專利名稱:支持大規(guī)模多用戶并發(fā)控制的計(jì)算機(jī)病毒實(shí)驗(yàn)方法
技術(shù)領(lǐng)域:
本發(fā)明涉及的是一種信息安全技術(shù)領(lǐng)域的方法�,具體地說是一種支持大規(guī)模多用戶并發(fā)控制的計(jì)算機(jī)病毒實(shí)驗(yàn)方法。
背景技術(shù):
當(dāng)前計(jì)算機(jī)病毒已成為降低計(jì)算機(jī)使用效率的重要因素���。計(jì)算機(jī)病毒由單機(jī)型向網(wǎng)絡(luò)型的發(fā)展增強(qiáng)了其破壞性��,同時(shí)影響范圍增大���。各類計(jì)算機(jī)病毒防治硬件系統(tǒng)通常采用保護(hù)計(jì)算機(jī)硬件物理地址,禁止非法讀寫等操作的方法防止計(jì)算機(jī)病毒的感染和破壞��;計(jì)算機(jī)病毒防治軟件則采用病毒特征碼查詢����、修正病毒代碼改變的關(guān)鍵值等方式保護(hù)計(jì)算機(jī)系統(tǒng),但這些軟硬件病毒防治系統(tǒng)并不向使用者展現(xiàn)計(jì)算機(jī)病毒完整的運(yùn)作機(jī)制和反病毒方法,很難滿足多用戶并發(fā)教學(xué)實(shí)驗(yàn)需求�����。傳統(tǒng)的病毒教學(xué)實(shí)驗(yàn)常常采用理論講解方法��、執(zhí)行結(jié)果截圖等展示方法��,幾乎沒有為學(xué)習(xí)和研究人員提供適合病毒運(yùn)行而又安全可控的環(huán)境�。當(dāng)前計(jì)算機(jī)病毒執(zhí)行的強(qiáng)隱蔽性�,造成計(jì)算機(jī)病毒在瞬間完成感染、破壞和傳播的全過程���,而為了利于其擴(kuò)散���,計(jì)算機(jī)病毒對系統(tǒng)底層的破壞也不再僅僅是容易發(fā)覺的簡單表象,這給教學(xué)實(shí)驗(yàn)過程中從系統(tǒng)底層監(jiān)控病毒運(yùn)作����、可視化病毒運(yùn)作帶來了相當(dāng)難度。
經(jīng)對現(xiàn)有技術(shù)的文獻(xiàn)檢索發(fā)現(xiàn)���,中國專利申請?zhí)枮?1117726.8���,專利名稱為“檢測和清除已知及未知計(jì)算機(jī)病毒的方法�����、系統(tǒng)”���,此技術(shù)針對反計(jì)算機(jī)病毒產(chǎn)品必須使用病毒特征庫查殺病毒而具有滯后性的問題,提出一種方法�,采用模擬計(jì)算機(jī)病毒生存環(huán)境,利用病毒的感染性���,在該環(huán)境中激活可能帶毒的對象��,從而自動檢測未知病毒并清除����,無需人工分析�。但該方法屬于行為結(jié)果查殺病毒范疇,應(yīng)用于指導(dǎo)反病毒產(chǎn)品的設(shè)計(jì)和開發(fā)���,不涉及迫使計(jì)算機(jī)病毒及其模擬生存環(huán)境適應(yīng)于實(shí)驗(yàn)的方法�,無法支持大規(guī)模多個用戶的并發(fā)訪問教學(xué)實(shí)驗(yàn)�����。在進(jìn)一步的檢索中,尚未發(fā)現(xiàn)與本發(fā)明主題相同或類似的文獻(xiàn)報(bào)道����。
發(fā)明內(nèi)容
本發(fā)明目的在于解決現(xiàn)有實(shí)驗(yàn)方法的不足�����,提供一種支持大規(guī)模多用戶并發(fā)控制的計(jì)算機(jī)病毒實(shí)驗(yàn)方法����,使其為大規(guī)模多個用戶同時(shí)展現(xiàn)計(jì)算機(jī)病毒傳播、感染的主流技術(shù)以及反病毒方法�����,該方法在現(xiàn)實(shí)的計(jì)算機(jī)和網(wǎng)絡(luò)環(huán)境中運(yùn)行病毒樣本��,采用捕捉特征信息��、監(jiān)控注冊表等技術(shù)可視化病毒運(yùn)作機(jī)制��,采用記錄病毒的操作流程并逆向恢復(fù)的技術(shù)消除病毒對系統(tǒng)和文件的破壞���,不損害計(jì)算機(jī)系統(tǒng)����,不堵塞互聯(lián)網(wǎng)的病毒模擬運(yùn)行環(huán)境,很好地解決了計(jì)算機(jī)反病毒技術(shù)不斷發(fā)展而教學(xué)實(shí)踐環(huán)節(jié)卻缺乏有效實(shí)驗(yàn)方法的矛盾���。
