前言:想要寫出一篇引人入勝的文章?我們特意為您整理了計(jì)算機(jī)病毒防御技術(shù)應(yīng)用3篇范文,希望能給你帶來靈感和參考,敬請閱讀。
第一篇:計(jì)算機(jī)網(wǎng)絡(luò)病毒防御技術(shù)分析
由于國家經(jīng)濟(jì)的飛躍發(fā)展,計(jì)算機(jī)互聯(lián)網(wǎng)信息技術(shù)在各個行業(yè)中得到全面普及與應(yīng)用。不過,計(jì)算機(jī)讓人們獲得方便的過程中,也不可避免地遭遇到一些挑戰(zhàn)與威脅。比如,計(jì)算機(jī)病毒就是一個不可忽視的重要威脅要素。由于現(xiàn)今計(jì)算機(jī)病毒的類型、數(shù)量等出現(xiàn)明顯地變化,這必然會對計(jì)算機(jī)互聯(lián)網(wǎng)系統(tǒng)的安全及穩(wěn)定造成更大的破壞。所以,需要深入探究計(jì)算機(jī)病毒的性能,著重分析提高計(jì)算機(jī)互聯(lián)網(wǎng)病毒防御能力的具體策略與路徑。計(jì)算機(jī)技術(shù)在現(xiàn)代社會的各行各業(yè)發(fā)展中都已經(jīng)成為了最普遍的應(yīng)用工具,但是網(wǎng)絡(luò)環(huán)境存在著許多的威脅,還需要采取措施進(jìn)行網(wǎng)絡(luò)防御?;诖耍恼箩槍τ?jì)算機(jī)網(wǎng)絡(luò)防御現(xiàn)狀進(jìn)行分析,并通過先進(jìn)的計(jì)算機(jī)防御技術(shù)和計(jì)算機(jī)網(wǎng)絡(luò)防御具體措施來防御網(wǎng)絡(luò)危機(jī),在計(jì)算機(jī)安全方面提供了一些建議和參考。目前,由于計(jì)算機(jī)互聯(lián)網(wǎng)技術(shù)的飛躍發(fā)展及不斷升級,其在各個領(lǐng)域都得到廣泛應(yīng)用,且地位在不斷提升。在當(dāng)前的網(wǎng)絡(luò)社會中,人們的工作、學(xué)習(xí)、生活等在計(jì)算機(jī)互聯(lián)網(wǎng)技術(shù)的推動下變得更加高效、便捷,促使人和人之間的距離不斷縮小,工作也愈發(fā)地輕松。不過,我們必須要重視一個現(xiàn)實(shí)問題,那就是計(jì)算機(jī)技術(shù)在為人們提供一些方便的過程中,也遭遇到一些外在的威脅及挑戰(zhàn)。例如,計(jì)算機(jī)病毒就是一個影響范圍最為廣泛、破壞性能最強(qiáng)大的一種威脅模式。當(dāng)前,由于計(jì)算機(jī)病毒的影響,導(dǎo)致很多用戶的私密信息遭到泄漏、破壞等,乃至大規(guī)模的網(wǎng)絡(luò)癱瘓問題也經(jīng)常出現(xiàn)。這必然會對人們的正常生活、學(xué)習(xí)、工作等帶來不利影響。為了更有效地防范計(jì)算機(jī)病毒帶來的一系列風(fēng)險,確保網(wǎng)絡(luò)系統(tǒng)的安全運(yùn)行,一些技術(shù)人員研究了大量的應(yīng)對策略與技術(shù)。不過,因?yàn)橛?jì)算機(jī)病毒的類型復(fù)雜、規(guī)模大、擴(kuò)散快等,再加上變異周期短,所以對安全防御帶來一定的困難。若要增強(qiáng)計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)的安全性與穩(wěn)定性,筆者在全面探討計(jì)算機(jī)病毒的基本特性與防御模式的過程中,也對如何增強(qiáng)互聯(lián)網(wǎng)背景下的計(jì)算機(jī)病毒防御能力總結(jié)出一系列策略與方法,希望能夠?yàn)闃I(yè)內(nèi)人士提供參考與幫助。
一、計(jì)算機(jī)病毒的概述、類型及特征
(一)計(jì)算機(jī)病毒的概述
通常而言,計(jì)算機(jī)病毒是指對軟硬件的正常運(yùn)行帶來影響及破壞的,并且存在不斷復(fù)制功能的一些指令或程序代碼等。
(二)計(jì)算機(jī)病毒的特點(diǎn)
潛伏性。這是一個非常典型的特點(diǎn)。在還沒有大面積爆發(fā)前,計(jì)算機(jī)病毒通常會隱藏在計(jì)算機(jī)內(nèi)部系統(tǒng)的一些重要區(qū)域。因?yàn)闈摲^程中不會對計(jì)算機(jī)系統(tǒng)帶來很大的影響,所以能夠躲過系統(tǒng)軟件的查殺、掃描等,并且不會引起系統(tǒng)操作者的關(guān)注與警惕。不過,隨著潛伏期的結(jié)束,計(jì)算機(jī)病毒就會迅速地爆發(fā),迅速復(fù)制、擴(kuò)散,且對周圍的系統(tǒng)造成感染與破壞。這種爆發(fā)式的擴(kuò)散通常會導(dǎo)致被感染的計(jì)算機(jī)系統(tǒng)迅速發(fā)生異常問題,例如:軟硬件癱瘓等。通常來說,病毒的隱匿性越強(qiáng)、潛伏期就會愈長,那么防御難度就會大大增加,一旦爆發(fā)必然會對網(wǎng)絡(luò)安全帶來巨大破壞。破壞性。計(jì)算機(jī)病毒的危害通常是能夠帶來很大的破壞性。當(dāng)病毒爆發(fā)之后,一般會經(jīng)過快速復(fù)制、執(zhí)行惡意代碼等,侵占大量的系統(tǒng)資源或空間,對正常程序的運(yùn)行帶來阻擾與破壞。更有甚者會惡意刪掉或損壞一些重要文件與數(shù)據(jù),導(dǎo)致數(shù)據(jù)受損、設(shè)備中止等。并且,計(jì)算機(jī)病毒能夠盜取一些重要密碼,并將一些重要文件泄露出去,對用戶的財(cái)產(chǎn)安全、隱私安全等造成嚴(yán)重破壞,這必然會對用戶的正常生活、工作、學(xué)習(xí)等帶來巨大威脅及影響。傳染性。計(jì)算機(jī)病毒就好比生物病毒一般,存在較強(qiáng)的傳染性。如果一臺電腦被病毒感染,或者內(nèi)部出現(xiàn)惡意程序,那么它能夠利用不同的路徑或手段去對其它電腦造成感染。比如,病毒能夠利用一些移動存儲設(shè)備、互聯(lián)網(wǎng)等從宿主電腦轉(zhuǎn)移到其它電腦中,且在被感染的電腦系統(tǒng)中進(jìn)行迅速擴(kuò)散,隨時做好感染其它電腦系統(tǒng)的準(zhǔn)備。