專利名稱:防止計算機病毒進入內(nèi)部網(wǎng)絡的裝置及實現(xiàn)方法
技術領域:
本發(fā)明涉及反計算機病毒的信息安全技術��,尤指一種防止計算機病毒進入內(nèi)部網(wǎng)絡的裝置及實現(xiàn)方法����。
背景技術:
目前,隨著計算機及計算機網(wǎng)絡的發(fā)展��,伴隨而來的計算機病毒傳播問題越來越引起人們的關注���。隨著因特網(wǎng)的流行���,計算機病毒借助網(wǎng)絡爆發(fā)流行,如尼姆達����、紅色代碼以及Slammer在不到一天的時間內(nèi)通過因特網(wǎng)在全球內(nèi)自動傳播,它們所造成的損失輕則妨礙計算機運行�����,重則破壞計算機內(nèi)的數(shù)據(jù),致使計算機不能工作����。
目前的殺毒裝置從殺毒的方式上可分為主機型殺毒裝置和網(wǎng)絡型殺毒裝置。主機型殺毒裝置主要包括單機殺毒裝置和服務器殺毒裝置����,它設置在單個的計算機內(nèi)����,能保護宿主計算機免于病毒感染,但不能惠及其它計算機��。網(wǎng)絡型殺毒裝置��,從整個內(nèi)部網(wǎng)絡的入口開始�����,阻止來自因特網(wǎng)其他網(wǎng)絡的病毒入侵�����。它包括代理式殺毒網(wǎng)關和路由式殺毒網(wǎng)關��。所有通過內(nèi)部網(wǎng)絡系統(tǒng)的信息通過殺毒網(wǎng)關,將進入內(nèi)部網(wǎng)絡的數(shù)據(jù)包根據(jù)不同應用層協(xié)議進行還原,再利用掃描引擎對其進行計算機病毒的查殺���。代理式殺毒網(wǎng)關以代理的方式工作,需要客戶端或服務端改變DNS配置�,路由式殺毒網(wǎng)關以路由器的方式工作,它接入網(wǎng)絡時需要去掉原有的路由器或改變原路由器的配置�。由于上述兩種殺毒網(wǎng)關需要從新配置路由和DNS,對原有網(wǎng)絡結構做較大幅度的調(diào)整�����,因此常常會降低網(wǎng)絡系統(tǒng)的整體性能�,企業(yè)一旦采購了上述網(wǎng)絡型殺毒裝置,常常需要進一步采購硬件和接入帶寬��,使資金投入大大增加����,使用成本增加。
發(fā)明內(nèi)容
本發(fā)明目的在于提供一種防止計算機病毒進入內(nèi)部網(wǎng)絡的裝置及實現(xiàn)方法�����。它無須更改內(nèi)部網(wǎng)絡的任何硬件和軟件配置�����,達到防止計算機病毒進入內(nèi)部網(wǎng)絡的目的,不會降低內(nèi)部網(wǎng)絡系統(tǒng)的整體性能�����,降低殺毒成本���。
為解決上述問題�����,本發(fā)明提供了一種防止計算機病毒進入內(nèi)部網(wǎng)絡的裝置,包括設置在內(nèi)部網(wǎng)絡的透明網(wǎng)橋���,其中所述透明網(wǎng)橋包括用于連接內(nèi)部網(wǎng)絡和外部網(wǎng)絡的至少兩個網(wǎng)橋端口�����、連接所述網(wǎng)橋端口的MAC芯片�����、用于緩沖數(shù)據(jù)的緩沖器��、用于管理MAC芯片的網(wǎng)橋端口管理模塊��、設置在網(wǎng)橋端口管理模塊中的路徑選擇表����,還包括網(wǎng)絡監(jiān)控引擎,連接所述緩沖器�����,用于將網(wǎng)橋端口接收到數(shù)據(jù)包還原至應用層內(nèi)容��,將接收到的應用層內(nèi)容組裝成數(shù)據(jù)包發(fā)送至緩沖器�,由網(wǎng)絡端口發(fā)送出去;主控模塊�,連接所述網(wǎng)絡監(jiān)控引擎,用于判斷接收到的應用層內(nèi)容是否是命令數(shù)據(jù)���,如果是直接轉發(fā)���,否則判斷是否是殺毒引擎所能處理的數(shù)據(jù)類型或格式,如果是直接轉發(fā)�����,否則形成一個緩沖區(qū)或者保存成文件發(fā)送至殺毒引擎;殺毒引擎�,連接所述主控模塊,用于將接收到的數(shù)據(jù)查毒和殺毒���,并將處理后的數(shù)據(jù)發(fā)送至所述主控模塊���。
