計算機網絡病毒防范中數據挖掘技術的應用研究

李紅娟

（貴州建設職業技術學院 貴州省貴陽市 551400）

對于廣大網絡用戶而言，保障計算機網絡安全極為重要。網絡病毒能夠直接威脅到計算機安全，具有快速擴散、強破壞、多種類、強針對等特點，所以對計算機網絡病毒深度防御提出更高的要求。在計算機網絡病毒深度防御體系中，可以發揮數據挖掘技術的價值，可以更好應對各類網絡病毒，有利于提升計算機網絡病毒防范水平，進而為廣大用戶提供一個良好的體驗環境，對于其學習、工作、娛樂等各方面將會產生積極影響。

1 計算機網絡病毒特點

1.1 快速擴散

計算機網絡運行時，便會有概率遭到網絡病毒的威脅。病毒通常是從若干個渠道進入計算機系統，例如，電子郵件、系統漏洞、不良網頁等，將某個渠道作為突破口，便可以在極短時間內擴散到整個系統。

1.2 強破壞

從實際情況來看，網絡病毒具有較強的破壞性，特別是隨著相關技術的發展，混合型網絡病毒已經出現，該類病毒依賴于黑客技術、木馬技術，而普通的病毒檢測與殺毒軟件，往往難以發現或者是消除。當計算機被這類病毒入侵之后，又未及時防范，那么就可能導致重要數據被破壞、竊取、篡改等，甚至直接讓系統癱瘓。

1.3 多種類

現階段，網絡病毒不僅類型較多，而且還處于不斷變化的狀態中。從網絡病毒來看，具有較容易生產制造的特點，并能夠通過各種渠道侵入系統，但是需要注意的是，病毒并非一成不變，反而是可以根據指令變為新型病毒，所以病毒類型可謂是多種類、較復雜，意味著防范難度比較高，通常防范方法需要基于實際情況而不斷調整。

1.4 強針對

網絡病毒的目的呈現多元化特征。早期，網絡病毒主要是炫技，所產生的負面影響還不大。如今，個人利益驅使，或者是其他因素，讓部分網絡病毒的目的變得更具有針對性，所以攻擊性也越來越強，有著“不達目的不罷休”的感覺，例如，為了竊取商業利益的病毒，這類病毒技術含量以及針對性較高，一般的病毒防范方法可能無法有效檢測與消除。

2 基于數據挖掘技術的計算機網絡病毒深度防御體系概述

2.1 系統結構

數據挖掘技術是基于用戶實際需求的變化以及相關技術的發展而來的，具體來講：基于實際需求，從海量信息中挖掘相關信息，然后可以獲得具有實用價值的心，能夠為決策、措施等制定、執行提供有價值的參考依據?；镜南到y結構包括數據清理、集成和選擇；數據庫或者是數據倉庫服務器；數據挖掘；模式評估以及用戶界面等（如圖1所示）。

圖1：基本的系統結構

數據挖掘技術的關鍵是：

（1）數據挖掘，從海量信息中挖掘符合需求的數據，以此為基礎，構建數據目標集，例如，完善數據庫或者是數據倉庫服務器等。

（2）對數據進行綜合性處理，包括數據選取、預處理、變換等，能夠有效降低數據維度，讓數據更加簡化，這樣才能發揮其價值，例如，為病毒防范提供依據[1]。

2.2 功能模塊

2.2.1 檢測模塊（檢測模型）

在數據挖掘技術的支持下，首先，從海量信息入手，對數據進行篩選、分析；其次，需要發揮檢測模塊（檢測模型）的作用，分析病毒入侵系統的特征；最后，將檢測之后的數據精準傳輸以及儲存到相應的數據庫。

2.2.2 控制防御模塊

控制防御模塊是核心，而防御模塊的基礎是Linux系統防火墻；同時，需要進一步完善防御模塊，具體來講：

（1）最大限度發揮域名限制的作用，力求能夠在源頭上遏制非法用戶的訪問，那么網絡病毒入侵概率將會明顯降低。

（2）最大限度發揮Iptables 控制法的作用，目的是對非法IP 地址進行實時監控，也能夠將網絡病毒入侵系統的概率有效降低，并提升用戶訪問數據過程的安全性、可靠性。

