計(jì)算機(jī)病毒防御技術(shù)應(yīng)用3篇

前言：想要寫(xiě)出一篇引人入勝的文章？我們特意為您整理了計(jì)算機(jī)病毒防御技術(shù)應(yīng)用3篇范文，希望能給你帶來(lái)靈感和參考，敬請(qǐng)閱讀。

第一篇：計(jì)算機(jī)網(wǎng)絡(luò)病毒防御技術(shù)分析

由于國(guó)家經(jīng)濟(jì)的飛躍發(fā)展，計(jì)算機(jī)互聯(lián)網(wǎng)信息技術(shù)在各個(gè)行業(yè)中得到全面普及與應(yīng)用。不過(guò)，計(jì)算機(jī)讓人們獲得方便的過(guò)程中，也不可避免地遭遇到一些挑戰(zhàn)與威脅。比如，計(jì)算機(jī)病毒就是一個(gè)不可忽視的重要威脅要素。由于現(xiàn)今計(jì)算機(jī)病毒的類(lèi)型、數(shù)量等出現(xiàn)明顯地變化，這必然會(huì)對(duì)計(jì)算機(jī)互聯(lián)網(wǎng)系統(tǒng)的安全及穩(wěn)定造成更大的破壞。所以，需要深入探究計(jì)算機(jī)病毒的性能，著重分析提高計(jì)算機(jī)互聯(lián)網(wǎng)病毒防御能力的具體策略與路徑。計(jì)算機(jī)技術(shù)在現(xiàn)代社會(huì)的各行各業(yè)發(fā)展中都已經(jīng)成為了最普遍的應(yīng)用工具，但是網(wǎng)絡(luò)環(huán)境存在著許多的威脅，還需要采取措施進(jìn)行網(wǎng)絡(luò)防御?；诖耍恼箩槍?duì)計(jì)算機(jī)網(wǎng)絡(luò)防御現(xiàn)狀進(jìn)行分析，并通過(guò)先進(jìn)的計(jì)算機(jī)防御技術(shù)和計(jì)算機(jī)網(wǎng)絡(luò)防御具體措施來(lái)防御網(wǎng)絡(luò)危機(jī)，在計(jì)算機(jī)安全方面提供了一些建議和參考。目前，由于計(jì)算機(jī)互聯(lián)網(wǎng)技術(shù)的飛躍發(fā)展及不斷升級(jí)，其在各個(gè)領(lǐng)域都得到廣泛應(yīng)用，且地位在不斷提升。在當(dāng)前的網(wǎng)絡(luò)社會(huì)中，人們的工作、學(xué)習(xí)、生活等在計(jì)算機(jī)互聯(lián)網(wǎng)技術(shù)的推動(dòng)下變得更加高效、便捷，促使人和人之間的距離不斷縮小，工作也愈發(fā)地輕松。不過(guò)，我們必須要重視一個(gè)現(xiàn)實(shí)問(wèn)題，那就是計(jì)算機(jī)技術(shù)在為人們提供一些方便的過(guò)程中，也遭遇到一些外在的威脅及挑戰(zhàn)。例如，計(jì)算機(jī)病毒就是一個(gè)影響范圍最為廣泛、破壞性能最強(qiáng)大的一種威脅模式。當(dāng)前，由于計(jì)算機(jī)病毒的影響，導(dǎo)致很多用戶(hù)的私密信息遭到泄漏、破壞等，乃至大規(guī)模的網(wǎng)絡(luò)癱瘓問(wèn)題也經(jīng)常出現(xiàn)。這必然會(huì)對(duì)人們的正常生活、學(xué)習(xí)、工作等帶來(lái)不利影響。為了更有效地防范計(jì)算機(jī)病毒帶來(lái)的一系列風(fēng)險(xiǎn)，確保網(wǎng)絡(luò)系統(tǒng)的安全運(yùn)行，一些技術(shù)人員研究了大量的應(yīng)對(duì)策略與技術(shù)。不過(guò)，因?yàn)橛?jì)算機(jī)病毒的類(lèi)型復(fù)雜、規(guī)模大、擴(kuò)散快等，再加上變異周期短，所以對(duì)安全防御帶來(lái)一定的困難。若要增強(qiáng)計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)的安全性與穩(wěn)定性，筆者在全面探討計(jì)算機(jī)病毒的基本特性與防御模式的過(guò)程中，也對(duì)如何增強(qiáng)互聯(lián)網(wǎng)背景下的計(jì)算機(jī)病毒防御能力總結(jié)出一系列策略與方法，希望能夠?yàn)闃I(yè)內(nèi)人士提供參考與幫助。

一、計(jì)算機(jī)病毒的概述、類(lèi)型及特征

（一）計(jì)算機(jī)病毒的概述

通常而言，計(jì)算機(jī)病毒是指對(duì)軟硬件的正常運(yùn)行帶來(lái)影響及破壞的，并且存在不斷復(fù)制功能的一些指令或程序代碼等。

（二）計(jì)算機(jī)病毒的特點(diǎn)

潛伏性。這是一個(gè)非常典型的特點(diǎn)。在還沒(méi)有大面積爆發(fā)前，計(jì)算機(jī)病毒通常會(huì)隱藏在計(jì)算機(jī)內(nèi)部系統(tǒng)的一些重要區(qū)域。因?yàn)闈摲^(guò)程中不會(huì)對(duì)計(jì)算機(jī)系統(tǒng)帶來(lái)很大的影響，所以能夠躲過(guò)系統(tǒng)軟件的查殺、掃描等，并且不會(huì)引起系統(tǒng)操作者的關(guān)注與警惕。不過(guò)，隨著潛伏期的結(jié)束，計(jì)算機(jī)病毒就會(huì)迅速地爆發(fā)，迅速?gòu)?fù)制、擴(kuò)散，且對(duì)周?chē)南到y(tǒng)造成感染與破壞。這種爆發(fā)式的擴(kuò)散通常會(huì)導(dǎo)致被感染的計(jì)算機(jī)系統(tǒng)迅速發(fā)生異常問(wèn)題，例如：軟硬件癱瘓等。通常來(lái)說(shuō)，病毒的隱匿性越強(qiáng)、潛伏期就會(huì)愈長(zhǎng)，那么防御難度就會(huì)大大增加，一旦爆發(fā)必然會(huì)對(duì)網(wǎng)絡(luò)安全帶來(lái)巨大破壞。破壞性。計(jì)算機(jī)病毒的危害通常是能夠帶來(lái)很大的破壞性。當(dāng)病毒爆發(fā)之后，一般會(huì)經(jīng)過(guò)快速?gòu)?fù)制、執(zhí)行惡意代碼等，侵占大量的系統(tǒng)資源或空間，對(duì)正常程序的運(yùn)行帶來(lái)阻擾與破壞。更有甚者會(huì)惡意刪掉或損壞一些重要文件與數(shù)據(jù)，導(dǎo)致數(shù)據(jù)受損、設(shè)備中止等。并且，計(jì)算機(jī)病毒能夠盜取一些重要密碼，并將一些重要文件泄露出去，對(duì)用戶(hù)的財(cái)產(chǎn)安全、隱私安全等造成嚴(yán)重破壞，這必然會(huì)對(duì)用戶(hù)的正常生活、工作、學(xué)習(xí)等帶來(lái)巨大威脅及影響。傳染性。計(jì)算機(jī)病毒就好比生物病毒一般，存在較強(qiáng)的傳染性。如果一臺(tái)電腦被病毒感染，或者內(nèi)部出現(xiàn)惡意程序，那么它能夠利用不同的路徑或手段去對(duì)其它電腦造成感染。比如，病毒能夠利用一些移動(dòng)存儲(chǔ)設(shè)備、互聯(lián)網(wǎng)等從宿主電腦轉(zhuǎn)移到其它電腦中，且在被感染的電腦系統(tǒng)中進(jìn)行迅速擴(kuò)散，隨時(shí)做好感染其它電腦系統(tǒng)的準(zhǔn)備。最后導(dǎo)致與其相關(guān)的電腦均受到感染，進(jìn)而引起系統(tǒng)癱瘓。隱蔽性。計(jì)算機(jī)病毒為了能夠屏蔽殺毒軟件的查找、防火墻系統(tǒng)的掃描等，一般會(huì)對(duì)自己進(jìn)行偽裝，將自己變成普通的代碼或程序，然后移植到普通的系統(tǒng)中。因?yàn)槠浔旧淼娜萘糠浅Ｐ?，再由于與正常程序相兼容，所以很難及時(shí)發(fā)現(xiàn)。盡管當(dāng)前計(jì)算機(jī)防病毒技術(shù)也在不斷升級(jí)，人們目前能夠利用病毒特征、惡意代碼特點(diǎn)等進(jìn)行查殺網(wǎng)絡(luò)系統(tǒng)中隱匿的病毒。不過(guò)，計(jì)算機(jī)病毒也是在不斷變異，它們能夠?qū)ψ约汗逃械奶卣鬟M(jìn)行偽裝、加密等，導(dǎo)致病毒的特征無(wú)法更清晰地呈現(xiàn)出來(lái)，從而導(dǎo)致識(shí)別出現(xiàn)問(wèn)題，這必然會(huì)導(dǎo)致一些病毒被遺漏，從而大大提高不被殺毒軟件掃描的幾率。

