專(zhuān)利名稱(chēng):一種蠕蟲(chóng)檢測(cè)方法及裝置的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及網(wǎng)絡(luò)安全技術(shù)領(lǐng)域���,尤其涉及一種蠕蟲(chóng)檢測(cè)方法及裝置����。
背景技術(shù):
互聯(lián)網(wǎng)的應(yīng)用給人們的日常生活和工作帶來(lái)了極大的方便�����,但隨著網(wǎng)絡(luò)規(guī)模的不斷擴(kuò)大,網(wǎng)絡(luò)復(fù)雜度的不斷增加��,網(wǎng)絡(luò)所產(chǎn)生的漏洞也越來(lái)越多�����,互聯(lián)網(wǎng)中的安全問(wèn)題及其帶來(lái)的損失也越來(lái)越大�。在互聯(lián)網(wǎng)安全問(wèn)題造成的損失中,計(jì)算機(jī)惡意軟件造成的損失占用最大的比重���。計(jì)算機(jī)惡意軟件主要包括計(jì)算機(jī)病毒��、蠕蟲(chóng)�����、木馬��、后門(mén)���、邏輯炸彈等。其中���,計(jì)算機(jī)病毒是一段能夠使自己添加到其他可執(zhí)行程序上的代碼���,其本身不 能獨(dú)立運(yùn)行,而需要由其宿主程序來(lái)激活它運(yùn)行��。蠕蟲(chóng)則是一種無(wú)需用戶(hù)干預(yù)能夠獨(dú)立運(yùn)行的程序����,其通過(guò)不停的獲取網(wǎng)絡(luò)中存在漏洞的終端上的部分或者全部控制權(quán)限來(lái)進(jìn)行傳播,蠕蟲(chóng)的攻擊流程具體如圖I所示���。圖I為現(xiàn)有技術(shù)中蠕蟲(chóng)攻擊的過(guò)程���,具體包括以下步驟SlOl :感染了蠕蟲(chóng)的終端探測(cè)網(wǎng)絡(luò)中的攻擊目標(biāo)。S102 :對(duì)探測(cè)到的攻擊目標(biāo)進(jìn)行攻擊�,獲取攻擊目標(biāo)的權(quán)限。S103 :蠕蟲(chóng)將自身復(fù)制到攻擊目標(biāo)中�����,并返回步驟SlOl���。由于蠕蟲(chóng)具有自我復(fù)制功能��,因此被感染的終端又會(huì)重復(fù)上述步驟SlOf S103����,以繼續(xù)傳播蠕蟲(chóng)?�?梢?jiàn)���,與一般的計(jì)算機(jī)病毒相比�����,蠕蟲(chóng)的傳播速度更快�,影響的范圍更廣�。據(jù)計(jì)算機(jī)緊急響應(yīng)小組(CERT)的統(tǒng)計(jì),僅在2011年10月16 22日這一周的時(shí)間�����,境內(nèi)感染飛客(Conficker)螺蟲(chóng)的終端就高達(dá)160. 2萬(wàn)臺(tái)�����,一周之內(nèi)被篡改的網(wǎng)站高達(dá)508個(gè)����。因此,如何對(duì)網(wǎng)絡(luò)中的蠕蟲(chóng)進(jìn)行有效的檢測(cè)和防御成為一個(gè)亟待解決的問(wèn)題��。在現(xiàn)有技術(shù)中,對(duì)蠕蟲(chóng)進(jìn)行檢測(cè)的一種方法為基于蜜罐(Honeypot)技術(shù)對(duì)蠕蟲(chóng)進(jìn)行檢測(cè)��。具體為將Honeypot命名為與終端的某個(gè)系統(tǒng)文件相似的名稱(chēng)�����,并通過(guò)Honeypot提供有漏洞的服務(wù)�����,以誘騙網(wǎng)絡(luò)中的螺蟲(chóng)對(duì)Honeypot進(jìn)行攻擊�,當(dāng)Honeypot檢測(cè)到蠕蟲(chóng)的攻擊時(shí),提取蠕蟲(chóng)的特征并添加到特征庫(kù)中�����,用以后續(xù)對(duì)具有該特征的數(shù)據(jù)包進(jìn)行防御��。另一種蠕蟲(chóng)檢測(cè)方法為基于內(nèi)容的檢測(cè)方法�����。具體的,將接收到的數(shù)據(jù)包分為正常數(shù)據(jù)包和可疑數(shù)據(jù)包��,將可疑數(shù)據(jù)包進(jìn)行會(huì)話(huà)重組�����,按照一定規(guī)則將重組后的會(huì)話(huà)中的數(shù)據(jù)劃分為若干個(gè)字符串��,統(tǒng)計(jì)各個(gè)字符串出現(xiàn)的頻率���,將頻率大于設(shè)定閾值的字符串作為蠕蟲(chóng)的特征添加到特征庫(kù)中�,用以后續(xù)對(duì)具有該特征的數(shù)據(jù)包進(jìn)行防御��。在通過(guò)基于內(nèi)容的檢測(cè)方法進(jìn)行蠕蟲(chóng)檢測(cè)時(shí)��,也可以不對(duì)接收到的數(shù)據(jù)包區(qū)分正常數(shù)據(jù)包和可疑數(shù)據(jù)包��,而是將每個(gè)數(shù)據(jù)包中的數(shù)據(jù)都進(jìn)行字符串的劃分�����,并統(tǒng)計(jì)各個(gè)字符串出現(xiàn)的頻率���,根據(jù)統(tǒng)計(jì)的頻率進(jìn)后續(xù)步驟����。可見(jiàn)�,現(xiàn)有技術(shù)中的蠕蟲(chóng)檢測(cè)方法都是終端根據(jù)接收到的數(shù)據(jù)包檢測(cè)自身是否受到了蠕蟲(chóng)的攻擊的被動(dòng)檢測(cè)方法,即使檢測(cè)出自身受到了攻擊而進(jìn)行防御���,最多也只能保護(hù)該終端自身不被蠕蟲(chóng)感染,無(wú)法保證網(wǎng)絡(luò)中的其他設(shè)備不被蠕蟲(chóng)感染���,從而無(wú)法有效的抑制蠕蟲(chóng)的傳播
發(fā)明內(nèi)容
本發(fā)明實(shí)施例提供一種蠕蟲(chóng)檢測(cè)方法及裝置�,用以解決現(xiàn)有技術(shù)中無(wú)法有效的抑制蠕蟲(chóng)的傳播的問(wèn)題���。本發(fā)明實(shí)施例提供的一種蠕蟲(chóng)檢測(cè)方法���,包括終端確定待發(fā)送的數(shù)據(jù)包的目的地址,將所述待發(fā)送的數(shù)據(jù)包添加到所述目的地址對(duì)應(yīng)的等待隊(duì)列中�;并檢測(cè)在設(shè)定周期內(nèi)添加到所述等待隊(duì)列中的數(shù)據(jù)包的數(shù)量是否超過(guò)設(shè)定數(shù)量;以及若是�,則確定自身感染了蠕蟲(chóng),斷開(kāi)與所述目的地址對(duì)應(yīng)的設(shè)備的連接���。