用于內外網之間的業(yè)務的惡意代碼識別方法及識別設備的制造方法
【技術領域】
[0001]本發(fā)明涉及惡意代碼識別領域�,具體地,涉及一種用于內外網之間的業(yè)務的惡意代碼識別方法及識別設備����。
【背景技術】
[0002]21世紀以來,隨著信息化時代不可抵抗的趨勢�����,互聯(lián)網技術日趨發(fā)達����,伴隨而來的便是網絡安全問題。各種攻擊手段層出不窮���,其中一種就是主動通過網絡進行感染的惡意代碼��。該類方式有一種典型應用:網絡蠕蟲��。網絡蠕蟲�����,最大的特點就是感染性與主動傳播性�����,其需要網絡作為平臺����。蠕蟲并不需要人為干預����,便可主動感染目標主機,傳播它自身功能的拷貝或它的某些部分到其他的計算機系統(tǒng)中����,并生成大量的同類型蠕蟲,四處蔓延���,使整個網絡的環(huán)境變得越來越糟�。
[0003]對于企業(yè)、銀行���、學?����;驀覚C關等機構�����,內網的通信安全是尤為重要的���,因為這關系到內部數據的安全性。因此����,為了防范和打擊主動通過網絡感染的惡意代碼對內網的攻擊,尋求一種在內外網數據交換的過程中���,能夠快速��、準確地識別出該惡意代碼的方法是非常必要的���。
【發(fā)明內容】
[0004]本發(fā)明的目的是提供一種用于內外網之間的業(yè)務的惡意代碼識別方法及識別設備�,該識別方法及識別設備能夠在內外網的數據交換過程中����,快速、準確地識別出主動通過網絡感染的惡意代碼�,從而保證內網通信安全。
[0005]為了實現上述目的���,本發(fā)明提供一種用于內外網之間的業(yè)務的惡意代碼識別方法����,該方法包括:監(jiān)測內外網之間的業(yè)務�;將所監(jiān)測到的內外網之間的業(yè)務記錄到業(yè)務數據庫中;將所記錄的業(yè)務的內容與惡意代碼數據庫中預先存儲的已知惡意代碼特征串進行比較�����,以確定該業(yè)務中是否包括所述已知惡意代碼特征串��;以及在確定所述業(yè)務中包括所述已知惡意代碼特征串的情況下�����,在所述業(yè)務數據庫中將該業(yè)務標記為惡意代碼�����。
[0006]優(yōu)選地����,在所述惡意代碼數據庫中,每種已知惡意代碼特征串由唯一標識進行索引���;以及在確定所述業(yè)務中包括所述已知惡意代碼特征串的情況下����,根據所包括的已知惡意代碼特征串的標識對所述業(yè)務進行標記���。
[0007]優(yōu)選地���,所述業(yè)務至少包括源地址字段和創(chuàng)建時間字段,其中�,所述源地址字段包括源設備地址,所述創(chuàng)建時間字段包括所述業(yè)務的創(chuàng)建時間���。
[0008]優(yōu)選地���,該方法還包括:針對被標記為惡意代碼的業(yè)務���,根據這些業(yè)務的所述創(chuàng)建時間字段、所述源地址字段����、以及標記的已知惡意代碼特征串的標識,確定最先被感染的源設備����,和/或源設備最先被何種惡意代碼感染。
[0009]優(yōu)選地�����,該方法還包括:在所述業(yè)務數據庫中未被標記為惡意代碼的業(yè)務被確定為是新的惡意代碼的情況下�����,從該業(yè)務中提取新的惡意代碼特征串�����,并將所提取的新的惡意代碼特征串更新到所述惡意代碼數據庫中�。
[0010]此外,本發(fā)明還提供一種用于內外網之間的業(yè)務的惡意代碼識別設備����,該識別設備包括:用于監(jiān)測內外網之間的業(yè)務的裝置;用于將所監(jiān)測到的內外網之間的業(yè)務記錄到業(yè)務數據庫中的裝置�����;用于將所記錄的業(yè)務的內容與惡意代碼數據庫中預先存儲的已知惡意代碼特征串進行比較���,以確定該業(yè)務中是否包括所述已知惡意代碼特征串的裝置����;以及用于在確定所述業(yè)務中包括所述已知惡意代碼特征串的情況下�,在所述業(yè)務數據庫中將該業(yè)務標記為惡意代碼的裝置。
