苟元琴

[摘要]在现阶段的互联网信息时代，网络病毒的不断滋生、变化为计算机系统带来了极大的安全困扰和伤害，尤其是许多网络病毒还采用了伪装、变形等技术来侵入计算机，进而造成更大的杀伤，使得计算机反病毒体系常常处于力不从心的状态。为了建立基于计算机网络病毒防范的可靠防御体系，本文希望面向防御目标实施数据挖掘相关技术，并基于该技术搭建DMAV体系结构，实现对病毒的主动检测和主动防御。

[关键词]计算机网络病毒；数据挖掘技术；防御；DMAV系统

一、计算机网络病毒技术

加密技术就是当前计算机病毒中最为常见的一种，它的特点就是能够实现对病毒本体的隐藏，并存在抗分析效能。在最关键的加密环节，该病毒则运用到了病毒密文代码，它潜伏于病毒的宿主程序中，在程序运行过程中，它能够精确实现对密钥的触发及病毒解密密码执行过程，让加密前的明文病毒代码转化为密文病毒代码，实现病毒的成功变形，即加密多形病毒。

另外还有程序演化，该套技术也是目前计算机网络病毒的主要变形技术，它所指的程序演化是从一个对源程序的出发，在不改变任何程序功能的前提下来实现计算机程序等价指令的变量替换，促使程序演化指令代码快速异变。譬如说等价指令序列替换、指令重排序、变量寄存器替换、插入垃圾指令等等都是病毒程序所善用的程序演化技术，成功的程序演化可以让病毒衍生出多个变体，使计算机反病毒体系顾此失彼，防不胜防，在其漏查漏杀的状况下，大量网络病毒就会陆续入侵到计算机系统中，造成大面积系统伤害。

可以说，当今计算机网络病毒的多变特性及技术性也为计算机反病毒体系带来了十分严峻的考验。所以要在病毒技术不断变形发展的同时，加快节奏对反病毒防御体系的构建。

二、数据挖掘技术

（一）数据挖掘技术的基本概念

数据挖掘技术的精髓指出就在于它能够从人们所预先未知的潜在层次中大量、随机挖掘有价值的应用数据及信息知识，为他们建立规则模型，进而来体现它们的作用。综合来讲它是具有交叉性的综合性学科，显而易见它所涉及的领域包括模式识别、归纳推理、机械学、统计学以及数据库管理等等，所以数据挖掘是具有相当广阔的发展应用前景的。

（二）选择数据挖掘技术建设计算机网络病毒防御体系的原因

就目前对数据挖掘技术的发展与研究形势来看，它不仅作为一个关键的信息科技领域课题而存在，而且还被许多IT企业思维是计算机网络病毒防御的重中之重，希望通过它的技术优势来建立更加稳固的防御体系，抵御网络病毒于千里之外。因此选择数据挖掘技术来进行病毒主动防御体系建立主要有以下考虑：第一，目前对众多反病毒软件的研发已经初见成效，并在实践过程中积累了多元化的病毒样本，为数据挖掘技术建设奠定优秀基础平台。依据该技术的发展特点来看，它完全可以在任何类型的信息存储环境中实施防御体系建设；第二，如今是讲求大数据的信息爆炸时代，必须要合理应用数据挖掘技术来提取计算机网络系统中有价值信息。在对信息进行挖掘过程中，对大量病毒样本的提取也可以帮助人们发现数据万巨额模型与数据本身之间所存在的微妙关系，所以利用这样的关系也可以对某些已知的计算机网络病毒和未知病毒进行分析、预测，从而为建立主动病毒防御对策而创建思路。再者，数据挖掘技术的关联规则挖掘相当实用，且可拓展范围广泛，基于它相关理论的一些研究也有利于对计算机网络病毒防御体系的研究。

（三）基于关联规则挖掘的OOA挖掘技术分析

本文所探讨的数据挖掘技术就围绕OOA挖掘技术展开，所谓OOA（Objective-Oriented utility-based Association min-ing）就是面向目标对象的，基于效用度关联规则挖掘所展开的算法，它所针对并满足的是计算机网络系统中的特定目标用户，基于其目标的效用度与关联规则展开数据挖掘行为。