二、計(jì)算機(jī)病毒的技術(shù)分析

經(jīng)過(guò)深入探究得出，現(xiàn)今計(jì)算機(jī)病毒侵入電腦的路徑有兩個(gè)。

（一）通過(guò)系統(tǒng)漏洞或后門(mén)程序侵入

因?yàn)楝F(xiàn)今計(jì)算機(jī)系統(tǒng)尤其是操作系統(tǒng)一般選擇的是WINDOWS系統(tǒng)，通過(guò)人們長(zhǎng)期地應(yīng)用實(shí)踐能夠發(fā)現(xiàn)，該系統(tǒng)存在的短板等很容易被發(fā)現(xiàn)。雖然微軟也不斷地改進(jìn)操作系統(tǒng)，不過(guò)隱匿的漏洞、后臺(tái)程序等依舊會(huì)讓計(jì)算機(jī)病毒找到可乘之機(jī)。

（二）通過(guò)無(wú)線(xiàn)電途徑侵入

對(duì)于這一路徑而言，通常是借助于無(wú)線(xiàn)電發(fā)射機(jī)把加載的病毒信號(hào)傳輸至目標(biāo)接收系統(tǒng)中，由此能夠達(dá)到病毒植入的目的。因?yàn)橥黄凭W(wǎng)絡(luò)的層層防護(hù)，其目標(biāo)清晰，并且不會(huì)被目標(biāo)計(jì)算機(jī)系統(tǒng)所察覺(jué)，所以能夠體現(xiàn)出迅速、高效等特征。不過(guò)，對(duì)于這種侵入途徑來(lái)說(shuō)，其技術(shù)要求比較高，想要實(shí)現(xiàn)還存在一定的難度。

三、網(wǎng)絡(luò)環(huán)境下的計(jì)算機(jī)病毒及其防范策略

（一）創(chuàng)建計(jì)算機(jī)病毒管理報(bào)警中心

若要確保系統(tǒng)的統(tǒng)一防護(hù)，需要在計(jì)算機(jī)網(wǎng)絡(luò)節(jié)點(diǎn)創(chuàng)建一個(gè)病毒預(yù)警平臺(tái)。該平臺(tái)需要安裝防病毒云系統(tǒng)，能夠動(dòng)態(tài)性地對(duì)輸入、輸出網(wǎng)絡(luò)節(jié)點(diǎn)的信號(hào)等實(shí)施監(jiān)控、分析。如發(fā)現(xiàn)危險(xiǎn)程序，即可阻截或查殺，然后通知其它站點(diǎn)的管理人員。并且，分析病毒的關(guān)聯(lián)特征，第一時(shí)間呈報(bào)給云端病毒特征庫(kù)。若要確保報(bào)警平臺(tái)能夠高效地阻截病毒，務(wù)必要不定期地對(duì)病毒特征庫(kù)實(shí)施更新、優(yōu)化，讓病毒找不到任何漏洞。

（二）提高計(jì)算機(jī)網(wǎng)絡(luò)管理力度

計(jì)算機(jī)病毒的破壞性非常大，而且擴(kuò)散迅速，這通常和計(jì)算機(jī)網(wǎng)絡(luò)管理不當(dāng)有著直接的相關(guān)性。因?yàn)楣芾聿煌晟?，制度不?yán)謹(jǐn)、人們安全意識(shí)薄弱等，必然會(huì)引起病毒的不斷出現(xiàn)，屢禁不止等。并且，一直以來(lái)，人們對(duì)網(wǎng)絡(luò)安全建設(shè)往往實(shí)施的是治標(biāo)不治本的策略，這也是引起病毒不斷出現(xiàn)的一個(gè)根本因素。為了能夠徹底解決病毒無(wú)限制蔓延的問(wèn)題，人們一定要構(gòu)建完善、高效的網(wǎng)絡(luò)安全管理機(jī)制。并不斷提高技術(shù)人員的安全防御能力，增強(qiáng)安全意識(shí)。并且，還需要不斷完善互聯(lián)網(wǎng)基礎(chǔ)設(shè)施機(jī)制，并嚴(yán)格遵循高標(biāo)準(zhǔn)、高要求等原則，確保相關(guān)軟硬件系統(tǒng)的建設(shè)一定能夠覆蓋所有潛在的安全漏洞，由此能夠達(dá)到全方位防御的目的。

（三）增強(qiáng)個(gè)人的安全防護(hù)素質(zhì)及意識(shí)隨著網(wǎng)絡(luò)時(shí)代的發(fā)展，所有計(jì)算機(jī)用戶(hù)都無(wú)法完全脫離網(wǎng)絡(luò)而獨(dú)立存在。大家都要不斷地交換數(shù)據(jù)與資源，若要保證安全上網(wǎng)，遠(yuǎn)離病毒的侵襲，大家一定要給予高度重視與警惕。比如，禁止隨意登錄未知網(wǎng)站，不隨意打開(kāi)他人傳送的未知文檔。并且，避免在網(wǎng)絡(luò)平臺(tái)上讓自己的設(shè)備“裸奔”，要安裝標(biāo)準(zhǔn)、專(zhuān)業(yè)的殺毒軟件，同時(shí)要定期更新與升級(jí)等。唯有重視安全防御，方可實(shí)現(xiàn)有的放矢地防御與管理。

四、結(jié)語(yǔ)

現(xiàn)今，由于互聯(lián)網(wǎng)技術(shù)的不斷發(fā)展，計(jì)算機(jī)應(yīng)用范圍在持續(xù)擴(kuò)大。所以，該行業(yè)一定要增強(qiáng)互聯(lián)網(wǎng)病毒防御性能，創(chuàng)設(shè)標(biāo)準(zhǔn)、規(guī)范、完善的病毒防御機(jī)制。利用安裝硬盤(pán)還原卡、殺毒軟件等，能夠有效地保護(hù)計(jì)算機(jī)的穩(wěn)定與安全，促使計(jì)算機(jī)系統(tǒng)的高效、穩(wěn)定運(yùn)行。

