專利名稱:病毒檢測(cè)方法和裝置的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及計(jì)算機(jī)網(wǎng)絡(luò)病毒檢測(cè)技術(shù)�����,特別是涉及一種病毒檢測(cè)方法和 裝置��。
背景技術(shù):
隨著計(jì)算機(jī)網(wǎng)絡(luò)的迅速發(fā)展��,互聯(lián)網(wǎng)的應(yīng)用越來(lái)越廣泛���,病毒的危害性 越來(lái)越大��,尤其是蠕蟲(chóng)病毒對(duì)計(jì)算機(jī)系統(tǒng)安全和網(wǎng)絡(luò)安全的威脅日益增加�����。 其中��,蠕蟲(chóng)病毒是一種通過(guò)網(wǎng)絡(luò)傳播的惡意病毒�,其具有傳播速度快、傳播 范圍廣和破壞程度大的特點(diǎn)���。在網(wǎng)絡(luò)環(huán)境下��,蠕蟲(chóng)病毒可以按幾何增長(zhǎng)模式 進(jìn)行傳染�。蠕蟲(chóng)病毒侵入計(jì)算機(jī)網(wǎng)絡(luò)�,可以導(dǎo)致計(jì)算機(jī)網(wǎng)絡(luò)的效率急劇下降, 系統(tǒng)資源遭到嚴(yán)重破壞����,短時(shí)間內(nèi)就造成網(wǎng)絡(luò)系統(tǒng)的癱瘓。現(xiàn)在多態(tài)蠕蟲(chóng)病 毒以及變形蠕蟲(chóng)病毒����,很容易避開(kāi)現(xiàn)有的檢測(cè)系統(tǒng),成為威脅到網(wǎng)絡(luò)安全的 一個(gè)重大隱患��。
蠕蟲(chóng)病毒傳播時(shí)需要掃描探測(cè)網(wǎng)絡(luò)中存在漏洞的主機(jī),因此�,在蠕蟲(chóng)病 毒爆發(fā)的時(shí)候,傳播蠕蟲(chóng)病毒的主機(jī)會(huì)向網(wǎng)絡(luò)中的大量主機(jī)發(fā)出探測(cè)連接���, 使得流量或連接狀態(tài)與正常情況下相比有明顯的差異���,且蠕蟲(chóng)病毒傳播時(shí)一 般釆用快速掃描方式傳播和慢速掃描方式傳播。目前���,現(xiàn)有技術(shù)基于流量異 ?;蜻B接異常的蠕蟲(chóng)病毒檢測(cè)方法主要是基于數(shù)理學(xué)中的統(tǒng)計(jì)分析���,按照協(xié) 議�����、端口、 IP地址��、訪問(wèn)資源等可測(cè)量屬性對(duì)一段時(shí)間內(nèi)的網(wǎng)絡(luò)中嗅探到的 數(shù)據(jù)流信息進(jìn)行統(tǒng)計(jì)����,并與正常情況下這些屬性的值進(jìn)行比較���,綜合蠕蟲(chóng)病 毒傳插一莫型,判斷流量中蠕蟲(chóng)病毒存在的可能性?�,F(xiàn)有技術(shù)蠕蟲(chóng)病毒檢測(cè)時(shí)���,需要在一定的統(tǒng)計(jì)時(shí)間內(nèi)4企測(cè)蠕蟲(chóng)病毒���,若統(tǒng)計(jì) 時(shí)間過(guò)長(zhǎng),則在快速掃描方式傳播的蠕蟲(chóng)病毒可能已經(jīng)感染了網(wǎng)絡(luò)中的大量
主機(jī)�����;若統(tǒng)計(jì)時(shí)間較短��,則對(duì)于慢速掃描方式傳播蠕蟲(chóng)病毒�����,可能無(wú)法檢測(cè) 到病毒��,出現(xiàn)漏報(bào)的情況�;同時(shí),網(wǎng)絡(luò)情況較差時(shí)����,也容易產(chǎn)生誤報(bào)的情況�, 且需要對(duì)網(wǎng)絡(luò)中的所有數(shù)據(jù)流進(jìn)行統(tǒng)計(jì)�����,導(dǎo)致病毒檢測(cè)的效率低�。
發(fā)明內(nèi)容
本發(fā)明實(shí)施例提供一種病毒檢測(cè)方法和裝置,可以有效提高病毒檢測(cè)效 率��,降低病毒的誤報(bào)率�。
本發(fā)明實(shí)施例提供了一種病毒檢測(cè)方法,包括
獲取并分析分組的首次連接隊(duì)列中各連接項(xiàng)的連接狀態(tài)�����,所述分組的首 次連接隊(duì)列中各連接項(xiàng)具有相同的源IP地址和目的端口號(hào)�;
根據(jù)所述分組的首次連接隊(duì)列中連接項(xiàng)的連接狀態(tài),判斷所述分組對(duì)應(yīng) 的源IP地址的主機(jī)是否感染病毒�。
本發(fā)明實(shí)施例提供了一種病毒檢測(cè)裝置����,包括
獲取分析模塊,用于獲取并分析分組的首次連接隊(duì)列中各連接項(xiàng)的連接 狀態(tài)�,所述分組的首次連接隊(duì)列中各連接項(xiàng)具有相同的源IP地址和目的端口 號(hào)��;
病毒判斷模塊�����,用于根據(jù)所述分組的首次連接隊(duì)列中連接項(xiàng)的連接狀態(tài)��, 判斷所述分組對(duì)應(yīng)的源IP地址的主機(jī)是否感染病毒��。
本發(fā)明實(shí)施例可適用于慢掃描方式和快速掃描方式傳播的蠕蟲(chóng)病毒的檢
播或感染蠕蟲(chóng)病毒的主機(jī)進(jìn)行檢測(cè)���,可實(shí)時(shí)高效的檢測(cè)網(wǎng)絡(luò)中的病毒,提高 病毒的檢測(cè)效率����,降低病毒的誤報(bào)率。