最后導(dǎo)致與其相關(guān)的電腦均受到感染,進(jìn)而引起系統(tǒng)癱瘓。隱蔽性。計(jì)算機(jī)病毒為了能夠屏蔽殺毒軟件的查找、防火墻系統(tǒng)的掃描等,一般會對自己進(jìn)行偽裝,將自己變成普通的代碼或程序,然后移植到普通的系統(tǒng)中。因?yàn)槠浔旧淼娜萘糠浅P?,再由于與正常程序相兼容,所以很難及時發(fā)現(xiàn)。盡管當(dāng)前計(jì)算機(jī)防病毒技術(shù)也在不斷升級,人們目前能夠利用病毒特征、惡意代碼特點(diǎn)等進(jìn)行查殺網(wǎng)絡(luò)系統(tǒng)中隱匿的病毒。不過,計(jì)算機(jī)病毒也是在不斷變異,它們能夠?qū)ψ约汗逃械奶卣鬟M(jìn)行偽裝、加密等,導(dǎo)致病毒的特征無法更清晰地呈現(xiàn)出來,從而導(dǎo)致識別出現(xiàn)問題,這必然會導(dǎo)致一些病毒被遺漏,從而大大提高不被殺毒軟件掃描的幾率。
二、計(jì)算機(jī)病毒的技術(shù)分析
經(jīng)過深入探究得出,現(xiàn)今計(jì)算機(jī)病毒侵入電腦的路徑有兩個。
(一)通過系統(tǒng)漏洞或后門程序侵入
因?yàn)楝F(xiàn)今計(jì)算機(jī)系統(tǒng)尤其是操作系統(tǒng)一般選擇的是WINDOWS系統(tǒng),通過人們長期地應(yīng)用實(shí)踐能夠發(fā)現(xiàn),該系統(tǒng)存在的短板等很容易被發(fā)現(xiàn)。雖然微軟也不斷地改進(jìn)操作系統(tǒng),不過隱匿的漏洞、后臺程序等依舊會讓計(jì)算機(jī)病毒找到可乘之機(jī)。
(二)通過無線電途徑侵入
對于這一路徑而言,通常是借助于無線電發(fā)射機(jī)把加載的病毒信號傳輸至目標(biāo)接收系統(tǒng)中,由此能夠達(dá)到病毒植入的目的。因?yàn)橥黄凭W(wǎng)絡(luò)的層層防護(hù),其目標(biāo)清晰,并且不會被目標(biāo)計(jì)算機(jī)系統(tǒng)所察覺,所以能夠體現(xiàn)出迅速、高效等特征。不過,對于這種侵入途徑來說,其技術(shù)要求比較高,想要實(shí)現(xiàn)還存在一定的難度。
三、網(wǎng)絡(luò)環(huán)境下的計(jì)算機(jī)病毒及其防范策略
(一)創(chuàng)建計(jì)算機(jī)病毒管理報警中心
若要確保系統(tǒng)的統(tǒng)一防護(hù),需要在計(jì)算機(jī)網(wǎng)絡(luò)節(jié)點(diǎn)創(chuàng)建一個病毒預(yù)警平臺。該平臺需要安裝防病毒云系統(tǒng),能夠動態(tài)性地對輸入、輸出網(wǎng)絡(luò)節(jié)點(diǎn)的信號等實(shí)施監(jiān)控、分析。如發(fā)現(xiàn)危險程序,即可阻截或查殺,然后通知其它站點(diǎn)的管理人員。并且,分析病毒的關(guān)聯(lián)特征,第一時間呈報給云端病毒特征庫。若要確保報警平臺能夠高效地阻截病毒,務(wù)必要不定期地對病毒特征庫實(shí)施更新、優(yōu)化,讓病毒找不到任何漏洞。
(二)提高計(jì)算機(jī)網(wǎng)絡(luò)管理力度
計(jì)算機(jī)病毒的破壞性非常大,而且擴(kuò)散迅速,這通常和計(jì)算機(jī)網(wǎng)絡(luò)管理不當(dāng)有著直接的相關(guān)性。因?yàn)楣芾聿煌晟?,制度不?yán)謹(jǐn)、人們安全意識薄弱等,必然會引起病毒的不斷出現(xiàn),屢禁不止等。并且,一直以來,人們對網(wǎng)絡(luò)安全建設(shè)往往實(shí)施的是治標(biāo)不治本的策略,這也是引起病毒不斷出現(xiàn)的一個根本因素。為了能夠徹底解決病毒無限制蔓延的問題,人們一定要構(gòu)建完善、高效的網(wǎng)絡(luò)安全管理機(jī)制。并不斷提高技術(shù)人員的安全防御能力,增強(qiáng)安全意識。并且,還需要不斷完善互聯(lián)網(wǎng)基礎(chǔ)設(shè)施機(jī)制,并嚴(yán)格遵循高標(biāo)準(zhǔn)、高要求等原則,確保相關(guān)軟硬件系統(tǒng)的建設(shè)一定能夠覆蓋所有潛在的安全漏洞,由此能夠達(dá)到全方位防御的目的。
(三)增強(qiáng)個人的安全防護(hù)素質(zhì)及意識隨著網(wǎng)絡(luò)時代的發(fā)展,所有計(jì)算機(jī)用戶都無法完全脫離網(wǎng)絡(luò)而獨(dú)立存在。大家都要不斷地交換數(shù)據(jù)與資源,若要保證安全上網(wǎng),遠(yuǎn)離病毒的侵襲,大家一定要給予高度重視與警惕。比如,禁止隨意登錄未知網(wǎng)站,不隨意打開他人傳送的未知文檔。并且,避免在網(wǎng)絡(luò)平臺上讓自己的設(shè)備“裸奔”,要安裝標(biāo)準(zhǔn)、專業(yè)的殺毒軟件,同時要定期更新與升級等。唯有重視安全防御,方可實(shí)現(xiàn)有的放矢地防御與管理。
四、結(jié)語
現(xiàn)今,由于互聯(lián)網(wǎng)技術(shù)的不斷發(fā)展,計(jì)算機(jī)應(yīng)用范圍在持續(xù)擴(kuò)大。所以,該行業(yè)一定要增強(qiáng)互聯(lián)網(wǎng)病毒防御性能,創(chuàng)設(shè)標(biāo)準(zhǔn)、規(guī)范、完善的病毒防御機(jī)制。利用安裝硬盤還原卡、殺毒軟件等,能夠有效地保護(hù)計(jì)算機(jī)的穩(wěn)定與安全,促使計(jì)算機(jī)系統(tǒng)的高效、穩(wěn)定運(yùn)行。
作者:馬新慶 單位:濟(jì)寧職業(yè)技術(shù)學(xué)院
第二篇:計(jì)算機(jī)病毒模型分析
摘要:阻斷傳播路徑是治理網(wǎng)絡(luò)環(huán)境中計(jì)算機(jī)病毒肆虐的關(guān)鍵所在。針對計(jì)算機(jī)病毒傳播的路徑分析,建立了預(yù)先實(shí)施了免疫措施的計(jì)算機(jī)病毒傳播模型,分析了模型的動力學(xué)行為,模型能夠演化出現(xiàn)2種平衡態(tài),描述了預(yù)先設(shè)置反病毒措施對計(jì)算機(jī)病毒傳播的遏制作用。實(shí)驗(yàn)分析結(jié)果表明,提高反病毒措施的實(shí)施率α的值則計(jì)算機(jī)病毒的傳播力度變小,直至得到遏制,提高預(yù)先免疫率p的值可有效控制其在網(wǎng)絡(luò)中的傳播,計(jì)算機(jī)病毒會最終消失,這表明從連入網(wǎng)絡(luò)之前就進(jìn)行反病毒措施非常重要。