相應地,所述網(wǎng)絡監(jiān)控引擎包括透明網(wǎng)橋模塊���,用于完成數(shù)據(jù)鏈路層的協(xié)議處理任務����;TCP/IP協(xié)議處理模塊�,用于完成IP層和TCP層的協(xié)議處理任務�����;應用層處理模塊用于完成應用層協(xié)議處理任務��。
本發(fā)明還提供了一種防止計算機病毒進入內(nèi)部網(wǎng)絡的方法����,包括(1)透明網(wǎng)橋接收從外部網(wǎng)絡傳送的數(shù)據(jù)包���;(2)網(wǎng)絡監(jiān)控引擎還原數(shù)據(jù)包中應用層內(nèi)容;(3)主控模塊判斷收到的應用層內(nèi)容是否命令數(shù)據(jù)��,如果是直接轉發(fā)��,否則判斷殺毒引擎能處理的數(shù)據(jù)類型或格式�,如果是直接轉發(fā)至殺毒引擎,否則把這些數(shù)據(jù)在內(nèi)存中形成一個緩沖區(qū)或者保存成文件發(fā)送至殺毒引擎���;(4)殺毒引擎將接收到的數(shù)據(jù)進行查毒����,判斷是有病毒���,如果有��,進行殺毒����,然后轉發(fā)回所述主控模塊�����,否則直接轉發(fā)回所述主控模塊;(5)所述主控模塊接收到該數(shù)據(jù)��,判斷該數(shù)據(jù)在發(fā)送至殺毒引擎之前是否對其進行處理���,如果是進行逆向處理����,然后發(fā)送至網(wǎng)絡監(jiān)控引擎��,否則直接發(fā)送至網(wǎng)絡監(jiān)控引擎���;(6)網(wǎng)絡監(jiān)控引擎重新組裝成數(shù)據(jù)包進行發(fā)送���。
步驟(5)進一步包括,當殺毒引擎不能清除已查的病毒時�����,丟棄該接收的數(shù)據(jù)包��,阻斷與內(nèi)部網(wǎng)絡的連接���。步驟(2)進一步包括(2-1)透明網(wǎng)橋模塊保存MAC幀的數(shù)據(jù)部分����,并把去掉幀頭的數(shù)據(jù)包發(fā)送至TCP/IP協(xié)議處理模塊���;(2-2)TCP/IP協(xié)議處理模塊存儲IP報頭和TCP段��,并把去掉IP報頭和TCP段的數(shù)據(jù)包發(fā)送至應用層協(xié)議處理模塊�;(2-3)應用層協(xié)議處理模塊根據(jù)不同的應用層協(xié)議還原應用層內(nèi)容����。步驟(6)進一步包括(6-1)從主控模塊接收到的數(shù)據(jù)在應用層協(xié)議處理模塊中根據(jù)其應用層協(xié)議還原應用層數(shù)據(jù),并傳送至TCP/IP協(xié)議處理模塊�;(6-2)TCP/IP協(xié)議處理模塊加上TCP段后,并給TCP段加上IP報頭�����,生成一個IP數(shù)據(jù)包�����,并將IP數(shù)據(jù)包發(fā)送至透明網(wǎng)橋模塊�����;(6-3)透明網(wǎng)橋模塊根據(jù)目的MAC地址進行發(fā)送。
主控模塊通過設置一個標記符來判斷是否對收到的數(shù)據(jù)進行過處理��。殺毒引擎進行更新時�,同時更新主控模塊中存儲殺毒引擎能處理的數(shù)據(jù)類型或格式。所述殺毒引擎能處理的數(shù)據(jù)類型或格式包括文件和存儲在緩沖區(qū)的數(shù)據(jù)�����。
與現(xiàn)有技術相比��,本發(fā)明具有以下優(yōu)點在內(nèi)部網(wǎng)絡和外部網(wǎng)絡之間串接一個透明網(wǎng)橋�,在原透明網(wǎng)橋的基礎上增加了網(wǎng)絡監(jiān)控引擎、主控模塊和殺毒引擎����,使得透明網(wǎng)橋還具有殺毒的功能,防止計算機病毒進入內(nèi)部網(wǎng)絡���,而且通過透明網(wǎng)橋轉發(fā)數(shù)據(jù)包��,使得受保護的計算機無需更改任何軟件或硬件配置����,使用方便��,不占用受保護的計算機的資源�,更不影響受保護的計算機的性能。
