第三條業(yè)務(wù)來自于第三源設(shè)備。那么�,可以根據(jù)這三條業(yè)務(wù)中的創(chuàng)建時(shí)間字段中包含的創(chuàng)建時(shí)間,確定出這二臺源設(shè)備中的哪臺源設(shè)備最先被主動通過網(wǎng)絡(luò)進(jìn)行感染的惡意代碼所感染����。
[0029]此外,在被標(biāo)記為惡意代碼的所有業(yè)務(wù)中��,針對其中所述源地址字段中包含的源設(shè)備地址指向同一源設(shè)備的業(yè)務(wù)�����,可以根據(jù)這些業(yè)務(wù)中的所述創(chuàng)建時(shí)間字段中包含的創(chuàng)建時(shí)間和標(biāo)記的已知惡意代碼特征串的標(biāo)識,確定該源設(shè)備最先被何種惡意代碼感染�。例如,假設(shè)有兩條被標(biāo)記為惡意代碼的業(yè)務(wù)��,這兩條業(yè)務(wù)中的源地址字段中包含的源設(shè)備地址指向相同的源設(shè)備���,例如����,兩條業(yè)務(wù)均來自于第四源設(shè)備�����。那么��,可以根據(jù)這兩條業(yè)務(wù)中的創(chuàng)建時(shí)間字段中包含的創(chuàng)建時(shí)間����,以及對這兩條業(yè)務(wù)標(biāo)記的已知惡意代碼特征串的標(biāo)識�,確定出該第四源設(shè)備最先被何種主動通過網(wǎng)絡(luò)進(jìn)行感染的惡意代碼所感染。
[0030]通過這一實(shí)施方式���,可實(shí)現(xiàn)對惡意代碼傳播的分析���、定位和追蹤�,以便更有針對性地采取防御措施��。
[0031]另外����,在本發(fā)明的一個(gè)優(yōu)選實(shí)施方式中,該方法還可以包括(未示出):在所述業(yè)務(wù)數(shù)據(jù)庫中未被標(biāo)記為惡意代碼的業(yè)務(wù)被確定為是新的惡意代碼的情況下��,從該業(yè)務(wù)中提取新的惡意代碼特征串��,并將所提取的新的惡意代碼特征串更新到所述惡意代碼數(shù)據(jù)庫中��。也就是說�,在本發(fā)明中,如果某條業(yè)務(wù)當(dāng)前沒有被標(biāo)記為是惡意代碼�����,其僅被記錄在業(yè)務(wù)數(shù)據(jù)庫中�����。日后一旦發(fā)現(xiàn)業(yè)務(wù)數(shù)據(jù)庫中這些未被標(biāo)記為惡意代碼的業(yè)務(wù)是新的惡意代碼(例如,可通過人工數(shù)據(jù)挖掘或者智能數(shù)據(jù)挖掘技術(shù)實(shí)現(xiàn))����,那么就從這些業(yè)務(wù)中提取出新的惡意代碼特征串,之后�,將所提取的新的惡意代碼特征串同步更新到所述惡意代碼數(shù)據(jù)庫中。此后�,具有相同特征的業(yè)務(wù)會立刻被確定為是上述新發(fā)現(xiàn)的惡意代碼,并被標(biāo)記出�。由此,可以實(shí)時(shí)更新惡意代碼數(shù)據(jù)庫���,從而提高快速識別惡意代碼的能力�����。
[0032]需要說明的是,如何從被確定為是惡意代碼的業(yè)務(wù)中提取惡意代碼特征串的方法是本領(lǐng)域的技術(shù)人員公知的�����,對此�,本發(fā)明在此不進(jìn)行詳細(xì)闡述。
[0033]圖2示出了根據(jù)本發(fā)明的一種實(shí)施方式的用于內(nèi)外網(wǎng)之間的業(yè)務(wù)的惡意代碼識別設(shè)備的示意圖����。如圖2所示�,該識別設(shè)備100可以包括:用于監(jiān)測內(nèi)外網(wǎng)之間的業(yè)務(wù)的裝置10 ;用于將所監(jiān)測到的內(nèi)外網(wǎng)之間的業(yè)務(wù)記錄到業(yè)務(wù)數(shù)據(jù)庫中的裝置20 ;用于將所記錄的業(yè)務(wù)的內(nèi)容與惡意代碼數(shù)據(jù)庫中預(yù)先存儲的已知惡意代碼特征串進(jìn)行比較��,以確定該業(yè)務(wù)中是否包括已知惡意代碼特征串的裝置30;以及用于在確定所述業(yè)務(wù)中包括已知惡意代碼特征串的情況下����,在所述業(yè)務(wù)數(shù)據(jù)庫中將該業(yè)務(wù)標(biāo)記為惡意代碼的裝置40。