作者:馬新慶 單位:濟(jì)寧職業(yè)技術(shù)學(xué)院

第二篇：計(jì)算機(jī)病毒模型分析

摘要：阻斷傳播路徑是治理網(wǎng)絡(luò)環(huán)境中計(jì)算機(jī)病毒肆虐的關(guān)鍵所在。針對(duì)計(jì)算機(jī)病毒傳播的路徑分析，建立了預(yù)先實(shí)施了免疫措施的計(jì)算機(jī)病毒傳播模型，分析了模型的動(dòng)力學(xué)行為，模型能夠演化出現(xiàn)2種平衡態(tài)，描述了預(yù)先設(shè)置反病毒措施對(duì)計(jì)算機(jī)病毒傳播的遏制作用。實(shí)驗(yàn)分析結(jié)果表明，提高反病毒措施的實(shí)施率α的值則計(jì)算機(jī)病毒的傳播力度變小，直至得到遏制，提高預(yù)先免疫率p的值可有效控制其在網(wǎng)絡(luò)中的傳播，計(jì)算機(jī)病毒會(huì)最終消失，這表明從連入網(wǎng)絡(luò)之前就進(jìn)行反病毒措施非常重要。

關(guān)鍵詞：計(jì)算機(jī)病毒；動(dòng)力學(xué)行為；SIR模型；平衡點(diǎn)

0引言

一直以來(lái)，計(jì)算機(jī)病毒都是人們?cè)谧詣?dòng)化辦公或網(wǎng)絡(luò)生活中的常客，這種人為惡意編制的程序?qū)τ?jì)算機(jī)資源有極強(qiáng)的破壞性，其自我復(fù)制的特性加速了其在網(wǎng)絡(luò)環(huán)境中的傳播。它們或占用內(nèi)存空間，讓計(jì)算機(jī)運(yùn)行速度變慢，或堵塞網(wǎng)絡(luò)而使網(wǎng)速變慢。一些木馬病毒可竊取機(jī)密文件、用戶(hù)的隱私，有些計(jì)算機(jī)病毒可導(dǎo)致數(shù)據(jù)丟失、系統(tǒng)崩潰，甚至癱瘓整個(gè)網(wǎng)絡(luò)等。計(jì)算機(jī)網(wǎng)絡(luò)實(shí)現(xiàn)了自由通信，當(dāng)其迅猛發(fā)展起來(lái)時(shí)，計(jì)算機(jī)病毒也能夠通過(guò)這一便捷的途徑從一臺(tái)計(jì)算機(jī)傳到和他互聯(lián)的眾多計(jì)算機(jī)擴(kuò)散開(kāi)來(lái)。如果沒(méi)有任何防護(hù)措施，計(jì)算機(jī)病毒就會(huì)感染網(wǎng)絡(luò)中的計(jì)算機(jī)，其傳播速度快，而且感染的范圍大。面對(duì)計(jì)算機(jī)病毒的快速傳播，一直以來(lái)人們都在探索防御和消殺計(jì)算機(jī)病毒的策略，想辦法切斷計(jì)算機(jī)病毒在網(wǎng)絡(luò)上的傳播路徑。那么就迫切需要探究計(jì)算機(jī)病毒傳播的規(guī)律和路徑，從而為控制其在網(wǎng)絡(luò)上的傳播提供決策支持，這已成為網(wǎng)絡(luò)安全領(lǐng)域中的研究熱點(diǎn)。Kephart等人參照生物病毒的傳播特性，首次借用傳染病模型分析計(jì)算機(jī)病毒的傳播行為。馮麗萍等人建立的基于SIR計(jì)算機(jī)病毒傳播模型指出使用防病毒軟件能夠恢復(fù)部分受感染的計(jì)算機(jī)，每單位時(shí)間從受感染的計(jì)算機(jī)中恢復(fù)的計(jì)算機(jī)數(shù)量是衡量防病毒軟件的能力。本論述考慮了一些網(wǎng)絡(luò)用戶(hù)主動(dòng)采取安裝殺毒軟件、修復(fù)系統(tǒng)漏洞等防病毒措施，使計(jì)算機(jī)從易感染狀態(tài)直接變?yōu)槊庖郀顟B(tài)，在局域網(wǎng)絡(luò)環(huán)境下的仿真結(jié)果表明加強(qiáng)防病毒措施是控制病毒傳播的有效策略。

1模型的建立

在描述計(jì)算機(jī)病毒傳播的SIR（SusceptibleInfec⁃tiousRemoved）模型中，S(t)表示t時(shí)刻還沒(méi)有感染而又容易感染病毒的計(jì)算機(jī)臺(tái)數(shù)；用I(t)表示t時(shí)刻已經(jīng)感染病毒且能夠傳染計(jì)算機(jī)病毒的計(jì)算機(jī)臺(tái)數(shù)；而用R(t)表示t時(shí)刻對(duì)計(jì)算機(jī)病毒有免疫力的計(jì)算機(jī)臺(tái)數(shù)。因此把所研究網(wǎng)絡(luò)中的計(jì)算機(jī)分為三類(lèi)：易感染類(lèi)、已感染類(lèi)、免疫類(lèi)。假設(shè)初始狀態(tài)是網(wǎng)絡(luò)中的所有計(jì)算機(jī)屬于易感染類(lèi)，當(dāng)計(jì)算機(jī)病毒在網(wǎng)絡(luò)中傳播時(shí)，計(jì)算機(jī)的類(lèi)別也會(huì)發(fā)生相應(yīng)變化：（1）對(duì)屬于易感染類(lèi)的計(jì)算機(jī)，可通過(guò)安裝有效殺毒軟件、防火墻以及打補(bǔ)丁、堵漏洞等反病毒措施能獲得免疫，則該計(jì)算機(jī)會(huì)以一定概率從易感染類(lèi)轉(zhuǎn)變?yōu)槊庖哳?lèi)；如果發(fā)生了與已感染類(lèi)的計(jì)算機(jī)通信，會(huì)以一定的概率感染計(jì)算機(jī)病毒，轉(zhuǎn)變?yōu)橐迅腥绢?lèi)。（2）每個(gè)時(shí)間段，可以通過(guò)查殺病毒、打補(bǔ)丁等免疫措施使易感染類(lèi)的計(jì)算機(jī)以一定概率轉(zhuǎn)變?yōu)槊庖哳?lèi)。（3）每個(gè)時(shí)間段，計(jì)算機(jī)都可能由于各種人為或自然因素與網(wǎng)絡(luò)斷開(kāi)，且3類(lèi)計(jì)算機(jī)斷網(wǎng)的概率一樣。（4）每個(gè)時(shí)間段，采用查殺病毒等反病毒措施使已感染類(lèi)的計(jì)算機(jī)的病毒被消滅，從而以一定的概率轉(zhuǎn)變?yōu)槊庖哳?lèi)。圖1是所建立的病毒傳播模型圖，其中采用矩形表示計(jì)算機(jī)類(lèi)別，帶箭頭的直線(xiàn)表示計(jì)算機(jī)類(lèi)別之間轉(zhuǎn)換的可能路徑，直線(xiàn)上的數(shù)學(xué)符號(hào)表示類(lèi)別轉(zhuǎn)換概率參數(shù)，其中：α表示由于實(shí)施反病毒措施而使易感染類(lèi)的計(jì)算機(jī)轉(zhuǎn)換為免疫類(lèi)的轉(zhuǎn)換率，β表示計(jì)算機(jī)病毒的傳染率，γ表示由于采取了反病毒措施而使計(jì)算機(jī)從已感染類(lèi)轉(zhuǎn)變?yōu)槊庖哳?lèi)的轉(zhuǎn)換率，n表示新計(jì)算機(jī)的接入數(shù)，μ表示計(jì)算機(jī)從網(wǎng)絡(luò)中斷開(kāi)連接的斷開(kāi)率，p表示預(yù)先采取了反病毒措施后新接入網(wǎng)絡(luò)計(jì)算機(jī)的免疫率。

