專(zhuān)利名稱(chēng):計(jì)算機(jī)蠕蟲(chóng)治療系統(tǒng)以及方法
技術(shù)領(lǐng)域:
本發(fā)明是有關(guān)于一種計(jì)算機(jī)蠕蟲(chóng)治療系統(tǒng)以及方法以及儲(chǔ)存計(jì)算機(jī)蠕蟲(chóng)治療方法的計(jì)算機(jī)可讀取紀(jì)錄媒體�。
背景技術(shù):
計(jì)算機(jī)蠕蟲(chóng)與計(jì)算機(jī)病毒相似,是一種能夠自我復(fù)制的計(jì)算機(jī)程序�。其中,計(jì)算機(jī)蠕蟲(chóng)不需要附在別的程序內(nèi)�,通常也不需要使用者介入操作,便能自我復(fù)制或執(zhí)行����。不是所有計(jì)算機(jī)蠕蟲(chóng)都會(huì)直接破壞被感染的系統(tǒng),然而多半?yún)s對(duì)網(wǎng)絡(luò)有害��。此外��,計(jì)算機(jī)蠕蟲(chóng)可能會(huì)執(zhí)行垃圾程序代碼以發(fā)動(dòng)拒絕服務(wù)(Denial-of-krvice�����,DOS)攻擊,或令計(jì)算機(jī)的執(zhí)行效率極大程度降低�����,從而影響計(jì)算機(jī)的正常使用��。計(jì)算機(jī)蠕蟲(chóng)最主要的散布媒介是緩沖區(qū)溢位漏洞�����。近幾年來(lái)�,隨著相關(guān)保護(hù)措施的發(fā)展��,確實(shí)增加了蠕蟲(chóng)傳播的困難性���。因此����,近年來(lái)計(jì)算機(jī)蠕蟲(chóng)的數(shù)量有下降的趨勢(shì)�。但由于目前為止尚無(wú)一個(gè)完全解決緩沖區(qū)溢位的方案,且仍有眾多數(shù)量的主機(jī)仍然沒(méi)有受到妥善的保護(hù)����,因此利用蠕蟲(chóng)所建立的傀儡網(wǎng)絡(luò)(Botnets)往往成為攻擊者獲取暴利的工具。所以,計(jì)算機(jī)蠕蟲(chóng)仍嚴(yán)重威脅因特網(wǎng)的安全�,而攻擊者考慮到商業(yè)利益的情況下, 會(huì)大幅提高蠕蟲(chóng)與惡意程序在傳播與存在的隱匿性�,以其加長(zhǎng)其發(fā)揮影響的時(shí)間。然而�,先前技術(shù)僅能治療已存于本機(jī)的計(jì)算機(jī)蠕蟲(chóng),無(wú)法抑制計(jì)算機(jī)蠕蟲(chóng)的傳播����。
發(fā)明內(nèi)容
因此,本發(fā)明的一目的是在提供一種計(jì)算機(jī)蠕蟲(chóng)治療系統(tǒng)�,用以在自受計(jì)算機(jī)蠕蟲(chóng)感染的計(jì)算機(jī)收到感染字符串時(shí),將感染字符串更動(dòng)為一治療字符串�,并回傳治療字符串至受感染的計(jì)算機(jī),以治療受感染計(jì)算機(jī)上的計(jì)算機(jī)蠕蟲(chóng)��。計(jì)算機(jī)蠕蟲(chóng)治療系統(tǒng)包含一感染字符串接收模塊����、一治療字符串產(chǎn)生模塊以及一治療字符串回傳模塊。感染字符串接收模塊透過(guò)網(wǎng)絡(luò)��,自受一計(jì)算機(jī)蠕蟲(chóng)感染的一受感染主機(jī)�,接收計(jì)算機(jī)蠕蟲(chóng)所產(chǎn)生的一感染字符串。其中���,感染字符串包含一惡意程序代碼���,且惡意程序代碼是利用一漏洞程序而被執(zhí)行�����。治療字符串產(chǎn)生模塊產(chǎn)生用以治療計(jì)算機(jī)蠕蟲(chóng)的一治療程序代碼����。治療字符串產(chǎn)生模塊將感染字符串中的惡意程序代碼替換為治療程序代碼��,以產(chǎn)生一治療字符串���。其中, 治療程序代碼是利用漏洞程序而被執(zhí)行�。治療字符串回傳模塊回傳治療字符串至受感染主機(jī)。于是�����,受感染主機(jī)的漏洞程序執(zhí)行治療字符串的治療程序代碼����,而治療受感染主機(jī)上的計(jì)算機(jī)蠕蟲(chóng)�。本發(fā)明的另一目的是在提供一種計(jì)算機(jī)蠕蟲(chóng)治療方法���。在計(jì)算機(jī)蠕蟲(chóng)治療方法中��,自受計(jì)算機(jī)蠕蟲(chóng)感染的計(jì)算機(jī)收到感染字符串時(shí)�,將感染字符串更動(dòng)為一治療字符串���, 并回傳治療字符串至受感染的計(jì)算機(jī)����,以治療受感染計(jì)算機(jī)上的計(jì)算機(jī)蠕蟲(chóng)�����。計(jì)算機(jī)蠕蟲(chóng)治療方法可實(shí)作為一計(jì)算機(jī)程序�,并儲(chǔ)存于一計(jì)算機(jī)可讀取記錄媒體中,而使計(jì)算機(jī)讀取此記錄媒體后執(zhí)行計(jì)算機(jī)蠕蟲(chóng)治療方法���。計(jì)算機(jī)蠕蟲(chóng)治療方法包含自受一計(jì)算機(jī)蠕蟲(chóng)感
