USB移動存儲設(shè)備中異常病毒數(shù)據(jù)檢測技術(shù)研究

(青海師范大學(xué)成人教育學(xué)院，青海 西寧 810008)

USB移動存儲設(shè)備中異常病毒數(shù)據(jù)檢測技術(shù)研究

郭道軍

(青海師范大學(xué)成人教育學(xué)院，青海西寧810008)

對USB移動存儲設(shè)備中的異常病毒數(shù)據(jù)進(jìn)行檢測，可以延長USB移動存儲設(shè)備壽命，提高數(shù)據(jù)利用率，減少系統(tǒng)運(yùn)行時間；當(dāng)前方法利用軌跡點片段異常對USB移動存儲設(shè)備中的異常病毒數(shù)據(jù)進(jìn)行檢測，將幾個獨立的USB移動存儲設(shè)備中的異常病毒數(shù)據(jù)屬性進(jìn)行結(jié)合，針對現(xiàn)有的異常病毒數(shù)據(jù)點的異常軌跡進(jìn)行檢測，以病毒數(shù)據(jù)的位置、速度以及方向為檢測對象；該方法對USB移動存儲設(shè)備中的異常病毒數(shù)據(jù)檢測效率低，不適用于大規(guī)模的USB移動存儲設(shè)備中的異常病毒數(shù)據(jù)檢測；為此，提出一種基于PATRICIA樹的USB移動存儲設(shè)備中異常病毒數(shù)據(jù)檢測方法；該方法利用K-means算法將USB移動存儲設(shè)備中的數(shù)據(jù)劃分為K個類，并利用歐幾里德距離對各個類間的相似度進(jìn)行衡量，然后在獨立分量分析的基礎(chǔ)上加入遺忘因子，對USB移動存儲設(shè)備中異常病毒數(shù)據(jù)檢測時含噪進(jìn)行測量估計，最后利用小波分析法，通過設(shè)置USB移動存儲設(shè)備中異常病毒數(shù)據(jù)判定閾值，以及標(biāo)準(zhǔn)化以后的小波系數(shù)內(nèi)絕對值，與判定閾值的比較完成病毒數(shù)據(jù)的檢測；實驗結(jié)果證明，所提的檢測方法可以高精度地對USB移動存儲設(shè)備中異常病毒數(shù)據(jù)進(jìn)行檢測，更加符合該領(lǐng)域發(fā)展實際意義。

USB移動存儲設(shè)備；異常病毒數(shù)據(jù)；檢測技術(shù)

0 引言

隨著互聯(lián)網(wǎng)的不斷發(fā)展和普及，網(wǎng)絡(luò)安全形勢不容樂觀，敏感部門內(nèi)網(wǎng)在理論上對其進(jìn)行了安全性比較高的隔離，在現(xiàn)實中，U盤的濫用、USB移動設(shè)備的非法接入以及木馬的濫用等，威脅著各個組織單位的信息安全[1]。隨著移動硬盤的廣泛應(yīng)用，系統(tǒng)中經(jīng)常感染輪渡木馬等異常軟件，所以USB移動存儲設(shè)備中異常病毒數(shù)據(jù)檢測成為計算機(jī)發(fā)展的重中之重[2]。從數(shù)據(jù)自身的安全性看，數(shù)據(jù)所構(gòu)成的破壞威脅主要為文件型病毒，它的特點是在網(wǎng)絡(luò)文件系統(tǒng)中。一般除了靜態(tài)策略查殺病毒以外，最需要的是實時地檢測以及防范病毒[3]?？梢钥闯?，最終數(shù)據(jù)的破壞或者失泄密主要根源都與主機(jī)信息安全的防護(hù)有關(guān)系。如果利用筑高墻，堵漏洞，防侵入等方式來解決現(xiàn)存的安全問題，會使問題多樣化，由此就需要用一些更加底層的手段，對計算機(jī)系統(tǒng)實現(xiàn)高效地防護(hù)[4]。而基于PATRICIA樹的USB移動存儲設(shè)備中異常病毒數(shù)據(jù)檢測方法，可以對USB移動存儲設(shè)備中異常病毒數(shù)據(jù)進(jìn)行高效率地檢測，有擴(kuò)展性好、透明性好、自我防護(hù)性能強(qiáng)等特點，是解決上述問題的有效手段[5]。由于互聯(lián)網(wǎng)和科學(xué)技術(shù)的驅(qū)動，USB移動存儲設(shè)備中異常病毒數(shù)據(jù)的檢測受到了有關(guān)人士的廣泛關(guān)注和高度重視，并對其進(jìn)行深度研究[6]，得到許多成果，為該領(lǐng)域后續(xù)的研究深造提供了堅實基礎(chǔ)，具有較好的應(yīng)用價值[7]。

