當前，計算機網絡病毒的傳播給人們使用計算機造成了很大的困擾，網絡病毒在計算機中輕則導致隱私泄露，重則導致系統癱瘓。同時，《中華人民共和國網絡安全法》的通過與實施使我們清楚地認識到網絡安全與國家安全息息相關，沒有網絡安全就沒有國家安全。因此，研究更有效的計算機網絡病毒防御技術具有重要意義。而將數據挖掘技術應用于計算機網絡病毒防御中，可以有效控制當前迅速傳播的網絡病毒，從而更好地保護計算機網絡系統的安全。

　　1計算機網絡病毒

　　1.1計算機網絡病毒的定義與特征

　　從廣義上來講，計算機網絡病毒是指通過網絡傳播并破壞計算機功能或者毀壞計算機內部數據的代碼程序。從狹義上來講，計算機網絡病毒是指傳播途徑和破壞對象均為網絡的代碼程序[1]。計算機網絡病毒主要包括木馬病毒、蠕蟲病毒、宏病毒和腳本病毒等。當前，為對抗特征碼檢測技術，計算機網絡病毒多采用加密、多態、變形等技術手段，使得反病毒軟件即使從單個樣本中提取出特征碼也無法檢測出變形后的病毒，展現出變化速度較快的特征;由于網絡技術的迅猛發展，計算機網絡病毒可以通過多種方式如系統漏洞、電子郵件、文件共享、不良網頁等方式進行傳播，展現出傳播速度較快且傳播形式多樣的特征;通過竊取或破壞用戶存儲在計算機內的隱私信息或重要文件，政府、企業等組織的機密信息來獲取經濟利益，計算機網絡病毒展現出越來越強的針對性與破壞性的特征。

　　1.2計算機網絡病毒的主要防治技術

　　1.2.1靜態病毒檢測技術。(1)特征碼檢測技術特征碼是反病毒軟件從病毒樣本中提取出的一串二進制數值，可以根據這一數值來判斷一個文件是不是病毒文件或是否已感染病毒。常見的可以作為特征碼的信息有病毒感染計算機后在屏幕上顯示的信息、病毒的感染標記或病毒文件中任何一段連續的、不含空格的且長度不大于64字節的字符串[2]。隨后，病毒檢測引擎可以將待檢測文件與病毒特征碼進行二進制匹配，如果匹配成功，則該文件很有可能是病毒或已感染病毒。(2)校驗和檢測技術首先計算出正常文件或系統扇區的校驗和并將其寫入數據庫。其中常見的計算對象有系統數據、文件頭部、文件屬性和文件內容，常用的校驗和算法有MD5、CRC等[2]。然后，當使用文件或啟動系統時計算文件或系統扇區的校驗和并將其與數據庫中保存的校驗和進行對比。若比較結果不一致，則文件或系統扇區有可能已感染病毒。(3)啟發式掃描技術啟發式掃描技術運用反匯編引擎得到病毒程序的匯編指令序列，并將其與病毒程序行為代碼數據庫進行對比，找出程序中的可疑代碼。然后根據統計規律，判斷該文件是不是病毒文件或是否已感染病毒并給出合理解釋。當面對變形或多態病毒時，可以將該技術與虛擬機檢測技術結合起來，先使用虛擬機檢測技術使病毒現出“原形”，然后使用啟發式掃描技術對該文件進行檢測。1.2.2動態病毒檢測技術。(1)虛擬機檢測技術為對抗網絡上日益猖獗的加密、多態和變形病毒，虛擬機檢測技術應運而生。虛擬機首先從病毒程序或染毒文件中讀取病毒的入口點代碼，然后模擬執行病毒內部的解密程序段，暴露出病毒的“原形”，隨后使用特征碼檢測技術或啟發式掃描技術來對該文件進行檢測。(2)主動防御技術主動防御技術是指通過實時監控應用程序的行為來判斷其是否有惡意傾向，當程序發生敏感行為時將向用戶發出警告，若其行為已嚴重到對系統安全構成巨大威脅時也可直接將程序清除。1.2.3云查殺技術。云查殺技術是指將客戶端上的可疑文件、行為數據和對可疑文件的處理過程等上傳到云端服務器，利用云端服務器強大的數據和運算資源以及各種分析手段來對其進行判別，并指導客戶端做出相應處理。這大大提高了判別的準確性，也使得安全廠商可以更快地掌握新型病毒的行為特點和傳播動向，并及時采取相應防御措施[2]。