本發(fā)明通過以下技術(shù)方案實(shí)現(xiàn)的��,包括三個方面(1)用戶管理用戶登錄時(shí)�����,通過對用戶ID和密碼的校驗(yàn)辨認(rèn)用戶的身份���;限制一次登入的用戶總?cè)藬?shù);對管理員級和普通級兩種用戶賦予不同級別的權(quán)限���;搭建滿足病毒觸發(fā)機(jī)制的誘發(fā)環(huán)境�����。
用戶管理是該方法支持大規(guī)模用戶并發(fā)控制的核心�����,分為權(quán)限控制和環(huán)境配置兩部分��。
權(quán)限控制用于確保合法用戶進(jìn)入并進(jìn)行合法操作����。具體實(shí)現(xiàn)如下用戶登錄時(shí)輸入ID和密碼,檢索數(shù)據(jù)庫校驗(yàn)用戶的身份����,服務(wù)器記錄用戶登錄ID�����,禁止用戶重復(fù)登陸�����,并且在服務(wù)器端設(shè)置最大用戶數(shù)來限制一次登入的用戶總?cè)藬?shù)��。服務(wù)器根據(jù)登陸ID自動識別管理員級和普通級兩種不同的用戶身份�,并對這兩種身份賦予不同級別的權(quán)限。管理員級用戶除具備普通級用戶可獲得的權(quán)限外�����,還能獲得設(shè)定系統(tǒng)工作參數(shù)、開放實(shí)驗(yàn)?zāi)K�����、查詢普通級用戶身份信息和管理其實(shí)驗(yàn)成績的權(quán)限�;普通級用戶能使用開放的實(shí)驗(yàn)資源,并在各自的實(shí)驗(yàn)界面提交實(shí)驗(yàn)數(shù)據(jù)����。
環(huán)境配置為每一個用戶配置相互獨(dú)立的實(shí)驗(yàn)環(huán)境,用戶選擇的實(shí)驗(yàn)內(nèi)容不同�����,實(shí)驗(yàn)環(huán)境也不相同����。環(huán)境配置負(fù)責(zé)給用戶派發(fā)所需的病毒樣本,自動搭建病毒所需的誘發(fā)環(huán)境��,包括病毒將要攻擊的文件和系統(tǒng)漏洞��,設(shè)置病毒可以存活的安全級別要求�,以及放置符合病毒攻擊條件的多種格式的目標(biāo)樣本。
(2)病毒感染與清除的可視化與可操作化在病毒的運(yùn)行和殺毒過程中����,結(jié)合特征信息捕捉����、文件內(nèi)存形式映射�����、注冊表監(jiān)控等技術(shù)捕獲病毒感染和病毒清除過程中的動態(tài)����,實(shí)現(xiàn)整個過程的可視化與可操作化。
具體如下用戶在誘發(fā)環(huán)境內(nèi)觸發(fā)病毒�����。該環(huán)境并不終止病毒行為���,而是啟動特征捕捉模塊和注冊表監(jiān)視模塊監(jiān)控病毒運(yùn)行的動態(tài)信息。特征捕捉模塊監(jiān)視系統(tǒng)API函數(shù)調(diào)用情況和誘毒文件的變化�����,一旦發(fā)現(xiàn)異常��,立即發(fā)出預(yù)警并生成日志。注冊表監(jiān)視模塊定時(shí)讀取注冊表的鍵值�����,將病毒對鍵值的修改形成列表輸出�����。實(shí)驗(yàn)系統(tǒng)集成了病毒代碼的編譯環(huán)境�,在這個環(huán)境上,用戶可以修改病毒代碼來改變病毒的行為����。