2.2.3 后續處理模塊

深度防御體系必須要具備強大的實時檢測網絡的功能，目的是及時發現網絡病毒并及時進行防范，所以后續處理模塊也發揮著非常重要的作用，可以快速篩選，并將結果反饋用戶；同時，結合病毒實際情況，制定相應的防范方案。發揮后續處理模塊的作用，可以全面及時記錄、監督日志信息等，并及時發布相關信息與通知。在深度防御體系中，實時檢測極為重要，特別是某些病毒已經開始破壞、竊取、篡改數據時，該模塊就會發揮作用，向用戶及時預警。用戶可以結合病毒類型及時進行防范[2]。

2.2.4 后臺處理模塊

后臺處理模塊的作用體現在：一方面，將信息接收、發送等基礎工作做好；另外一方面，需要全面處理、分析、重組數據。從整個處理來看，首先，需要篩選數據；其次，分析數據包，并明確是否存在網絡病毒、病毒的類型、病毒的特點等。此時，為了能夠充分保障網絡病毒檢測結果的精準性、真實性，所以還需要對相關數據進行重組和核查。最后，將網絡病毒存儲到數據庫，可以為后續相似病毒的防范提供有價值的參考依據。

2.2.5 數據存儲模塊

數據存儲方式具有多樣性、復雜性特點，依賴于系統后臺程序，可以對相關數據進行快速處理、提取、重組以及存儲。通常來講，基于數據挖掘技術的深度防御體系主要存儲有實際價值的數據。數據包存儲、報文信息存儲是數據存儲的基本方式。對于數據存儲而言，需要對數據鏈路層實際情況進行充分考慮，以此為切入點挖掘有價值的數據，即：與病毒有著密切關系額數據。同時，傳輸以及存儲數據。

網絡病毒會利用各種渠道或者是載體進行入侵，當成功突破之后，會朝著整個系統快速擴散，不僅可以獲取計算機用戶本身的各類信息，而且還可以獲取基于網絡的其他用戶信息，然后基于需求，進行數據篡改、竊取、破壞等?？陀^來講，計算機系統被網絡病毒入侵之后，其實也讓數據挖掘技術具備應用價值。該技術介入之后，可以對相關數據進行及時抓取與分析，結合分析結果對網絡病毒類型、特點、目的等進行判斷，進而制定防范措施，即：基于數據挖掘技術的計算機網絡病毒深度防御體系[3]。

3 數據挖掘技術在計算機網絡病毒防范中的應用與實踐

基于數據挖掘技術的計算機網絡病毒深度防御體系，“本地安全策略服務器”及“全局安全策略服務器”可以對大規模的數據信息進行管理；同時，在“全局安全策略服務器”中應用數據挖掘技術，讓服務器管理成為聯合防御系統?！氨镜匕踩呗苑掌鳌笨梢詫θ罩具M行隨時隨地在線收集，也可以向“全局安全策略服務器”安全傳送數據，由該服務器對有價值的數據信息進行深度挖掘，具體如下：

3.1 離線學習

“本地安全策略服務器”向“全局安全策略服務器”傳送所收集的所有日志，并由“全局安全策略服務器”納入樣本集。在數據挖掘技術的支持下，可以獲得與之有關的規則集，以此為基礎，提升機器學習算法的性能，使其通過計算與優化，從而優化以及調整規則參數，以此為依據，構建有效分類器。需要注意的是，對有效分類器進行構建時，首先需要預處理數據，需要將記錄格式提前設定好；其次，在數據挖掘格式中填入預訂數據；最后，在挖掘工具以及學習樣本的支持下，會形成完善的規則集，并以此為依據進行病毒防范[4]。