　　2數據挖掘技術及其在計算機網絡病毒防御中的應用

　　2.1數據挖掘技術簡介數據挖掘是指從大量的數據中，運用統計學、人工智能、機器學習等方法，挖掘出未知的、且有價值的信息和知識的過程。數據挖掘技術主要有關聯分析、分類分析、聚類分析、異類分析、特異群組分析和演變分析等。

　　2.2構建網絡病毒防御系統的數據挖掘技術。2.2.1有監督的數據挖掘技術。分類分析是有監督的數據挖掘技術，指預先設定幾個類別，然后將個體依據其特征分別納入不同的類別。分類分析的輸入數據是記錄的集合，每條記錄用元組(x,y)來表示。其中x是屬性集合，y是這條記錄所屬的類別[3]。進行分類分析的目的在于利用統計方法或機器學習方法等構造分類模型，將數據庫中的數據映射到某個特定類，即實現從x到y的映射，然后利用該分類規則分類其他數據[4]。若將分類分析與啟發式掃描技術相結合，則需要在訓練集中導入良性樣本和惡意樣本。其中屬性集合x為各種程序行為代碼，若某一樣本的匯編指令序列中出現該代碼則記為1，否則記為0;類標號y為Yes或No，代表該樣本是不是病毒程序。由此訓練出分類模型，隨后我們可以用一個包含良性樣本和惡意樣本的檢驗集來判斷該模型是否有效。在靜態分析中，支持向量機算法表現較好;而在動態分析中，集成算法表現較好。下面介紹一個可以有效應用于網絡病毒防御中的分類方法：決策樹分類法。決策樹是一種由節點和有向邊組成的層次結構，它通過提出一系列關于檢驗記錄屬性的問題來進行分類[3]。在決策樹中一個內部結點代表一個屬性測試條件，一個樹枝代表一個檢測結果，葉子上的結點代表不同的類別。在決策樹中最常用的運算法則是ID3和C4.5，它們都屬于從下到上樹形結構，它們的運算法則表述為：x1+x2=x[5]。決策樹挖掘是依據從大到小，從廣到細的原則逐級劃分判斷條件，對不同屬性逐級進行判斷，當有一級不滿足判斷條件時即可做出相應的防御反應。在構建計算機網絡病毒防御系統中，決策樹挖掘的條件為：(1)該程序是否有破壞能力;(2)該程序是否有復制傳播能力;(3)該程序是否具有隱蔽性[6]。2.2.2無監督的數據挖掘技術。(1)聚類分析聚類分析指將數據劃分成不同的組，要求在一個組中的個體有相似的特征且差異較小，而組與組之間存在不同特征且差異較大。進行聚類分析的目的在于發現緊密相關的觀測值組群，通過聚類分析還可以較好地呈現出數據分布的疏密情況和全局分布模式[7]。若將聚類分析與啟發式掃描技術或主動防御技術相結合，那么我們可以將程序行為或其行為代碼聚類為正常和異常兩類，在異常類中又可按其嚴重程度將其進一步聚類，由此我們可以更加精準地區分出正常和異常的程序行為或其行為代碼，隨后我們可以將由聚類分析得到的類作為對未知程序進行分類的依據。(2)關聯分析關聯分析指在數據庫中發現有強關聯特征的模式，常用XàY的蘊含表達式表示，其中X與Y均為項集。如果兩個或多個變量之間存在某種規律性，那么這些數據之間就存在著一定的關聯性，其中的關聯主要有簡單關聯、時序關聯和因果關聯[8]。我們常用支持度(s)和置信度(c)來度量關聯規則的強度，支持度表示既包含X又包含Y的事務在所有事務中所占的比例，其中s(XàY)=P(X&Y)/N;置信度表示同時包含X和Y的事務在包含X的事務中所占的比例，其中c(XàY)=P(X&Y)/P(X)[3]。進行關聯分析的目的是找出數據庫當中存在的關聯網，挖掘數據之間的關聯性以找出數據之間的關聯規則[8]。若將關聯分析與啟發式掃描技術相結合，則需要在數據中導入良性樣本和惡意樣本。其中每個項為一個程序行為代碼，若某一樣本的匯編指令序列中出現該代碼則記為1，否則記為0。對這些數據進行關聯分析我們可以發現某些行為代碼之間具有關聯，這些關聯擁有較高的支持度和置信度。若我們發現XàY，且項集X與項集Y的權重的和足以觸發警報。那么當項集X發生時，項集Y就很有可能發生，該程序也很有可能是病毒。若將關聯分析與主動防御技術相結合，則需要在數據中導入良性樣本和惡意樣本。當樣本程序運行時，系統日志會記錄程序運行信息，并且這些數據會被轉化成事件存入數據庫。數據中每個項為一個程序行為，若某一樣本的行為集中出現該行為則記為1，否則記為0。若不嚴重的敏感行為集與某些嚴重違反安全規則的行為之間存在關聯，那么當不嚴重的敏感行為集發生時，我們應當對其足夠重視，并向用戶發出嚴重安全威脅可能發生的警報或采取措施清除危險程序。2.2.3異類分析。異類分析指分析數據庫中與其他數據偏離較為明顯的數據，即偏離常規模式的數據。因為與常規數據相比，這些異常數據很可能是由完全不同的機制產生的[7]。當然，由于測量誤差產生的異常數據我們應當及時予以清除。因此，異類分析常作為數據預處理的一部分。異類分析算法需要識別出真正的異常點，即具有高的檢出率和低的誤報率[3]。異常數據相對于正常數據來講有其獨有的特殊性，我們往往可以從中發現有悖常理的結果和更有價值的信息。異常檢測可分為監督的，非監督的和半監督的。監督的異常檢測要求在訓練集中存在正常樣本和異常樣本，并做好標記，即標好類標號;非監督的異常檢測則不要求標好類標號。而在半監督的異常檢測中，我們需要使用有標記的正常樣本信息，發現檢驗集中異常樣本的類標號或得分[3]。我們也可以先構造出一個正常程序的輪廓，當某一個程序到來或運行時便將其與之比較，如果該程序的特性與正常程序的輪廓無法很好地擬合，那么該程序就很有可能是網絡病毒。

