標(biāo)識、采集、統(tǒng)計(jì)病毒傳播途徑的方法及裝置制造方法
【專利摘要】本發(fā)明公開了一種標(biāo)識、采集、統(tǒng)計(jì)病毒傳播途徑的方法及裝置。其中該方法包括如下步驟:檢測設(shè)備中是否有文件移動操作;當(dāng)設(shè)備中有文件移動操作時,對操作所針對的文件進(jìn)行病毒檢測;當(dāng)操作所針對的文件發(fā)現(xiàn)病毒時,記錄病毒的數(shù)據(jù)信息;將數(shù)據(jù)信息傳輸至數(shù)據(jù)庫存儲;且數(shù)據(jù)信息中包括病毒傳播途徑。其將相互關(guān)聯(lián)的多臺設(shè)備中每臺設(shè)備的病毒的數(shù)據(jù)信息都傳輸?shù)揭粋€數(shù)據(jù)庫中。且病毒的數(shù)據(jù)信息中包含病毒傳播途徑。從而可以利用數(shù)據(jù)庫中的病毒的數(shù)據(jù)信息對整個環(huán)境中的所有病毒傳播途徑進(jìn)行統(tǒng)計(jì)分析,確定病毒的整個傳播路徑,對所有涉及的設(shè)備進(jìn)行查毒、殺毒,避免傳統(tǒng)技術(shù)中病毒傳播路徑不能確定造成殺毒不徹底。有效保證整個大環(huán)境的安全。
【專利說明】標(biāo)識、采集、統(tǒng)計(jì)病毒傳播途徑的方法及裝置
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及計(jì)算機(jī)安全【技術(shù)領(lǐng)域】,尤其涉及一種標(biāo)識、采集、統(tǒng)計(jì)病毒傳播途徑的方法及裝置。
【背景技術(shù)】
[0002]在計(jì)算機(jī)反病毒【技術(shù)領(lǐng)域】,識別、查殺病毒已經(jīng)是一個成熟的體系,無論是反病毒產(chǎn)品技術(shù)的提供者還是產(chǎn)品使用的用戶都已經(jīng)有了一個較好的體驗(yàn),用戶能使用反病毒技術(shù)發(fā)現(xiàn)、清除或抵御住病毒的破壞,傳統(tǒng)的反病毒產(chǎn)品主要進(jìn)行單點(diǎn)病毒防御和網(wǎng)絡(luò)病毒防御兩種病毒處理方式。
[0003]其中,I)單點(diǎn)病毒防御一般包括以下幾個方面內(nèi)容:
[0004]本機(jī)掃描:終端計(jì)算機(jī)進(jìn)行病毒查殺;
[0005]U盤防御:禁止使用U盤,禁止U盤自運(yùn)行,接入U盤自動掃描病毒;
[0006]網(wǎng)絡(luò)攻擊攔截:利用防火墻技術(shù)對網(wǎng)絡(luò)包進(jìn)行識別、攔截,防止如08067這種病毒的傳播。
[0007]2)網(wǎng)絡(luò)病毒防御包括以下幾個方面內(nèi)容:
[0008]病毒查殺:在網(wǎng)關(guān)或交換機(jī)位置串聯(lián)防病毒產(chǎn)品,對網(wǎng)絡(luò)上傳輸?shù)奈募M(jìn)行病毒查殺,阻擋病毒的傳播;
[0009]病毒探針:在網(wǎng)關(guān)或交換機(jī)位置旁路架設(shè)病毒掃描產(chǎn)品,對網(wǎng)絡(luò)上傳輸?shù)奈募M(jìn)行病毒掃描,起到預(yù)警、統(tǒng)計(jì)的作用。
[0010]現(xiàn)有技術(shù)里雖然能夠處理掉單點(diǎn)威脅,也能小部分統(tǒng)計(jì)出來網(wǎng)絡(luò)間的病毒傳播情況,但是這對于所有病毒傳播情況來說是遠(yuǎn)遠(yuǎn)不夠的。難以對病毒的傳播途徑進(jìn)行準(zhǔn)確的記錄與跟蹤,確定所有被感染的設(shè)備,因此使用傳統(tǒng)反病毒技術(shù)對整個環(huán)境進(jìn)行病毒查殺時很容易造成漏殺,查殺后,設(shè)備很容易被再次感染。
【發(fā)明內(nèi)容】
[0011]基于此,有必要針對傳統(tǒng)技術(shù)的病毒防御方式難以準(zhǔn)確確定病毒傳播途徑的問題,提供一種能夠在各種環(huán)境下準(zhǔn)確確定病毒傳播途徑的標(biāo)識、采集、統(tǒng)計(jì)病毒傳播途徑的方法及裝置
[0012]為實(shí)現(xiàn)本發(fā)明目的提供的一種標(biāo)識、采集、統(tǒng)計(jì)病毒傳播途徑的方法,包括以下步驟:
[0013]檢測設(shè)備中是否有文件移動操作;
[0014]當(dāng)設(shè)備中有文件移動操作時,對操作所針對的文件進(jìn)行病毒檢測;
[0015]當(dāng)所述操作所針對的文件發(fā)現(xiàn)病毒時,記錄所述病毒的數(shù)據(jù)信息;
[0016]將所述數(shù)據(jù)信息傳輸至數(shù)據(jù)庫存儲;
[0017]其中,所述數(shù)據(jù)信息中包括病毒傳播途徑。
[0018]作為一種標(biāo)識、采集、統(tǒng)計(jì)病毒傳播途徑的方法的可實(shí)施方式,所述文件移動操作包括設(shè)備上的文件讀或?qū)懖僮?、收發(fā)郵件操作、文件下載操作、網(wǎng)絡(luò)共享讀寫操作及網(wǎng)絡(luò)映射盤讀寫操作。
[0019]作為一種標(biāo)識、采集、統(tǒng)計(jì)病毒傳播途徑的方法的可實(shí)施方式,所述數(shù)據(jù)信息還包括病毒名稱、病毒樣本特性、感染時間及傳播介質(zhì)。
