前言:想要写出一篇引人入胜的文章?我们特意为您整理了计算机病毒防御技术应用3篇范文,希望能给你带来灵感和参考,敬请阅读。
第一篇:计算机网络病毒防御技术分析
由于国家经济的飞跃发展,计算机互联网信息技术在各个行业中得到全面普及与应用。不过,计算机让人们获得方便的过程中,也不可避免地遭遇到一些挑战与威胁。比如,计算机病毒就是一个不可忽视的重要威胁要素。由于现今计算机病毒的类型、数量等出现明显地变化,这必然会对计算机互联网系统的安全及稳定造成更大的破坏。所以,需要深入探究计算机病毒的性能,着重分析提高计算机互联网病毒防御能力的具体策略与路径。计算机技术在现代社会的各行各业发展中都已经成为了最普遍的应用工具,但是网络环境存在着许多的威胁,还需要采取措施进行网络防御。基于此,文章针对计算机网络防御现状进行分析,并通过先进的计算机防御技术和计算机网络防御具体措施来防御网络危机,在计算机安全方面提供了一些建议和参考。目前,由于计算机互联网技术的飞跃发展及不断升级,其在各个领域都得到广泛应用,且地位在不断提升。在当前的网络社会中,人们的工作、学习、生活等在计算机互联网技术的推动下变得更加高效、便捷,促使人和人之间的距离不断缩小,工作也愈发地轻松。不过,我们必须要重视一个现实问题,那就是计算机技术在为人们提供一些方便的过程中,也遭遇到一些外在的威胁及挑战。例如,计算机病毒就是一个影响范围最为广泛、破坏性能最强大的一种威胁模式。当前,由于计算机病毒的影响,导致很多用户的私密信息遭到泄漏、破坏等,乃至大规模的网络瘫痪问题也经常出现。这必然会对人们的正常生活、学习、工作等带来不利影响。为了更有效地防范计算机病毒带来的一系列风险,确保网络系统的安全运行,一些技术人员研究了大量的应对策略与技术。不过,因为计算机病毒的类型复杂、规模大、扩散快等,再加上变异周期短,所以对安全防御带来一定的困难。若要增强计算机网络系统的安全性与稳定性,笔者在全面探讨计算机病毒的基本特性与防御模式的过程中,也对如何增强互联网背景下的计算机病毒防御能力总结出一系列策略与方法,希望能够为业内人士提供参考与帮助。
一、计算机病毒的概述、类型及特征
(一)计算机病毒的概述
通常而言,计算机病毒是指对软硬件的正常运行带来影响及破坏的,并且存在不断复制功能的一些指令或程序代码等。
(二)计算机病毒的特点
潜伏性。这是一个非常典型的特点。在还没有大面积爆发前,计算机病毒通常会隐藏在计算机内部系统的一些重要区域。因为潜伏过程中不会对计算机系统带来很大的影响,所以能够躲过系统软件的查杀、扫描等,并且不会引起系统操作者的关注与警惕。不过,随着潜伏期的结束,计算机病毒就会迅速地爆发,迅速复制、扩散,且对周围的系统造成感染与破坏。这种爆发式的扩散通常会导致被感染的计算机系统迅速发生异常问题,例如:软硬件瘫痪等。通常来说,病毒的隐匿性越强、潜伏期就会愈长,那么防御难度就会大大增加,一旦爆发必然会对网络安全带来巨大破坏。破坏性。计算机病毒的危害通常是能够带来很大的破坏性。当病毒爆发之后,一般会经过快速复制、执行恶意代码等,侵占大量的系统资源或空间,对正常程序的运行带来阻扰与破坏。更有甚者会恶意删掉或损坏一些重要文件与数据,导致数据受损、设备中止等。并且,计算机病毒能够盗取一些重要密码,并将一些重要文件泄露出去,对用户的财产安全、隐私安全等造成严重破坏,这必然会对用户的正常生活、工作、学习等带来巨大威胁及影响。传染性。计算机病毒就好比生物病毒一般,存在较强的传染性。如果一台电脑被病毒感染,或者内部出现恶意程序,那么它能够利用不同的路径或手段去对其它电脑造成感染。比如,病毒能够利用一些移动存储设备、互联网等从宿主电脑转移到其它电脑中,且在被感染的电脑系统中进行迅速扩散,随时做好感染其它电脑系统的准备。