摘 要： 利用PE文件剖析器、00A規(guī)則生成器、可疑文件掃描器按照主動(dòng)防御系統(tǒng)原理，生成了基于數(shù)據(jù)挖掘技術(shù)的DMAV病毒主動(dòng)防御系統(tǒng)。通過(guò)對(duì)比不同殺毒軟件的變形病毒、未知病毒檢測(cè)效果，發(fā)現(xiàn)新設(shè)計(jì)的DMAV病毒主動(dòng)防御系統(tǒng)較其他殺毒軟件殺毒范圍更廣、效率更高。

關(guān)鍵詞： 數(shù)據(jù)挖掘； 網(wǎng)絡(luò)病毒； 變形病毒； 防御系統(tǒng)

中圖分類號(hào)： TN915.08?34 文獻(xiàn)標(biāo)識(shí)碼： A 文章編號(hào)： 1004?373X（2016）21?0120?03

Exploration of data mining technology based virus defense technology

for computer network

YU Li

（Department of Information Security Engineering， Xinjiang Police College， Urumchi 830011， China）

Abstract： According to the principle of active defense system， the PE file parser， 00A rule generator and suspicious file scanner are used to generate the DMAV virus active defense system based on data mining technology. By comparing the detection effects of different antivirus softwares dealing with deformation virus and unknown virus， it is found the new designed DMAV active virus defense system has wider antivirus scope and higher efficiency than those of other antivirus softwares.

Keywords： data mining； network virus； deformation virus； defense system

1 數(shù)據(jù)挖掘技術(shù)

1.1 數(shù)據(jù)挖掘概述

描述和預(yù)測(cè)是數(shù)據(jù)挖掘的兩大主要任務(wù)。基于對(duì)這兩大任務(wù)的不同角度理解，可以演變出不同的含義。其中，相關(guān)定義、分類和功能如表1所示。

1.2 數(shù)據(jù)挖掘過(guò)程及方法

數(shù)據(jù)挖掘主要經(jīng)過(guò)以下幾個(gè)環(huán)節(jié)進(jìn)行操作：數(shù)據(jù)收集→數(shù)據(jù)預(yù)處理和數(shù)據(jù)清洗→數(shù)據(jù)挖掘→模型建立→模型評(píng)價(jià)。

其中，數(shù)據(jù)收集和數(shù)據(jù)預(yù)處理、數(shù)據(jù)清洗被劃分為數(shù)據(jù)準(zhǔn)備階段，這一階段的主要目的是收集相關(guān)價(jià)值信息并進(jìn)行數(shù)據(jù)編碼。數(shù)據(jù)挖掘階段主要利用機(jī)器學(xué)習(xí)法、數(shù)據(jù)庫(kù)法、統(tǒng)計(jì)學(xué)法、神經(jīng)網(wǎng)絡(luò)法等相關(guān)挖掘方法，通過(guò)不同的算法獲得準(zhǔn)確度較高的預(yù)測(cè)模型。模型建立和模型評(píng)價(jià)被劃分為分析結(jié)果顯示階段，這一階段主要是根據(jù)不同用戶的需求剔除冗余信息，并反復(fù)采用新的挖掘算法進(jìn)行數(shù)據(jù)優(yōu)化和信息反饋。

1.3 數(shù)據(jù)挖掘應(yīng)用及發(fā)展趨勢(shì)

數(shù)據(jù)挖掘技術(shù)在不同的行業(yè)領(lǐng)域均有較大發(fā)展。當(dāng)前應(yīng)用較為廣泛的主要是制造業(yè)、通信業(yè)、財(cái)務(wù)金融保險(xiǎn)業(yè)、銷售業(yè)等領(lǐng)域。此外在網(wǎng)絡(luò)安全領(lǐng)域，數(shù)據(jù)挖掘技術(shù)由于其具備的高效性、準(zhǔn)確性、可預(yù)見性等眾多優(yōu)點(diǎn)，在海量數(shù)據(jù)分析、病毒檢測(cè)、信息提取及預(yù)測(cè)等方面也有廣泛應(yīng)用。

