數(shù)據(jù)挖掘在計算機網(wǎng)絡(luò)病毒防御中的應(yīng)用

吳興法

計算機在我國民眾的生活中占據(jù)地位越來越重，在經(jīng)濟(jì)、政治、科研領(lǐng)域的應(yīng)用也更加廣泛，計算機網(wǎng)絡(luò)成為我國科技進(jìn)步、技能發(fā)展、人才培養(yǎng)的關(guān)鍵內(nèi)容，但計算機網(wǎng)絡(luò)病毒的防御工作形勢依舊不容樂觀。在實際應(yīng)用中，計算機網(wǎng)絡(luò)的安全問題較多，多數(shù)網(wǎng)絡(luò)安全問題存在于電腦病毒當(dāng)中，電腦病毒會拖慢計算機的處理速度，造成安全漏洞，進(jìn)一步損失錢財、丟失隱私與機密文件，造成極為惡劣的社會影響。為減少計算機網(wǎng)絡(luò)運行風(fēng)險，提高計算機網(wǎng)絡(luò)的安全運行安全，數(shù)據(jù)挖掘技術(shù)應(yīng)運而生。

計算機的網(wǎng)絡(luò)病毒之所以嚴(yán)重影響計算機的應(yīng)用安全，是由于網(wǎng)絡(luò)環(huán)境大且復(fù)雜，互通性強，網(wǎng)絡(luò)病毒的傳播速度快，一旦出現(xiàn)大面積的網(wǎng)絡(luò)病毒爆發(fā)，極易引起大面積計算機網(wǎng)絡(luò)的癱瘓或異常，甚至造成不可逆的損害。計算機系統(tǒng)受到網(wǎng)絡(luò)得到病毒威脅，越來越多的殺毒軟件產(chǎn)生并投入使用，但效果相對不足。數(shù)據(jù)挖掘技術(shù)屬于較為先進(jìn)的防御技術(shù)。

一、計算機網(wǎng)絡(luò)病毒概述

計算機網(wǎng)絡(luò)病毒，顧名思義，是讓計算機“生病”的數(shù)位代碼，網(wǎng)絡(luò)病毒具有惡意攻擊性，能夠通過計算機網(wǎng)絡(luò)系統(tǒng)中的漏洞攻入客戶端，對客戶端中的機密信息、賬戶信息進(jìn)行竊取，甚至篡改計算機內(nèi)的程式，導(dǎo)致計算機系統(tǒng)崩潰無法正常使用，多數(shù)計算機通過殺毒軟件能夠在病毒運行前殺滅病毒，避免計算機崩潰，但依舊存在新制作病毒逃過殺毒軟件和防火墻攔截，出現(xiàn)大面積中毒事件的情況發(fā)生。計算機網(wǎng)絡(luò)病毒的種類較多，但大多有跡可循，如果能夠從網(wǎng)絡(luò)病毒的源頭對數(shù)據(jù)進(jìn)行挖掘，尋找到病毒規(guī)律，則可以在未來的網(wǎng)絡(luò)病毒防御中提供更加有利的方法。

二、數(shù)據(jù)挖掘技術(shù)的病毒防御原理

（一）數(shù)據(jù)源與預(yù)處理

數(shù)據(jù)挖掘技術(shù)的第一步，是在計算機進(jìn)入網(wǎng)絡(luò)環(huán)境后，將網(wǎng)絡(luò)上、本機中的數(shù)據(jù)包進(jìn)行攔截和過濾，利用抓包程序?qū)r截的數(shù)據(jù)包開展過濾工作，選擇其中疑似病毒的數(shù)據(jù)包開展鏈接，將其截獲，將截獲的數(shù)據(jù)進(jìn)行預(yù)處理。截獲的依據(jù)，是蠕蟲病毒等病毒自身特性，即蠕蟲病毒會主動連接計算機，以便侵入計算機程序，將主動連接的數(shù)據(jù)包進(jìn)行截獲后，將數(shù)據(jù)包作為數(shù)據(jù)分析的一部分保留在記錄中，以此作為數(shù)據(jù)挖掘的關(guān)鍵內(nèi)容。

（二）規(guī)則庫存儲與數(shù)據(jù)挖掘

在數(shù)據(jù)得到截取后，將數(shù)據(jù)保存起來，作為規(guī)則庫存儲，規(guī)則庫的意義，是將遇到過的蠕蟲病毒作為樣本存儲起來，作為后續(xù)檢驗的標(biāo)本。進(jìn)行再次篩查時，利用數(shù)據(jù)挖掘算法和規(guī)則庫共同作用，保證徹底清除已知病毒，挖掘新的病毒，通過算法和記錄之間的連接，將規(guī)則庫存儲成為事件庫。

