计算机网络安全病毒防御中的数据挖掘技术应用

刘清毅

(陕西广播电视大学,西安 710068)

0 引言

计算机网路病毒属于一种恶意攻击的执行代码，往往会利用计算机网络系统中的漏洞入侵用户终端。计算机网络具有明显的开放性，所以病毒可以以非常快的速度进行传播，容易给用户造成非常严重的经济损失甚至导致整个网络系统的瘫痪。数据挖掘技术主要是从大型的、噪杂的、拥挤的空间中提取不被人知的数据，这些数据都是有用的潜在信息。传统的数据挖掘技术存在一定的局限性。随着互联网技术的快速发展，将传统数据挖掘与互联网相结合所产生的网络数据挖掘技术已经普遍运用于计算机病毒防御系统中，使计算机网络的安全性得到提高，确保计算机网络能够稳定运行。

1 计算机网络病毒特点

1)扩散快

计算机网络病毒与网络之间存在密切联系，计算机病毒可以通过多种途径对计算机网络进行蓄意破坏或入侵，主要方式包括不良网页、系统漏洞、电子邮件等。

2)破坏性强

网络病毒具有较强的破坏性，人们所接触到的网络病毒大多是对其他相关技术有很强的依赖性，像木马技术和黑客技术等，这类病毒往往是混合型病毒，对病毒的检测非常困难，很容易导致计算机内部重要信息泄露，甚至造成系统瘫痪。极大程度破坏计算机运行的稳定性。

3)种类繁多

计算机网络病毒种类繁多，变化也比较快，大部分网络病毒都很容易制作与生产，许多病毒都是借助高级程序而进入电脑系统中，对病毒的编写非常容易，仅仅需要变换几个简单的指令就会产生不同类型的电脑病毒，所以，网络病毒种类繁多，而且存在不确定性。

4)针对性强

随着计算机网络的不断发展，计算机病毒的产生目的也在发生着变化，传统的网络病毒仅仅是编写者为了体现自身的高超技术，是一种心理扭曲所造成的负面影响。而当前的计算机网络病毒具有一定的针对性，攻击性非常强，已经开始向商业盈利方向转变，病毒的编写人员也会通过制造病毒而获取利益。

2 数据挖掘技术在网络病毒防御中的技术可行性

计算机网络病毒首先感染到主机，然后再进行扩散传播，在传播的过程中，病毒会入侵用户的操作系统，然后扫描用户信息以及用户网络中所存在的其他用户信息，最终进行破坏、窃取信息等操作。这些异常的行为恰好可以为数据挖掘技术提供支持，通过数据挖掘技术可以抓取并且分析网络过程中的数据，根据数据的分析结果，对网络中存在异常问题的银发原因进行诊断，从而帮助用户选择合适的策略来进行安全防护，及时的阻止或消除防落病毒。

为了更好的实现数据挖掘技术，需要进一步分析网络病毒的感染与传播，把相关的依据提供给数据挖掘技术。例如，计算机受到蠕虫病毒感染，首先要对主机进行扫描，与此同时在计算机防御系统建设方面构建一个突破口，将数据挖掘技术作为基础，构建全新的防御系统，在通常情况下，由以下几个部分构成：数据源模块，数据挖掘模块，决策模块，预处理模块，规则库模块以及防御模块，主要的工作原理在于网络，在数据源形成之后，由预处理模块进行处理，记录网络信息传播病毒，形成一定的免疫能力，以后一旦有类似病毒入侵，就会及时报警，通过防御系统对主机进行保护。

3 网络病毒防御中数据挖掘技术的应用分析

数据挖掘技术主要是对功能覆盖范围内的所有数据进行分类与分析，查找到数据中存在的潜在关系。数据挖掘技术以及应用过程如图1所示：

图1 数据挖掘结构图

当数据模式确定以后，相关的挖掘引擎都会按照知识库的相关要求对数据进行分析与归类，然后查找规律和特点，为后期的数据分析提供支持。在网络病毒防御系统中所构建的数据挖掘技术主要包含五个模块：数据源模块、数据挖掘模块、规则库模块、预处理模块、决策模块。

3.1 工作原理

1)数据源模块。数据源模块的主要工作在于将网络所截获的数据包传送到主机，数据源模块中最原始的数据包存在包括与某个特定数据相关的数据结构，处于数据源模块中的抓包程序接收数据包，然后移交给预处理模块，从而实现数据的预处理目的。

2)预处理模块

由数据源模块所收集到的信息交给预处理模块进行归类和分析，转化为可以被识别处理的统一数据，可以按照数据包中的IP地址、端口信息等进行归纳与总结，通过数据预处理模块可以有效的缩短数据分析与数据挖掘所需要的时间，提高挖掘效率，增强数据的辨识度。