關(guān)鍵詞:計(jì)算機(jī)病毒;動力學(xué)行為;SIR模型;平衡點(diǎn)
0引言
一直以來,計(jì)算機(jī)病毒都是人們在自動化辦公或網(wǎng)絡(luò)生活中的???,這種人為惡意編制的程序?qū)τ?jì)算機(jī)資源有極強(qiáng)的破壞性,其自我復(fù)制的特性加速了其在網(wǎng)絡(luò)環(huán)境中的傳播。它們或占用內(nèi)存空間,讓計(jì)算機(jī)運(yùn)行速度變慢,或堵塞網(wǎng)絡(luò)而使網(wǎng)速變慢。一些木馬病毒可竊取機(jī)密文件、用戶的隱私,有些計(jì)算機(jī)病毒可導(dǎo)致數(shù)據(jù)丟失、系統(tǒng)崩潰,甚至癱瘓整個網(wǎng)絡(luò)等。計(jì)算機(jī)網(wǎng)絡(luò)實(shí)現(xiàn)了自由通信,當(dāng)其迅猛發(fā)展起來時,計(jì)算機(jī)病毒也能夠通過這一便捷的途徑從一臺計(jì)算機(jī)傳到和他互聯(lián)的眾多計(jì)算機(jī)擴(kuò)散開來。如果沒有任何防護(hù)措施,計(jì)算機(jī)病毒就會感染網(wǎng)絡(luò)中的計(jì)算機(jī),其傳播速度快,而且感染的范圍大。面對計(jì)算機(jī)病毒的快速傳播,一直以來人們都在探索防御和消殺計(jì)算機(jī)病毒的策略,想辦法切斷計(jì)算機(jī)病毒在網(wǎng)絡(luò)上的傳播路徑。那么就迫切需要探究計(jì)算機(jī)病毒傳播的規(guī)律和路徑,從而為控制其在網(wǎng)絡(luò)上的傳播提供決策支持,這已成為網(wǎng)絡(luò)安全領(lǐng)域中的研究熱點(diǎn)。Kephart等人參照生物病毒的傳播特性,首次借用傳染病模型分析計(jì)算機(jī)病毒的傳播行為。馮麗萍等人建立的基于SIR計(jì)算機(jī)病毒傳播模型指出使用防病毒軟件能夠恢復(fù)部分受感染的計(jì)算機(jī),每單位時間從受感染的計(jì)算機(jī)中恢復(fù)的計(jì)算機(jī)數(shù)量是衡量防病毒軟件的能力。本論述考慮了一些網(wǎng)絡(luò)用戶主動采取安裝殺毒軟件、修復(fù)系統(tǒng)漏洞等防病毒措施,使計(jì)算機(jī)從易感染狀態(tài)直接變?yōu)槊庖郀顟B(tài),在局域網(wǎng)絡(luò)環(huán)境下的仿真結(jié)果表明加強(qiáng)防病毒措施是控制病毒傳播的有效策略。
1模型的建立
在描述計(jì)算機(jī)病毒傳播的SIR(SusceptibleInfec⁃tiousRemoved)模型中,S(t)表示t時刻還沒有感染而又容易感染病毒的計(jì)算機(jī)臺數(shù);用I(t)表示t時刻已經(jīng)感染病毒且能夠傳染計(jì)算機(jī)病毒的計(jì)算機(jī)臺數(shù);而用R(t)表示t時刻對計(jì)算機(jī)病毒有免疫力的計(jì)算機(jī)臺數(shù)。因此把所研究網(wǎng)絡(luò)中的計(jì)算機(jī)分為三類:易感染類、已感染類、免疫類。假設(shè)初始狀態(tài)是網(wǎng)絡(luò)中的所有計(jì)算機(jī)屬于易感染類,當(dāng)計(jì)算機(jī)病毒在網(wǎng)絡(luò)中傳播時,計(jì)算機(jī)的類別也會發(fā)生相應(yīng)變化:(1)對屬于易感染類的計(jì)算機(jī),可通過安裝有效殺毒軟件、防火墻以及打補(bǔ)丁、堵漏洞等反病毒措施能獲得免疫,則該計(jì)算機(jī)會以一定概率從易感染類轉(zhuǎn)變?yōu)槊庖哳?;如果發(fā)生了與已感染類的計(jì)算機(jī)通信,會以一定的概率感染計(jì)算機(jī)病毒,轉(zhuǎn)變?yōu)橐迅腥绢?。?)每個時間段,可以通過查殺病毒、打補(bǔ)丁等免疫措施使易感染類的計(jì)算機(jī)以一定概率轉(zhuǎn)變?yōu)槊庖哳?。?)每個時間段,計(jì)算機(jī)都可能由于各種人為或自然因素與網(wǎng)絡(luò)斷開,且3類計(jì)算機(jī)斷網(wǎng)的概率一樣。(4)每個時間段,采用查殺病毒等反病毒措施使已感染類的計(jì)算機(jī)的病毒被消滅,從而以一定的概率轉(zhuǎn)變?yōu)槊庖哳?。圖1是所建立的病毒傳播模型圖,其中采用矩形表示計(jì)算機(jī)類別,帶箭頭的直線表示計(jì)算機(jī)類別之間轉(zhuǎn)換的可能路徑,直線上的數(shù)學(xué)符號表示類別轉(zhuǎn)換概率參數(shù),其中:α表示由于實(shí)施反病毒措施而使易感染類的計(jì)算機(jī)轉(zhuǎn)換為免疫類的轉(zhuǎn)換率,β表示計(jì)算機(jī)病毒的傳染率,γ表示由于采取了反病毒措施而使計(jì)算機(jī)從已感染類轉(zhuǎn)變?yōu)槊庖哳惖霓D(zhuǎn)換率,n表示新計(jì)算機(jī)的接入數(shù),μ表示計(jì)算機(jī)從網(wǎng)絡(luò)中斷開連接的斷開率,p表示預(yù)先采取了反病毒措施后新接入網(wǎng)絡(luò)計(jì)算機(jī)的免疫率。
2模型分析
2.1平衡點(diǎn)分析
由于模型中前兩個微分方程與R沒有關(guān)系,為了處理的簡便,(1)上式可寫為其中(S,I)∈D={(S,I)|0≤S≤N,0≤I≤N,S+I≤N}獲得平衡點(diǎn),令{(1-p)n-βSI-μS-αS=0βSI-μI-γI=0(3)則系統(tǒng)(3)可存在兩組解:p0=((1-p)nu+α,0),p1=(μ+γβ,(1-p)nβ-(μ+γ)(μ+α)β(μ+γ))
2.2平衡點(diǎn)的穩(wěn)定性分析
全局漸近穩(wěn)定,而當(dāng)R1>1時,方程組有兩個特征值,一個特征值大于0,而另一個特征值小于0,所以p1在D內(nèi)局部漸近穩(wěn)定。