（三）檢查報警

檢查報警是數(shù)據(jù)挖掘技術(shù)的最后一項內(nèi)容，在篩查和攔截過程中，如果出現(xiàn)蠕蟲病毒，則會與事件庫成功匹配，出現(xiàn)預(yù)防警告，如不匹配，則作為新規(guī)則加入事件庫，成為新的查殺規(guī)則，以確保已經(jīng)出現(xiàn)和未出現(xiàn)的蠕蟲病毒都能夠得到明確的查殺。

三、數(shù)據(jù)挖掘技術(shù)的應(yīng)用研究

在數(shù)據(jù)挖掘技術(shù)應(yīng)用期間，會出現(xiàn)關(guān)聯(lián)規(guī)則、數(shù)據(jù)分類、序列分析與病毒識別，關(guān)聯(lián)規(guī)則是將計算機中的信息與關(guān)系網(wǎng)一起產(chǎn)生關(guān)聯(lián)，確保數(shù)據(jù)挖掘技術(shù)能夠?qū)?shù)據(jù)之間建立起有規(guī)律的聯(lián)系規(guī)則。再通過數(shù)據(jù)分類進(jìn)行分析。數(shù)據(jù)分類內(nèi)容包括分類分析與聚類分析，分類是將具有相同特征的數(shù)據(jù)進(jìn)行歸類，并通過聚類分析法將歸類后的數(shù)據(jù)重新聚類，以此作為網(wǎng)絡(luò)病毒庫的內(nèi)容，針對新型數(shù)據(jù)分析的效果更高，分類分析與聚類分析能夠適應(yīng)當(dāng)前越來越大的網(wǎng)絡(luò)環(huán)境與更新迅速的網(wǎng)絡(luò)病毒換代，促進(jìn)數(shù)據(jù)挖掘技術(shù)的更新，改善數(shù)據(jù)挖掘技術(shù)的效果。序列分析則能夠?qū)討B(tài)數(shù)據(jù)開展規(guī)則查殺，對網(wǎng)絡(luò)病毒的分析效果存在較為有效的改善，能夠有序排查計算機中是否存在病毒，而病毒識別則是檢查計算機的信息數(shù)據(jù)，是否受到攻擊與感染，查找感染源，著重分析計算機感染病毒的嚴(yán)重程度，以此為依據(jù)開展不同程度的查殺。

四、結(jié)語

數(shù)據(jù)挖掘技術(shù)在我國的應(yīng)用時間較短，在計算機網(wǎng)絡(luò)病毒的防御中價值顯著，數(shù)據(jù)挖掘技術(shù)是根據(jù)挖掘算法與規(guī)則庫開展的病毒防御方法，對網(wǎng)絡(luò)環(huán)境中潛在的蠕蟲病毒威脅開展查殺和防御，促進(jìn)計算機在網(wǎng)絡(luò)環(huán)境中的安全性。多數(shù)計算機通過數(shù)據(jù)挖掘技術(shù)能夠顯著改善挖掘效果，促進(jìn)計算機安全。尤其針對潛在的、未知的網(wǎng)絡(luò)病毒，數(shù)據(jù)挖掘技術(shù)較其他技術(shù)先進(jìn)性更強，在越來越復(fù)雜的網(wǎng)絡(luò)條件與網(wǎng)絡(luò)環(huán)境下，數(shù)據(jù)挖掘技術(shù)的可持續(xù)性是未來計算機病毒防御的關(guān)鍵。

綜上所述，數(shù)據(jù)挖掘技術(shù)是目前較為新型的計算機網(wǎng)絡(luò)病毒防御技術(shù)，與傳統(tǒng)技術(shù)的區(qū)別在于，數(shù)據(jù)挖掘技術(shù)是在病毒運行前進(jìn)行查殺，傳統(tǒng)技術(shù)則是在病毒運行后開展查殺，傳統(tǒng)技術(shù)雖然能夠?qū)Σ《具M(jìn)行記錄，但病毒更新?lián)Q代后的查殺能力相對不足，數(shù)據(jù)挖掘技術(shù)則能夠?qū)π虏《井a(chǎn)生辨別，查殺更加有效，值得推廣。（作者單位：杭州職業(yè)技術(shù)學(xué)院）