[0020]作為一種標(biāo)識、采集、統(tǒng)計(jì)病毒傳播途徑的方法的可實(shí)施方式,還包括以下步驟:
[0021]對所述數(shù)據(jù)庫中的多個數(shù)據(jù)信息進(jìn)行分析處理,得到指定病毒的感染、傳播詳情。
[0022]作為一種標(biāo)識、采集、統(tǒng)計(jì)病毒傳播途徑的方法的可實(shí)施方式,所述文件移動操作為設(shè)備上的文件讀操作時,所述病毒傳播途徑為從中間介質(zhì)感染到當(dāng)前設(shè)備,所述文件移動操作為設(shè)備上的文件寫操作時,所述病毒傳播途徑為從當(dāng)前設(shè)備感染到中間介質(zhì),所述文件移動操作為收發(fā)郵件操作時,所述病毒傳播途徑為郵件的收發(fā)地址之間,所述文件移動操作為文件下載操作時,所述病毒傳播途徑為文件下載源到當(dāng)前設(shè)備,所述文件移動操作為網(wǎng)絡(luò)共享或網(wǎng)絡(luò)映射盤讀操作時,所述病毒傳播途徑為從網(wǎng)絡(luò)感染到當(dāng)前設(shè)備,所述文件移動操作為網(wǎng)絡(luò)共享或網(wǎng)絡(luò)映射盤寫操作時,所述病毒傳播途徑為從當(dāng)前設(shè)備感染到網(wǎng)絡(luò);
[0023]所述中間介質(zhì)包括U盤。
[0024]基于同一發(fā)明構(gòu)思的一種標(biāo)識、采集、統(tǒng)計(jì)病毒傳播途徑的裝置,包括監(jiān)控模塊、病毒檢測模塊、信息收集模塊及數(shù)據(jù)存儲模塊,其中:
[0025]所述監(jiān)控模塊,用于檢測設(shè)備中是否有文件移動操作;
[0026]所述病毒檢測模塊,用于根據(jù)所述監(jiān)控模塊的檢測結(jié)果,當(dāng)設(shè)備中有文件移動操作時,對操作所針對的文件進(jìn)行病毒檢測;
[0027]所述信息收集模塊,用于根據(jù)所述病毒檢測模塊的檢測結(jié)果,當(dāng)所述操作所針對的文件發(fā)現(xiàn)病毒時,記錄所述病毒的數(shù)據(jù)信息;
[0028]所述數(shù)據(jù)存儲模塊,用于將所述信息收集模塊收集的所述數(shù)據(jù)信息傳輸至數(shù)據(jù)庫存儲;
[0029]其中,所述數(shù)據(jù)信息中包括病毒傳播途徑。
[0030]作為一種標(biāo)識、采集、統(tǒng)計(jì)病毒傳播途徑的裝置的可實(shí)施方式,所述監(jiān)控模塊包括設(shè)備文件行為監(jiān)控子模塊、郵件收發(fā)監(jiān)控子模塊、下載監(jiān)控子模塊及局域網(wǎng)共享、網(wǎng)絡(luò)映射盤監(jiān)控子模塊,其中:
[0031]所述設(shè)備文件行為監(jiān)控子模塊,用于檢測設(shè)備中是否有設(shè)備上的文件讀或?qū)懖僮鳎?br>
[0032]所述郵件收發(fā)監(jiān)控子模塊,用于檢測設(shè)備中是否有收發(fā)郵件操作;
[0033]所述下載監(jiān)控子模塊,用于檢測設(shè)備中是否有文件下載操作;
[0034]所述局域網(wǎng)共享、網(wǎng)絡(luò)映射盤監(jiān)控子模塊,用于檢測設(shè)備中是否有網(wǎng)絡(luò)共享讀寫操作或網(wǎng)絡(luò)映射盤讀寫操作。
[0035]作為一種標(biāo)識、采集、統(tǒng)計(jì)病毒傳播途徑的裝置的可實(shí)施方式,所述數(shù)據(jù)信息還包括病毒名稱、病毒樣本特性、感染時間及傳播介質(zhì)。
[0036]作為一種標(biāo)識、采集、統(tǒng)計(jì)病毒傳播途徑的裝置的可實(shí)施方式,還包括數(shù)據(jù)處理模塊,用于對所述數(shù)據(jù)庫中的多個數(shù)據(jù)信息進(jìn)行分析處理,得到指定病毒的感染、傳播詳情。
[0037]作為一種標(biāo)識、采集、統(tǒng)計(jì)病毒傳播途徑的裝置的可實(shí)施方式,所述文件移動操作為設(shè)備上的文件讀操作時,所述病毒傳播途徑為從中間介質(zhì)感染到當(dāng)前設(shè)備,所述文件移動操作為設(shè)備上的文件寫操作時,所述病毒傳播途徑為從當(dāng)前設(shè)備感染到中間介質(zhì),所述文件移動操作為收發(fā)郵件操作時,所述病毒傳播途徑為郵件的收發(fā)地址之間,所述文件移動操作為文件下載操作時,所述病毒傳播途徑為文件下載源到當(dāng)前設(shè)備,所述文件移動操作為網(wǎng)絡(luò)共享或網(wǎng)絡(luò)映射盤讀操作時,所述病毒傳播途徑為從網(wǎng)絡(luò)感染到當(dāng)前設(shè)備,所述文件移動操作為網(wǎng)絡(luò)共享或網(wǎng)絡(luò)映射盤寫操作時,所述病毒傳播途徑為從當(dāng)前設(shè)備感染到網(wǎng)絡(luò);
[0038]所述中間介質(zhì)包括U盤。