本發(fā)明實(shí)施例提供的一種蠕蟲(chóng)檢測(cè)裝置�����,包括攔截模塊����,用于確定待發(fā)送的數(shù)據(jù)包的目的地址,將所述待發(fā)送的數(shù)據(jù)包添加到所述目的地址對(duì)應(yīng)的等待隊(duì)列中���;檢測(cè)模塊��,用于檢測(cè)在設(shè)定周期內(nèi)添加到所述等待隊(duì)列中的數(shù)據(jù)包的數(shù)量是否超過(guò)設(shè)定數(shù)量�����;控制模塊����,用于當(dāng)所述檢測(cè)模塊檢測(cè)到在設(shè)定周期內(nèi)添加到所述等待隊(duì)列中的數(shù)據(jù)包的數(shù)量超過(guò)設(shè)定數(shù)量時(shí)����,確定感染了蠕蟲(chóng),斷開(kāi)與所述目的地址對(duì)應(yīng)的設(shè)備的連接����。本發(fā)明實(shí)施例提供一種蠕蟲(chóng)檢測(cè)方法及裝置�,該方法終端將待發(fā)送的數(shù)據(jù)包添加到該待發(fā)送的數(shù)據(jù)包的目的地址對(duì)應(yīng)的等待隊(duì)列中��,檢測(cè)在設(shè)定周期內(nèi)添加到等待隊(duì)列中的數(shù)據(jù)包的數(shù)量是否超過(guò)設(shè)定數(shù)量��,若是��,則確定自身感染了蠕蟲(chóng)�,斷開(kāi)與該目的地址對(duì)應(yīng)的設(shè)備的連接。通過(guò)上述方法�����,終端可以主動(dòng)的檢測(cè)出自身是否正在對(duì)網(wǎng)絡(luò)中的其他設(shè)備進(jìn)行攻擊�����,當(dāng)檢測(cè)出自身正在攻擊網(wǎng)絡(luò)中的其他設(shè)備時(shí)����,斷開(kāi)自身與其他設(shè)備的連接�,實(shí)現(xiàn)自我隔離,從而可以有效的抑制蠕蟲(chóng)的傳播��。
圖I為現(xiàn)有技術(shù)中蠕蟲(chóng)攻擊的過(guò)程���;圖2為本發(fā)明實(shí)施例提供的蠕蟲(chóng)檢測(cè)過(guò)程�����;圖3為本發(fā)明實(shí)施例提供的另一種蠕蟲(chóng)檢測(cè)過(guò)程���;圖4為本發(fā)明實(shí)施例提供的蠕蟲(chóng)檢測(cè)裝置結(jié)構(gòu)示意圖�����。
具體實(shí)施例方式由于蠕蟲(chóng)是通過(guò)不停的獲取網(wǎng)絡(luò)中存在漏洞的終端上的部分或者全部控制權(quán)限來(lái)進(jìn)行傳播的�,因此蠕蟲(chóng)在開(kāi)始傳播時(shí)必然是由網(wǎng)絡(luò)中的某一臺(tái)或某幾臺(tái)終端開(kāi)始向其他設(shè)備傳播�。本發(fā)明實(shí)施例為了有效的抑制蠕蟲(chóng)的傳播,摒棄了現(xiàn)有技術(shù)中被動(dòng)檢測(cè)終端自身是否受到了蠕蟲(chóng)攻擊的方法��,而是主動(dòng)的檢測(cè)終端自身是否正在攻擊網(wǎng)絡(luò)中的其他設(shè)備����,若檢測(cè)到正在攻擊其他設(shè)備,則該終端斷開(kāi)自身與其他設(shè)備的連接���,實(shí)現(xiàn)自我隔離�,以保證該終端自身感染的蠕蟲(chóng)不能再通過(guò)網(wǎng)絡(luò)攻擊其他設(shè)備,從而抑制蠕蟲(chóng)在網(wǎng)絡(luò)中的傳播�。下面結(jié)合說(shuō)明書(shū)附圖,對(duì)本發(fā)明實(shí)施例進(jìn)行詳細(xì)描述��。圖2為本發(fā)明實(shí)施例提供的蠕蟲(chóng)檢測(cè)過(guò)程�����,具體包括以下步驟S201 :終端確定待發(fā)送的數(shù)據(jù)包的目的地址���,將該待發(fā)送的數(shù)據(jù)包添加到該目的地址對(duì)應(yīng)的等待隊(duì)列中�����。在本發(fā)明實(shí)施例中�����,終端通過(guò)網(wǎng)絡(luò)與其他設(shè)備連接,終端針對(duì)與自身連接的其他設(shè)備����,建立與該其他設(shè)備的地址對(duì)應(yīng)的等待隊(duì)列。當(dāng)終端要向該其他設(shè)備發(fā)送數(shù)據(jù)包時(shí)�,待發(fā)送的數(shù)據(jù)包的目的地址即為該其他設(shè)備的地址,因此終端先將該待發(fā)送的數(shù)據(jù)包添加到該目的地址對(duì)應(yīng)的等待隊(duì)列中���,也即先將該待發(fā)送的數(shù)據(jù)包添加到建立的該其他設(shè)備對(duì)應(yīng)的等待隊(duì)列中�。 S202:檢測(cè)在設(shè)定周期內(nèi)添加到該等待隊(duì)列中的數(shù)據(jù)包的數(shù)量是否超過(guò)設(shè)定數(shù)量,若是�,執(zhí)行步驟S204,否則執(zhí)行步驟S203�����。由于螺蟲(chóng)在進(jìn)行攻擊行為時(shí),一般會(huì)在短時(shí)間內(nèi)向攻擊目標(biāo)發(fā)送大量的螺蟲(chóng)攻擊數(shù)據(jù)包�����,用于以?huà)呙栊问綄?duì)攻擊目標(biāo)進(jìn)行探測(cè)�,因此,在本發(fā)明實(shí)施例中��,終端可以從與該目的地址對(duì)應(yīng)的設(shè)備建立連接開(kāi)始��,在每個(gè)設(shè)定周期的結(jié)束時(shí)刻�����,檢測(cè)該設(shè)定周期內(nèi)添加到該等待隊(duì)列中的數(shù)據(jù)包的數(shù)量是否超過(guò)設(shè)定數(shù)量�����,若是,則說(shuō)明該終端感染了蠕蟲(chóng)����,并且該終端感染的蠕蟲(chóng)正在對(duì)該目的地址對(duì)應(yīng)的設(shè)備進(jìn)行攻擊。其中�,該設(shè)定周期和設(shè)定數(shù)量可以根據(jù)需要進(jìn)行設(shè)定。例如��,該設(shè)定周期可以設(shè)定為I秒�����,將終端與該目的地址對(duì)應(yīng)的設(shè)備建立連接的時(shí)刻作為第0秒�����,則在第I秒到來(lái)時(shí)����,終端檢測(cè)從第0秒到第I秒這I秒的周期內(nèi)添加到該等待隊(duì)列中的數(shù)據(jù)包的數(shù)量是否超過(guò)設(shè)定數(shù)量�,在第2秒到來(lái)時(shí),檢測(cè)從第I秒到第2秒這I秒的周期內(nèi)添加到該等待隊(duì)列中的數(shù)據(jù)包的數(shù)量是否超過(guò)設(shè)定數(shù)量��。S203:檢測(cè)在該設(shè)定周期內(nèi)添加到該等待隊(duì)列的數(shù)據(jù)包中是否存在蠕蟲(chóng)攻擊數(shù)據(jù)包,若存在�����,執(zhí)行步驟S204��,否則執(zhí)行步驟S205���。如果在步驟S202中未檢測(cè)到在該設(shè)定周期內(nèi)添加到該等待隊(duì)列中的數(shù)據(jù)包的數(shù)量超過(guò)設(shè)定數(shù)量����,則終端可能并未感染蠕蟲(chóng)����,此時(shí)可以將在該設(shè)定周期內(nèi)添加到該等待隊(duì)列中的數(shù)據(jù)包直接發(fā)送出去。