用于內(nèi)外網(wǎng)之間的業(yè)務(wù)的惡意代碼識別方法及識別設(shè)備的制造方法
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及惡意代碼識別領(lǐng)域,具體地,涉及一種用于內(nèi)外網(wǎng)之間的業(yè)務(wù)的惡意代碼識別方法及識別設(shè)備。
【背景技術(shù)】
[0002]21世紀以來,隨著信息化時代不可抵抗的趨勢,互聯(lián)網(wǎng)技術(shù)日趨發(fā)達,伴隨而來的便是網(wǎng)絡(luò)安全問題。各種攻擊手段層出不窮,其中一種就是主動通過網(wǎng)絡(luò)進行感染的惡意代碼。該類方式有一種典型應(yīng)用:網(wǎng)絡(luò)蠕蟲。網(wǎng)絡(luò)蠕蟲,最大的特點就是感染性與主動傳播性,其需要網(wǎng)絡(luò)作為平臺。蠕蟲并不需要人為干預(yù),便可主動感染目標(biāo)主機,傳播它自身功能的拷貝或它的某些部分到其他的計算機系統(tǒng)中,并生成大量的同類型蠕蟲,四處蔓延,使整個網(wǎng)絡(luò)的環(huán)境變得越來越糟。
[0003]對于企業(yè)、銀行、學(xué)?;驀覚C關(guān)等機構(gòu),內(nèi)網(wǎng)的通信安全是尤為重要的,因為這關(guān)系到內(nèi)部數(shù)據(jù)的安全性。因此,為了防范和打擊主動通過網(wǎng)絡(luò)感染的惡意代碼對內(nèi)網(wǎng)的攻擊,尋求一種在內(nèi)外網(wǎng)數(shù)據(jù)交換的過程中,能夠快速、準(zhǔn)確地識別出該惡意代碼的方法是非常必要的。
【發(fā)明內(nèi)容】
[0004]本發(fā)明的目的是提供一種用于內(nèi)外網(wǎng)之間的業(yè)務(wù)的惡意代碼識別方法及識別設(shè)備,該識別方法及識別設(shè)備能夠在內(nèi)外網(wǎng)的數(shù)據(jù)交換過程中,快速、準(zhǔn)確地識別出主動通過網(wǎng)絡(luò)感染的惡意代碼,從而保證內(nèi)網(wǎng)通信安全。
[0005]為了實現(xiàn)上述目的,本發(fā)明提供一種用于內(nèi)外網(wǎng)之間的業(yè)務(wù)的惡意代碼識別方法,該方法包括:監(jiān)測內(nèi)外網(wǎng)之間的業(yè)務(wù);將所監(jiān)測到的內(nèi)外網(wǎng)之間的業(yè)務(wù)記錄到業(yè)務(wù)數(shù)據(jù)庫中;將所記錄的業(yè)務(wù)的內(nèi)容與惡意代碼數(shù)據(jù)庫中預(yù)先存儲的已知惡意代碼特征串進行比較,以確定該業(yè)務(wù)中是否包括所述已知惡意代碼特征串;以及在確定所述業(yè)務(wù)中包括所述已知惡意代碼特征串的情況下,在所述業(yè)務(wù)數(shù)據(jù)庫中將該業(yè)務(wù)標(biāo)記為惡意代碼。
[0006]優(yōu)選地,在所述惡意代碼數(shù)據(jù)庫中,每種已知惡意代碼特征串由唯一標(biāo)識進行索引;以及在確定所述業(yè)務(wù)中包括所述已知惡意代碼特征串的情況下,根據(jù)所包括的已知惡意代碼特征串的標(biāo)識對所述業(yè)務(wù)進行標(biāo)記。
[0007]優(yōu)選地,所述業(yè)務(wù)至少包括源地址字段和創(chuàng)建時間字段,其中,所述源地址字段包括源設(shè)備地址,所述創(chuàng)建時間字段包括所述業(yè)務(wù)的創(chuàng)建時間。
[0008]優(yōu)選地,該方法還包括:針對被標(biāo)記為惡意代碼的業(yè)務(wù),根據(jù)這些業(yè)務(wù)的所述創(chuàng)建時間字段、所述源地址字段、以及標(biāo)記的已知惡意代碼特征串的標(biāo)識,確定最先被感染的源設(shè)備,和/或源設(shè)備最先被何種惡意代碼感染。
