專利名稱:病毒監(jiān)測方法和設(shè)備的制作方法
技術(shù)領(lǐng)域:
本發(fā)明總體上涉及計算機(jī)安全領(lǐng)域����,更具體地���,涉及一種計算機(jī)病毒監(jiān)測方法和設(shè)備����。
背景技術(shù):
隨著各種計算設(shè)備的普及和網(wǎng)絡(luò)的廣泛使用,通過網(wǎng)絡(luò)來傳播計算機(jī)病毒的趨勢日益嚴(yán)重����。近年來,像蠕蟲病毒這樣的惡意病毒活動猖獗�����,在諸如局域網(wǎng)這樣的計算機(jī)網(wǎng)絡(luò)環(huán)境下�����,其傳染范圍能夠呈幾何級增長�����,迅速導(dǎo)致系統(tǒng)資源嚴(yán)重受損�����、整個網(wǎng)絡(luò)效率驟降��。例如�����,病毒在網(wǎng)絡(luò)內(nèi)傳播的一種很重要的手段就是通過共享文件的方式進(jìn)行傳播�����。例如���,局域網(wǎng)中的染毒主機(jī)會尋找網(wǎng)絡(luò)中的共享目錄�,找到可寫的目錄后����,把帶毒文件寫入該目錄中,等待用戶打開或執(zhí)行�����。然而����,對于傳統(tǒng)的網(wǎng)絡(luò)安全設(shè)備(例如,部署在網(wǎng)關(guān)處的防毒墻)來說�,它們大多采用包/文件過濾機(jī)制,因此�,只有在病毒通過傳統(tǒng)的傳輸協(xié)·議進(jìn)行傳播時才能將其發(fā)現(xiàn)并攔截,而對于不經(jīng)過該設(shè)備進(jìn)行傳播的病毒卻無能為力。尤其是在這種情況下���,由于確定不了到底是誰在傳播病毒�����,因此就無法盡可能從根源上制止病毒的擴(kuò)散���。因此,本領(lǐng)域中迫切需要一種能夠及時有效地發(fā)現(xiàn)病毒并定位病毒傳播者的技術(shù)�����。
發(fā)明內(nèi)容
根據(jù)本發(fā)明的一個實施例�����,提供了一種病毒監(jiān)測方法�,包括當(dāng)檢測到要在網(wǎng)絡(luò)中的監(jiān)測設(shè)備上寫入文件的請求時,記錄與該請求有關(guān)的信息���;獲得對所寫入的文件進(jìn)行病毒掃描的結(jié)果��;以及如果所述結(jié)果指示所述文件包含病毒�����,則利用所記錄的與所述請求有關(guān)的信息來確定所述網(wǎng)絡(luò)中發(fā)出該請求的計算設(shè)備���。根據(jù)本發(fā)明的另一個實施例�,提供了一種病毒監(jiān)測方法���,包括當(dāng)檢測到要在網(wǎng)絡(luò)中的監(jiān)測設(shè)備上寫入文件的請求時,判斷所要寫入的文件的大?�?��;如果所述大小未超出預(yù)定值���,則允許所述文件的寫入并記錄與所述請求有關(guān)的信息;獲得對所寫入的文件進(jìn)行病毒掃描的結(jié)果�����;以及如果所述結(jié)果指示所述文件包含病毒���,則利用所記錄的與所述請求有關(guān)的信息來確定所述網(wǎng)絡(luò)中發(fā)出該請求的計算設(shè)備根據(jù)本發(fā)明的再一個實施例�,提供了一種病毒監(jiān)測設(shè)備,包括用于當(dāng)檢測到要在網(wǎng)絡(luò)中的監(jiān)測設(shè)備上寫入文件的請求時����,記錄與該請求有關(guān)的信息的模塊;用于獲得對所寫入的文件進(jìn)行病毒掃描的結(jié)果的模塊�����;以及用于如果所述結(jié)果指示所述文件包含病毒��,則利用所記錄的與所述請求有關(guān)的信息來確定所述網(wǎng)絡(luò)中發(fā)出該請求的計算設(shè)備的模塊����。根據(jù)本發(fā)明的又一個實施例,提供了一種病毒監(jiān)測設(shè)備����,包括用于當(dāng)檢測到要在網(wǎng)絡(luò)中的監(jiān)測設(shè)備上寫入文件的請求時,判斷所要寫入的文件的大小的模塊����;用于如果所述大小未超出預(yù)定值,則允許所述文件的寫入并記錄與所述請求有關(guān)的信息的模塊���;用于獲得對所寫入的文件進(jìn)行病毒掃描的結(jié)果的模塊�;以及用于如果所述結(jié)果指示所述文件包含病毒,則利用所記錄的與所述請求有關(guān)的信息來確定所述網(wǎng)絡(luò)中發(fā)出該請求的計算設(shè)備的模塊���。
