数据挖掘技术在计算机网络病毒防御中的应用研究

2021-06-28 18:10潘恒绪卞炜松邓杰肖文
电脑知识与技术 2021年10期
关键词:防御数据挖掘计算机

潘恒绪 卞炜松 邓杰 肖文

摘要:近几十年,计算机技术和网络技术的迅速发展和普及使各行各业发生了翻天覆地的变化,许多行业已基本实现了数字化、信息化。这给人们带来巨大便利的同时,也隐藏着各种各样的安全隐患。其中,计算机网络病毒的出现和迅速传播严重威胁着计算机系统和人们的隐私安全,而目前的网络病毒防御体系很难及时对未知病毒做出有效防御。因此,研究对网络病毒更加有效的防御技术已成为当前社会的迫切需要和网络空间安全研究领域的一项重要任务。基于数据挖掘的计算机网络病毒防御技术可以通过对数据库中大量病毒数据运用统计学、人工智能、机器学习等方法挖掘出判断程序是不是网络病毒的相关规则,并将接收到的数据包与挖掘到的规则进行匹配,从而预测出数据包中是否含有网络病毒。该文介绍当前主流的计算机网络病毒防御技术,并将数据挖掘技术与计算机网络病毒防御技术相结合,指出基于数据挖掘的计算机网络病毒防御技术的应用与所面临的挑战。最后设计基于数据挖掘技术的计算机网络病毒防御系统流程。

关键词:数据挖掘;计算机;网络病毒;防御

中图分类号:TP393        文献标识码:A

文章编号:1009-3044(2021)10-0057-03

当前,计算机网络病毒的传播给人们使用计算机造成了很大的困扰,网络病毒在计算机中轻则导致隐私泄露,重则导致系统瘫痪。同时,《中华人民共和国网络安全法》的通过与实施使我们清楚地认识到网络安全与国家安全息息相关,没有网络安全就没有国家安全。因此,研究更有效的计算机网络病毒防御技术具有重要意义。而将数据挖掘技术应用于计算机网络病毒防御中,可以有效控制当前迅速传播的网络病毒,从而更好地保护计算机网络系统的安全。

1 计算机网络病毒

1.1 计算机网络病毒的定义与特征

从广义上来讲,计算机网络病毒是指通过网络传播并破坏计算机功能或者毁坏计算机内部数据的代码程序。从狭义上来讲,计算机网络病毒是指传播途径和破坏对象均为网络的代码程序[1]。计算机网络病毒主要包括木马病毒、蠕虫病毒、宏病毒和脚本病毒等。

当前,为对抗特征码检测技术,计算机网络病毒多采用加密、多态、变形等技术手段,使得反病毒软件即使从单个样本中提取出特征码也无法检测出变形后的病毒,展现出变化速度较快的特征;由于网络技术的迅猛发展,计算机网络病毒可以通过多种方式如系统漏洞、电子邮件、文件共享、不良网页等方式进行传播,展现出传播速度较快且传播形式多样的特征;通过窃取或破坏用户存储在计算机内的隐私信息或重要文件,政府、企业等组织的机密信息来获取经济利益,计算机网络病毒展现出越来越强的针对性与破坏性的特征。

1.2 计算机网络病毒的主要防治技术

1.2.1 静态病毒检测技术

(1)特征码检测技术

特征码是反病毒软件从病毒样本中提取出的一串二进制数值,可以根据这一数值来判断一个文件是不是病毒文件或是否已感染病毒。常见的可以作为特征码的信息有病毒感染计算机后在屏幕上显示的信息、病毒的感染标记或病毒文件中任何一段连续的、不含空格的且长度不大于64字节的字符串[2]。随后,病毒检测引擎可以将待检测文件与病毒特征码进行二进制匹配,如果匹配成功,则该文件很有可能是病毒或已感染病毒。

(2)校验和检测技术

首先计算出正常文件或系统扇区的校验和并将其写入数据库。其中常见的计算对象有系统数据、文件头部、文件属性和文件内容,常用的校验和算法有MD5、CRC等[2]。然后,当使用文件或启动系统时计算文件或系统扇区的校验和并将其与数据库中保存的校验和进行对比。若比较结果不一致,则文件或系统扇区有可能已感染病毒。

(3)启发式扫描技术

启发式扫描技术运用反汇编引擎得到病毒程序的汇编指令序列,并将其与病毒程序行为代码数据库进行对比,找出程序中的可疑代码。然后根据统计规律,判断该文件是不是病毒文件或是否已感染病毒并给出合理解释。当面对变形或多态病毒时,可以将该技术与虚拟机检测技术结合起来,先使用虚拟机检测技术使病毒现出“原形”,然后使用启发式扫描技术对该文件进行检测。

1.2.2 动态病毒检测技术

(1)虚拟机检测技术

为对抗网络上日益猖獗的加密、多态和变形病毒,虚拟机检测技术应运而生。虚拟机首先从病毒程序或染毒文件中读取病毒的入口点代码,然后模拟执行病毒内部的解密程序段,暴露出病毒的“原形”,随后使用特征碼检测技术或启发式扫描技术来对该文件进行检测。

(2)主动防御技术

主动防御技术是指通过实时监控应用程序的行为来判断其是否有恶意倾向,当程序发生敏感行为时将向用户发出警告,若其行为已严重到对系统安全构成巨大威胁时也可直接将程序清除。

1.2.3 云查杀技术

云查杀技术是指将客户端上的可疑文件、行为数据和对可疑文件的处理过程等上传到云端服务器,利用云端服务器强大的数据和运算资源以及各种分析手段来对其进行判别,并指导客户端做出相应处理。这大大提高了判别的准确性,也使得安全厂商可以更快地掌握新型病毒的行为特点和传播动向,并及时采取相应防御措施[2]。

2 数据挖掘技术及其在计算机网络病毒防御中的应用

2.1 数据挖掘技术简介

数据挖掘是指从大量的数据中,运用统计学、人工智能、机器学习等方法,挖掘出未知的、且有价值的信息和知识的过程。数据挖掘技术主要有关联分析、分类分析、聚类分析、异类分析、特异群组分析和演变分析等。

2.2 构建网络病毒防御系统的数据挖掘技术

2.2.1 有监督的数据挖掘技术

分类分析是有监督的数据挖掘技术,指预先设定几个类别,然后将个体依据其特征分别纳入不同的类别。分类分析的输入数据是记录的集合,每条记录用元组(x,y)来表示。其中x是属性集合,y是这条记录所属的类别[3]。进行分类分析的目的在于利用统计方法或机器学习方法等构造分类模型,将数据库中的数据映射到某个特定类,即实现从x到y的映射,然后利用该分类规则分类其他数据[4]。

猜你喜欢
防御数据挖掘计算机
计算机操作系统
基于计算机自然语言处理的机器翻译技术应用与简介
信息系统审计中计算机审计的应用
基于并行计算的大数据挖掘在电网中的应用
一种基于Hadoop的大数据挖掘云服务及应用
Fresnel衍射的计算机模拟演示
基于GPGPU的离散数据挖掘研究