5染的一受感染主機(jī)���,接收計(jì)算機(jī)蠕蟲(chóng)所產(chǎn)生的一感染字符串。其中�,感染字符串包含一惡意程序代碼���,且惡意程序代碼是利用一漏洞程序而被執(zhí)行。產(chǎn)生用以治療計(jì)算機(jī)蠕蟲(chóng)的一治療程序代碼��。其中�����,治療程序代碼是利用漏洞程序而被執(zhí)行�����。將感染字符串中的惡意程序代碼替換為治療程序代碼��,以產(chǎn)生一治療字符串�。回傳治療字符串至受感染主機(jī)����。于是���,受感染主機(jī)的漏洞程序執(zhí)行治療字符串的治療程序代碼����,而治療受感染主機(jī)的計(jì)算機(jī)蠕蟲(chóng)。應(yīng)用本發(fā)明具有下列優(yōu)點(diǎn)���?��?芍委熞驯挥?jì)算機(jī)蠕蟲(chóng)感染的非本機(jī)端的受感染主機(jī)。此外����,亦可使已治療的受感染主機(jī)治療其它受計(jì)算機(jī)蠕蟲(chóng)感染的主機(jī)。另外��,可避免受感染主機(jī)被重復(fù)治療���。另外�,將利用同一漏洞程序的多個(gè)治療程序代碼整合后����,可節(jié)省利用同一漏洞程序的多個(gè)治療字符串上傳至受感染主機(jī)所需的頻寬,以及在受感染主機(jī)進(jìn)行執(zhí)行時(shí)所需的系統(tǒng)資源�����。
為讓本發(fā)明的上述和其它目的���、特征����、優(yōu)點(diǎn)與實(shí)施例能更明顯易懂,所附附圖的說(shuō)明如下圖1是依照本發(fā)明一實(shí)施方式的一種計(jì)算機(jī)蠕蟲(chóng)治療系統(tǒng)的功能方塊圖��;圖2是依照本發(fā)明另一實(shí)施方式的一種計(jì)算機(jī)蠕蟲(chóng)治療方法的流程圖�����;圖3是圖2中整合治療字符串(步驟520)的一實(shí)施例�。主要組件符號(hào)說(shuō)明100 計(jì)算機(jī)蠕蟲(chóng)治療系統(tǒng) 170 漏洞判斷模塊110 感染字符串接收模塊 300:受感染主機(jī)120 治療字符串產(chǎn)生模塊 180:整合模塊130 治療字符串回傳模塊 200:網(wǎng)絡(luò)140 入侵偵測(cè)模塊400 計(jì)算機(jī)蠕蟲(chóng)治療方法150:治療判斷模塊410 527:步驟160:上傳模塊
具體實(shí)施例方式以下將以附圖及詳細(xì)說(shuō)明清楚說(shuō)明本發(fā)明的精神,任何所屬技術(shù)領(lǐng)域中具有通常知識(shí)者在了解本發(fā)明的較佳實(shí)施例后��,當(dāng)可由本發(fā)明所教示的技術(shù)��,加以改變及修飾����,其并不脫離本發(fā)明的精神與范圍。請(qǐng)參照?qǐng)D1�,其繪示依照本發(fā)明一實(shí)施方式的一種計(jì)算機(jī)蠕蟲(chóng)治療系統(tǒng)的功能方塊圖。計(jì)算機(jī)蠕蟲(chóng)治療系統(tǒng)在自受計(jì)算機(jī)蠕蟲(chóng)感染的計(jì)算機(jī)收到感染字符串時(shí)�����,將感染字符串更動(dòng)為一治療字符串�����,并回傳治療字符串至受感染的計(jì)算機(jī)���,以治療受感染計(jì)算機(jī)上的計(jì)算機(jī)蠕蟲(chóng)��。計(jì)算機(jī)蠕蟲(chóng)治療系統(tǒng)100包含一感染字符串接收模塊110����、一治療字符串產(chǎn)生模塊120以及一治療字符串回傳模塊130�����。感染字符串接收模塊110透過(guò)網(wǎng)絡(luò)200�,自受一計(jì)算機(jī)蠕蟲(chóng)感染的一受感染主機(jī)300,接收計(jì)算機(jī)蠕蟲(chóng)所產(chǎn)生的一感染字符串���。其中�����,感染字符串包含一惡意程序代碼���,且惡意程序代碼是利用一漏洞程序而被執(zhí)行��。此外���,計(jì)算機(jī)蠕蟲(chóng)治療系統(tǒng)100可偵測(cè)自網(wǎng)絡(luò)200所接收的網(wǎng)絡(luò)字符串,是否為受計(jì)算機(jī)蠕蟲(chóng)感染的感染字符串�。因此,計(jì)算機(jī)蠕蟲(chóng)治療系統(tǒng)100可包含一入侵偵測(cè)模塊140���。在透過(guò)網(wǎng)絡(luò)200接收一網(wǎng)絡(luò)字符串時(shí)�,入侵偵測(cè)模塊140可通過(guò)判斷網(wǎng)絡(luò)字符串是否符合一計(jì)算機(jī)蠕蟲(chóng)特征�,而判斷網(wǎng)絡(luò)字符串是否受感染。