[0039]本發(fā)明的有益效果包括:本發(fā)明提供的標(biāo)識、采集、統(tǒng)計(jì)病毒傳播途徑的方法及裝置對于局域網(wǎng)絡(luò)中的所有計(jì)算機(jī)或者相互關(guān)聯(lián)的多臺設(shè)備,將每臺設(shè)備中的病毒的數(shù)據(jù)信息都傳輸?shù)揭粋€數(shù)據(jù)庫中。且所述病毒的數(shù)據(jù)信息中包含病毒傳播途徑。從而可以利用數(shù)據(jù)庫中的病毒的數(shù)據(jù)信息對整個環(huán)境中的所有病毒傳播途徑進(jìn)行統(tǒng)計(jì)分析,也可以有針對性的選取合適的病毒的數(shù)據(jù)信息進(jìn)行分析,能夠準(zhǔn)確確定某個或者任何一個所涉及的病毒的整個傳播路徑,從而可以對所有涉及的設(shè)備進(jìn)行查毒、殺毒,避免傳統(tǒng)技術(shù)中病毒傳播路徑不能確定造成殺毒不徹底。有效保證整個大環(huán)境的安全。
【專利附圖】
【附圖說明】
[0040]圖1為本發(fā)明一種標(biāo)識、采集、統(tǒng)計(jì)病毒傳播途徑的方法的一具體實(shí)施例的流程圖;
[0041]圖2為本發(fā)明一種標(biāo)識、采集、統(tǒng)計(jì)病毒傳播途徑的方法的另一具體實(shí)施例的流程圖;
[0042]圖3為本發(fā)明一種標(biāo)識、采集、統(tǒng)計(jì)病毒傳播途徑的裝置的一具體實(shí)施例的結(jié)構(gòu)示意圖;
[0043]圖4為本發(fā)明一種標(biāo)識、采集、統(tǒng)計(jì)病毒傳播途徑的裝置的一具體實(shí)施例的監(jiān)控模塊構(gòu)成示意圖;
[0044]圖5為本發(fā)明一種標(biāo)識、采集、統(tǒng)計(jì)病毒傳播途徑的裝置的另一具體實(shí)施例的結(jié)構(gòu)示意圖。
【具體實(shí)施方式】
[0045]為了使本發(fā)明的目的、技術(shù)方案及優(yōu)點(diǎn)更加清楚明白,以下結(jié)合附圖對本發(fā)明的標(biāo)識、采集、統(tǒng)計(jì)病毒傳播途徑的方法及裝置的【具體實(shí)施方式】進(jìn)行說明。應(yīng)當(dāng)理解,此處所描述的具體實(shí)施例僅僅用以解釋本發(fā)明,并不用于限定本發(fā)明。
[0046]本發(fā)明一實(shí)施例的標(biāo)識、采集、統(tǒng)計(jì)病毒傳播途徑的方法,如圖1所示,包括以下步驟:
[0047]S100,檢測設(shè)備中是否有文件移動操作。
[0048]此處需要說明的是,本步驟在一個獨(dú)立的設(shè)備上進(jìn)行,對當(dāng)前設(shè)備的活動進(jìn)行實(shí)時的監(jiān)測,且尤其對設(shè)備涉及文件的引入或者輸出進(jìn)行動作進(jìn)行檢測。一旦發(fā)現(xiàn)當(dāng)前設(shè)備有文件移動操作,則立即執(zhí)行下面的步驟進(jìn)行文件是否存在病毒及文件或者說病毒的流動方向進(jìn)行記錄。所說的實(shí)時是指按照較高的頻率對當(dāng)前設(shè)備是否有文件移動操作進(jìn)行檢測,而具體的檢測頻率或者檢測的時間周期可根據(jù)設(shè)備運(yùn)行速率及處理能力確定。
[0049]其中,文件的移動操作包括當(dāng)前設(shè)備上的文件讀或?qū)懖僮?、收發(fā)郵件操作、文件下載操作、網(wǎng)絡(luò)共享讀寫操作及網(wǎng)絡(luò)映射盤讀寫操作。所有這些文件移動操作都是基于當(dāng)前設(shè)備或者在當(dāng)前設(shè)備上執(zhí)行的。對于一個大環(huán)境(例如局域網(wǎng))中的多臺設(shè)備,可對每臺設(shè)備都進(jìn)行相同的對文件移動操作的監(jiān)控。且可在每臺設(shè)備上設(shè)置多個實(shí)時監(jiān)控模塊分別對不同的文件移動操作進(jìn)行實(shí)時的檢測。此處所說的設(shè)備可以是較常見的計(jì)算機(jī),也可能為其他一些具有文件讀取、存儲等功能的設(shè)備。
[0050]S200,當(dāng)設(shè)備中有文件移動操作時,對操作所針對的文件進(jìn)行病毒檢測。
[0051]此處需要說明的是,在設(shè)備中對文件進(jìn)行病毒檢測時可以使用傳統(tǒng)的病毒識別引擎,判斷是否是病毒文件,如果是病毒,則進(jìn)一步確定病毒的名稱及分類等相關(guān)信息。還需要說明的是,本步驟是在步驟SlOO判斷出設(shè)備中為文件移動操作時進(jìn)行的,很容易理解,設(shè)備中沒有文件移動操作時,對病毒傳播途徑是沒有影響的。因此,設(shè)備中沒有文件移動操作時,在本方法中并不進(jìn)行病毒檢測。當(dāng)然,本方法的執(zhí)行并不影響用戶自行操作的使用殺毒軟件對設(shè)備進(jìn)行病毒檢測及查殺過程。本方法可在設(shè)備中獨(dú)立的在前臺或者后臺運(yùn)行。如果檢測到病毒,則進(jìn)一步執(zhí)行步驟S300,如果沒有檢測到病毒則停止針對當(dāng)前文件的病毒識別及處理方法,等到再次檢測到新的文件移動時針對新的文件再執(zhí)行本步驟的病毒檢測及本方法中相關(guān)的后續(xù)步驟。
[0052]S300,當(dāng)所述操作所針對的文件發(fā)現(xiàn)病毒時,記錄所述病毒的數(shù)據(jù)信息。
[0053]其中,病毒的數(shù)據(jù)信息包括但不限于病毒傳播途徑、病毒名稱、病毒樣本特性、感染時間及傳播介質(zhì)。且這些數(shù)據(jù)可首先存儲到當(dāng)前設(shè)備中。進(jìn)一步的,病毒傳播途徑主要是描述病毒在兩個傳播介質(zhì)之間的移動方向,一般和文件移動的方向相同。
