專利名稱:網(wǎng)絡(luò)病毒防護(hù)方法及系統(tǒng)的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及一種網(wǎng)絡(luò)病毒偵測(cè)及阻斷技術(shù)���,更詳細(xì)而言,涉及一種涉及防止受到例如是僵尸網(wǎng)絡(luò)病毒(Botnet)或病毒攻擊對(duì)象具有針對(duì)性的目標(biāo)式攻擊病毒感染的客戶端進(jìn)行病毒的擴(kuò)散或受病毒控制的網(wǎng)絡(luò)病毒防護(hù)方法及系統(tǒng)�。
背景技術(shù):
Botnet俗稱僵尸網(wǎng)絡(luò)(zombie network),于此僵尸網(wǎng)絡(luò)下的病毒通常會(huì)隨著 email�、實(shí)時(shí)通訊軟件或計(jì)算機(jī)系統(tǒng)漏洞侵入網(wǎng)絡(luò)用戶終端,再藏身于任何一個(gè)程序里�。請(qǐng)參閱圖1,僵尸網(wǎng)絡(luò)通常由三部分所組成�,包括控制端11、僵尸網(wǎng)絡(luò)成員(12a、12b�、12c)以及指令發(fā)出端13,該指令發(fā)出端13即為黑客本身����,其下達(dá)指令給僵尸網(wǎng)絡(luò)成員(12a、12b����、 12c),僵尸網(wǎng)絡(luò)成員(12a���、12b�、12c)是指被遙控的受害計(jì)算機(jī)��,該受害計(jì)算機(jī)通常不會(huì)察覺自己已遭受病毒感染�,而成為僵尸網(wǎng)絡(luò)的一份子;而控制端11則負(fù)責(zé)管理控制整個(gè)僵尸網(wǎng)絡(luò)�,并將該指令發(fā)出端13所發(fā)出的指令傳遞給僵尸網(wǎng)絡(luò)成員。目前的病毒防護(hù)解決方案主要是在用戶終端安裝防毒軟件�,但由于防毒程序的病毒特征碼是針對(duì)全球流量進(jìn)行抽樣,因此僅能提供較為一般化的病毒碼�,且大部分的病毒分析系統(tǒng)皆以特征碼為分析基礎(chǔ),并無法針對(duì)具有自我更新能力的僵尸病毒變種后的行為進(jìn)行實(shí)時(shí)地防護(hù)��,也無法針對(duì)僅在特定網(wǎng)絡(luò)區(qū)域范圍內(nèi)出現(xiàn)的目標(biāo)式攻擊病毒進(jìn)行防護(hù), 造成即便大多數(shù)用戶終端已安裝有防毒軟件���,仍無法阻止僵尸網(wǎng)絡(luò)的入侵����,對(duì)全球經(jīng)濟(jì)造成重大損失���。
發(fā)明內(nèi)容
為解決上述現(xiàn)有技術(shù)的缺點(diǎn)�����,本發(fā)明的目的在于提供一種網(wǎng)絡(luò)病毒防護(hù)系統(tǒng)及方法�����,可在偵測(cè)到客戶端的通訊網(wǎng)路中存在惡意文件或僵尸網(wǎng)絡(luò)病毒行為時(shí)��,實(shí)時(shí)地阻斷惡意流量�,避免病毒的進(jìn)一步擴(kuò)散�,以及受感染客戶端遭受黑客控制�。本發(fā)明的另一目的在于提供一種網(wǎng)絡(luò)病毒防護(hù)系統(tǒng)及方法,通過實(shí)時(shí)阻斷與惡意文件相關(guān)的網(wǎng)絡(luò)惡意站點(diǎn)以及僵尸病毒控制主機(jī)的網(wǎng)絡(luò)信道���,以克服由于僵尸病毒變種而造成病毒解除程序失效的問題�。本發(fā)明的又一目的在于提供一種網(wǎng)絡(luò)病毒防護(hù)系統(tǒng)及方法,通過部署于ISP/IDC 網(wǎng)絡(luò)�����,可完整分析特定范圍的用戶網(wǎng)絡(luò)中所特有的惡意行為與文件��,并產(chǎn)生專有的病毒解除程序�����,可較一般防毒軟件更能針對(duì)僅出現(xiàn)在特定用戶網(wǎng)絡(luò)中發(fā)生的目標(biāo)式攻擊進(jìn)行偵測(cè)及清除�����。本發(fā)明的再一目的在于提供一種網(wǎng)絡(luò)病毒防護(hù)系統(tǒng)及方法���,可強(qiáng)化一般防毒軟件所無法提供偵測(cè)未知病毒及特殊病毒的能力����,有效降低客戶端遭受病毒攻擊的風(fēng)險(xiǎn)�����。為達(dá)上述目的及其它相關(guān)的目的,本發(fā)明即提供一種網(wǎng)絡(luò)病毒防護(hù)系統(tǒng)�����,其通過網(wǎng)絡(luò)系統(tǒng)與各客戶端及防毒業(yè)者病毒分析中心相連接�,該系統(tǒng)包括用于偵測(cè)在各該客戶端取得網(wǎng)絡(luò)通訊服務(wù)過程中偵測(cè)該用戶流量是否存在可疑文件的監(jiān)測(cè)模塊;用于當(dāng)該監(jiān)測(cè)模塊監(jiān)測(cè)到取得網(wǎng)絡(luò)通訊服務(wù)過程中的客戶端流量存在有可疑文件時(shí)�,捕捉該客戶端流量中的可疑文件樣本以供分析該可疑文件樣本中是否存在網(wǎng)絡(luò)病毒以及該網(wǎng)絡(luò)病毒可能執(zhí)行的惡意行為,并生成該可疑文件樣本對(duì)應(yīng)的網(wǎng)絡(luò)病毒行為分析報(bào)告的分析模塊�;用于將該監(jiān)測(cè)模塊所捕捉到的可疑文件樣本以及該分析模塊所生成的該可疑文件樣本對(duì