最后导致与其相关的电脑均受到感染,进而引起系统瘫痪。隐蔽性。计算机病毒为了能够屏蔽杀毒软件的查找、防火墙系统的扫描等,一般会对自己进行伪装,将自己变成普通的代码或程序,然后移植到普通的系统中。因为其本身的容量非常小,再由于与正常程序相兼容,所以很难及时发现。尽管当前计算机防病毒技术也在不断升级,人们目前能够利用病毒特征、恶意代码特点等进行查杀网络系统中隐匿的病毒。不过,计算机病毒也是在不断变异,它们能够对自己固有的特征进行伪装、加密等,导致病毒的特征无法更清晰地呈现出来,从而导致识别出现问题,这必然会导致一些病毒被遗漏,从而大大提高不被杀毒软件扫描的几率。
二、计算机病毒的技术分析
经过深入探究得出,现今计算机病毒侵入电脑的路径有两个。
(一)通过系统漏洞或后门程序侵入
因为现今计算机系统尤其是操作系统一般选择的是WINDOWS系统,通过人们长期地应用实践能够发现,该系统存在的短板等很容易被发现。虽然微软也不断地改进操作系统,不过隐匿的漏洞、后台程序等依旧会让计算机病毒找到可乘之机。
(二)通过无线电途径侵入
对于这一路径而言,通常是借助于无线电发射机把加载的病毒信号传输至目标接收系统中,由此能够达到病毒植入的目的。因为突破网络的层层防护,其目标清晰,并且不会被目标计算机系统所察觉,所以能够体现出迅速、高效等特征。不过,对于这种侵入途径来说,其技术要求比较高,想要实现还存在一定的难度。
三、网络环境下的计算机病毒及其防范策略
(一)创建计算机病毒管理报警中心
若要确保系统的统一防护,需要在计算机网络节点创建一个病毒预警平台。该平台需要安装防病毒云系统,能够动态性地对输入、输出网络节点的信号等实施监控、分析。如发现危险程序,即可阻截或查杀,然后通知其它站点的管理人员。并且,分析病毒的关联特征,第一时间呈报给云端病毒特征库。若要确保报警平台能够高效地阻截病毒,务必要不定期地对病毒特征库实施更新、优化,让病毒找不到任何漏洞。
(二)提高计算机网络管理力度
计算机病毒的破坏性非常大,而且扩散迅速,这通常和计算机网络管理不当有着直接的相关性。因为管理不完善,制度不严谨、人们安全意识薄弱等,必然会引起病毒的不断出现,屡禁不止等。并且,一直以来,人们对网络安全建设往往实施的是治标不治本的策略,这也是引起病毒不断出现的一个根本因素。为了能够彻底解决病毒无限制蔓延的问题,人们一定要构建完善、高效的网络安全管理机制。并不断提高技术人员的安全防御能力,增强安全意识。并且,还需要不断完善互联网基础设施机制,并严格遵循高标准、高要求等原则,确保相关软硬件系统的建设一定能够覆盖所有潜在的安全漏洞,由此能够达到全方位防御的目的。
(三)增强个人的安全防护素质及意识随着网络时代的发展,所有计算机用户都无法完全脱离网络而独立存在。大家都要不断地交换数据与资源,若要保证安全上网,远离病毒的侵袭,大家一定要给予高度重视与警惕。比如,禁止随意登录未知网站,不随意打开他人传送的未知文档。并且,避免在网络平台上让自己的设备“裸奔”,要安装标准、专业的杀毒软件,同时要定期更新与升级等。唯有重视安全防御,方可实现有的放矢地防御与管理。
四、结语
现今,由于互联网技术的不断发展,计算机应用范围在持续扩大。所以,该行业一定要增强互联网病毒防御性能,创设标准、规范、完善的病毒防御机制。利用安装硬盘还原卡、杀毒软件等,能够有效地保护计算机的稳定与安全,促使计算机系统的高效、稳定运行。
作者:马新庆 单位:济宁职业技术学院
第二篇:计算机病毒模型分析
