計算機病毒防御技術應用3篇

前言：想要寫出一篇引人入勝的文章？我們特意為您整理了計算機病毒防御技術應用3篇范文，希望能給你帶來靈感和參考，敬請閱讀。

第一篇：計算機網絡病毒防御技術分析

由于國家經濟的飛躍發展，計算機互聯網信息技術在各個行業中得到全面普及與應用。不過，計算機讓人們獲得方便的過程中，也不可避免地遭遇到一些挑戰與威脅。比如，計算機病毒就是一個不可忽視的重要威脅要素。由于現今計算機病毒的類型、數量等出現明顯地變化，這必然會對計算機互聯網系統的安全及穩定造成更大的破壞。所以，需要深入探究計算機病毒的性能，著重分析提高計算機互聯網病毒防御能力的具體策略與路徑。計算機技術在現代社會的各行各業發展中都已經成為了最普遍的應用工具，但是網絡環境存在著許多的威脅，還需要采取措施進行網絡防御?；诖?，文章針對計算機網絡防御現狀進行分析，并通過先進的計算機防御技術和計算機網絡防御具體措施來防御網絡危機，在計算機安全方面提供了一些建議和參考。目前，由于計算機互聯網技術的飛躍發展及不斷升級，其在各個領域都得到廣泛應用，且地位在不斷提升。在當前的網絡社會中，人們的工作、學習、生活等在計算機互聯網技術的推動下變得更加高效、便捷，促使人和人之間的距離不斷縮小，工作也愈發地輕松。不過，我們必須要重視一個現實問題，那就是計算機技術在為人們提供一些方便的過程中，也遭遇到一些外在的威脅及挑戰。例如，計算機病毒就是一個影響范圍最為廣泛、破壞性能最強大的一種威脅模式。當前，由于計算機病毒的影響，導致很多用戶的私密信息遭到泄漏、破壞等，乃至大規模的網絡癱瘓問題也經常出現。這必然會對人們的正常生活、學習、工作等帶來不利影響。為了更有效地防范計算機病毒帶來的一系列風險，確保網絡系統的安全運行，一些技術人員研究了大量的應對策略與技術。不過，因為計算機病毒的類型復雜、規模大、擴散快等，再加上變異周期短，所以對安全防御帶來一定的困難。若要增強計算機網絡系統的安全性與穩定性，筆者在全面探討計算機病毒的基本特性與防御模式的過程中，也對如何增強互聯網背景下的計算機病毒防御能力總結出一系列策略與方法，希望能夠為業內人士提供參考與幫助。

一、計算機病毒的概述、類型及特征

（一）計算機病毒的概述

通常而言，計算機病毒是指對軟硬件的正常運行帶來影響及破壞的，并且存在不斷復制功能的一些指令或程序代碼等。

（二）計算機病毒的特點

潛伏性。這是一個非常典型的特點。在還沒有大面積爆發前，計算機病毒通常會隱藏在計算機內部系統的一些重要區域。因為潛伏過程中不會對計算機系統帶來很大的影響，所以能夠躲過系統軟件的查殺、掃描等，并且不會引起系統操作者的關注與警惕。不過，隨著潛伏期的結束，計算機病毒就會迅速地爆發，迅速復制、擴散，且對周圍的系統造成感染與破壞。這種爆發式的擴散通常會導致被感染的計算機系統迅速發生異常問題，例如：軟硬件癱瘓等。通常來說，病毒的隱匿性越強、潛伏期就會愈長，那么防御難度就會大大增加，一旦爆發必然會對網絡安全帶來巨大破壞。破壞性。計算機病毒的危害通常是能夠帶來很大的破壞性。當病毒爆發之后，一般會經過快速復制、執行惡意代碼等，侵占大量的系統資源或空間，對正常程序的運行帶來阻擾與破壞。更有甚者會惡意刪掉或損壞一些重要文件與數據，導致數據受損、設備中止等。并且，計算機病毒能夠盜取一些重要密碼，并將一些重要文件泄露出去，對用戶的財產安全、隱私安全等造成嚴重破壞，這必然會對用戶的正常生活、工作、學習等帶來巨大威脅及影響。傳染性。計算機病毒就好比生物病毒一般，存在較強的傳染性。如果一臺電腦被病毒感染，或者內部出現惡意程序，那么它能夠利用不同的路徑或手段去對其它電腦造成感染。比如，病毒能夠利用一些移動存儲設備、互聯網等從宿主電腦轉移到其它電腦中，且在被感染的電腦系統中進行迅速擴散，隨時做好感染其它電腦系統的準備。最后導致與其相關的電腦均受到感染，進而引起系統癱瘓。隱蔽性。計算機病毒為了能夠屏蔽殺毒軟件的查找、防火墻系統的掃描等，一般會對自己進行偽裝，將自己變成普通的代碼或程序，然后移植到普通的系統中。因為其本身的容量非常小，再由于與正常程序相兼容，所以很難及時發現。盡管當前計算機防病毒技術也在不斷升級，人們目前能夠利用病毒特征、惡意代碼特點等進行查殺網絡系統中隱匿的病毒。不過，計算機病毒也是在不斷變異，它們能夠對自己固有的特征進行偽裝、加密等，導致病毒的特征無法更清晰地呈現出來，從而導致識別出現問題，這必然會導致一些病毒被遺漏，從而大大提高不被殺毒軟件掃描的幾率。