圖1是防止計算機病毒進入內(nèi)部網(wǎng)絡的整體網(wǎng)絡結構示意圖�����。
圖2是透明網(wǎng)橋的結構示意圖����。
圖3是防止計算機病毒進入內(nèi)部網(wǎng)絡的流程圖。
圖4是還原應用層內(nèi)容的流程圖���。
圖5是主控模塊接收到該應用層數(shù)據(jù)�����,轉發(fā)到殺毒引擎的步驟流程圖��。
圖6是將應用層數(shù)據(jù)重新組裝成數(shù)據(jù)包的流程圖�����。
具體實施例方式
請參閱圖1�����,圖1為本發(fā)明防止計算機病毒進入內(nèi)部網(wǎng)絡的整體網(wǎng)絡結構示意圖��。本發(fā)明公開是一種常見的內(nèi)部網(wǎng)絡1�����,內(nèi)部網(wǎng)絡1有若干個工作站11�,若干個工作站分別通過集線器12連接。透明網(wǎng)橋13串接在內(nèi)部網(wǎng)絡1和外部網(wǎng)絡14之間��。外部網(wǎng)絡14可為因特網(wǎng)����,將透明網(wǎng)橋13設置在內(nèi)部網(wǎng)絡1的入口,最大可能防止計算機病毒從因特網(wǎng)進入內(nèi)部網(wǎng)絡1�。
請參閱圖2,圖2為透明網(wǎng)橋的原理示意圖���。透明網(wǎng)橋它不會影響內(nèi)部網(wǎng)絡���,原有的軟硬件不需改變,它不要設置地址開關和加載路徑選擇表和參數(shù)��。它至少有兩個用于連接內(nèi)部網(wǎng)絡1和外部網(wǎng)絡2的網(wǎng)橋端口21a、21b��、和每個網(wǎng)橋端口連接MAC芯片22a�����、22b��、用于緩沖數(shù)據(jù)的緩沖器23以及用于管理網(wǎng)橋端口的網(wǎng)橋端口管理模塊24�����,網(wǎng)橋端口管理模塊24中設置一張路徑選擇表25��。當透明網(wǎng)橋13剛接入內(nèi)部網(wǎng)絡2的入口時��,該路徑選擇表25為空��,透明網(wǎng)橋13使用一種稱為向后學習的擴散式路徑選擇法���,建立路徑選擇表,所以當透明網(wǎng)橋要轉發(fā)一個數(shù)據(jù)包時�����,查找路徑選擇表25,如果查到�����,就按指定的通道將該數(shù)據(jù)包向前發(fā)送至目的局域網(wǎng)�����,否則��,按擴散法將數(shù)據(jù)包送至所有的網(wǎng)絡��。由此���,透明網(wǎng)橋在工作時�����,對與連接它的網(wǎng)絡而言是透明的��。
該透明網(wǎng)橋13還包括網(wǎng)絡監(jiān)控引擎26���、主控模塊27和殺毒引擎28。其中
網(wǎng)絡監(jiān)控引擎26,連接緩沖器23����,用于實時地將網(wǎng)橋13接收到的數(shù)據(jù)包還原至應用層,并把應用層內(nèi)容傳遞至主控模塊27��,也可接收從主控模塊27傳遞的數(shù)據(jù)還原成接收時的數(shù)據(jù)包發(fā)送至緩沖器23�,通過緩沖器23轉發(fā)至內(nèi)部網(wǎng)絡1或外部網(wǎng)絡2。該網(wǎng)絡監(jiān)控引擎26包括透明網(wǎng)橋模塊261�����、TCP/IP協(xié)議處理模塊262、應用層協(xié)議處理模塊263���。
現(xiàn)在����,網(wǎng)絡標準的TCP/IP協(xié)議族具有層次分明的層次���,從底至上分為數(shù)據(jù)鏈路層、IP層、TCP層和應用層�����,相應地�����,透明網(wǎng)橋模塊261用于完成數(shù)據(jù)鏈路層的協(xié)議處理任務�����,包括在網(wǎng)絡層實體間提供傳送數(shù)據(jù)�,檢測和校正物理鏈路產(chǎn)生的差錯��,根據(jù)不同的MAC地址進行轉發(fā)�����。