為了更清楚地說(shuō)明本發(fā)明實(shí)施例或現(xiàn)有技術(shù)中的技術(shù)方案����,下面將對(duì) 實(shí)施例或現(xiàn)有技術(shù)描述中所需要使用的附圖作簡(jiǎn)單地介紹,顯而易見(jiàn)地��, 下面描述中的附圖僅僅是本發(fā)明的 一些實(shí)施例����,對(duì)于本領(lǐng)域普通技術(shù)人員 來(lái)講���,在不付出創(chuàng)造性勞動(dòng)性的前提下,還可以根據(jù)這些附圖獲得其他的 附圖����。
圖1為本發(fā)明病毒檢測(cè)方法實(shí)施例一的流程圖; 圖2為本發(fā)明病毒4企測(cè)方法實(shí)施例二的流程圖3為本發(fā)明病毒檢測(cè)方法實(shí)施例三中對(duì)分組的首次連接項(xiàng)進(jìn)行超時(shí)處 理的流程圖4為本發(fā)明病毒檢測(cè)方法實(shí)施例四中對(duì)分組的失敗連接隊(duì)列進(jìn)行處理 的流程圖5為本發(fā)明病毒檢測(cè)裝置實(shí)施例一的結(jié)構(gòu)示意圖6為本發(fā)明病毒檢測(cè)裝置實(shí)施例二中病毒判斷模塊的結(jié)構(gòu)示意圖7為本發(fā)明病毒^r測(cè)裝置實(shí)施例三的結(jié)構(gòu)示意圖�。
具體實(shí)施例方式
下面將結(jié)合本發(fā)明實(shí)施例中的附圖,對(duì)本發(fā)明實(shí)施例中的技術(shù)方案進(jìn) 行清楚��、完整地描述���,顯然�,所描述的實(shí)施例僅僅是本發(fā)明一部分實(shí)施例����, 而不是全部的實(shí)施例?��;诒景l(fā)明中的實(shí)施例�,本領(lǐng)域普通技術(shù)人員在沒(méi) 有做出創(chuàng)造性勞動(dòng)前提下所獲得的所有其他實(shí)施例�,都屬于本發(fā)明保護(hù)的 范圍。
圖1為本發(fā)明病毒^r測(cè)方法實(shí)施例一的流程圖���。該方法包括
步驟IOI�、獲取并分析分組的首次連接隊(duì)列中各連接項(xiàng)的連接狀態(tài)�,所述
分組的首次連接隊(duì)列中各連接項(xiàng)具有相同的源IP地址和目的端口號(hào);
步驟102����、根據(jù)所述分組的首次連接隊(duì)列中連接項(xiàng)的連接狀態(tài),判斷所述
分組對(duì)應(yīng)的源IP地址的主才幾是否感染病毒��。本發(fā)明實(shí)施例可應(yīng)用于網(wǎng)絡(luò)中的蠕蟲(chóng)病毒的檢測(cè)�����,通過(guò)對(duì)獲得的具有相 同源IP地址和目的端口號(hào)的首次連接隊(duì)列中連接項(xiàng)的連接狀態(tài)進(jìn)行分析����,可 以確定出源IP地址主機(jī)是否為傳播或感染了蠕蟲(chóng)病毒的主機(jī),可以實(shí)時(shí)高效 地阻止蠕蟲(chóng)病毒的傳播����。具體地,由于蠕蟲(chóng)病毒在傳播病毒的探測(cè)階段會(huì)不 斷的向網(wǎng)絡(luò)中的不同主機(jī)的固定端口發(fā)送探測(cè)數(shù)據(jù)包��,若是感染蠕蟲(chóng)病毒的 主機(jī)發(fā)出的探測(cè)連接,其探測(cè)連接的成功率將會(huì)遠(yuǎn)低于正常主機(jī)發(fā)出的首次 連接�����,因此���,本發(fā)明實(shí)施例中通iW源IP地址和目的端口號(hào)的各首次連接的 連接狀態(tài)進(jìn)行分析處理�����,實(shí)時(shí)監(jiān)控各源IP主機(jī)發(fā)出的首次連接的連接狀態(tài)�����, 通過(guò)對(duì)源IP主機(jī)發(fā)出的到固定端口的探測(cè)數(shù)據(jù)的首次連接狀態(tài)進(jìn)行分析�,即 可判斷出源IP主機(jī)是否為感染病毒的主機(jī)��,若判斷源IP主機(jī)為感染病毒的 主機(jī)����,即可發(fā)出病毒報(bào)警信息,對(duì)源IP主機(jī)進(jìn)行處理����,歇制蠕蟲(chóng)病毒在網(wǎng)絡(luò) 中的傳播���。
本發(fā)明實(shí)施例可適用于慢掃描方式和快速掃描方式傳播的蠕蟲(chóng)病毒的檢
播或感染蠕蟲(chóng)病毒的主機(jī)進(jìn)行檢測(cè),可實(shí)時(shí)高效的檢測(cè)網(wǎng)絡(luò)中的病毒�����,提高 病毒的檢測(cè)效率���,降低病毒的誤報(bào)率。
圖2為本發(fā)明病毒檢測(cè)方法實(shí)施例二的流程圖��。該方法包括
步驟201�、獲取并分析分組的首次連接隊(duì)列中各連接項(xiàng)的連接狀態(tài),所述 分組的首次連接隊(duì)列中各連接項(xiàng)具有相同的源IP地址和目的端口號(hào)���。
本步驟中�����,可從網(wǎng)絡(luò)中獲取具有相同IP地址和目的端口號(hào)的首次連接數(shù) 據(jù)包�����,并將其作為分組的首次連接隊(duì)列的連接項(xiàng)����。具體地,從網(wǎng)絡(luò)中獲取分 組的首次連接隊(duì)列可包括以下步驟