2.3病毒控制
對于P0和P1中的S0和S1,如果S0<S1,僅有一個免疫平衡點(diǎn)P0,并且全局漸進(jìn)穩(wěn)定;如果S0>S1,P0和P1兩個平很點(diǎn)都存在,并且平衡點(diǎn)P1局部漸近穩(wěn)定。證明:由R1的公式很容易推出當(dāng)S0<S1,有R1<1,當(dāng)S0>S1,有R1>1。因此,為達(dá)到遏制病毒在網(wǎng)絡(luò)中傳播的目標(biāo),應(yīng)盡力使S0<S1。
3數(shù)值模擬與分析
為了驗(yàn)證提出的計(jì)算機(jī)病毒傳播模型的性能,評估模型的正確性和模型本身的有效性,在Matlab平臺上進(jìn)行了仿真實(shí)驗(yàn)。(1)設(shè)定第一組參數(shù)的取值:即p=0.9;β=0.005;n=1;α=0.005;μ=0.001;γ=0.001;S(0)=1,I(0)=0,R(0)=0。由于開始階段計(jì)算機(jī)沒有感染病毒,此時受病毒感染的計(jì)算機(jī)數(shù)量恒為0,易感染類的計(jì)算機(jī)臺數(shù)先是保持不變,在一段時間后又快速攀升,最終易感染類的計(jì)算機(jī)臺數(shù)達(dá)到18,進(jìn)入穩(wěn)定狀態(tài)如圖2所示。(2)設(shè)定第二組參數(shù)的取值:p=0.9;β=0.05;n=10;α=0.1;μ=0.01;γ=0.01。S(0)=30,I(0)=40,R(0)=30。此時的R1=41.6,此時的實(shí)驗(yàn)的模擬效果圖如圖3所示。(3)第三組參數(shù)設(shè)定為:p=0.9;β=0.05;n=10;α=0.5;μ=0.01;γ=0.01。S(0)=30,I(0)=40,R(0)=30。此時的R1≈4.9。此時的模擬效果圖如圖4所示。從圖3和圖4中可以看到參數(shù)α的調(diào)整影響了計(jì)算機(jī)病毒在網(wǎng)絡(luò)中的傳播。當(dāng)α=0.1時,最初階段感染計(jì)算機(jī)病毒的計(jì)算機(jī)數(shù)量會在網(wǎng)絡(luò)中迅速升高,最大峰值為68臺。峰值過后,由于用戶補(bǔ)漏洞、使用殺毒軟件滅毒等反病毒措施的實(shí)施,病毒傳播得到遏制,計(jì)算機(jī)病毒的傳播速度放緩,被感染的計(jì)算機(jī)臺數(shù)趨于穩(wěn)定,最終維持到48臺。而當(dāng)參數(shù)α=0.5時,網(wǎng)絡(luò)中感染病毒的計(jì)算機(jī)最大臺數(shù)達(dá)到到64,然后傳播速度先快后慢,被感染的計(jì)算機(jī)臺數(shù)減少到40后進(jìn)入穩(wěn)定狀態(tài)。病毒雖然得到了控制,但都進(jìn)入一個平衡態(tài),沒有滅亡。(4)第四組參數(shù)設(shè)定為:p=0.99;β=0.05;n=10;α=0.5;μ=0.01;γ=0.01S(0)=30,I(0)=40,R(0)=30。此時的R1=0.125。此時的實(shí)驗(yàn)?zāi)M效果圖如圖5所示。圖5中新接入計(jì)算機(jī)的免疫率提高到0.99,對應(yīng)只要連入網(wǎng)絡(luò),就要實(shí)施嚴(yán)格的防病毒措施,在這種情況下,受感染計(jì)算機(jī)數(shù)顯示快速從40增長到65就進(jìn)入下降趨勢,一段時間后計(jì)算機(jī)病毒最終全部消失,就沒有計(jì)算機(jī)再感染病毒。這說明預(yù)先免疫措施是非常重要的。提高α的值則會有效遏制計(jì)算機(jī)病毒的傳播,這是由于采取防御措防止病毒入侵計(jì)算機(jī)。這些防御措施包括:一是安裝防火墻并不斷完善更新,防火墻通過檢查流過它的網(wǎng)絡(luò)信息進(jìn)而過濾掉可能存在的病毒入侵,這樣可以避免計(jì)算機(jī)被病毒所感染;二是要安裝入侵檢測系統(tǒng),用來隨時監(jiān)視網(wǎng)絡(luò)傳輸,以及時探測可疑信息傳遞,增強(qiáng)對新病毒入侵的檢測能力;三是要安裝殺毒軟件,定期查殺計(jì)算機(jī)上的病毒,及時升級防病毒軟件,要注意保持良好的上網(wǎng)習(xí)慣,從Internet上下載所需要的資料時,應(yīng)及時讓殺毒軟件對它進(jìn)行病毒掃描,以防止惡意攻擊,四是要修補(bǔ)系統(tǒng)漏洞,升級系統(tǒng)補(bǔ)丁以避免計(jì)算機(jī)被計(jì)算機(jī)病毒所感染。而降低n的值和增強(qiáng)μ就是降低病毒的傳播力,具體可以采用措施:不需要上網(wǎng)時及時斷開網(wǎng)絡(luò)連接,這樣就斷開計(jì)算機(jī)病毒傳播的路徑,病毒沒有了傳染的途徑,也就減小了被感染的風(fēng)險。
4結(jié)束語
在生物病毒模型的基礎(chǔ)上,構(gòu)建了一個預(yù)先實(shí)施了反病毒措施的計(jì)算機(jī)病毒傳播模型,模型客觀的反映了網(wǎng)絡(luò)環(huán)境中計(jì)算機(jī)病毒傳播情況。通過實(shí)驗(yàn)仿真分析了反病毒措施對病毒傳播的影響,實(shí)驗(yàn)結(jié)果表明提前盡早實(shí)施反病毒措施可使計(jì)算機(jī)病毒的傳播力明顯下降,提醒用戶防范計(jì)算機(jī)病毒的入侵,遏制計(jì)算機(jī)病毒在網(wǎng)絡(luò)中的傳播,維護(hù)網(wǎng)絡(luò)安全。
作者:楊永鋒 許生虎 單位:隴東學(xué)院信息工程學(xué)院
第三篇:數(shù)據(jù)挖掘在計(jì)算機(jī)病毒防御中應(yīng)用