二、計算機病毒的技術分析

經過深入探究得出，現今計算機病毒侵入電腦的路徑有兩個。

（一）通過系統漏洞或后門程序侵入

因為現今計算機系統尤其是操作系統一般選擇的是WINDOWS系統，通過人們長期地應用實踐能夠發現，該系統存在的短板等很容易被發現。雖然微軟也不斷地改進操作系統，不過隱匿的漏洞、后臺程序等依舊會讓計算機病毒找到可乘之機。

（二）通過無線電途徑侵入

對于這一路徑而言，通常是借助于無線電發射機把加載的病毒信號傳輸至目標接收系統中，由此能夠達到病毒植入的目的。因為突破網絡的層層防護，其目標清晰，并且不會被目標計算機系統所察覺，所以能夠體現出迅速、高效等特征。不過，對于這種侵入途徑來說，其技術要求比較高，想要實現還存在一定的難度。

三、網絡環境下的計算機病毒及其防范策略

（一）創建計算機病毒管理報警中心

若要確保系統的統一防護，需要在計算機網絡節點創建一個病毒預警平臺。該平臺需要安裝防病毒云系統，能夠動態性地對輸入、輸出網絡節點的信號等實施監控、分析。如發現危險程序，即可阻截或查殺，然后通知其它站點的管理人員。并且，分析病毒的關聯特征，第一時間呈報給云端病毒特征庫。若要確保報警平臺能夠高效地阻截病毒，務必要不定期地對病毒特征庫實施更新、優化，讓病毒找不到任何漏洞。

（二）提高計算機網絡管理力度

計算機病毒的破壞性非常大，而且擴散迅速，這通常和計算機網絡管理不當有著直接的相關性。因為管理不完善，制度不嚴謹、人們安全意識薄弱等，必然會引起病毒的不斷出現，屢禁不止等。并且，一直以來，人們對網絡安全建設往往實施的是治標不治本的策略，這也是引起病毒不斷出現的一個根本因素。為了能夠徹底解決病毒無限制蔓延的問題，人們一定要構建完善、高效的網絡安全管理機制。并不斷提高技術人員的安全防御能力，增強安全意識。并且，還需要不斷完善互聯網基礎設施機制，并嚴格遵循高標準、高要求等原則，確保相關軟硬件系統的建設一定能夠覆蓋所有潛在的安全漏洞，由此能夠達到全方位防御的目的。

（三）增強個人的安全防護素質及意識隨著網絡時代的發展，所有計算機用戶都無法完全脫離網絡而獨立存在。大家都要不斷地交換數據與資源，若要保證安全上網，遠離病毒的侵襲，大家一定要給予高度重視與警惕。比如，禁止隨意登錄未知網站，不隨意打開他人傳送的未知文檔。并且，避免在網絡平臺上讓自己的設備“裸奔”，要安裝標準、專業的殺毒軟件，同時要定期更新與升級等。唯有重視安全防御，方可實現有的放矢地防御與管理。

四、結語

現今，由于互聯網技術的不斷發展，計算機應用范圍在持續擴大。所以，該行業一定要增強互聯網病毒防御性能，創設標準、規范、完善的病毒防御機制。利用安裝硬盤還原卡、殺毒軟件等，能夠有效地保護計算機的穩定與安全，促使計算機系統的高效、穩定運行。