文獻(xiàn)[8]提出一種基于支持向量機(jī)的USB移動存儲設(shè)備中異常病毒數(shù)據(jù)檢測方法。該方法通過支持向量機(jī)的回歸估計模型，不傾向于除掉個別比較大的回歸誤差，從整體上對回歸曲線平滑程度進(jìn)行考慮，利用對回歸估計值和實測值間殘差的比較，識別測量數(shù)據(jù)內(nèi)的異常數(shù)據(jù)。該方法較為簡單，但檢測誤差大。文獻(xiàn)[9]提出一種基于投影追蹤的USB移動存儲設(shè)備中異常病毒數(shù)據(jù)檢測方法。該方法利用廣義的似然比檢驗?zāi)Ｐ?，組建二元檢測算子，通過觀測數(shù)據(jù)對算子內(nèi)表示背景的未知參數(shù)進(jìn)行估計，算子關(guān)鍵參數(shù)和目標(biāo)參數(shù)是采用投影追蹤算法，對USB移動存儲設(shè)備中的異常病毒數(shù)據(jù)點，進(jìn)行搜索得到的。該算法不僅消除目標(biāo)檢測法對先驗信息數(shù)據(jù)的依賴，而且增強(qiáng)檢測法的實用性，但是該算法利用投影追蹤法對目標(biāo)參數(shù)的提取效率低，USB移動存儲設(shè)備中的異常病毒數(shù)據(jù)檢測過程繁瑣。文獻(xiàn)[10]提出一種基于DBSCAN的USB移動存儲設(shè)備中異常病毒數(shù)據(jù)檢測方法。該方法先根據(jù)DBSCAN獲取包括單類數(shù)據(jù)的球形邊界，且該球形邊界是最小的，其次利用該邊界，對未知的USB移動存儲設(shè)備中的異常病毒數(shù)據(jù)分類，依據(jù)最小閉包球算法，對DBSCAN分類器優(yōu)化求解。該方法檢測準(zhǔn)確率較高，但是存在運(yùn)行時間較長的問題。

針對上述產(chǎn)生的問題，提出一種基于PATRICIA樹的USB移動存儲設(shè)備中異常病毒數(shù)據(jù)檢測方法。實驗證明，所提方法可以高精度、高效率地對USB移動存儲設(shè)備中的異常病毒數(shù)據(jù)進(jìn)行檢測。具有較強(qiáng)地可行性和通用性。

1 基于多尺度核函數(shù)的USB移動存儲設(shè)備中異常病毒數(shù)據(jù)檢測方法

利用多尺度核函數(shù)對USB移動存儲設(shè)備中異常病毒數(shù)據(jù)檢測，通過數(shù)據(jù)過濾的形式將USB移動存儲設(shè)備中的病毒數(shù)據(jù)進(jìn)行檢測以及清除。

(1)

下面根據(jù)統(tǒng)計學(xué)方法過濾含有噪聲的USB移動存儲設(shè)備中異常病毒數(shù)據(jù)。假設(shè)一個光滑似然函數(shù)L，這個函數(shù)反映一個點：x∈R3隸屬于USB移動存儲設(shè)備中異常病毒數(shù)據(jù)P，采樣之后的曲面S表面上點的概率。通過均值漂移跟蹤算法的增強(qiáng)迭代模式，將置于似然函數(shù)L上的USB移動存儲設(shè)備中異常病毒數(shù)據(jù)點漂移至極大的似然位置。

定義似然函數(shù)L，就要對每個異常病毒數(shù)據(jù)采樣點pi∈P中的局部似然函數(shù)Li聚類。對某個特定點x似然值Li(x)進(jìn)行計算，運(yùn)算過程中要考慮x至pi空間域，擬合最小的二乘平面的平方距離。pi最小二乘平面能夠利用對權(quán)重協(xié)方差的計算來擬合，可表示為：