雖然數(shù)據(jù)挖掘在不同領(lǐng)域均有廣泛應(yīng)用，但在應(yīng)用過(guò)程中也存在以下幾方面的問(wèn)題：數(shù)據(jù)源形式多樣和數(shù)據(jù)缺失問(wèn)題；網(wǎng)絡(luò)和分布式環(huán)境數(shù)據(jù)挖掘問(wèn)題；海量數(shù)據(jù)挖掘問(wèn)題；數(shù)據(jù)挖掘系統(tǒng)交互性問(wèn)題；數(shù)據(jù)挖掘算法可伸縮性和效率問(wèn)題；數(shù)據(jù)表示和知識(shí)積累問(wèn)題。這些問(wèn)題都迫使數(shù)據(jù)挖掘技術(shù)需要進(jìn)行更高層次的改進(jìn)和發(fā)展。

2 病毒防御技術(shù)

2.1 病毒分類及特點(diǎn)

計(jì)算機(jī)病毒是指可以毀壞計(jì)算機(jī)相關(guān)程序、功能、數(shù)據(jù)文件，并影響計(jì)算機(jī)正常使用的一組程序代碼或數(shù)據(jù)指令。根據(jù)相關(guān)病毒的傳播繁衍方式的不同，當(dāng)前的計(jì)算機(jī)病毒主要可分為惡意軟件病毒、蠕蟲、后門、間諜軟件、特洛伊木馬等病毒，其中后門是計(jì)算機(jī)安全領(lǐng)域最常見的病毒形式。

這些病毒常見的攻擊方式有：復(fù)雜海量數(shù)據(jù)、進(jìn)行進(jìn)程枚舉、盜取機(jī)密信息并獲取相關(guān)權(quán)限、清除數(shù)據(jù)文件并下載垃圾文件、感染其他關(guān)聯(lián)系統(tǒng)及計(jì)算機(jī)。不論何種病毒、何種攻擊，都具有隱蔽性、潛伏性、不可預(yù)見性、感染性、破壞性、非授權(quán)性等特點(diǎn)。

2.2 病毒的發(fā)展歷程

病毒從產(chǎn)生到現(xiàn)在，主要經(jīng)歷了加密病毒、單變形病毒、準(zhǔn)變形病毒、全變形病毒四個(gè)階段。其中，不同階段病毒的特點(diǎn)如表2所示。

2.3 現(xiàn)階段病毒常用的變形技術(shù)及防治

加密、程序演化、重定位是現(xiàn)階段病毒常用的三種變形技術(shù)。加密技術(shù)主要是可以為病毒隱藏和抗分析提供相對(duì)安全的區(qū)域，以防止病毒分析軟件檢測(cè)分析。程序演化技術(shù)主要是通過(guò)等價(jià)指令交換、等價(jià)指令序列替換、指令重排序、增加和刪除指令、插入垃圾指令等方法演化出各種各樣的變異程序。

與病毒變形技術(shù)相對(duì)應(yīng)的就是病毒檢測(cè)防治技術(shù)。當(dāng)前反毒軟件主要采用的技術(shù)有特征碼檢測(cè)技術(shù)、虛擬機(jī)技術(shù)、主動(dòng)內(nèi)核技術(shù)、啟發(fā)式查毒技術(shù)、行為查殺病毒技術(shù)。其中，特征碼檢測(cè)技術(shù)是通過(guò)提取病毒特征碼進(jìn)行檢測(cè)；虛擬機(jī)技術(shù)是采用虛擬環(huán)境執(zhí)行程序命令進(jìn)行檢測(cè)；主動(dòng)內(nèi)核技術(shù)是主動(dòng)將防毒系統(tǒng)嵌入到操作系統(tǒng)內(nèi)核進(jìn)行主動(dòng)防御；啟發(fā)式查毒技術(shù)是通過(guò)查找病毒指令集數(shù)據(jù)庫(kù)進(jìn)行檢測(cè)；行為查殺病毒技術(shù)利用一定的行為規(guī)則進(jìn)行病毒判斷。

3 基于數(shù)據(jù)挖掘技術(shù)的病毒主動(dòng)防御系統(tǒng)DMAV

的設(shè)計(jì)和實(shí)現(xiàn)

3.1 DMAV系統(tǒng)的體系結(jié)構(gòu)

本文開發(fā)的DMAV病毒主動(dòng)防御系統(tǒng)原理為： 將可疑的PE文件壓縮或加殼，之后將剖析后的數(shù)據(jù)文件導(dǎo)入到Win API函數(shù)中；API查詢數(shù)據(jù)庫(kù)對(duì)收集到的特征數(shù)據(jù)進(jìn)行優(yōu)化，同時(shí)結(jié)合00A數(shù)據(jù)挖掘算法形成關(guān)聯(lián)規(guī)則；可疑文件掃描器利用規(guī)則庫(kù)對(duì)Win API函數(shù)進(jìn)行對(duì)比分析；滿足任意規(guī)范就是病毒，否則是安全文件。DMAV系統(tǒng)體系結(jié)構(gòu)圖如圖1所示。