作者:馬新慶 單位:濟寧職業技術學院

第二篇：計算機病毒模型分析

摘要：阻斷傳播路徑是治理網絡環境中計算機病毒肆虐的關鍵所在。針對計算機病毒傳播的路徑分析，建立了預先實施了免疫措施的計算機病毒傳播模型，分析了模型的動力學行為，模型能夠演化出現2種平衡態，描述了預先設置反病毒措施對計算機病毒傳播的遏制作用。實驗分析結果表明，提高反病毒措施的實施率α的值則計算機病毒的傳播力度變小，直至得到遏制，提高預先免疫率p的值可有效控制其在網絡中的傳播，計算機病毒會最終消失，這表明從連入網絡之前就進行反病毒措施非常重要。

關鍵詞：計算機病毒；動力學行為；SIR模型；平衡點

0引言

一直以來，計算機病毒都是人們在自動化辦公或網絡生活中的?？?，這種人為惡意編制的程序對計算機資源有極強的破壞性，其自我復制的特性加速了其在網絡環境中的傳播。它們或占用內存空間，讓計算機運行速度變慢，或堵塞網絡而使網速變慢。一些木馬病毒可竊取機密文件、用戶的隱私，有些計算機病毒可導致數據丟失、系統崩潰，甚至癱瘓整個網絡等。計算機網絡實現了自由通信，當其迅猛發展起來時，計算機病毒也能夠通過這一便捷的途徑從一臺計算機傳到和他互聯的眾多計算機擴散開來。如果沒有任何防護措施，計算機病毒就會感染網絡中的計算機，其傳播速度快，而且感染的范圍大。面對計算機病毒的快速傳播，一直以來人們都在探索防御和消殺計算機病毒的策略，想辦法切斷計算機病毒在網絡上的傳播路徑。那么就迫切需要探究計算機病毒傳播的規律和路徑，從而為控制其在網絡上的傳播提供決策支持，這已成為網絡安全領域中的研究熱點。Kephart等人參照生物病毒的傳播特性，首次借用傳染病模型分析計算機病毒的傳播行為。馮麗萍等人建立的基于SIR計算機病毒傳播模型指出使用防病毒軟件能夠恢復部分受感染的計算機，每單位時間從受感染的計算機中恢復的計算機數量是衡量防病毒軟件的能力。本論述考慮了一些網絡用戶主動采取安裝殺毒軟件、修復系統漏洞等防病毒措施，使計算機從易感染狀態直接變為免疫狀態，在局域網絡環境下的仿真結果表明加強防病毒措施是控制病毒傳播的有效策略。

1模型的建立

在描述計算機病毒傳播的SIR（SusceptibleInfec⁃tiousRemoved）模型中，S(t)表示t時刻還沒有感染而又容易感染病毒的計算機臺數；用I(t)表示t時刻已經感染病毒且能夠傳染計算機病毒的計算機臺數；而用R(t)表示t時刻對計算機病毒有免疫力的計算機臺數。因此把所研究網絡中的計算機分為三類：易感染類、已感染類、免疫類。假設初始狀態是網絡中的所有計算機屬于易感染類，當計算機病毒在網絡中傳播時，計算機的類別也會發生相應變化：（1）對屬于易感染類的計算機，可通過安裝有效殺毒軟件、防火墻以及打補丁、堵漏洞等反病毒措施能獲得免疫，則該計算機會以一定概率從易感染類轉變為免疫類；如果發生了與已感染類的計算機通信，會以一定的概率感染計算機病毒，轉變為已感染類。（2）每個時間段，可以通過查殺病毒、打補丁等免疫措施使易感染類的計算機以一定概率轉變為免疫類。（3）每個時間段，計算機都可能由于各種人為或自然因素與網絡斷開，且3類計算機斷網的概率一樣。（4）每個時間段，采用查殺病毒等反病毒措施使已感染類的計算機的病毒被消滅，從而以一定的概率轉變為免疫類。圖1是所建立的病毒傳播模型圖，其中采用矩形表示計算機類別，帶箭頭的直線表示計算機類別之間轉換的可能路徑，直線上的數學符號表示類別轉換概率參數，其中：α表示由于實施反病毒措施而使易感染類的計算機轉換為免疫類的轉換率，β表示計算機病毒的傳染率，γ表示由于采取了反病毒措施而使計算機從已感染類轉變為免疫類的轉換率，n表示新計算機的接入數，μ表示計算機從網絡中斷開連接的斷開率，p表示預先采取了反病毒措施后新接入網絡計算機的免疫率。