[0009]優(yōu)選地,該方法還包括:在所述業(yè)務(wù)數(shù)據(jù)庫中未被標(biāo)記為惡意代碼的業(yè)務(wù)被確定為是新的惡意代碼的情況下,從該業(yè)務(wù)中提取新的惡意代碼特征串,并將所提取的新的惡意代碼特征串更新到所述惡意代碼數(shù)據(jù)庫中。
[0010]此外,本發(fā)明還提供一種用于內(nèi)外網(wǎng)之間的業(yè)務(wù)的惡意代碼識別設(shè)備,該識別設(shè)備包括:用于監(jiān)測內(nèi)外網(wǎng)之間的業(yè)務(wù)的裝置;用于將所監(jiān)測到的內(nèi)外網(wǎng)之間的業(yè)務(wù)記錄到業(yè)務(wù)數(shù)據(jù)庫中的裝置;用于將所記錄的業(yè)務(wù)的內(nèi)容與惡意代碼數(shù)據(jù)庫中預(yù)先存儲的已知惡意代碼特征串進行比較,以確定該業(yè)務(wù)中是否包括所述已知惡意代碼特征串的裝置;以及用于在確定所述業(yè)務(wù)中包括所述已知惡意代碼特征串的情況下,在所述業(yè)務(wù)數(shù)據(jù)庫中將該業(yè)務(wù)標(biāo)記為惡意代碼的裝置。
[0011]優(yōu)選地,在所述惡意代碼數(shù)據(jù)庫中,每種已知惡意代碼特征串由唯一標(biāo)識進行索引;以及在確定所述業(yè)務(wù)中包括所述已知惡意代碼特征串的情況下,根據(jù)所包括的已知惡意代碼特征串的標(biāo)識對所述業(yè)務(wù)進行標(biāo)記。
[0012]優(yōu)選地,所述業(yè)務(wù)至少包括源地址字段和創(chuàng)建時間字段,其中,所述源地址字段包括源設(shè)備地址,所述創(chuàng)建時間字段包括所述業(yè)務(wù)的創(chuàng)建時間。
[0013]優(yōu)選地,該識別設(shè)備還包括:用于針對被標(biāo)記為惡意代碼的業(yè)務(wù),根據(jù)這些業(yè)務(wù)的所述創(chuàng)建時間字段、所述源地址字段、以及標(biāo)記的已知惡意代碼特征串的標(biāo)識,確定最先被感染的源設(shè)備,和/或源設(shè)備最先被何種惡意代碼感染的裝置。
[0014]優(yōu)選地,該識別設(shè)備還包括:用于在所述業(yè)務(wù)數(shù)據(jù)庫中未被標(biāo)記為惡意代碼的業(yè)務(wù)被確定為是新的惡意代碼的情況下,從該業(yè)務(wù)中提取新的惡意代碼特征串,并將所提取的新的惡意代碼特征串更新到所述惡意代碼數(shù)據(jù)庫中的裝置。
[0015]在上述技術(shù)方案中,通過預(yù)先建立惡意代碼數(shù)據(jù)庫,并將內(nèi)外網(wǎng)之間的業(yè)務(wù)的內(nèi)容與惡意代碼數(shù)據(jù)庫中存儲的已知惡意代碼特征串進行比較,可以自動、快速、準(zhǔn)確地識別該業(yè)務(wù)是否為惡意代碼。維護人員可根據(jù)此結(jié)果采取相應(yīng)手段,以消除該惡意代碼對內(nèi)外網(wǎng)通信安全的威脅。通過本發(fā)明提供的上述惡意代碼識別方法及識別設(shè)備,能夠在內(nèi)外網(wǎng)之間有效地防范和打擊主動通過網(wǎng)絡(luò)進行感染的惡意代碼的攻擊,從而為內(nèi)外網(wǎng)之間的數(shù)據(jù)交換營造安全、良好的網(wǎng)絡(luò)環(huán)境,保證內(nèi)網(wǎng)的數(shù)據(jù)安全。
[0016]本發(fā)明的其他特征和優(yōu)點將在隨后的【具體實施方式】部分予以詳細說明。
【附圖說明】