殺毒程序是針對實(shí)驗(yàn)病毒樣本專門設(shè)計(jì)的,與商用殺毒軟件不同��,本發(fā)明使用的殺毒程序不是簡單的刪除或隔離染毒文件��,而是逆向執(zhí)行病毒的執(zhí)行流程�����,將染毒文件和環(huán)境完全恢復(fù)至未感染時(shí)的初始狀態(tài)��。殺毒程序執(zhí)行的同時(shí)再次啟動特征捕捉模塊和注冊表監(jiān)視模塊,形成可視化文件�����。殺毒實(shí)驗(yàn)的可操作化體現(xiàn)在用戶除了使用殺毒程序外�����,還可通過手動操作完成殺毒�。內(nèi)存讀寫模塊讀取帶毒文件的內(nèi)存形式,形成信息數(shù)值列表����;用戶在列表上對信息數(shù)值作修改,再由內(nèi)存讀寫模塊將用戶對數(shù)值的修改映射成對文件的修改���。
(3)病毒傳播可控化在局域網(wǎng)的范圍內(nèi)模擬病毒傳播的Internet環(huán)境���,規(guī)劃病毒的傳播路徑保障控制病毒擴(kuò)散的范圍。
病毒樣本向Outlook Express聯(lián)系人名單內(nèi)的全部地址發(fā)送電子郵件�����,而病毒本身作為附件跟隨這些郵件的發(fā)送實(shí)現(xiàn)傳播����,通過架設(shè)郵件服務(wù)器并結(jié)合控制方法限制郵件發(fā)送路徑,避免病毒外泄及網(wǎng)絡(luò)擁塞����。具體方法如下首先,服務(wù)器以用戶的ID和密碼作為郵件帳號與密碼���,向郵件服務(wù)器注冊登記��。其次����,服務(wù)器將實(shí)驗(yàn)人員分為若干組�,向用戶派發(fā)組員的電子郵件帳號列表。用戶將這個列表導(dǎo)入Outlook Express聯(lián)系人名單�����。將每個用戶的病毒傳播路徑限制在固定的幾個目標(biāo)內(nèi)����,避免引發(fā)大面積傳播造成網(wǎng)絡(luò)堵塞。除此之外����,郵件服務(wù)器端實(shí)施地址篩選算法����,檢查郵件地址的合法性��,拒絕不合法的郵件發(fā)送����。
本發(fā)明的效果是顯著的,使用該方法設(shè)計(jì)的計(jì)算機(jī)病毒防護(hù)教學(xué)實(shí)驗(yàn)系統(tǒng)具有三大優(yōu)勢(1)大規(guī)模性����。支持?jǐn)?shù)百名用戶同時(shí)進(jìn)行計(jì)算機(jī)病毒防護(hù)實(shí)驗(yàn)。(2)集中式管理���。經(jīng)過身份認(rèn)證后���,為每個實(shí)驗(yàn)者動態(tài)分配身份ID,只有具有身份ID的實(shí)驗(yàn)者才能進(jìn)行各種實(shí)驗(yàn)���,同時(shí)記錄實(shí)驗(yàn)者的身份ID�����,自動生成相應(yīng)記錄文件�,以便于管理�����。集中式管理提高了實(shí)驗(yàn)環(huán)境的安全性�,也便于對實(shí)驗(yàn)者的監(jiān)督管理。(3)病毒實(shí)驗(yàn)的可視化����、可操作性、可控性����。設(shè)計(jì)的應(yīng)用于病毒感染、擴(kuò)散����、清除的實(shí)驗(yàn)方法,能可視化病毒的隱蔽活動����,操作病毒的活動,控制病毒擴(kuò)散范圍����,同時(shí)保證計(jì)算機(jī)系統(tǒng)的安全�,為教學(xué)活動帶來良好的可視性與互動性���。使用本發(fā)明設(shè)計(jì)的系統(tǒng)�,對教學(xué)實(shí)驗(yàn)獨(dú)有的強(qiáng)力支持是商業(yè)計(jì)算機(jī)反病毒軟硬件系統(tǒng)所欠缺的���,而且這種支持具備良好的可擴(kuò)展性����,具有很好的推廣前景���。
圖1為本發(fā)明中用戶管理的實(shí)施交互2為本發(fā)明中病毒感染與清除的可視化與可操作化實(shí)施交互3為本發(fā)明中病毒傳播可控化的實(shí)施交互圖具體實(shí)施方式
