當(dāng)前，計(jì)算機(jī)網(wǎng)絡(luò)病毒的傳播給人們使用計(jì)算機(jī)造成了很大的困擾，網(wǎng)絡(luò)病毒在計(jì)算機(jī)中輕則導(dǎo)致隱私泄露，重則導(dǎo)致系統(tǒng)癱瘓。同時(shí)，《中華人民共和國(guó)網(wǎng)絡(luò)安全法》的通過與實(shí)施使我們清楚地認(rèn)識(shí)到網(wǎng)絡(luò)安全與國(guó)家安全息息相關(guān)，沒有網(wǎng)絡(luò)安全就沒有國(guó)家安全。因此，研究更有效的計(jì)算機(jī)網(wǎng)絡(luò)病毒防御技術(shù)具有重要意義。而將數(shù)據(jù)挖掘技術(shù)應(yīng)用于計(jì)算機(jī)網(wǎng)絡(luò)病毒防御中，可以有效控制當(dāng)前迅速傳播的網(wǎng)絡(luò)病毒，從而更好地保護(hù)計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)的安全。

　　1計(jì)算機(jī)網(wǎng)絡(luò)病毒

　　1.1計(jì)算機(jī)網(wǎng)絡(luò)病毒的定義與特征

　　從廣義上來講，計(jì)算機(jī)網(wǎng)絡(luò)病毒是指通過網(wǎng)絡(luò)傳播并破壞計(jì)算機(jī)功能或者毀壞計(jì)算機(jī)內(nèi)部數(shù)據(jù)的代碼程序。從狹義上來講，計(jì)算機(jī)網(wǎng)絡(luò)病毒是指?jìng)鞑ネ緩胶推茐膶?duì)象均為網(wǎng)絡(luò)的代碼程序[1]。計(jì)算機(jī)網(wǎng)絡(luò)病毒主要包括木馬病毒、蠕蟲病毒、宏病毒和腳本病毒等。當(dāng)前，為對(duì)抗特征碼檢測(cè)技術(shù)，計(jì)算機(jī)網(wǎng)絡(luò)病毒多采用加密、多態(tài)、變形等技術(shù)手段，使得反病毒軟件即使從單個(gè)樣本中提取出特征碼也無法檢測(cè)出變形后的病毒，展現(xiàn)出變化速度較快的特征;由于網(wǎng)絡(luò)技術(shù)的迅猛發(fā)展，計(jì)算機(jī)網(wǎng)絡(luò)病毒可以通過多種方式如系統(tǒng)漏洞、電子郵件、文件共享、不良網(wǎng)頁等方式進(jìn)行傳播，展現(xiàn)出傳播速度較快且傳播形式多樣的特征;通過竊取或破壞用戶存儲(chǔ)在計(jì)算機(jī)內(nèi)的隱私信息或重要文件，政府、企業(yè)等組織的機(jī)密信息來獲取經(jīng)濟(jì)利益，計(jì)算機(jī)網(wǎng)絡(luò)病毒展現(xiàn)出越來越強(qiáng)的針對(duì)性與破壞性的特征。

　　1.2計(jì)算機(jī)網(wǎng)絡(luò)病毒的主要防治技術(shù)