2模型分析

2.1平衡點分析

由于模型中前兩個微分方程與R沒有關系，為了處理的簡便，（1）上式可寫為其中(S,I)∈D={(S,I)|0≤S≤N,0≤I≤N,S+I≤N}獲得平衡點，令{（1-p)n-βSI-μS-αS=0βSI-μI-γI=0（3）則系統（3）可存在兩組解：p0=((1-p)nu+α,0)，p1=(μ+γβ,(1-p)nβ-(μ+γ)(μ+α)β(μ+γ))

2.2平衡點的穩定性分析

全局漸近穩定，而當R1>1時，方程組有兩個特征值，一個特征值大于0，而另一個特征值小于0，所以p1在D內局部漸近穩定。

2.3病毒控制

對于P0和P1中的S0和S1，如果S0<S1，僅有一個免疫平衡點P0，并且全局漸進穩定;如果S0>S1，P0和P1兩個平很點都存在，并且平衡點P1局部漸近穩定。證明：由R1的公式很容易推出當S0<S1，有R1＜1，當S0>S1，有R1＞1。因此，為達到遏制病毒在網絡中傳播的目標，應盡力使S0<S1。

3數值模擬與分析

為了驗證提出的計算機病毒傳播模型的性能，評估模型的正確性和模型本身的有效性，在Matlab平臺上進行了仿真實驗。（1）設定第一組參數的取值：即p=0.9;β=0.005;n=1;α=0.005;μ=0.001;γ=0.001；S(0)=1,I(0)=0,R(0)=0。由于開始階段計算機沒有感染病毒，此時受病毒感染的計算機數量恒為0，易感染類的計算機臺數先是保持不變，在一段時間后又快速攀升，最終易感染類的計算機臺數達到18，進入穩定狀態如圖2所示。（2）設定第二組參數的取值：p=0.9;β=0.05;n=10;α=0.1;μ=0.01;γ=0.01。S(0)=30,I(0)=40,R(0)=30。此時的R1=41.6，此時的實驗的模擬效果圖如圖3所示。（3）第三組參數設定為：p=0.9;β=0.05;n=10;α=0.5;μ=0.01;γ=0.01。S(0)=30,I(0)=40,R(0)=30。此時的R1≈4.9。此時的模擬效果圖如圖4所示。從圖3和圖4中可以看到參數α的調整影響了計算機病毒在網絡中的傳播。當α=0.1時，最初階段感染計算機病毒的計算機數量會在網絡中迅速升高，最大峰值為68臺。峰值過后，由于用戶補漏洞、使用殺毒軟件滅毒等反病毒措施的實施，病毒傳播得到遏制，計算機病毒的傳播速度放緩，被感染的計算機臺數趨于穩定，最終維持到48臺。而當參數α=0.5時，網絡中感染病毒的計算機最大臺數達到到64，然后傳播速度先快后慢，被感染的計算機臺數減少到40后進入穩定狀態。病毒雖然得到了控制，但都進入一個平衡態，沒有滅亡。（4）第四組參數設定為：p=0.99;β=0.05;n=10;α=0.5;μ=0.01;γ=0.01S(0)=30,I(0)=40,R(0)=30。此時的R1=0.125。此時的實驗模擬效果圖如圖5所示。圖5中新接入計算機的免疫率提高到0.99，對應只要連入網絡，就要實施嚴格的防病毒措施，在這種情況下，受感染計算機數顯示快速從40增長到65就進入下降趨勢，一段時間后計算機病毒最終全部消失，就沒有計算機再感染病毒。這說明預先免疫措施是非常重要的。提高α的值則會有效遏制計算機病毒的傳播，這是由于采取防御措防止病毒入侵計算機。這些防御措施包括：一是安裝防火墻并不斷完善更新，防火墻通過檢查流過它的網絡信息進而過濾掉可能存在的病毒入侵，這樣可以避免計算機被病毒所感染；二是要安裝入侵檢測系統，用來隨時監視網絡傳輸，以及時探測可疑信息傳遞，增強對新病毒入侵的檢測能力；三是要安裝殺毒軟件，定期查殺計算機上的病毒，及時升級防病毒軟件，要注意保持良好的上網習慣，從Internet上下載所需要的資料時，應及時讓殺毒軟件對它進行病毒掃描，以防止惡意攻擊，四是要修補系統漏洞，升級系統補丁以避免計算機被計算機病毒所感染。而降低n的值和增強μ就是降低病毒的傳播力，具體可以采用措施：不需要上網時及時斷開網絡連接，這樣就斷開計算機病毒傳播的路徑，病毒沒有了傳染的途徑，也就減小了被感染的風險。

