試論數(shù)據(jù)挖掘在計(jì)算機(jī)網(wǎng)絡(luò)病毒防御中的應(yīng)用

1、【論文關(guān)鍵詞】數(shù)據(jù)挖掘；網(wǎng)絡(luò)病毒；防御【論文摘要】隨著Inter的普及，尤其是寬帶網(wǎng)的盛行，計(jì)算機(jī)病毒也在向網(wǎng)絡(luò)化方向發(fā)展，這種病毒就是所謂的蠕蟲(chóng)病毒。本文利用數(shù)據(jù)挖掘技術(shù)，研究了如何在新的蠕蟲(chóng)病毒大規(guī)模爆發(fā)之前就將其檢測(cè)到，并采取相應(yīng)的措施。一、網(wǎng)絡(luò)病毒的特征分析網(wǎng)絡(luò)病毒（蠕蟲(chóng)病毒）自身就是一個(gè)可執(zhí)行的二進(jìn)制代碼程序文件。它的傳播途徑、方式與傳統(tǒng)的病毒不同，它具有主動(dòng)性傳播的特點(diǎn)。它主動(dòng)掃描網(wǎng)絡(luò)上主機(jī)操作系統(tǒng)和一些網(wǎng)絡(luò)服務(wù)的漏洞（大多

2、是利用操作系統(tǒng)的緩沖區(qū)溢出漏洞），利用這些漏洞侵入這些主機(jī)，將自身的副本植入其中，從而完成傳播過(guò)程。被感染后的主機(jī)又會(huì)用同樣的手法感染網(wǎng)絡(luò)上其它的主機(jī)，如此反復(fù)下去，這樣很快就會(huì)傳遍整個(gè)網(wǎng)絡(luò)，尤其是一個(gè)新的操作系統(tǒng)漏洞還沒(méi)引起計(jì)算機(jī)用戶足夠重視的時(shí)候。蠕蟲(chóng)病毒感染主機(jī)后往往大量占用主機(jī)資源（如CPU資源、內(nèi)存資源等），使機(jī)器運(yùn)行速度越來(lái)越慢，或向網(wǎng)絡(luò)上發(fā)送巨量的垃圾IP數(shù)據(jù)包，嚴(yán)重阻塞網(wǎng)絡(luò)帶寬，甚至造成整個(gè)網(wǎng)絡(luò)癱瘓。更惡毒的還會(huì)盜取用戶

3、的敏感資料，如帳號(hào)和密碼等。而且現(xiàn)在的蠕蟲(chóng)病毒有從以破壞為主要目的向以盜取資料為主要目的轉(zhuǎn)換的趨勢(shì)，因此危害更大。通過(guò)分析蠕蟲(chóng)病毒的傳播過(guò)程可知，蠕蟲(chóng)病毒要感染網(wǎng)絡(luò)上的其它主機(jī)，首先必須對(duì)網(wǎng)絡(luò)上的主機(jī)進(jìn)行掃描。它的這一舉動(dòng)就暴露了目標(biāo)，就為檢測(cè)蠕蟲(chóng)病毒提供了途徑，也使蠕蟲(chóng)病毒預(yù)防系統(tǒng)的實(shí)現(xiàn)成為可能。通過(guò)抓包分析，發(fā)現(xiàn)蠕蟲(chóng)病毒的掃描過(guò)程并不像黑客入侵前的掃描那樣詳細(xì)，它只是隨機(jī)地生成目標(biāo)主機(jī)的IP地址（通常優(yōu)先生成本網(wǎng)段或相鄰網(wǎng)段的IP地

