【 论文 要害词】数据发掘; 网络 病毒;防备
【论文摘要】跟着Internet的遍及,尤其是宽带网的风行, 计算 机病毒也在向网络化方向 发展 ,这种病毒就是所谓的蠕虫病毒。本文利用数据挖掘技巧,研讨了如何在新的蠕虫病毒大范围暴发之前就将其检测到,并采用相应的办法。
一、网络病毒的特征分析
网络病毒(蠕虫病毒)本身就是一个可履行的二进制代码程序言件。它的传布道路、方法与传统的病毒不同,它存在自动性流传的特色。它主动扫描网络上主机操作系统和一些网络服务的漏洞(大多是应用操作系统的缓冲区溢出漏洞),利用这些破绽侵入这些主机,将自身的副本植入其中,从而实现传播进程。被感染后的主机又会用同样的伎俩感染网络上其它的主机,如斯重复下去,这样很快就会传遍全部网络,尤其是一个新的操作体系漏洞还没引起盘算机用户足够器重的时候。蠕虫病毒沾染主机后往往大批占用主机资源(如CPU资源、内存资源等),使机器运行速度越来越慢,或向网络上发送巨量的垃圾IP数据包,重大梗阻网络带宽,甚至造成整个网络瘫痪。更狠毒的还会盗取用户的敏感资料,如帐号跟密码等。而且当初的蠕虫病毒有从以损坏为主要目的向以盗取材料为重要目标转换的趋势,因而迫害更大。
通过火析蠕虫病毒的传播过程可知,蠕虫病毒要感染网络上的其它主机,首先必须对网络上的主机进行扫描。它的这一举措就裸露了目标,就为检测蠕虫病毒提供了门路,也使蠕虫病毒预防系统的实现成为可能。通过抓包分析,发现蠕虫病毒的扫描过程并不像黑客入侵前的扫描那样具体,它只是随机地天生目标主机的IP地址(通常优先生本钱网段或相邻网段的IP地址),而后用攻打模块(通常是用缓冲区溢出程序)直接袭击目标IP地址的主机,而不论该主机是否存在。这个攻击过程首先要向目标主机的特定端口发起TCP连接请求。例如,冲击波蠕虫病毒会在几秒内两次向目标主机的135端口发起连接请求,而震动波会在几秒内两次向目的主机的445端口发起连接请求。因此,通过捕捉数据包,利用数据挖掘技术分析它们的特征,找出异样的数据,从而到达预防的目的。
二、基于数据挖掘的病毒预防系统
基于数据挖掘的蠕虫病毒预防系统主要由数据源模块、预处理模块、数据挖掘模块、规则库模块、决策模块、预防模块等组成。
(一)工作原理
1.数据源是由一个抓包程序将所有来自于网络的、发向本机的数据包截获下来,交给预处置模块处理。
2.数据预处理模块将截获的数据包进行分析,处理成连接要求记载的格局。由于蠕虫病毒沾染网络上的主机时论文,会主动地向主机发动连接,这也是防备系统树立的实践根据。连接记录由时光、源IP地址、源端口、目的IP地址、目的端口组成。这些众多的连接请求记录组成了事件的聚集。
3.规则库用于存储已知的蠕虫病毒的连接特征和早先数据挖掘构成的规则集。规则集是蠕虫病毒行动模式的反应,用于领导练习数据的收集和作为特点抉择的依据。
4.数据挖掘模块利用数据挖掘算法剖析由衔接恳求记载组成的事件库,分析结果交给决策模块处理。
5.决策模块将数据挖掘的结果与规则库中的已知规则进行模式匹配,若与规则库中的规则匹配,则由预防模块发动身现已知蠕虫病毒的警报;若不匹配,则由预防模块发出发明新蠕虫病毒的警报,同时将新规则参加到规则库中。
(二)基于数据挖掘的病毒预防系统
1.分类:把一个数据集映射成定义好的多少个类。这类算法的输出成果就是分类器,常用决议树或规矩集的情势来表现。
2.关系分析:决议数据库记录中各数据项之间的关联。利用审计数据中系统属性间的相干性作为构建畸形应用模式的基本。
3.序列分析:获取序列模式模型。这类算法能够发现审计事件中频繁产生的时间序列。这些频繁事件模式为构建预防系统模型时取舍统计特征供给了指点准则。其算法描写为:已知事件数据库D,其中每次交易T与时间戳关联,交易依照区间〔t1,t2〕次序从时间戳t1开端到t2停止。对D中项目集X,假如某区间包含X,而其真子区间不包括X时,称此区间为X的最小出现区间。X的支撑度定义为包含X的最小涌现区间数量占D中记录数目比例。其规则表示为X,Y->Z代写硕士论文,[confidence,support,window],式中X,Y,Z为D中名目集,规则支持度为support(X∪Y∪Z),相信度为support(X∪Y∪Z)/support(X∪Y),每个呈现的宽度必需小于窗口值。