步驟2011�����、從網(wǎng)絡(luò)中捕獲數(shù)據(jù)包���。
步驟2012��、對(duì)所捕獲到的數(shù)據(jù)包進(jìn)行重組��,并對(duì)重組后的數(shù)據(jù)包進(jìn)行病 毒過(guò)濾����。
其中�,可以通過(guò)TCP會(huì)話重組以及IP分片數(shù)據(jù)包重組對(duì)網(wǎng)絡(luò)中的數(shù)據(jù)包進(jìn)行重組,并可采用特征碼法匹配過(guò)濾掉已知的惡意代碼數(shù)據(jù)包����,以快速過(guò) 濾掉已知的惡意代碼,提高病毒檢測(cè)的效率��,且特征碼匹配的算法可釆用高
效的多模式匹配算法AC算法來(lái)實(shí)現(xiàn)��。
步驟2013、對(duì)捕獲到的數(shù)據(jù)包進(jìn)行分組���,按照捕獲到的首次連接的數(shù)據(jù) 包的源IP地址以及目的端口號(hào)進(jìn)4亍分組�����。
通過(guò)以上步驟即可獲的分組的首次連接隊(duì)列�����,并且獲得的分組的首次連 接隊(duì)列中的各連接項(xiàng)均是具有相同的源IP地址和目的端口號(hào)的連接數(shù)據(jù)包組 成,以便于后續(xù)步驟對(duì)主機(jī)向網(wǎng)絡(luò)中發(fā)送的首次連接的狀態(tài)進(jìn)行分析處理�����。
步驟202��、所述分組的首次連接隊(duì)列中位于隊(duì)列隊(duì)首的連接項(xiàng)狀態(tài)改變 時(shí)����,從所述分組的首次連接隊(duì)列中刪除所述連接項(xiàng),并修改所述分組對(duì)應(yīng)的 分組比率�。
本發(fā)明實(shí)施例中,對(duì)于一個(gè)首次連接隊(duì)列對(duì)應(yīng)的分組���,使用分組比率義來(lái)
機(jī)發(fā)出的可能性與由正常主機(jī)發(fā)出的可能性的比值����,通過(guò)該分組比率A即可確 定分組中源IP地址對(duì)應(yīng)的主機(jī)是否為傳播或感染了病毒的主機(jī)。其中�����,該分 組比率義初始時(shí)可賦值為1����,當(dāng)分組中的首次連接隊(duì)列的連接項(xiàng)狀態(tài)改變時(shí), 可對(duì)該分組比率^進(jìn)行重新計(jì)算���,確定該分組比率義的大小����。 其中����,步驟202具體可包括以下步驟
步驟2021、判斷所述分組的首次連接隊(duì)列中位于隊(duì)首的連接項(xiàng)狀態(tài)是否 改變?yōu)檫B接失敗�,是則執(zhí)行步驟2022,否則,為連接成功���,執(zhí)行步驟2023; 步驟2022�����、從所述分組的首次連接隊(duì)列中刪除所述連接項(xiàng)���,將所述分組
對(duì)應(yīng)的分組比率A修改為<formula>formula see original document page 9</formula>其中《為正常情況下連接項(xiàng)連接成功的
1 — 00
概率�����,《為在感染蠕蟲(chóng)病毒的情況下連接項(xiàng)連接成功的概率�,執(zhí)行步驟203; 步驟2023���、從所述分組的首次連接隊(duì)列中刪除所述連接項(xiàng),將所述分組
比率A修改為<formula>formula see original document page 9</formula>本步驟202中����,首次連接隊(duì)列的位于隊(duì)列隊(duì)首的連接項(xiàng)狀態(tài)改變時(shí),對(duì) 分組比率義進(jìn)行修改���,可有效保證病毒檢測(cè)的準(zhǔn)確性�。同時(shí)�,當(dāng)分組的首次連 接隊(duì)列中不是位于首次連接隊(duì)列的隊(duì)首的連接項(xiàng)改變時(shí)����,可將對(duì)應(yīng)的連接項(xiàng) 狀態(tài)修改為改變后的狀態(tài)�,而不改變分組比率。
步驟203�、判斷修改后的分組比率是否超過(guò)預(yù)設(shè)的閾值,若是���,執(zhí)行步驟 204�����,否則���,執(zhí)行步驟201,繼續(xù)進(jìn)行病毒檢測(cè)����。
當(dāng)步驟202修改分組比率義后,即可與預(yù)設(shè)閾值進(jìn)行比較��,以確定該分組
的源IP對(duì)應(yīng)的主機(jī)是否感染病毒��。其中,所述的預(yù)設(shè)閾值可表示為& �����,其中�����, ^為誤報(bào)率�,表示在沒(méi)有蠕蟲(chóng)病毒情況下,錯(cuò)誤的判斷為蠕蟲(chóng)病毒的概率�,^ 為識(shí)別率,表示正確地識(shí)別為蠕蟲(chóng)病毒的概率�,A和A可為預(yù)先設(shè)定的值, 或者對(duì)蠕蟲(chóng)病毒進(jìn)行監(jiān)控后獲得的值����。
