计算机病毒数据库的数据挖掘研究
时间:2022-09-14 01:31:26
摘要: 本文论述了计算机病毒数据库的数据挖掘方法,为检测、识别计算机病毒以及预防和清除计算机病毒,提供了理论依据和较好的办法。
Abstract: This paper discusses method of data mining of computer virus database,which provides theoretical basis and preferable means for detecting and identifying computer virus and preventing and removing computer virus.
关键词: 计算机病毒;数据挖掘;病毒数据库
Key words: computer virus;data mining;virus database
中图分类号:TP392 文献标识码:A 文章编号:1006-4311(2012)31-0199-02
0 引言
计算机病毒的危害现在无人不晓,无人不知。但要防止危害、清除危害,确实是一件很困难的事情。首先,计算机病毒的种类繁多,五花八门,无奇不有。传播渠道广泛,来源于网络的、来源于其他渠道的比比皆是。它严重威胁着国家的安全、各个行业的信息安全和人们生活安全。给人们的正常工作和生活造成很大的危害和影响。
为了消除计算机病毒对人们的危害,使人们生活和工作能正常进行,信息传送畅通无阻,信息资料得以安全保存和保密。计算机反病毒技术必须超前发展。除了各种操作系统具有反病毒技术的功能外,对于未来计算机病毒能够进行预测、识别和防范。因此,对于未来的病毒进行预测研究、识别研究及防范研究,是一件当务之急的任务。显然,计算机病毒研究工作具有战略意义和现实意义。
1 建立反病毒数据库
建立反病毒数据库,对病毒样本数据进行研究、挖掘、分析,进行归类,找出规律,并对未来的计算机病毒进行预测,制定出各种可能的反病毒策略、方案、手段、技术措施。从根本上清除计算机病毒,消除计算机病毒的危害。我国以瑞星计算机技术公司等为代表的计算机工作者的研究工作及开发的反病毒软件处于世界领先水平,并在实际应用中作出了积极的贡献,防范和消除计算机病毒发挥了积极作用。由于计算机技术的迅速发展,计算机病毒技术也会迅速发展。反病毒技术也必须迅速发展。从而遏制计算机病毒给人们带来的危害。
不论计算机技术怎样发展,它的核心技术离不开硬件的技术发展。计算机硬件组成的实质技术不会有很大变化。即存储程序工作原理:冯·诺依曼计算机结构原理。从计算机病毒技术的发展可以看到,他们都是利用了计算机接口技术中的问题,大做文章。例如,利用键盘接口实施对键盘的封锁,使用户不能正常使用键盘。利用中断控制器、DMA控制器、网络控制器等接口电路,屏蔽某些端口操作,使其挂在其上的外设不能工作或不能正常工作。例如:干扰数据的正常存储、正常传递等操作。其手段多种多样,五花八门,无奇不有。
从上述分析可以看到,制作计算机病毒的人员,他们正是利用了对计算机接口电路的弱点,实施对计算机的各种攻击。因此,建立计算机病毒数据库,对利用计算机接口电路中的端口,进行各种非法操作的数据进行分析、挖掘、归类、整理,针对各种操作进行检测、监视、跟踪,及时遏制、消除或清除这些非法操作,使计算机能正常地工作,保证计算机信息的安全可靠。
2 反病毒数据库的数据分类挖掘
对计算机病毒数据库数据的建立和挖掘,是一件极其复杂的工作。它涉及到计算机系统的每一个环节,内容广泛,知识面宽。因此,分类挖掘才是有效的工作途径。对病毒数据库数据的挖掘应从以下几个方面进行:
2.1 对各种外设接口中的端口操作,进行分类挖掘
比如:对中断控制器的数据挖掘,对键盘、打印机进行操作数据的挖掘;对数据传递操作的挖掘;对DMA控制器的数据挖掘;对网络适配器、8251A串行接口的数据挖掘,等等。
例如:在8086系统中,使用一片8259A中断控制器接口芯片,对8259A中断控制器接口电路中的数据挖掘,进行数据分析和提取。在中断控制器接口电路上连接有时钟定时器、键盘、串行通信接口、硬磁盘、软磁盘、打印机等设备。8259A芯片在系统中的端口地址为20H、21H。8259A中断控制器的IR1端连接键盘设备。对键盘设备的操作可以是开放和屏蔽。正常情况下,对键盘操作是出于开放状态,即当使用键盘设备,从键盘上按下一个键时,键盘设备就向中断控制器发出请求,中断控制器接收到键盘设备发来的请求信号后,即向CPU发中断请求信号,请求CPU为之服务。CPU接收到中断请求信号,经判别后,会立即向中断控制器发出回答响应信号,中断正在执行的程序,转向执行中断服务程序。当键盘服务程序执行完毕后,返回断点继续执行主程序。相反,若中断控制器的寄存器相应位出于屏蔽状态,即使使用了键盘设备,从键盘设备按下了一个键,因为键盘设备发出的请求已被屏蔽,中断控制器则不能把请求信号发送给CPU。所以,CPU也就不能为键盘设备服务。好像计算机系统中没有键盘这个设备。用户也就使用不了键盘设备了。计算机系统在启动时,已对各个接口电路作了初始化工作,所以系统设备都处于开放状态,用户随时可以使用计算机系统中的各个设备。为了解中断控制器中连接的设备是否出于开放或屏蔽状态,只要了解中断控制器的寄存器的状态就可以知道是否是开放或屏蔽状态。该位为0,处于开放状态,该位为1,处于屏蔽状态。程序代码如下:
IN AL,21H;读取中断控制寄存器的屏蔽寄存器状态
TEST AL,02H ;测试连接键盘设备的相应位
JNZ L1 ;结果不为0,则进行了屏蔽
JMP L0 ;结果为0,没有屏蔽,处于开放状态
.......
