范海峰

（91412 部隊 廣東省湛江市 524001）

當今社會已經(jīng)進入了信息化時代，而在互聯(lián)網(wǎng)信息技術高速發(fā)展的過程中，計算機網(wǎng)絡已經(jīng)被廣泛應用于社會的各個領域當中，同時使民眾日常工作以及生活的模式發(fā)生了較大的改變。如今各行各業(yè)都離不開計算機網(wǎng)絡的支持，人們對其加以利用時，網(wǎng)絡安全問題始終會影響用戶的實際體驗以及個人隱私安全，因此，社會對計算機網(wǎng)絡病毒防御系統(tǒng)的構建越來越關注。事實證明，在此防御系統(tǒng)中應用數(shù)據(jù)挖掘技術，可以使網(wǎng)絡安全得到大幅提升，因此有關人員需要對其予以高度重視。

1 計算機網(wǎng)絡病毒主要特征

1.1 借助系統(tǒng)漏洞快速傳播

當前，網(wǎng)絡病毒技術越來越高端，其傳播模式趨于多元化。而最為常見的病毒傳播方式即用戶在應用計算機時，病毒從各種系統(tǒng)漏洞中被傳入計算機，這些病毒能夠自動識別有漏洞的計算機，隨后入侵并且對計算機部分甚至所有程序進行控制。與此同時，病毒還能夠針對性地掃描文件夾以及系統(tǒng)文件，繼而持續(xù)復制病毒，加大病毒入侵計算機網(wǎng)絡的規(guī)模[1]。

1.2 病毒多樣性的特點

開發(fā)和構成網(wǎng)絡病毒方式并不復雜，非法人員僅需借助若干程序指令便能創(chuàng)造出大規(guī)模網(wǎng)絡病毒。與此同時，現(xiàn)今社會上存在許多水平較高的編程人員，其能夠自行編寫簡單病毒程序。除此之外，網(wǎng)絡病毒在計算機網(wǎng)絡當中能夠快速繁殖，同時擁有多樣化的類型，這便使網(wǎng)絡安全風險系數(shù)被大幅度增加。

1.3 病毒的針對性特點

以往的計算機網(wǎng)絡病毒較為單一，這是由于其存在的目的僅僅為干擾程序員對各種程序的編寫；然而由于當前網(wǎng)絡病毒具備多樣化的特點，因此，不同病毒具有相應的針對性，同時，病毒自身功能也越來越多。另外，伴隨互聯(lián)網(wǎng)信息技術的高速發(fā)展，病毒開發(fā)與設計人員能夠賦予病毒具有針對性的目的和功能，是指帶有目的地入侵和攻擊用戶計算機。

2 網(wǎng)絡病毒常見傳播途徑

2.1 主動掃描

此方式主要是借助互聯(lián)網(wǎng)對遠程計算機存在的漏洞進行掃描，隨后按照掃描的結果取得目標計算機的部分控制權限。與此同時，一些病毒會在計算機中對可寫的文件夾進行搜索，并且在文件夾中復制大量病毒，從而嚴重影響用戶對計算機的把控。

2.2 郵件模式

不法分子傳播計算機網(wǎng)絡病毒時最常運用的手段即電子郵件，而郵件在網(wǎng)絡中傳送的時候，極易導致網(wǎng)絡中大部分郵件被感染病毒。因此，網(wǎng)絡當中病毒郵件的傳播范圍越來越廣，速度也越來越快，這會導致計算機無法順利執(zhí)行信息交換命令。

3 數(shù)據(jù)挖掘技術原理與構成

3.1 技術原理概述

KDD 技術（即數(shù)據(jù)挖掘技術）主要指幫助用戶從海量信息數(shù)據(jù)當中借助相應算法對其中位置但價值較高的知識、信息進行搜索的一類技術。此項技術會涉及到眾多專業(yè)知識，其中包含了模糊識別、計算機技術、機器學習、統(tǒng)計學以及檢索情報等。對數(shù)據(jù)進行挖掘時，關鍵步驟包括了準備數(shù)據(jù)、探尋數(shù)據(jù)的規(guī)律以及將數(shù)據(jù)的規(guī)律展現(xiàn)出來。系統(tǒng)在對數(shù)據(jù)挖掘加以確定之后，有關的引擎便會及時起動，對需挖掘信息數(shù)據(jù)進行檢索，將數(shù)據(jù)規(guī)律挖掘出來。對于數(shù)據(jù)挖掘工作而言，其關鍵點為預處理數(shù)據(jù)，主要工作有鏈接數(shù)據(jù)表、數(shù)據(jù)凈化、整合變量以及轉換格式等。有關人員不能應當明確，數(shù)據(jù)預處理工作的順利落實能夠為分析數(shù)據(jù)工作夯實基礎[2]。

