專利名稱::檢測蠕蟲病毒及延緩病毒傳播的方法
技術領域:
:本發(fā)明涉及網(wǎng)絡安全
技術領域:
����,特別是一種利用IDS進行蠕蟲病毒檢測、延緩病毒傳播的方法���。
背景技術:
:目前�����,大多是由實時病毒檢測程序來完成對蠕蟲病毒的檢測�。主要的檢測方法是傳統(tǒng)的基于病毒特征碼的檢測�����,首先由病毒研究人員分析病毒樣本�����,總結出病毒特征碼���,更新病毒特征庫��,然后病毒檢測程序才能對病毒進行檢測�����。這種方法的一個致命弱點是���,當病毒發(fā)生變種,特征碼改變時就需要新的病毒庫支持����。另一種方法是通過IDS(IntrusionDetectionSystem)來檢測蠕蟲病毒,同樣也是基于病毒特征碼的檢測�。這兩種方法都不能適應病毒的變種以及新蠕蟲病毒的出現(xiàn),也無法阻止或延緩病毒的傳播��。另一方面���,蠕蟲病毒一旦發(fā)作��,在網(wǎng)絡上會產(chǎn)生大量的數(shù)據(jù)�,對網(wǎng)絡設備、IDS以及其他病毒檢測程序形成很大的壓力���,甚至導致這些設備拒絕服務�,導致整個網(wǎng)絡系統(tǒng)��、IDS以及其他病毒檢測系統(tǒng)癱瘓���。對于蠕蟲病毒的防治����,還有一個重要方面是病毒源頭的判斷�。在一個企業(yè)的網(wǎng)絡系統(tǒng)中,如果病毒發(fā)作造成網(wǎng)絡系統(tǒng)崩潰�����,將無法判斷病毒在本網(wǎng)絡內(nèi)的源頭��。
發(fā)明內(nèi)容本發(fā)明的目的是為了克服現(xiàn)有病毒檢測技術的不足����,提供一種能夠阻止或延緩病毒傳播的方法����,其能有效地適應病毒變種和未知蠕蟲病毒的發(fā)作����,找到病毒的源頭����,阻止或延緩病毒的傳播,從而在網(wǎng)絡系統(tǒng)能夠正常工作的前提下����,完成病毒檢測。實現(xiàn)本發(fā)明目的的技術方案是��;為了能夠克服現(xiàn)有的病毒檢測技術不能適應病毒變種���,無法判斷病毒來源以及不能阻止病毒的傳播速度的問題��,本發(fā)明提供了一種新的檢測方法���,本發(fā)明提供的檢測蠕蟲病毒及延緩病毒傳播的方法���,其特征在于,利用設置在網(wǎng)絡中的病毒防護系統(tǒng)��,其病毒防護系統(tǒng)包括病毒監(jiān)測程序和入侵檢測系統(tǒng)IDS�����,通過病毒監(jiān)測程序監(jiān)測任一與網(wǎng)絡聯(lián)接的計算機與其它與網(wǎng)絡聯(lián)接的計算機的連接數(shù)量���,并設置閥值限制與網(wǎng)絡聯(lián)接的計算機與其它網(wǎng)絡聯(lián)接的計算機的連接數(shù)量���,對超過閥值的連接將強行丟棄,向入侵檢測系統(tǒng)IDS發(fā)出報警����。本發(fā)明由于利用病毒監(jiān)測程序和在網(wǎng)絡中的合理布設的入侵檢測系統(tǒng)IDS,組成一個互動的病毒檢測防護系統(tǒng)��,從而能夠有效的發(fā)現(xiàn)病毒以及病毒源并能延緩病毒的傳播速度�����,保護網(wǎng)絡系統(tǒng)正常運行。通過實驗發(fā)現(xiàn)���,一旦病毒侵入了一臺計算機�����,它就會使這臺計算機和盡可能多的其他計算機快速聯(lián)接�,并迅速傳播病毒�。因此���,本技術的關鍵之一就是通過病毒監(jiān)測程序監(jiān)測本機與其他計算機之間的連接數(shù)量����,設置閥值限制本機到其他計算機的連接數(shù)量�����,對超過閥值的連接病毒監(jiān)測程序將強行丟棄�����,這樣就減輕了病毒傳播對網(wǎng)絡造成的壓力,入侵檢測系統(tǒng)IDS也能夠正常工作��。因此只有通過病毒監(jiān)測程序與IDS系統(tǒng)的有機結合才能有效的檢測蠕蟲病毒,并延緩其傳播�。