(2)

(3)

綜上所述，對橢圓球的權(quán)重函數(shù)局部鄰域以及最小二乘擬合的平面進(jìn)行計算時，采取的是恒定核尺度h，但是，恒定核尺度也許并不適用于USB移動存儲設(shè)備中異常病毒數(shù)據(jù)采樣密度的變化，針對這種情況，可以利用每個采樣點pi中的K-鄰域?qū)CA進(jìn)行分析，從而實現(xiàn)橢圓球核Ei的運(yùn)算。因為函數(shù)L極大值比較偏離采樣的表面，導(dǎo)致病毒數(shù)據(jù)檢測中的噪聲沒有被大范圍地過濾掉，但通過自適應(yīng)尺度h，可以將USB移動存儲設(shè)備中大規(guī)模的異常病毒數(shù)據(jù)檢測出來并清除。

2 基于PATRICIA樹的USB移動存儲設(shè)備中異常病毒數(shù)據(jù)檢測方法

2.1 USB移動存儲設(shè)備中異常病毒數(shù)據(jù)的分析

本文利用K-means算法對USB移動存儲設(shè)備中的異常病毒數(shù)據(jù)進(jìn)行分析。具體過程如下：

將USB移動存儲設(shè)備中異常病毒數(shù)據(jù)對象劃分成K個類，隨機(jī)在樣本中選擇出K個點，作為假設(shè)的中心點。把這些數(shù)據(jù)向離自己本身最近的中心點移動，一直到每組中的相似度都較高，而組和組間相似度最低。一般利用歐幾里德距離對其相似性進(jìn)行衡量，評級劃分質(zhì)量目標(biāo)函數(shù)可定義為：

J= ∑i = 1k∑i = 1bidij(aj,zi)

(4)

其中，zi代表bi類聚類中心，是類的數(shù)據(jù)點，dij(aj,zi)代表a1與z1間的距離。所以J就表示各簇內(nèi)點至該簇的中心距離和。當(dāng)J越小，USB移動存儲設(shè)備中的數(shù)據(jù)聚類就越密集。

在K-means算法中，選擇初始點代表聚類中的假定中心，將要被聚類的USB移動存儲設(shè)備中數(shù)據(jù)樣本進(jìn)行分類，依據(jù)假定中心調(diào)整輸出聚類結(jié)果。假設(shè)對每個樣本Xi找到離它本身最近的中心簇，公式為：

k=argmink∈{1,…,k}d(bk,Xi)

(5)

對每個數(shù)據(jù)簇中的數(shù)據(jù)點均值進(jìn)行計算，這個均值的向量成為該數(shù)據(jù)簇新的中心。公式為：

bk= ∑i = 1nkXi(k)

(6)

其中，nk代表第k簇中包含的USB移動存儲設(shè)備中異常病毒數(shù)據(jù)樣本數(shù)。

從USB移動存儲設(shè)備數(shù)據(jù)中，得到兩個特征對象間的距離，利用歐幾米德距離當(dāng)作距離度量標(biāo)準(zhǔn)，對數(shù)據(jù)簇中的中心點進(jìn)行計算，以簇中全部對象平均距離計算中心點。得到算法中的準(zhǔn)則函數(shù)值。當(dāng)新舊函數(shù)值之間的差小于1，也就是準(zhǔn)則函數(shù)值沒有明顯變化時，終止算法，遍歷所有USB移動存儲設(shè)備中異常病毒數(shù)據(jù)特征對象，把該對象加入至離它最近的數(shù)據(jù)簇中。特征對象加入后，更新每個數(shù)據(jù)簇中心點，找到最終合適中心點，由此對USB移動存儲設(shè)備中異常病毒數(shù)據(jù)進(jìn)行成功分類。

2.2 USB移動存儲設(shè)備中異常病毒數(shù)據(jù)檢測含噪分析

根據(jù)2.1中所得分類結(jié)果，利用獨立分量分析，對USB移動存儲設(shè)備中異常病毒數(shù)據(jù)檢測的噪聲值進(jìn)行測量。

假設(shè)從USB移動存儲設(shè)備異常病毒數(shù)據(jù)中選取去噪樣本，作為去噪的測量值，將測量值分為一維五層的分解，并在其中提取出比較高頻的成分當(dāng)作測量噪聲，由此解決測量噪聲失真問題。另外，加入遺忘因子進(jìn)一步對測量噪聲估計進(jìn)行優(yōu)化。假設(shè)，在長度為M滑窗內(nèi)，小波變換提取的測量噪聲值為m1,m2,…,mM，那么M+1時刻噪聲測量值為：