但是��,考慮到在實(shí)際應(yīng)用中�,感染了蠕蟲(chóng)的終端在對(duì)其他設(shè)備進(jìn)行攻擊時(shí),也可能并不是在短時(shí)間內(nèi)向攻擊目標(biāo)發(fā)送大量的以?huà)呙栊问竭M(jìn)行探測(cè)的蠕蟲(chóng)攻擊數(shù)據(jù)包����,而是只發(fā)送少量的蠕蟲(chóng)攻擊數(shù)據(jù)包,如果直接將在該設(shè)定周期內(nèi)添加到該等待隊(duì)列中的數(shù)據(jù)包發(fā)送出去���,勢(shì)必會(huì)導(dǎo)致數(shù)據(jù)包的接收方����,也即該目的地址對(duì)應(yīng)的設(shè)備受到蠕蟲(chóng)的攻擊,進(jìn)而感染蠕蟲(chóng)���。因此����,為了進(jìn)一步提高蠕蟲(chóng)檢測(cè)的準(zhǔn)確性�,在本發(fā)明實(shí)施例中,當(dāng)在步驟S202中未檢測(cè)到在該設(shè)定周期內(nèi)添加到該等待隊(duì)列中的數(shù)據(jù)包的數(shù)量超過(guò)設(shè)定數(shù)量時(shí)�����,終端還要檢測(cè)在該設(shè)定周期內(nèi)添加到該等待隊(duì)列的數(shù)據(jù)包中是否存在蠕蟲(chóng)攻擊數(shù)據(jù)包��。其中���,終端可以按照設(shè)定的時(shí)間間隔檢測(cè)在該設(shè)定周期內(nèi)添加到該等待隊(duì)列的數(shù)據(jù)包中是否存在蠕蟲(chóng)攻擊數(shù)據(jù)包���,如果檢測(cè)到存在蠕蟲(chóng)攻擊數(shù)據(jù)包,則確定自身感染了蠕蟲(chóng)���。S204 :確定自身感染了蠕蟲(chóng)�����,斷開(kāi)與該目的地址對(duì)應(yīng)的設(shè)備的連接���。
當(dāng)終端檢測(cè)到在該設(shè)定周期內(nèi)添加到該等待隊(duì)列中的數(shù)據(jù)包的數(shù)量超過(guò)設(shè)定數(shù)量時(shí),或者����,當(dāng)終端未檢測(cè)到在該設(shè)定周期內(nèi)添加到該等待隊(duì)列中的數(shù)據(jù)包的數(shù)量超過(guò)設(shè)定數(shù)量,但檢測(cè)到在該設(shè)定周期內(nèi)添加到該等待隊(duì)列的數(shù)據(jù)包中存在蠕蟲(chóng)攻擊數(shù)據(jù)包時(shí)�����,確定自身感染了蠕蟲(chóng)�����,并且自身也正在對(duì)該目的地址對(duì)應(yīng)的設(shè)備進(jìn)行攻擊行為��,因此斷開(kāi)與該目的地址對(duì)應(yīng)的設(shè)備的連接�����,以實(shí)現(xiàn)自我隔離,防止自身感染的蠕蟲(chóng)通過(guò)網(wǎng)絡(luò)進(jìn)行傳播��。當(dāng)然�����,當(dāng)終端確定自身感染了蠕蟲(chóng)時(shí)���,為了進(jìn)一步提高網(wǎng)絡(luò)的安全性�,除了斷開(kāi)與該目的地址對(duì)應(yīng)的設(shè)備的連接之外�����,還要?jiǎng)h除該等待隊(duì)列中的所有數(shù)據(jù)包�,并查殺感染的蠕蟲(chóng),在完成蠕蟲(chóng)的查殺后���,恢復(fù)與該目的地址對(duì)應(yīng)的設(shè)備的連接�,以進(jìn)行正常的信息交互�。S205 :發(fā)送在該設(shè)定周期內(nèi)添加到該等待隊(duì)列中的數(shù)據(jù)包。 當(dāng)終端未檢測(cè)到在該設(shè)定周期內(nèi)添加到該等待隊(duì)列中的數(shù)據(jù)包的數(shù)量超過(guò)設(shè)定數(shù)量���,并且也未檢測(cè)到在該設(shè)定周期內(nèi)添加到該等待隊(duì)列的數(shù)據(jù)包中存在蠕蟲(chóng)攻擊數(shù)據(jù)包時(shí)����,則確定自身在該設(shè)定周期內(nèi)未對(duì)該目的地址對(duì)應(yīng)的設(shè)備進(jìn)行攻擊行為,因此發(fā)送在該設(shè)定周期內(nèi)添加到該等待隊(duì)列中的數(shù)據(jù)包�����。在上述過(guò)程中��,終端要向其他設(shè)備發(fā)送數(shù)據(jù)包時(shí)�,先將待發(fā)送的數(shù)據(jù)包添加到相應(yīng)的等待隊(duì)列中�����,當(dāng)檢測(cè)到在設(shè)定周期內(nèi)添加到該等待隊(duì)列中的數(shù)據(jù)包的數(shù)量超過(guò)設(shè)定數(shù)量時(shí)�,斷開(kāi)與相應(yīng)設(shè)備的連接。通過(guò)上述方法�����,當(dāng)終端感染了蠕蟲(chóng)��,并正在對(duì)其他設(shè)備進(jìn)行攻擊時(shí)�,終端可以檢測(cè)到自身對(duì)其他設(shè)備的攻擊行為,從而斷開(kāi)與其他設(shè)備的連接����,可以有效的抑制自身感染的蠕蟲(chóng)通過(guò)網(wǎng)絡(luò)進(jìn)行傳播�����。例如��,網(wǎng)絡(luò)中的存在二個(gè)終2而分別為終》而A�����、終2而B(niǎo)�、終2而C�����。終2而A要向終2而B(niǎo)發(fā)送數(shù)據(jù)包時(shí)�,該待發(fā)送的數(shù)據(jù)包的目的地址即為終端B的地址,終端A將該待發(fā)送的數(shù)據(jù)包添加到該目的地址對(duì)應(yīng)的等待隊(duì)列中�,也即終端B對(duì)應(yīng)的等待隊(duì)列中。假設(shè)此時(shí)終端A檢測(cè)到當(dāng)前設(shè)定周期內(nèi)添加到終端B對(duì)應(yīng)的等待隊(duì)列中的數(shù)據(jù)包的數(shù)量超過(guò)了設(shè)定數(shù)量���,則終端A確定自身感染了蠕蟲(chóng)��,并確定自身正在對(duì)終端B進(jìn)行攻擊���,因此終端A斷開(kāi)與終端B的連接���,刪除終端B對(duì)應(yīng)的等待隊(duì)列中的所有數(shù)據(jù)包,并查殺自身感染的蠕蟲(chóng)���,在完成蠕蟲(chóng)的查殺后,恢復(fù)與終端B的連接�。或者�,終端A未檢測(cè)到當(dāng)前設(shè)定周期內(nèi)添加到終端B對(duì)應(yīng)的等待隊(duì)列中的數(shù)據(jù)包的數(shù)量超過(guò)設(shè)定數(shù)量,但是檢測(cè)到當(dāng)前設(shè)定周期內(nèi)添加到終端B對(duì)應(yīng)的等待隊(duì)列的數(shù)據(jù)包中存在蠕蟲(chóng)攻擊數(shù)據(jù)包���,則終端A確定自身感染了蠕蟲(chóng)����,并確定自身正在對(duì)終端B進(jìn)行攻擊����,因此終端A斷開(kāi)與終端B的連接,刪除終端B對(duì)應(yīng)的等待隊(duì)列中的所有數(shù)據(jù)包���,并查殺自身感染的蠕蟲(chóng)�����,在完成蠕蟲(chóng)的查殺后���,恢復(fù)與終端B的連接�。