　　1.2.1靜態(tài)病毒檢測(cè)技術(shù)。(1)特征碼檢測(cè)技術(shù)特征碼是反病毒軟件從病毒樣本中提取出的一串二進(jìn)制數(shù)值，可以根據(jù)這一數(shù)值來判斷一個(gè)文件是不是病毒文件或是否已感染病毒。常見的可以作為特征碼的信息有病毒感染計(jì)算機(jī)后在屏幕上顯示的信息、病毒的感染標(biāo)記或病毒文件中任何一段連續(xù)的、不含空格的且長(zhǎng)度不大于64字節(jié)的字符串[2]。隨后，病毒檢測(cè)引擎可以將待檢測(cè)文件與病毒特征碼進(jìn)行二進(jìn)制匹配，如果匹配成功，則該文件很有可能是病毒或已感染病毒。(2)校驗(yàn)和檢測(cè)技術(shù)首先計(jì)算出正常文件或系統(tǒng)扇區(qū)的校驗(yàn)和并將其寫入數(shù)據(jù)庫。其中常見的計(jì)算對(duì)象有系統(tǒng)數(shù)據(jù)、文件頭部、文件屬性和文件內(nèi)容，常用的校驗(yàn)和算法有MD5、CRC等[2]。然后，當(dāng)使用文件或啟動(dòng)系統(tǒng)時(shí)計(jì)算文件或系統(tǒng)扇區(qū)的校驗(yàn)和并將其與數(shù)據(jù)庫中保存的校驗(yàn)和進(jìn)行對(duì)比。若比較結(jié)果不一致，則文件或系統(tǒng)扇區(qū)有可能已感染病毒。(3)啟發(fā)式掃描技術(shù)啟發(fā)式掃描技術(shù)運(yùn)用反匯編引擎得到病毒程序的匯編指令序列，并將其與病毒程序行為代碼數(shù)據(jù)庫進(jìn)行對(duì)比，找出程序中的可疑代碼。然后根據(jù)統(tǒng)計(jì)規(guī)律，判斷該文件是不是病毒文件或是否已感染病毒并給出合理解釋。當(dāng)面對(duì)變形或多態(tài)病毒時(shí)，可以將該技術(shù)與虛擬機(jī)檢測(cè)技術(shù)結(jié)合起來，先使用虛擬機(jī)檢測(cè)技術(shù)使病毒現(xiàn)出“原形”，然后使用啟發(fā)式掃描技術(shù)對(duì)該文件進(jìn)行檢測(cè)。1.2.2動(dòng)態(tài)病毒檢測(cè)技術(shù)。(1)虛擬機(jī)檢測(cè)技術(shù)為對(duì)抗網(wǎng)絡(luò)上日益猖獗的加密、多態(tài)和變形病毒，虛擬機(jī)檢測(cè)技術(shù)應(yīng)運(yùn)而生。虛擬機(jī)首先從病毒程序或染毒文件中讀取病毒的入口點(diǎn)代碼，然后模擬執(zhí)行病毒內(nèi)部的解密程序段，暴露出病毒的“原形”，隨后使用特征碼檢測(cè)技術(shù)或啟發(fā)式掃描技術(shù)來對(duì)該文件進(jìn)行檢測(cè)。(2)主動(dòng)防御技術(shù)主動(dòng)防御技術(shù)是指通過實(shí)時(shí)監(jiān)控應(yīng)用程序的行為來判斷其是否有惡意傾向，當(dāng)程序發(fā)生敏感行為時(shí)將向用戶發(fā)出警告，若其行為已嚴(yán)重到對(duì)系統(tǒng)安全構(gòu)成巨大威脅時(shí)也可直接將程序清除。1.2.3云查殺技術(shù)。云查殺技術(shù)是指將客戶端上的可疑文件、行為數(shù)據(jù)和對(duì)可疑文件的處理過程等上傳到云端服務(wù)器，利用云端服務(wù)器強(qiáng)大的數(shù)據(jù)和運(yùn)算資源以及各種分析手段來對(duì)其進(jìn)行判別，并指導(dǎo)客戶端做出相應(yīng)處理。這大大提高了判別的準(zhǔn)確性，也使得安全廠商可以更快地掌握新型病毒的行為特點(diǎn)和傳播動(dòng)向，并及時(shí)采取相應(yīng)防御措施[2]。

　　2數(shù)據(jù)挖掘技術(shù)及其在計(jì)算機(jī)網(wǎng)絡(luò)病毒防御中的應(yīng)用

　　2.1數(shù)據(jù)挖掘技術(shù)簡(jiǎn)介數(shù)據(jù)挖掘是指從大量的數(shù)據(jù)中，運(yùn)用統(tǒng)計(jì)學(xué)、人工智能、機(jī)器學(xué)習(xí)等方法，挖掘出未知的、且有價(jià)值的信息和知識(shí)的過程。數(shù)據(jù)挖掘技術(shù)主要有關(guān)聯(lián)分析、分類分析、聚類分析、異類分析、特異群組分析和演變分析等。