在網(wǎng)絡(luò)字符串符合計(jì)算機(jī)蠕蟲(chóng)特征時(shí)�,入侵偵測(cè)模塊140判定網(wǎng)絡(luò)字符串受感染,并將網(wǎng)絡(luò)字符串視為感染字符串���,而供感染字符串接收模塊110接收��。其中�����,可用一入侵檢測(cè)系統(tǒng)(Intrusion-detection system, IDS)作為入侵偵測(cè)模塊 140����。此外��,亦可存有一計(jì)算機(jī)蠕蟲(chóng)特征數(shù)據(jù)庫(kù)�,供入侵偵測(cè)模塊140比對(duì),以判斷網(wǎng)絡(luò)字符串是否受計(jì)算機(jī)蠕蟲(chóng)感染���。治療字符串產(chǎn)生模塊120產(chǎn)生用以治療計(jì)算機(jī)蠕蟲(chóng)的一治療程序代碼���。治療字符串產(chǎn)生模塊120將感染字符串中的惡意程序代碼替換為治療程序代碼,以產(chǎn)生一治療字符串�����。其中���,入侵偵測(cè)模塊140可偵測(cè)惡意程序代碼于感染字符串中的位置�����,作為治療字符串產(chǎn)生模塊120進(jìn)行程序代碼替換的依據(jù)�����。由于受感染主機(jī)300必具有惡意程序代碼所利用的漏洞程序才會(huì)受感染��,因此可使治療程序代碼利用與惡意程序代碼相同的漏洞程序���,而被受感染主機(jī)300執(zhí)行����。治療字符串回傳模塊130回傳治療字符串至受感染主機(jī)300�。于是,受感染主機(jī) 300的漏洞程序執(zhí)行治療字符串的治療程序代碼�,而治療受感染主機(jī)300上的計(jì)算機(jī)蠕蟲(chóng)。 其中��,治療程序代碼可使受感染主機(jī)300在治療后�����,收到相同計(jì)算機(jī)蠕蟲(chóng)所產(chǎn)生的感染字符串時(shí)�,將感染字符串丟棄。此外�����,治療程序代碼亦可使受感染主機(jī)300欲上傳具計(jì)算機(jī)蠕蟲(chóng)的感染字符串時(shí),丟棄所欲上傳的感染字符串�。然而,在其它實(shí)施例中�����,治療程序代碼可通過(guò)其它方式治療受感染主機(jī)300上的計(jì)算機(jī)蠕蟲(chóng)�����,并不限于本實(shí)施例�����。如此一來(lái)�,不僅計(jì)算機(jī)蠕蟲(chóng)治療系統(tǒng)100不會(huì)受到計(jì)算機(jī)蠕蟲(chóng)感染���,亦可進(jìn)一步治療已被計(jì)算機(jī)蠕蟲(chóng)感染的非本機(jī)端的受感染主機(jī)300�����。此外�,計(jì)算機(jī)蠕蟲(chóng)治療系統(tǒng)100可將治療字符串產(chǎn)生模塊120以及治療字符串回傳模塊130的程序代碼��,上傳至已治療的受感染主機(jī)300。于是�����,已治療的受感染主機(jī)300 可建立另一治療字符串產(chǎn)生模塊以及另一治療字符串回傳模塊130�����,而作為另一計(jì)算機(jī)蠕蟲(chóng)治療系統(tǒng)�。因此,計(jì)算機(jī)蠕蟲(chóng)治療系統(tǒng)100可包含一上傳模塊160��。上傳模塊160上傳包含治療字符串產(chǎn)生模塊120以及治療字符串回傳模塊120的程序代碼的一模塊建立封包至已治療的受感染主機(jī)300����。于是,已治療的受感染主機(jī)300執(zhí)行模塊建立封包后�����,于已治療的受感染主機(jī)300建立另一治療字符串產(chǎn)生模塊以及另一字符串回傳模塊�����。如此一來(lái)����,已治療的受感染主機(jī)300可作為另一計(jì)算機(jī)蠕蟲(chóng)治療系統(tǒng)��,治療其它受計(jì)算機(jī)蠕蟲(chóng)感染的主機(jī)�。此外���,可通過(guò)治療程序代碼使已治療的受感染主機(jī)300�����,向計(jì)算機(jī)蠕蟲(chóng)治療系統(tǒng) 100要求下載模塊建立封包。因此����,治療程序代碼可包含用以對(duì)計(jì)算機(jī)蠕蟲(chóng)治療系統(tǒng)100傳送一下載要求的一下載指令。于是�,治療程序代碼利用漏洞程序而使受感染主機(jī)300執(zhí)行下載指令后,受感染主機(jī)300可對(duì)計(jì)算機(jī)蠕蟲(chóng)治療系統(tǒng)100傳送下載要求�。計(jì)算機(jī)蠕蟲(chóng)治療系統(tǒng)100收到下載要求時(shí),觸發(fā)上傳模塊160開(kāi)始上傳模塊建立封包至受感染主機(jī)300�����。 