同理,检测串行口、硬磁盘、打印机等设备,是否处于屏蔽状态。我们把中断屏蔽寄存器中的状态数据放在一个库中,在某一时刻,读取中断控制器中的屏蔽寄存器中的状态数据,若与库中的数据相吻合,说明该设备进行了屏蔽操作。因此,该设备不能正常使用。若要正常使用键盘设备,只须将屏蔽寄存器的第一位置0就可以了。程序代码如下:
IN AL,21H
TEST AL,02H
JNZ L1
JMP L0
………
L1: MOV AL,00H
OUT 21H,AL
…….
一片8259A中断控制器中的屏蔽寄存器被屏蔽的数据如下:
01H、02H、04H、08H、10H、20H、40H、80H;一位被屏蔽的数据
03H、05H、09H、11H、21H、41H、81H、06H;二位被屏蔽的数据
0AH、12H、22H、42H、82H、0CH、14H、24H
….
经综合分析知道,屏蔽寄存器被屏蔽的数据为01H~FFH。被屏蔽的设备最多为8个。通过检测,就知道哪个设备或哪几个设备请求被屏蔽。把被屏蔽的数据集中放在一个数据段中,如:
DATA1 SEGMENT ;屏蔽数据段列出屏蔽数据共255个
BUFF0 DB 01H,02H,03H,04H,05H,06H,07H,08H,09H,0AH,0BH,0CH,0DH,0EH
DB 0FH,10H,11H,12H,13H,14H,15H,16H,17H,18H,19H,1AH,1BH,1CH
DB 1DH,1EH,1FH,20H,21H,22H,23H,24H,25H,26H,27H,28H,29H,2AH,2BH
DB 2CH,2DH,2EH,2FH,30H,31H,32H,33H,34H,35H,36H,37H,38H,39H,3AH
DB 3BH,3CH,3DH,3EH,3FH,40H,41H,42H,43H,44H,45H,46H,47H,48H,49H
DB 4AH,4BH,4CH,4DH,4EH,4FH,50H,51H,52H,53H,54H,55H,56H,57H,58H
DB 59H,5AH,5BH,……;255个数据依次排列,直到最后
DATA1 ENDS
对于计算机系统中有多片级连方式的中断控制器,它所连接的外设会更多一些,原理是相同的,只是每一块控制器芯片的端口地址不一样,它所连接的设备有所不同。再就是多片中断控制器级连时主从关系,应该特别注意。
2.2 对BIOS功能调用的操作,进行分类挖掘。
比如:对I/O设备的功能,调用。
2.3 对系统功能调用的操作,进行分类挖掘。
比如:对文件操作的功能调用。
2.4 对网络应用方面的操作,进行分类挖掘。
比如:对数据传输的操作功能调用。
2.5 其它方面的操作,进行分类挖掘。
3 结论
以上方面的操作,基本包含了对各种数据的挖掘。通过对各类数据挖掘,使检测病毒数据有了可靠的依据。即使有新病毒的出现,也能够及时检测、发现、防范、屏蔽、或消除直至清除之。这样,就保证了计算机系统工作的安全、可靠。
另外,需要说明的是,创建计算机病毒数据库的工作,是一件庞大而且复杂的工程,需要一个团队的合作与分工才能完成。并且使数据库中的数据不断的增加和更新,才能跟踪计算机技术的新发展,满足计算机信息安全工作的需要。
参考文献:
[1]陈慈发.微型计算机技术[M].北京:科学出版社,2010.1,222~233,253~271,304~318.
[2]郑克忠.对与时间及日期有关的计算机病毒的分析和防范[J].《武汉理工大学学报》(交通科学与工程版)第5期,2003.10,718~721.
[3]郑克忠.计算机中断技术在信息安全中的应用[J].《电讯技术》电子教育版,第2期,第44卷2004.6,30~33.
[4]仇玉章.32位微型计算机原理与接口技术[M].北京:清华大学出版社,2000.8:206~222.
[5]刘乐善.微型计算机接口技术及应用[M].武汉:华中理工大学出版社,2000.1:137~165.