TCP/IP協(xié)議處理模塊262完成IP層和TCP層的協(xié)議處理任務�����,IP層就是向TCP層提供統(tǒng)一的IP包�����,即將各種不同類型的MAC幀轉成統(tǒng)一的IP包,并將MAC的物理地址變換成全網(wǎng)統(tǒng)一的邏輯地址����。TCP層保證傳輸?shù)目煽啃?��,利用端口序號和STN/FIN碼來區(qū)分數(shù)據(jù)流并判斷其性質��。
應用層協(xié)議處理模塊263完成應用層的協(xié)議處理任務�����,將數(shù)據(jù)包還原至應用層內(nèi)容。
主控模塊27連接網(wǎng)絡監(jiān)控引擎26�����,將網(wǎng)絡監(jiān)控引擎26還原出的應用層數(shù)據(jù)判斷其數(shù)據(jù)類型���,最后傳遞給殺毒引擎28查殺病毒����,將經(jīng)過殺毒引擎28查殺病毒的數(shù)據(jù)流發(fā)送至網(wǎng)絡引擎26。
殺毒引擎28���,將接收到的數(shù)據(jù)進行查毒�����,當檢測到有病毒時進行殺毒后及時發(fā)送到主控模塊27�����。
以下簡單介紹利用該透明網(wǎng)橋實現(xiàn)防止計算機病毒進入內(nèi)部網(wǎng)絡的方法��。
S110透明網(wǎng)橋13設置在內(nèi)部網(wǎng)絡1的入口�����,端口管理模塊24對MAC芯片22a�、22b進行初始化���,并對緩沖器23進行管理����,將空閑緩沖器指針傳遞到MAC芯片22a��、22b以便接收數(shù)據(jù)幀,也將幀緩沖器指針傳遞到MAC芯片22a����、22b以便發(fā)送接收到的數(shù)據(jù)幀;S120網(wǎng)橋端口21a或21b將數(shù)據(jù)包以數(shù)據(jù)幀的形式接收下來�,進行緩沖,并將接收到數(shù)據(jù)包所在的緩沖器23的指針傳遞至網(wǎng)絡監(jiān)控引擎26��;S130網(wǎng)絡監(jiān)控引擎26還原數(shù)據(jù)包中應用層內(nèi)容����,并將其提交給主控模塊27,具體步驟如下S210網(wǎng)絡監(jiān)控引擎26的透明網(wǎng)橋模塊261保存MAC幀的數(shù)據(jù)部分�����,并把去掉MAC幀的幀頭的數(shù)據(jù)包交給網(wǎng)絡監(jiān)控引擎26的TCP/IP協(xié)議模塊262�;S220TCP/IP協(xié)議處理模塊262接收到該數(shù)據(jù)包檢查IP報頭,如果報頭中檢測和計算結果不一致�����,則丟棄該IP數(shù)據(jù)包�,若正確則取出IP報頭并保存��,將取出IP報頭的數(shù)據(jù)包進一步判斷是否是正確的TCP分組,然后檢查TCP段數(shù)據(jù)�����,如果正確���,則向源地址發(fā)送確認���,并取出TCP段并保存,然后將數(shù)據(jù)包發(fā)送至應用層處理模塊�����,否則向源地址發(fā)送要求重發(fā)信息���;S230�����,應用層處理模塊接收到該數(shù)據(jù)包��,根據(jù)應用層不同的協(xié)議(如SMTP����、POP3、HTTP����、FTP等)解析提取出其中的應用層數(shù)據(jù);S140主控模塊27接收到該應用層數(shù)據(jù)����,轉發(fā)到殺毒引擎28,具體步驟如下S310因為命令是協(xié)議的一個組成部分���,所以根據(jù)不同的應用層協(xié)議�����,判斷接收到的應用層數(shù)據(jù)是否是命令數(shù)據(jù)��,如果是����,直接轉發(fā)至殺毒引擎28�����,否則進行步驟S320�����;S320判斷是否是殺毒引擎28直接能處理的數(shù)據(jù)類型或格式��,如果是����,進行步驟S150,否則�����,進行步驟S330�����;S330對收到的應用層數(shù)據(jù)進行處理轉換成殺毒引擎能處理的數(shù)據(jù)后發(fā)送至殺毒引擎�;將殺毒引擎28能處理的數(shù)據(jù)類型或格式事先設置在主控模塊27上,當更新殺毒引擎28時����,存儲在主控模塊27上的殺毒引擎28能處理的數(shù)據(jù)類型或格式進行更新。