如此一來(lái)����,治療程序代碼不僅可治療受感染主機(jī)300上的計(jì)算機(jī)蠕蟲(chóng)��,亦可使已治療的受感染主機(jī)300作為另一臺(tái)可治療計(jì)算機(jī)蠕蟲(chóng)的計(jì)算機(jī)蠕蟲(chóng)治療系統(tǒng)�����。此外��,由于治療程序代碼是利用與惡意程序代碼相同的漏洞程序而執(zhí)行����,因此可能被入侵偵測(cè)模塊140視為一計(jì)算機(jī)蠕蟲(chóng)���,而對(duì)傳送治療程序代碼的主機(jī)重復(fù)傳送治療字符串�����。因此�����,計(jì)算機(jī)蠕蟲(chóng)治療系統(tǒng)100還可包含一治療判斷模塊150���。在入侵偵測(cè)模塊140 判定網(wǎng)絡(luò)字符串符合計(jì)算機(jī)蠕蟲(chóng)特征時(shí)�����,治療判斷模塊150判斷網(wǎng)絡(luò)字符串是否包含治療程序代碼����。在網(wǎng)絡(luò)字符串包含治療程序代碼時(shí)���,治療判斷模塊150判定傳送網(wǎng)絡(luò)字符串的受感染主機(jī)300已被治療過(guò)��,而不使治療字符串產(chǎn)生模塊120產(chǎn)生治療程序代碼�。如此一來(lái)�,可避免重復(fù)治療已治療的受感染主機(jī)300,而節(jié)省治療計(jì)算機(jī)蠕蟲(chóng)所需的資源����。另外���,可將治療利用相同漏洞程序的不同計(jì)算機(jī)蠕蟲(chóng)的治療程序代碼整合至一治療字符串����。因此��,計(jì)算機(jī)蠕蟲(chóng)治療系統(tǒng)100更可包含一漏洞判斷模塊170以及一整合模塊 180。在感染字符串接收模塊110收到另一計(jì)算機(jī)蠕蟲(chóng)所產(chǎn)生的另一感染字符串時(shí)���,漏洞判斷模塊170判斷另一感染字符串的另一惡意程序代碼所利用的另一漏洞程序��,是否與先前惡意程序代碼所利用的漏洞程序相同��。其中��,治療字符串產(chǎn)生模塊130產(chǎn)生用以治療另一計(jì)算機(jī)蠕蟲(chóng)的另一治療程序代碼��。在所利用的漏洞程序相同時(shí)���,整合模塊180將另一治療程序代碼與先前利用相同漏洞程序的計(jì)算機(jī)蠕蟲(chóng)的治療程序代碼,整合為一整合程序代碼��。其中���,整合程序代碼是利用前述相同的漏洞程序而被執(zhí)行���。治療字符串產(chǎn)生模塊120將另一感染字符串中的另一惡意程序代碼替換為整合程序代碼,以產(chǎn)生一整合治療字符串�����。 于是,治療字符串回傳模塊130回傳整合治療字符串至受感染主機(jī)300��,以治療利用相同漏洞程序的多個(gè)計(jì)算機(jī)蠕蟲(chóng)��。如此一來(lái)�����,可減少治療多個(gè)計(jì)算機(jī)蠕蟲(chóng)所需的治療字符串?dāng)?shù)目���。 因此���,可節(jié)省利用同一漏洞程序的多個(gè)治療字符串上傳至受感染主機(jī)300所需的頻寬,以及于受感染主機(jī)300進(jìn)行執(zhí)行時(shí)所需的系統(tǒng)資源��。請(qǐng)參照?qǐng)D2��,其是依照本發(fā)明另一實(shí)施方式的一種計(jì)算機(jī)蠕蟲(chóng)治療方法的流程圖�����。 在計(jì)算機(jī)蠕蟲(chóng)治療方法中�����,自受計(jì)算機(jī)蠕蟲(chóng)感染的計(jì)算機(jī)收到感染字符串時(shí)��,將感染字符串更動(dòng)為一治療字符串���,并回傳治療字符串至受感染的計(jì)算機(jī)���,以治療受感染計(jì)算機(jī)上的計(jì)算機(jī)蠕蟲(chóng)。計(jì)算機(jī)蠕蟲(chóng)治療方法可實(shí)作為一計(jì)算機(jī)程序����,并儲(chǔ)存于一計(jì)算機(jī)可讀取記錄媒體中,而使計(jì)算機(jī)讀取此記錄媒體后執(zhí)行計(jì)算機(jī)蠕蟲(chóng)治療方法�����。計(jì)算機(jī)可讀取記錄媒體可為只讀存儲(chǔ)器���、閃存����、軟盤(pán)�����、硬盤(pán)、光盤(pán)�����、隨身碟���、磁帶��、可由網(wǎng)絡(luò)存取的數(shù)據(jù)庫(kù)或熟悉此技藝者可輕易思及具有相同功能的計(jì)算機(jī)可讀取紀(jì)錄媒體�。計(jì)算機(jī)蠕蟲(chóng)治療方法400包含在步驟440中�����,自受一計(jì)算機(jī)蠕蟲(chóng)感染的一受感染主機(jī)��,接收計(jì)算機(jī)蠕蟲(chóng)所產(chǎn)生的一感染字符串��。其中���,感染字符串包含一惡意程序代碼�����,且惡意程序代碼是利用一漏洞程序而被執(zhí)行�。在步驟450中���,產(chǎn)生用以治療計(jì)算機(jī)蠕蟲(chóng)的一治療程序代碼���。