)應(yīng)的網(wǎng)絡(luò)病毒行為分析報(bào)告?zhèn)魉椭猎摲蓝緲I(yè)者病毒分析中心,從而供其據(jù)以制作出相適應(yīng)的病毒解除程序的傳輸模塊��;防御模塊���,依據(jù)該監(jiān)測(cè)模塊所捕捉到的可疑文件樣本以及該分析模塊所生成的該可疑文件樣本對(duì)應(yīng)的網(wǎng)絡(luò)病毒行為分析報(bào)告�,將分析結(jié)果匯入防御模塊以針對(duì)受該可疑文件樣本感染的客戶端提供網(wǎng)絡(luò)端網(wǎng)絡(luò)防護(hù)服務(wù)��,避免受感染客戶端在病毒解毒程序未查殺病毒前進(jìn)行變種或遭受病毒控制主機(jī)控制�;以及病毒查殺模塊,其用于接收該防毒業(yè)者病毒分析中心制作并回傳的病毒解除程序���,據(jù)以針對(duì)受感染的客戶端執(zhí)行相應(yīng)的病毒查殺作業(yè)���。于本發(fā)明的一實(shí)施方式中,該監(jiān)測(cè)模塊通過監(jiān)控各該客戶端的網(wǎng)絡(luò)流量�����,以作為在各該客戶端取得網(wǎng)絡(luò)通訊服務(wù)過程中偵測(cè)該客戶端本端是否下載可疑文件的依據(jù)���。該分析模塊將所捕捉到的可疑文件樣本移至沙箱(sandbox)����,從而于該沙箱中開啟該可疑文件樣本�,從而分析該可疑文件樣本中是否存在可執(zhí)行程序,并針對(duì)該可執(zhí)行程序或攻擊程序代碼進(jìn)行安全性分析���,從而將有危害的可疑文件樣本確定為惡意文件�,并記錄該惡意文件中所存在的網(wǎng)絡(luò)病毒及其病毒行為模式���,且監(jiān)控該惡意文件是否有網(wǎng)絡(luò)訪問請(qǐng)求����,并記錄該惡意文件的網(wǎng)絡(luò)訪問路徑�,據(jù)以確定與該惡意文件相關(guān)的網(wǎng)絡(luò)惡意站點(diǎn)以及病毒控制主機(jī)的地址信息。該防御模塊將該分析模塊分析得出該惡意文件中所存在的網(wǎng)絡(luò)病毒及其病毒行為模式��,與該惡意文件相關(guān)的網(wǎng)絡(luò)惡意站點(diǎn)以及病毒控制主機(jī)的地址信息數(shù)據(jù)導(dǎo)入至防御模塊的病毒數(shù)據(jù)庫中,針對(duì)用戶流量進(jìn)行防護(hù)�����,避免用戶計(jì)算機(jī)與惡意站點(diǎn)以及病毒控制主機(jī)聯(lián)系����,使得病毒變種或遭受黑客控制。此外��,本發(fā)明還提供一種網(wǎng)絡(luò)病毒防護(hù)方法�����,是由一網(wǎng)絡(luò)病毒防護(hù)系統(tǒng)通過網(wǎng)絡(luò)系統(tǒng)與客戶端及防毒業(yè)者病毒分析中心相連接��,以令該網(wǎng)絡(luò)病毒防護(hù)系統(tǒng)對(duì)客戶端進(jìn)行病毒防護(hù)處理���,其包括以下處理步驟1)該網(wǎng)絡(luò)病毒防護(hù)系統(tǒng)偵測(cè)在取得網(wǎng)絡(luò)通訊服務(wù)過程的客戶端流量中是否存在可疑文件�;2)該網(wǎng)絡(luò)病毒防護(hù)系統(tǒng)捕捉客戶端流量中的可疑文件樣本以供分析該可疑文件樣本中是否存在網(wǎng)絡(luò)病毒以及該網(wǎng)絡(luò)病毒可能執(zhí)行的惡意行為��,并生成對(duì)應(yīng)的網(wǎng)絡(luò)病毒行為分析報(bào)告���;3)該網(wǎng)絡(luò)病毒防護(hù)系統(tǒng)依據(jù)病毒行為分析報(bào)告得針對(duì)受該可疑文件樣本感染的客戶端提供網(wǎng)絡(luò)端病毒防護(hù)服務(wù)����,由此從網(wǎng)絡(luò)端阻絕病毒網(wǎng)絡(luò)行為,避免受感染客戶端在病毒解毒程序未查殺病毒前進(jìn)行變種或遭受病毒控制主機(jī)控制���,造成更多損害,且該網(wǎng)絡(luò)病毒防護(hù)系統(tǒng)傳送所捕捉到的可疑文件樣本及其對(duì)應(yīng)的網(wǎng)絡(luò)病毒行為分析報(bào)告至防毒業(yè)者病毒分析中心��,從而供該防毒業(yè)者病毒分析中心據(jù)以制作出相適應(yīng)的病毒解除程序���;以及4)接收防毒業(yè)者病毒分析中心制作并回傳的病毒解除程序�,據(jù)以針對(duì)處于病毒防護(hù)狀態(tài)操作模式的客戶端執(zhí)行相應(yīng)的病毒查殺作業(yè)��。于本發(fā)明的一實(shí)施例中����,該方法步驟1)通過監(jiān)控各該客戶端的網(wǎng)絡(luò)流量,以作為偵測(cè)在取得網(wǎng)絡(luò)通訊服務(wù)過程的各該客戶端是否下載可疑文件的依據(jù)�。該方法步驟2)還包括以下處理步驟2_1)將所捕捉到的可疑文件樣本移至沙箱 (sandbox),并于該沙箱中開啟該可疑文件樣本�����;2-2)分析該可疑文件樣本中是否存在可執(zhí)行程序或惡意攻擊程序代碼�;2-3)針對(duì)該可疑文件樣本中所存在的可執(zhí)行程序或惡意