參照下列附圖詳細(xì)描述了本發(fā)明��。應(yīng)該理解��,這些附圖僅是示例性的���、而非限制性的�,并且附圖中相同或相似的參考標(biāo)記指示對應(yīng)的或類似的要素。圖I示出了根據(jù)本發(fā)明的一個示例性實施例的工作環(huán)境�����;圖2示出了根據(jù)本發(fā)明的一個實施例的病毒監(jiān)測方法200的流程圖����;圖3示出了根據(jù)本發(fā)明的一個實施例的病毒監(jiān)測設(shè)備300的方框圖;圖4示出了根據(jù)本發(fā)明的另一個實施例的病毒監(jiān)測設(shè)備400的方框圖����。
具體實施例方式在下面的詳細(xì)說明中,給出了大量的具體細(xì)節(jié)����,以提供對本發(fā)明實施例的透徹理解����。然而���,本領(lǐng)域技術(shù)人員應(yīng)該理解��,這些具體細(xì)節(jié)僅僅是示例性的而非限制性的�,可以在沒有這些具體細(xì)節(jié)的情況下實現(xiàn)本發(fā)明����。說明書中提及的短語“一個實施例”或“實施例”等表示結(jié)合該實施例而描述的特定特征、結(jié)構(gòu)或特性被包括在本發(fā)明的至少一個實施例中����。因此,在本說明書中各處出現(xiàn)的短語“在一個實施例中”或“根據(jù)一個實施例”等并不一定指代同一個實施例�����。本領(lǐng)域技術(shù)人員可以理解����,本文所述的實施例可以由硬件��、軟件����、固件����、中間件、微代碼或其任意組合來實現(xiàn)��。圖I示出了根據(jù)本發(fā)明的一個示例性實施例的工作環(huán)境�。如圖I所示,網(wǎng)絡(luò)101可以至少包含有���、或者耦合到一臺或多臺計算設(shè)備102^102^102^……、102n以及一臺監(jiān)測設(shè)備103�。按照本發(fā)明的一個實施例,網(wǎng)絡(luò)101例如可以是局域網(wǎng)����,然而本發(fā)明并不局限于此。所述計算設(shè)備K^1-IOZn可以包括多種基于處理器的計算設(shè)備中的任何一種或多種����,例如包括但不限于臺式計算設(shè)備�、膝上型計算設(shè)備��、手持計算設(shè)備�����、機(jī)頂盒等等��。手持計算設(shè)備可以包括但不限于智能手機(jī)�����、個人數(shù)字助理(PDA)�����、移動互聯(lián)網(wǎng)設(shè)備(MID)�����、超級移動個人計算機(jī)(UMPC)等等�。所述計算設(shè)備K^1-IOZn具有聯(lián)網(wǎng)功能,從而能夠通過各種有線的和/或無線的連接方式來通過網(wǎng)絡(luò)101在彼此之間和/或與外部網(wǎng)絡(luò)進(jìn)行通信����。所述計算設(shè)備K^1-IOZn中的每一個都具有自己的唯一標(biāo)識��,例如�,包括但不限于該計算設(shè)備在網(wǎng)絡(luò)101內(nèi)的唯一名稱���、該計算設(shè)備的網(wǎng)際協(xié)議(IP)地址等等��。所述計算設(shè)備K^1-IOZn中可以運行有各種操作系統(tǒng)中的一種或多種��,例如�,包括但不限于微軟公司出品的視窗(Windows) 操作系統(tǒng)的各種版本�����。監(jiān)測設(shè)備103用于實現(xiàn)根據(jù)本發(fā)明所述的病毒監(jiān)測功能�,如下文中所詳細(xì)說明的。