[0054]具體的,當(dāng)文件移動操作為設(shè)備上的文件讀寫操作時,發(fā)現(xiàn)病毒時:
[0055]I)記錄病毒樣本的特性(一般為病毒文件的哈希值);
[0056]2)記錄感染時間;文件移動的目標(biāo)地址即為被感染一方,此處所記錄的感染時間即為目標(biāo)地址被病毒感染的時間。
[0057]3)判斷當(dāng)前文件的操作介質(zhì)(中間介質(zhì))是否為移動存儲介質(zhì),如U盤,移動硬盤或者光盤等。如果是移動存儲介質(zhì),則記錄移動存儲介質(zhì)的標(biāo)識;
[0058]4)根據(jù)文件的讀寫動作確定病毒的傳播方向或者說傳播途徑:讀_>從中間介質(zhì)感染到當(dāng)前設(shè)備,寫_>從當(dāng)前設(shè)備感染到中間介質(zhì)。
[0059]類似的,當(dāng)文件移動操作為收發(fā)郵件操作時,若發(fā)現(xiàn)病毒,則執(zhí)行以下步驟記錄病毒的數(shù)據(jù)信息:
[0060]I)記錄病毒樣本的特征;
[0061]2)記錄被感染時間;
[0062]3)記錄當(dāng)前傳播介質(zhì)為郵件,并記錄郵件的收發(fā)地址;
[0063]4)根據(jù)病毒的收發(fā)情況確定病毒的傳播方向(傳播途徑):
[0064]收郵件:從郵件的發(fā)地址感染到當(dāng)前設(shè)備;
[0065]發(fā)郵件:從當(dāng)前設(shè)備感染到郵件的收地址。
[0066]當(dāng)文件移動操作為文件下載操作時,若發(fā)現(xiàn)病毒,則執(zhí)行以下步驟記錄病毒的數(shù)據(jù)信息:
[0067]I)記錄病毒樣本的特征;
[0068]2)記錄感染時間;
[0069]3)記錄當(dāng)前傳播介質(zhì)軟件,如瀏覽器軟件、第三方軟件,以及精確源如網(wǎng)址、第三方軟件源(如QQ)等。
[0070]4)確定病毒的傳播方向?yàn)?被感染。即病毒的傳播途徑為從文件的下載源到當(dāng)前設(shè)備。
[0071]如此,能夠監(jiān)控并標(biāo)識指定網(wǎng)址、可傳送文件的軟件傳播病毒到當(dāng)前設(shè)備的這一類病毒傳播途徑。
[0072]當(dāng)文件移動操作為網(wǎng)絡(luò)共享或網(wǎng)絡(luò)映射盤讀寫操作時,若發(fā)現(xiàn)病毒,則執(zhí)行以下步驟記錄病毒的數(shù)據(jù)信息:
[0073]I)記錄病毒樣本的特征;
[0074]2)記錄感染時間;
[0075]3)記錄當(dāng)前傳播介質(zhì)的網(wǎng)絡(luò)路徑、對方計(jì)算機(jī)標(biāo)識(如計(jì)算機(jī)名稱或者IP);
[0076]4)根據(jù)讀寫操作確定病毒傳播方向:
[0077]讀:從網(wǎng)絡(luò)感染到當(dāng)前設(shè)備;
[0078]寫:從當(dāng)前設(shè)備感染到網(wǎng)絡(luò)。
[0079]需要說明的是,對于當(dāng)前設(shè)備和網(wǎng)絡(luò)共享或網(wǎng)絡(luò)映射盤之間的讀寫操作的監(jiān)控,主要是針對處于局域網(wǎng)中的計(jì)算機(jī)等設(shè)備。
[0080]對發(fā)現(xiàn)的病毒記錄病毒的數(shù)據(jù)信息之后,則執(zhí)行步驟S400,將所述數(shù)據(jù)信息傳輸至數(shù)據(jù)庫存儲。
[0081]此處需要說明的是,對于局域網(wǎng)絡(luò)中的所有計(jì)算機(jī)或者相互關(guān)聯(lián)的多臺設(shè)備,可設(shè)置將每臺設(shè)備中的病毒的數(shù)據(jù)信息都傳輸?shù)揭粋€數(shù)據(jù)庫中。從而可以對整個環(huán)境中的所有病毒傳播途徑進(jìn)行統(tǒng)計(jì)分析,也可以有針對性的選取合適的病毒的數(shù)據(jù)信息進(jìn)行分析,可以準(zhǔn)確確定某個病毒的整個傳播路徑。對所有涉及的設(shè)備進(jìn)行查毒、殺毒,避免傳統(tǒng)技術(shù)中病毒傳播路徑不能確定造成殺毒不徹底。有效保證整個大環(huán)境的安全。
[0082]進(jìn)一步的,如圖2所示,針對數(shù)據(jù)庫中所存儲的病毒的數(shù)據(jù)信息,可進(jìn)行如下操作:
[0083]S500,對所述數(shù)據(jù)庫中的多個數(shù)據(jù)信息進(jìn)行分析處理,得到指定病毒的感染、傳播詳情。如前所述,篩選數(shù)據(jù)庫中所存儲的多個可能涉及某個指定病毒的病毒的數(shù)據(jù)信息進(jìn)行分析處理,根據(jù)每一次病毒的傳播途徑及傳播時間等信息,確定病毒的原始來源,為發(fā)現(xiàn)、處理整個環(huán)境中的潛在的威脅提供有力支持。
[0084]也可以根據(jù)病毒的傳播途徑確定感染的設(shè)備,并進(jìn)一步確定病毒已經(jīng)感染的區(qū)域,再根據(jù)實(shí)際病毒本身特性、危害性更快速準(zhǔn)確的確定病毒的威脅程度及影響范圍。