3.2 技術的主要構成模塊

3.2.1 數(shù)據(jù)源

此模塊重點便在于截獲網(wǎng)絡向計算機發(fā)送的數(shù)據(jù)包。該模塊內(nèi)部主要包含網(wǎng)絡當中不同的初始數(shù)據(jù)包，這些數(shù)據(jù)包當中通常都具有與特定數(shù)據(jù)庫存在關聯(lián)性的數(shù)據(jù)結構。當模塊截獲數(shù)據(jù)包后，會將其轉交到預處理的模塊，隨后執(zhí)行相應指令。

3.2.2 預處理

此模塊為數(shù)據(jù)挖掘技術最為基礎的工作模塊，其會預處理數(shù)據(jù)信息，以便為后續(xù)分析數(shù)據(jù)的工作夯實基礎。經(jīng)由預處理數(shù)據(jù)，可以全面提升數(shù)據(jù)信息的實際挖掘效果，同時縮短挖掘的時間，這樣便可使挖掘數(shù)據(jù)的整體效率得到有效提高。

3.2.3 規(guī)則庫

該模塊主要會全面儲存挖掘數(shù)據(jù)過程時形成的有關規(guī)則集以及那些已經(jīng)分析完成且被全方位檢測的蠕蟲病毒相應連接特點。所存儲規(guī)則集能夠將病毒具體特點與連接數(shù)據(jù)反映出來，繼而對病毒數(shù)據(jù)特點加以分析，合理收集有關的特點。

3.2.4 數(shù)據(jù)挖掘

此模塊的重要任務即借助有關的計算方式分析事件庫。一般事件庫內(nèi)部數(shù)據(jù)信息被此模塊挖掘和分析后，分析結果會被傳送到?jīng)Q策模塊加以處理。

3.2.5 決策

決策模塊的工作重點為總結數(shù)據(jù)挖掘的有關結果，同時使之匹配規(guī)則庫內(nèi)部的有關規(guī)則，倘若結果與相應規(guī)則相匹配，則說明所截獲數(shù)據(jù)包內(nèi)部存在蠕蟲病毒；倘若二者并不相符，預防模塊將發(fā)出相應的警報信息，說明此時存在未知蠕蟲病毒，另外模塊也會將此病毒規(guī)則記錄到規(guī)則庫內(nèi)。

4 預防計算機網(wǎng)絡病毒過程中數(shù)據(jù)挖掘技術的應用可行性

在一般狀況下，計算機網(wǎng)絡病毒會優(yōu)先將主機感染，隨后傳播和擴散病毒，而在病毒的傳播階段，其會侵入到用戶計算機操作系統(tǒng)當中，并且對用戶在互聯(lián)網(wǎng)當中的各類信息進行掃描、竊取甚至破壞。而這部分異常指令能夠有效支持數(shù)據(jù)挖掘技術的應用，借助此項技術能夠對網(wǎng)絡內(nèi)部數(shù)據(jù)進行抓取，同時按照分析數(shù)據(jù)的最終結果來診斷引發(fā)網(wǎng)絡當中異常問題的主要原因，進而引導用戶采用最合適的方案來防護網(wǎng)絡安全，在第一時間避免病毒威脅計算機系統(tǒng)。若想使數(shù)據(jù)挖掘技術得以被有效落實，有關人員應該對網(wǎng)絡病毒傳播、感染方式展開深入分析。比如，在用戶計算機感染了蠕蟲病毒的時候，應當優(yōu)先掃描主機，并且在相應防御系統(tǒng)當中建立相應突破口，基于數(shù)據(jù)挖掘技術來建立更有效的病毒防御體系，并且對前文提及的主要構成模塊加以有效運用?？傮w而言，當網(wǎng)絡當中形成了數(shù)據(jù)源，預處理模塊便會對其加以處理，將網(wǎng)絡中傳播的病毒記錄下來，提升防御系統(tǒng)病毒識別力以及免疫力，當今后相似的病毒侵入系統(tǒng)時，系統(tǒng)便會在第一時間發(fā)出警報，并且借助防御系統(tǒng)來保護主機[3]。