當(dāng)然����,當(dāng)終端確定自身感染了蠕蟲(chóng)時(shí),也可以斷開(kāi)與網(wǎng)絡(luò)中的所有設(shè)備的連接�,并在完成蠕蟲(chóng)的查殺后恢復(fù)與所有設(shè)備的連接。也即����,終端A也可以同時(shí)斷開(kāi)與終端B和終端C的連接,并在完成螺蟲(chóng)的查殺后恢復(fù)與終端B和終端C的連接����。若終端A既未檢測(cè)到當(dāng)前設(shè)定周期內(nèi)添加到終端B對(duì)應(yīng)的等待隊(duì)列中的數(shù)據(jù)包的數(shù)量超過(guò)設(shè)定數(shù)量,也未檢測(cè)到當(dāng)前設(shè)定周期內(nèi)添加到終端B對(duì)應(yīng)的等待隊(duì)列的數(shù)據(jù)包中存在蠕蟲(chóng)攻擊數(shù)據(jù)包����,則將當(dāng)前設(shè)定周期內(nèi)添加到終端B對(duì)應(yīng)的等待隊(duì)列中的數(shù)據(jù)包發(fā)送給終端B。
在采用如圖2所示的方法進(jìn)行蠕蟲(chóng)檢測(cè)時(shí),由于終端每次要發(fā)送數(shù)據(jù)包時(shí)�����,都需要先將待發(fā)送的數(shù)據(jù)包添加到相應(yīng)的等待隊(duì)列中���,在檢測(cè)相應(yīng)周期內(nèi)添加到等待隊(duì)列的數(shù)據(jù)包中不存在蠕蟲(chóng)攻擊數(shù)據(jù)包時(shí)才將數(shù)據(jù)包發(fā)送出去��,因此勢(shì)必會(huì)降低發(fā)送數(shù)據(jù)包的效率��。因此���,本發(fā)明實(shí)施例中為了提高數(shù)據(jù)包的發(fā)送效率���,在圖2所示的步驟S201中����,終端將待發(fā)送的數(shù)據(jù)包添加到該目的地址對(duì)應(yīng)的等待隊(duì)列中之前����,還要確定該待發(fā)送的數(shù)據(jù)包的目的地址不在保存的已訪問(wèn)地址表中。也即�����,若該待發(fā)送的數(shù)據(jù)包的目的地址不在保存的已訪問(wèn)地址表中,則將該待發(fā)送的數(shù)據(jù)包添加到該目的地址對(duì)應(yīng)的等待隊(duì)列中�����,若該待發(fā)送的數(shù)據(jù)包的目的地址在保存的已訪問(wèn)地址表中����,則直接發(fā)送該待發(fā)送的數(shù)據(jù)包。并且����,若待發(fā)送的數(shù)據(jù)包的目的地址不在保存的已訪問(wèn)地址表中,則將該待發(fā)送的數(shù)據(jù)包添加到該目的地址對(duì)應(yīng)的等待隊(duì)列中之后��,如果后續(xù)連續(xù)若干次既未檢測(cè)到設(shè)定周期內(nèi)添加到該等待隊(duì)列中的數(shù)據(jù)包的數(shù)量超過(guò)設(shè)定數(shù)量�����,也未檢測(cè)到設(shè)定周期內(nèi)添加到該等待隊(duì)列的數(shù)據(jù)包中存在蠕蟲(chóng)攻擊數(shù)據(jù)包���,則還要將該目的地址添加到已訪問(wèn)地址表中���,如圖3所示�����。 圖3為本發(fā)明實(shí)施例提供的另一種蠕蟲(chóng)檢測(cè)過(guò)程�����,具體包括以下步驟S301 :終端確定待發(fā)送的數(shù)據(jù)包的目的地址�。S302 :判斷確定的目的地址是否在保存的已訪問(wèn)地址表中�����,若是����,則執(zhí)行步驟S309,否則執(zhí)行步驟S303���。S303 :將該待發(fā)送的數(shù)據(jù)包添加到該目的地址對(duì)應(yīng)的等待隊(duì)列中。S304:檢測(cè)在設(shè)定周期內(nèi)添加到該等待隊(duì)列中的數(shù)據(jù)包的數(shù)量是否超過(guò)設(shè)定數(shù)量�,若是,則執(zhí)行步驟S306��,否則執(zhí)行步驟S305��。S305:檢測(cè)在該設(shè)定周期內(nèi)添加到該等待隊(duì)列的數(shù)據(jù)包中是否存在蠕蟲(chóng)攻擊數(shù)據(jù)包,若是���,執(zhí)行步驟S306�,否則執(zhí)行步驟S307����。S306 :終端確定自身感染了蠕蟲(chóng),斷開(kāi)與該目的地址對(duì)應(yīng)的設(shè)備的連接��。當(dāng)然���,為了進(jìn)一步提高網(wǎng)絡(luò)的安全性��,終端除了斷開(kāi)與該目的地址對(duì)應(yīng)的設(shè)備的連接之外��,還要?jiǎng)h除該等待隊(duì)列中的所有數(shù)據(jù)包����,并查殺感染的蠕蟲(chóng)����,在完成蠕蟲(chóng)的查殺后,恢復(fù)與該目的地址對(duì)應(yīng)的設(shè)備的連接�����,以進(jìn)行正常的信息交互。并且�,終端在確定自身感染了蠕蟲(chóng)時(shí),也可以斷開(kāi)與網(wǎng)絡(luò)中所有設(shè)備的連接��,在完成蠕蟲(chóng)的查殺后�,再恢復(fù)與網(wǎng)絡(luò)中所有設(shè)備的連接。S307 :發(fā)送在該設(shè)定周期內(nèi)添加到該等待隊(duì)列中的數(shù)據(jù)包��。S308:當(dāng)連續(xù)發(fā)送了設(shè)定次數(shù)的在設(shè)定周期內(nèi)添加到所述等待隊(duì)列中的數(shù)據(jù)包時(shí)�,將該目的地址添加到保存的已訪問(wèn)地址表中。在本發(fā)明實(shí)施例中����,當(dāng)既未檢測(cè)到設(shè)定周期內(nèi)添加到該等待隊(duì)列中的數(shù)據(jù)包的數(shù)量超過(guò)設(shè)定數(shù)量,也未檢測(cè)到設(shè)定周期內(nèi)添加到該等待隊(duì)列的數(shù)據(jù)包中存在蠕蟲(chóng)攻擊數(shù)據(jù)包的情況連續(xù)出現(xiàn)了設(shè)定次數(shù)時(shí)��,也即�����,當(dāng)連續(xù)執(zhí)行步驟S307的次數(shù)達(dá)到設(shè)定次數(shù)時(shí)����,則確定終端自身未感染蠕蟲(chóng),該目的地址對(duì)應(yīng)的設(shè)備不會(huì)由于與該終端的連接而感染蠕蟲(chóng)����,因此終端將該目的地址添加到保存的已訪問(wèn)地址表中,后續(xù)再向該目的地址對(duì)應(yīng)的設(shè)備發(fā)送數(shù)據(jù)包時(shí)�,直接發(fā)送即可。其中����,該設(shè)定次數(shù)可以根據(jù)需要進(jìn)行設(shè)定,例如可設(shè)定為I次����,也可設(shè)定為10次。S309 :發(fā)送該待發(fā)送的數(shù)據(jù)包�����。