[0085]具體的對數(shù)據(jù)庫中的病毒的數(shù)據(jù)信息進(jìn)行分析,可將各設(shè)備傳輸來的各種零散病毒的數(shù)據(jù)信息進(jìn)行篩選、統(tǒng)計(jì)和分析,得出整個環(huán)境(全網(wǎng)絡(luò))的病毒傳播途徑,還可包括以下幾個角度的統(tǒng)計(jì)分析:
[0086](I)具有感染、傳播的病毒分析。根據(jù)收集到數(shù)據(jù)庫中的病毒的傳播途徑,分析全網(wǎng)絡(luò)中存在的病毒。確定可能在全網(wǎng)絡(luò)中感染、傳播的病毒。從而能夠?qū)φ麄€網(wǎng)絡(luò)的存在病毒狀態(tài)得到一個整體的把握。
[0087](2)病毒的傳播介質(zhì)分析。如病毒一般是經(jīng)過網(wǎng)絡(luò)傳播還是經(jīng)過移動存儲介質(zhì)傳播等。
[0088](3)指定傳播介質(zhì)的感染、傳播情況。此分析是針對一種傳播介質(zhì)如某個移動存儲介質(zhì)的感染病毒的時間,將病毒傳播給其他設(shè)備的情況進(jìn)行的統(tǒng)計(jì)。
[0089](4)以時間為主線的統(tǒng)計(jì)、分析病毒感染、傳播情況,病毒爆發(fā)態(tài)勢分析。
[0090](5)以設(shè)備為主線的統(tǒng)計(jì)、分析病毒感染、傳播情況。本方法處理能夠發(fā)現(xiàn)傳統(tǒng)意義上的計(jì)算機(jī)終端本機(jī)的威脅,更能發(fā)現(xiàn)、指導(dǎo)其他更多的中間介質(zhì)(移動存儲設(shè)備、郵件、網(wǎng)站網(wǎng)址、文件傳輸軟件、網(wǎng)絡(luò)共享、網(wǎng)絡(luò)映射盤等等)。且其能夠定位到中間介質(zhì),可以針對性的對中間介質(zhì)進(jìn)行處理(如禁用、查殺移動存儲設(shè)備,檢查郵件服務(wù)器,審核網(wǎng)站內(nèi)容,關(guān)閉不必要的共享等等),能夠更徹底清除病毒威脅,更好的防止重復(fù)感染。
[0091]下面以一個具體的實(shí)例說明本發(fā)明的標(biāo)識、采集、統(tǒng)計(jì)病毒傳播途徑的方法。
[0092]例1:
[0093]設(shè)本環(huán)境系統(tǒng)中包含三臺終端計(jì)算機(jī)分別為CA、CB和CC,且每臺計(jì)算機(jī)上都采用前述的標(biāo)識、采集、統(tǒng)計(jì)病毒傳播途徑的方法進(jìn)行本機(jī)的文件移動操作監(jiān)控及后續(xù)的發(fā)現(xiàn)病毒后的處理步驟。
[0094]還包括一個中間傳輸介質(zhì),一個U盤DU。且每臺計(jì)算機(jī)所收集的病毒的數(shù)據(jù)信息都上傳到一個病毒傳播信息收集服務(wù)器SA上。另外還包括一個病毒傳播途徑分析、統(tǒng)計(jì)服務(wù)器SB。
[0095]初始條件設(shè)置為,CA開啟了本機(jī)目錄的共享NF,并且在SF中放置了一個病毒樣本VFo
[0096]設(shè)對VF病毒樣本進(jìn)行了如下操作:
[0097]首先,計(jì)算機(jī)CB訪問計(jì)算機(jī)CA的共享目錄NF,并拷貝病毒樣本文件VF到本機(jī)。此時計(jì)算機(jī)CA上監(jiān)控發(fā)現(xiàn)病毒傳播動作,標(biāo)識、采集到病毒樣本VF信息,并記錄當(dāng)前操作的時間及病毒傳播的方向,把獲得的前述病毒的數(shù)據(jù)信息上報(bào)存儲到信息收集服務(wù)器SA上。
[0098]之后,再在計(jì)算機(jī)CB上插入U盤設(shè)備DU,并拷貝病毒樣本文件VF到U盤上。此時計(jì)算機(jī)CB上監(jiān)控發(fā)現(xiàn)病毒傳播動作,標(biāo)識、采集到病毒樣本VF信息,并記錄當(dāng)前操作的時間及病毒傳播的方向,把獲得的前述病毒的數(shù)據(jù)信息上報(bào)存儲到信息收集服務(wù)器SA上。
[0099]之后,U盤設(shè)備DU又插入到計(jì)算機(jī)CC上,并把病毒樣本文件VF拷貝到本機(jī)。此時計(jì)算機(jī)CC上監(jiān)控發(fā)現(xiàn)病毒傳播動作,標(biāo)識、采集到病毒樣本VF信息,并記錄當(dāng)前操作的時間及病毒傳播的方向,把獲得的前述病毒的數(shù)據(jù)信息上報(bào)存儲到信息收集服務(wù)器SA上。
[0100]即實(shí)際病毒樣本文件VF的傳播過程如下:
[0101]CA的共享目錄NF->(傳輸至)CB本機(jī),CB本機(jī)- > (傳輸至)U盤DU,U盤DU->(傳輸至)cc本機(jī)。
[0102]病毒傳播途徑分析、統(tǒng)計(jì)服務(wù)器SB進(jìn)行如下操作:
[0103]a.通過信息收集服務(wù)器SA得到上述三條病毒傳播詳情(從CA共享目錄NF傳輸至CB本機(jī),從CB本機(jī)傳輸至U盤DU,再從U盤DU傳輸至CC本機(jī))。
[0104]b.根據(jù)病毒樣本特性信息及傳播時間準(zhǔn)確得到這三條病毒傳播記錄就是同一病毒樣本。
[0105]c.可以分析得到病毒樣本VF已經(jīng)感染三臺物理主機(jī)CA、CB、CC,以及一個中間介質(zhì)U盤DU,由此可知要想徹底清除處理掉該病毒不僅僅要對三臺物理主機(jī)進(jìn)行處理,還需要對U盤DU也進(jìn)行殺毒處理。