[0017]附圖是用來提供對本發(fā)明的進一步理解,并且構(gòu)成說明書的一部分,與下面的【具體實施方式】一起用于解釋本發(fā)明,但并不構(gòu)成對本發(fā)明的限制。在附圖中:
[0018]圖1示出了根據(jù)本發(fā)明的一種實施方式的用于內(nèi)外網(wǎng)之間的業(yè)務(wù)的惡意代碼識別方法的流程圖;以及
[0019]圖2示出了根據(jù)本發(fā)明的一種實施方式的用于內(nèi)外網(wǎng)之間的業(yè)務(wù)的惡意代碼識別設(shè)備的示意圖。
【具體實施方式】
[0020]以下結(jié)合附圖對本發(fā)明的【具體實施方式】進行詳細說明。應(yīng)當(dāng)理解的是,此處所描述的【具體實施方式】僅用于說明和解釋本發(fā)明,并不用于限制本發(fā)明。
[0021]圖1示出了根據(jù)本發(fā)明的一種實施方式的用于內(nèi)外網(wǎng)之間的業(yè)務(wù)的惡意代碼識別方法的流程圖。如圖1所示,該識別方法可以包括:步驟S101,監(jiān)測內(nèi)外網(wǎng)之間的業(yè)務(wù);步驟S102,將所監(jiān)測到的內(nèi)外網(wǎng)之間的業(yè)務(wù)記錄到業(yè)務(wù)數(shù)據(jù)庫中;步驟S103,將所記錄的業(yè)務(wù)的內(nèi)容與惡意代碼數(shù)據(jù)庫中預(yù)先存儲的已知惡意代碼特征串進行比較,以確定該業(yè)務(wù)中是否包括已知惡意代碼特征串;以及步驟S104,在確定所述業(yè)務(wù)中包括已知惡意代碼特征串的情況下,在所述業(yè)務(wù)數(shù)據(jù)庫中將該業(yè)務(wù)標(biāo)記為惡意代碼。
[0022]具體地,首先,在步驟S101,可以監(jiān)測內(nèi)外網(wǎng)之間的業(yè)務(wù),其中,該業(yè)務(wù)可以包括從外網(wǎng)設(shè)備流入內(nèi)網(wǎng)設(shè)備的應(yīng)用層業(yè)務(wù),和/或從內(nèi)網(wǎng)設(shè)備流向外網(wǎng)設(shè)備的應(yīng)用層業(yè)務(wù)。在本發(fā)明中,所述應(yīng)用層業(yè)務(wù)可以例如為HTTP (超文本傳送協(xié)議)、FTP (文件傳輸協(xié)議)、SMTP (簡單郵件傳輸協(xié)議)、RPC (遠程過程調(diào)用)、DNS (域名系統(tǒng))等應(yīng)用層業(yè)務(wù)。
[0023]在監(jiān)測到一條業(yè)務(wù)后(無論是從外網(wǎng)設(shè)備流入內(nèi)網(wǎng)設(shè)備的應(yīng)用層業(yè)務(wù),還是從內(nèi)網(wǎng)設(shè)備流向外網(wǎng)設(shè)備的應(yīng)用層業(yè)務(wù)),可以進行步驟S102,S卩,將所監(jiān)測到的業(yè)務(wù)記錄到業(yè)務(wù)數(shù)據(jù)庫中。在本發(fā)明中,每條業(yè)務(wù)可以包括多個字段。所述字段可以包括但不限于以下中的至少一者:用戶數(shù)據(jù)字段、源地址字段、創(chuàng)建時間字段、目標(biāo)地址字段、文件類型字段、格式控制字段、狀態(tài)碼字段、連接狀態(tài)字段、重試間隔字段、請求方法字段等等。應(yīng)當(dāng)理解的是,每種字段的含義及創(chuàng)建方法均是本領(lǐng)域的技術(shù)人員公知的,對此,本發(fā)明在此不做具體闡述。在監(jiān)測到的一條業(yè)務(wù)后,可以將該業(yè)務(wù)分字段存儲在所述業(yè)務(wù)數(shù)據(jù)庫中,作為業(yè)務(wù)數(shù)據(jù)庫中新增的一條業(yè)務(wù)記錄。