(7)

其中，εω=(1-ε)/(1-εω)代表ω時刻，測量噪聲εω加權(quán)遺忘因子，ε∈(0,1)。

2.3 USB移動存儲設(shè)備中異常病毒數(shù)據(jù)檢測

綜合2.1與2.2中的數(shù)據(jù)信息，為提高檢測效率，在K-means算法分類的基礎(chǔ)上，利用小波分析法對USB移動存儲設(shè)備中異常病毒數(shù)據(jù)進(jìn)行檢測，具體方法如下：

按照自變量升序重新排列USB移動存儲設(shè)備中異常病毒數(shù)據(jù)樣本，經(jīng)過重排的序列樣本集能夠作為離散的序列處理。

選取適當(dāng)?shù)腗arr小波函數(shù)，通過數(shù)據(jù)樣本構(gòu)成特點，對所有尺度參數(shù)集進(jìn)行確定，參數(shù)集表達(dá)式為：

A={dμ,μ=1,2,…,n}

(8)

其中，μ代表對應(yīng)的樣本編號，不同尺度參數(shù)dμ可以凸顯出不同類型的異常病毒數(shù)據(jù)，比較小的d有利于觀察到數(shù)據(jù)比較密集位置的異常病毒數(shù)據(jù)，比較大的d有利于觀察到數(shù)據(jù)比較稀疏位置的異常病毒數(shù)據(jù)，通過一種尺度對小波進(jìn)行分析，經(jīng)常沒有辦法觀察到所有USB移動存儲設(shè)備中異常病毒數(shù)據(jù)，所以需要根據(jù)不同尺度dμ對小波進(jìn)行分析。假設(shè)：

(9)

其中，e代表數(shù)據(jù)樣本平均間距，Ov代表小波函數(shù)運(yùn)算區(qū)間長度，該長度為6.2，η代表待定系數(shù)，該待定系數(shù)反映了，小波變換積分的區(qū)間可以覆蓋的樣本數(shù)。假設(shè)μ=1，dμ=d，通過修正算法對各個數(shù)據(jù)樣本所對應(yīng)的，小波系數(shù)進(jìn)行計算。按照式(10)將小波系數(shù)標(biāo)準(zhǔn)化：

(10)

其中，I代表基準(zhǔn)值，此時為0，W代表標(biāo)準(zhǔn)偏差：

(11)

通過設(shè)置的USB移動存儲設(shè)備中異常病毒數(shù)據(jù)判定閾值，把標(biāo)準(zhǔn)化之后的小波系數(shù)內(nèi)絕對值大于判定閾值的標(biāo)，稱為異常病毒數(shù)據(jù)，對應(yīng)的數(shù)據(jù)樣本代表異常病毒樣本。如果μlt;n，那么設(shè)定μ=μ+1，則通過修正算法對各個數(shù)據(jù)樣本所對應(yīng)的，小波系數(shù)進(jìn)行計算，如果μ≠μ+1，則USB移動存儲設(shè)備異常病毒檢測結(jié)束。

3 實驗結(jié)果與分析

為了證明基于PATRICIA樹的USB移動存儲設(shè)備中異常病毒數(shù)據(jù)檢測方法的有效性，需要進(jìn)行一次實驗。在Simulink的環(huán)境下搭建USB移動存儲設(shè)備中異常病毒數(shù)據(jù)檢測實驗平臺。實驗數(shù)據(jù)取自于10部小米4手機(jī)存儲磁盤，利用本文所提方法對這10部小米4手機(jī)存儲磁盤中異常病毒數(shù)據(jù)進(jìn)行檢測，觀察本文所提方法的實用性。表1是不同方法USB移動存儲設(shè)備中異常病毒數(shù)據(jù)漏檢數(shù)(個)對比。