4結束語

在生物病毒模型的基礎上，構建了一個預先實施了反病毒措施的計算機病毒傳播模型，模型客觀的反映了網絡環境中計算機病毒傳播情況。通過實驗仿真分析了反病毒措施對病毒傳播的影響，實驗結果表明提前盡早實施反病毒措施可使計算機病毒的傳播力明顯下降，提醒用戶防范計算機病毒的入侵，遏制計算機病毒在網絡中的傳播，維護網絡安全。

作者:楊永鋒 許生虎 單位:隴東學院信息工程學院

第三篇：數據挖掘在計算機病毒防御中應用

摘要：近幾十年，計算機技術和網絡技術的迅速發展和普及使各行各業發生了翻天覆地的變化，許多行業已基本實現了數字化、信息化。這給人們帶來巨大便利的同時，也隱藏著各種各樣的安全隱患。其中，計算機網絡病毒的出現和迅速傳播嚴重威脅著計算機系統和人們的隱私安全，而目前的網絡病毒防御體系很難及時對未知病毒做出有效防御。因此，研究對網絡病毒更加有效的防御技術已成為當前社會的迫切需要和網絡空間安全研究領域的一項重要任務。基于數據挖掘的計算機網絡病毒防御技術可以通過對數據庫中大量病毒數據運用統計學、人工智能、機器學習等方法挖掘出判斷程序是不是網絡病毒的相關規則，并將接收到的數據包與挖掘到的規則進行匹配，從而預測出數據包中是否含有網絡病毒。該文介紹當前主流的計算機網絡病毒防御技術，并將數據挖掘技術與計算機網絡病毒防御技術相結合，指出基于數據挖掘的計算機網絡病毒防御技術的應用與所面臨的挑戰。最后設計基于數據挖掘技術的計算機網絡病毒防御系統流程。

關鍵詞：數據挖掘；計算機；網絡病毒；防御

當前，計算機網絡病毒的傳播給人們使用計算機造成了很大的困擾，網絡病毒在計算機中輕則導致隱私泄露，重則導致系統癱瘓。同時，《中華人民共和國網絡安全法》的通過與實施使我們清楚地認識到網絡安全與國家安全息息相關，沒有網絡安全就沒有國家安全。因此，研究更有效的計算機網絡病毒防御技術具有重要意義。而將數據挖掘技術應用于計算機網絡病毒防御中，可以有效控制當前迅速傳播的網絡病毒，從而更好地保護計算機網絡系統的安全。

1計算機網絡病毒

1.1計算機網絡病毒的定義與特征

從廣義上來講，計算機網絡病毒是指通過網絡傳播并破壞計算機功能或者毀壞計算機內部數據的代碼程序。從狹義上來講，計算機網絡病毒是指傳播途徑和破壞對象均為網絡的代碼程序[1]。計算機網絡病毒主要包括木馬病毒、蠕蟲病毒、宏病毒和腳本病毒等。當前，為對抗特征碼檢測技術，計算機網絡病毒多采用加密、多態、變形等技術手段，使得反病毒軟件即使從單個樣本中提取出特征碼也無法檢測出變形后的病毒，展現出變化速度較快的特征；由于網絡技術的迅猛發展，計算機網絡病毒可以通過多種方式如系統漏洞、電子郵件、文件共享、不良網頁等方式進行傳播，展現出傳播速度較快且傳播形式多樣的特征；通過竊取或破壞用戶存儲在計算機內的隱私信息或重要文件，政府、企業等組織的機密信息來獲取經濟利益，計算機網絡病毒展現出越來越強的針對性與破壞性的特征。