5攻擊程序代碼進(jìn)行安全性分析����,從而將有危害的可疑文件樣本確定為惡意文件����,并記錄該惡意文件中所存在的網(wǎng)絡(luò)病毒及其病毒行為模式;以及2-4)監(jiān)控該惡意文件是否有網(wǎng)絡(luò)訪問請(qǐng)求��,若有���,則記錄該惡意文件的網(wǎng)絡(luò)訪問路徑��,據(jù)以確定與該惡意文件相關(guān)的網(wǎng)絡(luò)惡意站點(diǎn)以及病毒控制主機(jī)的地址信息�����。此外��,于方法步驟3)中�,通過將該分析得出該惡意文件中所存在的網(wǎng)絡(luò)病毒及其病毒行為模式���,與該惡意文件相關(guān)的網(wǎng)絡(luò)惡意站點(diǎn)以及病毒控制主機(jī)的地址信息數(shù)據(jù)導(dǎo)入至該防御模塊的病毒數(shù)據(jù)庫中�����,從網(wǎng)絡(luò)端阻絕病毒網(wǎng)絡(luò)行為�,避免受感染客戶端在病毒解毒程序未查殺病毒前進(jìn)行變種或遭受病毒控制主機(jī)控制,造成更多損害�����。通過本發(fā)明的網(wǎng)絡(luò)病毒防護(hù)系統(tǒng)及方法�,可針對(duì)網(wǎng)絡(luò)中各種已知或未知的網(wǎng)絡(luò)攻擊及惡意文件進(jìn)行實(shí)時(shí)地分析及阻斷防御處理����,不但可提高病毒查殺的成功效率亦能有效降低客戶端遭受病毒攻擊的風(fēng)險(xiǎn),且本發(fā)明通過部署至ISP/IDC網(wǎng)絡(luò)中���,可針對(duì)僵尸網(wǎng)絡(luò)病毒或者是對(duì)病毒攻擊對(duì)象具有針對(duì)性的目標(biāo)式攻擊病毒進(jìn)行分析及查殺�����,因此較一般防毒軟件更具有針對(duì)性���。
圖1為現(xiàn)有僵尸網(wǎng)絡(luò)病毒的系統(tǒng)架構(gòu)示意圖;圖2為本發(fā)明的網(wǎng)絡(luò)病毒防護(hù)系統(tǒng)應(yīng)用于網(wǎng)絡(luò)環(huán)境中的一實(shí)施方式架構(gòu)示意圖����;圖3為本發(fā)明的網(wǎng)絡(luò)病毒防護(hù)系統(tǒng)的系統(tǒng)基本架構(gòu)及其應(yīng)用如圖2所示的網(wǎng)絡(luò)環(huán)境的一實(shí)施例架構(gòu)方塊圖��;圖4為本發(fā)明的網(wǎng)絡(luò)病毒防護(hù)方法的處理流程圖�����;以及圖5為詳細(xì)說明圖4所示的步驟S130分析網(wǎng)絡(luò)病毒的處理流程圖�����。主要組件符號(hào)說明11控制端12a�����、12b�、12c 僵尸網(wǎng)絡(luò)成員13指令發(fā)出端20ISP/IDC 網(wǎng)絡(luò)200網(wǎng)絡(luò)病毒防護(hù)系統(tǒng)201 數(shù)據(jù)庫210 監(jiān)測(cè)模塊211 可疑文件樣本
220 分析模塊221網(wǎng)絡(luò)病毒行為分析報(bào)告230 傳輸模塊240防御模塊250 病毒查殺模塊21客戶端22因特網(wǎng)23防毒業(yè)者病毒分析中心231 病毒解除程序
S110�����、S120�、S130、S131��、S132����、S133���、S134、S135����、S141、S142���、S151��、S152、S160 步驟
具體實(shí)施例方式以下通過特定的具體實(shí)施方式
說明本發(fā)明的技術(shù)內(nèi)容���,本領(lǐng)域技術(shù)人員可由本說明書所揭示的內(nèi)容輕易地了解本發(fā)明的其它優(yōu)點(diǎn)與功效�����。本發(fā)明亦可通過其它不同的具體實(shí)施方式
加以施行或應(yīng)用�,本說明書中的各項(xiàng)細(xì)節(jié)亦可基于不同觀點(diǎn)與應(yīng)用���,在不背離本發(fā)明的精神下進(jìn)行各種修飾與變更�����。請(qǐng)參閱圖2��,為本發(fā)明的網(wǎng)絡(luò)病毒防護(hù)系統(tǒng)應(yīng)用于網(wǎng)絡(luò)環(huán)境中的一實(shí)施方式架構(gòu)示意圖�����,該網(wǎng)絡(luò)病毒防護(hù)系統(tǒng)部署于因特網(wǎng)服務(wù)提供者(Internet Service Provider �; ISP)或網(wǎng)絡(luò)數(shù)據(jù)中心(Internet Data Center ;IDC)網(wǎng)絡(luò)20中�,以結(jié)合該ISP/IDC網(wǎng)絡(luò) 20以及防毒業(yè)者病毒分析中心23所建構(gòu)而成,其主要用于監(jiān)測(cè)分析僅于特定區(qū)域出現(xiàn)的新型網(wǎng)絡(luò)攻擊及惡意文件��。其中�,ISP/IDC網(wǎng)絡(luò)20提供網(wǎng)絡(luò)接入服務(wù)平臺(tái),以供客戶端21 經(jīng)由該ISP/IDC網(wǎng)絡(luò)20連接至因特網(wǎng)(Internet) 22�,并針對(duì)該客戶端21通訊網(wǎng)路流量進(jìn)行監(jiān)控,在當(dāng)發(fā)現(xiàn)于客戶端21取得網(wǎng)絡(luò)通訊服務(wù)過程中偵測(cè)該客戶端21本端存在有惡意文件或病毒行為時(shí)�����,實(shí)時(shí)地阻斷該通訊服務(wù)的連接,以避免受感染的客戶端21自行連接至 Internet 22中的惡意站點(diǎn)執(zhí)行病毒的更新及擴(kuò)散(在下文詳述)。