[0106]d.可以分析得到各機(jī)器的準(zhǔn)確感染時間以及感染方式、方向、途徑、介質(zhì)。其中CB本機(jī)為通過共享局域網(wǎng)的讀操作被感染,CC本機(jī)是通過中間介質(zhì),U盤的讀操作被感染。
[0107]f.可以分析得到該樣本最初源頭是計(jì)算機(jī)CA的共享目錄NF。
[0108]其通過傳播途徑及各感染設(shè)備的被感染時間逐步推算確定病毒的源頭,及源頭的文件。從而可以在需要的時候?qū)υ搭^設(shè)備進(jìn)行進(jìn)一步的分析確定病毒進(jìn)入大環(huán)境的方式,并采取有效措施防止病毒在全系統(tǒng)殺毒完成后再次進(jìn)入。
[0109]基于同一發(fā)明構(gòu)思,本發(fā)明還提供一種標(biāo)識、采集、統(tǒng)計(jì)病毒傳播途徑的裝置,由于此裝置解決問題的原理與前述一種標(biāo)識、采集、統(tǒng)計(jì)病毒傳播途徑的方法相似,因此,該裝置的實(shí)施可以按照前述方法的具體步驟實(shí)現(xiàn),重復(fù)之處不再贅述。
[0110]在其中一個實(shí)施例的標(biāo)識、采集、統(tǒng)計(jì)病毒傳播途徑的裝置中,如圖3所示,包括監(jiān)控模塊100、病毒檢測模塊200、信息收集模塊300及數(shù)據(jù)存儲模塊400。其中:監(jiān)控模塊100,用于檢測設(shè)備中是否有文件移動操作;病毒檢測模塊200,用于根據(jù)所述監(jiān)控模塊的檢測結(jié)果,當(dāng)設(shè)備中有文件移動操作時,對操作所針對的文件進(jìn)行病毒檢測;信息收集模塊300,用于根據(jù)所述病毒檢測模塊的檢測結(jié)果,當(dāng)所述操作所針對的文件發(fā)現(xiàn)病毒時,記錄所述病毒的數(shù)據(jù)信息;數(shù)據(jù)存儲模塊400,用于將所述信息收集模塊300收集的所述數(shù)據(jù)信息傳輸至數(shù)據(jù)庫500存儲。且,所述數(shù)據(jù)信息中包括病毒傳播途徑。
[0111]需要說明的是,在本發(fā)明實(shí)施例中監(jiān)控模塊100、病毒檢測模塊200、信息收集模塊300及數(shù)據(jù)存儲模塊400都設(shè)置在要進(jìn)行病毒移動或者感染檢測的設(shè)備上。且對于一個局域網(wǎng)中的多個設(shè)備,或者相互關(guān)聯(lián)的多個設(shè)備,每個設(shè)備上設(shè)置一套前述的4個模塊。每個設(shè)備中上報(bào)的病毒的數(shù)據(jù)信息都統(tǒng)一傳輸?shù)揭粋€數(shù)據(jù)庫中進(jìn)行匯總。其中,此處所說的設(shè)備可以為計(jì)算機(jī)也可以為其他具有文件存儲及使用功能的智能設(shè)備。
[0112]還需要說明的是,數(shù)據(jù)庫500也是本發(fā)明實(shí)施例的標(biāo)識、采集、統(tǒng)計(jì)病毒傳播途徑的裝置的一個組成部分。且如前面方法中所介紹的,本發(fā)明實(shí)施例中的數(shù)據(jù)庫也可以用一個信息收集服務(wù)器代替,則數(shù)據(jù)存儲模塊400將所述信息收集模塊收集的所述數(shù)據(jù)信息傳輸?shù)叫畔⑹占?wù)器中存儲。因此本發(fā)明實(shí)施例的標(biāo)識、采集、統(tǒng)計(jì)病毒傳播途徑的裝置中包含多套相互配合工作的監(jiān)控模塊100、病毒檢測模塊200、信息收集模塊300及數(shù)據(jù)存儲模塊400。局域網(wǎng)中的每個設(shè)備對應(yīng)一套。而一般只包含一個集中存儲數(shù)據(jù)的數(shù)據(jù)庫。當(dāng)然也可再額外設(shè)置備份數(shù)據(jù)用的其他數(shù)據(jù)庫。
[0113]本發(fā)明實(shí)施例的標(biāo)識、采集、統(tǒng)計(jì)病毒傳播途徑的裝置對于局域網(wǎng)絡(luò)中的所有計(jì)算機(jī)或者相互關(guān)聯(lián)的多臺設(shè)備,可設(shè)置將每臺設(shè)備中的病毒的數(shù)據(jù)信息都傳輸?shù)揭粋€數(shù)據(jù)庫中。且所述病毒的數(shù)據(jù)信息中包含病毒傳播途徑。從而可以利用數(shù)據(jù)庫500中的病毒的數(shù)據(jù)信息對整個環(huán)境中的所有病毒傳播途徑進(jìn)行統(tǒng)計(jì)分析,也可以有針對性的選取合適的病毒的數(shù)據(jù)信息進(jìn)行分析,可以準(zhǔn)確確定某個病毒的整個傳播路徑,對所有涉及的設(shè)備進(jìn)行查毒、殺毒,避免傳統(tǒng)技術(shù)中病毒傳播路徑不能確定造成殺毒不徹底。有效保證整個大環(huán)境的安全。