從圖1中可以看出，PE文件剖析器、00A規(guī)則生成器、可疑文件掃描器是構(gòu)成該結(jié)構(gòu)的三大主要模塊。其中，PE文件剖析器的功能是提取、導(dǎo)出、匯編Win API函數(shù)序列；00A規(guī)則生成器利用不同數(shù)據(jù)挖掘算法進(jìn)行關(guān)聯(lián)規(guī)則挖掘；可疑文件掃描器的功能是進(jìn)行可疑文件掃描。

3.2 PE文件剖析器

PE病毒是當(dāng)前計(jì)算機(jī)安全領(lǐng)域中最為常見，也是數(shù)量最多、影響最大的病毒類型，因此本文主要對(duì)PE病毒進(jìn)行分析。PE是Win32環(huán)境中自帶的可執(zhí)行文件格式，它可以在任何Win32平臺(tái)中運(yùn)行和識(shí)別。PE文件是通過(guò)檢查并運(yùn)行DOS MZ header的偏移量、PE header的有效性、節(jié)表、Import Table邏輯部分進(jìn)行計(jì)算機(jī)裝載的。

為了實(shí)現(xiàn)PE文件解剖器的相關(guān)功能，需采取如下步驟進(jìn)行操作：檢驗(yàn)PE文件的有效性；定位PE header；獲取數(shù)據(jù)文件目錄地址，并提取當(dāng)中的VirtualAddress值；定位IMAGE結(jié)構(gòu)，檢查Original First Thunk值；判斷是否為0，判斷每個(gè)數(shù)組元素的元素值；遍歷DLL引入函數(shù)，反復(fù)循環(huán)計(jì)算直到數(shù)組底部。相關(guān)調(diào)閱命令如圖2所示。

3.3 00A規(guī)則生成器

00A規(guī)則生成器需要通過(guò)Apriori算法才能實(shí)現(xiàn)相關(guān)功能，具體步驟為：通過(guò)Apriori算法計(jì)算出00A頻繁集；判斷00A頻繁集，如果oc%

本文采用00A?FP?growh算法代替00A?Apriori算法進(jìn)行數(shù)據(jù)庫(kù)掃描，提高了規(guī)則生成器的運(yùn)行效率，降低了運(yùn)行空間。其中對(duì)00A?FP?growh算法的描述如下：使用FP樹挖掘頻繁模式；將數(shù)據(jù)表SignatureDT輸入到特征數(shù)據(jù)庫(kù)DMAV?DB中；輸出頻繁模式完全集；構(gòu)造FP?數(shù)，并進(jìn)行數(shù)據(jù)挖掘。其中，00A?FP?growh算法、00A?Apriori算法、00A?DMAV?FPgrowh算法的規(guī)則生成器效率對(duì)比如表3所示。

4 實(shí)驗(yàn)結(jié)果及分析

本文對(duì)5 611個(gè)樣本訓(xùn)練集和1 500個(gè)樣本測(cè)試集進(jìn)行實(shí)驗(yàn)分析。其中，訓(xùn)練集中的病毒主要有木馬病毒、后門病毒、蠕蟲病毒等互聯(lián)網(wǎng)常見病毒。

4.1 變形病毒的檢測(cè)及結(jié)果分析

通過(guò)DMAV病毒檢測(cè)系統(tǒng)對(duì)病毒樣本進(jìn)行了掃描檢測(cè)，得到了變形病毒的檢測(cè)結(jié)果，如表4所示。通過(guò)表中的檢測(cè)結(jié)果可以看出，DMAV病毒檢測(cè)系統(tǒng)對(duì)變形病毒具有較高精度的檢測(cè)效果。

4.2 未知病毒的檢測(cè)及結(jié)果分析

對(duì)未知病毒的檢測(cè)分析，本文采用DMAV系統(tǒng)和其他病毒掃描軟件進(jìn)行對(duì)比分析，病毒樣本加入了全新的1 000個(gè)特征病毒，檢測(cè)結(jié)果如表5所示。通過(guò)對(duì)比分析可以發(fā)現(xiàn)，利用00A挖掘算法開發(fā)的DMAV病毒檢測(cè)系統(tǒng)對(duì)未知病毒的防御能力較其他殺毒軟件有明顯的優(yōu)勢(shì)，病毒檢測(cè)的準(zhǔn)確度和檢測(cè)效率都有明顯提高。其中，DMAV病毒檢測(cè)系統(tǒng)的殺毒范圍達(dá)到了92%，較其他殺毒軟件提高20%左右。