此外�,該網(wǎng)絡(luò)病毒除可為上述背景技術(shù)所述的僵尸網(wǎng)絡(luò)病毒外�����,本發(fā)明的網(wǎng)絡(luò)病毒防護(hù)系統(tǒng)亦可應(yīng)用于病毒攻擊對(duì)象具有針對(duì)性的目標(biāo)式攻擊病毒上���,一般來說��,前述目標(biāo)式攻擊病毒通常會(huì)通過社交工程的手法���,通過電子郵件與實(shí)時(shí)通訊軟件攻擊某間企業(yè)或者某特定族群,例如政府單位��、軍方單位或電信單位等組織網(wǎng)絡(luò)���,由于此種目標(biāo)式攻擊病毒的攻擊事件均發(fā)生在受到攻擊的組織網(wǎng)絡(luò)內(nèi)中�����,并不會(huì)像一般病毒一樣對(duì)外部擴(kuò)散,所以一般防毒廠商的病毒分析架構(gòu)并無法搜集并分析出此類目標(biāo)式攻擊病毒下的可疑文件樣本����,然而,通過本發(fā)明的網(wǎng)絡(luò)病毒防護(hù)方法及系統(tǒng)則可直接從被防護(hù)的用戶流量中搜集且分析出此類目標(biāo)式攻擊病毒下的可疑文件樣本���,由此避免受到感染的客戶端在其病毒尚未查殺前在組織網(wǎng)絡(luò)內(nèi)持續(xù)散播病毒�,造成組織網(wǎng)絡(luò)內(nèi)部的更多損害。請(qǐng)參閱圖3�,為本發(fā)明的網(wǎng)絡(luò)病毒防護(hù)系統(tǒng)的系統(tǒng)基本架構(gòu)及其應(yīng)用如圖2所示的網(wǎng)絡(luò)環(huán)境的一實(shí)施例架構(gòu)方塊圖。如圖所示�,該架設(shè)于ISP/IDC網(wǎng)絡(luò)20上的網(wǎng)絡(luò)病毒防護(hù)系統(tǒng)200通過網(wǎng)絡(luò)系統(tǒng)與客戶端21及防毒業(yè)者病毒分析中心23相互連接通訊,其包括監(jiān)測(cè)模塊210����、分析模塊220、傳輸模塊230�����、防御模塊240���、病毒查殺模塊250以及用于儲(chǔ)存數(shù)據(jù)信息的數(shù)據(jù)庫201����。監(jiān)測(cè)模塊210用于偵測(cè)各客戶端21在取得因特網(wǎng)通訊服務(wù)的過程中該客戶端21 流量中是否存在可疑文件�����。監(jiān)測(cè)模塊210以監(jiān)控各客戶端21的網(wǎng)絡(luò)流量方式作為偵測(cè)是否下載可疑文件的依據(jù)���,前述通訊服務(wù)例如為電子郵件收發(fā)�����、網(wǎng)頁瀏覽�、實(shí)時(shí)通訊、端對(duì)端軟件(P2P)文件分享以及FTP文件傳輸?shù)?。分析模塊220用于當(dāng)監(jiān)測(cè)模塊210監(jiān)測(cè)到客戶端21在取得網(wǎng)絡(luò)通訊服務(wù)過程中該客戶端21流量中存在有可疑文件時(shí),例如在取得網(wǎng)絡(luò)通訊服務(wù)過程中客戶端發(fā)生網(wǎng)絡(luò)流量異常的情形�,捕捉客戶端21在取得網(wǎng)絡(luò)通訊服務(wù)過程中的可疑文件的可疑文件樣本 211,并暫存于數(shù)據(jù)庫201中以供判斷該可疑文件樣本211中是否存在網(wǎng)絡(luò)病毒以及該網(wǎng)絡(luò)病毒可能執(zhí)行的惡意行為���,并生成該可疑文件樣本211對(duì)應(yīng)的網(wǎng)絡(luò)病毒行為分析報(bào)告221�����。該分析模塊220先行將所捕捉的各客戶端21取得通訊服務(wù)過程中所存在的可疑文件樣本 211移至沙箱(sandbox)中��,從而于該沙箱中開啟該可疑文件樣本211����,從而分析該可疑文件樣本211中是否會(huì)對(duì)系統(tǒng)進(jìn)行攻擊而產(chǎn)生可執(zhí)行的攻擊程序����,若有,則進(jìn)一步針對(duì)該可執(zhí)行的攻擊程序的安全性進(jìn)行分析����,例如分析該程序是否會(huì)嘗試修改系統(tǒng)設(shè)定、執(zhí)行漏洞攻擊�����、竊取系統(tǒng)數(shù)據(jù)以及對(duì)外下載更多攻擊程序等等惡意程序的行為��,故可將含有危害性的可執(zhí)行程序的可疑文件樣本211確定為惡意文件�。其次,令該分析模塊220通過開啟該惡意文件來識(shí)別其相應(yīng)的病毒行為模式����,例如已經(jīng)實(shí)施的病毒行為,正在進(jìn)行的病毒行為以及將要執(zhí)行的病毒行為等�����。接著�����,再令分析模塊220分析該惡意文件是否有網(wǎng)絡(luò)訪問請(qǐng)求,若有則提取該惡意文件的網(wǎng)絡(luò)訪問路徑�����、訪問程序名稱等信息���,并針對(duì)該惡意文件的網(wǎng)絡(luò)訪問請(qǐng)求執(zhí)行監(jiān)控����,以此確定出與該惡意文件相關(guān)的網(wǎng)絡(luò)惡意站點(diǎn)以及病毒控制主機(jī)��, 前述網(wǎng)絡(luò)惡意站點(diǎn)以及病毒控制主機(jī)即為圖1所示的控制端11的地址信息��,以主動(dòng)確定網(wǎng)絡(luò)病毒控制主機(jī)的地址��,供后續(xù)可實(shí)時(shí)且有效地執(zhí)行相關(guān)防御措施��。