摘要:阻断传播路径是治理网络环境中计算机病毒肆虐的关键所在。针对计算机病毒传播的路径分析,建立了预先实施了免疫措施的计算机病毒传播模型,分析了模型的动力学行为,模型能够演化出现2种平衡态,描述了预先设置反病毒措施对计算机病毒传播的遏制作用。实验分析结果表明,提高反病毒措施的实施率α的值则计算机病毒的传播力度变小,直至得到遏制,提高预先免疫率p的值可有效控制其在网络中的传播,计算机病毒会最终消失,这表明从连入网络之前就进行反病毒措施非常重要。
关键词:计算机病毒;动力学行为;SIR模型;平衡点
0引言
一直以来,计算机病毒都是人们在自动化办公或网络生活中的常客,这种人为恶意编制的程序对计算机资源有极强的破坏性,其自我复制的特性加速了其在网络环境中的传播。它们或占用内存空间,让计算机运行速度变慢,或堵塞网络而使网速变慢。一些木马病毒可窃取机密文件、用户的隐私,有些计算机病毒可导致数据丢失、系统崩溃,甚至瘫痪整个网络等。计算机网络实现了自由通信,当其迅猛发展起来时,计算机病毒也能够通过这一便捷的途径从一台计算机传到和他互联的众多计算机扩散开来。如果没有任何防护措施,计算机病毒就会感染网络中的计算机,其传播速度快,而且感染的范围大。面对计算机病毒的快速传播,一直以来人们都在探索防御和消杀计算机病毒的策略,想办法切断计算机病毒在网络上的传播路径。那么就迫切需要探究计算机病毒传播的规律和路径,从而为控制其在网络上的传播提供决策支持,这已成为网络安全领域中的研究热点。Kephart等人参照生物病毒的传播特性,首次借用传染病模型分析计算机病毒的传播行为。冯丽萍等人建立的基于SIR计算机病毒传播模型指出使用防病毒软件能够恢复部分受感染的计算机,每单位时间从受感染的计算机中恢复的计算机数量是衡量防病毒软件的能力。本论述考虑了一些网络用户主动采取安装杀毒软件、修复系统漏洞等防病毒措施,使计算机从易感染状态直接变为免疫状态,在局域网络环境下的仿真结果表明加强防病毒措施是控制病毒传播的有效策略。
1模型的建立
在描述计算机病毒传播的SIR(SusceptibleInfec⁃tiousRemoved)模型中,S(t)表示t时刻还没有感染而又容易感染病毒的计算机台数;用I(t)表示t时刻已经感染病毒且能够传染计算机病毒的计算机台数;而用R(t)表示t时刻对计算机病毒有免疫力的计算机台数。因此把所研究网络中的计算机分为三类:易感染类、已感染类、免疫类。假设初始状态是网络中的所有计算机属于易感染类,当计算机病毒在网络中传播时,计算机的类别也会发生相应变化:(1)对属于易感染类的计算机,可通过安装有效杀毒软件、防火墙以及打补丁、堵漏洞等反病毒措施能获得免疫,则该计算机会以一定概率从易感染类转变为免疫类;如果发生了与已感染类的计算机通信,会以一定的概率感染计算机病毒,转变为已感染类。(2)每个时间段,可以通过查杀病毒、打补丁等免疫措施使易感染类的计算机以一定概率转变为免疫类。(3)每个时间段,计算机都可能由于各种人为或自然因素与网络断开,且3类计算机断网的概率一样。(4)每个时间段,采用查杀病毒等反病毒措施使已感染类的计算机的病毒被消灭,从而以一定的概率转变为免疫类。图1是所建立的病毒传播模型图,其中采用矩形表示计算机类别,带箭头的直线表示计算机类别之间转换的可能路径,直线上的数学符号表示类别转换概率参数,其中:α表示由于实施反病毒措施而使易感染类的计算机转换为免疫类的转换率,β表示计算机病毒的传染率,γ表示由于采取了反病毒措施而使计算机从已感染类转变为免疫类的转换率,n表示新计算机的接入数,μ表示计算机从网络中断开连接的断开率,p表示预先采取了反病毒措施后新接入网络计算机的免疫率。
2模型分析
2.1平衡点分析
由于模型中前两个微分方程与R没有关系,为了处理的简便,(1)上式可写为其中(S,I)∈D={(S,I)|0≤S≤N,0≤I≤N,S+I≤N}获得平衡点,令{(1-p)n-βSI-μS-αS=0βSI-μI-γI=0(3)则系统(3)可存在两组解:p0=((1-p)nu+α,0),p1=(μ+γβ,(1-p)nβ-(μ+γ)(μ+α)β(μ+γ))