本發(fā)明實現(xiàn)檢測蠕蟲病毒及延緩病毒傳播方法的病毒防護系統(tǒng),其包括病毒監(jiān)測程序和入侵檢測系統(tǒng)IDS及網(wǎng)絡中交換數(shù)據(jù)的交換機���,病毒監(jiān)測程序與入侵檢測系統(tǒng)IDS采用標準網(wǎng)絡協(xié)議進行標準的通信連接����;病毒監(jiān)測程序安裝在每一與網(wǎng)絡連接的計算機上����,入侵檢測系統(tǒng)IDS通過網(wǎng)絡接口與交換機相連。本發(fā)明為了解決其技術問題所采用的技術方法是在網(wǎng)絡中的每一臺計算機上安裝一個病毒監(jiān)測程序�,監(jiān)視從本機發(fā)起到其他計算機的連接。如果定義的單位時間內(nèi)�����,本機試圖與大量(超過閥值)的計算機進行連接��,病毒監(jiān)測程序將限制本機與其他計算機的連接數(shù)量�����,達到延緩病毒傳播的效果�。在網(wǎng)絡中適當?shù)奈恢冒惭bIDS系統(tǒng),用來檢測病毒的傳播。由于病毒監(jiān)測程序限制了病毒的傳播速度���,減輕了網(wǎng)絡的壓力��,因此IDS系統(tǒng)就能夠正常工作��,可以進行連續(xù)的多包分析���,準確的檢測病毒。通過在網(wǎng)絡不同位置布設的IDS系統(tǒng)��,就可以確定病毒的來源以及分析病毒的感染的范圍�。也可以由病毒監(jiān)測程序在開始限制網(wǎng)絡連接數(shù)量時��,向IDS發(fā)送一個特定的報警信息�����,IDS根據(jù)報警信息來判斷病毒的來源���。本發(fā)明檢測蠕蟲病毒及延緩病毒傳播的方法包括如下步驟�;A.截獲由與網(wǎng)絡連接的計算機應用層到TCP/IP核心的數(shù)據(jù)��;B.分析目的地址,統(tǒng)計其機與其它計算機的連接�����,包括其機發(fā)起到其它計算機的TCP連接和其機發(fā)送的UDP包�;C.判斷目的地址是不是到入侵檢測系統(tǒng)IDS的地址,對到入侵檢測系統(tǒng)IDS的數(shù)據(jù)�,則轉發(fā)到網(wǎng)絡接口;D.對不是到入侵檢測系統(tǒng)IDS的數(shù)據(jù)�,判斷是否超過規(guī)定的閥值,超過閥值則將數(shù)據(jù)丟棄��,并且向入侵檢測系統(tǒng)IDS發(fā)出報警信息��,否則轉發(fā)到網(wǎng)絡接口���;E.入侵檢測系統(tǒng)IDS接受發(fā)來的病毒警報�,進行統(tǒng)計分析�����,形成完整的病毒統(tǒng)計報告�����。本發(fā)明的有益效果是可以判斷病毒源頭,以便于在病毒發(fā)作的初期就加以控制��,防止病毒的大規(guī)模傳播��,延緩病毒的傳播速度����,從而保護網(wǎng)絡系統(tǒng)正常運行。圖1是病毒檢測防護系統(tǒng)在網(wǎng)絡中的典型布設�����。圖2是病毒監(jiān)測程序模塊原理圖���,說明了監(jiān)控模塊的主要工作原理����。圖1中A���、B、C�����、D、…計算機安裝有病毒監(jiān)測程序�����,IDS是入侵檢測系統(tǒng)�����。具體實施例方式如圖1所示��,在局域網(wǎng)每一個子網(wǎng)內(nèi)布設一個IDS系統(tǒng)�,每一臺計算機上都安裝病毒監(jiān)測程序。入侵檢測系統(tǒng)IDS是一種網(wǎng)絡安全設備���,可以表現(xiàn)為硬件�,也可以表現(xiàn)為軟件�。硬件IDS可以通過網(wǎng)絡接口直接與交換機連接,軟件IDS則需要安裝在一臺計算機上�,通過計算機的網(wǎng)絡接口與交換機相連。本發(fā)明實施例中采用軟件IDS�����。病毒監(jiān)測程序與入侵檢測系統(tǒng)IDS采用標準網(wǎng)絡協(xié)議進行標準的通信連接病毒監(jiān)測代理通過自身所在的計算機的網(wǎng)絡接口向網(wǎng)絡中的IDS發(fā)送報警信息�。