步驟204、所述分組對(duì)應(yīng)的源IP地址的主機(jī)感染病毒����,發(fā)出報(bào)警�。 檢測(cè)到源IP地址對(duì)應(yīng)的主機(jī)感染病毒后,即可發(fā)出報(bào)警信息�����,并可由相 關(guān)的病毒處理裝置對(duì)感染病毒的主機(jī)進(jìn)行處理,如將判斷為感染了蠕蟲(chóng)病毒 的源IP地址���、目的端口號(hào)組加入^皮感染病毒分組隊(duì)列�,與防火墻聯(lián)動(dòng)進(jìn)行過(guò) 濾處理�����,盡早遏制蠕蟲(chóng)病毒的傳播��。
可以看出��,本發(fā)明實(shí)施例中通過(guò)對(duì)網(wǎng)絡(luò)中同 一主機(jī)向同 一端口號(hào)發(fā)送的
首次連接的連接狀態(tài)進(jìn)行分析�,并通過(guò)設(shè)定的分組比率義來(lái)判定主機(jī)是否感染 病毒,即基于概率論中假設(shè)檢驗(yàn)的方法來(lái)檢測(cè)未知的蠕蟲(chóng)病毒����,可實(shí)時(shí)高效 地檢測(cè)到網(wǎng)絡(luò)中可能存在的新蠕蟲(chóng)病毒,從而盡早的遏制蠕蟲(chóng)病毒的傳播���。
圖3為本發(fā)明病毒檢測(cè)方法實(shí)施例三中對(duì)分組的首次連接項(xiàng)進(jìn)行超時(shí)處 理的流程圖�����。在上述實(shí)施例二技術(shù)方案中���,可能會(huì)出現(xiàn)以下幾種情況如果 首次連接隊(duì)列中的處于等待狀態(tài)的連接項(xiàng)在一定時(shí)間內(nèi)都沒(méi)有收到響應(yīng)�����,而 該連接項(xiàng)剛好位于分組的首次連接隊(duì)列的隊(duì)首時(shí)����,將導(dǎo)致無(wú)法繼續(xù)進(jìn)行病毒連接成功或連接失敗����,但該連接項(xiàng)之前還有其他連接項(xiàng)的連接狀態(tài)未確定,
此時(shí)將僅修改連接的狀態(tài)��,而不會(huì)立即進(jìn)行檢測(cè)(見(jiàn)步驟202 );或者��,經(jīng)過(guò) 一定時(shí)間段后����,可能之前位于分組的首次連接隊(duì)列隊(duì)首的首次連接現(xiàn)在位于 隊(duì)首,且其連接狀態(tài)已經(jīng)改變?yōu)檫B接成功或連接失敗�����。針對(duì)以上情況��,本發(fā)
根據(jù)遍歷得到的連接狀態(tài)對(duì)連接項(xiàng)作處理���,且在獲得分組的首次連接隊(duì)列的 各連接項(xiàng)時(shí)�����,可將其連接狀態(tài)設(shè)置為等待狀態(tài)���,并將其連接時(shí)間設(shè)置為0。具 體地�,在上述實(shí)施例二技術(shù)方案的基礎(chǔ)上,本實(shí)施例還可包括以下步驟 步驟301����、預(yù)設(shè)時(shí)間t內(nèi),遍歷所述分組的首次連接隊(duì)列中的連接項(xiàng)�����; 步驟302����、判斷首次連接隊(duì)列中的連接項(xiàng)的連接狀態(tài)是否為等待狀態(tài)���,是 則執(zhí)行步驟303,否則�����,執(zhí)行步驟308;
步驟303�����、增加所述首次連接隊(duì)列中的連接項(xiàng)的等待時(shí)間�����; 步驟304�����、判斷所述連接項(xiàng)是否超時(shí)��,若是��,則執(zhí)行步驟305,否則��,結(jié) 束�����,繼續(xù)對(duì)其它連接項(xiàng)進(jìn)行遍歷并根據(jù)遍歷得到的連接狀態(tài)對(duì)連接項(xiàng)作處理����; 步驟305、將所述連接項(xiàng)的連接狀態(tài)修改為失敗連接����,并刪除;
步驟306����、修改分組比率為—、-洲��;
步驟307��、判斷所述分組比率/l是否超過(guò)預(yù)設(shè)閾值�,若是則說(shuō)明分組的源 IP地址對(duì)應(yīng)的主機(jī)感染病毒,發(fā)出報(bào)警信息���,并有相關(guān)的病毒處理裝置進(jìn)行 處理�,否則�����,結(jié)束對(duì)所述連接項(xiàng)的處理,繼續(xù)對(duì)分組的首次連接隊(duì)列中的其 它連接項(xiàng)進(jìn)行遍歷并根據(jù)遍歷得到的連接狀態(tài)對(duì)連接項(xiàng)作處理��;
步驟308��、判斷所述連接項(xiàng)連接狀態(tài)是否為連接成功���,若是�����,則執(zhí)行步驟 309���,否則,所述連接項(xiàng)連接狀態(tài)為連接失敗�����,執(zhí)行步驟312;
步驟309�、判斷所述連接項(xiàng)是否位于所述分組的首次連接隊(duì)列的隊(duì)首,是����, 則執(zhí)行步驟310,否則�,繼續(xù)對(duì)其它連接項(xiàng)進(jìn)行遍歷并根據(jù)遍歷得到的連接狀 態(tài)對(duì)連接項(xiàng)作處理���;步驟310��、將所述連接項(xiàng)從所述分組的首次連接隊(duì)列中刪除;
步驟311�、修改分組比率為 卯,結(jié)束�����,繼續(xù)對(duì)其它連接項(xiàng)進(jìn)行遍歷 并根據(jù)遍歷得到的連接狀態(tài)對(duì)連接項(xiàng)作處理�;