由于受感染主機(jī)必具有惡意程序代碼所利用的漏洞程序才會(huì)受感染,因此可使治療程序代碼利用與惡意程序代碼相同的漏洞程序�����,而被受感染主機(jī)執(zhí)行�����。在步驟460中���,將感染字符串中的惡意程序代碼替換為治療程序代碼����,以產(chǎn)生一治療字符串��。其中��,可先偵測(cè)惡意程序代碼于感染字符串中的位置,作為步驟460進(jìn)行替換時(shí)的依據(jù)����。在步驟470中,回傳治療字符串至受感染主機(jī)�。于是,受感染主機(jī)的漏洞程序執(zhí)行治療字符串的治療程序代碼(步驟480)�,而治療受感染主機(jī)的計(jì)算機(jī)蠕蟲(chóng)。其中����,治療程序代碼可使受感染主機(jī)在治療后,收到相同計(jì)算機(jī)蠕蟲(chóng)所產(chǎn)生的感染字符串時(shí)����,將感染字符串丟棄。此外�,治療程序代碼亦可使受感染主機(jī)在治療后,欲上傳具計(jì)算機(jī)蠕蟲(chóng)的感染字符串時(shí)��,丟棄所欲上傳的感染字符串���。然而���,在其它實(shí)施例中���,治療程序代碼可通過(guò)其它方式治療受感染主機(jī)上的計(jì)算機(jī)蠕蟲(chóng),并不限于本實(shí)施例����。如此一來(lái)���,可治療已被計(jì)算機(jī)蠕蟲(chóng)感染的非本機(jī)端的受感染主機(jī)�����。在步驟440前�,可先偵測(cè)所接收到的網(wǎng)絡(luò)字符串是否為受計(jì)算機(jī)蠕蟲(chóng)感染的感染字符串����。因此,計(jì)算機(jī)蠕蟲(chóng)治療方法400還可包含接收一網(wǎng)絡(luò)字符串(步驟410)����。此外,可在步驟420中���,判斷網(wǎng)絡(luò)字符串是否符合一計(jì)算機(jī)蠕蟲(chóng)特征�。其中,步驟420可通過(guò)一入侵檢測(cè)系統(tǒng)�����,偵測(cè)網(wǎng)絡(luò)字符串是否符合一計(jì)算機(jī)蠕蟲(chóng)特征(步驟420)����。此外,亦可將網(wǎng)絡(luò)字符串與一計(jì)算機(jī)蠕蟲(chóng)特征數(shù)據(jù)庫(kù)進(jìn)行比對(duì)�����,以判斷網(wǎng)絡(luò)字符串是否符合計(jì)算機(jī)蠕蟲(chóng)特征(步驟 420)���。在步驟530中��,在網(wǎng)絡(luò)字符串不符合計(jì)算機(jī)蠕蟲(chóng)特征時(shí)��,判定網(wǎng)絡(luò)字符串為未感染字符串��,而正常執(zhí)行網(wǎng)絡(luò)字符串��。在網(wǎng)絡(luò)字符串符合計(jì)算機(jī)蠕蟲(chóng)特征時(shí)��,則判定網(wǎng)絡(luò)字符串受感染���,而將網(wǎng)絡(luò)字符串視為感染字符串�,供步驟440接收����。此外,未避免受感染主機(jī)被重復(fù)治療�����,因此可在網(wǎng)絡(luò)字符串符合計(jì)算機(jī)蠕蟲(chóng)特征時(shí)��,判斷網(wǎng)絡(luò)字符串是否包含治療程序代碼(步驟430)���。在網(wǎng)絡(luò)字符串未包含治療程序代碼時(shí),則將網(wǎng)絡(luò)字符串視為感染字符串�,供步驟440接收。在網(wǎng)絡(luò)字符串包含治療程序代碼時(shí)�����,判定傳送符合計(jì)算機(jī)蠕蟲(chóng)特征的網(wǎng)絡(luò)字符串的受感染主機(jī)已被治療(步驟M0)����,而不產(chǎn)生治療字符串對(duì)其進(jìn)行治療��。如此一來(lái)��,可避免重復(fù)治療已治療的受感染主機(jī)����,而節(jié)省治療計(jì)算機(jī)蠕蟲(chóng)所需的資源��。此外�����,可使已治療的受感染主機(jī)亦具有治療其它主機(jī)上的計(jì)算機(jī)蠕蟲(chóng)的功能���。因此��,可在步驟490時(shí)�����,產(chǎn)生一字符串產(chǎn)生程序以及字符串回傳程序��。其中���,字符串產(chǎn)生程序是用以在執(zhí)行后����,將感染字符串中的惡意程序代碼替換為治療程序代碼�,而產(chǎn)生治療字符串(步驟460)。字符串回傳程序用以在執(zhí)行后回傳治療字符串(步驟470)�����。于是���,可在步驟500中�����,上傳包含字符串產(chǎn)生程序以及字符串回傳程序的程序建立封包至受感染主機(jī)。 于是�,已治療的受感染主機(jī)執(zhí)行程序建立封包后,于已治療的受感染主機(jī)建立執(zhí)行字符串產(chǎn)生程序以及字符串回傳程序����,而可具有步驟460以及步驟470的治療其它受感染主機(jī)的功能。