殺毒引擎對于應用層協(xié)議比如HTTP���、FTP����、SMTP、POP3的數(shù)據(jù)����,這些協(xié)議中數(shù)據(jù)中,如HTTP對應瀏覽的網(wǎng)頁內(nèi)容�����、FTP對應下載的文件�����、POP3和SMTP對應的是郵件數(shù)據(jù)��。主控模塊27把這些數(shù)據(jù)在內(nèi)存中形成一個緩沖區(qū)或者保存成文件���,殺毒引擎28可以對這塊緩沖區(qū)和這個文件進行病毒掃描�����,就可以跟一般的殺毒引擎掃描本地磁盤文件一樣了�。
S150殺毒引擎28接收到從主控模塊27中接收到的數(shù)據(jù),先判斷是否是命令部分����,因為命令是協(xié)議的一部分�����,不會帶有病毒�����,殺毒引擎將不作處理��,否則根據(jù)不同的數(shù)據(jù)類型做相應的病毒檢查���,判斷是否發(fā)現(xiàn)計算機病毒���,如果沒有直接發(fā)送數(shù)據(jù)回到主控模塊27,否則清除該病毒����,將清除完病毒的數(shù)據(jù)發(fā)送至主控模塊27。當殺毒引擎28發(fā)現(xiàn)無法清除該病毒時�,可以根據(jù)用戶的設置進行處理a將染毒數(shù)據(jù)替換成提示信息,如“該數(shù)據(jù)部分為xxx病毒”,然后回送至主控模塊27��;b將染毒數(shù)據(jù)隔離起來�,c刪除染毒數(shù)據(jù),d不做任何處理�����,發(fā)送回主控模塊27���。
S160主控模塊27對接收到應用層數(shù)據(jù)�,判斷該應用層數(shù)據(jù)是否進行過處理���,如果是則進行逆向處理��,然后發(fā)送給網(wǎng)絡監(jiān)控引擎26��,否則發(fā)送至網(wǎng)絡監(jiān)控引擎26���,比如,主控模塊27對HTTP對應瀏覽的網(wǎng)頁內(nèi)容���、FTP對應下載的文件�����、POP3和SMTP對應的是郵件數(shù)據(jù)在內(nèi)存中形成一個緩沖區(qū)或者保存成文件�。在應用層數(shù)據(jù)中可設置一個標記符,標記符的內(nèi)容為“00”時��,應用層數(shù)據(jù)沒有做編碼�����;標記符的內(nèi)容為“10”時�,將應用層數(shù)據(jù)形成緩沖區(qū)���;標記符的內(nèi)容為“11”時��,將應用層數(shù)據(jù)保存成文件�����。主控模塊27檢驗標記符對應的內(nèi)容�����,能判斷接收到的應用層數(shù)據(jù)是否進行處理����,如果進行處理,能判斷出是進行如何處理����,主控模塊27就可進行逆向處理即可。
S170���,網(wǎng)絡監(jiān)控引擎26把應用層數(shù)據(jù)組裝成數(shù)據(jù)包進行發(fā)送����,具體步驟如下S410從主控模塊27接收到的數(shù)據(jù)在網(wǎng)絡監(jiān)控引擎26的應用層協(xié)議處理模塊根據(jù)其應用層協(xié)議(如SMTP����、POP3、HTTP��、FTP)還原回應用層數(shù)據(jù)���,并傳送至TCP/IP協(xié)議處理模塊���;S420TCP/IP協(xié)議處理模塊加上TCP段后,并給TCP段加上IP報頭����,生成一個IP數(shù)據(jù)包����,并將IP數(shù)據(jù)包發(fā)送至透明網(wǎng)橋模塊262���;S430透明網(wǎng)橋模塊262根據(jù)目的MAC地址發(fā)送出去�。