[0011]優(yōu)選地���,在所述惡意代碼數據庫中�,每種已知惡意代碼特征串由唯一標識進行索引�����;以及在確定所述業(yè)務中包括所述已知惡意代碼特征串的情況下���,根據所包括的已知惡意代碼特征串的標識對所述業(yè)務進行標記�����。
[0012]優(yōu)選地��,所述業(yè)務至少包括源地址字段和創(chuàng)建時間字段����,其中,所述源地址字段包括源設備地址��,所述創(chuàng)建時間字段包括所述業(yè)務的創(chuàng)建時間��。
[0013]優(yōu)選地��,該識別設備還包括:用于針對被標記為惡意代碼的業(yè)務��,根據這些業(yè)務的所述創(chuàng)建時間字段�����、所述源地址字段��、以及標記的已知惡意代碼特征串的標識��,確定最先被感染的源設備���,和/或源設備最先被何種惡意代碼感染的裝置���。
[0014]優(yōu)選地,該識別設備還包括:用于在所述業(yè)務數據庫中未被標記為惡意代碼的業(yè)務被確定為是新的惡意代碼的情況下��,從該業(yè)務中提取新的惡意代碼特征串�,并將所提取的新的惡意代碼特征串更新到所述惡意代碼數據庫中的裝置。
[0015]在上述技術方案中�,通過預先建立惡意代碼數據庫,并將內外網之間的業(yè)務的內容與惡意代碼數據庫中存儲的已知惡意代碼特征串進行比較���,可以自動�、快速�、準確地識別該業(yè)務是否為惡意代碼。維護人員可根據此結果采取相應手段��,以消除該惡意代碼對內外網通信安全的威脅�����。通過本發(fā)明提供的上述惡意代碼識別方法及識別設備�,能夠在內外網之間有效地防范和打擊主動通過網絡進行感染的惡意代碼的攻擊��,從而為內外網之間的數據交換營造安全���、良好的網絡環(huán)境,保證內網的數據安全�����。
[0016]本發(fā)明的其他特征和優(yōu)點將在隨后的【具體實施方式】部分予以詳細說明����。
【附圖說明】
[0017]附圖是用來提供對本發(fā)明的進一步理解,并且構成說明書的一部分���,與下面的【具體實施方式】一起用于解釋本發(fā)明���,但并不構成對本發(fā)明的限制。在附圖中:
[0018]圖1示出了根據本發(fā)明的一種實施方式的用于內外網之間的業(yè)務的惡意代碼識別方法的流程圖��;以及
[0019]圖2示出了根據本發(fā)明的一種實施方式的用于內外網之間的業(yè)務的惡意代碼識別設備的示意圖�����。
【具體實施方式】
[0020]以下結合附圖對本發(fā)明的【具體實施方式】進行詳細說明。應當理解的是����,此處所描述的【具體實施方式】僅用于說明和解釋本發(fā)明,并不用于限制本發(fā)明����。
[0021]圖1示出了根據本發(fā)明的一種實施方式的用于內外網之間的業(yè)務的惡意代碼識別方法的流程圖��。如圖1所示����,該識別方法可以包括:步驟S101,監(jiān)測內外網之間的業(yè)務���;步驟S102�����,將所監(jiān)測到的內外網之間的業(yè)務記錄到業(yè)務數據庫中;步驟S103�����,將所記錄的業(yè)務的內容與惡意代碼數據庫中預先存儲的已知惡意代碼特征串進行比較��,以確定該業(yè)務中是否包括已知惡意代碼特征串;以及步驟S104�,在確定所述業(yè)務中包括已知惡意代碼特征串的情況下,在所述業(yè)務數據庫中將該業(yè)務標記為惡意代碼���。
[0022]具體地��,首先�����,在步驟S101�����,可以監(jiān)測內外網之間的業(yè)務��,其中���,該業(yè)務可以包括從外網設備流入內網設備的應用層業(yè)務,和/或從內網設備流向外網設備的應用層業(yè)務��。在本發(fā)明中��,所述應用層業(yè)務可以例如為HTTP (超文本傳送協(xié)議)、FTP (文件傳輸協(xié)議)��、SMTP (簡單郵件傳輸協(xié)議)�、RPC (遠程過程調用)、DNS (域名系統(tǒng))等應用層業(yè)務�����。