1.2計算機網絡病毒的主要防治技術

1.2.1靜態病毒檢測技術。（1）特征碼檢測技術特征碼是反病毒軟件從病毒樣本中提取出的一串二進制數值，可以根據這一數值來判斷一個文件是不是病毒文件或是否已感染病毒。常見的可以作為特征碼的信息有病毒感染計算機后在屏幕上顯示的信息、病毒的感染標記或病毒文件中任何一段連續的、不含空格的且長度不大于64字節的字符串[2]。隨后，病毒檢測引擎可以將待檢測文件與病毒特征碼進行二進制匹配，如果匹配成功，則該文件很有可能是病毒或已感染病毒。（2）校驗和檢測技術首先計算出正常文件或系統扇區的校驗和并將其寫入數據庫。其中常見的計算對象有系統數據、文件頭部、文件屬性和文件內容，常用的校驗和算法有MD5、CRC等[2]。然后，當使用文件或啟動系統時計算文件或系統扇區的校驗和并將其與數據庫中保存的校驗和進行對比。若比較結果不一致，則文件或系統扇區有可能已感染病毒。（3）啟發式掃描技術啟發式掃描技術運用反匯編引擎得到病毒程序的匯編指令序列，并將其與病毒程序行為代碼數據庫進行對比，找出程序中的可疑代碼。然后根據統計規律，判斷該文件是不是病毒文件或是否已感染病毒并給出合理解釋。當面對變形或多態病毒時，可以將該技術與虛擬機檢測技術結合起來，先使用虛擬機檢測技術使病毒現出“原形”，然后使用啟發式掃描技術對該文件進行檢測。1.2.2動態病毒檢測技術。（1）虛擬機檢測技術為對抗網絡上日益猖獗的加密、多態和變形病毒，虛擬機檢測技術應運而生。虛擬機首先從病毒程序或染毒文件中讀取病毒的入口點代碼，然后模擬執行病毒內部的解密程序段，暴露出病毒的“原形”，隨后使用特征碼檢測技術或啟發式掃描技術來對該文件進行檢測。（2）主動防御技術主動防御技術是指通過實時監控應用程序的行為來判斷其是否有惡意傾向，當程序發生敏感行為時將向用戶發出警告，若其行為已嚴重到對系統安全構成巨大威脅時也可直接將程序清除。1.2.3云查殺技術。云查殺技術是指將客戶端上的可疑文件、行為數據和對可疑文件的處理過程等上傳到云端服務器，利用云端服務器強大的數據和運算資源以及各種分析手段來對其進行判別，并指導客戶端做出相應處理。這大大提高了判別的準確性，也使得安全廠商可以更快地掌握新型病毒的行為特點和傳播動向，并及時采取相應防御措施[2]。

2數據挖掘技術及其在計算機網絡病毒防御中的應用

2.1數據挖掘技術簡介數據挖掘是指從大量的數據中，運用統計學、人工智能、機器學習等方法，挖掘出未知的、且有價值的信息和知識的過程。數據挖掘技術主要有關聯分析、分類分析、聚類分析、異類分析、特異群組分析和演變分析等。