2.2平衡点的稳定性分析
全局渐近稳定,而当R1>1时,方程组有两个特征值,一个特征值大于0,而另一个特征值小于0,所以p1在D内局部渐近稳定。
2.3病毒控制
对于P0和P1中的S0和S1,如果S0<S1,仅有一个免疫平衡点P0,并且全局渐进稳定;如果S0>S1,P0和P1两个平很点都存在,并且平衡点P1局部渐近稳定。证明:由R1的公式很容易推出当S0<S1,有R1<1,当S0>S1,有R1>1。因此,为达到遏制病毒在网络中传播的目标,应尽力使S0<S1。
3数值模拟与分析
为了验证提出的计算机病毒传播模型的性能,评估模型的正确性和模型本身的有效性,在Matlab平台上进行了仿真实验。(1)设定第一组参数的取值:即p=0.9;β=0.005;n=1;α=0.005;μ=0.001;γ=0.001;S(0)=1,I(0)=0,R(0)=0。由于开始阶段计算机没有感染病毒,此时受病毒感染的计算机数量恒为0,易感染类的计算机台数先是保持不变,在一段时间后又快速攀升,最终易感染类的计算机台数达到18,进入稳定状态如图2所示。(2)设定第二组参数的取值:p=0.9;β=0.05;n=10;α=0.1;μ=0.01;γ=0.01。S(0)=30,I(0)=40,R(0)=30。此时的R1=41.6,此时的实验的模拟效果图如图3所示。(3)第三组参数设定为:p=0.9;β=0.05;n=10;α=0.5;μ=0.01;γ=0.01。S(0)=30,I(0)=40,R(0)=30。此时的R1≈4.9。此时的模拟效果图如图4所示。从图3和图4中可以看到参数α的调整影响了计算机病毒在网络中的传播。当α=0.1时,最初阶段感染计算机病毒的计算机数量会在网络中迅速升高,最大峰值为68台。峰值过后,由于用户补漏洞、使用杀毒软件灭毒等反病毒措施的实施,病毒传播得到遏制,计算机病毒的传播速度放缓,被感染的计算机台数趋于稳定,最终维持到48台。而当参数α=0.5时,网络中感染病毒的计算机最大台数达到到64,然后传播速度先快后慢,被感染的计算机台数减少到40后进入稳定状态。病毒虽然得到了控制,但都进入一个平衡态,没有灭亡。(4)第四组参数设定为:p=0.99;β=0.05;n=10;α=0.5;μ=0.01;γ=0.01S(0)=30,I(0)=40,R(0)=30。此时的R1=0.125。此时的实验模拟效果图如图5所示。图5中新接入计算机的免疫率提高到0.99,对应只要连入网络,就要实施严格的防病毒措施,在这种情况下,受感染计算机数显示快速从40增长到65就进入下降趋势,一段时间后计算机病毒最终全部消失,就没有计算机再感染病毒。这说明预先免疫措施是非常重要的。提高α的值则会有效遏制计算机病毒的传播,这是由于采取防御措防止病毒入侵计算机。这些防御措施包括:一是安装防火墙并不断完善更新,防火墙通过检查流过它的网络信息进而过滤掉可能存在的病毒入侵,这样可以避免计算机被病毒所感染;二是要安装入侵检测系统,用来随时监视网络传输,以及时探测可疑信息传递,增强对新病毒入侵的检测能力;三是要安装杀毒软件,定期查杀计算机上的病毒,及时升级防病毒软件,要注意保持良好的上网习惯,从Internet上下载所需要的资料时,应及时让杀毒软件对它进行病毒扫描,以防止恶意攻击,四是要修补系统漏洞,升级系统补丁以避免计算机被计算机病毒所感染。而降低n的值和增强μ就是降低病毒的传播力,具体可以采用措施:不需要上网时及时断开网络连接,这样就断开计算机病毒传播的路径,病毒没有了传染的途径,也就减小了被感染的风险。