　　2.2構(gòu)建網(wǎng)絡(luò)病毒防御系統(tǒng)的數(shù)據(jù)挖掘技術(shù)。2.2.1有監(jiān)督的數(shù)據(jù)挖掘技術(shù)。分類分析是有監(jiān)督的數(shù)據(jù)挖掘技術(shù)，指預(yù)先設(shè)定幾個(gè)類別，然后將個(gè)體依據(jù)其特征分別納入不同的類別。分類分析的輸入數(shù)據(jù)是記錄的集合，每條記錄用元組(x,y)來表示。其中x是屬性集合，y是這條記錄所屬的類別[3]。進(jìn)行分類分析的目的在于利用統(tǒng)計(jì)方法或機(jī)器學(xué)習(xí)方法等構(gòu)造分類模型，將數(shù)據(jù)庫中的數(shù)據(jù)映射到某個(gè)特定類，即實(shí)現(xiàn)從x到y(tǒng)的映射，然后利用該分類規(guī)則分類其他數(shù)據(jù)[4]。若將分類分析與啟發(fā)式掃描技術(shù)相結(jié)合，則需要在訓(xùn)練集中導(dǎo)入良性樣本和惡意樣本。其中屬性集合x為各種程序行為代碼，若某一樣本的匯編指令序列中出現(xiàn)該代碼則記為1，否則記為0;類標(biāo)號(hào)y為Yes或No，代表該樣本是不是病毒程序。由此訓(xùn)練出分類模型，隨后我們可以用一個(gè)包含良性樣本和惡意樣本的檢驗(yàn)集來判斷該模型是否有效。在靜態(tài)分析中，支持向量機(jī)算法表現(xiàn)較好;而在動(dòng)態(tài)分析中，集成算法表現(xiàn)較好。下面介紹一個(gè)可以有效應(yīng)用于網(wǎng)絡(luò)病毒防御中的分類方法：決策樹分類法。決策樹是一種由節(jié)點(diǎn)和有向邊組成的層次結(jié)構(gòu)，它通過提出一系列關(guān)于檢驗(yàn)記錄屬性的問題來進(jìn)行分類[3]。在決策樹中一個(gè)內(nèi)部結(jié)點(diǎn)代表一個(gè)屬性測(cè)試條件，一個(gè)樹枝代表一個(gè)檢測(cè)結(jié)果，葉子上的結(jié)點(diǎn)代表不同的類別。在決策樹中最常用的運(yùn)算法則是ID3和C4.5，它們都屬于從下到上樹形結(jié)構(gòu)，它們的運(yùn)算法則表述為：x1+x2=x[5]。決策樹挖掘是依據(jù)從大到小，從廣到細(xì)的原則逐級(jí)劃分判斷條件，對(duì)不同屬性逐級(jí)進(jìn)行判斷，當(dāng)有一級(jí)不滿足判斷條件時(shí)即可做出相應(yīng)的防御反應(yīng)。在構(gòu)建計(jì)算機(jī)網(wǎng)絡(luò)病毒防御系統(tǒng)中，決策樹挖掘的條件為：(1)該程序是否有破壞能力;(2)該程序是否有復(fù)制傳播能力;(3)該程序是否具有隱蔽性[6]。2.2.2無監(jiān)督的數(shù)據(jù)挖掘技術(shù)。(1)聚類分析聚類分析指將數(shù)據(jù)劃分成不同的組，要求在一個(gè)組中的個(gè)體有相似的特征且差異較小，而組與組之間存在不同特征且差異較大。進(jìn)行聚類分析的目的在于發(fā)現(xiàn)緊密相關(guān)的觀測(cè)值組群，通過聚類分析還可以較好地呈現(xiàn)出數(shù)據(jù)分布的疏密情況和全局分布模式[7]。若將聚類分析與啟發(fā)式掃描技術(shù)或主動(dòng)防御技術(shù)相結(jié)合，那么我們可以將程序行為或其行為代碼聚類為正常和異常兩類，在異常類中又可按其嚴(yán)重程度將其進(jìn)一步聚類，由此我們可以更加精準(zhǔn)地區(qū)分出正常和異常的程序行為或其行為代碼，隨后我們可以將由聚類分析得到的類作為對(duì)未知程序進(jìn)行分類的依據(jù)。(2)關(guān)聯(lián)分析關(guān)聯(lián)分析指在數(shù)據(jù)庫中發(fā)現(xiàn)有強(qiáng)關(guān)聯(lián)特征的模式，常用XàY的蘊(yùn)含表達(dá)式表示，其中X與Y均為項(xiàng)集。如果兩個(gè)或多個(gè)變量之間存在某種規(guī)律性，那么這些數(shù)據(jù)之間就存在著一定的關(guān)聯(lián)性，其中的關(guān)聯(lián)主要有簡(jiǎn)單關(guān)聯(lián)、時(shí)序關(guān)聯(lián)和因果關(guān)聯(lián)[8]。