2.2構建網絡病毒防御系統的數據挖掘技術。2.2.1有監督的數據挖掘技術。分類分析是有監督的數據挖掘技術，指預先設定幾個類別，然后將個體依據其特征分別納入不同的類別。分類分析的輸入數據是記錄的集合，每條記錄用元組(x,y)來表示。其中x是屬性集合，y是這條記錄所屬的類別[3]。進行分類分析的目的在于利用統計方法或機器學習方法等構造分類模型，將數據庫中的數據映射到某個特定類，即實現從x到y的映射，然后利用該分類規則分類其他數據[4]。若將分類分析與啟發式掃描技術相結合，則需要在訓練集中導入良性樣本和惡意樣本。其中屬性集合x為各種程序行為代碼，若某一樣本的匯編指令序列中出現該代碼則記為1，否則記為0；類標號y為Yes或No，代表該樣本是不是病毒程序。由此訓練出分類模型，隨后我們可以用一個包含良性樣本和惡意樣本的檢驗集來判斷該模型是否有效。在靜態分析中，支持向量機算法表現較好；而在動態分析中，集成算法表現較好。下面介紹一個可以有效應用于網絡病毒防御中的分類方法：決策樹分類法。決策樹是一種由節點和有向邊組成的層次結構，它通過提出一系列關于檢驗記錄屬性的問題來進行分類[3]。在決策樹中一個內部結點代表一個屬性測試條件，一個樹枝代表一個檢測結果，葉子上的結點代表不同的類別。在決策樹中最常用的運算法則是ID3和C4.5，它們都屬于從下到上樹形結構，它們的運算法則表述為：x1+x2=x[5]。決策樹挖掘是依據從大到小，從廣到細的原則逐級劃分判斷條件，對不同屬性逐級進行判斷，當有一級不滿足判斷條件時即可做出相應的防御反應。在構建計算機網絡病毒防御系統中，決策樹挖掘的條件為：（1）該程序是否有破壞能力；（2）該程序是否有復制傳播能力；（3）該程序是否具有隱蔽性[6]。2.2.2無監督的數據挖掘技術。（1）聚類分析聚類分析指將數據劃分成不同的組，要求在一個組中的個體有相似的特征且差異較小，而組與組之間存在不同特征且差異較大。進行聚類分析的目的在于發現緊密相關的觀測值組群，通過聚類分析還可以較好地呈現出數據分布的疏密情況和全局分布模式[7]。若將聚類分析與啟發式掃描技術或主動防御技術相結合，那么我們可以將程序行為或其行為代碼聚類為正常和異常兩類，在異常類中又可按其嚴重程度將其進一步聚類，由此我們可以更加精準地區分出正常和異常的程序行為或其行為代碼，隨后我們可以將由聚類分析得到的類作為對未知程序進行分類的依據。（2）關聯分析關聯分析指在數據庫中發現有強關聯特征的模式，常用XàY的蘊含表達式表示，其中X與Y均為項集。如果兩個或多個變量之間存在某種規律性，那么這些數據之間就存在著一定的關聯性，其中的關聯主要有簡單關聯、時序關聯和因果關聯[8]。我們常用支持度（s）和置信度（c）來度量關聯規則的強度，支持度表示既包含X又包含Y的事務在所有事務中所占的比例，其中s(XàY)=P(X&Y)/N；置信度表示同時包含X和Y的事務在包含X的事務中所占的比例，其中c(XàY)=P(X&Y)/P(X)[3]。進行關聯分析的目的是找出數據庫當中存在的關聯網，挖掘數據之間的關聯性以找出數據之間的關聯規則[8]。若將關聯分析與啟發式掃描技術相結合，則需要在數據中導入良性樣本和惡意樣本。其中每個項為一個程序行為代碼，若某一樣本的匯編指令序列中出現該代碼則記為1，否則記為0。對這些數據進行關聯分析我們可以發現某些行為代碼之間具有關聯，這些關聯擁有較高的支持度和置信度。若我們發現XàY，且項集X與項集Y的權重的和足以觸發警報。那么當項集X發生時，項集Y就很有可能發生，該程序也很有可能是病毒。若將關聯分析與主動防御技術相結合，則需要在數據中導入良性樣本和惡意樣本。當樣本程序運行時，系統日志會記錄程序運行信息，并且這些數據會被轉化成事件存入數據庫。數據中每個項為一個程序行為，若某一樣本的行為集中出現該行為則記為1，否則記為0。若不嚴重的敏感行為集與某些嚴重違反安全規則的行為之間存在關聯，那么當不嚴重的敏感行為集發生時，我們應當對其足夠重視，并向用戶發出嚴重安全威脅可能發生的警報或采取措施清除危險程序。2.2.3異類分析。異類分析指分析數據庫中與其他數據偏離較為明顯的數據，即偏離常規模式的數據。因為與常規數據相比，這些異常數據很可能是由完全不同的機制產生的[7]。當然，由于測量誤差產生的異常數據我們應當及時予以清除。因此，異類分析常作為數據預處理的一部分。異類分析算法需要識別出真正的異常點，即具有高的檢出率和低的誤報率[3]。異常數據相對于正常數據來講有其獨有的特殊性，我們往往可以從中發現有悖常理的結果和更有價值的信息。異常檢測可分為監督的，非監督的和半監督的。監督的異常檢測要求在訓練集中存在正常樣本和異常樣本，并做好標記，即標好類標號；非監督的異常檢測則不要求標好類標號。而在半監督的異常檢測中，我們需要使用有標記的正常樣本信息，發現檢驗集中異常樣本的類標號或得分[3]。我們也可以先構造出一個正常程序的輪廓，當某一個程序到來或運行時便將其與之比較，如果該程序的特性與正常程序的輪廓無法很好地擬合，那么該程序就很有可能是網絡病毒。

2.3數據挖掘技術在計算機網絡病毒防御中的應用與挑戰

隨著社會的信息化與網絡化不斷向前推進，計算機網絡病毒的威脅也日益嚴重。而數據挖掘技術的發展使人們希望借助數據挖掘技術來提升對計算機網絡病毒的防御能力。目前，支付寶、京東金融等互聯網金融平臺已使用數據挖掘技術來防御網絡病毒，保障用戶的數據安全。與傳統基于特征碼的病毒檢測技術不同，基于數據挖掘的計算機網絡病毒防御技術不需要規模龐大的特征碼庫，并且可以很好地識別未知病毒，提高對病毒識別的準確率。但是，該技術在進行數據預處理和數據挖掘的過程中需要消耗較多的資源和時間。我們應該發揮該技術的長處，并與傳統的反病毒技術相互配合，才能更好地防御計算機網絡病毒。