4结束语
在生物病毒模型的基础上,构建了一个预先实施了反病毒措施的计算机病毒传播模型,模型客观的反映了网络环境中计算机病毒传播情况。通过实验仿真分析了反病毒措施对病毒传播的影响,实验结果表明提前尽早实施反病毒措施可使计算机病毒的传播力明显下降,提醒用户防范计算机病毒的入侵,遏制计算机病毒在网络中的传播,维护网络安全。
作者:杨永锋 许生虎 单位:陇东学院信息工程学院
第三篇:数据挖掘在计算机病毒防御中应用
摘要:近几十年,计算机技术和网络技术的迅速发展和普及使各行各业发生了翻天覆地的变化,许多行业已基本实现了数字化、信息化。这给人们带来巨大便利的同时,也隐藏着各种各样的安全隐患。其中,计算机网络病毒的出现和迅速传播严重威胁着计算机系统和人们的隐私安全,而目前的网络病毒防御体系很难及时对未知病毒做出有效防御。因此,研究对网络病毒更加有效的防御技术已成为当前社会的迫切需要和网络空间安全研究领域的一项重要任务。基于数据挖掘的计算机网络病毒防御技术可以通过对数据库中大量病毒数据运用统计学、人工智能、机器学习等方法挖掘出判断程序是不是网络病毒的相关规则,并将接收到的数据包与挖掘到的规则进行匹配,从而预测出数据包中是否含有网络病毒。该文介绍当前主流的计算机网络病毒防御技术,并将数据挖掘技术与计算机网络病毒防御技术相结合,指出基于数据挖掘的计算机网络病毒防御技术的应用与所面临的挑战。最后设计基于数据挖掘技术的计算机网络病毒防御系统流程。
关键词:数据挖掘;计算机;网络病毒;防御
当前,计算机网络病毒的传播给人们使用计算机造成了很大的困扰,网络病毒在计算机中轻则导致隐私泄露,重则导致系统瘫痪。同时,《中华人民共和国网络安全法》的通过与实施使我们清楚地认识到网络安全与国家安全息息相关,没有网络安全就没有国家安全。因此,研究更有效的计算机网络病毒防御技术具有重要意义。而将数据挖掘技术应用于计算机网络病毒防御中,可以有效控制当前迅速传播的网络病毒,从而更好地保护计算机网络系统的安全。
1计算机网络病毒
1.1计算机网络病毒的定义与特征
从广义上来讲,计算机网络病毒是指通过网络传播并破坏计算机功能或者毁坏计算机内部数据的代码程序。从狭义上来讲,计算机网络病毒是指传播途径和破坏对象均为网络的代码程序[1]。计算机网络病毒主要包括木马病毒、蠕虫病毒、宏病毒和脚本病毒等。当前,为对抗特征码检测技术,计算机网络病毒多采用加密、多态、变形等技术手段,使得反病毒软件即使从单个样本中提取出特征码也无法检测出变形后的病毒,展现出变化速度较快的特征;由于网络技术的迅猛发展,计算机网络病毒可以通过多种方式如系统漏洞、电子邮件、文件共享、不良网页等方式进行传播,展现出传播速度较快且传播形式多样的特征;通过窃取或破坏用户存储在计算机内的隐私信息或重要文件,政府、企业等组织的机密信息来获取经济利益,计算机网络病毒展现出越来越强的针对性与破坏性的特征。
1.2计算机网络病毒的主要防治技术
1.2.1静态病毒检测技术。(1)特征码检测技术特征码是反病毒软件从病毒样本中提取出的一串二进制数值,可以根据这一数值来判断一个文件是不是病毒文件或是否已感染病毒。常见的可以作为特征码的信息有病毒感染计算机后在屏幕上显示的信息、病毒的感染标记或病毒文件中任何一段连续的、不含空格的且长度不大于64字节的字符串[2]。随后,病毒检测引擎可以将待检测文件与病毒特征码进行二进制匹配,如果匹配成功,则该文件很有可能是病毒或已感染病毒。(2)校验和检测技术首先计算出正常文件或系统扇区的校验和并将其写入数据库。其中常见的计算对象有系统数据、文件头部、文件属性和文件内容,常用的校验和算法有MD5、CRC等[2]。然后,当使用文件或启动系统时计算文件或系统扇区的校验和并将其与数据库中保存的校验和进行对比。