2模型分析

2.1平衡點(diǎn)分析

由于模型中前兩個(gè)微分方程與R沒(méi)有關(guān)系，為了處理的簡(jiǎn)便，（1）上式可寫(xiě)為其中(S,I)∈D={(S,I)|0≤S≤N,0≤I≤N,S+I≤N}獲得平衡點(diǎn)，令{（1-p)n-βSI-μS-αS=0βSI-μI-γI=0（3）則系統(tǒng)（3）可存在兩組解：p0=((1-p)nu+α,0)，p1=(μ+γβ,(1-p)nβ-(μ+γ)(μ+α)β(μ+γ))

2.2平衡點(diǎn)的穩(wěn)定性分析

全局漸近穩(wěn)定，而當(dāng)R1>1時(shí)，方程組有兩個(gè)特征值，一個(gè)特征值大于0，而另一個(gè)特征值小于0，所以p1在D內(nèi)局部漸近穩(wěn)定。

2.3病毒控制

對(duì)于P0和P1中的S0和S1，如果S0<S1，僅有一個(gè)免疫平衡點(diǎn)P0，并且全局漸進(jìn)穩(wěn)定;如果S0>S1，P0和P1兩個(gè)平很點(diǎn)都存在，并且平衡點(diǎn)P1局部漸近穩(wěn)定。證明：由R1的公式很容易推出當(dāng)S0<S1，有R1＜1，當(dāng)S0>S1，有R1＞1。因此，為達(dá)到遏制病毒在網(wǎng)絡(luò)中傳播的目標(biāo)，應(yīng)盡力使S0<S1。

3數(shù)值模擬與分析

為了驗(yàn)證提出的計(jì)算機(jī)病毒傳播模型的性能，評(píng)估模型的正確性和模型本身的有效性，在Matlab平臺(tái)上進(jìn)行了仿真實(shí)驗(yàn)。（1）設(shè)定第一組參數(shù)的取值：即p=0.9;β=0.005;n=1;α=0.005;μ=0.001;γ=0.001；S(0)=1,I(0)=0,R(0)=0。由于開(kāi)始階段計(jì)算機(jī)沒(méi)有感染病毒，此時(shí)受病毒感染的計(jì)算機(jī)數(shù)量恒為0，易感染類(lèi)的計(jì)算機(jī)臺(tái)數(shù)先是保持不變，在一段時(shí)間后又快速攀升，最終易感染類(lèi)的計(jì)算機(jī)臺(tái)數(shù)達(dá)到18，進(jìn)入穩(wěn)定狀態(tài)如圖2所示。（2）設(shè)定第二組參數(shù)的取值：p=0.9;β=0.05;n=10;α=0.1;μ=0.01;γ=0.01。S(0)=30,I(0)=40,R(0)=30。此時(shí)的R1=41.6，此時(shí)的實(shí)驗(yàn)的模擬效果圖如圖3所示。（3）第三組參數(shù)設(shè)定為：p=0.9;β=0.05;n=10;α=0.5;μ=0.01;γ=0.01。S(0)=30,I(0)=40,R(0)=30。此時(shí)的R1≈4.9。此時(shí)的模擬效果圖如圖4所示。從圖3和圖4中可以看到參數(shù)α的調(diào)整影響了計(jì)算機(jī)病毒在網(wǎng)絡(luò)中的傳播。當(dāng)α=0.1時(shí)，最初階段感染計(jì)算機(jī)病毒的計(jì)算機(jī)數(shù)量會(huì)在網(wǎng)絡(luò)中迅速升高，最大峰值為68臺(tái)。峰值過(guò)后，由于用戶(hù)補(bǔ)漏洞、使用殺毒軟件滅毒等反病毒措施的實(shí)施，病毒傳播得到遏制，計(jì)算機(jī)病毒的傳播速度放緩，被感染的計(jì)算機(jī)臺(tái)數(shù)趨于穩(wěn)定，最終維持到48臺(tái)。而當(dāng)參數(shù)α=0.5時(shí)，網(wǎng)絡(luò)中感染病毒的計(jì)算機(jī)最大臺(tái)數(shù)達(dá)到到64，然后傳播速度先快后慢，被感染的計(jì)算機(jī)臺(tái)數(shù)減少到40后進(jìn)入穩(wěn)定狀態(tài)。病毒雖然得到了控制，但都進(jìn)入一個(gè)平衡態(tài)，沒(méi)有滅亡。（4）第四組參數(shù)設(shè)定為：p=0.99;β=0.05;n=10;α=0.5;μ=0.01;γ=0.01S(0)=30,I(0)=40,R(0)=30。此時(shí)的R1=0.125。此時(shí)的實(shí)驗(yàn)?zāi)M效果圖如圖5所示。圖5中新接入計(jì)算機(jī)的免疫率提高到0.99，對(duì)應(yīng)只要連入網(wǎng)絡(luò)，就要實(shí)施嚴(yán)格的防病毒措施，在這種情況下，受感染計(jì)算機(jī)數(shù)顯示快速?gòu)?0增長(zhǎng)到65就進(jìn)入下降趨勢(shì)，一段時(shí)間后計(jì)算機(jī)病毒最終全部消失，就沒(méi)有計(jì)算機(jī)再感染病毒。這說(shuō)明預(yù)先免疫措施是非常重要的。提高α的值則會(huì)有效遏制計(jì)算機(jī)病毒的傳播，這是由于采取防御措防止病毒入侵計(jì)算機(jī)。這些防御措施包括：一是安裝防火墻并不斷完善更新，防火墻通過(guò)檢查流過(guò)它的網(wǎng)絡(luò)信息進(jìn)而過(guò)濾掉可能存在的病毒入侵，這樣可以避免計(jì)算機(jī)被病毒所感染；二是要安裝入侵檢測(cè)系統(tǒng)，用來(lái)隨時(shí)監(jiān)視網(wǎng)絡(luò)傳輸，以及時(shí)探測(cè)可疑信息傳遞，增強(qiáng)對(duì)新病毒入侵的檢測(cè)能力；三是要安裝殺毒軟件，定期查殺計(jì)算機(jī)上的病毒，及時(shí)升級(jí)防病毒軟件，要注意保持良好的上網(wǎng)習(xí)慣，從Internet上下載所需要的資料時(shí)，應(yīng)及時(shí)讓殺毒軟件對(duì)它進(jìn)行病毒掃描，以防止惡意攻擊，四是要修補(bǔ)系統(tǒng)漏洞，升級(jí)系統(tǒng)補(bǔ)丁以避免計(jì)算機(jī)被計(jì)算機(jī)病毒所感染。而降低n的值和增強(qiáng)μ就是降低病毒的傳播力，具體可以采用措施：不需要上網(wǎng)時(shí)及時(shí)斷開(kāi)網(wǎng)絡(luò)連接，這樣就斷開(kāi)計(jì)算機(jī)病毒傳播的路徑，病毒沒(méi)有了傳染的途徑，也就減小了被感染的風(fēng)險(xiǎn)。

4結(jié)束語(yǔ)

在生物病毒模型的基礎(chǔ)上，構(gòu)建了一個(gè)預(yù)先實(shí)施了反病毒措施的計(jì)算機(jī)病毒傳播模型，模型客觀的反映了網(wǎng)絡(luò)環(huán)境中計(jì)算機(jī)病毒傳播情況。通過(guò)實(shí)驗(yàn)仿真分析了反病毒措施對(duì)病毒傳播的影響，實(shí)驗(yàn)結(jié)果表明提前盡早實(shí)施反病毒措施可使計(jì)算機(jī)病毒的傳播力明顯下降，提醒用戶(hù)防范計(jì)算機(jī)病毒的入侵，遏制計(jì)算機(jī)病毒在網(wǎng)絡(luò)中的傳播，維護(hù)網(wǎng)絡(luò)安全。