在圖3所示的過(guò)程中��,終端要向其他設(shè)備發(fā)送數(shù)據(jù)包時(shí)��,如果待發(fā)送的數(shù)據(jù)包的目的地址在已訪問(wèn)地址表中�����,則直接發(fā)送該待發(fā)送的數(shù)據(jù)包,如果不在已訪問(wèn)地址表中��,則將該待發(fā)送的數(shù)據(jù)包添加到該目的地址對(duì)應(yīng)的等待隊(duì)列中�����,并進(jìn)行后續(xù)處理��,提高了發(fā)送數(shù)據(jù)的安全性����。需要說(shuō)明的是,圖3所示的蠕蟲(chóng)檢測(cè)過(guò)程只適用于對(duì)通過(guò)網(wǎng)絡(luò)傳播的蠕蟲(chóng)進(jìn)行檢測(cè)�����,對(duì)于通過(guò)如U盤(pán)等可移動(dòng)存儲(chǔ)設(shè)備感染的蠕蟲(chóng)則不適用��。例如����,網(wǎng)絡(luò)中存在終端A,現(xiàn)新加入一個(gè)終端B���,由于終端B是新加入網(wǎng)絡(luò)的���,因此終端A保存的已訪問(wèn)地址表中不包括終端B的地址,并且終端B保存的已訪問(wèn)地址表中也不包括終端A的地址�。當(dāng)終端A要向終端B發(fā)送數(shù)據(jù)包時(shí),確定待發(fā)送的數(shù)據(jù)包的地址不在已訪問(wèn)地址表中���,因此將該待發(fā)送的數(shù)據(jù)包添加到終端B對(duì)應(yīng)的等待隊(duì)列中�,并進(jìn)行后續(xù) 步驟����。相應(yīng)的,當(dāng)終端B要向終端A發(fā)送數(shù)據(jù)包時(shí)�,也確定待發(fā)送的數(shù)據(jù)包的地址不在已訪問(wèn)地址表中,因此將該待發(fā)送的數(shù)據(jù)包添加到終端A對(duì)應(yīng)的等待隊(duì)列中�,并進(jìn)行后續(xù)步驟。如果后續(xù)步驟中終端A既未檢測(cè)到設(shè)定周期內(nèi)添加到終端B對(duì)應(yīng)的等待隊(duì)列中的數(shù)據(jù)包的數(shù)量超過(guò)設(shè)定數(shù)量���,也未檢測(cè)到該設(shè)定周期內(nèi)添加到終端B對(duì)應(yīng)的等待隊(duì)列的數(shù)據(jù)包中存在蠕蟲(chóng)攻擊數(shù)據(jù)包的情況連續(xù)出現(xiàn)了設(shè)定次數(shù)����,則終端A確定自身未感染蠕蟲(chóng)���,因此將終端B的地址添加到已訪問(wèn)地址表中���,后續(xù)終端A再向終端B發(fā)送數(shù)據(jù)包����,則直接發(fā)送��。相應(yīng)的�,如果終端B既未檢測(cè)到設(shè)定周期內(nèi)添加到終端A對(duì)應(yīng)的等待隊(duì)列中的數(shù)據(jù)包的數(shù)量超過(guò)設(shè)定數(shù)量,也未檢測(cè)到該設(shè)定周期內(nèi)添加到終端A對(duì)應(yīng)的等待隊(duì)列的數(shù)據(jù)包中存在蠕蟲(chóng)攻擊數(shù)據(jù)包的情況也連續(xù)出現(xiàn)了設(shè)定次數(shù)�����,則終端B確定自身未感染蠕蟲(chóng)����,因此將終端A的地址添加到已訪問(wèn)地址表中,后續(xù)終端B再向終端A發(fā)送數(shù)據(jù)包��,則直接發(fā)送���。至此���,說(shuō)明終端A和終端B均未感染蠕蟲(chóng)����,終端A和終端B也未通過(guò)網(wǎng)絡(luò)連接攻擊對(duì)方��,因此終端A和終端B不會(huì)由于二者之間的網(wǎng)絡(luò)連接而相互感染蠕蟲(chóng)��。如果后續(xù)網(wǎng)絡(luò)中再加入一個(gè)終端C�,則仍采用類(lèi)似的方法進(jìn)行蠕蟲(chóng)檢測(cè)���。但如果終端A將終端B的地址添加到已訪問(wèn)地址表之后��,通過(guò)U盤(pán)等可移動(dòng)存儲(chǔ)設(shè)備使終端A感染了蠕蟲(chóng)�,圖3所示的方法將不能抑制終端A感染的蠕蟲(chóng)向終端B的傳播�,需要通過(guò)圖2所示的方法才能抑制蠕蟲(chóng)的傳播。由于蠕蟲(chóng)大多是通過(guò)如圖I所示的流程通過(guò)網(wǎng)絡(luò)進(jìn)行傳播的�,因此考慮兼顧發(fā)送數(shù)據(jù)包的效率,可以采用如圖3所示的蠕蟲(chóng)檢測(cè)方法進(jìn)行蠕蟲(chóng)檢測(cè)�����,如果考慮盡量提高網(wǎng)絡(luò)的安全性����,則可以采用如圖2所示的蠕蟲(chóng)檢測(cè)方法進(jìn)行蠕蟲(chóng)檢測(cè),具體可以根據(jù)實(shí)際需要而定。在本發(fā)明實(shí)施例中��,在圖2所示的步驟S203和圖3所示的步驟S305中��,終端檢測(cè)在設(shè)定周期內(nèi)添加到等待隊(duì)列的數(shù)據(jù)包中是否存在蠕蟲(chóng)攻擊數(shù)據(jù)包的方法可以為判斷在該設(shè)定周期內(nèi)添加到該等待隊(duì)列的數(shù)據(jù)包中是否存在特征與蠕蟲(chóng)特征庫(kù)中的特征相匹配的數(shù)據(jù)包�����,若存在�����,則確定在該設(shè)定周期內(nèi)添加到該等待隊(duì)列的數(shù)據(jù)包中存在蠕蟲(chóng)攻擊數(shù)據(jù)包��,否則確定在該設(shè)定周期內(nèi)添加到該等待隊(duì)列的數(shù)據(jù)包中不存在蠕蟲(chóng)攻擊數(shù)據(jù)包����。具體的,終端可以先對(duì)在該設(shè)定周期內(nèi)添加到等待隊(duì)列中的數(shù)據(jù)包進(jìn)行會(huì)話(huà)重組�,針對(duì)重組的會(huì)話(huà)中的每個(gè)數(shù)據(jù)包,判斷該數(shù)據(jù)包的特征是否與蠕蟲(chóng)特征庫(kù)中的特征相匹配�����,若匹配�,則確定該數(shù)據(jù)包為蠕蟲(chóng)攻擊數(shù)據(jù)包����,否則確定該數(shù)據(jù)包不是蠕蟲(chóng)攻擊數(shù)據(jù)包���。并且�,當(dāng)終端確定自身感染了蠕蟲(chóng)時(shí)�����,為了提高蠕蟲(chóng)檢測(cè)的效率和準(zhǔn)確性��,還可以對(duì)步驟S202和步驟S304中用于檢測(cè)終端是否在短時(shí)間內(nèi)要向該目的地址對(duì)應(yīng)的設(shè)備發(fā)送大量的數(shù)據(jù)包所基于的設(shè)定數(shù)量進(jìn)行動(dòng)態(tài)調(diào)整���。