根據(jù)本發(fā)明的一個實施例�,監(jiān)測設(shè)備103可以是與前述的計算設(shè)備K^1-IOZn相類似的計算設(shè)備,例如���,其也用作網(wǎng)絡(luò)101中的一臺客戶端設(shè)備。按照本發(fā)明的另一個實施例�����,監(jiān)測設(shè)備103還可以充當(dāng)一臺網(wǎng)關(guān)設(shè)備或其中的一部分,如圖I所示�����。這樣的網(wǎng)關(guān)設(shè)備實現(xiàn)了網(wǎng)絡(luò)101與位于該網(wǎng)絡(luò)101外部的網(wǎng)絡(luò)104之間的互連����,因此例如,該網(wǎng)關(guān)設(shè)備可以按照需要來控制網(wǎng)絡(luò)101中的各種設(shè)備(例如����,計算設(shè)備102^1023對外部網(wǎng)絡(luò)104的訪問。所述外部網(wǎng)絡(luò)104例如可以是互聯(lián)網(wǎng)���,然而本發(fā)明并不局限于此����。根據(jù)本發(fā)明的一個實施例���,監(jiān)測設(shè)備103中提供或部署了文件共享服務(wù)�,這可以例如通過用戶手動地進(jìn)行配置或者計算機(jī)自動地進(jìn)行配置(例如��,通過執(zhí)行特定的指令)來實現(xiàn)。典型地�,所述文件共享服務(wù)可以使用服務(wù)器消息塊(Server Message Block,SMB)/公用互聯(lián)網(wǎng)文件系統(tǒng)(Common Internet File System,CIFS)協(xié)議,然而本發(fā)明并不局限于此。在一個示例性的方案中���,所述文件共享服務(wù)具有匿名�、可寫權(quán)限�����,從而允許網(wǎng)絡(luò)101中的例如計算設(shè)備IOZ1-K^n借助該服務(wù)來在監(jiān)測設(shè)備103的指定共享目錄中寫入文件����。作為一個例子,在監(jiān)測設(shè)備103運行Linux操作系統(tǒng) 的情況下��,可以通過Samba套件(可從http://www. samba, org獲得)來在該監(jiān)測設(shè)備103上提供Windows文件共享服務(wù)�,其中,可以通過對Samba配置文件smb. conf中的內(nèi)容進(jìn)行配置來設(shè)置例如所要共享的目錄的位置��、是否允許可寫��、是否允許匿名用戶登錄等等�����。本領(lǐng)域技術(shù)人員可以很容易想到����,除了所示出的計算設(shè)備K^1-IOZn和監(jiān)測設(shè)備103之外,網(wǎng)絡(luò)101還可以包含有��、或者耦合到各種其它設(shè)備�����,在此不再對其進(jìn)行詳述�,以免不當(dāng)?shù)啬:景l(fā)明。如前所述�����,很多病毒���,尤其是蠕蟲病毒��,會通過網(wǎng)絡(luò)共享的方式進(jìn)行傳播����。因此����,在諸如局域網(wǎng)這樣的網(wǎng)絡(luò)101上的某一臺計算設(shè)備(例如���,這里是計算設(shè)備102i)向其上部署有匿名可寫的文件共享服務(wù)的監(jiān)測設(shè)備103發(fā)出請求,要求在該監(jiān)測設(shè)備103的共享目錄中寫入文件的情況下�����,考慮到計算設(shè)備102i自身可能已經(jīng)感染了蠕蟲病毒這一事實���,該計算設(shè)備102i在監(jiān)測設(shè)備103上寫入的文件也通常會包含有病毒(當(dāng)然����,這里可以理解����,諸如計算設(shè)備102這樣的設(shè)備本身并不知道監(jiān)測設(shè)備103所要實現(xiàn)的病毒監(jiān)測功能,而只當(dāng)它是網(wǎng)絡(luò)101上的一臺普通設(shè)備)���。