茍元琴

[摘要]在現階段的互聯網信息時代，網絡病毒的不斷滋生、變化為計算機系統帶來了極大的安全困擾和傷害，尤其是許多網絡病毒還采用了偽裝、變形等技術來侵入計算機，進而造成更大的殺傷，使得計算機反病毒體系常常處于力不從心的狀態(tài)。為了建立基于計算機網絡病毒防范的可靠防御體系，本文希望面向防御目標實施數據挖掘相關技術，并基于該技術搭建DMAV體系結構，實現對病毒的主動檢測和主動防御。

[關鍵詞]計算機網絡病毒；數據挖掘技術；防御；DMAV系統

一、計算機網絡病毒技術

加密技術就是當前計算機病毒中最為常見的一種，它的特點就是能夠實現對病毒本體的隱藏，并存在抗分析效能。在最關鍵的加密環(huán)節(jié)，該病毒則運用到了病毒密文代碼，它潛伏于病毒的宿主程序中，在程序運行過程中，它能夠精確實現對密鑰的觸發(fā)及病毒解密密碼執(zhí)行過程，讓加密前的明文病毒代碼轉化為密文病毒代碼，實現病毒的成功變形，即加密多形病毒。

另外還有程序演化，該套技術也是目前計算機網絡病毒的主要變形技術，它所指的程序演化是從一個對源程序的出發(fā)，在不改變任何程序功能的前提下來實現計算機程序等價指令的變量替換，促使程序演化指令代碼快速異變。譬如說等價指令序列替換、指令重排序、變量寄存器替換、插入垃圾指令等等都是病毒程序所善用的程序演化技術，成功的程序演化可以讓病毒衍生出多個變體，使計算機反病毒體系顧此失彼，防不勝防，在其漏查漏殺的狀況下，大量網絡病毒就會陸續(xù)入侵到計算機系統中，造成大面積系統傷害。

可以說，當今計算機網絡病毒的多變特性及技術性也為計算機反病毒體系帶來了十分嚴峻的考驗。所以要在病毒技術不斷變形發(fā)展的同時，加快節(jié)奏對反病毒防御體系的構建。

二、數據挖掘技術

（一）數據挖掘技術的基本概念

數據挖掘技術的精髓指出就在于它能夠從人們所預先未知的潛在層次中大量、隨機挖掘有價值的應用數據及信息知識，為他們建立規(guī)則模型，進而來體現它們的作用。綜合來講它是具有交叉性的綜合性學科，顯而易見它所涉及的領域包括模式識別、歸納推理、機械學、統計學以及數據庫管理等等，所以數據挖掘是具有相當廣闊的發(fā)展應用前景的。

（二）選擇數據挖掘技術建設計算機網絡病毒防御體系的原因

就目前對數據挖掘技術的發(fā)展與研究形勢來看，它不僅作為一個關鍵的信息科技領域課題而存在，而且還被許多IT企業(yè)思維是計算機網絡病毒防御的重中之重，希望通過它的技術優(yōu)勢來建立更加穩(wěn)固的防御體系，抵御網絡病毒于千里之外。因此選擇數據挖掘技術來進行病毒主動防御體系建立主要有以下考慮：第一，目前對眾多反病毒軟件的研發(fā)已經初見成效，并在實踐過程中積累了多元化的病毒樣本，為數據挖掘技術建設奠定優(yōu)秀基礎平臺。依據該技術的發(fā)展特點來看，它完全可以在任何類型的信息存儲環(huán)境中實施防御體系建設；第二，如今是講求大數據的信息爆炸時代，必須要合理應用數據挖掘技術來提取計算機網絡系統中有價值信息。在對信息進行挖掘過程中，對大量病毒樣本的提取也可以幫助人們發(fā)現數據萬巨額模型與數據本身之間所存在的微妙關系，所以利用這樣的關系也可以對某些已知的計算機網絡病毒和未知病毒進行分析、預測，從而為建立主動病毒防御對策而創(chuàng)建思路。再者，數據挖掘技術的關聯規(guī)則挖掘相當實用，且可拓展范圍廣泛，基于它相關理論的一些研究也有利于對計算機網絡病毒防御體系的研究。

（三）基于關聯規(guī)則挖掘的OOA挖掘技術分析

本文所探討的數據挖掘技術就圍繞OOA挖掘技術展開，所謂OOA（Objective-Oriented utility-based Association min-ing）就是面向目標對象的，基于效用度關聯規(guī)則挖掘所展開的算法，它所針對并滿足的是計算機網絡系統中的特定目標用戶，基于其目標的效用度與關聯規(guī)則展開數據挖掘行為。