作者:楊永鋒 許生虎 單位:隴東學(xué)院信息工程學(xué)院

第三篇：數(shù)據(jù)挖掘在計(jì)算機(jī)病毒防御中應(yīng)用

摘要：近幾十年，計(jì)算機(jī)技術(shù)和網(wǎng)絡(luò)技術(shù)的迅速發(fā)展和普及使各行各業(yè)發(fā)生了翻天覆地的變化，許多行業(yè)已基本實(shí)現(xiàn)了數(shù)字化、信息化。這給人們帶來(lái)巨大便利的同時(shí)，也隱藏著各種各樣的安全隱患。其中，計(jì)算機(jī)網(wǎng)絡(luò)病毒的出現(xiàn)和迅速傳播嚴(yán)重威脅著計(jì)算機(jī)系統(tǒng)和人們的隱私安全，而目前的網(wǎng)絡(luò)病毒防御體系很難及時(shí)對(duì)未知病毒做出有效防御。因此，研究對(duì)網(wǎng)絡(luò)病毒更加有效的防御技術(shù)已成為當(dāng)前社會(huì)的迫切需要和網(wǎng)絡(luò)空間安全研究領(lǐng)域的一項(xiàng)重要任務(wù)?；跀?shù)據(jù)挖掘的計(jì)算機(jī)網(wǎng)絡(luò)病毒防御技術(shù)可以通過(guò)對(duì)數(shù)據(jù)庫(kù)中大量病毒數(shù)據(jù)運(yùn)用統(tǒng)計(jì)學(xué)、人工智能、機(jī)器學(xué)習(xí)等方法挖掘出判斷程序是不是網(wǎng)絡(luò)病毒的相關(guān)規(guī)則，并將接收到的數(shù)據(jù)包與挖掘到的規(guī)則進(jìn)行匹配，從而預(yù)測(cè)出數(shù)據(jù)包中是否含有網(wǎng)絡(luò)病毒。該文介紹當(dāng)前主流的計(jì)算機(jī)網(wǎng)絡(luò)病毒防御技術(shù)，并將數(shù)據(jù)挖掘技術(shù)與計(jì)算機(jī)網(wǎng)絡(luò)病毒防御技術(shù)相結(jié)合，指出基于數(shù)據(jù)挖掘的計(jì)算機(jī)網(wǎng)絡(luò)病毒防御技術(shù)的應(yīng)用與所面臨的挑戰(zhàn)。最后設(shè)計(jì)基于數(shù)據(jù)挖掘技術(shù)的計(jì)算機(jī)網(wǎng)絡(luò)病毒防御系統(tǒng)流程。

關(guān)鍵詞：數(shù)據(jù)挖掘；計(jì)算機(jī)；網(wǎng)絡(luò)病毒；防御

當(dāng)前，計(jì)算機(jī)網(wǎng)絡(luò)病毒的傳播給人們使用計(jì)算機(jī)造成了很大的困擾，網(wǎng)絡(luò)病毒在計(jì)算機(jī)中輕則導(dǎo)致隱私泄露，重則導(dǎo)致系統(tǒng)癱瘓。同時(shí)，《中華人民共和國(guó)網(wǎng)絡(luò)安全法》的通過(guò)與實(shí)施使我們清楚地認(rèn)識(shí)到網(wǎng)絡(luò)安全與國(guó)家安全息息相關(guān)，沒(méi)有網(wǎng)絡(luò)安全就沒(méi)有國(guó)家安全。因此，研究更有效的計(jì)算機(jī)網(wǎng)絡(luò)病毒防御技術(shù)具有重要意義。而將數(shù)據(jù)挖掘技術(shù)應(yīng)用于計(jì)算機(jī)網(wǎng)絡(luò)病毒防御中，可以有效控制當(dāng)前迅速傳播的網(wǎng)絡(luò)病毒，從而更好地保護(hù)計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)的安全。

1計(jì)算機(jī)網(wǎng)絡(luò)病毒

1.1計(jì)算機(jī)網(wǎng)絡(luò)病毒的定義與特征

從廣義上來(lái)講，計(jì)算機(jī)網(wǎng)絡(luò)病毒是指通過(guò)網(wǎng)絡(luò)傳播并破壞計(jì)算機(jī)功能或者毀壞計(jì)算機(jī)內(nèi)部數(shù)據(jù)的代碼程序。從狹義上來(lái)講，計(jì)算機(jī)網(wǎng)絡(luò)病毒是指?jìng)鞑ネ緩胶推茐膶?duì)象均為網(wǎng)絡(luò)的代碼程序[1]。計(jì)算機(jī)網(wǎng)絡(luò)病毒主要包括木馬病毒、蠕蟲(chóng)病毒、宏病毒和腳本病毒等。當(dāng)前，為對(duì)抗特征碼檢測(cè)技術(shù)，計(jì)算機(jī)網(wǎng)絡(luò)病毒多采用加密、多態(tài)、變形等技術(shù)手段，使得反病毒軟件即使從單個(gè)樣本中提取出特征碼也無(wú)法檢測(cè)出變形后的病毒，展現(xiàn)出變化速度較快的特征；由于網(wǎng)絡(luò)技術(shù)的迅猛發(fā)展，計(jì)算機(jī)網(wǎng)絡(luò)病毒可以通過(guò)多種方式如系統(tǒng)漏洞、電子郵件、文件共享、不良網(wǎng)頁(yè)等方式進(jìn)行傳播，展現(xiàn)出傳播速度較快且傳播形式多樣的特征；通過(guò)竊取或破壞用戶(hù)存儲(chǔ)在計(jì)算機(jī)內(nèi)的隱私信息或重要文件，政府、企業(yè)等組織的機(jī)密信息來(lái)獲取經(jīng)濟(jì)利益，計(jì)算機(jī)網(wǎng)絡(luò)病毒展現(xiàn)出越來(lái)越強(qiáng)的針對(duì)性與破壞性的特征。

1.2計(jì)算機(jī)網(wǎng)絡(luò)病毒的主要防治技術(shù)

1.2.1靜態(tài)病毒檢測(cè)技術(shù)。（1）特征碼檢測(cè)技術(shù)特征碼是反病毒軟件從病毒樣本中提取出的一串二進(jìn)制數(shù)值，可以根據(jù)這一數(shù)值來(lái)判斷一個(gè)文件是不是病毒文件或是否已感染病毒。常見(jiàn)的可以作為特征碼的信息有病毒感染計(jì)算機(jī)后在屏幕上顯示的信息、病毒的感染標(biāo)記或病毒文件中任何一段連續(xù)的、不含空格的且長(zhǎng)度不大于64字節(jié)的字符串[2]。隨后，病毒檢測(cè)引擎可以將待檢測(cè)文件與病毒特征碼進(jìn)行二進(jìn)制匹配，如果匹配成功，則該文件很有可能是病毒或已感染病毒。（2）校驗(yàn)和檢測(cè)技術(shù)首先計(jì)算出正常文件或系統(tǒng)扇區(qū)的校驗(yàn)和并將其寫(xiě)入數(shù)據(jù)庫(kù)。其中常見(jiàn)的計(jì)算對(duì)象有系統(tǒng)數(shù)據(jù)、文件頭部、文件屬性和文件內(nèi)容，常用的校驗(yàn)和算法有MD5、CRC等[2]。然后，當(dāng)使用文件或啟動(dòng)系統(tǒng)時(shí)計(jì)算文件或系統(tǒng)扇區(qū)的校驗(yàn)和并將其與數(shù)據(jù)庫(kù)中保存的校驗(yàn)和進(jìn)行對(duì)比。若比較結(jié)果不一致，則文件或系統(tǒng)扇區(qū)有可能已感染病毒。（3）啟發(fā)式掃描技術(shù)啟發(fā)式掃描技術(shù)運(yùn)用反匯編引擎得到病毒程序的匯編指令序列，并將其與病毒程序行為代碼數(shù)據(jù)庫(kù)進(jìn)行對(duì)比，找出程序中的可疑代碼。然后根據(jù)統(tǒng)計(jì)規(guī)律，判斷該文件是不是病毒文件或是否已感染病毒并給出合理解釋。當(dāng)面對(duì)變形或多態(tài)病毒時(shí)，可以將該技術(shù)與虛擬機(jī)檢測(cè)技術(shù)結(jié)合起來(lái)，先使用虛擬機(jī)檢測(cè)技術(shù)使病毒現(xiàn)出“原形”，然后使用啟發(fā)式掃描技術(shù)對(duì)該文件進(jìn)行檢測(cè)。1.2.2動(dòng)態(tài)病毒檢測(cè)技術(shù)。（1）虛擬機(jī)檢測(cè)技術(shù)為對(duì)抗網(wǎng)絡(luò)上日益猖獗的加密、多態(tài)和變形病毒，虛擬機(jī)檢測(cè)技術(shù)應(yīng)運(yùn)而生。虛擬機(jī)首先從病毒程序或染毒文件中讀取病毒的入口點(diǎn)代碼，然后模擬執(zhí)行病毒內(nèi)部的解密程序段，暴露出病毒的“原形”，隨后使用特征碼檢測(cè)技術(shù)或啟發(fā)式掃描技術(shù)來(lái)對(duì)該文件進(jìn)行檢測(cè)。（2）主動(dòng)防御技術(shù)主動(dòng)防御技術(shù)是指通過(guò)實(shí)時(shí)監(jiān)控應(yīng)用程序的行為來(lái)判斷其是否有惡意傾向，當(dāng)程序發(fā)生敏感行為時(shí)將向用戶(hù)發(fā)出警告，若其行為已嚴(yán)重到對(duì)系統(tǒng)安全構(gòu)成巨大威脅時(shí)也可直接將程序清除。1.2.3云查殺技術(shù)。云查殺技術(shù)是指將客戶(hù)端上的可疑文件、行為數(shù)據(jù)和對(duì)可疑文件的處理過(guò)程等上傳到云端服務(wù)器，利用云端服務(wù)器強(qiáng)大的數(shù)據(jù)和運(yùn)算資源以及各種分析手段來(lái)對(duì)其進(jìn)行判別，并指導(dǎo)客戶(hù)端做出相應(yīng)處理。這大大提高了判別的準(zhǔn)確性，也使得安全廠商可以更快地掌握新型病毒的行為特點(diǎn)和傳播動(dòng)向，并及時(shí)采取相應(yīng)防御措施[2]。

