信息安全論文投稿《信息與電腦》國(guó)家新聞出版總署批準(zhǔn)，國(guó)內(nèi)外公開(kāi)發(fā)行的計(jì)算機(jī)類優(yōu)秀期刊。1989年創(chuàng)刊，國(guó)內(nèi)統(tǒng)一刊號(hào)：CN11-2697/TP，國(guó)際標(biāo)準(zhǔn)刊號(hào)：ISSN1003-9767，郵發(fā)代號(hào)：82-454。
　　【摘要】隨著Internet的普及，尤其是寬帶網(wǎng)的盛行，計(jì)算機(jī)病毒也在向網(wǎng)絡(luò)化方向發(fā)展，這種病毒就是所謂的蠕蟲(chóng)病毒。本文利用數(shù)據(jù)挖掘技術(shù)，研究了如何在新的蠕蟲(chóng)病毒大規(guī)模爆發(fā)之前就將其檢測(cè)到，并采取相應(yīng)的措施。

　　【關(guān)鍵詞】數(shù)據(jù)挖掘,網(wǎng)絡(luò)病毒,防御

　　一、網(wǎng)絡(luò)病毒的特征分析

　　網(wǎng)絡(luò)病毒（蠕蟲(chóng)病毒）自身就是一個(gè)可執(zhí)行的二進(jìn)制代碼程序文件。它的傳播途徑、方式與傳統(tǒng)的病毒不同，它具有主動(dòng)性傳播的特點(diǎn)。它主動(dòng)掃描網(wǎng)絡(luò)上主機(jī)操作系統(tǒng)和一些網(wǎng)絡(luò)服務(wù)的漏洞（大多是利用操作系統(tǒng)的緩沖區(qū)溢出漏洞），利用這些漏洞侵入這些主機(jī)，將自身的副本植入其中，從而完成傳播過(guò)程。被感染后的主機(jī)又會(huì)用同樣的手法感染網(wǎng)絡(luò)上其它的主機(jī)，如此反復(fù)下去，這樣很快就會(huì)傳遍整個(gè)網(wǎng)絡(luò)，尤其是一個(gè)新的操作系統(tǒng)漏洞還沒(méi)引起計(jì)算機(jī)用戶足夠重視的時(shí)候。蠕蟲(chóng)病毒感染主機(jī)后往往大量占用主機(jī)資源（如CPU資源、內(nèi)存資源等），使機(jī)器運(yùn)行速度越來(lái)越慢，或向網(wǎng)絡(luò)上發(fā)送巨量的垃圾IP數(shù)據(jù)包，嚴(yán)重阻塞網(wǎng)絡(luò)帶寬，甚至造成整個(gè)網(wǎng)絡(luò)癱瘓。更惡毒的還會(huì)盜取用戶的敏感資料，如帳號(hào)和密碼等。而且現(xiàn)在的蠕蟲(chóng)病毒有從以破壞為主要目的向以盜取資料為主要目的轉(zhuǎn)換的趨勢(shì)，因此危害更大。

　　通過(guò)分析蠕蟲(chóng)病毒的傳播過(guò)程可知，蠕蟲(chóng)病毒要感染網(wǎng)絡(luò)上的其它主機(jī)，首先必須對(duì)網(wǎng)絡(luò)上的主機(jī)進(jìn)行掃描。它的這一舉動(dòng)就暴露了目標(biāo)，就為檢測(cè)蠕蟲(chóng)病毒提供了途徑，也使蠕蟲(chóng)病毒預(yù)防系統(tǒng)的實(shí)現(xiàn)成為可能。通過(guò)抓包分析，發(fā)現(xiàn)蠕蟲(chóng)病毒的掃描過(guò)程并不像黑客入侵前的掃描那樣詳細(xì)，它只是隨機(jī)地生成目標(biāo)主機(jī)的IP地址（通常優(yōu)先生成本網(wǎng)段或相鄰網(wǎng)段的IP地址），然后用攻擊模塊（通常是用緩沖區(qū)溢出程序）直接攻擊目標(biāo)IP地址的主機(jī)，而不管該主機(jī)是否存在。這個(gè)攻擊過(guò)程首先要向目標(biāo)主機(jī)的特定端口發(fā)起TCP連接請(qǐng)求。例如，沖擊波蠕蟲(chóng)病毒會(huì)在幾秒內(nèi)兩次向目標(biāo)主機(jī)的135端口發(fā)起連接請(qǐng)求，而震蕩波會(huì)在幾秒內(nèi)兩次向目標(biāo)主機(jī)的445端口發(fā)起連接請(qǐng)求。因此，通過(guò)捕獲數(shù)據(jù)包，利用數(shù)據(jù)挖掘技術(shù)分析它們的特征，找出異常的數(shù)據(jù)，從而達(dá)到預(yù)防的目的。

　　二、基于數(shù)據(jù)挖掘的病毒預(yù)防系統(tǒng)

　　基于數(shù)據(jù)挖掘的蠕蟲(chóng)病毒預(yù)防系統(tǒng)主要由數(shù)據(jù)源模塊、預(yù)處理模塊、數(shù)據(jù)挖掘模塊、規(guī)則庫(kù)模塊、決策模塊、預(yù)防模塊等組成。

　�。ㄒ唬┕ぷ髟�理

　　1．?dāng)?shù)據(jù)源是由一個(gè)抓包程序?qū)⑺�有�?lái)自于網(wǎng)絡(luò)的、發(fā)向本機(jī)的數(shù)據(jù)包截獲下來(lái)，交給預(yù)處理模塊處理。