如此一來(lái)����,不僅可治療受感染主機(jī)�����,亦可使已治療的受感染主機(jī)治療其它受計(jì)算機(jī)蠕蟲(chóng)感染的主機(jī)�����。此外����,可通過(guò)治療程序代碼使已治療的受感染主機(jī)��,自行要求下載建立封包���。因此�,步驟450所產(chǎn)生的治療程序代碼可包含傳送一下載要求的一下載指令����。于是,治療程序代碼利用漏洞程序而使受感染主機(jī)執(zhí)行下載指令后�,受感染主機(jī)300傳送下載要求,而開(kāi)始步驟500的上傳����。如此一來(lái)����,治療程序代碼不僅可治療受感染主機(jī)上的計(jì)算機(jī)蠕蟲(chóng)���,亦可使已治療的受感染主機(jī)治療其它受感染的主機(jī)�����。另外��,可將治療利用相同漏洞程序的不同計(jì)算機(jī)蠕蟲(chóng)的治療程序代碼整合至一治療字符串�。因此����,可在接收另一計(jì)算機(jī)蠕蟲(chóng)所產(chǎn)生的另一感染字符串(步驟510)時(shí),整合治療字符串(步驟520)�。請(qǐng)參照?qǐng)D3�����,其是圖2中整合治療字符串(步驟520)的一實(shí)施例��。 整合治療字符串(步驟520)可包含以下步驟在接收另一計(jì)算機(jī)蠕蟲(chóng)所產(chǎn)生的另一感染字符串(步驟510)時(shí),判斷另一感染字符串的另一惡意程序代碼所利用的另一漏洞程序�,是否與先前計(jì)算機(jī)蠕蟲(chóng)所利用的漏洞程序相同。在步驟523中�����,在所利用的漏洞程序相同時(shí)��,將另一治療程序代碼與治療程序代
9碼整合為一整合程序代碼�。其中,整合程序代碼是利用前述相同的漏洞程序而被執(zhí)行��。在步驟524中���,將另一感染字符串中的另一惡意程序代碼替換為整合程序代碼���, 以產(chǎn)生一整合治療字符串。于是��,在步驟525中�,回傳整合治療字符串至受感染主機(jī),以治療利用相同漏洞程序的多個(gè)計(jì)算機(jī)蠕蟲(chóng)����。如此一來(lái)����,可減少治療多個(gè)計(jì)算機(jī)蠕蟲(chóng)所需的治療字符串?dāng)?shù)目��。因此���,可節(jié)省利用同一漏洞程序的多個(gè)治療字符串上傳至受感染主機(jī)所需的頻寬�����,以及于受感染主機(jī)進(jìn)行執(zhí)行時(shí)所需的系統(tǒng)資源��。在步驟526中�,在所利用的漏洞程序不同時(shí)����,將另一感染字符串中的另一惡意程序代碼,替換為步驟521所產(chǎn)生的另一治療程序代碼�,以產(chǎn)生另一治療字符串。在步驟527中�����,回傳另一治療字符串至受感染主機(jī)��,以治療另一計(jì)算機(jī)蠕蟲(chóng)�����。由上述本發(fā)明實(shí)施方式可知����,應(yīng)用本發(fā)明具有下列優(yōu)點(diǎn)?�?芍委熞驯挥?jì)算機(jī)蠕蟲(chóng)感染的非本機(jī)端的受感染主機(jī)����。此外,亦可使已治療的受感染主機(jī)治療其它受計(jì)算機(jī)蠕蟲(chóng)感染的主機(jī)���。另外��,可避免受感染主機(jī)被重復(fù)治療�。另外���,將利用同一漏洞程序的多個(gè)治療程序代碼整合后����,可節(jié)省利用同一漏洞程序的多個(gè)治療字符串上傳至受感染主機(jī)所需的頻寬,以及在受感染主機(jī)進(jìn)行執(zhí)行時(shí)所需的系統(tǒng)資源����。雖然本發(fā)明已以實(shí)施方式揭露如上,然其并非用以限定本發(fā)明�����,任何熟悉此技藝者�,在不脫離本發(fā)明的精神和范圍內(nèi),當(dāng)可作各種的更動(dòng)與潤(rùn)飾����,因此本發(fā)明的保護(hù)范圍當(dāng)視所附的權(quán)利要求書(shū)所界定的范圍為準(zhǔn)。
權(quán)利要求
1.一種計(jì)算機(jī)蠕蟲(chóng)治療系統(tǒng)���,其特征在于�,包含一感染字符串接收模塊����,透過(guò)網(wǎng)絡(luò),自受一計(jì)算機(jī)蠕蟲(chóng)感染的一受感染主機(jī)��,接收該計(jì)算機(jī)蠕蟲(chóng)所產(chǎn)生的一感染字符串,其中該感染字符串包含一惡意程序代碼��,且該惡意程序代碼是利用一漏洞程序而被執(zhí)行�;一治療字符串產(chǎn)生模塊��,產(chǎn)生用以治療該計(jì)算機(jī)蠕蟲(chóng)的一治療程序代碼���,并將該感染字符串中的該惡意程序代碼替換為該治療程序代碼�����,以產(chǎn)生一治療字符串���,其中該治療程序代碼是利用該漏洞程序而被執(zhí)行;以及一治療字符串回傳模塊�����,回傳該治療字符串至該受感染主機(jī)�����,借此使該受感染主機(jī)的該漏洞程序執(zhí)行該治療字符串的該治療程序代碼���,而治療該受感染主機(jī)上的該計(jì)算機(jī)蠕蟲(chóng)���。
