淺談反病毒數(shù)據(jù)庫的數(shù)據(jù)分類挖掘
前言:想要寫出一篇引人入勝的文章?我們特意為您整理了淺談反病毒數(shù)據(jù)庫的數(shù)據(jù)分類挖掘范文,希望能給你帶來靈感和參考,敬請閱讀。
由于計(jì)算機(jī)技術(shù)的迅速發(fā)展,計(jì)算機(jī)病毒技術(shù)也會迅速發(fā)展。反病毒技術(shù)也必須迅速發(fā)展。從而遏制計(jì)算機(jī)病毒給人們帶來的危害。不論計(jì)算機(jī)技術(shù)怎樣發(fā)展,它的核心技術(shù)離不開硬件的技術(shù)發(fā)展。計(jì)算機(jī)硬件組成的實(shí)質(zhì)技術(shù)不會有很大變化。即存儲程序工作原理:馮•諾依曼計(jì)算機(jī)結(jié)構(gòu)原理。從計(jì)算機(jī)病毒技術(shù)的發(fā)展可以看到,他們都是利用了計(jì)算機(jī)接口技術(shù)中的問題,大做文章。例如,利用鍵盤接口實(shí)施對鍵盤的封鎖,使用戶不能正常使用鍵盤。利用中斷控制器、DMA控制器、網(wǎng)絡(luò)控制器等接口電路,屏蔽某些端口操作,使其掛在其上的外設(shè)不能工作或不能正常工作。例如:干擾數(shù)據(jù)的正常存儲、正常傳遞等操作。其手段多種多樣,五花八門,無奇不有。從上述分析可以看到,制作計(jì)算機(jī)病毒的人員,他們正是利用了對計(jì)算機(jī)接口電路的弱點(diǎn),實(shí)施對計(jì)算機(jī)的各種攻擊。因此,建立計(jì)算機(jī)病毒數(shù)據(jù)庫,對利用計(jì)算機(jī)接口電路中的端口,進(jìn)行各種非法操作的數(shù)據(jù)進(jìn)行分析、挖掘、歸類、整理,針對各種操作進(jìn)行檢測、監(jiān)視、跟蹤,及時(shí)遏制、消除或清除這些非法操作,使計(jì)算機(jī)能正常地工作,保證計(jì)算機(jī)信息的安全可靠。
對計(jì)算機(jī)病毒數(shù)據(jù)庫數(shù)據(jù)的建立和挖掘,是一件極其復(fù)雜的工作。它涉及到計(jì)算機(jī)系統(tǒng)的每一個環(huán)節(jié),內(nèi)容廣泛,知識面寬。因此,分類挖掘才是有效的工作途徑。對病毒數(shù)據(jù)庫數(shù)據(jù)的挖掘應(yīng)從以下幾個方面進(jìn)行:
對各種外設(shè)接口中的端口操作,進(jìn)行分類挖掘。比如:對中斷控制器的數(shù)據(jù)挖掘,對鍵盤、打印機(jī)進(jìn)行操作數(shù)據(jù)的挖掘;對數(shù)據(jù)傳遞操作的挖掘;對DMA控制器的數(shù)據(jù)挖掘;對網(wǎng)絡(luò)適配器、8251A串行接口的數(shù)據(jù)挖掘,等等。例如:在8086系統(tǒng)中,使用一片8259A中斷控制器接口芯片,對8259A中斷控制器接口電路中的數(shù)據(jù)挖掘,進(jìn)行數(shù)據(jù)分析和提取。在中斷控制器接口電路上連接有時(shí)鐘定時(shí)器、鍵盤、串行通信接口、硬磁盤、軟磁盤、打印機(jī)等設(shè)備。8259A芯片在系統(tǒng)中的端口地址為20H、21H。8259A中斷控制器的IR1端連接鍵盤設(shè)備。對鍵盤設(shè)備的操作可以是開放和屏蔽。