从OOA挖掘技术的项目集表现来看，它的数据挖掘行为是相对频繁的。而如果项目集中所体现的OOA挖掘行为并不频繁，这表示项目集属性也是不频繁的。那么根据以上描述就可以了解到，OOA挖掘技术基本能满足传统Apriori算法（挖掘关联规则频繁项集算法）在数据挖掘行为中的实现。经调查得知：OOA挖掘技术的主要算法与Apriori算法在形式上是基本类似的。但与传统ICOA挖掘技术相比，它的项集相关性在本文中将要提到的DMAV系统中会产生满足于特定目标关联规则的挖掘数据。而该挖掘数据在满足一定条件下就可判断其是否是可以文件数据或病毒，因此下文将结合OOA挖掘算法，并实施修正，将其应用于DMAV系统所创建的规则生成器中，建立真正的计算机网络病毒防御应用体系。

三、基于OOA数据挖掘技术的DMAV病毒主动防御系统的设计与应用

（一）DMAV系统

DMAV系统通过数据挖掘技术对计算机网络变形病毒与未知病毒实施检测与主动防御，是综合性平台。它通过改进后的OOA挖掘算法开启对计算机网络数据库的学习，基于OOA规则生成器来建立目标关联规则。当系统在判定可疑数据文件是否存在病毒时，它会导出WinAPI函数来对可以文件进行扫描，并对其数据规则的每一条进行校对，当其规则满足数据库中条件时，就可视为该文件为病毒文件。

（二）PE文件剖析器

PE文件剖析器的关键就在于它的WinAPI调用序列，它能够反映计算机网络系统的代码段行为，并调查网络病毒的来源与去向。以某一网络病毒“LoveGate”为例，调用部分WinAPI函数来实现3点说明。

首先，LoveGate是通过调用GerVersion函数来获取网络系统版本号的。

其次，它也通过调用上述文件中的ShellExecute函数来终止当前可能存在的反病毒软件监控行为。

最后，在调用Net PI.DLL和SVRAPI.DLL函数时，DMAV系统会微计算机网络创建有效的安全信息目录。

所以说，WinAPI函数调用序列真正能做到对某个或多个病毒文件所实施全部行为的实时反应。

（三）OOA规则生成器

围绕Apriori算法，OOA挖掘技术所创建的OOA规则生成器可以实现实际算法，进而对OOA频繁集里的所有关联项目集实施判断，从而找出病毒文件。

OOA-Apriori算法应该是产生于OOA的频繁集产生规则中的，所以当每个频繁集产生后，都只需要扫描一次数据库即可作出PE文件判断。当该算法中包含了集k-hemSet时，考虑由于数据都在特征人库过程中，所以它们的有序向量都是针对事务t的搜索所展开的，这就为DMAV系统主动防御病毒腾出了大量的有效空间与时间。

（四）可疑文件扫描器

当前两项计算对PF可疑数据文件中的病毒样本进行特征提取之后，就需要利用可疑文件扫描器来对它的特征优化部分与规则部分进行进一步提取。但同时为了提高数据提取的精确度，还要在实施进一步扫描前对诸如WANDER和WADERS的序列进行重新排列。新的排列序列基于重拍算法展开，通过矩阵来实现演算结果。比如说设定矩阵首行为Am，当首列为0行0列时，对设定矩阵进行判定，看病毒PE文本文件的特征向量间距离是否已经超出了DMAV系统所规范的常规阈值，如果文件超过规定阈值标准，则可认定该数据文件是病毒文件，需要及时处理。

目前的DMAV计算机网络病毒主动防御系统都是基于VC++语言展开界面设计的，并调动系统中的常用描述方法来检测界面中可能存在的可疑数据文件。该系统的一大特色就是会主动为用户设定可以扫描路径，并展开主动检测工作，及时判定某些PE文件是否是病毒文件。主要将其与系统中导出的WinAPI函数调用序列进行基于规则的文件比较，如果其文件向量均满足规则库中所提出的某一规则，那么就可认定网络系统中出现了病毒文件。

总结

基于数据挖掘技术的计算机网络病毒防御体系构建还是相对复杂的，正如本文所提出的病毒主动防御系统DMAV，它利用PE文件剖析器、OOA规则生成器以及可以文件扫描器来共同实现了多元化的算法，它们都大大提升了计算机网络系统的工作效率，也同时满足了对病毒的扫描速率和敏感性，充分实现了对计算机网络安全的保护以及对病毒的主动检测和防御，值得在未来的计算机网络病毒防御体系构建过程中投入更多的力量进行更深入的研究。