例如�,為了實現(xiàn)病毒傳播����,已感染病毒的計算設(shè)備1023#求在監(jiān)測設(shè)備103上的一個共享目錄“/test_folder”中寫入同樣包含有病毒的文件test, exe(在實際中����,這樣的帶毒文件通常會被偽裝成很有誘惑力的名字����,以吸引用戶主動打開或執(zhí)行����,從而將其中包含的病毒激活)。借助本發(fā)明�����,監(jiān)測設(shè)備103可以及時有效地獲知該病毒的傳播者����,即計算設(shè)備102i,如下面所進(jìn)一步詳細(xì)描述的����。下面參照圖2,示出了根據(jù)本發(fā)明的一個實施例的病毒監(jiān)測方法200的流程圖�。所述方法可以由監(jiān)測設(shè)備(例如,圖I所示的監(jiān)測設(shè)備103)來執(zhí)行�����。如圖所示,該過程開始于步驟S201�,在該步驟中,當(dāng)檢測到要在網(wǎng)絡(luò)中的監(jiān)測設(shè)備上寫入文件的請求時�,記錄與該請求有關(guān)的信息。具體地�����,參考前面的例子��,監(jiān)測設(shè)備103對來自網(wǎng)絡(luò)101中的要求在該監(jiān)測設(shè)備103上寫入文件的請求進(jìn)行監(jiān)聽�����,如果檢測到計算設(shè)備1023#求在監(jiān)測設(shè)備103上的共享目錄“/test_f0lder”中寫入文件(例如����,可執(zhí)行文件test, exe),監(jiān)測設(shè)備103會對與該請求有關(guān)的信息進(jìn)行記錄�����。例如,將其以表格的形式記錄在監(jiān)測設(shè)備103的存儲器(未示出)中�,然而本發(fā)明并不限于此。這里����,與該請求有關(guān)的信息例如可以包括所要求寫入的文件的文件名(這里是“test, exe”,或者包含其完整路徑的“/test_folder/test. exe”)��、發(fā)出該請求的計算設(shè)備的唯一標(biāo)識(例如����,該計算設(shè)備在網(wǎng)絡(luò)101中的IP地址192. 168.0. I)等��。取決于不同的實現(xiàn)需求����,與該請求有關(guān)的信息還可以包括各種其它信息,例如所要求寫入的文件的大小等等��,本發(fā)明并不局限于此�。前進(jìn)到步驟S202,獲得對所寫入的文件進(jìn)行病毒掃描的結(jié)果�。對一個文件進(jìn)行病毒掃描操作,可以采用本領(lǐng)域已知的和/或?qū)戆l(fā)展出的各種可行的方式來進(jìn)行��,本發(fā)明在此并不受限制�。此外���,取決于具體實現(xiàn),病毒掃描操作可以由監(jiān)測設(shè)備103自己來直接進(jìn)行(例如�,通過其內(nèi)置的病毒掃描引擎),也可以例如通過與監(jiān)測設(shè)備103耦合的專門的病毒掃描設(shè)備(未示出)來被動地(例如�����,響應(yīng)于來自監(jiān)測設(shè)備103的要求進(jìn)行掃描的指示)或主動地或進(jìn)行��,然后再將結(jié)果反饋給監(jiān)測設(shè)備103����。而且,在時機(jī)上���,病毒掃描操作可以在一旦文件的寫入完成時就立即執(zhí)行����,也可以以預(yù)定的時間間隔來執(zhí)行�����。本發(fā)明并不限于上述某一種具體情況。繼續(xù)前面的例子����,無論哪一種情況,在文件test, exe被寫入“/test_folder”的操作完成之后�,監(jiān)測設(shè)備103可以獲得對該文件進(jìn)行查毒的結(jié)果,從而確定其是否包含有病毒���。如果前述的掃描結(jié)果指示該文件包含病毒����,即在步驟S203的判斷結(jié)果為“是”的情況���,則該過程前進(jìn)到步驟S204 ;否則,跳到步驟S205��。在步驟S204�,利用所記錄的與該請求有關(guān)的信息來確定該網(wǎng)絡(luò)中發(fā)出該請求的計算設(shè)備。