2數(shù)據(jù)挖掘技術(shù)及其在計(jì)算機(jī)網(wǎng)絡(luò)病毒防御中的應(yīng)用

2.1數(shù)據(jù)挖掘技術(shù)簡(jiǎn)介數(shù)據(jù)挖掘是指從大量的數(shù)據(jù)中，運(yùn)用統(tǒng)計(jì)學(xué)、人工智能、機(jī)器學(xué)習(xí)等方法，挖掘出未知的、且有價(jià)值的信息和知識(shí)的過(guò)程。數(shù)據(jù)挖掘技術(shù)主要有關(guān)聯(lián)分析、分類(lèi)分析、聚類(lèi)分析、異類(lèi)分析、特異群組分析和演變分析等。

2.2構(gòu)建網(wǎng)絡(luò)病毒防御系統(tǒng)的數(shù)據(jù)挖掘技術(shù)。2.2.1有監(jiān)督的數(shù)據(jù)挖掘技術(shù)。分類(lèi)分析是有監(jiān)督的數(shù)據(jù)挖掘技術(shù)，指預(yù)先設(shè)定幾個(gè)類(lèi)別，然后將個(gè)體依據(jù)其特征分別納入不同的類(lèi)別。分類(lèi)分析的輸入數(shù)據(jù)是記錄的集合，每條記錄用元組(x,y)來(lái)表示。其中x是屬性集合，y是這條記錄所屬的類(lèi)別[3]。進(jìn)行分類(lèi)分析的目的在于利用統(tǒng)計(jì)方法或機(jī)器學(xué)習(xí)方法等構(gòu)造分類(lèi)模型，將數(shù)據(jù)庫(kù)中的數(shù)據(jù)映射到某個(gè)特定類(lèi)，即實(shí)現(xiàn)從x到y(tǒng)的映射，然后利用該分類(lèi)規(guī)則分類(lèi)其他數(shù)據(jù)[4]。若將分類(lèi)分析與啟發(fā)式掃描技術(shù)相結(jié)合，則需要在訓(xùn)練集中導(dǎo)入良性樣本和惡意樣本。其中屬性集合x(chóng)為各種程序行為代碼，若某一樣本的匯編指令序列中出現(xiàn)該代碼則記為1，否則記為0；類(lèi)標(biāo)號(hào)y為Yes或No，代表該樣本是不是病毒程序。由此訓(xùn)練出分類(lèi)模型，隨后我們可以用一個(gè)包含良性樣本和惡意樣本的檢驗(yàn)集來(lái)判斷該模型是否有效。在靜態(tài)分析中，支持向量機(jī)算法表現(xiàn)較好；而在動(dòng)態(tài)分析中，集成算法表現(xiàn)較好。下面介紹一個(gè)可以有效應(yīng)用于網(wǎng)絡(luò)病毒防御中的分類(lèi)方法：決策樹(shù)分類(lèi)法。決策樹(shù)是一種由節(jié)點(diǎn)和有向邊組成的層次結(jié)構(gòu)，它通過(guò)提出一系列關(guān)于檢驗(yàn)記錄屬性的問(wèn)題來(lái)進(jìn)行分類(lèi)[3]。在決策樹(shù)中一個(gè)內(nèi)部結(jié)點(diǎn)代表一個(gè)屬性測(cè)試條件，一個(gè)樹(shù)枝代表一個(gè)檢測(cè)結(jié)果，葉子上的結(jié)點(diǎn)代表不同的類(lèi)別。在決策樹(shù)中最常用的運(yùn)算法則是ID3和C4.5，它們都屬于從下到上樹(shù)形結(jié)構(gòu)，它們的運(yùn)算法則表述為：x1+x2=x[5]。決策樹(shù)挖掘是依據(jù)從大到小，從廣到細(xì)的原則逐級(jí)劃分判斷條件，對(duì)不同屬性逐級(jí)進(jìn)行判斷，當(dāng)有一級(jí)不滿(mǎn)足判斷條件時(shí)即可做出相應(yīng)的防御反應(yīng)。在構(gòu)建計(jì)算機(jī)網(wǎng)絡(luò)病毒防御系統(tǒng)中，決策樹(shù)挖掘的條件為：（1）該程序是否有破壞能力；（2）該程序是否有復(fù)制傳播能力；（3）該程序是否具有隱蔽性[6]。2.2.2無(wú)監(jiān)督的數(shù)據(jù)挖掘技術(shù)。（1）聚類(lèi)分析聚類(lèi)分析指將數(shù)據(jù)劃分成不同的組，要求在一個(gè)組中的個(gè)體有相似的特征且差異較小，而組與組之間存在不同特征且差異較大。進(jìn)行聚類(lèi)分析的目的在于發(fā)現(xiàn)緊密相關(guān)的觀測(cè)值組群，通過(guò)聚類(lèi)分析還可以較好地呈現(xiàn)出數(shù)據(jù)分布的疏密情況和全局分布模式[7]。若將聚類(lèi)分析與啟發(fā)式掃描技術(shù)或主動(dòng)防御技術(shù)相結(jié)合，那么我們可以將程序行為或其行為代碼聚類(lèi)為正常和異常兩類(lèi)，在異常類(lèi)中又可按其嚴(yán)重程度將其進(jìn)一步聚類(lèi)，由此我們可以更加精準(zhǔn)地區(qū)分出正常和異常的程序行為或其行為代碼，隨后我們可以將由聚類(lèi)分析得到的類(lèi)作為對(duì)未知程序進(jìn)行分類(lèi)的依據(jù)。（2）關(guān)聯(lián)分析關(guān)聯(lián)分析指在數(shù)據(jù)庫(kù)中發(fā)現(xiàn)有強(qiáng)關(guān)聯(lián)特征的模式，常用XàY的蘊(yùn)含表達(dá)式表示，其中X與Y均為項(xiàng)集。如果兩個(gè)或多個(gè)變量之間存在某種規(guī)律性，那么這些數(shù)據(jù)之間就存在著一定的關(guān)聯(lián)性，其中的關(guān)聯(lián)主要有簡(jiǎn)單關(guān)聯(lián)、時(shí)序關(guān)聯(lián)和因果關(guān)聯(lián)[8]。我們常用支持度（s）和置信度（c）來(lái)度量關(guān)聯(lián)規(guī)則的強(qiáng)度，支持度表示既包含X又包含Y的事務(wù)在所有事務(wù)中所占的比例，其中s(XàY)=P(X&Y)/N；置信度表示同時(shí)包含X和Y的事務(wù)在包含X的事務(wù)中所占的比例，其中c(XàY)=P(X&Y)/P(X)[3]。