摘要:近幾十年,計(jì)算機(jī)技術(shù)和網(wǎng)絡(luò)技術(shù)的迅速發(fā)展和普及使各行各業(yè)發(fā)生了翻天覆地的變化,許多行業(yè)已基本實(shí)現(xiàn)了數(shù)字化、信息化。這給人們帶來巨大便利的同時,也隱藏著各種各樣的安全隱患。其中,計(jì)算機(jī)網(wǎng)絡(luò)病毒的出現(xiàn)和迅速傳播嚴(yán)重威脅著計(jì)算機(jī)系統(tǒng)和人們的隱私安全,而目前的網(wǎng)絡(luò)病毒防御體系很難及時對未知病毒做出有效防御。因此,研究對網(wǎng)絡(luò)病毒更加有效的防御技術(shù)已成為當(dāng)前社會的迫切需要和網(wǎng)絡(luò)空間安全研究領(lǐng)域的一項(xiàng)重要任務(wù)。基于數(shù)據(jù)挖掘的計(jì)算機(jī)網(wǎng)絡(luò)病毒防御技術(shù)可以通過對數(shù)據(jù)庫中大量病毒數(shù)據(jù)運(yùn)用統(tǒng)計(jì)學(xué)、人工智能、機(jī)器學(xué)習(xí)等方法挖掘出判斷程序是不是網(wǎng)絡(luò)病毒的相關(guān)規(guī)則,并將接收到的數(shù)據(jù)包與挖掘到的規(guī)則進(jìn)行匹配,從而預(yù)測出數(shù)據(jù)包中是否含有網(wǎng)絡(luò)病毒。該文介紹當(dāng)前主流的計(jì)算機(jī)網(wǎng)絡(luò)病毒防御技術(shù),并將數(shù)據(jù)挖掘技術(shù)與計(jì)算機(jī)網(wǎng)絡(luò)病毒防御技術(shù)相結(jié)合,指出基于數(shù)據(jù)挖掘的計(jì)算機(jī)網(wǎng)絡(luò)病毒防御技術(shù)的應(yīng)用與所面臨的挑戰(zhàn)。最后設(shè)計(jì)基于數(shù)據(jù)挖掘技術(shù)的計(jì)算機(jī)網(wǎng)絡(luò)病毒防御系統(tǒng)流程。
關(guān)鍵詞:數(shù)據(jù)挖掘;計(jì)算機(jī);網(wǎng)絡(luò)病毒;防御
當(dāng)前,計(jì)算機(jī)網(wǎng)絡(luò)病毒的傳播給人們使用計(jì)算機(jī)造成了很大的困擾,網(wǎng)絡(luò)病毒在計(jì)算機(jī)中輕則導(dǎo)致隱私泄露,重則導(dǎo)致系統(tǒng)癱瘓。同時,《中華人民共和國網(wǎng)絡(luò)安全法》的通過與實(shí)施使我們清楚地認(rèn)識到網(wǎng)絡(luò)安全與國家安全息息相關(guān),沒有網(wǎng)絡(luò)安全就沒有國家安全。因此,研究更有效的計(jì)算機(jī)網(wǎng)絡(luò)病毒防御技術(shù)具有重要意義。而將數(shù)據(jù)挖掘技術(shù)應(yīng)用于計(jì)算機(jī)網(wǎng)絡(luò)病毒防御中,可以有效控制當(dāng)前迅速傳播的網(wǎng)絡(luò)病毒,從而更好地保護(hù)計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)的安全。
1計(jì)算機(jī)網(wǎng)絡(luò)病毒
1.1計(jì)算機(jī)網(wǎng)絡(luò)病毒的定義與特征
從廣義上來講,計(jì)算機(jī)網(wǎng)絡(luò)病毒是指通過網(wǎng)絡(luò)傳播并破壞計(jì)算機(jī)功能或者毀壞計(jì)算機(jī)內(nèi)部數(shù)據(jù)的代碼程序。從狹義上來講,計(jì)算機(jī)網(wǎng)絡(luò)病毒是指傳播途徑和破壞對象均為網(wǎng)絡(luò)的代碼程序[1]。計(jì)算機(jī)網(wǎng)絡(luò)病毒主要包括木馬病毒、蠕蟲病毒、宏病毒和腳本病毒等。當(dāng)前,為對抗特征碼檢測技術(shù),計(jì)算機(jī)網(wǎng)絡(luò)病毒多采用加密、多態(tài)、變形等技術(shù)手段,使得反病毒軟件即使從單個樣本中提取出特征碼也無法檢測出變形后的病毒,展現(xiàn)出變化速度較快的特征;由于網(wǎng)絡(luò)技術(shù)的迅猛發(fā)展,計(jì)算機(jī)網(wǎng)絡(luò)病毒可以通過多種方式如系統(tǒng)漏洞、電子郵件、文件共享、不良網(wǎng)頁等方式進(jìn)行傳播,展現(xiàn)出傳播速度較快且傳播形式多樣的特征;通過竊取或破壞用戶存儲在計(jì)算機(jī)內(nèi)的隱私信息或重要文件,政府、企業(yè)等組織的機(jī)密信息來獲取經(jīng)濟(jì)利益,計(jì)算機(jī)網(wǎng)絡(luò)病毒展現(xiàn)出越來越強(qiáng)的針對性與破壞性的特征。
1.2計(jì)算機(jī)網(wǎng)絡(luò)病毒的主要防治技術(shù)
1.2.1靜態(tài)病毒檢測技術(shù)。(1)特征碼檢測技術(shù)特征碼是反病毒軟件從病毒樣本中提取出的一串二進(jìn)制數(shù)值,可以根據(jù)這一數(shù)值來判斷一個文件是不是病毒文件或是否已感染病毒。常見的可以作為特征碼的信息有病毒感染計(jì)算機(jī)后在屏幕上顯示的信息、病毒的感染標(biāo)記或病毒文件中任何一段連續(xù)的、不含空格的且長度不大于64字節(jié)的字符串[2]。隨后,病毒檢測引擎可以將待檢測文件與病毒特征碼進(jìn)行二進(jìn)制匹配,如果匹配成功,則該文件很有可能是病毒或已感染病毒。(2)校驗(yàn)和檢測技術(shù)首先計(jì)算出正常文件或系統(tǒng)扇區(qū)的校驗(yàn)和并將其寫入數(shù)據(jù)庫。其中常見的計(jì)算對象有系統(tǒng)數(shù)據(jù)、文件頭部、文件屬性和文件內(nèi)容,常用的校驗(yàn)和算法有MD5、CRC等[2]。然后,當(dāng)使用文件或啟動系統(tǒng)時計(jì)算文件或系統(tǒng)扇區(qū)的校驗(yàn)和并將其與數(shù)據(jù)庫中保存的校驗(yàn)和進(jìn)行對比。若比較結(jié)果不一致,則文件或系統(tǒng)扇區(qū)有可能已感染病毒。(3)啟發(fā)式掃描技術(shù)啟發(fā)式掃描技術(shù)運(yùn)用反匯編引擎得到病毒程序的匯編指令序列,并將其與病毒程序行為代碼數(shù)據(jù)庫進(jìn)行對比,找出程序中的可疑代碼。然后根據(jù)統(tǒng)計(jì)規(guī)律,判斷該文件是不是病毒文件或是否已感染病毒并給出合理解釋。當(dāng)面對變形或多態(tài)病毒時,可以將該技術(shù)與虛擬機(jī)檢測技術(shù)結(jié)合起來,先使用虛擬機(jī)檢測技術(shù)使病毒現(xiàn)出“原形”,然后使用啟發(fā)式掃描技術(shù)對該文件進(jìn)行檢測。1.2.2動態(tài)病毒檢測技術(shù)。