步驟312、判斷所述連接項(xiàng)是否位于所述分組的首次連接隊(duì)列的隊(duì)首���,是���, 則執(zhí)行步驟313,否則,結(jié)束�,繼續(xù)對(duì)其它連接項(xiàng)進(jìn)行遍歷并根據(jù)遍歷得到的 連接狀態(tài)對(duì)連接項(xiàng)作處理;
步驟313����、將所述連接項(xiàng)從所述分組的首次連接隊(duì)列中刪除�;
,1 = ^1-《 步驟314���、修改分組比率為 l-卯�����;
步驟315��、判斷所述分組比率/l是否超過(guò)預(yù)設(shè)閾值�,若是則說(shuō)明分組的源 IP地址對(duì)應(yīng)的主機(jī)感染病毒��,發(fā)出報(bào)警信息�����,并有相關(guān)的病毒處理裝置進(jìn)行 處理��,結(jié)束對(duì)所述連接項(xiàng)的處理����,繼續(xù)對(duì)其它連接項(xiàng)進(jìn)行遍歷并根據(jù)遍歷得 到的連接狀態(tài)對(duì)連接項(xiàng)作處理。
可以看出�,本發(fā)明實(shí)施例通過(guò)在預(yù)設(shè)時(shí)間內(nèi)對(duì)首次連接隊(duì)列中的各連接
項(xiàng)進(jìn)行遍歷,并在遍歷時(shí)對(duì)處于等待狀態(tài)的連接項(xiàng)進(jìn)行計(jì)時(shí)并根據(jù)遍歷得到 的連接狀態(tài)對(duì)連接項(xiàng)作處理,即每次遍歷就將處于等待狀態(tài)的連接項(xiàng)增加一 定的等待時(shí)間�����,如增1等�����,并將超時(shí)的等待連接項(xiàng)設(shè)定為失敗連接項(xiàng)�,并相 應(yīng)地修改分組比率;而對(duì)于部分位于隊(duì)列隊(duì)首而處于失敗連接或成功連接的 連接項(xiàng)��,則直接作為失敗連接或成功連接對(duì)分組比率進(jìn)行修改��,并對(duì)修改后 的分組比率進(jìn)行判定����,以確認(rèn)源IP地址對(duì)應(yīng)的主機(jī)是否感染病毒�����,因此����,可 經(jīng)一步地提高病毒檢測(cè)的可靠性和準(zhǔn)確性,提高病毒檢測(cè)的效率。
圖4為本發(fā)明病毒檢測(cè)方法實(shí)施例四中對(duì)分組的失敗連接隊(duì)列進(jìn)行處理 的流程圖�����。由于網(wǎng)絡(luò)上的狀態(tài)是極其復(fù)雜的��,因此分組的首次連接隊(duì)列中的 某個(gè)連接項(xiàng)連接失敗時(shí)��,可能不是由于目的主機(jī)不存在或端口不可達(dá)等因素���, 也可能是由于網(wǎng)絡(luò)擁塞引起��,因此����,在給定的時(shí)間內(nèi)��,如果能夠得到目的主 才幾的及時(shí)響應(yīng)�,則該連接仍然可以作為成功連接來(lái)處理?����;谏鲜鲈?��,本發(fā)明實(shí)施例還可包括分組的失敗連接隊(duì)列�����,其可由上
對(duì)分組的失敗連接隊(duì)列進(jìn)行處理可包括以下步驟
步驟401��、檢測(cè)所述分組的失敗連接隊(duì)列中的連接項(xiàng)是否改變?yōu)檫B接成 功����,若是,則執(zhí)行步驟402,否則����,繼續(xù)4企測(cè)分組的失敗連接隊(duì)列中的連接項(xiàng);
步驟402�、從所述分組的失敗連接隊(duì)列中刪除所述連接項(xiàng)��,將所述分組對(duì)
應(yīng)的分組比率義修改為���;uA���。
《
上述各實(shí)施例中,判斷分組的首次連接隊(duì)列或失敗連接隊(duì)列中各連接項(xiàng) 是失敗連接或成功連接可包括以下幾種情況對(duì)于TCP首次連接數(shù)據(jù)包�����,如 果收到了服務(wù)器端返回的ACK數(shù)據(jù)包,說(shuō)明連接成功�,將該數(shù)據(jù)包對(duì)應(yīng)的分 組(該分組的源IP地址、目的端口號(hào)對(duì)應(yīng)于ACK數(shù)據(jù)包的目的IP地址�����,源 端口號(hào))的首次連接隊(duì)列中的相應(yīng)連4妻項(xiàng)(該項(xiàng)的目的IP地址為ACK數(shù)據(jù)包 的源IP地址)的連接狀態(tài)設(shè)置為連接成功���;如果收到服務(wù)器端返回的RST數(shù) 據(jù)包��,則將相應(yīng)連接項(xiàng)連接狀態(tài)設(shè)置為連接失?�?;對(duì)于UDP首次連接數(shù)據(jù)包���, 只要收到返回的數(shù)據(jù)包(無(wú)論是否為ACK數(shù)據(jù)包)�����,則連接成功���;而如果收 到ICMP不可達(dá)數(shù)據(jù)包����,則連接失敗����。
上述各實(shí)施例中,如果修改后的分組比率義小于1時(shí)���,可將義重新賦值為 1�,以提高蠕蟲(chóng)病毒檢測(cè)的準(zhǔn)確性和可靠性�����。
上述各實(shí)施例中����,在每隔一段較長(zhǎng)的時(shí)間內(nèi)可釋放空間,例如可釋放所 有分組及其首次連接隊(duì)列中的相關(guān)信息�����,失敗連接隊(duì)列中的相關(guān)信息等����。