我們常用支持度(s)和置信度(c)來度量關(guān)聯(lián)規(guī)則的強(qiáng)度，支持度表示既包含X又包含Y的事務(wù)在所有事務(wù)中所占的比例，其中s(XàY)=P(X&Y)/N;置信度表示同時(shí)包含X和Y的事務(wù)在包含X的事務(wù)中所占的比例，其中c(XàY)=P(X&Y)/P(X)[3]。進(jìn)行關(guān)聯(lián)分析的目的是找出數(shù)據(jù)庫當(dāng)中存在的關(guān)聯(lián)網(wǎng)，挖掘數(shù)據(jù)之間的關(guān)聯(lián)性以找出數(shù)據(jù)之間的關(guān)聯(lián)規(guī)則[8]。若將關(guān)聯(lián)分析與啟發(fā)式掃描技術(shù)相結(jié)合，則需要在數(shù)據(jù)中導(dǎo)入良性樣本和惡意樣本。其中每個(gè)項(xiàng)為一個(gè)程序行為代碼，若某一樣本的匯編指令序列中出現(xiàn)該代碼則記為1，否則記為0。對(duì)這些數(shù)據(jù)進(jìn)行關(guān)聯(lián)分析我們可以發(fā)現(xiàn)某些行為代碼之間具有關(guān)聯(lián)，這些關(guān)聯(lián)擁有較高的支持度和置信度。若我們發(fā)現(xiàn)XàY，且項(xiàng)集X與項(xiàng)集Y的權(quán)重的和足以觸發(fā)警報(bào)。那么當(dāng)項(xiàng)集X發(fā)生時(shí)，項(xiàng)集Y就很有可能發(fā)生，該程序也很有可能是病毒。若將關(guān)聯(lián)分析與主動(dòng)防御技術(shù)相結(jié)合，則需要在數(shù)據(jù)中導(dǎo)入良性樣本和惡意樣本。當(dāng)樣本程序運(yùn)行時(shí)，系統(tǒng)日志會(huì)記錄程序運(yùn)行信息，并且這些數(shù)據(jù)會(huì)被轉(zhuǎn)化成事件存入數(shù)據(jù)庫。數(shù)據(jù)中每個(gè)項(xiàng)為一個(gè)程序行為，若某一樣本的行為集中出現(xiàn)該行為則記為1，否則記為0。若不嚴(yán)重的敏感行為集與某些嚴(yán)重違反安全規(guī)則的行為之間存在關(guān)聯(lián)，那么當(dāng)不嚴(yán)重的敏感行為集發(fā)生時(shí)，我們應(yīng)當(dāng)對(duì)其足夠重視，并向用戶發(fā)出嚴(yán)重安全威脅可能發(fā)生的警報(bào)或采取措施清除危險(xiǎn)程序。2.2.3異類分析。異類分析指分析數(shù)據(jù)庫中與其他數(shù)據(jù)偏離較為明顯的數(shù)據(jù)，即偏離常規(guī)模式的數(shù)據(jù)。因?yàn)榕c常規(guī)數(shù)據(jù)相比，這些異常數(shù)據(jù)很可能是由完全不同的機(jī)制產(chǎn)生的[7]。當(dāng)然，由于測(cè)量誤差產(chǎn)生的異常數(shù)據(jù)我們應(yīng)當(dāng)及時(shí)予以清除。因此，異類分析常作為數(shù)據(jù)預(yù)處理的一部分。異類分析算法需要識(shí)別出真正的異常點(diǎn)，即具有高的檢出率和低的誤報(bào)率[3]。異常數(shù)據(jù)相對(duì)于正常數(shù)據(jù)來講有其獨(dú)有的特殊性，我們往往可以從中發(fā)現(xiàn)有悖常理的結(jié)果和更有價(jià)值的信息。異常檢測(cè)可分為監(jiān)督的，非監(jiān)督的和半監(jiān)督的。監(jiān)督的異常檢測(cè)要求在訓(xùn)練集中存在正常樣本和異常樣本，并做好標(biāo)記，即標(biāo)好類標(biāo)號(hào);非監(jiān)督的異常檢測(cè)則不要求標(biāo)好類標(biāo)號(hào)。而在半監(jiān)督的異常檢測(cè)中，我們需要使用有標(biāo)記的正常樣本信息，發(fā)現(xiàn)檢驗(yàn)集中異常樣本的類標(biāo)號(hào)或得分[3]。我們也可以先構(gòu)造出一個(gè)正常程序的輪廓，當(dāng)某一個(gè)程序到來或運(yùn)行時(shí)便將其與之比較，如果該程序的特性與正常程序的輪廓無法很好地?cái)M合，那么該程序就很有可能是網(wǎng)絡(luò)病毒。