3)数据挖掘模块

数据挖掘模块属于挖掘技术的核心模块，主要包括数据的挖掘算法、事件库两个部分。利用数据挖掘算法能够对数据收集所生成的事件库进行分析与归纳，最终形成特征明显的分析结果。

4)规则库模块

在网络病毒出现之后，规则库模块主要对以往的网络病毒进行挖掘、识别、分类后得到一类规则集。其中记录着网络病毒的相关信息，这些信息可以用于指导挖掘计算机网络中寻在的其他病毒，也可以对新识别的病毒进行分类，进一步来完善数据挖掘规则库，为以后计算机病毒的特征分析提供大力支持。

5)决策模块

通过数据挖掘而形成的数据库与规则库通过决策模块进行匹配，在结果数据库中如果存在于规则库中相似度高的数据信息，则证明了该数据信息具有病毒的相关特征，有可能存在病毒，如果相似度不高，则证明数据包中存在的病毒具有新的特性，是一种新类型的病毒，需要将该病毒纳入一个新的规则库。

3.2 基于数据挖掘技术的计算机网络安全病毒防御系统构建

1)关联规则

关联对则是在数据库中存在一类可以被关联的知识，数据库中所存在的变量之间具有一定的规律性，数据挖掘主要由因果关联、时序关联以及简单关联三种关联组成，分析这三种关联主要为了发现数据库中的关联网，挖掘数据之间存在的关系。

2)聚类分析

该分析需要把数据包分解为不同组，每个组都有相似的特征，不同组别之间又存在不同特征，通过聚类数据，可以识别数据分布中的疏密情况，使全局模式都能够得到呈现，数据之间的属性也会得到体现。

3)分类分析

分类分析是在预先设定的几个分类中把个体根据类别进行纳入，主要是为了利用统计方法和机器学习方法对分类模型进行构造，利用分类规则来对数据进行分类。

4)异类分析

主要分析数据库中不同点比较明显的数据，这些数据大多与常规数据偏离，在异类分析中主要包括发现孤立点和分析孤立点，发现与一般数据相比价值更高的数据可能性会更大。

3.3 决策树挖掘

决策树是一种树形状的图，由多个节点构成，每个内部节点都是一个性质测试，每个树枝代表一个检测结果，叶子上的节点代表不同形式的状态分配。在分类树中最基本的运算法则是ID3和C4.5。这两种方法都是从上到下树的结构。以下是使用决策树分类算法未知程序是病毒还是非病毒进行分类。其流程如图2所示。

具体说明：恶意病毒的决策条件

条件1：恶意程序有破坏的能力。

条件2：恶意程序有传染的能力。

条件3：恶意程序有隐藏的能力。

检测病毒程序的步骤

第一步：如果某个程序有破坏能力，就会到达节点1.否则到达叶节点1，并且判断出该程序为非恶意程序。

第二部：到达节点1的恶意程序具有传染能力，就会到达节点2，不就有传染能力的情况下到达叶节点1，并且能够判断该恶意程序为非病毒程序。

第三步：恶意程序到达节点2，如果该程序具有隐藏能力，则可以判定该程序为病毒，否则该程序为非病毒程序。

防御计算机病毒系统的重要作用在于第一时间捕捉到样本，为用户提供正确的解决方案。决策树模型可以减轻传统防病毒工程中手工分拣的负担，让分析员优先分析更近似于病毒的样本，提高分析处理的效率。

4 总结

互联网在人们生产生活中所应用的领域越来越广，涉及到金融、财产以及人际关系的内容越来越多，数据挖掘技术在计算机网络安全防御系统中的地位越来越重要。数据挖掘技术基于大数据模块更多的运用在计算机网络诈骗防护、危机评估等。有效的检测病毒的各种入侵活动。数据挖掘技术充分反应了当前防病毒工具的现进性，能够准确的预测、检测病毒的入侵形式和数量。在对电脑系统的防御中，数据挖掘技术扮演着“守护者”的重要角色。所以病毒防范系统的分析与应用具有远大的战略性意义。

[1] 高辉.数据挖掘在计算机网络病毒防御中的应用[J].电子技术与软件工程,2017，7(4):218.

[2] 栾志福.数据挖掘技术在计算机网络病毒防御中的应用分析[J].赤峰学院学报(自然科学版),2015，10(8)：24-25.

[3] 张玉英.基于数据挖掘技术的计算机网络病毒防御技术[J]电子技术与软件工程,2017，8(3):222-223.

[4] 郑刚.数据挖掘技术在计算机网络病毒防御中的应用探讨[J].信息与电脑(理论版),2016,8(2):25-27.

[5] 李嘉嘉.浅谈数据挖掘在计算机网络病毒防御中的应用[J].网络安全技术与应用,2017,15(8):84-89.