進(jìn)行關(guān)聯(lián)分析的目的是找出數(shù)據(jù)庫(kù)當(dāng)中存在的關(guān)聯(lián)網(wǎng)，挖掘數(shù)據(jù)之間的關(guān)聯(lián)性以找出數(shù)據(jù)之間的關(guān)聯(lián)規(guī)則[8]。若將關(guān)聯(lián)分析與啟發(fā)式掃描技術(shù)相結(jié)合，則需要在數(shù)據(jù)中導(dǎo)入良性樣本和惡意樣本。其中每個(gè)項(xiàng)為一個(gè)程序行為代碼，若某一樣本的匯編指令序列中出現(xiàn)該代碼則記為1，否則記為0。對(duì)這些數(shù)據(jù)進(jìn)行關(guān)聯(lián)分析我們可以發(fā)現(xiàn)某些行為代碼之間具有關(guān)聯(lián)，這些關(guān)聯(lián)擁有較高的支持度和置信度。若我們發(fā)現(xiàn)XàY，且項(xiàng)集X與項(xiàng)集Y的權(quán)重的和足以觸發(fā)警報(bào)。那么當(dāng)項(xiàng)集X發(fā)生時(shí)，項(xiàng)集Y就很有可能發(fā)生，該程序也很有可能是病毒。若將關(guān)聯(lián)分析與主動(dòng)防御技術(shù)相結(jié)合，則需要在數(shù)據(jù)中導(dǎo)入良性樣本和惡意樣本。當(dāng)樣本程序運(yùn)行時(shí)，系統(tǒng)日志會(huì)記錄程序運(yùn)行信息，并且這些數(shù)據(jù)會(huì)被轉(zhuǎn)化成事件存入數(shù)據(jù)庫(kù)。數(shù)據(jù)中每個(gè)項(xiàng)為一個(gè)程序行為，若某一樣本的行為集中出現(xiàn)該行為則記為1，否則記為0。若不嚴(yán)重的敏感行為集與某些嚴(yán)重違反安全規(guī)則的行為之間存在關(guān)聯(lián)，那么當(dāng)不嚴(yán)重的敏感行為集發(fā)生時(shí)，我們應(yīng)當(dāng)對(duì)其足夠重視，并向用戶(hù)發(fā)出嚴(yán)重安全威脅可能發(fā)生的警報(bào)或采取措施清除危險(xiǎn)程序。2.2.3異類(lèi)分析。異類(lèi)分析指分析數(shù)據(jù)庫(kù)中與其他數(shù)據(jù)偏離較為明顯的數(shù)據(jù)，即偏離常規(guī)模式的數(shù)據(jù)。因?yàn)榕c常規(guī)數(shù)據(jù)相比，這些異常數(shù)據(jù)很可能是由完全不同的機(jī)制產(chǎn)生的[7]。當(dāng)然，由于測(cè)量誤差產(chǎn)生的異常數(shù)據(jù)我們應(yīng)當(dāng)及時(shí)予以清除。因此，異類(lèi)分析常作為數(shù)據(jù)預(yù)處理的一部分。異類(lèi)分析算法需要識(shí)別出真正的異常點(diǎn)，即具有高的檢出率和低的誤報(bào)率[3]。異常數(shù)據(jù)相對(duì)于正常數(shù)據(jù)來(lái)講有其獨(dú)有的特殊性，我們往往可以從中發(fā)現(xiàn)有悖常理的結(jié)果和更有價(jià)值的信息。異常檢測(cè)可分為監(jiān)督的，非監(jiān)督的和半監(jiān)督的。監(jiān)督的異常檢測(cè)要求在訓(xùn)練集中存在正常樣本和異常樣本，并做好標(biāo)記，即標(biāo)好類(lèi)標(biāo)號(hào)；非監(jiān)督的異常檢測(cè)則不要求標(biāo)好類(lèi)標(biāo)號(hào)。而在半監(jiān)督的異常檢測(cè)中，我們需要使用有標(biāo)記的正常樣本信息，發(fā)現(xiàn)檢驗(yàn)集中異常樣本的類(lèi)標(biāo)號(hào)或得分[3]。我們也可以先構(gòu)造出一個(gè)正常程序的輪廓，當(dāng)某一個(gè)程序到來(lái)或運(yùn)行時(shí)便將其與之比較，如果該程序的特性與正常程序的輪廓無(wú)法很好地?cái)M合，那么該程序就很有可能是網(wǎng)絡(luò)病毒。

2.3數(shù)據(jù)挖掘技術(shù)在計(jì)算機(jī)網(wǎng)絡(luò)病毒防御中的應(yīng)用與挑戰(zhàn)

隨著社會(huì)的信息化與網(wǎng)絡(luò)化不斷向前推進(jìn)，計(jì)算機(jī)網(wǎng)絡(luò)病毒的威脅也日益嚴(yán)重。而數(shù)據(jù)挖掘技術(shù)的發(fā)展使人們希望借助數(shù)據(jù)挖掘技術(shù)來(lái)提升對(duì)計(jì)算機(jī)網(wǎng)絡(luò)病毒的防御能力。目前，支付寶、京東金融等互聯(lián)網(wǎng)金融平臺(tái)已使用數(shù)據(jù)挖掘技術(shù)來(lái)防御網(wǎng)絡(luò)病毒，保障用戶(hù)的數(shù)據(jù)安全。與傳統(tǒng)基于特征碼的病毒檢測(cè)技術(shù)不同，基于數(shù)據(jù)挖掘的計(jì)算機(jī)網(wǎng)絡(luò)病毒防御技術(shù)不需要規(guī)模龐大的特征碼庫(kù)，并且可以很好地識(shí)別未知病毒，提高對(duì)病毒識(shí)別的準(zhǔn)確率。但是，該技術(shù)在進(jìn)行數(shù)據(jù)預(yù)處理和數(shù)據(jù)挖掘的過(guò)程中需要消耗較多的資源和時(shí)間。我們應(yīng)該發(fā)揮該技術(shù)的長(zhǎng)處，并與傳統(tǒng)的反病毒技術(shù)相互配合，才能更好地防御計(jì)算機(jī)網(wǎng)絡(luò)病毒。