2.根據(jù)權(quán)利要求1所述的計(jì)算機(jī)蠕蟲(chóng)治療系統(tǒng)��,其特征在于����,還包含一入侵偵測(cè)模塊�,在透過(guò)網(wǎng)絡(luò)接收一網(wǎng)絡(luò)字符串時(shí),通過(guò)判斷該網(wǎng)絡(luò)字符串是否符合一計(jì)算機(jī)蠕蟲(chóng)特征�����,判斷該網(wǎng)絡(luò)字符串是否受感染��,其中在該網(wǎng)絡(luò)字符串符合該計(jì)算機(jī)蠕蟲(chóng)特征時(shí)����,判定該網(wǎng)絡(luò)字符串受感染,而將該網(wǎng)絡(luò)字符串視為該感染字符串�����,以供該感染字符串接收模塊接收�����。
3.根據(jù)權(quán)利要求1所述的計(jì)算機(jī)蠕蟲(chóng)治療系統(tǒng),其特征在于��,還包含一入侵偵測(cè)模塊��,在透過(guò)網(wǎng)絡(luò)接收一網(wǎng)絡(luò)字符串時(shí)����,判斷該網(wǎng)絡(luò)字符串是否符合一計(jì)算機(jī)蠕蟲(chóng)特征��;以及一治療判斷模塊�����,在該網(wǎng)絡(luò)字符串符合該計(jì)算機(jī)蠕蟲(chóng)特征時(shí)�����,判斷該網(wǎng)絡(luò)字符串是否包含該治療程序代碼�,并在該網(wǎng)絡(luò)字符串包含該治療程序代碼時(shí),判定傳送該網(wǎng)絡(luò)字符串的該受感染主機(jī)已被治療過(guò)���,而不使治療字符串產(chǎn)生模塊產(chǎn)生該治療程序代碼��。
4.根據(jù)權(quán)利要求1所述的計(jì)算機(jī)蠕蟲(chóng)治療系統(tǒng)���,其特征在于����,還包含一上傳模塊����,上傳包含該治療字符串產(chǎn)生模塊以及該治療字符串回傳模塊的程序代碼的一模塊建立封包至該受感染主機(jī),借此使該受感染主機(jī)執(zhí)行該模塊建立封包后��,于該受感染主機(jī)建立另一治療字符串產(chǎn)生模塊以及另一字符串回傳模塊�����。
5.根據(jù)權(quán)利要求4所述的計(jì)算機(jī)蠕蟲(chóng)治療系統(tǒng)����,其特征在于,該治療程序代碼包含用以對(duì)該計(jì)算機(jī)蠕蟲(chóng)治療系統(tǒng)傳送一下載要求的一下載指令���,借此使該治療程序代碼利用該漏洞程序而使該受感染主機(jī)執(zhí)行該下載指令后��,對(duì)該計(jì)算機(jī)蠕蟲(chóng)治療系統(tǒng)傳送該下載要求���,以觸發(fā)該上傳模塊上傳該模塊建立封包至該受感染主機(jī)�����。
6.根據(jù)權(quán)利要求1所述的計(jì)算機(jī)蠕蟲(chóng)治療系統(tǒng)��,其特征在于��,還包含一漏洞判斷模塊���,在該感染字符串接收模塊收到另一計(jì)算機(jī)蠕蟲(chóng)所產(chǎn)生的另一感染字符串時(shí)��,判斷該另一感染字符串的另一惡意程序代碼所利用的另一漏洞程序是否與該漏洞程序相同��,其中該治療字符串產(chǎn)生模塊產(chǎn)生用以治療該另一計(jì)算機(jī)蠕蟲(chóng)的另一治療程序代碼�����;以及一整合模塊�����,在該另一漏洞程序與該漏洞程序相同時(shí)����,將該另一治療程序代碼與該治療程序代碼整合為一整合程序代碼,并使該治療字符串產(chǎn)生模塊將該另一感染字符串中的該另一惡意程序代碼替換為該整合程序代碼����,以產(chǎn)生一整合治療字符串,其中該整合程序代碼是利用該漏洞程序而被執(zhí)行�����。
7.一種計(jì)算機(jī)蠕蟲(chóng)治療方法���,其特征在于�,包含自受一計(jì)算機(jī)蠕蟲(chóng)感染的一受感染主機(jī)���,接收該計(jì)算機(jī)蠕蟲(chóng)所產(chǎn)生的一感染字符串���, 其中該感染字符串包含一惡意程序代碼����,且該惡意程序代碼是利用一漏洞程序而被執(zhí)行�;產(chǎn)生用以治療該計(jì)算機(jī)蠕蟲(chóng)的一治療程序代碼,其中該治療程序代碼是利用該漏洞程序而被執(zhí)行��;將該感染字符串中的該惡意程序代碼替換為該治療程序代碼���,以產(chǎn)生一治療字符串��;以及回傳該治療字符串至該受感染主機(jī)��,借此使該受感染主機(jī)的該漏洞程序執(zhí)行該治療字符串的該治療程序代碼�,而治療該受感染主機(jī)的該計(jì)算機(jī)蠕蟲(chóng)�。