　　2．?dāng)?shù)據(jù)預(yù)處理模塊將截獲的數(shù)據(jù)包進(jìn)行分析，處理成連接請(qǐng)求記錄的格式。因?yàn)槿湎x(chóng)病毒傳染網(wǎng)絡(luò)上的主機(jī)時(shí)，會(huì)主動(dòng)地向主機(jī)發(fā)起連接，這也是預(yù)防系統(tǒng)建立的理論依據(jù)。連接記錄由時(shí)間、源IP地址、源端口、目的IP地址、目的端口組成。這些眾多的連接請(qǐng)求記錄組成了事件的集合。

　　3．規(guī)則庫(kù)用于存儲(chǔ)已知的蠕蟲(chóng)病毒的連接特征和新近數(shù)據(jù)挖掘形成的規(guī)則集。規(guī)則集是蠕蟲(chóng)病毒行為模式的反映，用于指導(dǎo)訓(xùn)練數(shù)據(jù)的收集和作為特征選擇的依據(jù)。

　　4．?dāng)?shù)據(jù)挖掘模塊利用數(shù)據(jù)挖掘算法分析由連接請(qǐng)求記錄組成的事件庫(kù)，分析結(jié)果交給決策模塊處理。

　　5．決策模塊將數(shù)據(jù)挖掘的結(jié)果與規(guī)則庫(kù)中的已知規(guī)則進(jìn)行模式匹配，若與規(guī)則庫(kù)中的規(guī)則匹配，則由預(yù)防模塊發(fā)出發(fā)現(xiàn)已知蠕蟲(chóng)病毒的警報(bào)；若不匹配，則由預(yù)防模塊發(fā)出發(fā)現(xiàn)新蠕蟲(chóng)病毒的警報(bào)，同時(shí)將新規(guī)則加入到規(guī)則庫(kù)中。

　�。ǘ�）基于數(shù)據(jù)挖掘的病毒預(yù)防系統(tǒng)

　　1．分類：把一個(gè)數(shù)據(jù)集映射成定義好的幾個(gè)類。這類算法的輸出結(jié)果就是分類器，常用決策樹(shù)或規(guī)則集的形式來(lái)表示。

　　2．關(guān)聯(lián)分析：決定數(shù)據(jù)庫(kù)記錄中各數(shù)據(jù)項(xiàng)之間的關(guān)系。利用審計(jì)數(shù)據(jù)中系統(tǒng)屬性間的相關(guān)性作為構(gòu)建正常使用模式的基礎(chǔ)。

　　3．序列分析：獲取序列模式模型。這類算法可以發(fā)現(xiàn)審計(jì)事件中頻繁發(fā)生的時(shí)間序列。這些頻繁事件模式為構(gòu)建預(yù)防系統(tǒng)模型時(shí)選擇統(tǒng)計(jì)特征提供了指導(dǎo)準(zhǔn)則。其算法描述為：已知事件數(shù)據(jù)庫(kù)D，其中每次交易T與時(shí)間戳關(guān)聯(lián)，交易按照區(qū)間〔t1，t2〕順序從時(shí)間戳t1開(kāi)始到t2結(jié)束。對(duì)于D中項(xiàng)目集X，如果某區(qū)間包含X，而其真子區(qū)間不包含X時(shí)，稱此區(qū)間為X的最小出現(xiàn)區(qū)間。X的支持度定義為包括X的最小出現(xiàn)區(qū)間數(shù)目占D中記錄數(shù)目比例。其規(guī)則表示為X，Y->Z，[confidence，support，window]，式中X，Y，Z為D中項(xiàng)目集，規(guī)則支持度為support（X∪Y∪Z），置信度為support（X∪Y∪Z）/support（X∪Y)，每個(gè)出現(xiàn)的寬度必須小于窗口值。

　　3．系統(tǒng)中的數(shù)據(jù)挖掘模塊

　　首先利用分類算法對(duì)連接請(qǐng)求事件庫(kù)中的數(shù)據(jù)進(jìn)行分類，本系統(tǒng)中分別按源IP地址與目的端口對(duì)事件進(jìn)行分類。然后對(duì)這兩類數(shù)據(jù)進(jìn)行關(guān)聯(lián)分析與序列分析，在對(duì)相同源IP地址的數(shù)據(jù)分析中可以發(fā)現(xiàn)該臺(tái)主機(jī)是否感染已知的蠕蟲(chóng)病毒或異常的舉動(dòng)（可能是未知的蠕蟲(chóng)病毒所為）；對(duì)同目的端口的數(shù)據(jù)分析中可以發(fā)現(xiàn)當(dāng)前網(wǎng)絡(luò)上蠕蟲(chóng)病毒疫情的嚴(yán)重程度。

　　【參考文獻(xiàn)】

　　[1]楊玉鋒，夏曉峰.上網(wǎng)用戶安全防范[J].韶關(guān)學(xué)院學(xué)報(bào)：自然科學(xué)版

　　[2]DavidH，HeikkiM，PadhraicS。數(shù)據(jù)挖掘原理[M].張銀奎，譯.北京：機(jī)械工業(yè)出版社.

　　[3]徐菁，劉保旭，許榕生.基于數(shù)據(jù)挖掘技術(shù)的入侵檢測(cè)系統(tǒng)設(shè)計(jì)與實(shí)現(xiàn)[J].計(jì)算機(jī)工程.

轉(zhuǎn)載請(qǐng)注明來(lái)自：http://www.jinnzone.com/xinxianqlw/25948.html