数据挖掘在计算机领域中的应用.docx

数据挖掘在计算机网络病毒中的应用 数据挖掘在计算机网络病毒中的应用 数据挖掘在计算机领域中的应用 数据挖掘在计算机领域中的应用 =1 课程： 研究方向： 研究课题：数据挖掘在计算机网络病毒中的应用 学院： 专业： 学号： 姓名： 时间：2015年6月 摘要：随着现代计算机技术、网络技术的不断进步与普及，计算机网络中病毒会利用 网络系统的漏洞与全球互联等形式进行传播，以对网络系统的安全造成威胁。木文 通过对网络病毒（蠕虫病毒）的特征与传播模式以及数据挖掘技术进行简单的介绍, 并对数据挖掘技术在计算机网络病毒防御中的应用进行具体探讨以保证计算机网络系 统的安全性。 关键词：网络病毒；数据挖掘；防御 随着计算机的普及，互联网成为人们工作和生活中最重要的组成部分之一。互 联网由于其开放、交互、共享等特点给人们带来极大便利， 也促进了其本身 的飞速发展。另一方面，它们也潜在地带来了很多安全问题。近年来计算机病毒、蠕 虫、木马程序等等在内的计算机恶意程序发作和流行的时间越来越短， 攻击性 越来越强，数量迅猛增长，其造成的破坏越来越大，日益引起了人们的关注。 一、网络病毒的特征分析 网络病毒（蠕虫病毒）自身就是一个可执行的二进制代码程序文件。它的传播 途径、方式与传统的病毒不同，它具有主动性传播的特点。它主动扫描网络上主机操 作系统和一些网络服务的漏洞（大多是利用操作系统的缓冲区溢出漏洞），利用这些 漏洞侵入这些主机，将自身的副本植入其中，从而完成传播过程。被感 染后的主机又 会用同样的手法感染网络上其它的主机， 如此反复下去，这样很快 就会传遍整个网络，尤其是一个新的操作系统漏洞还没引起计算机用户足够重视的时 候。蠕虫病毒感染主机后往往大量占用主机资源（如CPU资源、内存资源等），使 机器运行速度越来越慢，或向网络上发送巨量的垃圾 IP数据包，严重阻塞网 络带宽，甚至造成整个网络瘫痪。更恶毒的还会盗取用户的敏感资料，如帐号和密 码等。而且现在的蠕虫病毒有从以破坏为主要目的向以盗取资料为主要目的转 换的趋 势，因此危害更大。 通过分析蠕虫病毒的传播过程可知，蠕虫病毒要感染网络上的其它主机，首先 必须对网络上的主机进行扫描。它的这一举动就暴露了目标，就为检测蠕虫病毒提供 了途径，也使蠕虫病毒预防系统的实现成为可能。通过抓包分析，发现蠕虫病毒的 扫描过程并不像黑客入侵前的扫描那样详细， 它只是随机地生成目标主 机的IP地址（通常优先生成本网段或相邻网段的IP地址），然后用攻击模块（通常 是用缓冲区溢出程序）直接攻击目标IP地址的主机，而不管该主机是否存在。这个 攻击过程首先要向目标主机的特定端口发起TCP连接请求。例如，冲击波蠕虫病毒 会在几秒内两次向目标主机的135端口发起连接请求，而震荡波会在几秒内两次向目 标主机的445端口发起连接请求。因此，通过捕获数据包，利用数据挖掘技术分析它 们的特征，找出异常的数据，从而达到预防的目的。 二、网络病毒查杀的现状 从世界上第一个病毒C— Brain出现至今，反病毒工作者一直努力尝试各种 技 术解决恶意程序的困扰，而从冯?诺依曼体系结构计算机原理来看，由于数据和指令 从形态上看不出区别，就无法彻底消灭病毒，我们所能做的就是尽可能地降低恶病毒 感染的风险。 国内知名反病毒软件公司，如金山毒霸、瑞星、江民等， 在恶意程序查杀 方面仍主要釆用传统的特征码扫描技术，但也在致力于将一些先进的技术用于恶意程 序的主动防御；Norton, McAfee, Trend以及Kaspersky等世界领先级的防病毒软 件也都投入大量的人力和物力进行变形病毒及未知病毒的检测研究。 了克服特征码检测技术的缺陷，数据挖掘的方法的技术被逐步引入反病毒领域。 但 占 使用三、利用数据挖掘技术查杀病毒的意义和方法 但 占 使用 目前主动防御和基于二进制特征码查杀仍是检测和识别病毒的主要方式， 是主动防御需要大量用户干涉，二进制特征码查杀面临的特征库膨胀、大量资源 用、匹配效率低、查杀滞后的困扰。为了解决当前反病毒软件出现的各种困扰， Win dows平台可执行文件格式作为主要特征来源，抽取可执行文件的特征，获取病 毒新型特征，并在新型特征基础上使用数据挖掘技术提取恶意程序智能化检测规则。 使用可执行文件格式作为特征可以有效减小单个特征大小， 并旦由于恶意程 序的功能相似使得同类恶意程序和同种恶意程序的特征具有通用性， 因此新型特 征可以有效遏制特征库的膨胀、减少资源占用、提高匹配效率。使用数据挖掘技术提 取智能恶意程序检测规则，可以找出更多隐性规则和增加规则逻辑准确性，可以提高 恶意程序检测的智能性、准确性，减少干预次数。 四、基于数据挖掘的病毒预防系统 基于数据挖掘的蠕虫病毒预防系统主要由数据源模块、预处