浅谈反病毒数据库的数据分类挖掘

由于计算机技术的迅速发展，计算机病毒技术也会迅速发展。反病毒技术也必须迅速发展。从而遏制计算机病毒给人们带来的危害。不论计算机技术怎样发展，它的核心技术离不开硬件的技术发展。计算机硬件组成的实质技术不会有很大变化。即存储程序工作原理：冯•诺依曼计算机结构原理。从计算机病毒技术的发展可以看到，他们都是利用了计算机接口技术中的问题，大做文章。例如，利用键盘接口实施对键盘的封锁，使用户不能正常使用键盘。利用中断控制器、DMA控制器、网络控制器等接口电路，屏蔽某些端口操作，使其挂在其上的外设不能工作或不能正常工作。例如：干扰数据的正常存储、正常传递等操作。其手段多种多样，五花八门，无奇不有。从上述分析可以看到，制作计算机病毒的人员，他们正是利用了对计算机接口电路的弱点，实施对计算机的各种攻击。因此，建立计算机病毒数据库，对利用计算机接口电路中的端口，进行各种非法操作的数据进行分析、挖掘、归类、整理，针对各种操作进行检测、监视、跟踪，及时遏制、消除或清除这些非法操作，使计算机能正常地工作，保证计算机信息的安全可靠。

对计算机病毒数据库数据的建立和挖掘，是一件极其复杂的工作。它涉及到计算机系统的每一个环节，内容广泛，知识面宽。因此，分类挖掘才是有效的工作途径。对病毒数据库数据的挖掘应从以下几个方面进行：

对各种外设接口中的端口操作，进行分类挖掘。比如：对中断控制器的数据挖掘，对键盘、打印机进行操作数据的挖掘；对数据传递操作的挖掘；对DMA控制器的数据挖掘；对网络适配器、8251A串行接口的数据挖掘，等等。例如：在8086系统中，使用一片8259A中断控制器接口芯片，对8259A中断控制器接口电路中的数据挖掘，进行数据分析和提取。在中断控制器接口电路上连接有时钟定时器、键盘、串行通信接口、硬磁盘、软磁盘、打印机等设备。8259A芯片在系统中的端口地址为20H、21H。8259A中断控制器的IR1端连接键盘设备。对键盘设备的操作可以是开放和屏蔽。正常情况下，对键盘操作是出于开放状态，即当使用键盘设备，从键盘上按下一个键时，键盘设备就向中断控制器发出请求，中断控制器接收到键盘设备发来的请求信号后，即向CPU发中断请求信号，请求CPU为之服务。CPU接收到中断请求信号，经判别后，会立即向中断控制器发出回答响应信号，中断正在执行的程序，转向执行中断服务程序。当键盘服务程序执行完毕后，返回断点继续执行主程序。相反，若中断控制器的寄存器相应位出于屏蔽状态，即使使用了键盘设备，从键盘设备按下了一个键，因为键盘设备发出的请求已被屏蔽，中断控制器则不能把请求信号发送给CPU。所以，CPU也就不能为键盘设备服务。好像计算机系统中没有键盘这个设备。用户也就使用不了键盘设备了。计算机系统在启动时，已对各个接口电路作了初始化工作，所以系统设备都处于开放状态，用户随时可以使用计算机系统中的各个设备。为了解中断控制器中连接的设备是否出于开放或屏蔽状态，只要了解中断控制器的寄存器的状态就可以知道是否是开放或屏蔽状态。该位为0，处于开放状态，该位为1，处于屏蔽状态。同理，检测串行口、硬磁盘、打印机等设备，是否处于屏蔽状态。我们把中断屏蔽寄存器中的状态数据放在一个库中，在某一时刻，读取中断控制器中的屏蔽寄存器中的状态数据，若与库中的数据相吻合，说明该设备进行了屏蔽操作。因此，该设备不能正常使用。若要正常使用键盘设备，只须将屏蔽寄存器的第一位置0就可以了。经综合分析知道，屏蔽寄存器被屏蔽的数据为01H～FFH。被屏蔽的设备最多为8个。通过检测，就知道哪个设备或哪几个设备请求被屏蔽。对于计算机系统中有多片级连方式的中断控制器，它所连接的外设会更多一些，原理是相同的，只是每一块控制器芯片的端口地址不一样，它所连接的设备有所不同。再就是多片中断控制器级连时主从关系，应该特别注意。

以上方面的操作，基本包含了对各种数据的挖掘。通过对各类数据挖掘，使检测病毒数据有了可靠的依据。即使有新病毒的出现，也能够及时检测、发现、防范、屏蔽、或消除直至清除之。这样，就保证了计算机系统工作的安全、可靠。另外，需要说明的是，创建计算机病毒数据库的工作，是一件庞大而且复杂的工程，需要一个团队的合作与分工才能完成。并且使数据库中的数据不断的增加和更新，才能跟踪计算机技术的新发展，满足计算机信息安全工作的需要。（本文作者：郑克忠 单位：广东科技学院）