圖5為本發(fā)明病毒檢測(cè)裝置實(shí)施例一的結(jié)構(gòu)示意圖。該裝置包括獲取分 析模塊1和病毒判斷模塊2���,其中�,
獲取分析模塊1��,用于獲取并分析分組的首次連接隊(duì)列中各連接項(xiàng)的連接 狀態(tài)�,所述分組的首次連接隊(duì)列中各連接項(xiàng)具有相同的源IP地址和目的端口號(hào);病毒判斷模塊2,用于根據(jù)所述分組的首次連接隊(duì)列中連接項(xiàng)的連接狀態(tài)��,判斷所述分組對(duì)應(yīng)的源IP地址的主機(jī)是否感染病毒��。本發(fā)明實(shí)施例可應(yīng)用于網(wǎng)絡(luò)中蠕蟲(chóng)病毒傳播中的病毒檢測(cè)��,其中���,獲取 分析模塊1可對(duì)網(wǎng)絡(luò)中具有相同源I p地址和目的端口號(hào)的首次連接隊(duì)列的連接狀態(tài)進(jìn)行跟蹤分析���,并可由病毒判斷模塊2對(duì)分組中首次連接隊(duì)列中連接 項(xiàng)狀態(tài)的改變,確定分組中源IP地址對(duì)應(yīng)的主機(jī)是否感染病毒�����,并可將判定 為感染病毒的信息反饋給病毒處理裝置進(jìn)行處理���。具體地���,本發(fā)明實(shí)施例中 各模塊的功能和作用可通過(guò)上述本發(fā)明病毒檢測(cè)方法實(shí)施例中的步驟來(lái)實(shí) 現(xiàn)�����,在此不再贅述���。行分析,對(duì)傳播或感染蠕蟲(chóng)病毒的主機(jī)進(jìn)行檢測(cè)�����,可實(shí)時(shí)高效的檢測(cè)網(wǎng)絡(luò)中 的病毒�����,提高病毒的檢測(cè)效率����,降低病毒的誤報(bào)率,可適用于慢掃描方式和 快速掃描方式傳播的蠕蟲(chóng)病毒的檢測(cè)�,有效歇制蠕蟲(chóng)病毒在網(wǎng)絡(luò)上的傳播����。圖6為本發(fā)明病毒檢測(cè)裝置實(shí)施例二中病毒判斷模塊的結(jié)構(gòu)示意圖����。在 上述本發(fā)明病毒檢測(cè)裝置實(shí)施例一技術(shù)方案的基礎(chǔ)上����,本發(fā)明實(shí)施例中的病 毒判斷模塊可包括分析處理單元21和判斷單元22,其中,分析處理單元21,用于所述分組的首次連接隊(duì)列中位于隊(duì)列隊(duì)首的連接 項(xiàng)狀態(tài)改變時(shí)����,從所述分組的首次連接隊(duì)列中刪除所述連接項(xiàng),并修改所述 分組對(duì)應(yīng)的分組比率����;判斷單元22,用于判斷修 文后的分組比率是否超過(guò)預(yù)設(shè)的闊值,若是���, 則所述分組對(duì)應(yīng)的源IP地址的主機(jī)感染病毒��。上述分析處理單元21和判斷單元22可對(duì)分組的首次連接隊(duì)列的位于隊(duì) 列隊(duì)首的連接項(xiàng)狀態(tài)改變時(shí)進(jìn)行處理�����,具體地����,可參考上述本發(fā)明病毒檢測(cè) 方法實(shí)施例二的步驟來(lái)實(shí)現(xiàn),在此不再贅述���。進(jìn)一步地���,所述病毒判斷模塊還可包括計(jì)時(shí)處理單元23,用于預(yù)設(shè)時(shí)間內(nèi)對(duì)所述分組的首次連接隊(duì)列的各連接項(xiàng)進(jìn)行遍歷并根據(jù)遍歷得到的連接狀 態(tài)對(duì)連接項(xiàng)作處理�����。具體地�,可通過(guò)在預(yù)設(shè)時(shí)間內(nèi)遍歷分組的首次連接隊(duì)列 中各連接項(xiàng),并對(duì)處于等待狀態(tài)的連接項(xiàng)進(jìn)行計(jì)時(shí)并根據(jù)遍歷得到的連接狀 態(tài)對(duì)連接項(xiàng)作處理�����,而對(duì)于處于隊(duì)列隊(duì)首的處于成功連接或失敗連接的連接 項(xiàng)可直接進(jìn)行分組比率的修改�,其實(shí)現(xiàn)過(guò)程可以參考上述本發(fā)明病毒檢測(cè)方 法實(shí)施例三的步驟來(lái)實(shí)現(xiàn),在此不再贅述�����。圖7為本發(fā)明病毒檢測(cè)裝置實(shí)施例三的結(jié)構(gòu)示意圖。具體地�����,在上述本 發(fā)明病毒檢測(cè)裝置各實(shí)施例技術(shù)方案的基礎(chǔ)上����,本發(fā)明實(shí)施例還可包括失敗 分析模塊3,用于分組的失敗連接隊(duì)列中的連接項(xiàng)的連接狀態(tài)改變?yōu)檫B接成功 時(shí)���,從所述分組的失敗連接隊(duì)列中刪除所述連接項(xiàng)����,將所述分組對(duì)應(yīng)的分組比率/l修改為義xA,其中《為正常情況下連接項(xiàng)連接成功的概率����,《為在感 《染蠕蟲(chóng)病毒的情況下連接項(xiàng)連接成功的概率,其中�����,所述分組的失敗連接隊(duì) 列中的連接項(xiàng)為所述分組的首次連接隊(duì)列中連接失敗的連接項(xiàng)��。