　　2.3數(shù)據(jù)挖掘技術(shù)在計(jì)算機(jī)網(wǎng)絡(luò)病毒防御中的應(yīng)用與挑戰(zhàn)

　　隨著社會(huì)的信息化與網(wǎng)絡(luò)化不斷向前推進(jìn)，計(jì)算機(jī)網(wǎng)絡(luò)病毒的威脅也日益嚴(yán)重。而數(shù)據(jù)挖掘技術(shù)的發(fā)展使人們希望借助數(shù)據(jù)挖掘技術(shù)來提升對(duì)計(jì)算機(jī)網(wǎng)絡(luò)病毒的防御能力。目前，支付寶、京東金融等互聯(lián)網(wǎng)金融平臺(tái)已使用數(shù)據(jù)挖掘技術(shù)來防御網(wǎng)絡(luò)病毒，保障用戶的數(shù)據(jù)安全。與傳統(tǒng)基于特征碼的病毒檢測(cè)技術(shù)不同，基于數(shù)據(jù)挖掘的計(jì)算機(jī)網(wǎng)絡(luò)病毒防御技術(shù)不需要規(guī)模龐大的特征碼庫，并且可以很好地識(shí)別未知病毒，提高對(duì)病毒識(shí)別的準(zhǔn)確率。但是，該技術(shù)在進(jìn)行數(shù)據(jù)預(yù)處理和數(shù)據(jù)挖掘的過程中需要消耗較多的資源和時(shí)間。我們應(yīng)該發(fā)揮該技術(shù)的長(zhǎng)處，并與傳統(tǒng)的反病毒技術(shù)相互配合，才能更好地防御計(jì)算機(jī)網(wǎng)絡(luò)病毒。