3基于數(shù)據(jù)挖掘技術(shù)的計(jì)算機(jī)網(wǎng)絡(luò)病毒防御系統(tǒng)流程

數(shù)據(jù)挖掘技術(shù)的重點(diǎn)在尋找未知的模式與規(guī)律，其主要由以下五大模塊組成：（1）數(shù)據(jù)源模塊；（2）預(yù)處理模塊；（3）規(guī)則庫(kù)模塊；（4）數(shù)據(jù)挖掘模塊；（5）決策模塊。在基于數(shù)據(jù)挖掘技術(shù)的計(jì)算機(jī)網(wǎng)絡(luò)病毒防御系統(tǒng)中，首先收集含有入侵指令的數(shù)據(jù)，通過(guò)這些數(shù)據(jù)初始化來(lái)往的網(wǎng)絡(luò)數(shù)據(jù)，然后對(duì)這些數(shù)據(jù)運(yùn)用預(yù)處理模塊進(jìn)行預(yù)處理。預(yù)處理完成后開(kāi)始進(jìn)行數(shù)據(jù)挖掘，使用關(guān)聯(lián)分析、分類(lèi)分析、聚類(lèi)分析、異類(lèi)分析等數(shù)據(jù)挖掘技術(shù)建立規(guī)則集即網(wǎng)絡(luò)病毒的特征集合，再將待檢測(cè)數(shù)據(jù)與規(guī)則集匹配檢測(cè)，如果兩者之間的匹配度較高，則說(shuō)明該數(shù)據(jù)包中可能存在網(wǎng)絡(luò)病毒；如果兩者之間的匹配度較低，則說(shuō)明有可能是未知病毒，這時(shí)會(huì)觸發(fā)預(yù)警機(jī)制，并提取該病毒特征屬性以及連接數(shù)據(jù)的方式將其納入規(guī)則集[8]。

3.1數(shù)據(jù)挖掘技術(shù)組成模塊

數(shù)據(jù)挖掘技術(shù)主要由以下五大模塊組成：3.1.1數(shù)據(jù)源模塊。數(shù)據(jù)源模塊會(huì)截取計(jì)算機(jī)網(wǎng)絡(luò)中的原始數(shù)據(jù)包，這些數(shù)據(jù)包中包含著一些重要的數(shù)據(jù)結(jié)構(gòu)和功能信息，之后將這些原始數(shù)據(jù)交由預(yù)處理模塊進(jìn)行預(yù)處理[7]。數(shù)據(jù)源模塊為數(shù)據(jù)挖掘提供充足的數(shù)據(jù)，是數(shù)據(jù)挖掘的基礎(chǔ)。3.1.2預(yù)處理模塊。預(yù)處理模塊是整個(gè)數(shù)據(jù)挖掘流程中的重點(diǎn)模塊。預(yù)處理數(shù)據(jù)主要由鏈接數(shù)據(jù)、數(shù)據(jù)凈化、變量整合以及格式轉(zhuǎn)換等構(gòu)成[9]。由于在大量原始數(shù)據(jù)中存在許多不完整、不一致的數(shù)據(jù)，這些數(shù)據(jù)將會(huì)嚴(yán)重影響數(shù)據(jù)挖掘建模的執(zhí)行效率和執(zhí)行結(jié)構(gòu)。通過(guò)對(duì)數(shù)據(jù)源模塊截獲到的數(shù)據(jù)進(jìn)行預(yù)處理，可以選擇出與當(dāng)前數(shù)據(jù)挖掘任務(wù)相關(guān)的數(shù)據(jù)，使數(shù)據(jù)能夠被數(shù)據(jù)挖掘模塊所處理，提高數(shù)據(jù)的辨識(shí)度和準(zhǔn)確性，還能縮短數(shù)據(jù)挖掘時(shí)間，提高數(shù)據(jù)挖掘效果，為后期進(jìn)行數(shù)據(jù)挖掘創(chuàng)造了條件[7]。3.1.3規(guī)則庫(kù)模塊。規(guī)則庫(kù)模塊是通過(guò)對(duì)已經(jīng)能夠分析檢測(cè)到的網(wǎng)絡(luò)病毒進(jìn)行數(shù)據(jù)挖掘而形成的規(guī)則集，該規(guī)則集反映了網(wǎng)絡(luò)病毒的行為特征。利用該規(guī)則集，可以指導(dǎo)數(shù)據(jù)挖掘模塊的工作，還可以探究并抵御計(jì)算機(jī)網(wǎng)絡(luò)中的其他病毒[9]。3.1.4數(shù)據(jù)挖掘模塊。數(shù)據(jù)挖掘模塊是整個(gè)數(shù)據(jù)挖掘流程中的關(guān)鍵一環(huán)，其主要由事件庫(kù)和數(shù)據(jù)挖掘算法兩大部分組成，通過(guò)數(shù)據(jù)挖掘算法對(duì)由數(shù)據(jù)源模塊和預(yù)處理模塊形成的事件庫(kù)進(jìn)行分析，在事件庫(kù)中記錄的主要是用于進(jìn)行數(shù)據(jù)挖掘的相關(guān)數(shù)據(jù)。經(jīng)過(guò)數(shù)據(jù)挖掘模塊的處理后，最終形成規(guī)則清晰的數(shù)據(jù)挖掘結(jié)果，并將其傳遞給決策模塊[8]。3.1.5決策模塊決策模塊的作用是將數(shù)據(jù)挖掘結(jié)果與規(guī)則庫(kù)中的規(guī)則進(jìn)行匹配。如果數(shù)據(jù)挖掘結(jié)果與規(guī)則庫(kù)中的規(guī)則匹配度很高，那么說(shuō)明決策模塊信息存在病毒特征，數(shù)據(jù)包中存在計(jì)算機(jī)網(wǎng)絡(luò)病毒的風(fēng)險(xiǎn)很大，應(yīng)當(dāng)及時(shí)對(duì)病毒予以清除。如果數(shù)據(jù)挖掘結(jié)果與規(guī)則庫(kù)中的規(guī)則不匹配，那么說(shuō)明數(shù)據(jù)包中可能存在未知的新型病毒，此時(shí)預(yù)警系統(tǒng)將會(huì)發(fā)出新型病毒警告，規(guī)則庫(kù)模塊將此新型病毒引入規(guī)則庫(kù)，形成新的規(guī)則類(lèi)別[10]。

3.2基于數(shù)據(jù)挖掘技術(shù)的計(jì)算機(jī)網(wǎng)絡(luò)病毒防御系統(tǒng)流程圖

基于數(shù)據(jù)挖掘技術(shù)的計(jì)算機(jī)網(wǎng)絡(luò)病毒防御系統(tǒng)流程圖如圖1所示。

4結(jié)語(yǔ)

當(dāng)前，利用數(shù)據(jù)挖掘技術(shù)進(jìn)行網(wǎng)絡(luò)病毒防御是社會(huì)的迫切需要，也是網(wǎng)絡(luò)病毒防御技術(shù)的發(fā)展趨勢(shì)，數(shù)據(jù)挖掘技術(shù)在網(wǎng)絡(luò)病毒防御系統(tǒng)中的重要性也越來(lái)越明顯。我們可以將傳統(tǒng)計(jì)算機(jī)網(wǎng)絡(luò)病毒防御技術(shù)與數(shù)據(jù)挖掘技術(shù)相結(jié)合，利用各自的優(yōu)點(diǎn)提高網(wǎng)絡(luò)病毒查殺的準(zhǔn)確度和效率。如利用有監(jiān)督的數(shù)據(jù)挖掘技術(shù)可以快速訓(xùn)練出一個(gè)模型，但需要許多有標(biāo)記的數(shù)據(jù)；而無(wú)監(jiān)督的數(shù)據(jù)挖掘技術(shù)使用大量未標(biāo)記的數(shù)據(jù)來(lái)訓(xùn)練模型。在獲取大量未標(biāo)記的數(shù)據(jù)越來(lái)越容易而進(jìn)行人工標(biāo)記的成本越來(lái)越高的今天，使用無(wú)監(jiān)督的數(shù)據(jù)挖掘技術(shù)來(lái)防御網(wǎng)絡(luò)病毒是該項(xiàng)技術(shù)的發(fā)展趨勢(shì)。今后，數(shù)據(jù)挖掘技術(shù)將發(fā)揮其獨(dú)特優(yōu)勢(shì)，在計(jì)算機(jī)網(wǎng)絡(luò)病毒的識(shí)別和判斷方面發(fā)揮關(guān)鍵作用。

作者:潘恒緒 卞煒?biāo)?鄧杰 肖文 單位:江蘇大學(xué)