若比较结果不一致,则文件或系统扇区有可能已感染病毒。(3)启发式扫描技术启发式扫描技术运用反汇编引擎得到病毒程序的汇编指令序列,并将其与病毒程序行为代码数据库进行对比,找出程序中的可疑代码。然后根据统计规律,判断该文件是不是病毒文件或是否已感染病毒并给出合理解释。当面对变形或多态病毒时,可以将该技术与虚拟机检测技术结合起来,先使用虚拟机检测技术使病毒现出“原形”,然后使用启发式扫描技术对该文件进行检测。1.2.2动态病毒检测技术。(1)虚拟机检测技术为对抗网络上日益猖獗的加密、多态和变形病毒,虚拟机检测技术应运而生。虚拟机首先从病毒程序或染毒文件中读取病毒的入口点代码,然后模拟执行病毒内部的解密程序段,暴露出病毒的“原形”,随后使用特征码检测技术或启发式扫描技术来对该文件进行检测。(2)主动防御技术主动防御技术是指通过实时监控应用程序的行为来判断其是否有恶意倾向,当程序发生敏感行为时将向用户发出警告,若其行为已严重到对系统安全构成巨大威胁时也可直接将程序清除。1.2.3云查杀技术。云查杀技术是指将客户端上的可疑文件、行为数据和对可疑文件的处理过程等上传到云端服务器,利用云端服务器强大的数据和运算资源以及各种分析手段来对其进行判别,并指导客户端做出相应处理。这大大提高了判别的准确性,也使得安全厂商可以更快地掌握新型病毒的行为特点和传播动向,并及时采取相应防御措施[2]。
2数据挖掘技术及其在计算机网络病毒防御中的应用
2.1数据挖掘技术简介数据挖掘是指从大量的数据中,运用统计学、人工智能、机器学习等方法,挖掘出未知的、且有价值的信息和知识的过程。数据挖掘技术主要有关联分析、分类分析、聚类分析、异类分析、特异群组分析和演变分析等。
2.2构建网络病毒防御系统的数据挖掘技术。2.2.1有监督的数据挖掘技术。分类分析是有监督的数据挖掘技术,指预先设定几个类别,然后将个体依据其特征分别纳入不同的类别。分类分析的输入数据是记录的集合,每条记录用元组(x,y)来表示。其中x是属性集合,y是这条记录所属的类别[3]。进行分类分析的目的在于利用统计方法或机器学习方法等构造分类模型,将数据库中的数据映射到某个特定类,即实现从x到y的映射,然后利用该分类规则分类其他数据[4]。若将分类分析与启发式扫描技术相结合,则需要在训练集中导入良性样本和恶意样本。其中属性集合x为各种程序行为代码,若某一样本的汇编指令序列中出现该代码则记为1,否则记为0;类标号y为Yes或No,代表该样本是不是病毒程序。由此训练出分类模型,随后我们可以用一个包含良性样本和恶意样本的检验集来判断该模型是否有效。在静态分析中,支持向量机算法表现较好;而在动态分析中,集成算法表现较好。下面介绍一个可以有效应用于网络病毒防御中的分类方法:决策树分类法。决策树是一种由节点和有向边组成的层次结构,它通过提出一系列关于检验记录属性的问题来进行分类[3]。在决策树中一个内部结点代表一个属性测试条件,一个树枝代表一个检测结果,叶子上的结点代表不同的类别。在决策树中最常用的运算法则是ID3和C4.5,它们都属于从下到上树形结构,它们的运算法则表述为:x1+x2=x[5]。决策树挖掘是依据从大到小,从广到细的原则逐级划分判断条件,对不同属性逐级进行判断,当有一级不满足判断条件时即可做出相应的防御反应。在构建计算机网络病毒防御系统中,决策树挖掘的条件为:(1)该程序是否有破坏能力;(2)该程序是否有复制传播能力;(3)该程序是否具有隐蔽性[6]。2.2.2无监督的数据挖掘技术。(1)聚类分析聚类分析指将数据划分成不同的组,要求在一个组中的个体有相似的特征且差异较小,而组与组之间存在不同特征且差异较大。