4、址），然后用攻擊模塊（通常是用緩沖區(qū)溢出程序）直接攻擊目標(biāo)IP地址的主機(jī)，而不管該主機(jī)是否存在。這個(gè)攻擊過(guò)程首先要向目標(biāo)主機(jī)的特定端口發(fā)起TCP連接請(qǐng)求。例如，沖擊波蠕蟲(chóng)病毒會(huì)在幾秒內(nèi)兩次向目標(biāo)主機(jī)的135端口發(fā)起連接請(qǐng)求，而震蕩波會(huì)在幾秒內(nèi)兩次向目標(biāo)主機(jī)的445端口發(fā)起連接請(qǐng)求。因此，通過(guò)捕獲數(shù)據(jù)包，利用數(shù)據(jù)挖掘技術(shù)分析它們的特征，找出異常的數(shù)據(jù)，從而達(dá)到預(yù)防的目的。二、基于數(shù)據(jù)挖掘的病毒預(yù)防系統(tǒng)基于數(shù)據(jù)挖掘的蠕蟲(chóng)病毒預(yù)防系統(tǒng)主要由數(shù)

5、據(jù)源模塊、預(yù)處理模塊、數(shù)據(jù)挖掘模塊、規(guī)則庫(kù)模塊、決策模塊、預(yù)防模塊等組成。（一）工作原理1數(shù)據(jù)源是由一個(gè)抓包程序?qū)⑺衼?lái)自于網(wǎng)絡(luò)的、發(fā)向本機(jī)的數(shù)據(jù)包截獲下來(lái)，交給預(yù)處理模塊處理。2數(shù)據(jù)預(yù)處理模塊將截獲的數(shù)據(jù)包進(jìn)行分析，處理成連接請(qǐng)求記錄的格式。因?yàn)槿湎x(chóng)病毒傳染網(wǎng)絡(luò)上的主機(jī)時(shí)，會(huì)主動(dòng)地向主機(jī)發(fā)起連接，這也是預(yù)防系統(tǒng)建立的理論依據(jù)。連接記錄由時(shí)間、源IP地址、源端口、目的IP地址、目的端口組成。這些眾多的連接請(qǐng)求記錄組成了事件的集合。3規(guī)則

6、庫(kù)用于存儲(chǔ)已知的蠕蟲(chóng)病毒的連接特征和新近數(shù)據(jù)挖掘形成的規(guī)則集。規(guī)則集是蠕蟲(chóng)病毒行為模式的反映，用于指導(dǎo)訓(xùn)練數(shù)據(jù)的收集和作為特征選擇的依據(jù)。4數(shù)據(jù)挖掘模塊利用數(shù)據(jù)挖掘算法分析由連接請(qǐng)求記錄組成的事件庫(kù)，分析結(jié)果交給決策模塊處理。文后寄語(yǔ)：book118是一個(gè)專注于電子文檔的在線分享平臺(tái)，用戶在此平臺(tái)上不但可以自由交換文檔，還可以分享最新的行業(yè)資訊。book118制定了嚴(yán)格的文檔審核策略，以保證文檔來(lái)源的合法性，對(duì)有可能引起知識(shí)產(chǎn)權(quán)糾紛的文

7、檔，網(wǎng)站不予收錄。同時(shí)，道客巴巴采用了行業(yè)領(lǐng)先的文檔加密及保護(hù)技術(shù)，最大程度上保證用戶上傳的文檔的版權(quán)不被非法侵犯。注冊(cè)1、會(huì)員信息是您在book118網(wǎng)站的身份標(biāo)識(shí)，注冊(cè)后，您可以瀏覽文檔、在線閱讀或下載，建立并管理自己的文檔信息庫(kù)2、打開(kāi)網(wǎng)站的首頁(yè)，點(diǎn)擊頁(yè)面上方的信息條文字“【免費(fèi)注冊(cè)】“，在用戶注冊(cè)頁(yè)面，輸入用戶名、密碼、電子郵件、驗(yàn)證碼，閱讀“服務(wù)協(xié)議“，并選中“同意“復(fù)選框，最后點(diǎn)擊“注冊(cè)“按鈕3、也可以在“登錄“頁(yè)面，點(diǎn)擊“