在完成上述各步驟地分析后����,令分析模塊220記錄該惡意文件中所存在的網(wǎng)絡(luò)病毒及其病毒行為模式(如受控制及感染行為),以及與該惡意文件相關(guān)的網(wǎng)絡(luò)惡意站點(diǎn)以及病毒控制主機(jī)的地址等信息�����, 并生成前述網(wǎng)絡(luò)病毒行為分析報(bào)告221。傳輸模塊230用于將監(jiān)測(cè)模塊210所捕捉到的可疑文件樣本211以及分析模塊 220所生成的對(duì)應(yīng)的網(wǎng)絡(luò)病毒行為分析報(bào)告221傳送至防毒業(yè)者病毒分析中心23����,從而供其據(jù)以制作出相適應(yīng)的病毒解除程序231��。防御模塊240通過將分析模塊220分析得出該惡意文件中所存在的網(wǎng)絡(luò)病毒及其病毒行為模式���,與該惡意文件相關(guān)的網(wǎng)絡(luò)惡意站點(diǎn)以及僵尸病毒控制主機(jī)的地址信息數(shù)據(jù)導(dǎo)入至病毒數(shù)據(jù)庫中�,以有針對(duì)性地對(duì)僅受該惡意文件所感染的各客戶端21執(zhí)行相關(guān)病毒防護(hù)服務(wù)��,例如�����,切斷各受感染的客戶端21地網(wǎng)絡(luò)連接通路�,以避免其自行連接至惡意站點(diǎn)中執(zhí)行病毒變種,并針對(duì)網(wǎng)絡(luò)病毒行為分析報(bào)告221中所記錄的惡意站點(diǎn)及病毒控制主機(jī)的地址執(zhí)行屏蔽��,從而避免網(wǎng)絡(luò)中其它客戶端21遭受該病毒感染�����,以防止病毒于該特定網(wǎng)絡(luò)區(qū)域中進(jìn)一步擴(kuò)散���,換言之�,從網(wǎng)絡(luò)端阻絕病毒網(wǎng)絡(luò)行為,避免受感染客戶端在病毒解毒程序未查殺病毒前進(jìn)行變種或遭受病毒控制主機(jī)控制��,造成更多損害����。病毒查殺模塊250則用于接收該防毒業(yè)者病毒分析中心23制作并回傳的病毒解除程序231,據(jù)以針對(duì)各處于病毒防護(hù)狀態(tài)操作模式的客戶端21執(zhí)行相應(yīng)的病毒查殺作業(yè)����,于此,由于防御模塊240針對(duì)各受感染的客戶端21進(jìn)行了實(shí)時(shí)地防御措施���,因此可避免受感染客戶端21中存在的病毒在病毒解除程序制作過程中變種���,造成與該病毒解除程序 231不同步而無法查殺的情況發(fā)生,可有效提高其病毒查殺的成功率�,解決傳統(tǒng)防毒軟件僅通過病毒碼更新方式無法查殺變種快速病毒的問題。圖4為本發(fā)明的網(wǎng)絡(luò)病毒防護(hù)方法的處理流程圖�����,如圖所示�,首先執(zhí)行步驟S110��, 偵測(cè)各客戶端21在取得網(wǎng)絡(luò)通訊服務(wù)過程中該客戶端21本端是否存在可疑文件���,具體而言,監(jiān)控各客戶端21的網(wǎng)絡(luò)流量中�,如客戶端收發(fā)電子郵件��、瀏覽網(wǎng)頁����、實(shí)時(shí)通訊、端對(duì)端軟件(P2P)文件分享以及FTP文件傳輸?shù)鹊倪^程是否產(chǎn)生有可疑文件儲(chǔ)存于客戶端21中�����, 若是��,則進(jìn)至步驟S120 ���;若否��,則重復(fù)執(zhí)行步驟S110�����。在步驟S120中����,捕捉前述網(wǎng)絡(luò)通訊服務(wù)過程中存在的可疑文件的可疑文件樣本 211并暫存于數(shù)據(jù)庫201中,接著進(jìn)至步驟S130���。
在步驟S130中�����,分析數(shù)據(jù)庫201中的可疑文件樣本211中是否存在網(wǎng)絡(luò)病毒以及該網(wǎng)絡(luò)病毒可能執(zhí)行的病毒行為�����,并生成對(duì)應(yīng)的網(wǎng)絡(luò)病毒行為分析報(bào)告221����,接著進(jìn)至步驟 S141及步驟S142�����。在步驟S141中�����,將所捕捉到的可疑文件樣本211及其對(duì)應(yīng)的網(wǎng)絡(luò)病毒行為分析報(bào)告221傳送至防毒業(yè)者病毒分析中心23,從而供其據(jù)以制作出相適應(yīng)的病毒解除程序231��, 接著進(jìn)至步驟S151�����。在步驟S151中�,接收防毒業(yè)者病毒分析中心23制作并回傳的病毒解除程序231, 接著進(jìn)至步驟S160��。在步驟S142中����,于分析出數(shù)據(jù)庫201中的可疑文件樣本211中存在網(wǎng)絡(luò)病毒以及該網(wǎng)絡(luò)病毒可能執(zhí)行的惡意行為����,并生成對(duì)應(yīng)的網(wǎng)絡(luò)病毒行為分析報(bào)告221后,導(dǎo)入可疑文件樣本211及網(wǎng)絡(luò)病毒行為分析報(bào)告221數(shù)據(jù)至病毒防御模塊���,接著進(jìn)至步驟S152�����。