5 結(jié) 論

本文首先簡(jiǎn)要介紹了數(shù)據(jù)挖掘的定義、分類、功能及發(fā)展應(yīng)用趨勢(shì)，其中數(shù)據(jù)挖掘的操作過(guò)程為：數(shù)據(jù)收集→數(shù)據(jù)預(yù)處理和數(shù)據(jù)清洗→數(shù)據(jù)挖掘→模型建立→模型評(píng)價(jià)。其次簡(jiǎn)要介紹了病毒的種類、特點(diǎn)和常見攻擊方式，并對(duì)病毒產(chǎn)生的四個(gè)階段的攻擊方法和特點(diǎn)進(jìn)行了分析，同時(shí)介紹了加密、程序演化、重定位三種常見的病毒變形技術(shù)。在此基礎(chǔ)上，本文利用PE文件剖析器、00A規(guī)則生成器、可疑文件掃描器按照主動(dòng)防御系統(tǒng)原理，生成了基于數(shù)據(jù)挖掘技術(shù)的DMAV病毒主動(dòng)防御系統(tǒng)。通過(guò)對(duì)比不同殺毒軟件的變形病毒、未知病毒檢測(cè)效果，發(fā)現(xiàn)新設(shè)計(jì)的DMAV病毒主動(dòng)防御系統(tǒng)較其他殺毒軟件殺毒范圍更廣、效率更高。

參考文獻(xiàn)

[1] 梁雪霆.數(shù)據(jù)挖掘技術(shù)的計(jì)算機(jī)網(wǎng)絡(luò)病毒防御技術(shù)研究[J].科技經(jīng)濟(jì)市場(chǎng)，2016（1）：25.

[2] 陳春.基于數(shù)據(jù)挖掘技術(shù)的計(jì)算機(jī)網(wǎng)絡(luò)病毒防御分析[J].信息通信，2015（5）：121?122.

[3] 黃偉杰.基于主動(dòng)貝葉斯分類器檢測(cè)未知惡意可執(zhí)行代碼的研究與實(shí)現(xiàn)[D].桂林：廣西師范大學(xué)，2002.

[4] 黃小霞.電廠信息網(wǎng)絡(luò)安全分析[D].西安：西安理工大學(xué)，2003.

[5] 王麗蘋.自適應(yīng)的分布式網(wǎng)絡(luò)入侵檢測(cè)及防御系統(tǒng)的研究與實(shí)現(xiàn)[D].西安：西北大學(xué)，2004.

[6] 王莉娜.分布式蠕蟲檢測(cè)與主動(dòng)防御系統(tǒng)的研究與實(shí)現(xiàn)[D].西安：西北大學(xué)，2005.

[7] 潘鳳.基于數(shù)據(jù)挖掘技術(shù)的安全事件分析平臺(tái)的研究與設(shè)計(jì)[D].成都：成都理工大學(xué)，2009.

[8] 李智勇.數(shù)據(jù)挖掘在計(jì)算機(jī)網(wǎng)絡(luò)病毒防御中的應(yīng)用探究[J].電子測(cè)試，2014（12）：46?48.

[9] 張錚.基于貝葉斯分類的入侵檢測(cè)規(guī)則學(xué)習(xí)模型的研究與實(shí)現(xiàn)[D].南京：南京航空航天大學(xué)，2007.

[10] 符廣全.基于Honeyfarm的蠕蟲主動(dòng)防御系統(tǒng)的研究與實(shí)現(xiàn)[D].蘇州：蘇州大學(xué)，2006.

[11] 王旭.基于增量式關(guān)聯(lián)規(guī)則挖掘算法的研究及其在手機(jī)病毒檢測(cè)中的應(yīng)用[D].北京：北京郵電大學(xué)，2013.

[12] 謝方方.基于距離的孤立點(diǎn)挖掘在計(jì)算機(jī)取證中的應(yīng)用研究[D].濟(jì)南：山東師范大學(xué)，2014.

[13] 劉志祥.網(wǎng)絡(luò)環(huán)境下計(jì)算機(jī)病毒的檢測(cè)與防御技術(shù)研究[D].武漢：華中科技大學(xué)，2009.