　　3基于數(shù)據(jù)挖掘技術(shù)的計(jì)算機(jī)網(wǎng)絡(luò)病毒防御系統(tǒng)流程

　　數(shù)據(jù)挖掘技術(shù)的重點(diǎn)在尋找未知的模式與規(guī)律，其主要由以下五大模塊組成：(1)數(shù)據(jù)源模塊;(2)預(yù)處理模塊;(3)規(guī)則庫模塊;(4)數(shù)據(jù)挖掘模塊;(5)決策模塊。在基于數(shù)據(jù)挖掘技術(shù)的計(jì)算機(jī)網(wǎng)絡(luò)病毒防御系統(tǒng)中，首先收集含有入侵指令的數(shù)據(jù)，通過這些數(shù)據(jù)初始化來往的網(wǎng)絡(luò)數(shù)據(jù)，然后對(duì)這些數(shù)據(jù)運(yùn)用預(yù)處理模塊進(jìn)行預(yù)處理。預(yù)處理完成后開始進(jìn)行數(shù)據(jù)挖掘，使用關(guān)聯(lián)分析、分類分析、聚類分析、異類分析等數(shù)據(jù)挖掘技術(shù)建立規(guī)則集即網(wǎng)絡(luò)病毒的特征集合，再將待檢測(cè)數(shù)據(jù)與規(guī)則集匹配檢測(cè)，如果兩者之間的匹配度較高，則說明該數(shù)據(jù)包中可能存在網(wǎng)絡(luò)病毒;如果兩者之間的匹配度較低，則說明有可能是未知病毒，這時(shí)會(huì)觸發(fā)預(yù)警機(jī)制，并提取該病毒特征屬性以及連接數(shù)據(jù)的方式將其納入規(guī)則集[8]。

　　3.1數(shù)據(jù)挖掘技術(shù)組成模塊

　　數(shù)據(jù)挖掘技術(shù)主要由以下五大模塊組成：3.1.1數(shù)據(jù)源模塊。數(shù)據(jù)源模塊會(huì)截取計(jì)算機(jī)網(wǎng)絡(luò)中的原始數(shù)據(jù)包，這些數(shù)據(jù)包中包含著一些重要的數(shù)據(jù)結(jié)構(gòu)和功能信息，之后將這些原始數(shù)據(jù)交由預(yù)處理模塊進(jìn)行預(yù)處理[7]。數(shù)據(jù)源模塊為數(shù)據(jù)挖掘提供充足的數(shù)據(jù)，是數(shù)據(jù)挖掘的基礎(chǔ)。3.1.2預(yù)處理模塊。預(yù)處理模塊是整個(gè)數(shù)據(jù)挖掘流程中的重點(diǎn)模塊。預(yù)處理數(shù)據(jù)主要由鏈接數(shù)據(jù)、數(shù)據(jù)凈化、變量整合以及格式轉(zhuǎn)換等構(gòu)成[9]。由于在大量原始數(shù)據(jù)中存在許多不完整、不一致的數(shù)據(jù)，這些數(shù)據(jù)將會(huì)嚴(yán)重影響數(shù)據(jù)挖掘建模的執(zhí)行效率和執(zhí)行結(jié)構(gòu)。通過對(duì)數(shù)據(jù)源模塊截獲到的數(shù)據(jù)進(jìn)行預(yù)處理，可以選擇出與當(dāng)前數(shù)據(jù)挖掘任務(wù)相關(guān)的數(shù)據(jù)，使數(shù)據(jù)能夠被數(shù)據(jù)挖掘模塊所處理，提高數(shù)據(jù)的辨識(shí)度和準(zhǔn)確性，還能縮短數(shù)據(jù)挖掘時(shí)間，提高數(shù)據(jù)挖掘效果，為后期進(jìn)行數(shù)據(jù)挖掘創(chuàng)造了條件[7]。3.1.3規(guī)則庫模塊。規(guī)則庫模塊是通過對(duì)已經(jīng)能夠分析檢測(cè)到的網(wǎng)絡(luò)病毒進(jìn)行數(shù)據(jù)挖掘而形成的規(guī)則集，該規(guī)則集反映了網(wǎng)絡(luò)病毒的行為特征。利用該規(guī)則集，可以指導(dǎo)數(shù)據(jù)挖掘模塊的工作，還可以探究并抵御計(jì)算機(jī)網(wǎng)絡(luò)中的其他病毒[9]。3.1.4數(shù)據(jù)挖掘模塊。數(shù)據(jù)挖掘模塊是整個(gè)數(shù)據(jù)挖掘流程中的關(guān)鍵一環(huán)，其主要由事件庫和數(shù)據(jù)挖掘算法兩大部分組成，通過數(shù)據(jù)挖掘算法對(duì)由數(shù)據(jù)源模塊和預(yù)處理模塊形成的事件庫進(jìn)行分析，在事件庫中記錄的主要是用于進(jìn)行數(shù)據(jù)挖掘的相關(guān)數(shù)據(jù)。經(jīng)過數(shù)據(jù)挖掘模塊的處理后，最終形成規(guī)則清晰的數(shù)據(jù)挖掘結(jié)果，并將其傳遞給決策模塊[8]。3.1.5決策模塊決策模塊的作用是將數(shù)據(jù)挖掘結(jié)果與規(guī)則庫中的規(guī)則進(jìn)行匹配。如果數(shù)據(jù)挖掘結(jié)果與規(guī)則庫中的規(guī)則匹配度很高，那么說明決策模塊信息存在病毒特征，數(shù)據(jù)包中存在計(jì)算機(jī)網(wǎng)絡(luò)病毒的風(fēng)險(xiǎn)很大，應(yīng)當(dāng)及時(shí)對(duì)病毒予以清除。如果數(shù)據(jù)挖掘結(jié)果與規(guī)則庫中的規(guī)則不匹配，那么說明數(shù)據(jù)包中可能存在未知的新型病毒，此時(shí)預(yù)警系統(tǒng)將會(huì)發(fā)出新型病毒警告，規(guī)則庫模塊將此新型病毒引入規(guī)則庫，形成新的規(guī)則類別[10]。