繼續(xù)參考前面的例子�,如果發(fā)現(xiàn)test, exe文件中包含有病毒,則監(jiān)測設(shè)備103查找之前記錄的與對應(yīng)于該文件的寫入請求有關(guān)的信息��,找到該請求的發(fā)起者的IP地址為192. 168. O. I�,從而可以確定是由網(wǎng)絡(luò)101中的計算設(shè)備102i寫入了包含病毒的文件test, exe,由此定位了該病毒的傳播者。 然后,該過程前進(jìn)到步驟S205�����,在該步驟中�,判斷是否要結(jié)束監(jiān)測操作。如果判斷結(jié)果為“是”(例如�,接收到來自管理員的要求結(jié)束監(jiān)測的指示),則該過程結(jié)束����;否則,該過程返回到步驟S201���,繼續(xù)接收下一個來自網(wǎng)絡(luò)101的要在監(jiān)測設(shè)備103上寫入文件的請求����,并進(jìn)行相應(yīng)處理���。利用上述病毒監(jiān)測方法�����,可以及時有效地獲知該病毒的傳播者��,從而使得對該傳播者進(jìn)行高效處理以盡可能消除其不利影響成為可能�。例如,當(dāng)“熊貓燒香”等通過網(wǎng)絡(luò)共享方式傳播的病毒在局域網(wǎng)(即����,網(wǎng)絡(luò)101的一個例子)內(nèi)感染某臺主機(jī)(例如,監(jiān)測設(shè)備103)時�����,本發(fā)明可以第一時間獲知傳染源(例如�����,計算設(shè)備102^����,從而能夠?qū)υ搨魅驹催M(jìn)行有針對性的處理�����。此外��,在本發(fā)明的一個替代的實施例中���,替換前述步驟S201的是����,當(dāng)檢測到要在網(wǎng)絡(luò)中的監(jiān)測設(shè)備上寫入文件的請求時,還可以首先判斷所要寫入的單個文件的大小��。在這種情況下����,如果發(fā)現(xiàn)所要寫入的文件的大小超過某個預(yù)定值(例如,超過了病毒掃描的限制)��,則監(jiān)測設(shè)備103可以拒絕該文件的寫入操作����;反之,則可以允許在監(jiān)測設(shè)備103上寫入該文件���,并記錄與該請求有關(guān)的信息��。此外��,作為本發(fā)明的另一個一個替代的實施例�,在步驟S204和S205之間����,即在確定了發(fā)出該請求的計算設(shè)備之后����,所述方法還可以包含一個處理步驟�。例如,監(jiān)測設(shè)備103可以通知(例如�����,通過發(fā)出告警日志的形式等)網(wǎng)絡(luò)管理員對感染病毒的該計算設(shè)備102i進(jìn)行隔離�;或者,在監(jiān)測設(shè)備103本身還充當(dāng)網(wǎng)絡(luò)101的網(wǎng)關(guān)設(shè)備的情況下����,該監(jiān)測設(shè)備103還可以直接禁止感染病毒的該計算設(shè)備102i繼續(xù)訪問外部網(wǎng)絡(luò)104。以上參照圖2描述了示例性的病毒監(jiān)測方法200�����,本領(lǐng)域技術(shù)人員可以理解���,上述方法步驟僅僅是示例性的而非限制性的,取決于具體實現(xiàn)��,所述方法還可以包含更多附加的/替代的步驟。在一個或多個方案中��,這些方法步驟對應(yīng)的功能可以在硬件���、軟件�、固件或其任意組合中實現(xiàn)�����。接下來參考圖3���,示出了根據(jù)本發(fā)明的一個實施例的病毒監(jiān)測設(shè)備300的方框圖��。