基于該方法的系統(tǒng)分為四個部分�����,運(yùn)行于用戶計(jì)算機(jī)上的客戶端��、Web服務(wù)器�、郵件服務(wù)器和數(shù)據(jù)庫服務(wù)器�。Web服務(wù)器端為用戶提供統(tǒng)一的身份認(rèn)證服務(wù),確定用戶可獲得的服務(wù)種類并確保實(shí)驗(yàn)系統(tǒng)服務(wù)的用戶數(shù)量不超過限定值����。用戶通過Web服務(wù)器查詢典型病毒樣本信息����,下載病毒樣本和專用的病毒清除工具���,在本機(jī)運(yùn)行病毒并由系統(tǒng)內(nèi)的郵件服務(wù)器傳播在限定范圍內(nèi)傳播,數(shù)據(jù)庫服務(wù)器存放用戶信息及其實(shí)驗(yàn)結(jié)果���。以下結(jié)合附圖對本發(fā)明技術(shù)方案的實(shí)現(xiàn)進(jìn)行詳細(xì)說明一�、用戶管理因?yàn)橐С稚习偃送瑫r(shí)參與實(shí)驗(yàn)���,本發(fā)明用戶管理規(guī)定了用戶個人信息管理的機(jī)制���,包括驗(yàn)證用戶的身份,采集和存儲用戶的中間結(jié)果與實(shí)驗(yàn)報(bào)告����,記錄普通級用戶成績;用戶管理還規(guī)定了用戶的權(quán)限級別�,管理員級用戶具備修改系統(tǒng)參數(shù),開放計(jì)算機(jī)病毒實(shí)驗(yàn)�����,查詢普通級用戶身份信息和實(shí)驗(yàn)數(shù)據(jù)的權(quán)限;普通級用戶具備使用和操作實(shí)驗(yàn)資源���,上傳實(shí)驗(yàn)數(shù)據(jù)的權(quán)限��。
如圖1所示����,用戶管理具體流程如下a.用戶向Web服務(wù)器請求身份ID�����,Web服務(wù)器計(jì)算登入人數(shù)�,如超出上限,拒絕該用戶的接入��;否則查詢數(shù)據(jù)庫信息�,確認(rèn)用戶的合法性。
b.當(dāng)管理員級用戶登陸進(jìn)入Web服務(wù)器����,設(shè)定系統(tǒng)工作參數(shù),開放計(jì)算機(jī)病毒防護(hù)實(shí)驗(yàn)?zāi)K的相應(yīng)內(nèi)容�����,如實(shí)驗(yàn)?zāi)康摹?shí)驗(yàn)要求���、實(shí)驗(yàn)注意事項(xiàng)���、實(shí)驗(yàn)方法�、實(shí)驗(yàn)資源等,查詢普通級用戶的身份信息��。
c.多名普通級用戶登陸進(jìn)入Web服務(wù)器后���,選擇進(jìn)入多個實(shí)驗(yàn)中的一個���,查看本次實(shí)驗(yàn)內(nèi)容,包括實(shí)驗(yàn)?zāi)康?、?shí)驗(yàn)要求、實(shí)驗(yàn)注意事項(xiàng)��、實(shí)驗(yàn)方法等�。
d.普通級用戶用戶根據(jù)實(shí)驗(yàn)要求進(jìn)行實(shí)驗(yàn),實(shí)驗(yàn)過程中向Web服務(wù)器提交各種數(shù)據(jù)��,同時(shí)接收Web服務(wù)器返回的確認(rèn)信息。
e.Web服務(wù)器接收到普通級用戶提交的信息����,保存至數(shù)據(jù)庫的相應(yīng)用戶檔案中。
f.實(shí)驗(yàn)結(jié)束�,管理員級用戶可從數(shù)據(jù)庫調(diào)出普通級用戶的實(shí)驗(yàn)數(shù)據(jù),批閱打分�����。分?jǐn)?shù)保存至數(shù)據(jù)庫相應(yīng)的普通級用戶檔案中�。
二、病毒感染與清除的可視化與可操作化病毒的執(zhí)行具有隱蔽性����,往往在不為人所察覺的瞬間就已完成感染、傳播和破壞的全部過程���,破壞經(jīng)常發(fā)生在系統(tǒng)的底層�����,沒有表象的體現(xiàn)��,很難被人們注意到��。殺毒程序的執(zhí)行過程同樣如此����。作為面向教學(xué)的病毒實(shí)驗(yàn)系統(tǒng),要求將病毒的機(jī)理輔助實(shí)驗(yàn)的手法表現(xiàn)出來�����。在病毒操作的過程中使用監(jiān)視注冊表鍵值和特征信息捕捉技術(shù)��,實(shí)時(shí)報(bào)警�,并將病毒的執(zhí)行過程信息化顯示����。
結(jié)合圖2,病毒感染與清除的可視化與可操作化具體流程如下a.病毒樣本在誘發(fā)環(huán)境中被觸發(fā)��。