如果子網(wǎng)1中的計算機A感染了蠕蟲病毒�����,當A試圖感染本子網(wǎng)內(nèi)其他計算機時��,會快速同本子網(wǎng)內(nèi)的其他計算機建立連接�����,在網(wǎng)絡中造成大量的網(wǎng)絡流量��,有可能導致IDS系統(tǒng)失靈��,無法判斷病毒傳播��。如果A計算機上的病毒監(jiān)測程序能夠及時的控制本機對外發(fā)起的連接���,就能大大減輕網(wǎng)絡負載,從而使IDS系統(tǒng)能夠正常工作��,檢測到病毒傳播�。通過在網(wǎng)絡中不同的子網(wǎng)內(nèi)布設IDS系統(tǒng)���,根據(jù)最先發(fā)現(xiàn)病毒傳播或最先接到病毒監(jiān)測程序發(fā)出的警報�����,就有可以找到病毒的源頭��,對病毒加以控制�。圖2所示,病毒監(jiān)測程序截獲TCP/IP核心的數(shù)據(jù)��,首先判斷目的地址是不是IDS的地址�,如果是到IDS的數(shù)據(jù),則轉發(fā)到網(wǎng)絡接口���;如果不是到IDS的數(shù)據(jù)���,則判斷是否超過規(guī)定的閥值,超過閥值則將數(shù)據(jù)丟棄�,并且向IDS發(fā)出報警信息,否則轉發(fā)到網(wǎng)絡接口��。病毒監(jiān)測程序有多種實現(xiàn)手段����,比如通過修改中間層驅動,或者修改網(wǎng)卡驅動�,主要目的是能夠截獲本機發(fā)出的數(shù)據(jù)����,限制與其他計算機的連接數(shù)��。本實施例的病毒監(jiān)控程序可以通過修改中間層驅動NDIS.sys中的導出表(Exporttable)��,將NDIS導出的數(shù)據(jù)包收取函數(shù)指向監(jiān)測程序提供的函數(shù)���,從而達到監(jiān)控數(shù)據(jù)發(fā)送的目的����。NDIS中間層驅動是通過填寫兩張表NDIS_MINIPORT_CHARACTERISTICS���、NDIS_PROTOCOL_CHARACTERISTICS��,并調(diào)用NDISAPI函數(shù)NdisIMRegisterLayeredMiniport���、NdisRegisterProtocol注冊與中間層驅動相關的入口函數(shù)。在NDIS_MINIPORT_CHARACTERISTIC與NDIS_MINIPORT_CHARACTERISTICS表中存放了所有協(xié)議驅動程序與底層派發(fā)函數(shù)的入口��,如SendHandler���、ReceiveHandler��、BindAdapterHandler等�。當網(wǎng)卡有數(shù)據(jù)包進入時�,會通過表中ReceiveHandle或ReceivePacketHandler通知協(xié)議驅動程序有一個該協(xié)議的數(shù)據(jù)包進入,反之協(xié)議驅動程序通過SendHandler或SendPacketsHandler函數(shù)向網(wǎng)卡驅動發(fā)送數(shù)據(jù)包到網(wǎng)絡中��。因此只要修改ndis.sys中NdisRegisterProtocol���、NdisIMRegisterLayeredMiniport�、NdisDeRegisterProtocol�����、NdisOpenAdapter���、NdisCloseAdapter函數(shù)的地址�����,最終實現(xiàn)對數(shù)據(jù)包發(fā)送的控制���。病毒監(jiān)控模塊通過截獲TCP/IP核心傳來的數(shù)據(jù),分析目的地址,統(tǒng)計本機與其他計算機的連接���,包括本機發(fā)起到其他計算機的TCP連接和本機發(fā)送的UDP包���,如果在定義的單位時間內(nèi),本機試圖與超過規(guī)定閥值的計算機進行連接�,則丟棄所有本機主動連接其他計算機的數(shù)據(jù)包,同時向IDS系統(tǒng)發(fā)出報警信息��。