個(gè)新的規(guī)則加入到規(guī)則庫當(dāng)中，并且進(jìn)行預(yù)防警告。在病毒入侵前，殺毒系統(tǒng)就會(huì)對(duì)病毒封鎖和清除。

3 基于數(shù)據(jù)挖掘中的網(wǎng)絡(luò)病毒防御系統(tǒng)

3.1 分類分析

分類是指將一個(gè)數(shù)據(jù)集定義成好幾個(gè)類，通過算法將結(jié)果輸出來，大多數(shù)以規(guī)則庫的形式表現(xiàn)出來，然后根據(jù)分類規(guī)則對(duì)其他數(shù)據(jù)進(jìn)行分類

3.2 關(guān)聯(lián)分析

如果同類數(shù)據(jù)中的變量取值有一定的規(guī)律性，那就說明這些數(shù)據(jù)之間可能具有一定的關(guān)聯(lián)，再通過這些關(guān)聯(lián)進(jìn)行挖據(jù)，找出數(shù)據(jù)之間的關(guān)聯(lián)規(guī)則，進(jìn)行關(guān)聯(lián)分析。

3.3 系統(tǒng)中的數(shù)據(jù)挖掘

首先利用分類分析對(duì)連接請(qǐng)求數(shù)據(jù)進(jìn)行分類，然后對(duì)這些數(shù)據(jù)再進(jìn)行關(guān)聯(lián)分析，分析該主機(jī)是否感染蠕蟲病毒或者出現(xiàn)異常，出現(xiàn)異常有可能是未知的蠕蟲病毒。我們可以通過數(shù)據(jù)分析檢測當(dāng)前網(wǎng)絡(luò)的蠕蟲病毒感染嚴(yán)重程度。

4 結(jié)語

數(shù)據(jù)挖掘技術(shù)通過全面的數(shù)據(jù)進(jìn)行分析、查找和判斷數(shù)據(jù)與數(shù)據(jù)之間的聯(lián)系，對(duì)計(jì)算機(jī)網(wǎng)絡(luò)安全提升起到了很大的促進(jìn)作用，通過數(shù)據(jù)挖掘技術(shù)建成的計(jì)算機(jī)網(wǎng)絡(luò)病毒防御機(jī)制，不僅僅能對(duì)病毒進(jìn)行有效的清楚，并且能夠更加全面、有效的處理網(wǎng)絡(luò)安全性問題，為大家提供了一個(gè)良好的網(wǎng)絡(luò)環(huán)境。

參考文獻(xiàn)

[1]張銀奎譯，數(shù)據(jù)挖掘原理[M].北京：機(jī)械工業(yè)出版社，2003.

[2]潘大勝，論數(shù)據(jù)挖掘在計(jì)算機(jī)網(wǎng)絡(luò)病毒防御中的應(yīng)用[J].西南農(nóng)業(yè)大學(xué)學(xué)報(bào)（社會(huì)科學(xué)版），2012，32 （12）： 255-256.

[3]潘大勝，數(shù)據(jù)挖掘在計(jì)算機(jī)網(wǎng)絡(luò)入侵檢測中的應(yīng)用[J].湖北科技學(xué)院學(xué)報(bào)，2012，23 （12）： 58-59.