试论数据挖掘在计算机网络病毒防御中的应用

1、试论数据挖掘在计算机网络病毒防御中的应用【论文关键词】数据挖掘；网络病毒；防御【论文摘要】随着internet的普及，尤其是宽带网的盛行， 计算机病毒也在向网络化方向发展，这种病毒就是所谓的蠕虫病毒。 本文利用数据挖掘技术，研究了如何在新的蠕虫病毒大规模爆发之前 就将其检测到，并采取相应的措施。一、网络病毒的特征分析网络病毒（蠕虫病毒）自身就是一个可执行的二进制代码程序 文件。它的传播途径、方式与传统的病毒不同，它具有主动性传播的 特点。它主动扫描网络上主机操作系统和一些网络服务的漏洞（大多 是利用操作系统的缓冲区溢出漏洞），利用这些漏洞侵入这些主机， 将自身的副本植入其中，从而完成传播过程。

2、被感染后的主机又会用 同样的手法感染网络上其它的主机，如此反复下去，这样很快就会传 遍整个网络，尤其是一个新的操作系统漏洞还没引起计算机用户足够 重视的时候。蠕虫病毒感染主机后往往大量占用主机资源（如cpu资 源、内存资源等），使机器运行速度越来越慢，或向网络上发送巨量 的垃圾ip数据包，严重阻塞网络带宽，甚至造成整个网络瘫痪。更 恶毒的还会盗取用户的敏感资料，如帐号和密码等。而且现在的蠕虫 病毒有从以破坏为主要目的向以盗取资料为主要目的转换的趋势，因此危害更大。通过分析蠕虫病毒的传播过程可知，蠕虫病毒要感染网络上的其它主机，首先必须对网络上的主机进行扫描。它的这一举动就暴露 了目标，就为检测

3、蠕虫病毒提供了途径，也使蠕虫病毒预防系统的实 现成为可能。通过抓包分析，发现蠕虫病毒的扫描过程并不像黑客入 侵前的扫描那样详细，它只是随机地生成目标主机的ip地址（通常 优先生成本网段或相邻网段的ip地址），然后用攻击模块（通常是用 缓冲区溢出程序）直接攻击目标ip地址的主机，而不管该主机是否 存在。这个攻击过程首先要向目标主机的特定端口发起tcp连接请 求。例如，冲击波蠕虫病毒会在几秒内两次向目标主机的135端口发 起连接请求，而震荡波会在几秒内两次向目标主机的445端口发起连 接请求。因此，通过捕获数据包，利用数据挖掘技术分析它们的特征， 找出异常的数据，从而达到预防的目的。二、基于数据挖

4、掘的病毒预防系统基于数据挖掘的蠕虫病毒预防系统主要由数据源模块、预处 理模块、数据挖掘模块、规则库模块、决策模块、预防模块等组成。（一）工作原理1. 数据源是由一个抓包程序将所有来自于网络的、发向本机 的数据包截获下来，交给预处理模块处理。2. 数据预处理模块将截获的数据包进行分析，处理成连接请 求记录的格式。因为蠕虫病毒传染网络上的主机时，会主动地向主机 发起连接，这也是预防系统建立的理论依据。连接记录由时间、源 ip地址、源端口、目的ip地址、目的端口组成。这些众多的连接请 求记录组成了事件的集合。3. 规则库用于存储已知的蠕虫病毒的连接特征和新近数据挖 掘形成的规则集。规则集是蠕虫病毒行

5、为模式的反映，用于指导训练 数据的收集和作为特征选择的依据。4. 数据挖掘模块利用数据挖掘算法分析由连接请求记录组成 的事件库，分析结果交给决策模块处理。5. 决策模块将数据挖掘的结果与规则库中的已知规则进行模 式匹配，若与规则库中的规则匹配，则由预防模块发出发现已知蠕虫 病毒的警报；若不匹配，则由预防模块发出发现新蠕虫病毒的警报， 同时将新规则加入到规则库中。（二）基于数据挖掘的病毒预防系统1. 分类：把一个数据集映射成定义好的几个类。这类算法的 输出结果就是分类器，常用决策树或规则集的形式来表示。2. 关联分析：决定数据库记录中各数据项之间的关系。利用 审计数据中系统属性间的相关性作为构建

6、正常使用模式的基础。3. 序列分析：获取序列模式模型。这类算法可以发现审计事 件中频繁发生的时间序列。这些频繁事件模式为构建预防系统模型时 选择统计特征提供了指导准则。其算法描述为：已知事件数据库d, 其中每次交易t与时间戳关联，交易按照区间tl, t2顺序从时间 戳tl开始到t2结束。对于d中项目集x，如果某区间包含x,而其 真子区间不包含x时，称此区间为x的最小出现区间。x的支持度定 义为包括x的最小出现区间数目占d中记录数目比例。其规则表示为 x, y-> z, confidence, support, window,式中 x, y, z 为 d 中项目集，规则支持度为support (xu yuz),置信度为support ( x uyuz) /support ( x u y),每个出现的宽度必须小于窗口值。3.系统中的数据挖掘模块首先利用分类算法对连接请求事件库中的数据进行分类，本系 统中分别按源ip地址与目的端口对事件进行分类。然后对这两类数 据进行关联分析与序列分析，在对相同源ip地址的数据分析中可以 发现该台主机是否感染已知的蠕虫病毒或异常的举动(可能是未知的 蠕虫病毒所为)；对同目的端口的数据分析中可以发现当前网络上蠕 虫病毒疫情的严重程度。【参考文献】1 杨玉锋，夏晓峰上网用户安全防范j韶关