IDS系統(tǒng)接受病毒監(jiān)測程序發(fā)來的病毒警報��,進行統(tǒng)計分析����,形成完整的病毒統(tǒng)計報告。權利要求1.一種檢測蠕蟲病毒及延緩病毒傳播的方法�����,其特征在于���,利用設置在網(wǎng)絡中的病毒防護系統(tǒng)�����,其病毒防護系統(tǒng)包括病毒監(jiān)測程序和入侵檢測系統(tǒng)IDS�,通過病毒監(jiān)測程序監(jiān)測任一與網(wǎng)絡聯(lián)接的計算機與其它與網(wǎng)絡聯(lián)接的計算機的連接數(shù)量,并設置閥值限制與網(wǎng)絡聯(lián)接的計算機與其它網(wǎng)絡聯(lián)接的計算機的連接數(shù)量�,對超過閥值的連接將強行丟棄,向入侵檢測系統(tǒng)IDS發(fā)出報警���。2.按照權利要求1所述的一種檢測蠕蟲病毒及延緩病毒傳播的方法,其特征在于��,該方法包括如下步驟�����;A.截獲由與網(wǎng)絡連接的計算機應用層到TCP/IP核心的數(shù)據(jù)��;B.分析目的地址��,統(tǒng)計其機與其它計算機的連接�����,包括其機發(fā)起到其它計算機的TCP連接和其機發(fā)送的UDP包�����;C.判斷目的地址是不是到入侵檢測系統(tǒng)IDS的地址,對到入侵檢測系統(tǒng)IDS的數(shù)據(jù)�,則轉發(fā)到網(wǎng)絡接口;D.對不是到入侵檢測系統(tǒng)IDS的數(shù)據(jù)�,判斷是否超過規(guī)定的閥值,超過閥值則將數(shù)據(jù)丟棄�,并且向入侵檢測系統(tǒng)IDS發(fā)出報警信息,否則轉發(fā)到網(wǎng)絡接口�����;E.入侵檢測系統(tǒng)IDS接受發(fā)來的病毒警報�,進行統(tǒng)計分析,形成完整的病毒統(tǒng)計報告�����。3.按照權利要求1所述的一種檢測蠕蟲病毒及延緩病毒傳播的方法����,其特征在于,病毒監(jiān)測程序可采用修改中間層驅動或修改網(wǎng)卡驅動實現(xiàn)監(jiān)控數(shù)據(jù)的發(fā)送���。4.一種實現(xiàn)檢測蠕蟲病毒及延緩病毒傳播方法的病毒防護系統(tǒng)����,其特征在于,其包括病毒監(jiān)測程序和入侵檢測系統(tǒng)IDS及網(wǎng)絡中交換數(shù)據(jù)的交換機�����,病毒監(jiān)測程序與入侵檢測系統(tǒng)IDS采用標準網(wǎng)絡協(xié)議進行標準的通信連接�����;病毒監(jiān)測程序安裝在每一與網(wǎng)絡連接的計算機上�����,入侵檢測系統(tǒng)IDS通過網(wǎng)絡接口與交換機相連�����。全文摘要本發(fā)明為一種檢測蠕蟲病毒及延緩病毒傳播的方法��,該方法利用設置在網(wǎng)絡中的病毒防護系統(tǒng)���,其病毒防護系統(tǒng)包括病毒監(jiān)測程序和入侵檢測系統(tǒng)IDS,通過病毒監(jiān)測程序監(jiān)測任一與網(wǎng)絡聯(lián)接的計算機與其它與網(wǎng)絡聯(lián)接的計算機的連接數(shù)量���,并設置閥值限制其機與其它網(wǎng)絡聯(lián)接的計算機的連接數(shù)量��,對超過閥值的連接將強行丟棄����,并向入侵檢測系統(tǒng)IDS發(fā)出報警。IDS接受發(fā)來的病毒警報����,進行統(tǒng)計分析,形成完整的病毒統(tǒng)計報告�。本發(fā)明方法可以判斷病毒源頭,延緩病毒的傳播速度�,從而保護網(wǎng)絡系統(tǒng)正常運行。文檔編號G06F11/28GK1549126SQ0313105公開日2004年11月24日申請日期2003年5月16日優(yōu)先權日2003年5月16日發(fā)明者劉秋實,謝書強,徐樹軍申請人:北京愛迪安網(wǎng)絡技術有限公司