　　3.2基于數(shù)據(jù)挖掘技術(shù)的計(jì)算機(jī)網(wǎng)絡(luò)病毒防御系統(tǒng)流程圖

　　基于數(shù)據(jù)挖掘技術(shù)的計(jì)算機(jī)網(wǎng)絡(luò)病毒防御系統(tǒng)流程圖如圖1所示。

　　4結(jié)語

　　當(dāng)前，利用數(shù)據(jù)挖掘技術(shù)進(jìn)行網(wǎng)絡(luò)病毒防御是社會(huì)的迫切需要，也是網(wǎng)絡(luò)病毒防御技術(shù)的發(fā)展趨勢(shì)，數(shù)據(jù)挖掘技術(shù)在網(wǎng)絡(luò)病毒防御系統(tǒng)中的重要性也越來越明顯。我們可以將傳統(tǒng)計(jì)算機(jī)網(wǎng)絡(luò)病毒防御技術(shù)與數(shù)據(jù)挖掘技術(shù)相結(jié)合，利用各自的優(yōu)點(diǎn)提高網(wǎng)絡(luò)病毒查殺的準(zhǔn)確度和效率。如利用有監(jiān)督的數(shù)據(jù)挖掘技術(shù)可以快速訓(xùn)練出一個(gè)模型，但需要許多有標(biāo)記的數(shù)據(jù);而無監(jiān)督的數(shù)據(jù)挖掘技術(shù)使用大量未標(biāo)記的數(shù)據(jù)來訓(xùn)練模型。在獲取大量未標(biāo)記的數(shù)據(jù)越來越容易而進(jìn)行人工標(biāo)記的成本越來越高的今天，使用無監(jiān)督的數(shù)據(jù)挖掘技術(shù)來防御網(wǎng)絡(luò)病毒是該項(xiàng)技術(shù)的發(fā)展趨勢(shì)。今后，數(shù)據(jù)挖掘技術(shù)將發(fā)揮其獨(dú)特優(yōu)勢(shì)，在計(jì)算機(jī)網(wǎng)絡(luò)病毒的識(shí)別和判斷方面發(fā)揮關(guān)鍵作用。

　　《數(shù)據(jù)挖掘技術(shù)在計(jì)算機(jī)網(wǎng)絡(luò)病毒防御中的應(yīng)用研究》來源：《電腦知識(shí)與技術(shù)》，作者:潘恒緒 卞煒?biāo)?鄧杰 肖文