计算机病毒防御中数据挖掘的应用研究

何欢

(遵义医学院,贵州遵义 563000)

1 数据挖掘概述

在计算机病毒不断演化和发展的过程中,其数据信息的更新速度较快,而数据挖掘技术则是通过对于以往数据信息类型的总结,对比分析恶意程序代码中的数据类型。这样的方式更加有利于隐匿于系统内部的病毒被快速发现,数据挖掘从大量信息中搜索隐藏条件的基本功能,是支持病毒识别的关键。而数据挖掘算法中决策树算法、K-means聚类分析、SVM回归分析、Apriori布尔关联规则频繁项集等一系列算法在本质上均已达到了快速识别数据特征的基本要求。因此,能够以计算机病毒在系统内部产生的无限繁衍机制,或数据类型的更替迭代来判断计算机系统是否受到病毒攻击。此外,对于以往病毒信息的总结,在数据库内存储的病毒特征也是提供预防措施的甄别环节,是为主动防御系统提供数据参数和量化指标的可控方式。因此,在计算机病毒不断发展的过程中,以数据挖掘技术为基础的计算机网络安全服务或者预设防御系统也是目前极为关键的研究方向。

2 计算机病毒的的基本特征

2.1 广泛传播与实时扩散

计算机病毒的传播过程需要两种载体,网络传播或硬件传播,但本质上网络传播的速度更快。在互联网时代,其数据信息本身的使用频次较高,病毒侵袭于交互信息的文本资料中,利用IP协议的漏洞攻击终端系统,已经成为多数计算机病毒的主要攻击路径。而且当一台终端系统受到侵袭之后,病毒可以将此终端设备作为后台,通过自身的无限繁殖扩大破坏力与攻击力。若终端系统的防护体系并未及时发现病毒,在之后的信息传播与交互中也相当于辅助了病毒传播。因此,计算机病毒在具备了广泛性的传播覆盖面后更加形成了实时扩散的破坏力,是对于计算机网络安全性能的最大威胁。

2.2 病毒种类型更新迭代

自计算机病毒问世以来,终端系统和网络协议都在不断更新换代,其根本目标便是规避自身漏洞,降低病毒攻击频次,并增强自身的防御体系功能性。但是计算机系统本身的漏洞也为计算机病毒留有可攻击的条件,计算机病毒自身的修改和更新速度造成了进一步的安全风险威胁。My Doom、Worm.Blaster、So big等早期的病毒类型以Microsoft Outlook电子邮件系统传播为主,用户在终端系统仍然可以通过设置防火墙加以防御,即便防御失败损失也基本控制在终端系统内部。而新一轮的网络勒索病毒,以撒旦(Satan)勒索病毒为代表,攻击重心在于服务器数据库,同时在控制终端系统之后对用户勒索至少0.3个比特币的赎金,否则数据信息将永远无法解密。从植入恶意代码攻击系统程序,到攻击数据库勒索用户赎金,其计算机病毒的更新迭代速度之快是极为重要的特征表现[1]。

2.3 较强的破坏性与攻击性

早期黑客所使用的木马病毒虽然产生了较大的破坏力,但是在系统自主修复之后仍然可以恢复运行速度和常规使用。其中较为重要的数据信息仍然可以得到恢复,且攻击目标多为个体用户。而新一轮的勒索病毒席卷全球,超过150个国家至少30万名用户的终端系统受到攻击,直接损失高达80亿美元。

3 计算机病毒防御中数据挖掘的应用模式

3.1 数据收集模块

数据收集是应用数据挖掘技术的基础条件,需要总结网络病毒的基本数据,收集其特征数据作为分析演算的原始资料。在收集信息的过程中,必须梳理计算机病毒的特征属性,并将其定义为搜索对象,在不可预测的条件下归纳攻击类型的严重程度,降低数据挖掘的盲目性才能达到预期的数据信息收集效果[2]。

3.2 数据特征挖掘

数据特征挖掘模式是将收集到的计算机病毒信息进行分类,依据其攻击特征、侵袭路径、破坏力等一系列特征属性划分事件库。在事件库中可以将数据挖掘算法作为判定病毒特征的主要依据,通过更为清晰的数据分析结果,归纳和总结防御体系的操作方向。

3.3 关联规则库

事件库仅能够对病毒数据进行分组描述其基本特征,而并不能直接总结病毒特征的识别规律。而关联规则库的应用,则是为数据挖掘提供了聚类分析模式,或者是基于病毒特征的识别机制。在此模块中,病毒攻击终端系统时的运行轨迹、执行程序、基本特征进行了详细的记录和规则集合汇总。因此能够以病毒演化和攻击规则来识别病毒特征,加强防御系统的识别效果。其中极为重要的聚类分析算法,更是将病毒攻击路径中差异度极小的数据特征进行了更为详细的归纳。当不同执行程序同时运行时,其数据信息的应用频次、后台处理条件、复杂程度、复制速度均为识别恶意代码的客观规律,因此可以为计算机安全防御系统提供更为直接的对比参照,支持对于病毒类型的快速识别。

3.4 决策机制

决策模块在数据挖掘过程中起到了极为关键的作用,是以数据类型的匹配程度来判定规则库信息符合度的制约条件。此前,360防火墙对于腾讯软件的识别度较低,以至于误判其病毒属性,导致提示系统卸载并不存在病毒特征的软件系统。其本质因素便是决策模块的功能并未健全,对于规则运算条件的约束力不足。在全新的勒索病毒以加密算法库为载体,实时对应脚本文件的Http请求,读取或下载远程服务器文件的特征中,失去对于病毒类型的决策效率,也相当于为病毒侵袭提供了遍历终端系统文件的优势。因此,在防御计算机病毒的整体机制中,虽然数据挖掘技术归纳了相当全面的病毒特征,但是也需要就其决策模块的适应度和考察方向加以调整,否则系统误判的情况仍然会导致数据类型不匹配的情况,最终造成病毒侵蚀数据库盗取重要文件的不利影响[3]。

3.5 数据预处理方案

数据预处理方案是在病毒特征信息和决策条件均已完备之后的最终数据处理结果,可以将其视为分析归类的最终审核,或者是对于开展数据信息时的最后特征验证。例如将端口信息、IP地址信息、目标IP地址等基础信息类型进行整理、归纳、集合,并最终呈现在网络防御系统之中。这样的数据信息处理流程,增加了多重验证病毒信息的操作方案,可以为防御系统提供更为可靠的数据参量或验证指标。因此,通过数据预处理方案的最终判定也能够加强数据挖掘的整体效果,进而精准描述病毒类型的原始特征,增强其防御系统的识别度和精准度。

4 结语

综上所述,计算机系统本身的漏洞并无法直接消除,在与病毒不断博弈的的过程中逐步完善之后,才能规避病毒攻击。因此,借助数据挖掘技术能够加强计算机防御系统的安全性,通过快速识别病毒类型及其基本属性提供更为可靠的参考数据支持。

[1]李嘉嘉.浅谈数据挖掘在计算机网络病毒防御中的应用[J].网络安全技术与应用,2017,(08):84+89.

[2]张燕.数据挖掘技术在计算机网络病毒防御中的应用探究[J].太原城市职业技术学院学报,2016,(04):174-176.

[3]唐颖.数据挖掘技术在计算机网络病毒防御中的运用[J].信息与电脑(理论版),2015,(21):133-134.