[0114]其中,如圖4所示,監(jiān)控模塊100包括設(shè)備文件行為監(jiān)控子模塊110、郵件收發(fā)監(jiān)控子模塊120、下載監(jiān)控子模塊130及局域網(wǎng)共享、網(wǎng)絡(luò)映射盤監(jiān)控子模塊140。其中:設(shè)備文件行為監(jiān)控子模塊110,用于檢測設(shè)備中是否有設(shè)備上的文件讀或?qū)懖僮鳎秽]件收發(fā)監(jiān)控子模塊120,用于檢測設(shè)備中是否有收發(fā)郵件操作;述下載監(jiān)控子模塊130,用于檢測設(shè)備中是否有文件下載操作;局域網(wǎng)共享、網(wǎng)絡(luò)映射盤監(jiān)控子模塊140,用于檢測設(shè)備中是否有網(wǎng)絡(luò)共享讀寫操作或網(wǎng)絡(luò)映射盤讀寫操作。在每個進(jìn)行病毒傳播監(jiān)測的設(shè)備上都設(shè)置有上述的四個監(jiān)測子模塊,每個子模塊實(shí)時監(jiān)測不同種類的可能的文件移動。每個子模塊分別獨(dú)立運(yùn)行,當(dāng)前子模塊發(fā)現(xiàn)相應(yīng)的文件移動時,則立即啟動或者通知所述病毒檢測模塊200進(jìn)行病毒檢測。通過設(shè)置獨(dú)立工作的監(jiān)測子模塊使文件移動監(jiān)測實(shí)時性更高,且每個子模塊進(jìn)行針對性的檢測,準(zhǔn)確率高,計(jì)算量小,監(jiān)測快速。
[0115]更佳地,所述數(shù)據(jù)存儲模塊400傳輸?shù)綌?shù)據(jù)庫500中的數(shù)據(jù)信息除前述的病毒傳播途徑之外,還可以包括病毒名稱、病毒樣本特性、感染時間及傳播介質(zhì)。當(dāng)然這需要信息收集模塊300要收集這些病毒的數(shù)據(jù)信息。如果需要還可以根據(jù)需要要求信息收集模塊300收集更多種類的病毒的數(shù)據(jù)信息。不同的數(shù)據(jù)信息具有不同的使用價值。如病毒樣本特性和所述傳播介質(zhì)相結(jié)合對確定病毒類型與傳播方式之間的關(guān)系具有實(shí)際的參考價值。
[0116]在另一標(biāo)識、采集、統(tǒng)計(jì)病毒傳播途徑的裝置的實(shí)施例中,如圖5所示,還包括數(shù)據(jù)處理模塊600,用于對所述數(shù)據(jù)庫中的多個數(shù)據(jù)信息進(jìn)行分析處理,得到指定病毒的感染、傳播詳情。
[0117]需要說明的是,本發(fā)明實(shí)施例中的數(shù)據(jù)處理模塊600可以設(shè)置在任意一個局域網(wǎng)中的計(jì)算機(jī)上。也可以設(shè)置在不在非當(dāng)前局域網(wǎng)中的其他設(shè)備上。只要能實(shí)現(xiàn)對數(shù)據(jù)庫或者信息收集服務(wù)器中的病毒的數(shù)據(jù)信息進(jìn)行分析即可。
[0118]另外,更佳地,數(shù)據(jù)處理模塊600還可以對病毒的數(shù)據(jù)進(jìn)行分析,得到制定傳播介質(zhì)的感染、傳播詳情;還可以以時間為主線統(tǒng)計(jì)、分析病毒感染、傳播情況,進(jìn)行病毒爆發(fā)態(tài)勢分析。
[0119]還需要說明的是,在前述的標(biāo)識、采集、統(tǒng)計(jì)病毒傳播途徑的裝置的實(shí)施例中,所述文件移動操作為設(shè)備上的文件讀操作時,所述病毒傳播途徑為從中間介質(zhì)感染到當(dāng)前設(shè)備,所述文件移動操作為設(shè)備上的文件寫操作時,所述病毒傳播途徑為從當(dāng)前設(shè)備感染到中間介質(zhì),所述文件移動操作為收發(fā)郵件操作時,所述病毒傳播途徑為郵件的收發(fā)地址之間,所述文件移動操作為文件下載操作時,所述病毒傳播途徑為文件下載源到當(dāng)前設(shè)備,所述文件移動操作為網(wǎng)絡(luò)共享或網(wǎng)絡(luò)映射盤讀操作時,所述病毒傳播途徑為從網(wǎng)絡(luò)感染到當(dāng)前設(shè)備,所述文件移動操作為網(wǎng)絡(luò)共享或網(wǎng)絡(luò)映射盤寫操作時,所述病毒傳播途徑為從當(dāng)前設(shè)備感染到網(wǎng)絡(luò)。且所述中間介質(zhì)可以為U盤、移動硬盤或者光盤等移動存儲設(shè)備。
[0120]以上所述實(shí)施例僅表達(dá)了本發(fā)明的幾種實(shí)施方式,其描述較為具體和詳細(xì),但并不能因此而理解為對本發(fā)明專利范圍的限制。應(yīng)當(dāng)指出的是,對于本領(lǐng)域的普通技術(shù)人員來說,在不脫離本發(fā)明構(gòu)思的前提下,還可以做出若干變形和改進(jìn),這些都屬于本發(fā)明的保護(hù)范圍。因此,本發(fā)明專利的保護(hù)范圍應(yīng)以所附權(quán)利要求為準(zhǔn)。
【權(quán)利要求】
1.一種標(biāo)識、采集、統(tǒng)計(jì)病毒傳播途徑的方法,其特征在于,包括以下步驟: 檢測設(shè)備中是否有文件移動操作; 當(dāng)設(shè)備中有文件移動操作時,對操作所針對的文件進(jìn)行病毒檢測; 當(dāng)所述操作所針對的文件發(fā)現(xiàn)病毒時,記錄所述病毒的數(shù)據(jù)信息; 將所述數(shù)據(jù)信息傳輸至數(shù)據(jù)庫存儲; 其中,所述數(shù)據(jù)信息中包括病毒傳播途徑。
2.根據(jù)權(quán)利要求1所述的標(biāo)識、采集、統(tǒng)計(jì)病毒傳播途徑的方法,其特征在于,所述文件移動操作包括設(shè)備上的文件讀或?qū)懖僮?、收發(fā)郵件操作、文件下載操作、網(wǎng)絡(luò)共享讀寫操作及網(wǎng)絡(luò)映射盤讀寫操作。