以POP3為例當一個POP3連接建立時���,網(wǎng)絡監(jiān)控引擎26建立一個相應的對象來專門處理此連接。以后所有關于此連接的數(shù)據(jù)都由這個對象來處理轉發(fā)��。此對象用來處理關于這個連接的所有數(shù)據(jù)����,網(wǎng)絡監(jiān)控引擎27把數(shù)據(jù)包還原成應用層數(shù)據(jù)流,我們根據(jù)數(shù)據(jù)流進行分析����,因為每種協(xié)議都有自己的命令格式和命令順序,我們采用分析數(shù)據(jù)流中具體的數(shù)據(jù)內(nèi)容����,確定其數(shù)據(jù)流的類型����,比如POP3中���,當出現(xiàn)“User XXX”��,我們就知道這個一個發(fā)送用戶名的命令型數(shù)據(jù)流���。當出現(xiàn)Data這個命令之后,我們就知道���,后續(xù)的數(shù)據(jù)是郵件的正文部分了�。這個如果是屬于命令類型的數(shù)據(jù)流�����,我們直接轉發(fā)該數(shù)據(jù)包�,當碰到Data命令之后,說明后面發(fā)送的是實際的電子郵件數(shù)據(jù)了���,我們就把后續(xù)的數(shù)據(jù)包還原成數(shù)據(jù)流之后�,組合成完整的文件���,我們的殺毒引擎然后對這個文件進行病毒掃描���,如果發(fā)現(xiàn)有病毒���,我們會根據(jù)用戶的設置進行不同的處理如果選擇清除病毒,我們會把殺毒之后的文件重新組成一個個的數(shù)據(jù)包���,然后在發(fā)送出去���;如果選擇是阻斷該連接的,我們會發(fā)送Reset命令���,重置該連接。同時記錄該操作的一些日志和給管理員發(fā)送報警消息����。
以上公開的僅為本發(fā)明的一個具體實施例,但本發(fā)明并非局限于此��,本發(fā)明的保護范圍以權利要求書為準��。
權利要求
1.一種防止計算機病毒進入內(nèi)部網(wǎng)絡的裝置�,包括設置在內(nèi)部網(wǎng)絡的透明網(wǎng)橋��,其中所述透明網(wǎng)橋包括用于連接內(nèi)部網(wǎng)絡和外部網(wǎng)絡的至少兩個網(wǎng)橋端口�����、連接所述網(wǎng)橋端口的MAC芯片���、用于緩沖數(shù)據(jù)的緩沖器、用于管理MAC芯片的網(wǎng)橋端口管理模塊�、設置在網(wǎng)橋端口管理模塊中的路徑選擇表,其特征在于�,還包括網(wǎng)絡監(jiān)控引擎,連接所述緩沖器�,用于將網(wǎng)橋端口接收到數(shù)據(jù)包還原至應用層內(nèi)容,將接收到的應用層內(nèi)容組裝成數(shù)據(jù)包發(fā)送至所述緩沖器����,由所述網(wǎng)絡端口發(fā)送出去;主控模塊��,連接所述網(wǎng)絡監(jiān)控引擎�,用于判斷接收到的應用層內(nèi)容是否是命令數(shù)據(jù),如果是直接轉發(fā)�����,否則判斷是否是殺毒引擎所能處理的數(shù)據(jù)類型或格式,如果是直接轉發(fā)���,否則將接收到的數(shù)據(jù)形成一個緩沖區(qū)或者保存成文件發(fā)送至殺毒引擎��;殺毒引擎���,連接所述主控模塊,用于將接收到的數(shù)據(jù)查毒和殺毒�����,并將處理后的數(shù)據(jù)發(fā)送至所述主控模塊�。
2.如權利要求1所述的防止計算機病毒進入內(nèi)部網(wǎng)絡的裝置,其特征在于�,所述網(wǎng)絡監(jiān)控引擎包括透明網(wǎng)橋模塊,用于完成數(shù)據(jù)鏈路層的協(xié)議處理任務���;TCP/IP協(xié)議處理模塊,用于完成IP層和TCP層的協(xié)議處理任務�����;應用層處理模塊用于完成應用層協(xié)議處理任務���。
3.一種防止計算機病毒進入內(nèi)部網(wǎng)絡的方法�����,其特征在于����,包括(1)透明網(wǎng)橋接收從外部網(wǎng)絡傳送的數(shù)據(jù)包;(2)網(wǎng)絡監(jiān)控引擎還原數(shù)據(jù)包中應用層內(nèi)容�;(3)主控模塊判斷收到的應用層內(nèi)容是否命令數(shù)據(jù),如果是直接轉發(fā)��,否則判斷殺毒引擎能處理的數(shù)據(jù)類型或格式����,如果是直接轉發(fā)至殺毒引擎,否則把這些數(shù)據(jù)在內(nèi)存中形成一個緩