8.根據(jù)權(quán)利要求7所述的計(jì)算機(jī)蠕蟲(chóng)治療方法,其特征在于�����,還包含接收一網(wǎng)絡(luò)字符串���;判斷該網(wǎng)絡(luò)字符串是否符合一計(jì)算機(jī)蠕蟲(chóng)特征;以及在該網(wǎng)絡(luò)字符串符合一計(jì)算機(jī)蠕蟲(chóng)特征時(shí)�����,判定該網(wǎng)絡(luò)字符串受感染,而將該網(wǎng)絡(luò)字符串視為該感染字符串����。
9.根據(jù)權(quán)利要求7所述的計(jì)算機(jī)蠕蟲(chóng)治療方法�����,其特征在于�,還包含接收一網(wǎng)絡(luò)字符串;判斷該網(wǎng)絡(luò)字符串是否符合一計(jì)算機(jī)蠕蟲(chóng)特征�;在該網(wǎng)絡(luò)字符串符合該計(jì)算機(jī)蠕蟲(chóng)特征時(shí),判斷該網(wǎng)絡(luò)字符串是否包含該治療程序代碼��;以及在該網(wǎng)絡(luò)字符串包含該治療程序代碼時(shí)�����,判定傳送該網(wǎng)絡(luò)字符串的該受感染主機(jī)已被治療過(guò)��,而不產(chǎn)生該治療程序代碼�����。
10.根據(jù)權(quán)利要求7所述的計(jì)算機(jī)蠕蟲(chóng)治療方法��,其特征在于,還包含產(chǎn)生一字符串產(chǎn)生程序�����,用以將該感染字符串中的該惡意程序代碼替換為該治療程序代碼�,而產(chǎn)生該治療字符串;產(chǎn)生一字符串回傳程序����,用以回傳該治療字符串;以及上傳包含該字符串產(chǎn)生程序以及該字符串回傳程序的程序代碼的一程序建立封包至該受感染主機(jī)�����,借此使該受感染主機(jī)執(zhí)行該程序建立封包后�,可將該感染字符串中的該惡意程序代碼替換為該治療程序代碼,而產(chǎn)生該治療字符串���,并回傳該治療字符串。
11.根據(jù)權(quán)利要求10所述的計(jì)算機(jī)蠕蟲(chóng)治療方法��,其特征在于����,該治療程序代碼包含用以傳送一下載要求的一下載指令����,且該計(jì)算機(jī)蠕蟲(chóng)治療方法還包含使該治療程序代碼利用該漏洞程序而使該受感染主機(jī)執(zhí)行該下載指令�����,以傳送該下載要求��;收到該下載要求時(shí)�,開(kāi)始上傳該程序建立封包至該受感染主機(jī)。
12.根據(jù)權(quán)利要求7所述的計(jì)算機(jī)蠕蟲(chóng)治療方法�����,其特征在于����,還包含接收另一計(jì)算機(jī)蠕蟲(chóng)所產(chǎn)生的另一感染字符串;產(chǎn)生用以治療該另一計(jì)算機(jī)蠕蟲(chóng)的另一治療程序代碼����;判斷該另一感染字符串的另一惡意程序代碼所利用的另一漏洞程序是否與該漏洞程序相同;在該另一漏洞程序與該漏洞程序相同時(shí)���,將該另一治療程序代碼與該治療程序代碼整合為一整合程序代碼����;以及將該另一感染字符串中的該另一惡意程序代碼替換為該整合程序代碼,以產(chǎn)生一整合治療字符串�,其中該整合程序代碼是利用該漏洞程序而被執(zhí)行。
全文摘要
本發(fā)明提供一種計(jì)算機(jī)蠕蟲(chóng)治療系統(tǒng)及方法��,該系統(tǒng)包含一感染字符串接收模塊�、一治療字符串產(chǎn)生模塊以及一治療字符串回傳模塊。感染字符串接收模塊透過(guò)網(wǎng)絡(luò)���,自受一計(jì)算機(jī)蠕蟲(chóng)感染的一受感染主機(jī)��,接收計(jì)算機(jī)蠕蟲(chóng)所產(chǎn)生的一感染字符串�����。其中�����,感染字符串包含利用一漏洞程序而被執(zhí)行的一惡意程序代碼���。治療字符串產(chǎn)生模塊產(chǎn)生用以治療計(jì)算機(jī)蠕蟲(chóng)的一治療程序代碼����,并將感染字符串的惡意程序代碼替換為治療程序代碼�����,以產(chǎn)生一治療字符串��。其中���,治療程序代碼是利用漏洞程序而被執(zhí)行。治療字符串回傳模塊回傳治療字符串至受感染主機(jī)���。于是��,受感染主機(jī)的漏洞程序執(zhí)行治療程序代碼�,而治療受感染主機(jī)上的計(jì)算機(jī)蠕蟲(chóng)��。
文檔編號(hào)G06F21/00GK102467631SQ20101055108
公開(kāi)日2012年5月23日 申請(qǐng)日期2010年11月17日 優(yōu)先權(quán)日2010年11月17日
發(fā)明者吳建興, 林佳潤(rùn), 許富皓, 陳世仁 申請(qǐng)人:財(cái)團(tuán)法人資訊工業(yè)策進(jìn)會(huì)