5 數(shù)據(jù)挖掘技術在計算機網(wǎng)絡病毒防御系統(tǒng)開發(fā)中的主要應用思路

當用戶的計算機被網(wǎng)絡病毒入侵時，其內(nèi)部系統(tǒng)往往會被病毒破壞，當核心操作系統(tǒng)被入侵的時候，計算機系統(tǒng)內(nèi)部全部信息都會被破壞。數(shù)據(jù)挖據(jù)技術能夠在各種網(wǎng)絡病毒入侵的同時截獲病毒重要信息，同時對網(wǎng)絡運行相應數(shù)據(jù)展開分析，并且合理處理分析完成的數(shù)據(jù)，這便可以避免系統(tǒng)文件被病毒破壞，為用戶的計算機網(wǎng)絡安全提供可靠保障。所以，有關人員需要致力于進一步開發(fā)應用數(shù)據(jù)挖掘技術。

5.1 系統(tǒng)開發(fā)中規(guī)則庫的應用

系統(tǒng)內(nèi)部規(guī)則庫模塊主要是借助計算機進一步挖掘當前網(wǎng)絡數(shù)據(jù)信息，利用各種特征來分析判斷數(shù)據(jù)的實質內(nèi)容，并且在獲悉數(shù)據(jù)主要規(guī)律之后深度分析后期數(shù)據(jù)。該模塊的有效應用，能夠將關于病毒程序的重要信息數(shù)據(jù)規(guī)律及其內(nèi)容充分記錄下來，以便指導后期數(shù)據(jù)挖掘工作的開展。在防御系統(tǒng)中應用規(guī)則庫模塊，能夠以最快的速度將最新病毒識別出來，并且及時匹配相應破解措施；除此之外，這種應用還有助于系統(tǒng)分類數(shù)據(jù)內(nèi)容，同時使數(shù)據(jù)庫模塊信息被逐步完善，將數(shù)據(jù)支持完全提供給防御系統(tǒng)。

5.2 數(shù)據(jù)收集的應用

先進的數(shù)據(jù)挖掘技術，其核心基礎即計算機技術，互聯(lián)網(wǎng)時代下社會對網(wǎng)絡技術的應用越發(fā)頻繁，其能夠幫助人們對網(wǎng)絡信息以及資源展開全面收集。數(shù)據(jù)挖掘技術中囊括了信息數(shù)據(jù)的收集和處理以及篩選與歸類等功能，該技術在普及網(wǎng)絡技術的過程中被逐步運用到社會各個領域當中。在計算機網(wǎng)絡病毒的防御系統(tǒng)當中應用數(shù)據(jù)挖掘技術，能使系統(tǒng)借助數(shù)據(jù)信息收集技術來收集病毒傳播方式以及構成數(shù)據(jù)。在通常情況下，病毒在入侵計算機的時候，一般都會呈現(xiàn)出代碼形式，這是因為病毒在破壞計算機的內(nèi)部系統(tǒng)時，往往需要借助某些計算機程序。因此，防御系統(tǒng)借助數(shù)據(jù)挖掘技術能夠在海量信息數(shù)據(jù)當中精準且快速地將與病毒有關程序代碼等搜尋出來，隨后對其展開分析。由于病毒的程序和計算機的軟件程序具備一部分共性，制作時其功能、模塊較多，而數(shù)據(jù)挖掘技術能夠分模塊收集病毒數(shù)據(jù)，并且在收集數(shù)據(jù)時可以從網(wǎng)絡中抓取大量數(shù)據(jù)，最終實現(xiàn)按照不同模塊合理分類和整理病毒信息。