表1 不同方法異常病毒數(shù)據(jù)漏檢數(shù)對比

分析表1可知，文獻(xiàn)[9]所提方法利用廣義的似然比檢驗?zāi)Ｐ?，組建二元檢測算子，沒有設(shè)置檢測指標(biāo)，導(dǎo)致漏檢數(shù)比較多。文獻(xiàn)[10]所提方法根據(jù)DBSCAN獲取包括單類數(shù)據(jù)的球形邊界，但是該球形邊界并不光滑，使USB移動存儲設(shè)備中異常病毒數(shù)據(jù)的漏檢數(shù)較多。本文所提方法在對USB移動存儲設(shè)備中異常病毒數(shù)據(jù)檢測之前，利用了K-means算法，對USB移動存儲設(shè)備中的異常病毒數(shù)據(jù)進(jìn)行了分析，所以漏檢數(shù)較少。該分析證明了本文所提方法具有較強(qiáng)的實際應(yīng)用價值。表2是不同方法USB移動存儲設(shè)備中異常病毒數(shù)據(jù)誤檢數(shù)(個)對比。

表2 不同方法異常病毒數(shù)據(jù)誤檢數(shù)對比

由表2可知，文獻(xiàn)[8]所提方法利用對回歸估計值和實測值間殘差的比較，識別測量數(shù)據(jù)內(nèi)的異常數(shù)據(jù)，但是比較效果并不理想，導(dǎo)致USB移動存儲設(shè)備中異常病毒數(shù)據(jù)誤檢數(shù)較多。文獻(xiàn)[9]所提方法根據(jù)觀測數(shù)據(jù)對二元檢測算子內(nèi)表示背景的未知參數(shù)進(jìn)行估計，估計的誤差大，導(dǎo)致USB移動存儲設(shè)備中異常病毒數(shù)據(jù)誤檢數(shù)較大。本文方法利用獨立分量分析，對USB移動存儲設(shè)備中異常病毒數(shù)據(jù)檢測的噪聲值進(jìn)行測量，大大減少了誤檢數(shù)。圖1是不同方法USB移動存儲設(shè)備中異常病毒數(shù)據(jù)檢測運(yùn)行時間(s)對比。

圖1 不同方法檢測運(yùn)行時間對比

在圖1中，本文所提方法利用小波分析法，按照自變量升序重新排列USB移動存儲設(shè)備中異常病毒數(shù)據(jù)樣本，減小USB移動存儲設(shè)備中異常病毒數(shù)據(jù)檢測運(yùn)行時間，明顯優(yōu)于文獻(xiàn)所提方法。說明本文方法具有優(yōu)秀的整體可行性。圖2是不同方法USB移動存儲設(shè)備中異常病毒數(shù)據(jù)檢測時含噪測量效率(%)對比。下式為含噪測量效率(%)計算公式。

(12)

圖2 不同方法檢測時含噪測量效率對比

分析圖2可知，文獻(xiàn)[10]所提方法依據(jù)最小閉包球算法，對DBSCAN分類器優(yōu)化求解，期間并沒有專門對分類過程中所含噪聲進(jìn)行很好地測量和去除，導(dǎo)致USB移動存儲設(shè)備中異常病毒數(shù)據(jù)檢測含噪測量效率低。本文所提方法從USB移動存儲設(shè)備中異常病毒數(shù)據(jù)中選取去噪樣本，作為去噪的測量值，將測量值分為一維五層的分解，并在其中提取出比較高頻的成分當(dāng)作測量噪聲，解決測量噪聲失真問題，提高USB移動存儲設(shè)備中異常病毒數(shù)據(jù)檢測含噪測量效率。進(jìn)一步證明所提方法的可實踐性。

實驗證明，所提方法可以安全快速地對USB移動存儲設(shè)備中異常病毒數(shù)據(jù)進(jìn)行檢測，增加計算機(jī)安全性，降低異常病毒數(shù)據(jù)誤檢率，是一種切實可行的USB移動存儲設(shè)備中異常病毒數(shù)據(jù)檢測方法。

4 結(jié)束語

采用當(dāng)前方法對USB移動存儲設(shè)備中異常病毒數(shù)據(jù)進(jìn)行檢測時，由于檢測方式單一，檢測范圍小，導(dǎo)致USB移動存儲設(shè)備中異常病毒數(shù)據(jù)檢測效率低，精度低。提出一種基于PATRICIA樹的USB移動存儲設(shè)備中異常病毒數(shù)據(jù)檢測方法，該方法可以有效可靠地對USB移動存儲設(shè)備中異常病毒數(shù)據(jù)進(jìn)行檢測，成為該領(lǐng)域發(fā)展的奠基石。

[1]于紅巖,岑凱倫,楊騰霄.云計算平臺異常行為檢測系統(tǒng)的設(shè)計與實現(xiàn)[J].計算機(jī)應(yīng)用,2015,35(5):1284-1289.