在步驟S152中����,防御模塊依據(jù)網(wǎng)絡(luò)病毒行為分析報(bào)告221中記錄的該惡意文件中所存在的網(wǎng)絡(luò)病毒及其病毒行為模式數(shù)據(jù),切斷各受感染的客戶端21的網(wǎng)絡(luò)連接通路�����,以避免其自行連接至惡意站點(diǎn)中執(zhí)行病毒變種����,并針對(duì)該網(wǎng)絡(luò)病毒行為分析報(bào)告221中記錄的與該惡意文件相關(guān)的網(wǎng)絡(luò)惡意站點(diǎn)以及病毒控制主機(jī)的地址執(zhí)行屏蔽,以避免網(wǎng)絡(luò)中其它客戶端21遭受該病毒感染��,以防止病毒于該特定網(wǎng)絡(luò)區(qū)域中進(jìn)一步擴(kuò)散���,接著進(jìn)至步驟 S160���。在步驟S160中,利用防毒業(yè)者病毒分析中心23制作并回傳的病毒解除程序231�, 據(jù)以針對(duì)各處于病毒防護(hù)狀態(tài)操作模式的客戶端執(zhí)行相應(yīng)的病毒查殺作業(yè)。需說明的是�����,本發(fā)明不同于現(xiàn)有技術(shù)是通過病毒特征碼的方式來判斷可疑文件中是否存在網(wǎng)絡(luò)病毒��,而是通過開啟該可疑文件,判斷其中是否存在可執(zhí)行程序���、修改系統(tǒng)數(shù)據(jù)����、攻擊系統(tǒng)漏洞以及該可疑文件是否存在網(wǎng)絡(luò)訪問請(qǐng)求等信息來判斷其是否屬于惡意文件或行為����,因此,可強(qiáng)化一般防毒軟件所無法提供的偵測(cè)未知病毒及特殊病毒的能力�,如圖 5所示,其用以詳細(xì)說明圖4所示的步驟S130分析網(wǎng)絡(luò)病毒的處理流程圖��,而以下所述網(wǎng)絡(luò)病毒例如為僵尸網(wǎng)絡(luò)病毒(Botnet)或病毒攻擊對(duì)象具有針對(duì)性的目標(biāo)式攻擊病毒���,首先執(zhí)行步驟S131,將所捕捉的各該客戶端21的網(wǎng)絡(luò)通訊服務(wù)過程中所存在的可疑文件樣本移至沙箱(sandbox)����,并于該沙箱中開啟該可疑文件樣本,接著進(jìn)至步驟S132���。在步驟S132中��,判斷所開啟的該可疑文件樣本中是否存在可執(zhí)行程序或存在攻擊程序代碼�����,若是����,則進(jìn)至步驟S133 ;若否�����,則結(jié)束本發(fā)明網(wǎng)絡(luò)病毒防護(hù)方法執(zhí)行分析網(wǎng)絡(luò)病毒的處理步驟���,而可進(jìn)行圖4的步驟S110��。在步驟S133中����,判斷該可執(zhí)行程序或攻擊程序代碼所執(zhí)行的行為模式是否安全����, 例如觀察可疑文件樣本是否對(duì)系統(tǒng)漏洞進(jìn)行攻擊、非法存取文件系統(tǒng)以及開機(jī)扇區(qū)等,從而判斷該可執(zhí)行程序是否為惡意文件�,若是,則進(jìn)至步驟S134 �;若否,則結(jié)束本發(fā)明網(wǎng)絡(luò)病毒防護(hù)方法執(zhí)行分析網(wǎng)絡(luò)病毒的處理步驟��,而可進(jìn)行圖4的步驟S110�����。在步驟S134中�,記錄該惡意文件中所存在的網(wǎng)絡(luò)病毒及其病毒行為模式,接著進(jìn)至步驟S135����。在步驟S135中,記錄該惡意文件的網(wǎng)絡(luò)訪問路徑���、訪問程序名稱等信息����,并針對(duì)該惡意文件的網(wǎng)絡(luò)訪問請(qǐng)求執(zhí)行監(jiān)控���,以此確定出與該惡意文件相關(guān)的網(wǎng)絡(luò)惡意站點(diǎn)以及病毒控制主機(jī)的地址信息,以主動(dòng)確定病毒控制主機(jī)的位置,供后續(xù)可實(shí)時(shí)且有效地執(zhí)行相關(guān)防御措施�。接著結(jié)束本發(fā)明網(wǎng)絡(luò)病毒防護(hù)方法執(zhí)行分析網(wǎng)絡(luò)病毒的處理步驟,并可進(jìn)行圖4的步驟S141及S142�。綜上所述,本發(fā)明的網(wǎng)絡(luò)病毒防護(hù)系統(tǒng)及方法具有以下功效(1)在偵測(cè)到客戶端于取得網(wǎng)絡(luò)通訊服務(wù)過程中存在可疑文件時(shí)�,實(shí)時(shí)地進(jìn)行防御措施,從而避免未受感染的客戶端連接到惡意站點(diǎn)或網(wǎng)絡(luò)病毒控制主機(jī)導(dǎo)致受害��,或已受感染的客戶端遭受黑客控制從事惡意行為����,可防范網(wǎng)絡(luò)病毒的擴(kuò)散。(2)由于實(shí)時(shí)切斷了受感染計(jì)算機(jī)連接至惡意站點(diǎn)或病毒控制主機(jī)的通訊網(wǎng)路����, 因此可防止受感染計(jì)算機(jī)中的病毒自行執(zhí)行更新,產(chǎn)生因制作出的病毒解除程序與病毒不同步�����,而導(dǎo)致病毒查殺失效的情況����。(3)本發(fā)明可部署于ISP/IDC網(wǎng)絡(luò)中,可針對(duì)僅于特定區(qū)域出現(xiàn)的新型網(wǎng)絡(luò)攻擊及惡意文件進(jìn)行分析��,并產(chǎn)生病毒解除程序來掃除該特有的惡意程序,相比于一般防毒軟件更具有針對(duì)性�����。