正常情況下,對鍵盤操作是出于開放狀態(tài),即當(dāng)使用鍵盤設(shè)備,從鍵盤上按下一個鍵時(shí),鍵盤設(shè)備就向中斷控制器發(fā)出請求,中斷控制器接收到鍵盤設(shè)備發(fā)來的請求信號后,即向CPU發(fā)中斷請求信號,請求CPU為之服務(wù)。CPU接收到中斷請求信號,經(jīng)判別后,會立即向中斷控制器發(fā)出回答響應(yīng)信號,中斷正在執(zhí)行的程序,轉(zhuǎn)向執(zhí)行中斷服務(wù)程序。當(dāng)鍵盤服務(wù)程序執(zhí)行完畢后,返回?cái)帱c(diǎn)繼續(xù)執(zhí)行主程序。相反,若中斷控制器的寄存器相應(yīng)位出于屏蔽狀態(tài),即使使用了鍵盤設(shè)備,從鍵盤設(shè)備按下了一個鍵,因?yàn)殒I盤設(shè)備發(fā)出的請求已被屏蔽,中斷控制器則不能把請求信號發(fā)送給CPU。所以,CPU也就不能為鍵盤設(shè)備服務(wù)。好像計(jì)算機(jī)系統(tǒng)中沒有鍵盤這個設(shè)備。用戶也就使用不了鍵盤設(shè)備了。計(jì)算機(jī)系統(tǒng)在啟動時(shí),已對各個接口電路作了初始化工作,所以系統(tǒng)設(shè)備都處于開放狀態(tài),用戶隨時(shí)可以使用計(jì)算機(jī)系統(tǒng)中的各個設(shè)備。為了解中斷控制器中連接的設(shè)備是否出于開放或屏蔽狀態(tài),只要了解中斷控制器的寄存器的狀態(tài)就可以知道是否是開放或屏蔽狀態(tài)。該位為0,處于開放狀態(tài),該位為1,處于屏蔽狀態(tài)。同理,檢測串行口、硬磁盤、打印機(jī)等設(shè)備,是否處于屏蔽狀態(tài)。我們把中斷屏蔽寄存器中的狀態(tài)數(shù)據(jù)放在一個庫中,在某一時(shí)刻,讀取中斷控制器中的屏蔽寄存器中的狀態(tài)數(shù)據(jù),若與庫中的數(shù)據(jù)相吻合,說明該設(shè)備進(jìn)行了屏蔽操作。因此,該設(shè)備不能正常使用。若要正常使用鍵盤設(shè)備,只須將屏蔽寄存器的第一位置0就可以了。經(jīng)綜合分析知道,屏蔽寄存器被屏蔽的數(shù)據(jù)為01H~FFH。被屏蔽的設(shè)備最多為8個。通過檢測,就知道哪個設(shè)備或哪幾個設(shè)備請求被屏蔽。對于計(jì)算機(jī)系統(tǒng)中有多片級連方式的中斷控制器,它所連接的外設(shè)會更多一些,原理是相同的,只是每一塊控制器芯片的端口地址不一樣,它所連接的設(shè)備有所不同。再就是多片中斷控制器級連時(shí)主從關(guān)系,應(yīng)該特別注意。
以上方面的操作,基本包含了對各種數(shù)據(jù)的挖掘。通過對各類數(shù)據(jù)挖掘,使檢測病毒數(shù)據(jù)有了可靠的依據(jù)。即使有新病毒的出現(xiàn),也能夠及時(shí)檢測、發(fā)現(xiàn)、防范、屏蔽、或消除直至清除之。這樣,就保證了計(jì)算機(jī)系統(tǒng)工作的安全、可靠。另外,需要說明的是,創(chuàng)建計(jì)算機(jī)病毒數(shù)據(jù)庫的工作,是一件龐大而且復(fù)雜的工程,需要一個團(tuán)隊(duì)的合作與分工才能完成。并且使數(shù)據(jù)庫中的數(shù)據(jù)不斷的增加和更新,才能跟蹤計(jì)算機(jī)技術(shù)的新發(fā)展,滿足計(jì)算機(jī)信息安全工作的需要。(本文作者:鄭克忠 單位:廣東科技學(xué)院)