3基于數據挖掘技術的計算機網絡病毒防御系統流程

數據挖掘技術的重點在尋找未知的模式與規律，其主要由以下五大模塊組成：（1）數據源模塊；（2）預處理模塊；（3）規則庫模塊；（4）數據挖掘模塊；（5）決策模塊。在基于數據挖掘技術的計算機網絡病毒防御系統中，首先收集含有入侵指令的數據，通過這些數據初始化來往的網絡數據，然后對這些數據運用預處理模塊進行預處理。預處理完成后開始進行數據挖掘，使用關聯分析、分類分析、聚類分析、異類分析等數據挖掘技術建立規則集即網絡病毒的特征集合，再將待檢測數據與規則集匹配檢測，如果兩者之間的匹配度較高，則說明該數據包中可能存在網絡病毒；如果兩者之間的匹配度較低，則說明有可能是未知病毒，這時會觸發預警機制，并提取該病毒特征屬性以及連接數據的方式將其納入規則集[8]。

3.1數據挖掘技術組成模塊

數據挖掘技術主要由以下五大模塊組成：3.1.1數據源模塊。數據源模塊會截取計算機網絡中的原始數據包，這些數據包中包含著一些重要的數據結構和功能信息，之后將這些原始數據交由預處理模塊進行預處理[7]。數據源模塊為數據挖掘提供充足的數據，是數據挖掘的基礎。3.1.2預處理模塊。預處理模塊是整個數據挖掘流程中的重點模塊。預處理數據主要由鏈接數據、數據凈化、變量整合以及格式轉換等構成[9]。由于在大量原始數據中存在許多不完整、不一致的數據，這些數據將會嚴重影響數據挖掘建模的執行效率和執行結構。通過對數據源模塊截獲到的數據進行預處理，可以選擇出與當前數據挖掘任務相關的數據，使數據能夠被數據挖掘模塊所處理，提高數據的辨識度和準確性，還能縮短數據挖掘時間，提高數據挖掘效果，為后期進行數據挖掘創造了條件[7]。3.1.3規則庫模塊。規則庫模塊是通過對已經能夠分析檢測到的網絡病毒進行數據挖掘而形成的規則集，該規則集反映了網絡病毒的行為特征。利用該規則集，可以指導數據挖掘模塊的工作，還可以探究并抵御計算機網絡中的其他病毒[9]。3.1.4數據挖掘模塊。數據挖掘模塊是整個數據挖掘流程中的關鍵一環，其主要由事件庫和數據挖掘算法兩大部分組成，通過數據挖掘算法對由數據源模塊和預處理模塊形成的事件庫進行分析，在事件庫中記錄的主要是用于進行數據挖掘的相關數據。經過數據挖掘模塊的處理后，最終形成規則清晰的數據挖掘結果，并將其傳遞給決策模塊[8]。3.1.5決策模塊決策模塊的作用是將數據挖掘結果與規則庫中的規則進行匹配。如果數據挖掘結果與規則庫中的規則匹配度很高，那么說明決策模塊信息存在病毒特征，數據包中存在計算機網絡病毒的風險很大，應當及時對病毒予以清除。如果數據挖掘結果與規則庫中的規則不匹配，那么說明數據包中可能存在未知的新型病毒，此時預警系統將會發出新型病毒警告，規則庫模塊將此新型病毒引入規則庫，形成新的規則類別[10]。

3.2基于數據挖掘技術的計算機網絡病毒防御系統流程圖

基于數據挖掘技術的計算機網絡病毒防御系統流程圖如圖1所示。

4結語

當前，利用數據挖掘技術進行網絡病毒防御是社會的迫切需要，也是網絡病毒防御技術的發展趨勢，數據挖掘技術在網絡病毒防御系統中的重要性也越來越明顯。我們可以將傳統計算機網絡病毒防御技術與數據挖掘技術相結合，利用各自的優點提高網絡病毒查殺的準確度和效率。如利用有監督的數據挖掘技術可以快速訓練出一個模型，但需要許多有標記的數據；而無監督的數據挖掘技術使用大量未標記的數據來訓練模型。在獲取大量未標記的數據越來越容易而進行人工標記的成本越來越高的今天，使用無監督的數據挖掘技術來防御網絡病毒是該項技術的發展趨勢。今后，數據挖掘技術將發揮其獨特優勢，在計算機網絡病毒的識別和判斷方面發揮關鍵作用。

作者:潘恒緒 卞煒松 鄧杰 肖文 單位:江蘇大學