[2]胡春雨,陸 翌,李 翔,等.充電設(shè)備移動檢測平臺的研究與設(shè)計[J].電源技術(shù),2016,40(3):697-699.

[3]姜 濱,楊杰明.關(guān)于航空器異常數(shù)據(jù)檢測仿真研究[J].計算機(jī)仿真,2015,32(12):72-75.

[4]馬智遠(yuǎn),崔曉飛,黃裕春,等.辨識諧波電流監(jiān)測數(shù)據(jù)中異常數(shù)據(jù)的一種方法研究[J].電力系統(tǒng)保護(hù)與控制,2016,44(21):96-102.

[5]張 銳,李留青.大型多媒體網(wǎng)絡(luò)數(shù)據(jù)庫異常數(shù)據(jù)高效檢測方法[J].科技通報,2015,31(10):163-165.

[6]陳佳俊,陳玉峰,嚴(yán)英杰,等.基于時空聯(lián)合聚類方法的輸變電設(shè)備狀態(tài)異常檢測[J].南方電網(wǎng)技術(shù),2015,9(11):65-72.

[7]石 震,楊志強(qiáng),馬 驥.基于雙位置的磁懸浮陀螺異常數(shù)據(jù)檢測[J].測繪科學(xué),2015,40(10):102-105.

[8]楊宏波.物聯(lián)網(wǎng)環(huán)境下的差異網(wǎng)絡(luò)數(shù)據(jù)庫異常數(shù)據(jù)檢測[J].計算機(jī)測量與控制,2015,23(3):1008-1010.

[9]湯 義,黃建軍,賴勉力,等.基于積分通道特征的異常行為檢測算法[J].科學(xué)技術(shù)與工程,2016,16(21):284-288.

[10]何高攀,楊 桄,孟強(qiáng)強(qiáng),等.基于圖像融合的高光譜異常檢測[J].電子設(shè)計工程,2016,24(2):165-168.

AbnormalVirusDataDetectionTechnologyResearchinUSBMobileStorageDevice

Guo Daojun

(Aduit Education College,Qinghai Normai University,Xi'ning 810008,China)

The detection of abnormal virus data in the USB mobile storage device to can extend the life of USB mobile storage device, improve the data utilization and reduce the running time of the system. Segments of current method using trajectory point anomalies of USB removable storage device detect virus data, several independent USB removable storage device when the virus data attributes, in view of the existing exception virus detect abnormal data points of trajectory, virus data position, speed and direction as test object. This method is less efficient in detecting abnormal virus data in USB mobile storage devices, and does not apply to the detection of abnormal virus data in a large number of USB mobile storage devices. To this end, an abnormal virus data detection method is proposed in a USB mobile storage device based on the PATRICIA tree. The method using the K - means algorithm to data in USB removable storage device is divided into K classes, and by using Euclidean distance to measure the degree of similarity between the classes, and then on the basis of the independent component analysis to join the forgetting factor, abnormal data virus detection of USB removable storage device when the measured signals with noise estimation, the use of wavelet analysis, by setting the USB removable storage device in abnormal virus data to determine the threshold, and standardized the wavelet coefficient absolute value, compared with the decision threshold to complete the data of the virus. The experimental results show that the proposed detection method in this paper can accurately for USB mobile storage devices, abnormal virus data for testing, more in line with the development of practical significance in this field.

USB mobile storage devices; anomalous virus data; detection technology

2017-05-16；

2017-06-12。

郭道軍(1967-) ,男，山東濟(jì)南人，講師，主要從事計算機(jī)基礎(chǔ)方向的研究。

1671-4598(2017)09-0005-03

10.16526/j.cnki.11-4762/tp.2017.09.002

TP393

A