3.根據(jù)權(quán)利要求2所述的標(biāo)識、采集、統(tǒng)計(jì)病毒傳播途徑的方法,其特征在于,所述文件移動操作為設(shè)備上的文件讀操作時,所述病毒傳播途徑為從中間介質(zhì)感染到當(dāng)前設(shè)備,所述文件移動操作為設(shè)備上的文件寫操作時,所述病毒傳播途徑為從當(dāng)前設(shè)備感染到中間介質(zhì),所述文件移動操作為收發(fā)郵件操作時,所述病毒傳播途徑為郵件的收發(fā)地址之間,所述文件移動操作為文件下載操作時,所述病毒傳播途徑為文件下載源到當(dāng)前設(shè)備,所述文件移動操作為網(wǎng)絡(luò)共享或網(wǎng)絡(luò)映射盤讀操作時,所述病毒傳播途徑為從網(wǎng)絡(luò)感染到當(dāng)前設(shè)備,所述文件移動操作為網(wǎng)絡(luò)共享或網(wǎng)絡(luò)映射盤寫操作時,所述病毒傳播途徑為從當(dāng)前設(shè)備感染到網(wǎng)絡(luò); 所述中間介質(zhì)包括U盤、移動硬盤及光盤。
4.根據(jù)權(quán)利要求1至3任一項(xiàng)所述的標(biāo)識、采集、統(tǒng)計(jì)病毒傳播途徑的方法,其特征在于,所述數(shù)據(jù)信息還包括病毒名稱、病毒樣本特性、感染時間及傳播介質(zhì)。
5.根據(jù)權(quán)利要求4所述的標(biāo)識、采集、統(tǒng)計(jì)病毒傳播途徑的方法,其特征在于,還包括以下步驟: 對所述數(shù)據(jù)庫中的多個數(shù)據(jù)信息進(jìn)行分析處理,得到指定病毒的感染、傳播詳情。
6.一種標(biāo)識、采集、統(tǒng)計(jì)病毒傳播途徑的裝置,其特征在于,包括監(jiān)控模塊、病毒檢測模塊、信息收集模塊及數(shù)據(jù)存儲模塊,其中: 所述監(jiān)控模塊,用于檢測設(shè)備中是否有文件移動操作; 所述病毒檢測模塊,用于根據(jù)所述監(jiān)控模塊的檢測結(jié)果,當(dāng)設(shè)備中有文件移動操作時,對操作所針對的文件進(jìn)行病毒檢測; 所述信息收集模塊,用于根據(jù)所述病毒檢測模塊的檢測結(jié)果,當(dāng)所述操作所針對的文件發(fā)現(xiàn)病毒時,記錄所述病毒的數(shù)據(jù)信息; 所述數(shù)據(jù)存儲模塊,用于將所述信息收集模塊收集的所述數(shù)據(jù)信息傳輸至數(shù)據(jù)庫存儲; 其中,所述數(shù)據(jù)信息中包括病毒傳播途徑。
7.根據(jù)權(quán)利要求6所述的標(biāo)識、采集、統(tǒng)計(jì)病毒傳播途徑的裝置,其特征在于,所述監(jiān)控模塊包括設(shè)備文件行為監(jiān)控子模塊、郵件收發(fā)監(jiān)控子模塊、下載監(jiān)控子模塊及局域網(wǎng)共享、網(wǎng)絡(luò)映射盤監(jiān)控子模塊,其中: 所述設(shè)備文件行為監(jiān)控子模塊,用于檢測設(shè)備中是否有設(shè)備上的文件讀或?qū)懖僮鳎? 所述郵件收發(fā)監(jiān)控子模塊,用于檢測設(shè)備中是否有收發(fā)郵件操作; 所述下載監(jiān)控子模塊,用于檢測設(shè)備中是否有文件下載操作; 所述局域網(wǎng)共享、網(wǎng)絡(luò)映射盤監(jiān)控子模塊,用于檢測設(shè)備中是否有網(wǎng)絡(luò)共享讀寫操作或網(wǎng)絡(luò)映射盤讀寫操作。
8.根據(jù)權(quán)利要求7所述的標(biāo)識、采集、統(tǒng)計(jì)病毒傳播途徑的裝置,其特征在于,所述文件移動操作為設(shè)備上的文件讀操作時,所述病毒傳播途徑為從中間介質(zhì)感染到當(dāng)前設(shè)備,所述文件移動操作為設(shè)備上的文件寫操作時,所述病毒傳播途徑為從當(dāng)前設(shè)備感染到中間介質(zhì),所述文件移動操作為收發(fā)郵件操作時,所述病毒傳播途徑為郵件的收發(fā)地址之間,所述文件移動操作為文件下載操作時,所述病毒傳播途徑為文件下載源到當(dāng)前設(shè)備,所述文件移動操作為網(wǎng)絡(luò)共享或網(wǎng)絡(luò)映射盤讀操作時,所述病毒傳播途徑為從網(wǎng)絡(luò)感染到當(dāng)前設(shè)備,所述文件移動操作為網(wǎng)絡(luò)共享或網(wǎng)絡(luò)映射盤寫操作時,所述病毒傳播途徑為從當(dāng)前設(shè)備感染到網(wǎng)絡(luò); 所述中間介質(zhì)包括U盤、移動硬盤及光盤。
9.根據(jù)權(quán)利要求6至8任一項(xiàng)所述的標(biāo)識、采集、統(tǒng)計(jì)病毒傳播途徑的裝置,其特征在于,所述數(shù)據(jù)信息還包括病毒名稱、病毒樣本特性、感染時間及傳播介質(zhì)。
10.根據(jù)權(quán)利要求9所述的標(biāo)識、采集、統(tǒng)計(jì)病毒傳播途徑的裝置,其特征在于,還包括數(shù)據(jù)處理模塊,用于對所述數(shù)據(jù)庫中的多個數(shù)據(jù)信息進(jìn)行分析處理,得到指定病毒的感染、傳播詳情。
【文檔編號】G06F21/56GK104504338SQ201510035504
【公開日】2015年4月8日 申請日期:2015年1月23日 優(yōu)先權(quán)日:2015年1月23日
【發(fā)明者】楊紹波 申請人:北京瑞星信息技術(shù)有限公司