3.2 在線檢測

（1）利用數據挖掘技術進行在線挖掘，從而分類檢測數據庫之中所記錄的數據；

（2）結合規則庫調整規則參數，結合活動日志進行在線挖掘；

（3）以此為依據，安全策略分派器待命，當在線數據挖掘下達命令，便可以快速執行。

3.3 特征分析與提取

“全局安全策略服務器”中具備聯合防御模塊，當數據挖掘技術發揮作用時，可以對“本地安全策略服務器”所收集的各種事件進行分析與檢測。如果檢測明確存在惡意攻擊，便會向“本地安全策略服務器”或者是IDS 發送指令，可以調整策略應當網絡惡意攻擊。整個過程中，在學習建模功能的支持下，數據挖掘技術可以結合入侵監控數據，對入侵特征進行分析與提??；同時，在主成分分析算法或者是最鄰近結點算法的支持下，可以對數據特征關聯性進行分析，目的是讓數據降維。最后，借助決策樹方法挖掘決策規則；同時，發揮多層感知器網絡的作用，可以對構建決策分類器進行自學習[5]。

3.4 實踐結果

以電力系統為研究對象，主要識別安全漏洞以及網絡病毒，設計了實踐試驗。試驗平臺相關技術參數（見表1）。

表1：試驗操作平臺技術參數

選擇某省電力有限公司以及某供電公司聯合提供的電力數據作為測試數據，總結并整理常見的5 種電力系統網絡安全漏洞（見表2）。

表2：電力系統網絡安全常見漏洞

先使用數據挖掘技術，根據電網系統規模與電力數據傳輸模式進行網絡安全數據類型的劃分。在此基礎上，引進FCM 算法，對呈現異常狀態的電力系統網絡數據進行聚類，通過設計電力系統網絡安全態勢指標，評估在當前狀態下系統網絡的安全性。以此為依據，進行網絡安全漏洞以及網絡病毒的識別，獲取網絡安全漏洞識別全過程相關信息，并對信息進行統計管理。

識別電力系統網絡安全漏洞過程如圖2所示。其中，

圖2：基于數據挖掘技術識別系統漏洞以及網絡病毒

(a)為將電力系統網絡安全漏洞以離散數據的方式隨機插入訓練集合后，網絡數據的離散化分布形式；

(b)為插入一個電力系統網絡安全異常數據聚類點A；

(c)為異常數據聚類行為，圈出的聚類數據集合代表本文識別方法的識別結果[6]。

可以看出，基于數據挖掘技術的識別方法可以實現對電力系統網絡中呈現安全異常數據的精準識別，證明基于數據挖掘技術的識別方法在實際應用中具有一定可行性，發現異常氛圍，可以進一步結合數據庫網絡病毒代碼程序進行對比，可以明確網絡病毒，并制定防范方案。例如，通過匹配尋求與其實際情況相符合的數據信息，倘若數據庫所顯示的結果與匹配數據相符合，那么意味著中存在忘了病毒，此時需要引入規則庫以及發出安全預警，確保在網絡病毒入侵之前能夠進行有效封鎖，目的是對病毒傳播途徑進行破壞，這樣便可以讓計算機處于安全狀態之中。

此外，在實際處理病毒代碼的過程中，需要對數據源信息、源IP 的具體位置及數據源的位置等內容進行深入的挖掘，進而實現對網絡病毒傳播途徑的有效阻止；同時，應用數據挖掘技術可以終端數據處理中所收集的信息，并將數據轉化成可以識別的形式[7]。

4 結論

如今，網絡用戶數量增多、網絡規模日益增大，用戶對于網絡安全提出更高的要求。面對突如其來的網絡病毒，如果未能有效防范，用戶數據可能會被篡改、竊取、破壞，甚至會導致計算機系統癱瘓，所以必須做好計算機網絡病毒防范，目前深度防御是目標，而數據挖掘技術可以達到這樣的目標。文章圍繞計算機網絡病毒的特點，介紹了基于數據挖掘技術的計算機網絡病毒深度防御體系，以此為基礎，對網絡病毒防范中數據挖掘技術具體應用提出建議，倘若要發揮該技術的價值，還應該結合用戶實際情況進行優化，這樣才能進一步滿足用戶需求，從而為其提供一個健康的網絡環境。