對(duì)在獲取分析模塊1和病毒判斷模塊2對(duì)病毒檢測(cè)中從分組的首次連接 隊(duì)列中刪除的失敗連接的連接項(xiàng)�,本發(fā)明實(shí)施例失敗分析才莫塊3可對(duì)由失敗 連接的連接項(xiàng)組成的分組的失敗連接隊(duì)列進(jìn)行分析處理。具體地,本發(fā)明實(shí) 施例中各模塊的功能和作用可通過(guò)上述本發(fā)明病毒檢測(cè)方法實(shí)施例四來(lái)實(shí) 現(xiàn)���,在此不再贅述�。此外���,上述各實(shí)施例中�����,還可包括病毒過(guò)濾模塊����,用于對(duì)獲取的分組的 首次連接隊(duì)列中各連接項(xiàng)的數(shù)據(jù)包進(jìn)行病毒過(guò)濾���。具體地���,在從網(wǎng)絡(luò)中捕獲 數(shù)據(jù)包,并通過(guò)TCP會(huì)話重組以及IP分片數(shù)據(jù)包重組對(duì)網(wǎng)絡(luò)中的數(shù)據(jù)包進(jìn)行 重組后���,可采用特征碼法匹配過(guò)濾掉已知的惡意代碼數(shù)據(jù)包����,以快速過(guò)濾掉 已知的惡意代碼,提高病毒檢測(cè)的效率���,且特征碼匹配的算法可采用高效的 多模式匹配算法AC算法來(lái)實(shí)現(xiàn)�。本領(lǐng)域普通技術(shù)人員可以理解實(shí)現(xiàn)上述實(shí)施例方法中的全部或部分流程��,是可以通過(guò)計(jì)算機(jī)程序來(lái)指令相關(guān)的硬件來(lái)完成����,所述的程序可存儲(chǔ)于 計(jì)算機(jī)可讀取存儲(chǔ)介質(zhì)中��,該程序在執(zhí)行時(shí)��,可包括如上述各方法的實(shí)施例的流程��。其中�����,所述的存儲(chǔ)介質(zhì)可為i茲碟�����、光盤(pán)���、只讀存儲(chǔ)記憶體(Read-0nly Memory, ROM)或隨才/L^4諸i己'I"乙體(Random Access Memory, RAM)等��。最后所應(yīng)說(shuō)明的是�����,以上實(shí)施例僅用以說(shuō)明本發(fā)明的技術(shù)方案而非限制���, 盡管參照較佳實(shí)施例對(duì)本發(fā)明進(jìn)行了詳細(xì)說(shuō)明�,本領(lǐng)域的普通技術(shù)人員應(yīng)當(dāng) 理解�,可以對(duì)本發(fā)明的技術(shù)方案進(jìn)行修改或者等同替換,而不脫離本發(fā)明技 術(shù)方案的精神和范圍�����。
權(quán)利要求
1���、一種病毒檢測(cè)方法���,其特征在于,包括獲取并分析分組的首次連接隊(duì)列中各連接項(xiàng)的連接狀態(tài)���,所述分組的首次連接隊(duì)列中各連接項(xiàng)具有相同的源IP地址和目的端口號(hào)�;根據(jù)所述分組的首次連接隊(duì)列中連接項(xiàng)的連接狀態(tài),判斷所述分組對(duì)應(yīng)的源IP地址的主機(jī)是否感染病毒���。
2�、 根據(jù)權(quán)利要求1所述的病毒檢測(cè)方法�����,其特征在于�����,所述根據(jù)所述分 組的首次連接隊(duì)列中連接項(xiàng)的連接狀態(tài)���,判斷所述分組對(duì)應(yīng)的源IP地址的主 機(jī)是否感染病毒包括所述分組的首次連接隊(duì)列中位于隊(duì)列隊(duì)首的連接項(xiàng)狀態(tài)改變時(shí),從所述 分組的首次連接隊(duì)列中刪除所述連接項(xiàng)��,并修改所述分組對(duì)應(yīng)的分組比率�;判斷修改后的分組比率是否超過(guò)預(yù)設(shè)的閾值,若是�,則所述分組對(duì)應(yīng)的 源IP地址的主^L感染病毒。
3�����、 根據(jù)權(quán)利要求2所述的病毒檢測(cè)方法,其特征在于��,所述分組的首次 連接隊(duì)列中位于隊(duì)列隊(duì)首的連接項(xiàng)狀態(tài)改變時(shí)�,從所述分組的首次連接隊(duì)列 中刪除所述連接項(xiàng),并修改所述分組對(duì)應(yīng)的分組比率包括所述分組的首次連接隊(duì)列中位于隊(duì)列隊(duì)首的連接項(xiàng)的連接狀態(tài)改變?yōu)檫B 接失敗時(shí)���,從所述分組的首次連接隊(duì)列中刪除所述連接項(xiàng)�,將所述分組對(duì)應(yīng)的分組比率義修改為���;u;uti�,其中《為正常情況下連接項(xiàng)連接成功的概1-洲率�,《為在感染蠕蟲(chóng)病毒的情況下連接項(xiàng)連接成功的概率;所述分組的首次連接隊(duì)列中位于隊(duì)列隊(duì)首的連接項(xiàng)的連接狀態(tài)改變?yōu)檫B 接成功時(shí)���,從所述分組的首次連接隊(duì)列中刪除所述連接項(xiàng)�����,將所述分組比率義卯
4��、 根據(jù)權(quán)利要求2所述的病毒檢測(cè)方法����,其特征在于,還包括 預(yù)設(shè)時(shí)間對(duì)所述分組的首次連接隊(duì)列的各連接項(xiàng)進(jìn)行遍歷并根據(jù)遍歷得到的連接狀態(tài)對(duì)連接項(xiàng)作處理��。