[0023]在監(jiān)測到一條業(yè)務后(無論是從外網設備流入內網設備的應用層業(yè)務�,還是從內網設備流向外網設備的應用層業(yè)務)��,可以進行步驟S102�����,S卩���,將所監(jiān)測到的業(yè)務記錄到業(yè)務數據庫中���。在本發(fā)明中,每條業(yè)務可以包括多個字段����。所述字段可以包括但不限于以下中的至少一者:用戶數據字段、源地址字段、創(chuàng)建時間字段�����、目標地址字段���、文件類型字段��、格式控制字段�����、狀態(tài)碼字段�����、連接狀態(tài)字段���、重試間隔字段、請求方法字段等等�。應當理解的是,每種字段的含義及創(chuàng)建方法均是本領域的技術人員公知的���,對此���,本發(fā)明在此不做具體闡述。在監(jiān)測到的一條業(yè)務后�����,可以將該業(yè)務分字段存儲在所述業(yè)務數據庫中��,作為業(yè)務數據庫中新增的一條業(yè)務記錄�����。
[0024]可以預先建立一惡意代碼數據庫����,在該惡意代碼數據庫中可以預先存儲諸多已知的惡意代碼特征串��。這樣�,在步驟S102之后,就可以將業(yè)務數據庫中新增的業(yè)務記錄(即���,上述監(jiān)測到的業(yè)務)的內容與惡意代碼數據庫中預先存儲的已知惡意代碼特征串進行比較,以確定該業(yè)務中是否包括已知惡意代碼特征串��。例如,可以將所記錄的業(yè)務的每個字段中的內容分別與惡意代碼數據庫中的已知惡意代碼特征串進行比較�,來判斷該業(yè)務是否包括已知惡意代碼特征串,從而識別出該業(yè)務是否是由主動通過網絡進行感染的惡意代碼所生成的���。如果確定所述業(yè)務中包括已知惡意代碼特征串,則表明該業(yè)務是由主動通過網絡進行感染的惡意代碼所生成的�����,并非內網設備與外網設備之間正常的應用層業(yè)務��。在這種情況下����,在所述業(yè)務數據庫中將該條業(yè)務標記為惡意代碼�。
[0025]優(yōu)選地,在預先建立所述惡意代碼數據庫時�����,惡意代碼數據庫中的每種已知惡意代碼特征串可以由唯一的標識進行索引�。這樣���,在確定出所述業(yè)務中包括惡意代碼數據庫中的某個或某些已知的惡意代碼特征串的情況下����,可以根據所包括的已知惡意代碼特征串的標識來對所述業(yè)務進行標記�����,以表明該業(yè)務是何種類型的惡意代碼�。這樣,可以便于維護人員更準確����、快速地識別惡意代碼的類型,為其能夠及時采取相應措施提供正確的決策支持��,并且有利于追蹤惡意代碼的傳播�。
[0026]另外,如圖1所示���,在確定所述業(yè)務沒有包括已知惡意代碼特征串的情況下,返回到步驟S101���,繼續(xù)監(jiān)測內外網之間的業(yè)務�。并且,在步驟S104之后�����,同樣返回到步驟S101�����,繼續(xù)監(jiān)測內外網之間的業(yè)務�。
[0027]在本發(fā)明的一個優(yōu)選實施方式中,所述業(yè)務至少包括源地址字段和創(chuàng)建時間字段�。其中,源地址字段中包括源設備地址���。所謂源設備���,是指業(yè)務所來自的設備,在本發(fā)明中�����,主要包括前述的內網設備和外網設備���。此外��,創(chuàng)建時間字段中包括業(yè)務的創(chuàng)建時間��。這樣�,就可以根據每條業(yè)務的創(chuàng)建時間字段、源地址字段��、以及標記的已知惡意代碼特征串的標識�,確定出是哪臺源設備最先被感染,和/或源設備最先被何種惡意代碼感染等等��。
[0028]具體地���,在所述業(yè)務數據庫中����,針對被標記為惡意代碼的所有業(yè)務��,可以根據這些業(yè)務中的所述創(chuàng)建時間字段中包含的創(chuàng)建時間和所述源地址字段中包含的源設備地址�,確定最先被感染的源設備�����。例如���,假設有三條被標記為惡意代碼的業(yè)務��,這三條業(yè)務中的源地址字段中包含的源設備地址指向不同的源設備�,例如���,第一條業(yè)務來自于第一源設備��、第二條業(yè)務來自于第二源設備以及