b.特征信息捕捉模塊啟動��,監(jiān)測到系統(tǒng)API被調(diào)用以及目標(biāo)程序信息被篡改���,發(fā)出告警����,并形成日志報(bào)告。同時(shí)記錄病毒樣本的執(zhí)行動作���,實(shí)時(shí)化顯示��。
c.注冊表監(jiān)視模塊比較鍵值�,列舉鍵值的前后變化��。
d.使用者閱讀病毒代碼��,在允許范圍內(nèi)作修改如感染的文件數(shù)�����,感染目標(biāo)的條件����,病毒的表現(xiàn)形式,編譯生成新的病毒樣本��,再次觸發(fā)樣本�。通過比較深入學(xué)習(xí)。
e.觸發(fā)殺毒程序�,特征信息模塊和注冊表監(jiān)視模塊再次啟動,形成日志與實(shí)時(shí)信息。
f.內(nèi)存讀寫模塊讀取帶毒文件的內(nèi)存形式��,形成文件信息數(shù)值列表���。用戶在列表上修改信息數(shù)值��,內(nèi)存讀寫模塊將數(shù)值寫入內(nèi)存中文件的對應(yīng)位置�����。用戶用這種方式學(xué)習(xí)恢復(fù)帶毒文件����。
三�、病毒傳播可控化在局域網(wǎng)范圍內(nèi),利用搭設(shè)郵件服務(wù)器�,規(guī)劃email傳播交叉?zhèn)鞑サ穆窂?��,在參與實(shí)驗(yàn)的用戶之間形成病毒傳播的網(wǎng)絡(luò)�����,并在郵件服務(wù)器端實(shí)施路徑篩選以控制擴(kuò)散范圍��。
結(jié)合圖3�,病毒傳播可控化具體流程如下a.Web服務(wù)器統(tǒng)計(jì)參與實(shí)驗(yàn)的人數(shù),郵件服務(wù)器以用戶的ID和密碼為每個實(shí)驗(yàn)用戶注冊一個電子郵件帳號����,并將這個帳號告知實(shí)驗(yàn)用戶。
b.Web服務(wù)器將每5個實(shí)驗(yàn)用戶分為一組��,Web服務(wù)器向每個用戶派發(fā)同組其余成員的電子郵件賬戶���。
c.用戶按照指示在Outlook Express中設(shè)置自己的帳號����,將Web服務(wù)器派發(fā)的其余成員電子郵件帳號導(dǎo)入��,該過程將自動清空原有的聯(lián)系人名單中的電子郵件地址�����。
d.Web服務(wù)器派發(fā)病毒樣本到用戶的本地端�����,提供Web頁面形式的實(shí)驗(yàn)指導(dǎo)幫助用戶觸發(fā)病毒樣本��。
e.觸發(fā)的病毒樣本生成含有帶毒文檔的電子郵件,Outlook Express郵件聯(lián)系人名單所有帳號發(fā)送這封郵件�����。
f.郵件服務(wù)器檢查郵件地址的合法性�,轉(zhuǎn)發(fā)合法的郵件。
g.接受郵件的主機(jī)向發(fā)送方自動回復(fù)���,通知接受病毒郵件的信息�。
h.待用戶完成實(shí)驗(yàn)過程����,Web服務(wù)器向用戶提供病毒專殺工具,刪除病毒模版���,恢復(fù)注冊表����。并引導(dǎo)用戶清空Outlook Express的郵件聯(lián)系人名單���。
因?yàn)閃eb服務(wù)器將實(shí)驗(yàn)人員分為若干組,向用戶派發(fā)組員的電子郵件帳號列表�����,用戶將這個列表導(dǎo)入Outlook Express聯(lián)系人名單。因此�����,在傳播實(shí)驗(yàn)的過程中���,每個用戶的病毒傳播路徑就限制在固定的幾個目標(biāo)內(nèi)����,避免了引發(fā)大面積傳播造成網(wǎng)絡(luò)堵塞��。除此之外���,郵件服務(wù)器端實(shí)施地址篩選算法�����,檢查郵件地址的合法性���,拒絕不合法的郵件發(fā)送。
權(quán)利要求