[0024]可以預(yù)先建立一惡意代碼數(shù)據(jù)庫,在該惡意代碼數(shù)據(jù)庫中可以預(yù)先存儲諸多已知的惡意代碼特征串。這樣,在步驟S102之后,就可以將業(yè)務(wù)數(shù)據(jù)庫中新增的業(yè)務(wù)記錄(即,上述監(jiān)測到的業(yè)務(wù))的內(nèi)容與惡意代碼數(shù)據(jù)庫中預(yù)先存儲的已知惡意代碼特征串進行比較,以確定該業(yè)務(wù)中是否包括已知惡意代碼特征串。例如,可以將所記錄的業(yè)務(wù)的每個字段中的內(nèi)容分別與惡意代碼數(shù)據(jù)庫中的已知惡意代碼特征串進行比較,來判斷該業(yè)務(wù)是否包括已知惡意代碼特征串,從而識別出該業(yè)務(wù)是否是由主動通過網(wǎng)絡(luò)進行感染的惡意代碼所生成的。如果確定所述業(yè)務(wù)中包括已知惡意代碼特征串,則表明該業(yè)務(wù)是由主動通過網(wǎng)絡(luò)進行感染的惡意代碼所生成的,并非內(nèi)網(wǎng)設(shè)備與外網(wǎng)設(shè)備之間正常的應(yīng)用層業(yè)務(wù)。在這種情況下,在所述業(yè)務(wù)數(shù)據(jù)庫中將該條業(yè)務(wù)標(biāo)記為惡意代碼。
[0025]優(yōu)選地,在預(yù)先建立所述惡意代碼數(shù)據(jù)庫時,惡意代碼數(shù)據(jù)庫中的每種已知惡意代碼特征串可以由唯一的標(biāo)識進行索引。這樣,在確定出所述業(yè)務(wù)中包括惡意代碼數(shù)據(jù)庫中的某個或某些已知的惡意代碼特征串的情況下,可以根據(jù)所包括的已知惡意代碼特征串的標(biāo)識來對所述業(yè)務(wù)進行標(biāo)記,以表明該業(yè)務(wù)是何種類型的惡意代碼。這樣,可以便于維護人員更準(zhǔn)確、快速地識別惡意代碼的類型,為其能夠及時采取相應(yīng)措施提供正確的決策支持,并且有利于追蹤惡意代碼的傳播。
[0026]另外,如圖1所示,在確定所述業(yè)務(wù)沒有包括已知惡意代碼特征串的情況下,返回到步驟S101,繼續(xù)監(jiān)測內(nèi)外網(wǎng)之間的業(yè)務(wù)。并且,在步驟S104之后,同樣返回到步驟S101,繼續(xù)監(jiān)測內(nèi)外網(wǎng)之間的業(yè)務(wù)。
[0027]在本發(fā)明的一個優(yōu)選實施方式中,所述業(yè)務(wù)至少包括源地址字段和創(chuàng)建時間字段。其中,源地址字段中包括源設(shè)備地址。所謂源設(shè)備,是指業(yè)務(wù)所來自的設(shè)備,在本發(fā)明中,主要包括前述的內(nèi)網(wǎng)設(shè)備和外網(wǎng)設(shè)備。此外,創(chuàng)建時間字段中包括業(yè)務(wù)的創(chuàng)建時間。這樣,就可以根據(jù)每條業(yè)務(wù)的創(chuàng)建時間字段、源地址字段、以及標(biāo)記的已知惡意代碼特征串的標(biāo)識,確定出是哪臺源設(shè)備最先被感染,和/或源設(shè)備最先被何種惡意代碼感染等等。
[0028]具體地,在所述業(yè)務(wù)數(shù)據(jù)庫中,針對被標(biāo)記為惡意代碼的所有業(yè)務(wù),可以根據(jù)這些業(yè)務(wù)中的所述創(chuàng)建時間字段中包含的創(chuàng)建時間和所述源地址字段中包含的源設(shè)備地址,確定最先被感染的源設(shè)備。例如,假設(shè)有三條被標(biāo)記為惡意代碼的業(yè)務(wù),這三條業(yè)務(wù)中的源地址字段中包含的源設(shè)備地址指向不同的源設(shè)備,例如,第一條業(yè)務(wù)來自于第一源設(shè)備、第二條業(yè)務(wù)來自于第二源設(shè)備以及