5�����、根據(jù)權(quán)利要求4所述的病毒檢測(cè)方法�����,其特征在于���,所述對(duì)所述分組 的首次連接隊(duì)列的各連接項(xiàng)進(jìn)行遍歷并根據(jù)遍歷得到的連接狀態(tài)對(duì)連接項(xiàng)作 處理包括遍歷所述分組的首次連接隊(duì)列的各連接項(xiàng)���,檢查連接項(xiàng)的連接狀態(tài)���; 將所述分組的首次連接隊(duì)列中處于等待狀態(tài)的超時(shí)連接項(xiàng)刪除�����,并將所述分組比率修改為l-卯�;和/或述分組比率修改為1-卯��;和/或?qū)⑺龇纸M的首次連接隊(duì)列中位于隊(duì)首的成功連接的連接項(xiàng)刪除,將所述分組比率修改為 卯����。
6、 根據(jù)權(quán)利要求3或5所述的病毒檢測(cè)方法���,其特征在于�����,所述分組比 率A小于1時(shí)�,將所述分組比率A重新賦值為1����。
7、 根據(jù)權(quán)利要求l所述的病毒檢測(cè)方法�����,其特征在于 所述分組還包括失敗連接隊(duì)列��,所述失敗連接隊(duì)列的連接項(xiàng)為所述分組中首次連接隊(duì)列中首次連接失敗的連接項(xiàng)��; 所述病毒4全測(cè)方法還包括所述分組的失敗連接隊(duì)列中刪除所述連接項(xiàng)����,將所述分組對(duì)應(yīng)的分組比率義修改為義xA����,其中《為正常情況下連接項(xiàng)連接成功的概率��,《為在感染蠕蟲(chóng)病 《毒的情況下連接項(xiàng)連接成功的概率���。
8��、 一種病毒4全測(cè)裝置����,其特征在于����,包括獲取分析^^莫塊,用于獲取并分析分組的首次連接隊(duì)列中各連接項(xiàng)的連接 狀態(tài)��,所述分組的首次連接隊(duì)列中各連接項(xiàng)具有相同的源IP地址和目的端口號(hào)�����;病毒判斷模塊��,用于根據(jù)所述分組的首次連接隊(duì)列中連接項(xiàng)的連接狀態(tài)�, 判斷所述分組對(duì)應(yīng)的源ip地址的主機(jī)是否感染病毒。
9�����、 根據(jù)權(quán)利要求8所述的病毒檢測(cè)裝置�,其特征在于,所述病毒判斷模 塊包括分析處理單元�,用于所述分組的首次連接隊(duì)列中位于隊(duì)列隊(duì)首的連接項(xiàng) 狀態(tài)改變時(shí),從所述分組的首次連接隊(duì)列中刪除所述連接項(xiàng)�,并修改所述分 組對(duì)應(yīng)的分組比率;判斷單元�,用于判斷修改后的分組比率是否超過(guò)預(yù)設(shè)的閾值,若是�,則 所述分組對(duì)應(yīng)的源ip地址的主才幾感染病毒。
10�����、 根據(jù)權(quán)利要求9所述的病毒檢測(cè)裝置�,其特征在于,所述病毒判斷 模塊還包括計(jì)時(shí)處理單元�����,用于預(yù)設(shè)時(shí)間內(nèi)對(duì)所述分組的首次連接隊(duì)列的各連接項(xiàng) 進(jìn)行遍歷并根據(jù)遍歷得到的連接狀態(tài)對(duì)連接項(xiàng)作處理。
11�����、 根據(jù)權(quán)利要求8所述的病毒檢測(cè)裝置�����,其特征在于��,還包括 失敗分析模塊�����,用于分組的失敗連接隊(duì)列中的連接項(xiàng)的連接狀態(tài)改變?yōu)檫B接成功時(shí)�,從所述分組的失敗連接隊(duì)列中刪除所述連接項(xiàng),將所述分組對(duì)應(yīng)的分組比率a修改為;uA����,其中《為正常情況下連接項(xiàng)連接成功的概率,《《為在感染蠕蟲(chóng)病毒的情況下連接項(xiàng)連接成功的概率�,其中,所述分組的失敗
全文摘要
本發(fā)明實(shí)施例涉及一種病毒檢測(cè)方法和裝置�����。病毒檢測(cè)方法包括獲取并分析分組的首次連接隊(duì)列中各連接項(xiàng)的連接狀態(tài)����,所述分組的首次連接隊(duì)列中各連接項(xiàng)具有相同的源IP地址和目的端口號(hào);根據(jù)所述分組的首次連接隊(duì)列中連接項(xiàng)的連接狀態(tài)����,判斷所述分組對(duì)應(yīng)的源IP地址的主機(jī)是否感染病毒。病毒檢測(cè)裝置包括獲取分析模塊和病毒判斷模塊��。本發(fā)明實(shí)施例可有效提高蠕蟲(chóng)的檢測(cè)效率��,實(shí)時(shí)高效地檢測(cè)到網(wǎng)絡(luò)中可能存在的蠕蟲(chóng)病毒��,病毒檢測(cè)效率高����,誤報(bào)率低,可有效檢測(cè)慢掃描方式傳播的蠕蟲(chóng)病毒��。
文檔編號(hào)H04L29/06GK101626377SQ20091009110
公開(kāi)日2010年1月13日 申請(qǐng)日期2009年8月7日 優(yōu)先權(quán)日2009年8月7日
發(fā)明者孫志敏, 張小松, 潘小會(huì) 申請(qǐng)人:成都市華為賽門(mén)鐵克科技有限公司;電子科技大學(xué)