1.一種支持大規(guī)模多用戶并發(fā)控制的計(jì)算機(jī)病毒實(shí)驗(yàn)方法���,其特征在于���,包括以下三個方面(1)用戶管理分為權(quán)限控制和環(huán)境配置兩部分�,用戶登錄時(shí)�����,通過對用戶ID和密碼的校驗(yàn)辨認(rèn)用戶的身份�,限制一次登入的用戶總?cè)藬?shù),對管理員級和普通級兩種用戶賦予相應(yīng)級別的權(quán)限���,搭建滿足病毒觸發(fā)機(jī)制的誘發(fā)環(huán)境����;(2)病毒感染與清除的可視化與可操作化在病毒的運(yùn)行和殺毒過程中����,結(jié)合特征信息捕捉、文件內(nèi)存形式映射�����、注冊表監(jiān)控技術(shù)捕獲病毒感染和病毒清除過程中的動態(tài)�����,實(shí)現(xiàn)整個過程的可視化與可操作化���;(3)病毒傳播可控化在局域網(wǎng)的范圍內(nèi)模擬病毒傳播的Internet環(huán)境��,規(guī)劃病毒的傳播路徑保障控制病毒擴(kuò)散的范圍�。
2.根據(jù)權(quán)利要求1所述的支持大規(guī)模多用戶并發(fā)控制的計(jì)算機(jī)病毒實(shí)驗(yàn)方法��,其特征是���,所述的權(quán)限控制�����,是用戶登錄時(shí)輸入ID和密碼�,檢索數(shù)據(jù)庫校驗(yàn)用戶的身份����,服務(wù)器記錄用戶登錄ID,禁止用戶重復(fù)登陸���,并且在服務(wù)器端設(shè)置最大用戶數(shù)來限制一次登入的用戶總?cè)藬?shù)��,服務(wù)器根據(jù)登陸ID自動識別管理員級和普通級兩種不同的用戶身份�,并對這兩種身份賦予不同級別的權(quán)限,管理員級用戶除具備普通級用戶的權(quán)限外���,還能獲得設(shè)定系統(tǒng)工作參數(shù)����、開放實(shí)驗(yàn)?zāi)K�、查詢普通級用戶身份信息和管理其實(shí)驗(yàn)成績的權(quán)限;普通級用戶能使用開放的實(shí)驗(yàn)資源����,并在各自的實(shí)驗(yàn)界面提交實(shí)驗(yàn)數(shù)據(jù)。
3.根據(jù)權(quán)利要求1所述的支持大規(guī)模多用戶并發(fā)控制的計(jì)算機(jī)病毒實(shí)驗(yàn)方法��,其特征是�����,所述的環(huán)境配置��,為每一個用戶配置相互獨(dú)立的實(shí)驗(yàn)環(huán)境���,用戶選擇的實(shí)驗(yàn)內(nèi)容不同��,實(shí)驗(yàn)環(huán)境也不相同�����,環(huán)境配置負(fù)責(zé)給用戶派發(fā)所需的病毒樣本�����,自動搭建病毒所需的誘發(fā)環(huán)境�����,包括病毒將要攻擊的文件和系統(tǒng)漏洞���,設(shè)置病毒存活的安全級別要求,以及放置符合病毒攻擊條件的多種格式的目標(biāo)樣本�。
4.根據(jù)權(quán)利要求1所述的支持大規(guī)模多用戶并發(fā)控制的計(jì)算機(jī)病毒實(shí)驗(yàn)方法,其特征是���,所述的用戶管理�,具體流程如下a.用戶向Web服務(wù)器請求身份ID����,Web服務(wù)器計(jì)算登入人數(shù)���,如超出上限,拒絕該用戶的接入����;否則查詢數(shù)據(jù)庫信息,確認(rèn)用戶的合法性����;b.當(dāng)管理員級用戶登陸進(jìn)入Web服務(wù)器,設(shè)定系統(tǒng)工作參數(shù)�,開放計(jì)算機(jī)病毒防護(hù)實(shí)驗(yàn)?zāi)K的相應(yīng)內(nèi)容,這些內(nèi)容包括實(shí)驗(yàn)?zāi)康?�、?shí)驗(yàn)要求�、實(shí)驗(yàn)注意事項(xiàng)、實(shí)驗(yàn)方法�����、實(shí)驗(yàn)資源�,查詢普通級用戶的身份信息;c.多名普通級用戶登陸進(jìn)入Web服務(wù)器后��,選擇進(jìn)入多個實(shí)驗(yàn)中的一個,查看本次實(shí)驗(yàn)內(nèi)容��,包括實(shí)驗(yàn)?zāi)康?���、?shí)驗(yàn)要求、實(shí)驗(yàn)注意事項(xiàng)�����、實(shí)驗(yàn)方法����;d.