(1)虛擬機(jī)檢測技術(shù)為對抗網(wǎng)絡(luò)上日益猖獗的加密、多態(tài)和變形病毒,虛擬機(jī)檢測技術(shù)應(yīng)運(yùn)而生。虛擬機(jī)首先從病毒程序或染毒文件中讀取病毒的入口點(diǎn)代碼,然后模擬執(zhí)行病毒內(nèi)部的解密程序段,暴露出病毒的“原形”,隨后使用特征碼檢測技術(shù)或啟發(fā)式掃描技術(shù)來對該文件進(jìn)行檢測。(2)主動防御技術(shù)主動防御技術(shù)是指通過實(shí)時監(jiān)控應(yīng)用程序的行為來判斷其是否有惡意傾向,當(dāng)程序發(fā)生敏感行為時將向用戶發(fā)出警告,若其行為已嚴(yán)重到對系統(tǒng)安全構(gòu)成巨大威脅時也可直接將程序清除。1.2.3云查殺技術(shù)。云查殺技術(shù)是指將客戶端上的可疑文件、行為數(shù)據(jù)和對可疑文件的處理過程等上傳到云端服務(wù)器,利用云端服務(wù)器強(qiáng)大的數(shù)據(jù)和運(yùn)算資源以及各種分析手段來對其進(jìn)行判別,并指導(dǎo)客戶端做出相應(yīng)處理。這大大提高了判別的準(zhǔn)確性,也使得安全廠商可以更快地掌握新型病毒的行為特點(diǎn)和傳播動向,并及時采取相應(yīng)防御措施[2]。
2數(shù)據(jù)挖掘技術(shù)及其在計(jì)算機(jī)網(wǎng)絡(luò)病毒防御中的應(yīng)用
2.1數(shù)據(jù)挖掘技術(shù)簡介數(shù)據(jù)挖掘是指從大量的數(shù)據(jù)中,運(yùn)用統(tǒng)計(jì)學(xué)、人工智能、機(jī)器學(xué)習(xí)等方法,挖掘出未知的、且有價值的信息和知識的過程。數(shù)據(jù)挖掘技術(shù)主要有關(guān)聯(lián)分析、分類分析、聚類分析、異類分析、特異群組分析和演變分析等。
2.2構(gòu)建網(wǎng)絡(luò)病毒防御系統(tǒng)的數(shù)據(jù)挖掘技術(shù)。2.2.1有監(jiān)督的數(shù)據(jù)挖掘技術(shù)。分類分析是有監(jiān)督的數(shù)據(jù)挖掘技術(shù),指預(yù)先設(shè)定幾個類別,然后將個體依據(jù)其特征分別納入不同的類別。分類分析的輸入數(shù)據(jù)是記錄的集合,每條記錄用元組(x,y)來表示。其中x是屬性集合,y是這條記錄所屬的類別[3]。進(jìn)行分類分析的目的在于利用統(tǒng)計(jì)方法或機(jī)器學(xué)習(xí)方法等構(gòu)造分類模型,將數(shù)據(jù)庫中的數(shù)據(jù)映射到某個特定類,即實(shí)現(xiàn)從x到y(tǒng)的映射,然后利用該分類規(guī)則分類其他數(shù)據(jù)[4]。若將分類分析與啟發(fā)式掃描技術(shù)相結(jié)合,則需要在訓(xùn)練集中導(dǎo)入良性樣本和惡意樣本。其中屬性集合x為各種程序行為代碼,若某一樣本的匯編指令序列中出現(xiàn)該代碼則記為1,否則記為0;類標(biāo)號y為Yes或No,代表該樣本是不是病毒程序。由此訓(xùn)練出分類模型,隨后我們可以用一個包含良性樣本和惡意樣本的檢驗(yàn)集來判斷該模型是否有效。在靜態(tài)分析中,支持向量機(jī)算法表現(xiàn)較好;而在動態(tài)分析中,集成算法表現(xiàn)較好。下面介紹一個可以有效應(yīng)用于網(wǎng)絡(luò)病毒防御中的分類方法:決策樹分類法。決策樹是一種由節(jié)點(diǎn)和有向邊組成的層次結(jié)構(gòu),它通過提出一系列關(guān)于檢驗(yàn)記錄屬性的問題來進(jìn)行分類[3]。在決策樹中一個內(nèi)部結(jié)點(diǎn)代表一個屬性測試條件,一個樹枝代表一個檢測結(jié)果,葉子上的結(jié)點(diǎn)代表不同的類別。在決策樹中最常用的運(yùn)算法則是ID3和C4.5,它們都屬于從下到上樹形結(jié)構(gòu),它們的運(yùn)算法則表述為:x1+x2=x[5]。決策樹挖掘是依據(jù)從大到小,從廣到細(xì)的原則逐級劃分判斷條件,對不同屬性逐級進(jìn)行判斷,當(dāng)有一級不滿足判斷條件時即可做出相應(yīng)的防御反應(yīng)。在構(gòu)建計(jì)算機(jī)網(wǎng)絡(luò)病毒防御系統(tǒng)中,決策樹挖掘的條件為:(1)該程序是否有破壞能力;(2)該程序是否有復(fù)制傳播能力;(3)該程序是否具有隱蔽性[6]。2.2.2無監(jiān)督的數(shù)據(jù)挖掘技術(shù)。(1)聚類分析聚類分析指將數(shù)據(jù)劃分成不同的組,要求在一個組中的個體有相似的特征且差異較小,而組與組之間存在不同特征且差異較大。進(jìn)行聚類分析的目的在于發(fā)現(xiàn)緊密相關(guān)的觀測值組群,通過聚類分析還可以較好地呈現(xiàn)出數(shù)據(jù)分布的疏密情況和全局分布模式[7]。若將聚類分析與啟發(fā)式掃描技術(shù)或主動防御技術(shù)相結(jié)合,那么我們可以將程序行為或其行為代碼聚類為正常和異常兩類,在異常類中又可按其嚴(yán)重程度將其進(jìn)一步聚類,由此我們可以更加精準(zhǔn)地區(qū)分出正常和異常的程序行為或其行為代碼,隨后我們可以將由聚類分析得到的類作為對未知程序進(jìn)行分類的依據(jù)。(2)關(guān)聯(lián)分析關(guān)聯(lián)分析指在數(shù)據(jù)庫中發(fā)現(xiàn)有強(qiáng)關(guān)聯(lián)特征的模式,常用XàY的蘊(yùn)含表達(dá)式表示,其中X與Y均為項(xiàng)集。如果兩個或多個變量之間存在某種規(guī)律性,那么這些數(shù)據(jù)之間就存在著一定的關(guān)聯(lián)性,其中的關(guān)聯(lián)主要有簡單關(guān)聯(lián)、時序關(guān)聯(lián)和因果關(guān)聯(lián)[8]。