具體的,當(dāng)終端確定自身感染了蠕蟲(chóng)時(shí)�,也即在檢測(cè)到在設(shè)定周期內(nèi)添加到等待隊(duì)列中的數(shù)據(jù)包的數(shù)量超過(guò)設(shè)定數(shù)量時(shí),確定在設(shè)定周期內(nèi)添加到等待隊(duì)列的數(shù)據(jù)包中存在的蠕蟲(chóng)攻擊數(shù)據(jù)包的數(shù)量���,當(dāng)確定的蠕蟲(chóng)攻擊數(shù)據(jù)包的數(shù)量小于第一數(shù)量閾值時(shí)�,減小該設(shè)定數(shù)量�,當(dāng)確定的蠕蟲(chóng)攻擊數(shù)據(jù)包的數(shù)量大于第二數(shù)量閾值時(shí),增大該設(shè)定數(shù)量��,其中,第一數(shù)量閾值小于第二數(shù)量閾值����。這是因?yàn)楫?dāng)終端檢測(cè)到在設(shè)定周期內(nèi)添加到等待隊(duì)列中的數(shù)據(jù)包的數(shù)量超過(guò)設(shè)定數(shù)量時(shí),如果確定的在該設(shè)定周期內(nèi)添加到等待隊(duì)列的數(shù)據(jù)包中存在的蠕蟲(chóng)攻擊數(shù)據(jù)包的數(shù)量小于第一數(shù)量閾值��,則說(shuō)明具有攻擊行為的蠕蟲(chóng)攻擊數(shù)據(jù)包的數(shù)量較少�,因此實(shí)際上在步驟S202或步驟S304的檢測(cè)過(guò)程中很容易被判定為在設(shè)定周期內(nèi)添加到等待隊(duì)列中的數(shù)據(jù)包的數(shù)量未超過(guò)設(shè)定數(shù)量,進(jìn)而說(shuō)明該設(shè)定數(shù)量設(shè)定的偏大�����,因此要減小該設(shè)定數(shù)量�。相反,如果確定的在設(shè)定周期內(nèi)添加到等待隊(duì)列的數(shù)據(jù)包中存在的蠕蟲(chóng)攻擊數(shù)據(jù)包的數(shù)量大于第二數(shù)量閾值���,則說(shuō)明具有攻擊行為的蠕蟲(chóng)攻擊數(shù)據(jù)包的數(shù)量較多���,因此可以增大該設(shè)定數(shù)量。���、并且��,減小或增大設(shè)定數(shù)量時(shí)����,可以根據(jù)預(yù)先設(shè)定的步進(jìn)值進(jìn)行減小或增大,例如�����,減小該設(shè)定數(shù)量時(shí)�,將該設(shè)定數(shù)量減小預(yù)先設(shè)定的步進(jìn)值,增大該設(shè)定數(shù)量時(shí)���,將該設(shè)定數(shù)量增大預(yù)先設(shè)定的步進(jìn)值�����。還可以采用其他方法減小或增大該設(shè)定數(shù)量,這里就不再--贅述����。在本發(fā)明實(shí)施例中,終端檢測(cè)自身是否對(duì)網(wǎng)絡(luò)中的其他設(shè)備進(jìn)行了攻擊行為�,若檢測(cè)到自身對(duì)其他設(shè)備進(jìn)行了攻擊行為,則斷開(kāi)與其他設(shè)備的連接���,實(shí)現(xiàn)自我隔離����,以抑制蠕蟲(chóng)在網(wǎng)絡(luò)中的傳播,而為了進(jìn)一步提高網(wǎng)絡(luò)的安全性�,還可以結(jié)合現(xiàn)有技術(shù)中終端檢測(cè)是否受到了其他設(shè)備的蠕蟲(chóng)攻擊的方法,進(jìn)一步對(duì)其他設(shè)備發(fā)起的蠕蟲(chóng)攻擊進(jìn)行防御�。也即,終端一方面防止自身攻擊網(wǎng)絡(luò)中的其他設(shè)備��,以抑制自身感染的蠕蟲(chóng)在網(wǎng)絡(luò)中傳播���,另一方面也要防御網(wǎng)絡(luò)中其他設(shè)備感染的蠕蟲(chóng)的攻擊���,以保證終端自身的安全性。另外�,為了進(jìn)一步提高網(wǎng)絡(luò)的安全性,終端在建立一個(gè)新的連接時(shí)��,還可以將該待建立的連接的屬性信息發(fā)送給服務(wù)器進(jìn)行認(rèn)證���,并接收服務(wù)器返回的認(rèn)證結(jié)果和數(shù)字簽名����。如果服務(wù)器返回的認(rèn)證結(jié)果為認(rèn)證通過(guò)�����,則終端對(duì)服務(wù)器返回的數(shù)字簽名進(jìn)行進(jìn)一步認(rèn)證,當(dāng)對(duì)服務(wù)器返回的數(shù)字簽名認(rèn)證通過(guò)時(shí)�,確定該待建立的連接為正常連接,建立該待建立的連接��。如果服務(wù)器返回的認(rèn)證結(jié)果為認(rèn)證不通過(guò)��,或者終端對(duì)服務(wù)器返回的數(shù)字簽名進(jìn)行進(jìn)一步認(rèn)證時(shí)的認(rèn)證結(jié)果為認(rèn)證不通過(guò)�����,則確定該待建立的連接為非法連接�,拒絕建立該待建立的連接?;谏鲜鐾瑯拥陌l(fā)明思路,本發(fā)明實(shí)施例還提供一種蠕蟲(chóng)檢測(cè)裝置�����,如圖4所示���。圖4為本發(fā)明實(shí)施例提供的蠕蟲(chóng)檢測(cè)裝置結(jié)構(gòu)示意圖,具體包括攔截模塊401�,用于確定待發(fā)送的數(shù)據(jù)包的目的地址�,將所述待發(fā)送的數(shù)據(jù)包添加到所述目的地址對(duì)應(yīng)的等待隊(duì)列中�����;檢測(cè)模塊402��,用于檢測(cè)在設(shè)定周期內(nèi)添加到所述等待隊(duì)列中的數(shù)據(jù)包的數(shù)量是否超過(guò)設(shè)定數(shù)量�;控制模塊403,用于當(dāng)所述檢測(cè)模塊402檢測(cè)到在設(shè)定周期內(nèi)添加到所述等待隊(duì)列中的數(shù)據(jù)包的數(shù)量超過(guò)設(shè)定數(shù)量時(shí)�����,確定感染了蠕蟲(chóng)���,斷開(kāi)與所述目的地址對(duì)應(yīng)的設(shè)備的連接��。所述檢測(cè)模塊402還用于��,當(dāng)確定在設(shè)定周期內(nèi)添加到所述等待隊(duì)列中的數(shù)據(jù)包的數(shù)量未超過(guò)設(shè)定數(shù)量時(shí)���,檢測(cè)在所述設(shè)定周期內(nèi)添加到所述等待隊(duì)列的數(shù)據(jù)包中是否存在蠕蟲(chóng)攻擊數(shù)據(jù)包;所述控制模塊403還用于��,當(dāng)所述檢測(cè)模塊402檢測(cè)到在所述設(shè)定周期內(nèi)添加到所述等待隊(duì)列的數(shù)據(jù)包中存在蠕蟲(chóng)攻擊數(shù)據(jù)包時(shí),確定感染了蠕蟲(chóng)�,斷開(kāi)與所述目的地址對(duì)應(yīng)的設(shè)備的連接,否則�,發(fā)送在所述設(shè)定周期內(nèi)添加到所述等待隊(duì)列中的數(shù)據(jù)包。