普通級用戶用戶根據(jù)實(shí)驗(yàn)要求進(jìn)行實(shí)驗(yàn)�,實(shí)驗(yàn)過程中向Web服務(wù)器提交各種數(shù)據(jù),同時(shí)接收Web服務(wù)器返回的確認(rèn)信息�;e.Web服務(wù)器接收到普通級用戶提交的信息,保存至數(shù)據(jù)庫的相應(yīng)用戶檔案中���;f.實(shí)驗(yàn)結(jié)束��,管理員級用戶從數(shù)據(jù)庫調(diào)出普通級用戶的實(shí)驗(yàn)數(shù)據(jù)�����,批閱打分���,分?jǐn)?shù)保存至數(shù)據(jù)庫相應(yīng)的普通級用戶檔案中���。
5.根據(jù)權(quán)利要求1所述的支持大規(guī)模多用戶并發(fā)控制的計(jì)算機(jī)病毒實(shí)驗(yàn)方法,其特征是��,所述的病毒感染與清除的可視化與可操作化����,具體流程如下a.病毒樣本在誘發(fā)環(huán)境中被觸發(fā);b.特征信息捕捉模塊啟動���,監(jiān)測到系統(tǒng)API被調(diào)用以及目標(biāo)程序信息被篡改��,發(fā)出告警�����,并形成日志報(bào)告���,同時(shí)記錄病毒樣本的執(zhí)行動作,實(shí)時(shí)化顯示����;c.注冊表監(jiān)視模塊比較鍵值���,列舉鍵值的前后變化;d.使用者閱讀病毒代碼���,在允許范圍內(nèi)作修改如感染的文件數(shù)�,感染目標(biāo)的條件���,病毒的表現(xiàn)形式�,編譯生成新的病毒樣本�,再次觸發(fā)樣本�����,通過比較深入學(xué)習(xí)����;e.觸發(fā)殺毒程序,特征信息模塊和注冊表監(jiān)視模塊再次啟動���,形成日志與實(shí)時(shí)信息�����;f.內(nèi)存讀寫模塊讀取帶毒文件的內(nèi)存形式�,形成文件信息數(shù)值列表,用戶在列表上修改信息數(shù)值����,內(nèi)存讀寫模塊將數(shù)值寫入內(nèi)存中文件的對應(yīng)位置,用戶用這種方式學(xué)習(xí)恢復(fù)帶毒文件�����。
6.根據(jù)權(quán)利要求5所述的支持大規(guī)模多用戶并發(fā)控制的計(jì)算機(jī)病毒實(shí)驗(yàn)方法��,其特征是�����,用戶在誘發(fā)環(huán)境內(nèi)觸發(fā)病毒�����,該環(huán)境并不終止病毒行為����,而是啟動特征捕捉模塊和注冊表監(jiān)視模塊監(jiān)控病毒運(yùn)行的動態(tài)信息�����,特征捕捉模塊監(jiān)視系統(tǒng)API函數(shù)調(diào)用情況和誘毒文件的變化�����,一旦發(fā)現(xiàn)異常�,立即發(fā)出預(yù)警并生成日志�����,注冊表監(jiān)視模塊定時(shí)讀取注冊表的鍵值����,將病毒對鍵值的修改形成列表輸出,實(shí)驗(yàn)系統(tǒng)集成了病毒代碼的編譯環(huán)境���,在這個環(huán)境上,用戶能實(shí)現(xiàn)通過修改病毒代碼來改變病毒的行為�。
7.根據(jù)權(quán)利要求5所述的支持大規(guī)模多用戶并發(fā)控制的計(jì)算機(jī)病毒實(shí)驗(yàn)方法,其特征是��,殺毒程序���,是逆向執(zhí)行病毒的執(zhí)行流程���,將染毒文件和環(huán)境完全恢復(fù)至未感染時(shí)的初始狀態(tài)���,殺毒程序執(zhí)行的同時(shí)再次啟動特征捕捉模塊和注冊表監(jiān)視模塊,形成可視化文件����,內(nèi)存讀寫模塊讀取帶毒文件的內(nèi)存形式,形成信息數(shù)值列表�;用戶在列表上對信息數(shù)值作修改,再由內(nèi)存讀寫模塊將用戶對數(shù)值的修改映射成對文件的修改�。
8.根據(jù)權(quán)利要求5所述的支持大規(guī)模多用戶并發(fā)控制的計(jì)算機(jī)病毒實(shí)驗(yàn)方法,其特征是���,殺毒實(shí)驗(yàn)的可操作化體現(xiàn)在用戶除了使用殺毒程序外����,還能通過手動操作完成殺毒�。