我們常用支持度(s)和置信度(c)來度量關(guān)聯(lián)規(guī)則的強(qiáng)度,支持度表示既包含X又包含Y的事務(wù)在所有事務(wù)中所占的比例,其中s(XàY)=P(X&Y)/N;置信度表示同時包含X和Y的事務(wù)在包含X的事務(wù)中所占的比例,其中c(XàY)=P(X&Y)/P(X)[3]。進(jìn)行關(guān)聯(lián)分析的目的是找出數(shù)據(jù)庫當(dāng)中存在的關(guān)聯(lián)網(wǎng),挖掘數(shù)據(jù)之間的關(guān)聯(lián)性以找出數(shù)據(jù)之間的關(guān)聯(lián)規(guī)則[8]。若將關(guān)聯(lián)分析與啟發(fā)式掃描技術(shù)相結(jié)合,則需要在數(shù)據(jù)中導(dǎo)入良性樣本和惡意樣本。其中每個項(xiàng)為一個程序行為代碼,若某一樣本的匯編指令序列中出現(xiàn)該代碼則記為1,否則記為0。對這些數(shù)據(jù)進(jìn)行關(guān)聯(lián)分析我們可以發(fā)現(xiàn)某些行為代碼之間具有關(guān)聯(lián),這些關(guān)聯(lián)擁有較高的支持度和置信度。若我們發(fā)現(xiàn)XàY,且項(xiàng)集X與項(xiàng)集Y的權(quán)重的和足以觸發(fā)警報。那么當(dāng)項(xiàng)集X發(fā)生時,項(xiàng)集Y就很有可能發(fā)生,該程序也很有可能是病毒。若將關(guān)聯(lián)分析與主動防御技術(shù)相結(jié)合,則需要在數(shù)據(jù)中導(dǎo)入良性樣本和惡意樣本。當(dāng)樣本程序運(yùn)行時,系統(tǒng)日志會記錄程序運(yùn)行信息,并且這些數(shù)據(jù)會被轉(zhuǎn)化成事件存入數(shù)據(jù)庫。數(shù)據(jù)中每個項(xiàng)為一個程序行為,若某一樣本的行為集中出現(xiàn)該行為則記為1,否則記為0。若不嚴(yán)重的敏感行為集與某些嚴(yán)重違反安全規(guī)則的行為之間存在關(guān)聯(lián),那么當(dāng)不嚴(yán)重的敏感行為集發(fā)生時,我們應(yīng)當(dāng)對其足夠重視,并向用戶發(fā)出嚴(yán)重安全威脅可能發(fā)生的警報或采取措施清除危險程序。2.2.3異類分析。異類分析指分析數(shù)據(jù)庫中與其他數(shù)據(jù)偏離較為明顯的數(shù)據(jù),即偏離常規(guī)模式的數(shù)據(jù)。因?yàn)榕c常規(guī)數(shù)據(jù)相比,這些異常數(shù)據(jù)很可能是由完全不同的機(jī)制產(chǎn)生的[7]。當(dāng)然,由于測量誤差產(chǎn)生的異常數(shù)據(jù)我們應(yīng)當(dāng)及時予以清除。因此,異類分析常作為數(shù)據(jù)預(yù)處理的一部分。異類分析算法需要識別出真正的異常點(diǎn),即具有高的檢出率和低的誤報率[3]。異常數(shù)據(jù)相對于正常數(shù)據(jù)來講有其獨(dú)有的特殊性,我們往往可以從中發(fā)現(xiàn)有悖常理的結(jié)果和更有價值的信息。異常檢測可分為監(jiān)督的,非監(jiān)督的和半監(jiān)督的。監(jiān)督的異常檢測要求在訓(xùn)練集中存在正常樣本和異常樣本,并做好標(biāo)記,即標(biāo)好類標(biāo)號;非監(jiān)督的異常檢測則不要求標(biāo)好類標(biāo)號。而在半監(jiān)督的異常檢測中,我們需要使用有標(biāo)記的正常樣本信息,發(fā)現(xiàn)檢驗(yàn)集中異常樣本的類標(biāo)號或得分[3]。我們也可以先構(gòu)造出一個正常程序的輪廓,當(dāng)某一個程序到來或運(yùn)行時便將其與之比較,如果該程序的特性與正常程序的輪廓無法很好地?cái)M合,那么該程序就很有可能是網(wǎng)絡(luò)病毒。
2.3數(shù)據(jù)挖掘技術(shù)在計(jì)算機(jī)網(wǎng)絡(luò)病毒防御中的應(yīng)用與挑戰(zhàn)
隨著社會的信息化與網(wǎng)絡(luò)化不斷向前推進(jìn),計(jì)算機(jī)網(wǎng)絡(luò)病毒的威脅也日益嚴(yán)重。而數(shù)據(jù)挖掘技術(shù)的發(fā)展使人們希望借助數(shù)據(jù)挖掘技術(shù)來提升對計(jì)算機(jī)網(wǎng)絡(luò)病毒的防御能力。目前,支付寶、京東金融等互聯(lián)網(wǎng)金融平臺已使用數(shù)據(jù)挖掘技術(shù)來防御網(wǎng)絡(luò)病毒,保障用戶的數(shù)據(jù)安全。與傳統(tǒng)基于特征碼的病毒檢測技術(shù)不同,基于數(shù)據(jù)挖掘的計(jì)算機(jī)網(wǎng)絡(luò)病毒防御技術(shù)不需要規(guī)模龐大的特征碼庫,并且可以很好地識別未知病毒,提高對病毒識別的準(zhǔn)確率。但是,該技術(shù)在進(jìn)行數(shù)據(jù)預(yù)處理和數(shù)據(jù)挖掘的過程中需要消耗較多的資源和時間。我們應(yīng)該發(fā)揮該技術(shù)的長處,并與傳統(tǒng)的反病毒技術(shù)相互配合,才能更好地防御計(jì)算機(jī)網(wǎng)絡(luò)病毒。
3基于數(shù)據(jù)挖掘技術(shù)的計(jì)算機(jī)網(wǎng)絡(luò)病毒防御系統(tǒng)流程
數(shù)據(jù)挖掘技術(shù)的重點(diǎn)在尋找未知的模式與規(guī)律,其主要由以下五大模塊組成:(1)數(shù)據(jù)源模塊;(2)預(yù)處理模塊;(3)規(guī)則庫模塊;(4)數(shù)據(jù)挖掘模塊;(5)決策模塊。在基于數(shù)據(jù)挖掘技術(shù)的計(jì)算機(jī)網(wǎng)絡(luò)病毒防御系統(tǒng)中,首先收集含有入侵指令的數(shù)據(jù),通過這些數(shù)據(jù)初始化來往的網(wǎng)絡(luò)數(shù)據(jù),然后對這些數(shù)據(jù)運(yùn)用預(yù)處理模塊進(jìn)行預(yù)處理。預(yù)處理完成后開始進(jìn)行數(shù)據(jù)挖掘,使用關(guān)聯(lián)分析、分類分析、聚類分析、異類分析等數(shù)據(jù)挖掘技術(shù)建立規(guī)則集即網(wǎng)絡(luò)病毒的特征集合,再將待檢測數(shù)據(jù)與規(guī)則集匹配檢測,如果兩者之間的匹配度較高,則說明該數(shù)據(jù)包中可能存在網(wǎng)絡(luò)病毒;如果兩者之間的匹配度較低,則說明有可能是未知病毒,這時會觸發(fā)預(yù)警機(jī)制,并提取該病毒特征屬性以及連接數(shù)據(jù)的方式將其納入規(guī)則集[8]。