所述攔截模塊401還用于����,在將所述待發(fā)送的數(shù)據(jù)包添加到所述目的地址對(duì)應(yīng)的等待隊(duì)列中之前,確定所述待發(fā)送的數(shù)據(jù)包的目的地址不在保存的已訪問(wèn)地址表中���;所述控制模塊403還用于���,當(dāng)連續(xù)發(fā)送了設(shè)定次數(shù)的在設(shè)定周期內(nèi)添加到所述等待隊(duì)列中的數(shù)據(jù)包時(shí),將所述目的地址添加到保存的已訪問(wèn)地址表中����。所述檢測(cè)模塊402具體用于,判斷在所述設(shè)定周期內(nèi)添加到所述等待隊(duì)列的數(shù)據(jù)包中是否存在特征與蠕蟲(chóng)特征庫(kù)中的特征相匹配的數(shù)據(jù)包���,若存在���,則確定在所述設(shè)定周 期內(nèi)添加到所述等待隊(duì)列的數(shù)據(jù)包中存在蠕蟲(chóng)攻擊數(shù)據(jù)包���,否則���,確定在所述設(shè)定周期內(nèi)添加到所述等待隊(duì)列的數(shù)據(jù)包中不存在蠕蟲(chóng)攻擊數(shù)據(jù)包��。所述檢測(cè)模塊402還用于�����,當(dāng)所述控制模塊403確定感染了蠕蟲(chóng)時(shí)����,確定在所述設(shè)定周期內(nèi)添加到所述等待隊(duì)列的數(shù)據(jù)包中存在的蠕蟲(chóng)攻擊數(shù)據(jù)包的數(shù)量�����,當(dāng)確定的蠕蟲(chóng)攻擊數(shù)據(jù)包的數(shù)量小于第一數(shù)量閾值時(shí)�,減小所述設(shè)定數(shù)量,當(dāng)確定的蠕蟲(chóng)攻擊數(shù)據(jù)包的數(shù)量大于第二數(shù)量閾值時(shí)�,增大所述設(shè)定數(shù)量,其中����,所述第一數(shù)量閾值小于所述第二數(shù)量閾值。所述控制模塊403還用于�����,當(dāng)確定感染了蠕蟲(chóng)時(shí),刪除所述等待隊(duì)列中的所有數(shù)據(jù)包���,并查殺感染的蠕蟲(chóng)���,在完成蠕蟲(chóng)的查殺后,恢復(fù)與所述目的地址對(duì)應(yīng)的設(shè)備的連接����。具體的上述蠕蟲(chóng)檢測(cè)裝置可以位于終端中。 本發(fā)明實(shí)施例提供一種蠕蟲(chóng)檢測(cè)方法及裝置���,該方法終端將待發(fā)送的數(shù)據(jù)包添加到該待發(fā)送的數(shù)據(jù)包的目的地址對(duì)應(yīng)的等待隊(duì)列中�,檢測(cè)在設(shè)定周期內(nèi)添加到等待隊(duì)列中的數(shù)據(jù)包的數(shù)量是否超過(guò)設(shè)定數(shù)量�����,若是��,則確定自身感染了蠕蟲(chóng)���,斷開(kāi)與該目的地址對(duì)應(yīng)的設(shè)備的連接��。通過(guò)上述方法�����,終端可以主動(dòng)的檢測(cè)出自身是否正在對(duì)網(wǎng)絡(luò)中的其他設(shè)備進(jìn)行攻擊�����,當(dāng)檢測(cè)出自身正在攻擊網(wǎng)絡(luò)中的其他設(shè)備時(shí)����,斷開(kāi)自身與其他設(shè)備的連接�,實(shí)現(xiàn)自我隔離,從而可以有效的抑制蠕蟲(chóng)的傳播�����。顯然����,本領(lǐng)域的技術(shù)人員可以對(duì)本發(fā)明進(jìn)行各種改動(dòng)和變型而不脫離本發(fā)明的精神和范圍。這樣�,倘若本發(fā)明的這些修改和變型屬于本發(fā)明權(quán)利要求及其等同技術(shù)的范圍之內(nèi),則本發(fā)明也意圖包含這些改動(dòng)和變型在內(nèi)����。
權(quán)利要求
1.一種蠕蟲(chóng)檢測(cè)方法����,其特征在于���,包括 終端確定待發(fā)送的數(shù)據(jù)包的目的地址�,將所述待發(fā)送的數(shù)據(jù)包添加到所述目的地址對(duì)應(yīng)的等待隊(duì)列中���;并 檢測(cè)在設(shè)定周期內(nèi)添加到所述等待隊(duì)列中的數(shù)據(jù)包的數(shù)量是否超過(guò)設(shè)定數(shù)量�����;以及 若是��,則確定自身感染了蠕蟲(chóng)����,斷開(kāi)與所述目的地址對(duì)應(yīng)的設(shè)備的連接�����。
2.如權(quán)利要求I所述的方法����,其特征在于��,所述方法還包括 當(dāng)確定在設(shè)定周期內(nèi)添加到所述等待隊(duì)列中的數(shù)據(jù)包的數(shù)量未超過(guò)設(shè)定數(shù)量時(shí)���,檢測(cè)在所述設(shè)定周期內(nèi)添加到所述等待隊(duì)列的數(shù)據(jù)包中是否存在蠕蟲(chóng)攻擊數(shù)據(jù)包�; 若存在,則確定自身感染了蠕蟲(chóng)����,斷開(kāi)與所述目的地址對(duì)應(yīng)的設(shè)備的連接,否則���,發(fā)送在所述設(shè)定周期內(nèi)添加到所述等待隊(duì)列中的數(shù)據(jù)包�����。
3.如權(quán)利要求2所述的方法����,其特征在于��,將所述待發(fā)送的數(shù)據(jù)包添加到所述目的地址對(duì)應(yīng)的等待隊(duì)列中之前�,所述方法還包括 所述終端確定所述待發(fā)送的數(shù)據(jù)包的目的地址不在保存的已訪問(wèn)地址表中�; 當(dāng)連續(xù)發(fā)送了設(shè)定次數(shù)的在設(shè)定周期內(nèi)添加到所述等待隊(duì)列中的數(shù)據(jù)包時(shí)��,所述方法還包括 將所述目的地址添加到保存的已訪問(wèn)地址表中�����。
4.如權(quán)利要求2所述的方法�,其特征在于,檢測(cè)在所述設(shè)定周期內(nèi)添加到所述等待隊(duì)列的數(shù)據(jù)包中是否存在蠕蟲(chóng)攻擊數(shù)據(jù)包�����,具體包括 判斷在所述設(shè)定周期內(nèi)添加到所述等待隊(duì)列的數(shù)據(jù)包中是否存在特征與蠕蟲(chóng)特征庫(kù)中的特征相匹配的數(shù)據(jù)包����,若存在,則確定在所述設(shè)定周期內(nèi)添加到所述等待隊(duì)列的數(shù)據(jù)包中存在蠕蟲(chóng)攻擊數(shù)據(jù)包����,否則,確定在所述設(shè)定周期內(nèi)添加到所述等待隊(duì)列的數(shù)據(jù)包中不存在蠕蟲(chóng)攻擊數(shù)據(jù)包����。