9.根據(jù)權(quán)利要求1所述的支持大規(guī)模多用戶并發(fā)控制的計(jì)算機(jī)病毒實(shí)驗(yàn)方法,其特征是�,所述的病毒傳播可控化,具體為首先��,服務(wù)器以用戶的ID和密碼作為郵件帳號與密碼,向郵件服務(wù)器注冊登記��,其次�����,服務(wù)器將實(shí)驗(yàn)人員分為若干組�����,向用戶派發(fā)組員的電子郵件帳號列表����,用戶將這個列表導(dǎo)入Outlook Express聯(lián)系人名單,將每個用戶的病毒傳播路徑限制在固定的幾個目標(biāo)內(nèi)�,避免引發(fā)大面積傳播造成網(wǎng)絡(luò)堵塞,除此之外�,郵件服務(wù)器端實(shí)施地址篩選算法,檢查郵件地址的合法性�����,拒絕不合法的郵件發(fā)送�。
10.根據(jù)權(quán)利要求1或者9所述的支持大規(guī)模多用戶并發(fā)控制的計(jì)算機(jī)病毒實(shí)驗(yàn)方法��,其特征是,所述的病毒傳播可控化���,具體流程如下a.Web服務(wù)器統(tǒng)計(jì)參與實(shí)驗(yàn)的人數(shù)�����,郵件服務(wù)器以用戶的ID和密碼為每個實(shí)驗(yàn)用戶注冊一個電子郵件帳號�����,并將這個帳號告知實(shí)驗(yàn)用戶��;b.Web服務(wù)器將每5個實(shí)驗(yàn)用戶分為一組���,Web服務(wù)器向每個用戶派發(fā)同組其余成員的電子郵件帳號;c.用戶按照指示在Outlook Express中設(shè)置自己的帳號����,將Web服務(wù)器派發(fā)的其余成員電子郵件帳號導(dǎo)入,該過程將自動清空原有的聯(lián)系人名單中的電子郵件地址����;d.Web服務(wù)器派發(fā)病毒樣本到用戶的本地端,提供Web頁面形式的實(shí)驗(yàn)指導(dǎo)幫助用戶觸發(fā)病毒樣本;e.觸發(fā)的病毒樣本生成含有帶毒文檔的電子郵件�����,Outlook Express郵件聯(lián)系人名單所有帳號發(fā)送這封郵件�����;f.郵件服務(wù)器檢查郵件地址的合法性���,轉(zhuǎn)發(fā)合法的郵件��;g.接受郵件的主機(jī)向發(fā)送方自動回復(fù)�����,通知接受病毒郵件的信息���;h.待用戶完成實(shí)驗(yàn)過程,Web服務(wù)器向用戶提供病毒專殺工具���,刪除病毒模版�,恢復(fù)注冊表���,并引導(dǎo)用戶清空Outlook Express的郵件聯(lián)系人名單���。
全文摘要
一種信息安全技術(shù)領(lǐng)域的支持大規(guī)模多用戶并發(fā)控制的計(jì)算機(jī)病毒實(shí)驗(yàn)方法,包括三個方面(1)用戶管理用戶登錄時(shí)�����,通過對用戶ID和密碼的校驗(yàn)辨認(rèn)用戶的身份�;限制一次登入的用戶總?cè)藬?shù);對管理員級和普通級兩種用戶賦予不同級別的權(quán)限�;搭建滿足病毒觸發(fā)機(jī)制的誘發(fā)環(huán)境。(2)病毒感染與清除的可視化與可操作化結(jié)合特征信息捕捉���,文件內(nèi)存形式映射���,注冊表監(jiān)控捕獲病毒感染和病毒清除過程中的動態(tài)。(3)病毒傳播可控化在局域網(wǎng)的范圍內(nèi)模擬出病毒傳播的Internet環(huán)境�����,規(guī)劃病毒的傳播路徑保障控制病毒擴(kuò)散的范圍�����。本發(fā)明具有大規(guī)模性、集中式管理���、可視化�、可操作性和可控性的特點(diǎn)����。
文檔編號H04L29/00GK1760883SQ20051011019
公開日2006年4月19日 申請日期2005年11月10日 優(yōu)先權(quán)日2005年11月10日
發(fā)明者楊樹堂, 陳健寧, 陸松年, 張寧, 郝黎明 申請人:上海交通大學(xué)