　　2.3數據挖掘技術在計算機網絡病毒防御中的應用與挑戰

　　隨著社會的信息化與網絡化不斷向前推進，計算機網絡病毒的威脅也日益嚴重。而數據挖掘技術的發展使人們希望借助數據挖掘技術來提升對計算機網絡病毒的防御能力。目前，支付寶、京東金融等互聯網金融平臺已使用數據挖掘技術來防御網絡病毒，保障用戶的數據安全。與傳統基于特征碼的病毒檢測技術不同，基于數據挖掘的計算機網絡病毒防御技術不需要規模龐大的特征碼庫，并且可以很好地識別未知病毒，提高對病毒識別的準確率。但是，該技術在進行數據預處理和數據挖掘的過程中需要消耗較多的資源和時間。我們應該發揮該技術的長處，并與傳統的反病毒技術相互配合，才能更好地防御計算機網絡病毒。

　　3基于數據挖掘技術的計算機網絡病毒防御系統流程

　　數據挖掘技術的重點在尋找未知的模式與規律，其主要由以下五大模塊組成：(1)數據源模塊;(2)預處理模塊;(3)規則庫模塊;(4)數據挖掘模塊;(5)決策模塊。在基于數據挖掘技術的計算機網絡病毒防御系統中，首先收集含有入侵指令的數據，通過這些數據初始化來往的網絡數據，然后對這些數據運用預處理模塊進行預處理。預處理完成后開始進行數據挖掘，使用關聯分析、分類分析、聚類分析、異類分析等數據挖掘技術建立規則集即網絡病毒的特征集合，再將待檢測數據與規則集匹配檢測，如果兩者之間的匹配度較高，則說明該數據包中可能存在網絡病毒;如果兩者之間的匹配度較低，則說明有可能是未知病毒，這時會觸發預警機制，并提取該病毒特征屬性以及連接數據的方式將其納入規則集[8]。

