试论数据挖掘在计算机网络病毒防御中的应用
作者:佚名; 更新时间:2014-12-05
【论文关键词】数据挖掘;网络病毒;防御
【论文摘要】随着Internet的普及,尤其是宽带网的盛行,信捷职称论文写作发表网,计算机病毒也在向网络化方向发展,这种病毒就是所谓的蠕虫病毒。本文利用数据挖掘技术,研究了如何在新的蠕虫病毒大规模爆发之前就将其检测到,并采取相应的措施。
一、网络病毒的特征分析
网络病毒(蠕虫病毒)自身就是一个可执行的二进制代码程序文件。它的传播途径、方式与传统的病毒不同,它具有主动性传播的特点。它主动扫描网络上主机操作系统和一些网络服务的漏洞(大多是利用操作系统的缓冲区溢出漏洞),利用这些漏洞侵入这些主机,将自身的副本植入其中,从而完成传播过程。被感染后的主机又会用同样的手法感染网络上其它的主机,如此反复下去,这样很快就会传遍整个网络,尤其是一个新的操作系统漏洞还没引起计算机用户足够重视的时候。蠕虫病毒感染主机后往往大量占用主机资源(如CPU资源、内存资源等),使机器运行速度越来越慢,或向网络上发送巨量的垃圾IP数据包,严重阻塞网络带宽,甚至造成整个网络瘫痪。更恶毒的还会盗取用户的敏感资料,如帐号和密码等。而且现在的蠕虫病毒有从以破坏为主要目的向以盗取资料为主要目的转换的趋势,因此危害更大。
通过分析蠕虫病毒的传播过程可知,蠕虫病毒要感染网络上的其它主机,首先必须对网络上的主机进行扫描。它的这一举动就暴露了目标,就为检测蠕虫病毒提供了途径,也使蠕虫病毒预防系统的实现成为可能。通过抓包分析,发现蠕虫病毒的扫描过程并不像黑客入侵前的扫描那样详细,它只是随机地生成目标主机的IP地址(通常优先生成本网段或相邻网段的IP地址),然后用攻击模块(通常是用缓冲区溢出程序)直接攻击目标IP地址的主机,而不管该主机是否存在。这个攻击过程首先要向目标主机的特定端口发起TCP连接请求。例如,冲击波蠕虫病毒会在几秒内两次向目标主机的135端口发起连接请求,而震荡波会在几秒内两次向目标主机的445端口发起连接请求。因此,通过捕获数据包,利用数据挖掘技术分析它们的特征,找出异常的数据,从而达到预防的目的。
二、基于数据挖掘的病毒预防系统
基于数据挖掘的蠕虫病毒预防系统主要由数据源模块、预处理模块、数据挖掘模块、规则库模块、决策模块、预防模块等组成。
(一)工作原理
1.数据源是由一个抓包程序将所有来自于网络的、发向本机的数据包截获下来,交给预处理模块处理。
2.数据预处理模块将截获的数据包进行分析,处理成连接请求记录的格式。因为蠕虫病毒传染网络上的主机时,会主动地向主机发起连接,这也是预防系统建立的理论依据。连接记录由时间、源IP地址、源端口、目的IP地址、目的端口组成。这些众多的连接请求记录组成了事件的集合。
3.规则库用于存储已知的蠕虫病毒的连接特征和新近数据挖掘形成的规则集。规则集是蠕虫病毒行为模式的反映,用于指导训练数据的收集和作为特征选择的依据。
下一篇:基于对学校校园网建设的探讨
热门论文