所述病毒監(jiān)測設(shè)備300至少包含如下部分記錄模塊301�����,用于當(dāng)檢測到要在網(wǎng)絡(luò)中的監(jiān)測設(shè)備上寫入文件的請求時�����,記錄與該請求有關(guān)的信息�;獲得模塊302���,用于獲得對所寫入的文件進(jìn)行病毒掃描的結(jié)果�;以及確定模塊303,用于如果所述結(jié)果指示所述文件包含病毒�,則利用所記錄的與所述請求有關(guān)的信息來確定所述網(wǎng)絡(luò)中發(fā)出該請求的計算設(shè)備。參考圖4���,示出了根據(jù)本發(fā)明的另一個實施例的病毒監(jiān)測設(shè)備400的方框圖����。所述病毒監(jiān)測設(shè)備400至少包含如下部分判斷模塊401�����,用于當(dāng)檢測到要在網(wǎng)絡(luò)中的監(jiān)測設(shè)備上寫入文件的請求時�,判斷所要寫入的文件的大小��;允許模塊401a�,用于如果所述大小未超出預(yù)定值,則允許所述文件的寫入并記錄與所述請求有關(guān)的信息���;獲得模塊402����,用于獲得對所寫入的文件進(jìn)行病毒掃描的結(jié)果��;以及確定模塊403�����,用于如果所述結(jié)果指示所述文件包含病毒�,則利用所記錄的與所述請求有關(guān)的信息來確定所述網(wǎng)絡(luò)中發(fā)出該請求的計算設(shè)備。
除此之外���,所述病毒監(jiān)測設(shè)備300����、400還可以包括附加的/替代的模塊�,用以實現(xiàn)更多對應(yīng)的功能,例如�,如前面結(jié)合方法200及其替代實施例所描述的。所述病毒監(jiān)測設(shè)備300����、400例如可以對應(yīng)于圖I所示的監(jiān)測設(shè)備103,或者是其中的一個組件���。應(yīng)當(dāng)理解的是��,病毒監(jiān)測設(shè)備300�����、400被描述為包括許多模塊�����,其可以是表示由硬件�、軟件或其組合所實現(xiàn)的功能模塊。盡管前面描述并示出了本發(fā)明的一些實施例��,但是本領(lǐng)域技術(shù)人員很容易就能夠想到���,對于這些實施例的許多修改和變型也同樣是可行的�。因此��,應(yīng)該理解�,所附權(quán)利要求旨在涵蓋落入本發(fā)明的實質(zhì)和范圍之內(nèi)的所有這樣的修改和變型。
權(quán)利要求
1.一種病毒監(jiān)測方法,包括 當(dāng)檢測到要在網(wǎng)絡(luò)中的監(jiān)測設(shè)備上寫入文件的請求時����,記錄與該請求有關(guān)的信息�����; 獲得對所寫入的文件進(jìn)行病毒掃描的結(jié)果�;以及 如果所述結(jié)果指示所述文件包含病毒����,則利用所記錄的與所述請求有關(guān)的信息來確定所述網(wǎng)絡(luò)中發(fā)出該請求的計算設(shè)備����。
2.—種病毒監(jiān)測方法,包括 當(dāng)檢測到要在網(wǎng)絡(luò)中的監(jiān)測設(shè)備上寫入文件的請求時,判斷所要寫入的文件的大?�?��; 如果所述大小未超出預(yù)定值��,則允許所述文件的寫入并記錄與所述請求有關(guān)的信息��; 獲得對所寫入的文件進(jìn)行病毒掃描的結(jié)果����;以及 如果所述結(jié)果指示所述文件包含病毒�,則利用所記錄的與所述請求有關(guān)的信息來確定所述網(wǎng)絡(luò)中發(fā)出該請求的計算設(shè)備。
3.如權(quán)利要求2所述的方法,還包括 如果所述大小超出所述預(yù)定值���,則拒絕所述文件的寫入���。
4.如權(quán)利要求I或2所述的方法,其中����, 所述網(wǎng)絡(luò)是局域網(wǎng)。
5.如權(quán)利要求I或2所述的方法��,其中����, 與所述請求有關(guān)的信息包括發(fā)出該請求的計算設(shè)備的唯一標(biāo)識。
6.如權(quán)利要求5所述的方法�,其中, 所述唯一標(biāo)識是是所述設(shè)備的網(wǎng)際協(xié)議地址�。
7.如權(quán)利要求I或2所述的方法,還包括 一旦確定發(fā)出所述請求的計算設(shè)備��,則發(fā)出通知以指示應(yīng)對該計算設(shè)備進(jìn)行隔離�����。
8.如權(quán)利要求7所述的方法,其中��, 所述通知包括告警日志�����。