进行聚类分析的目的在于发现紧密相关的观测值组群,通过聚类分析还可以较好地呈现出数据分布的疏密情况和全局分布模式[7]。若将聚类分析与启发式扫描技术或主动防御技术相结合,那么我们可以将程序行为或其行为代码聚类为正常和异常两类,在异常类中又可按其严重程度将其进一步聚类,由此我们可以更加精准地区分出正常和异常的程序行为或其行为代码,随后我们可以将由聚类分析得到的类作为对未知程序进行分类的依据。(2)关联分析关联分析指在数据库中发现有强关联特征的模式,常用XàY的蕴含表达式表示,其中X与Y均为项集。如果两个或多个变量之间存在某种规律性,那么这些数据之间就存在着一定的关联性,其中的关联主要有简单关联、时序关联和因果关联[8]。我们常用支持度(s)和置信度(c)来度量关联规则的强度,支持度表示既包含X又包含Y的事务在所有事务中所占的比例,其中s(XàY)=P(X&Y)/N;置信度表示同时包含X和Y的事务在包含X的事务中所占的比例,其中c(XàY)=P(X&Y)/P(X)[3]。进行关联分析的目的是找出数据库当中存在的关联网,挖掘数据之间的关联性以找出数据之间的关联规则[8]。若将关联分析与启发式扫描技术相结合,则需要在数据中导入良性样本和恶意样本。其中每个项为一个程序行为代码,若某一样本的汇编指令序列中出现该代码则记为1,否则记为0。对这些数据进行关联分析我们可以发现某些行为代码之间具有关联,这些关联拥有较高的支持度和置信度。若我们发现XàY,且项集X与项集Y的权重的和足以触发警报。那么当项集X发生时,项集Y就很有可能发生,该程序也很有可能是病毒。若将关联分析与主动防御技术相结合,则需要在数据中导入良性样本和恶意样本。当样本程序运行时,系统日志会记录程序运行信息,并且这些数据会被转化成事件存入数据库。数据中每个项为一个程序行为,若某一样本的行为集中出现该行为则记为1,否则记为0。若不严重的敏感行为集与某些严重违反安全规则的行为之间存在关联,那么当不严重的敏感行为集发生时,我们应当对其足够重视,并向用户发出严重安全威胁可能发生的警报或采取措施清除危险程序。2.2.3异类分析。异类分析指分析数据库中与其他数据偏离较为明显的数据,即偏离常规模式的数据。因为与常规数据相比,这些异常数据很可能是由完全不同的机制产生的[7]。当然,由于测量误差产生的异常数据我们应当及时予以清除。因此,异类分析常作为数据预处理的一部分。异类分析算法需要识别出真正的异常点,即具有高的检出率和低的误报率[3]。异常数据相对于正常数据来讲有其独有的特殊性,我们往往可以从中发现有悖常理的结果和更有价值的信息。异常检测可分为监督的,非监督的和半监督的。监督的异常检测要求在训练集中存在正常样本和异常样本,并做好标记,即标好类标号;非监督的异常检测则不要求标好类标号。而在半监督的异常检测中,我们需要使用有标记的正常样本信息,发现检验集中异常样本的类标号或得分[3]。我们也可以先构造出一个正常程序的轮廓,当某一个程序到来或运行时便将其与之比较,如果该程序的特性与正常程序的轮廓无法很好地拟合,那么该程序就很有可能是网络病毒。
2.3数据挖掘技术在计算机网络病毒防御中的应用与挑战
随着社会的信息化与网络化不断向前推进,计算机网络病毒的威胁也日益严重。而数据挖掘技术的发展使人们希望借助数据挖掘技术来提升对计算机网络病毒的防御能力。目前,支付宝、京东金融等互联网金融平台已使用数据挖掘技术来防御网络病毒,保障用户的数据安全。与传统基于特征码的病毒检测技术不同,基于数据挖掘的计算机网络病毒防御技术不需要规模庞大的特征码库,并且可以很好地识别未知病毒,提高对病毒识别的准确率。但是,该技术在进行数据预处理和数据挖掘的过程中需要消耗较多的资源和时间。我们应该发挥该技术的长处,并与传统的反病毒技术相互配合,才能更好地防御计算机网络病毒。