從OOA挖掘技術的項目集表現來看，它的數據挖掘行為是相對頻繁的。而如果項目集中所體現的OOA挖掘行為并不頻繁，這表示項目集屬性也是不頻繁的。那么根據以上描述就可以了解到，OOA挖掘技術基本能滿足傳統Apriori算法（挖掘關聯規(guī)則頻繁項集算法）在數據挖掘行為中的實現。經調查得知：OOA挖掘技術的主要算法與Apriori算法在形式上是基本類似的。但與傳統ICOA挖掘技術相比，它的項集相關性在本文中將要提到的DMAV系統中會產生滿足于特定目標關聯規(guī)則的挖掘數據。而該挖掘數據在滿足一定條件下就可判斷其是否是可以文件數據或病毒，因此下文將結合OOA挖掘算法，并實施修正，將其應用于DMAV系統所創(chuàng)建的規(guī)則生成器中，建立真正的計算機網絡病毒防御應用體系。

三、基于OOA數據挖掘技術的DMAV病毒主動防御系統的設計與應用

（一）DMAV系統

DMAV系統通過數據挖掘技術對計算機網絡變形病毒與未知病毒實施檢測與主動防御，是綜合性平臺。它通過改進后的OOA挖掘算法開啟對計算機網絡數據庫的學習，基于OOA規(guī)則生成器來建立目標關聯規(guī)則。當系統在判定可疑數據文件是否存在病毒時，它會導出WinAPI函數來對可以文件進行掃描，并對其數據規(guī)則的每一條進行校對，當其規(guī)則滿足數據庫中條件時，就可視為該文件為病毒文件。

（二）PE文件剖析器

PE文件剖析器的關鍵就在于它的WinAPI調用序列，它能夠反映計算機網絡系統的代碼段行為，并調查網絡病毒的來源與去向。以某一網絡病毒“LoveGate”為例，調用部分WinAPI函數來實現3點說明。

首先，LoveGate是通過調用GerVersion函數來獲取網絡系統版本號的。

其次，它也通過調用上述文件中的ShellExecute函數來終止當前可能存在的反病毒軟件監(jiān)控行為。

最后，在調用Net PI.DLL和SVRAPI.DLL函數時，DMAV系統會微計算機網絡創(chuàng)建有效的安全信息目錄。

所以說，WinAPI函數調用序列真正能做到對某個或多個病毒文件所實施全部行為的實時反應。

（三）OOA規(guī)則生成器

圍繞Apriori算法，OOA挖掘技術所創(chuàng)建的OOA規(guī)則生成器可以實現實際算法，進而對OOA頻繁集里的所有關聯項目集實施判斷，從而找出病毒文件。

OOA-Apriori算法應該是產生于OOA的頻繁集產生規(guī)則中的，所以當每個頻繁集產生后，都只需要掃描一次數據庫即可作出PE文件判斷。當該算法中包含了集k-hemSet時，考慮由于數據都在特征人庫過程中，所以它們的有序向量都是針對事務t的搜索所展開的，這就為DMAV系統主動防御病毒騰出了大量的有效空間與時間。

（四）可疑文件掃描器

當前兩項計算對PF可疑數據文件中的病毒樣本進行特征提取之后，就需要利用可疑文件掃描器來對它的特征優(yōu)化部分與規(guī)則部分進行進一步提取。但同時為了提高數據提取的精確度，還要在實施進一步掃描前對諸如WANDER和WADERS的序列進行重新排列。新的排列序列基于重拍算法展開，通過矩陣來實現演算結果。比如說設定矩陣首行為Am，當首列為0行0列時，對設定矩陣進行判定，看病毒PE文本文件的特征向量間距離是否已經超出了DMAV系統所規(guī)范的常規(guī)閾值，如果文件超過規(guī)定閾值標準，則可認定該數據文件是病毒文件，需要及時處理。

目前的DMAV計算機網絡病毒主動防御系統都是基于VC++語言展開界面設計的，并調動系統中的常用描述方法來檢測界面中可能存在的可疑數據文件。該系統的一大特色就是會主動為用戶設定可以掃描路徑，并展開主動檢測工作，及時判定某些PE文件是否是病毒文件。主要將其與系統中導出的WinAPI函數調用序列進行基于規(guī)則的文件比較，如果其文件向量均滿足規(guī)則庫中所提出的某一規(guī)則，那么就可認定網絡系統中出現了病毒文件。

總結

基于數據挖掘技術的計算機網絡病毒防御體系構建還是相對復雜的，正如本文所提出的病毒主動防御系統DMAV，它利用PE文件剖析器、OOA規(guī)則生成器以及可以文件掃描器來共同實現了多元化的算法，它們都大大提升了計算機網絡系統的工作效率，也同時滿足了對病毒的掃描速率和敏感性，充分實現了對計算機網絡安全的保護以及對病毒的主動檢測和防御，值得在未來的計算機網絡病毒防御體系構建過程中投入更多的力量進行更深入的研究。