(4)本發(fā)明系通過監(jiān)控網(wǎng)絡(luò)流量�,并通過直接打開可疑文件針對(duì)其中的可執(zhí)行程序、修改系統(tǒng)數(shù)據(jù)�����、攻擊系統(tǒng)漏洞及其是否具有網(wǎng)絡(luò)訪問請(qǐng)求進(jìn)行分析監(jiān)控���,相比于一般防毒軟件依靠病毒特征碼進(jìn)行判斷而言��,本發(fā)明可強(qiáng)化一般防毒軟件所無法提供的偵測(cè)未知病毒及特殊病毒的能力�����,更可有效地降低客戶端遭受病毒攻擊的風(fēng)險(xiǎn)���。上述僅用以例示說明本發(fā)明的網(wǎng)絡(luò)病毒防護(hù)系統(tǒng)及方法的實(shí)施方式,非用以限定本發(fā)明的實(shí)質(zhì)技術(shù)內(nèi)容的范圍���。本發(fā)明的網(wǎng)絡(luò)病毒防護(hù)系統(tǒng)及方法其實(shí)質(zhì)技術(shù)內(nèi)容廣義地定義于本發(fā)明的權(quán)利要求書中,任何他人所完成的技術(shù)實(shí)體或方法,若與本發(fā)明的權(quán)利要求書所定義的完全相同�,或?yàn)榈刃У淖兏鶎⒈灰暈楹w在權(quán)利要求書所保護(hù)的范圍內(nèi)��。
10
權(quán)利要求
1.一種網(wǎng)絡(luò)病毒防護(hù)系統(tǒng)����,其通過網(wǎng)絡(luò)系統(tǒng)與各客戶端及防毒業(yè)者病毒分析中心相連接,其特征在于��,該系統(tǒng)包括監(jiān)測(cè)模塊��,用于在各該客戶端取得網(wǎng)絡(luò)通訊服務(wù)過程中偵測(cè)該客戶端流量中是否存在可疑文件�����;分析模塊����,用于當(dāng)該監(jiān)測(cè)模塊監(jiān)測(cè)到取得網(wǎng)絡(luò)通訊服務(wù)過程中的客戶端流量中存在有可疑文件時(shí),捕捉該客戶端流量中的可疑文件的可疑文件樣本以供分析該可疑文件樣本中是否存在網(wǎng)絡(luò)病毒以及該網(wǎng)絡(luò)病毒可能執(zhí)行的惡意行為�,并生成該可疑文件樣本對(duì)應(yīng)的網(wǎng)絡(luò)病毒行為分析報(bào)告;傳輸模塊���,用于將該監(jiān)測(cè)模塊所捕捉到的可疑文件樣本以及該分析模塊所生成的可疑文件樣本對(duì)應(yīng)的網(wǎng)絡(luò)病毒行為分析報(bào)告?zhèn)魉椭猎摲蓝緲I(yè)者病毒分析中心���,從而供該防毒業(yè)者病毒分析中心據(jù)以制作出相適應(yīng)的病毒解除程序����;防御模塊�����,依據(jù)該監(jiān)測(cè)模塊所捕捉到的可疑文件樣本以及該分析模塊所生成的該可疑文件樣本對(duì)應(yīng)的網(wǎng)絡(luò)病毒行為分析報(bào)告����,通過該網(wǎng)絡(luò)系統(tǒng)針對(duì)受該可疑文件樣本感染的客戶端提供網(wǎng)絡(luò)端病毒防護(hù)服務(wù),從而令受感染的該客戶端執(zhí)行病毒防護(hù)狀態(tài)操作模式�����;以及病毒查殺模塊���,用于接收該防毒業(yè)者病毒分析中心制作并回傳的病毒解除程序��,據(jù)以針對(duì)處于病毒防護(hù)狀態(tài)操作模式的客戶端執(zhí)行相應(yīng)的病毒查殺作業(yè)���。
2.根據(jù)權(quán)利要求1所述的網(wǎng)絡(luò)病毒防護(hù)系統(tǒng),其特征在于�,該網(wǎng)絡(luò)病毒為僵尸網(wǎng)絡(luò)病毒或病毒攻擊對(duì)象具有針對(duì)性的目標(biāo)式攻擊病毒���。
3.根據(jù)權(quán)利要求1所述的網(wǎng)絡(luò)病毒防護(hù)系統(tǒng)���,其特征在于����,該網(wǎng)絡(luò)病毒防護(hù)系統(tǒng)架設(shè)于ISP或IDC網(wǎng)絡(luò)中��。
4.根據(jù)權(quán)利要求1所述的網(wǎng)絡(luò)病毒防護(hù)系統(tǒng)���,其特征在于���,該分析模塊將所捕捉到的可疑文件樣本移至沙箱,從而于該沙箱中開啟該可疑文件樣本�����,從而分析該可疑文件樣本中是否存在可執(zhí)行程序或攻擊程序代碼�����,并進(jìn)行安全性分析���,從而將有危害的可疑文件樣本確定為惡意文件�����,并記錄該惡意文件中所存在的網(wǎng)絡(luò)病毒及其病毒行為模式��,且監(jiān)控該惡意文件是否有網(wǎng)絡(luò)訪問請(qǐng)求��,并記錄該惡意文件的網(wǎng)絡(luò)訪問路徑�����,據(jù)以確定與該惡意文件相關(guān)的網(wǎng)絡(luò)惡意站點(diǎn)以及病毒控制主機(jī)的地址信息�。
5.根據(jù)權(quán)利要求4所述的網(wǎng)絡(luò)病毒防護(hù)系統(tǒng),其特征在于����,該防御模塊將該分析模塊分析得出該惡意文件中所存在的網(wǎng)絡(luò)病毒及其病毒行為模式,與該惡意文件相關(guān)的網(wǎng)絡(luò)惡意站點(diǎn)以及病毒控制主機(jī)的地址信息數(shù)據(jù)導(dǎo)入至防御模塊的病毒數(shù)據(jù)庫中�,并由該防御模塊通過該網(wǎng)絡(luò)系統(tǒng)以針對(duì)受該惡意文件感染的客戶端提供相應(yīng)的網(wǎng)絡(luò)端病毒防護(hù)服務(wù)。