沖區(qū)或者保存成文件發(fā)送至殺毒引擎���;(4)殺毒引擎將接收到的數(shù)據(jù)進行查毒����,判斷是有病毒��,如果有,進行殺毒��,然后轉發(fā)到所述主控模塊���,否則直接轉發(fā)到所述主控模塊��;(5)所述主控模塊接收到該數(shù)據(jù)�����,判斷該數(shù)據(jù)在發(fā)送至殺毒引擎之前是否對其進行處理��,如果是進行逆向處理��,然后發(fā)送至網(wǎng)絡監(jiān)控引擎����,否則直接發(fā)送至網(wǎng)絡監(jiān)控引擎�����;(6)網(wǎng)絡監(jiān)控引擎重新組裝成數(shù)據(jù)包進行發(fā)送�����。
4.如權利要求3所述的防止計算機病毒進入內(nèi)部網(wǎng)絡的方法��,其特征在于�,步驟(5)進一步包括,當殺毒引擎不能清除已查的病毒時���,丟棄該接收的數(shù)據(jù)包��,阻斷與內(nèi)部網(wǎng)絡的連接��。
5.如權利要求3所述的防止計算機病毒進入內(nèi)部網(wǎng)絡的方法��,其特征在于�����,步驟(2)進一步包括(2-1)透明網(wǎng)橋模塊保存MAC幀的數(shù)據(jù)部分��,并把去掉幀頭的數(shù)據(jù)包發(fā)送至TCP/IP協(xié)議處理模塊�;(2-2)TCP/IP協(xié)議處理模塊存儲IP報頭和TCP段�����,并把去掉IP報頭和TCP段的數(shù)據(jù)包發(fā)送至應用層協(xié)議處理模塊�����;(2-3)應用層協(xié)議處理模塊根據(jù)不同的應用層協(xié)議還原應用層內(nèi)容。
6.如權利要求5所述的防止計算機病毒進入內(nèi)部網(wǎng)絡的方法�����,其特征在于��,步驟(6)進一步包括(6-1)從主控模塊接收到的數(shù)據(jù)在應用層協(xié)議處理模塊中根據(jù)其應用層協(xié)議還原應用層數(shù)據(jù)���,并傳送至TCP/IP協(xié)議處理模塊�;(6-2)TCP/IP協(xié)議處理模塊加上TCP段后�,并給TCP段加上IP報頭,生成一個IP數(shù)據(jù)包�,并將IP數(shù)據(jù)包發(fā)送至透明網(wǎng)橋模塊;(6-3)透明網(wǎng)橋模塊根據(jù)目的MAC地址進行發(fā)送���。
7.如權利要求3所述的防止計算機病毒進入內(nèi)部網(wǎng)絡的方法�,其特征在于����,主控模塊通過設置一個標記符來判斷是否對收到的數(shù)據(jù)進行過處理。
8.如權利要求3所述的防止計算機病毒進入內(nèi)部網(wǎng)絡的方法���,其特征在于�����,還包括���,殺毒引擎進行更新時,同時更新主控模塊中存儲殺毒引擎能處理的數(shù)據(jù)類型或格式�。
9.如權利要求7所述的防止計算機病毒進入內(nèi)部網(wǎng)絡的方法,其特征在于�,所述殺毒引擎能處理的數(shù)據(jù)類型或格式包括文件和存儲在緩沖區(qū)的數(shù)據(jù)。
全文摘要
本發(fā)明公開了一種防止計算機病毒進入內(nèi)部網(wǎng)絡的裝置和方法�����,在內(nèi)部網(wǎng)絡和外部網(wǎng)絡之間串接一個透明網(wǎng)橋��,在原透明網(wǎng)橋的基礎上增加了網(wǎng)絡監(jiān)控引擎��、主控模塊和殺毒引擎���,使得透明網(wǎng)橋還具有殺毒的功能�����,防止計算機病毒進入內(nèi)部網(wǎng)絡���,而且通過透明網(wǎng)橋轉發(fā)數(shù)據(jù)包��,使得受保護的計算機無需更改任何軟件或硬件配置����,使用方便�����,不占用受保護的計算機的資源�����,更不影響受保護的計算機的性能��。
文檔編號H04L12/24GK1592223SQ20031011305
公開日2005年3月9日 申請日期2003年12月25日 優(yōu)先權日2003年12月25日
發(fā)明者張志國, 鄧振波 申請人:珠海金山軟件股份有限公司