3.1數(shù)據(jù)挖掘技術(shù)組成模塊
數(shù)據(jù)挖掘技術(shù)主要由以下五大模塊組成:3.1.1數(shù)據(jù)源模塊。數(shù)據(jù)源模塊會截取計(jì)算機(jī)網(wǎng)絡(luò)中的原始數(shù)據(jù)包,這些數(shù)據(jù)包中包含著一些重要的數(shù)據(jù)結(jié)構(gòu)和功能信息,之后將這些原始數(shù)據(jù)交由預(yù)處理模塊進(jìn)行預(yù)處理[7]。數(shù)據(jù)源模塊為數(shù)據(jù)挖掘提供充足的數(shù)據(jù),是數(shù)據(jù)挖掘的基礎(chǔ)。3.1.2預(yù)處理模塊。預(yù)處理模塊是整個數(shù)據(jù)挖掘流程中的重點(diǎn)模塊。預(yù)處理數(shù)據(jù)主要由鏈接數(shù)據(jù)、數(shù)據(jù)凈化、變量整合以及格式轉(zhuǎn)換等構(gòu)成[9]。由于在大量原始數(shù)據(jù)中存在許多不完整、不一致的數(shù)據(jù),這些數(shù)據(jù)將會嚴(yán)重影響數(shù)據(jù)挖掘建模的執(zhí)行效率和執(zhí)行結(jié)構(gòu)。通過對數(shù)據(jù)源模塊截獲到的數(shù)據(jù)進(jìn)行預(yù)處理,可以選擇出與當(dāng)前數(shù)據(jù)挖掘任務(wù)相關(guān)的數(shù)據(jù),使數(shù)據(jù)能夠被數(shù)據(jù)挖掘模塊所處理,提高數(shù)據(jù)的辨識度和準(zhǔn)確性,還能縮短數(shù)據(jù)挖掘時間,提高數(shù)據(jù)挖掘效果,為后期進(jìn)行數(shù)據(jù)挖掘創(chuàng)造了條件[7]。3.1.3規(guī)則庫模塊。規(guī)則庫模塊是通過對已經(jīng)能夠分析檢測到的網(wǎng)絡(luò)病毒進(jìn)行數(shù)據(jù)挖掘而形成的規(guī)則集,該規(guī)則集反映了網(wǎng)絡(luò)病毒的行為特征。利用該規(guī)則集,可以指導(dǎo)數(shù)據(jù)挖掘模塊的工作,還可以探究并抵御計(jì)算機(jī)網(wǎng)絡(luò)中的其他病毒[9]。3.1.4數(shù)據(jù)挖掘模塊。數(shù)據(jù)挖掘模塊是整個數(shù)據(jù)挖掘流程中的關(guān)鍵一環(huán),其主要由事件庫和數(shù)據(jù)挖掘算法兩大部分組成,通過數(shù)據(jù)挖掘算法對由數(shù)據(jù)源模塊和預(yù)處理模塊形成的事件庫進(jìn)行分析,在事件庫中記錄的主要是用于進(jìn)行數(shù)據(jù)挖掘的相關(guān)數(shù)據(jù)。經(jīng)過數(shù)據(jù)挖掘模塊的處理后,最終形成規(guī)則清晰的數(shù)據(jù)挖掘結(jié)果,并將其傳遞給決策模塊[8]。3.1.5決策模塊決策模塊的作用是將數(shù)據(jù)挖掘結(jié)果與規(guī)則庫中的規(guī)則進(jìn)行匹配。如果數(shù)據(jù)挖掘結(jié)果與規(guī)則庫中的規(guī)則匹配度很高,那么說明決策模塊信息存在病毒特征,數(shù)據(jù)包中存在計(jì)算機(jī)網(wǎng)絡(luò)病毒的風(fēng)險很大,應(yīng)當(dāng)及時對病毒予以清除。如果數(shù)據(jù)挖掘結(jié)果與規(guī)則庫中的規(guī)則不匹配,那么說明數(shù)據(jù)包中可能存在未知的新型病毒,此時預(yù)警系統(tǒng)將會發(fā)出新型病毒警告,規(guī)則庫模塊將此新型病毒引入規(guī)則庫,形成新的規(guī)則類別[10]。
3.2基于數(shù)據(jù)挖掘技術(shù)的計(jì)算機(jī)網(wǎng)絡(luò)病毒防御系統(tǒng)流程圖
基于數(shù)據(jù)挖掘技術(shù)的計(jì)算機(jī)網(wǎng)絡(luò)病毒防御系統(tǒng)流程圖如圖1所示。
4結(jié)語
當(dāng)前,利用數(shù)據(jù)挖掘技術(shù)進(jìn)行網(wǎng)絡(luò)病毒防御是社會的迫切需要,也是網(wǎng)絡(luò)病毒防御技術(shù)的發(fā)展趨勢,數(shù)據(jù)挖掘技術(shù)在網(wǎng)絡(luò)病毒防御系統(tǒng)中的重要性也越來越明顯。我們可以將傳統(tǒng)計(jì)算機(jī)網(wǎng)絡(luò)病毒防御技術(shù)與數(shù)據(jù)挖掘技術(shù)相結(jié)合,利用各自的優(yōu)點(diǎn)提高網(wǎng)絡(luò)病毒查殺的準(zhǔn)確度和效率。如利用有監(jiān)督的數(shù)據(jù)挖掘技術(shù)可以快速訓(xùn)練出一個模型,但需要許多有標(biāo)記的數(shù)據(jù);而無監(jiān)督的數(shù)據(jù)挖掘技術(shù)使用大量未標(biāo)記的數(shù)據(jù)來訓(xùn)練模型。在獲取大量未標(biāo)記的數(shù)據(jù)越來越容易而進(jìn)行人工標(biāo)記的成本越來越高的今天,使用無監(jiān)督的數(shù)據(jù)挖掘技術(shù)來防御網(wǎng)絡(luò)病毒是該項(xiàng)技術(shù)的發(fā)展趨勢。今后,數(shù)據(jù)挖掘技術(shù)將發(fā)揮其獨(dú)特優(yōu)勢,在計(jì)算機(jī)網(wǎng)絡(luò)病毒的識別和判斷方面發(fā)揮關(guān)鍵作用。
作者:潘恒緒 卞煒?biāo)?鄧杰 肖文 單位:江蘇大學(xué)