6.一種網(wǎng)絡(luò)病毒防護(hù)方法��,是由一網(wǎng)絡(luò)病毒防護(hù)系統(tǒng)通過網(wǎng)絡(luò)系統(tǒng)與客戶端及防毒業(yè)者病毒分析中心相連接��,以令該網(wǎng)絡(luò)病毒防護(hù)系統(tǒng)對(duì)客戶端進(jìn)行病毒防護(hù)處理����,其包括以下步驟1)該網(wǎng)絡(luò)病毒防護(hù)系統(tǒng)偵測(cè)在取得網(wǎng)絡(luò)通訊服務(wù)過程的客戶端是否存在可疑文件�����;2)該網(wǎng)絡(luò)病毒防護(hù)系統(tǒng)捕捉存在可疑文件的客戶端的可疑文件樣本以供分析該可疑文件樣本中是否存在網(wǎng)絡(luò)病毒以及該網(wǎng)絡(luò)病毒可能執(zhí)行的惡意行為���,并生成對(duì)應(yīng)的網(wǎng)絡(luò)病毒行為分析報(bào)告�;3)該網(wǎng)絡(luò)病毒防護(hù)系統(tǒng)傳送所捕捉到的可疑文件樣本及其對(duì)應(yīng)的網(wǎng)絡(luò)病毒行為分析報(bào)告至防毒業(yè)者病毒分析中心,從而供該防毒業(yè)者病毒分析中心據(jù)以制作出相適應(yīng)的病毒解除程序�,以及使該網(wǎng)絡(luò)病毒防護(hù)系統(tǒng)依據(jù)所捕捉到的可疑文件樣本及其對(duì)應(yīng)的網(wǎng)絡(luò)病毒行為分析報(bào)告得針對(duì)受該可疑文件樣本感染的客戶端提供網(wǎng)絡(luò)端病毒防護(hù)服務(wù),從而令受感染的該客戶端執(zhí)行病毒防護(hù)狀態(tài)操作模式�����;以及4)該網(wǎng)絡(luò)病毒防護(hù)系統(tǒng)接收防毒業(yè)者病毒分析中心制作并回傳的病毒解除程序�,據(jù)以針對(duì)處于病毒防護(hù)狀態(tài)操作模式的客戶端執(zhí)行相應(yīng)的病毒查殺作業(yè)。
7.根據(jù)權(quán)利要求6所述的網(wǎng)絡(luò)病毒防護(hù)方法���,其特征在于����,于該步驟1)中����,通過監(jiān)控各該客戶端的網(wǎng)絡(luò)流量�,以作為偵測(cè)在取得網(wǎng)絡(luò)通訊服務(wù)過程的各該客戶端是否下載可疑文件的依據(jù)�。
8.根據(jù)權(quán)利要求6所述的網(wǎng)絡(luò)病毒防護(hù)方法,其特征在于�����,該步驟2)還包括以下步驟2-1)將所捕捉到的可疑文件樣本移至沙箱��,并于該沙箱中開啟該可疑文件樣本���; 2-2)分析該可疑文件樣本中是否存在可執(zhí)行程序���;2-3)針對(duì)該可疑文件樣本中所存在的可執(zhí)行程序進(jìn)行安全性分析,從而將有危害的可執(zhí)行程序確定為惡意文件��,并記錄該惡意文件中所存在的網(wǎng)絡(luò)病毒及其病毒行為模式�����;以及2-4)監(jiān)控該惡意文件是否有網(wǎng)絡(luò)訪問請(qǐng)求��,若有,則記錄該惡意文件的網(wǎng)絡(luò)訪問路徑��, 據(jù)以確定與該惡意文件相關(guān)的網(wǎng)絡(luò)惡意站點(diǎn)以及病毒控制主機(jī)的地址信息��。
9.根據(jù)權(quán)利要求6所述的網(wǎng)絡(luò)病毒防護(hù)方法����,其特征在于,該網(wǎng)絡(luò)病毒為僵尸網(wǎng)絡(luò)病毒或病毒攻擊對(duì)象具有針對(duì)性的目標(biāo)式攻擊病毒���。
全文摘要
一種網(wǎng)絡(luò)病毒防護(hù)方法及系統(tǒng)����,該網(wǎng)絡(luò)病毒例如是僵尸網(wǎng)絡(luò)病毒或病毒攻擊對(duì)象具有針對(duì)性的目標(biāo)式攻擊病毒����,通過分析客戶端的網(wǎng)絡(luò)流量以于判斷該客戶端取得網(wǎng)絡(luò)通訊服務(wù)過程中偵測(cè)該客戶端流量中存在有可疑文件時(shí)����,捕捉可疑文件樣本,分析其中是否存在網(wǎng)絡(luò)病毒及其病毒行為�,生成網(wǎng)絡(luò)病毒行為分析報(bào)告,將該可疑文件樣本及分析報(bào)告?zhèn)魉徒o防毒業(yè)者以制作病毒解除程序�����,同時(shí),依據(jù)該分析報(bào)告對(duì)受感染的客戶端提供網(wǎng)絡(luò)端病毒防護(hù)服務(wù)���,收到所回傳的病毒解除程序后��,執(zhí)行病毒查殺�。本發(fā)明可在偵測(cè)到客戶端受到病毒感染時(shí)實(shí)時(shí)地采取防御措施以有效阻止病毒擴(kuò)散�,并能防范受感染客戶端自行連接至惡意站點(diǎn)進(jìn)行病毒變種,有效降低客戶端遭受病毒攻擊的風(fēng)險(xiǎn)�。
文檔編號(hào)H04L29/06GK102457495SQ201010521510
公開日2012年5月16日 申請(qǐng)日期2010年10月21日 優(yōu)先權(quán)日2010年10月21日
發(fā)明者劉威成, 吳怡芳, 游峰鵬, 鄭年華 申請(qǐng)人:中華電信股份有限公司