3基于数据挖掘技术的计算机网络病毒防御系统流程
数据挖掘技术的重点在寻找未知的模式与规律,其主要由以下五大模块组成:(1)数据源模块;(2)预处理模块;(3)规则库模块;(4)数据挖掘模块;(5)决策模块。在基于数据挖掘技术的计算机网络病毒防御系统中,首先收集含有入侵指令的数据,通过这些数据初始化来往的网络数据,然后对这些数据运用预处理模块进行预处理。预处理完成后开始进行数据挖掘,使用关联分析、分类分析、聚类分析、异类分析等数据挖掘技术建立规则集即网络病毒的特征集合,再将待检测数据与规则集匹配检测,如果两者之间的匹配度较高,则说明该数据包中可能存在网络病毒;如果两者之间的匹配度较低,则说明有可能是未知病毒,这时会触发预警机制,并提取该病毒特征属性以及连接数据的方式将其纳入规则集[8]。
3.1数据挖掘技术组成模块
数据挖掘技术主要由以下五大模块组成:3.1.1数据源模块。数据源模块会截取计算机网络中的原始数据包,这些数据包中包含着一些重要的数据结构和功能信息,之后将这些原始数据交由预处理模块进行预处理[7]。数据源模块为数据挖掘提供充足的数据,是数据挖掘的基础。3.1.2预处理模块。预处理模块是整个数据挖掘流程中的重点模块。预处理数据主要由链接数据、数据净化、变量整合以及格式转换等构成[9]。由于在大量原始数据中存在许多不完整、不一致的数据,这些数据将会严重影响数据挖掘建模的执行效率和执行结构。通过对数据源模块截获到的数据进行预处理,可以选择出与当前数据挖掘任务相关的数据,使数据能够被数据挖掘模块所处理,提高数据的辨识度和准确性,还能缩短数据挖掘时间,提高数据挖掘效果,为后期进行数据挖掘创造了条件[7]。3.1.3规则库模块。规则库模块是通过对已经能够分析检测到的网络病毒进行数据挖掘而形成的规则集,该规则集反映了网络病毒的行为特征。利用该规则集,可以指导数据挖掘模块的工作,还可以探究并抵御计算机网络中的其他病毒[9]。3.1.4数据挖掘模块。数据挖掘模块是整个数据挖掘流程中的关键一环,其主要由事件库和数据挖掘算法两大部分组成,通过数据挖掘算法对由数据源模块和预处理模块形成的事件库进行分析,在事件库中记录的主要是用于进行数据挖掘的相关数据。经过数据挖掘模块的处理后,最终形成规则清晰的数据挖掘结果,并将其传递给决策模块[8]。3.1.5决策模块决策模块的作用是将数据挖掘结果与规则库中的规则进行匹配。如果数据挖掘结果与规则库中的规则匹配度很高,那么说明决策模块信息存在病毒特征,数据包中存在计算机网络病毒的风险很大,应当及时对病毒予以清除。如果数据挖掘结果与规则库中的规则不匹配,那么说明数据包中可能存在未知的新型病毒,此时预警系统将会发出新型病毒警告,规则库模块将此新型病毒引入规则库,形成新的规则类别[10]。
3.2基于数据挖掘技术的计算机网络病毒防御系统流程图
基于数据挖掘技术的计算机网络病毒防御系统流程图如图1所示。
4结语
当前,利用数据挖掘技术进行网络病毒防御是社会的迫切需要,也是网络病毒防御技术的发展趋势,数据挖掘技术在网络病毒防御系统中的重要性也越来越明显。我们可以将传统计算机网络病毒防御技术与数据挖掘技术相结合,利用各自的优点提高网络病毒查杀的准确度和效率。如利用有监督的数据挖掘技术可以快速训练出一个模型,但需要许多有标记的数据;而无监督的数据挖掘技术使用大量未标记的数据来训练模型。在获取大量未标记的数据越来越容易而进行人工标记的成本越来越高的今天,使用无监督的数据挖掘技术来防御网络病毒是该项技术的发展趋势。今后,数据挖掘技术将发挥其独特优势,在计算机网络病毒的识别和判断方面发挥关键作用。
作者:潘恒绪 卞炜松 邓杰 肖文 单位:江苏大学