　　3.1數據挖掘技術組成模塊

　　數據挖掘技術主要由以下五大模塊組成：3.1.1數據源模塊。數據源模塊會截取計算機網絡中的原始數據包，這些數據包中包含著一些重要的數據結構和功能信息，之后將這些原始數據交由預處理模塊進行預處理[7]。數據源模塊為數據挖掘提供充足的數據，是數據挖掘的基礎。3.1.2預處理模塊。預處理模塊是整個數據挖掘流程中的重點模塊。預處理數據主要由鏈接數據、數據凈化、變量整合以及格式轉換等構成[9]。由于在大量原始數據中存在許多不完整、不一致的數據，這些數據將會嚴重影響數據挖掘建模的執行效率和執行結構。通過對數據源模塊截獲到的數據進行預處理，可以選擇出與當前數據挖掘任務相關的數據，使數據能夠被數據挖掘模塊所處理，提高數據的辨識度和準確性，還能縮短數據挖掘時間，提高數據挖掘效果，為后期進行數據挖掘創造了條件[7]。3.1.3規則庫模塊。規則庫模塊是通過對已經能夠分析檢測到的網絡病毒進行數據挖掘而形成的規則集，該規則集反映了網絡病毒的行為特征。利用該規則集，可以指導數據挖掘模塊的工作，還可以探究并抵御計算機網絡中的其他病毒[9]。3.1.4數據挖掘模塊。數據挖掘模塊是整個數據挖掘流程中的關鍵一環，其主要由事件庫和數據挖掘算法兩大部分組成，通過數據挖掘算法對由數據源模塊和預處理模塊形成的事件庫進行分析，在事件庫中記錄的主要是用于進行數據挖掘的相關數據。經過數據挖掘模塊的處理后，最終形成規則清晰的數據挖掘結果，并將其傳遞給決策模塊[8]。3.1.5決策模塊決策模塊的作用是將數據挖掘結果與規則庫中的規則進行匹配。如果數據挖掘結果與規則庫中的規則匹配度很高，那么說明決策模塊信息存在病毒特征，數據包中存在計算機網絡病毒的風險很大，應當及時對病毒予以清除。如果數據挖掘結果與規則庫中的規則不匹配，那么說明數據包中可能存在未知的新型病毒，此時預警系統將會發出新型病毒警告，規則庫模塊將此新型病毒引入規則庫，形成新的規則類別[10]。

　　3.2基于數據挖掘技術的計算機網絡病毒防御系統流程圖

　　基于數據挖掘技術的計算機網絡病毒防御系統流程圖如圖1所示。

　　4結語

　　當前，利用數據挖掘技術進行網絡病毒防御是社會的迫切需要，也是網絡病毒防御技術的發展趨勢，數據挖掘技術在網絡病毒防御系統中的重要性也越來越明顯。我們可以將傳統計算機網絡病毒防御技術與數據挖掘技術相結合，利用各自的優點提高網絡病毒查殺的準確度和效率。如利用有監督的數據挖掘技術可以快速訓練出一個模型，但需要許多有標記的數據;而無監督的數據挖掘技術使用大量未標記的數據來訓練模型。在獲取大量未標記的數據越來越容易而進行人工標記的成本越來越高的今天，使用無監督的數據挖掘技術來防御網絡病毒是該項技術的發展趨勢。今后，數據挖掘技術將發揮其獨特優勢，在計算機網絡病毒的識別和判斷方面發揮關鍵作用。

　　《數據挖掘技術在計算機網絡病毒防御中的應用研究》來源：《電腦知識與技術》，作者:潘恒緒 卞煒松 鄧杰 肖文