5.3 數(shù)據(jù)處理的應用

在計算機網(wǎng)絡病毒防御系統(tǒng)當中應用數(shù)據(jù)處理技術，可以使系統(tǒng)借助此技術合理篩選并分析海量數(shù)據(jù)，并且以帶入關鍵信息的方式將和病毒有一定關聯(lián)性的代碼篩選出來，隨后分類整理這部分結果，并且結合處理技術轉換所收集信息數(shù)據(jù)的格式。在一般狀況下，網(wǎng)絡病毒不會以文字、數(shù)字方式攻擊計算機，另外代碼形式也要經(jīng)過一定轉換方可以常規(guī)方式被呈現(xiàn)出來，但是通常只有將病毒代碼轉換為計算機能夠識別的形式后才可以破解病毒的類型。數(shù)據(jù)挖據(jù)技術中的數(shù)據(jù)處理技術主要任務便是轉換病毒的代碼形式。處理病毒的形式時，需要處理的內(nèi)容主要有數(shù)據(jù)源的信息、源IP 的位置以及數(shù)據(jù)源的位置等，并且經(jīng)由更深入的挖掘來定位病毒IP 的主要目標，進而實現(xiàn)對傳播病毒路徑的有效封鎖。除此之外，處理技術還能終端信息處理所收集信息數(shù)據(jù)，并且將數(shù)據(jù)轉化成可識別的形勢。此項技術還能使分析數(shù)據(jù)以及破解病毒存在形式的時間被合理縮短，使數(shù)據(jù)挖掘的整體效率、準確性有所提升[4]。

5.4 不同分析方式的應用

（1）序列分析：此分析方式為統(tǒng)計分析方式，重點在于實時處理數(shù)據(jù)信息。進行序列分析的時候，系統(tǒng)需要根據(jù)隨機數(shù)據(jù)序列當中特有規(guī)律展開全面分析，同時找出事件庫內(nèi)已存在病毒數(shù)據(jù)的序列進行比對。

（2）關聯(lián)規(guī)則：此項規(guī)則即數(shù)據(jù)內(nèi)部一般都存在可以被關聯(lián)的知識數(shù)據(jù)，當數(shù)據(jù)庫內(nèi)部分變量在各自取值上存在規(guī)律，便說明這部分數(shù)據(jù)互相間存在關聯(lián)性。在數(shù)據(jù)挖掘技術中最重要的關聯(lián)關系包括時序關聯(lián)、簡單關聯(lián)與因果關聯(lián)，分析、查找數(shù)據(jù)信息當中存在的關聯(lián)性，便是確定數(shù)據(jù)庫內(nèi)部各種關聯(lián)網(wǎng)，并且挖掘并明確各項數(shù)據(jù)間存在的關聯(lián)性，繼而將對應的關聯(lián)規(guī)則挖掘出來，最終對病毒進行確認。

（3）異類分析：此分析方式即全面分析數(shù)據(jù)庫內(nèi)部明顯存在不同的有關數(shù)據(jù)信息，其分析的重點便在于深入分析與常規(guī)方式間偏離較大的有關數(shù)據(jù)。具體的分析流程為優(yōu)先發(fā)現(xiàn)孤立點，隨后深入分析此孤立點。需要注意的是，在發(fā)現(xiàn)孤立點的過程中，一般都會得到相悖于常理的結果，因此在對孤立點進行深入分析的時候，通常都會發(fā)現(xiàn)具有更高價值的有關信息數(shù)據(jù)，這對病毒的甄別具有重要作用。

（4）分類分析：運用此類分析方法的時候，應該優(yōu)先設定若干不同類別，隨后根據(jù)實際類別對不同的個體進行歸類處理，并且借助相應的統(tǒng)計方法以及機器學習法等建立對應的模型，同時借助對應的特定類別映射數(shù)據(jù)庫內(nèi)部的有關數(shù)據(jù)，隨后遵循分類規(guī)則合理分類其余數(shù)據(jù)。

（5）聚類分析：防御系統(tǒng)利用此分析方法，能夠有效分解數(shù)據(jù)挖掘過程中截獲的數(shù)據(jù)包，同時根據(jù)不同類型來劃分數(shù)據(jù)組別，而在各組別內(nèi)部，各項數(shù)據(jù)普遍具備若干類似特征，而不同組別也都具有不同的特征點。防御系統(tǒng)在聚類分析數(shù)據(jù)后，能夠快速將數(shù)據(jù)當前分布的疏密情況識別出來，并且將全區(qū)分布方式體現(xiàn)出來，呈現(xiàn)出數(shù)據(jù)屬性間的本質關系，這能夠使病毒識別效率有效提升。

6 結論

總體而言，在數(shù)據(jù)挖據(jù)技術被逐步應用于計算機病毒防御系統(tǒng)的過程中，此項技術已經(jīng)成為系統(tǒng)最為關鍵的技術之一。將數(shù)據(jù)庫、信息收集與處理等技術應用于防御系統(tǒng)當中，同時結合多種分析方式，能夠有效防御計算機網(wǎng)絡病毒，從而在保證用戶個人隱私安全的基礎上營造更加良好的網(wǎng)絡環(huán)境。