9.如權(quán)利要求I或2所述的方法�,其中, 所述監(jiān)測設(shè)備是所述網(wǎng)絡(luò)的網(wǎng)關(guān)���。
10.如權(quán)利要求9所述的方法,還包括 一旦確定發(fā)出所述請求的計算設(shè)備�,則禁止該計算設(shè)備訪問位于所述網(wǎng)絡(luò)外部的網(wǎng)絡(luò)。
11.一種病毒監(jiān)測設(shè)備,包括 用于當(dāng)檢測到要在網(wǎng)絡(luò)中的監(jiān)測設(shè)備上寫入文件的請求時��,記錄與該請求有關(guān)的信息的模塊���; 用于獲得對所寫入的文件進(jìn)行病毒掃描的結(jié)果的模塊�;以及 用于如果所述結(jié)果指示所述文件包含病毒�,則利用所記錄的與所述請求有關(guān)的信息來確定所述網(wǎng)絡(luò)中發(fā)出該請求的計算設(shè)備的模塊。
12.—種病毒監(jiān)測設(shè)備,包括 用于當(dāng)檢測到要在網(wǎng)絡(luò)中的監(jiān)測設(shè)備上寫入文件的請求時����,判斷所要寫入的文件的大小的模塊�����; 用于如果所述大小未超出預(yù)定值��,則允許所述文件的寫入并記錄與所述請求有關(guān)的信息的模塊�����;用于獲得對所寫入的文件進(jìn)行病毒掃描的結(jié)果的模塊����;以及 用于如果所述結(jié)果指示所述文件包含病毒����,則利用所記錄的與所述請求有關(guān)的信息來確定所述網(wǎng)絡(luò)中發(fā)出該請求的計算設(shè)備的模塊。
13.如權(quán)利要求12所述的設(shè)備�,還包括 用于如果所述大小超出所述預(yù)定值,則拒絕所述文件的寫入的模塊�。
14.如權(quán)利要求11或12所述的設(shè)備,其中��, 所述網(wǎng)絡(luò)是局域網(wǎng)�。
15.如權(quán)利要求11或12所述的設(shè)備,其中�, 與所述請求有關(guān)的信息包括發(fā)出該請求的計算設(shè)備的唯一標(biāo)識�����。
16.如權(quán)利要求15所述的設(shè)備���,其中, 所述唯一標(biāo)識是是所述設(shè)備的網(wǎng)際協(xié)議地址����。
17.如權(quán)利要求11或12所述的設(shè)備,還包括 用于一旦確定發(fā)出所述請求的計算設(shè)備��,則發(fā)出通知以指示應(yīng)對該計算設(shè)備進(jìn)行隔離的模塊�。
18.如權(quán)利要求17所述的設(shè)備�����,其中�, 所述通知包括告警日志。
19.如權(quán)利要求11或12所述的設(shè)備��,其中�����, 所述監(jiān)測設(shè)備是所述網(wǎng)絡(luò)的網(wǎng)關(guān)。
20.如權(quán)利要求19所述的設(shè)備���,還包括 用于一旦確定發(fā)出所述請求的計算設(shè)備�����,則禁止該計算設(shè)備訪問位于所述網(wǎng)絡(luò)外部的網(wǎng)絡(luò)的模塊�����。
全文摘要
本發(fā)明公開了一種病毒監(jiān)測方法和設(shè)備���。在所述病毒監(jiān)測方法中,當(dāng)檢測到要在網(wǎng)絡(luò)中的監(jiān)測設(shè)備上寫入文件的請求時�,記錄與該請求有關(guān)的信息,獲得對所寫入的文件進(jìn)行病毒掃描的結(jié)果�,并且如果所述結(jié)果指示所述文件包含病毒,則利用所記錄的與所述請求有關(guān)的信息來確定所述網(wǎng)絡(luò)中發(fā)出該請求的計算設(shè)備��。
文檔編號H04L29/06GK102761535SQ20111011972
公開日2012年10月31日 申請日期2011年4月29日 優(yōu)先權(quán)日2011年4月29日
發(fā)明者馮景輝 申請人:北京瑞星信息技術(shù)有限公司