5.如權(quán)利要求I所述的方法,其特征在于,當(dāng)所述終端確定自身感染了蠕蟲(chóng)時(shí)��,所述方法還包括 確定在所述設(shè)定周期內(nèi)添加到所述等待隊(duì)列的數(shù)據(jù)包中存在的蠕蟲(chóng)攻擊數(shù)據(jù)包的數(shù)量; 當(dāng)確定的蠕蟲(chóng)攻擊數(shù)據(jù)包的數(shù)量小于第一數(shù)量閾值時(shí)����,減小所述設(shè)定數(shù)量,當(dāng)確定的蠕蟲(chóng)攻擊數(shù)據(jù)包的數(shù)量大于第二數(shù)量閾值時(shí)�,增大所述設(shè)定數(shù)量,其中�����,所述第一數(shù)量閾值小于所述第二數(shù)量閾值��。
6.如權(quán)利要求I或2所述的方法����,其特征在于�,當(dāng)所述終端確定自身感染了蠕蟲(chóng)時(shí),所述方法還包括 所述終端刪除所述等待隊(duì)列中的所有數(shù)據(jù)包�����,并查殺感染的蠕蟲(chóng)�;以及 在完成蠕蟲(chóng)的查殺后,恢復(fù)與所述目的地址對(duì)應(yīng)的設(shè)備的連接��。
7.—種蠕蟲(chóng)檢測(cè)裝置,其特征在于��,包括 攔截模塊�,用于確定待發(fā)送的數(shù)據(jù)包的目的地址,將所述待發(fā)送的數(shù)據(jù)包添加到所述目的地址對(duì)應(yīng)的等待隊(duì)列中��; 檢測(cè)模塊����,用于檢測(cè)在設(shè)定周期內(nèi)添加到所述等待隊(duì)列中的數(shù)據(jù)包的數(shù)量是否超過(guò)設(shè)定數(shù)量; 控制模塊��,用于當(dāng)所述檢測(cè)模塊檢測(cè)到在設(shè)定周期內(nèi)添加到所述等待隊(duì)列中的數(shù)據(jù)包的數(shù)量超過(guò)設(shè)定數(shù)量時(shí)����,確定感染了蠕蟲(chóng),斷開(kāi)與所述目的地址對(duì)應(yīng)的設(shè)備的連接���。
8.如權(quán)利要求7所述的裝置����,其特征在于��,所述檢測(cè)模塊還用于,當(dāng)確定在設(shè)定周期內(nèi)添加到所述等待隊(duì)列中的數(shù)據(jù)包的數(shù)量未超過(guò)設(shè)定數(shù)量時(shí)�����,檢測(cè)在所述設(shè)定周期內(nèi)添加到所述等待隊(duì)列的數(shù)據(jù)包中是否存在蠕蟲(chóng)攻擊數(shù)據(jù)包���; 所述控制模塊還用于�����,當(dāng)所述檢測(cè)模塊檢測(cè)到在所述設(shè)定周期內(nèi)添加到所述等待隊(duì)列的數(shù)據(jù)包中存在蠕蟲(chóng)攻擊數(shù)據(jù)包時(shí)�,確定感染了蠕蟲(chóng)�����,斷開(kāi)與所述目的地址對(duì)應(yīng)的設(shè)備的連接���,否則,發(fā)送在所述設(shè)定周期內(nèi)添加到所述等待隊(duì)列中的數(shù)據(jù)包���。
9.如權(quán)利要求8所述的裝置�,其特征在于����,所述攔截模塊還用于�����,在將所述待發(fā)送的數(shù)據(jù)包添加到所述目的地址對(duì)應(yīng)的等待隊(duì)列中之前���,確定所述待發(fā)送的數(shù)據(jù)包的目的地址不在保存的已訪問(wèn)地址表中; 所述控制模塊還用于��,當(dāng)連續(xù)發(fā)送了設(shè)定次數(shù)的在設(shè)定周期內(nèi)添加到所述等待隊(duì)列中的數(shù)據(jù)包時(shí)�,將所述目的地址添加到保存的已訪問(wèn)地址表中。
10.如權(quán)利要求8所述的裝置�����,其特征在于���,所述檢測(cè)模塊具體用于�����,判斷在所述設(shè)定周期內(nèi)添加到所述等待隊(duì)列的數(shù)據(jù)包中是否存在特征與蠕蟲(chóng)特征庫(kù)中的特征相匹配的數(shù)據(jù)包�,若存在�����,則確定在所述設(shè)定周期內(nèi)添加到所述等待隊(duì)列的數(shù)據(jù)包中存在蠕蟲(chóng)攻擊數(shù)據(jù)包,否則�����,確定在所述設(shè)定周期內(nèi)添加到所述等待隊(duì)列的數(shù)據(jù)包中不存在蠕蟲(chóng)攻擊數(shù)據(jù)包�。
11.如權(quán)利要求7所述的裝置,其特征在于�,所述檢測(cè)模塊還用于,當(dāng)所述控制模塊確定感染了蠕蟲(chóng)時(shí)����,確定在所述設(shè)定周期內(nèi)添加到所述等待隊(duì)列的數(shù)據(jù)包中存在的蠕蟲(chóng)攻擊數(shù)據(jù)包的數(shù)量,當(dāng)確定的蠕蟲(chóng)攻擊數(shù)據(jù)包的數(shù)量小于第一數(shù)量閾值時(shí)�,減小所述設(shè)定數(shù)量,當(dāng)確定的蠕蟲(chóng)攻擊數(shù)據(jù)包的數(shù)量大于第二數(shù)量閾值時(shí)����,增大所述設(shè)定數(shù)量,其中�,所述第一數(shù)量閾值小于所述第二數(shù)量閾值����。
12.如權(quán)利要求7或8所述的裝置�,其特征在于���,所述控制模塊還用于��,當(dāng)確定感染了蠕蟲(chóng)時(shí)���,刪除所述等待隊(duì)列中的所有數(shù)據(jù)包,并查殺感染的蠕蟲(chóng)�����,在完成蠕蟲(chóng)的查殺后�,恢復(fù)與所述目的地址對(duì)應(yīng)的設(shè)備的連接。
全文摘要
本發(fā)明公開(kāi)了一種蠕蟲(chóng)檢測(cè)方法及裝置����,用以解決現(xiàn)有技術(shù)中無(wú)法有效的抑制蠕蟲(chóng)的傳播的問(wèn)題。該方法終端將待發(fā)送的數(shù)據(jù)包添加到該待發(fā)送的數(shù)據(jù)包的目的地址對(duì)應(yīng)的等待隊(duì)列中���,檢測(cè)在設(shè)定周期內(nèi)添加到等待隊(duì)列中的數(shù)據(jù)包的數(shù)量是否超過(guò)設(shè)定數(shù)量����,若是�,則確定自身感染了蠕蟲(chóng)�����,斷開(kāi)與該目的地址對(duì)應(yīng)的設(shè)備的連接�。通過(guò)上述方法�����,終端可以主動(dòng)的檢測(cè)出自身是否正在對(duì)網(wǎng)絡(luò)中的其他設(shè)備進(jìn)行攻擊���,當(dāng)檢測(cè)出自身正在攻擊網(wǎng)絡(luò)中的其他設(shè)備時(shí)�,斷開(kāi)自身與其他設(shè)備的連接���,實(shí)現(xiàn)自我隔離��,從而可以有效的抑制蠕蟲(chóng)的傳播����。
文檔編號(hào)H04L29/06GK102710627SQ201210167069
公開(kāi)日2012年10月3日 申請(qǐng)日期2012年5月25日 優(yōu)先權(quán)日2012年5月25日
發(fā)明者孫建坡 申請(qǐng)人:北京神州綠盟信息安全科技股份有限公司