[0034]如前所述�����,在所述惡意代碼數(shù)據(jù)庫中��,每種已知惡意代碼特征串可以由唯一標(biāo)識進(jìn)行索引����。在這種情況下,在確定所述業(yè)務(wù)中包括已知惡意代碼特征串的情況下����,所述裝置40可以根據(jù)所包括的已知惡意代碼特征串的標(biāo)識對所述業(yè)務(wù)進(jìn)行標(biāo)記。
[0035]此外�,所述業(yè)務(wù)可以至少包括源地址字段和創(chuàng)建時(shí)間字段,其中��,所述源地址字段包括源設(shè)備地址,所述創(chuàng)建時(shí)間字段包括所述業(yè)務(wù)的創(chuàng)建時(shí)間���。在這種情況下�����,該識別設(shè)備100還可以包括(未示出):用于針對被標(biāo)記為惡意代碼的業(yè)務(wù)�,根據(jù)這些業(yè)務(wù)的所述創(chuàng)建時(shí)間字段�����、所述源地址字段��、以及標(biāo)記的已知惡意代碼特征串的標(biāo)識���,確定最先被感染的源設(shè)備����,和/或源設(shè)備最先被何種惡意代碼感染的裝置��。
[0036]此外�����,該識別設(shè)備100還可以包括(未示出):用于在所述業(yè)務(wù)數(shù)據(jù)庫中未被標(biāo)記為惡意代碼的業(yè)務(wù)被確定為是新的惡意代碼的情況下��,從該業(yè)務(wù)中提取新的惡意代碼特征串��,并將所提取的新的惡意代碼特征串更新到所述惡意代碼數(shù)據(jù)庫中的裝置�����。
[0037]在本發(fā)明中���,業(yè)務(wù)數(shù)據(jù)庫和/或惡意代碼數(shù)據(jù)庫可以位于所述識別設(shè)備100中���,也可以與所述識別設(shè)備100分離,對此��,本發(fā)明并不進(jìn)行限定�����。在使用時(shí)����,所述識別設(shè)備100可以被放置在內(nèi)網(wǎng)設(shè)備與外網(wǎng)設(shè)備之間,用于對內(nèi)外網(wǎng)之間的業(yè)務(wù)進(jìn)行惡意代碼發(fā)現(xiàn)和識另IJ����。例如�����,該識別設(shè)備100可以集成在內(nèi)外網(wǎng)之間的通信網(wǎng)關(guān)中���,這樣,在通過該通信網(wǎng)關(guān)進(jìn)行業(yè)務(wù)中轉(zhuǎn)的同時(shí)�����,對該業(yè)務(wù)進(jìn)行惡意代碼發(fā)現(xiàn)和識別��。由于大部分攻擊行為來自于外網(wǎng)到內(nèi)網(wǎng)的業(yè)務(wù)��,因此����,通過此種部署方式,相比于將所述識別設(shè)備100部署在內(nèi)網(wǎng)核心位置處�����,可以更加迅速地發(fā)現(xiàn)攻擊行為以及惡意攻擊的意圖。不過應(yīng)當(dāng)理解的是����,本發(fā)明并不局限于此���,其他對于識別設(shè)備100的部署方式同樣適用于本發(fā)明�����,例如��,可以將其部署在內(nèi)網(wǎng)核心位置處�����,或者采取縱深部署方式��,等等�。
[0038]綜上所述��,在上述技術(shù)方案中�����,通過預(yù)先建立惡意代碼數(shù)據(jù)庫,并將內(nèi)外網(wǎng)之間的業(yè)務(wù)的內(nèi)容與惡意代碼數(shù)據(jù)庫中存儲的已知惡意代碼特征串進(jìn)行比較����,可以自動、快速����、準(zhǔn)確地識別該業(yè)務(wù)是否為惡意代碼。維護(hù)人員可根據(jù)此結(jié)果采取相應(yīng)手段��,以消除該惡意代碼對內(nèi)外網(wǎng)通信安全的威脅��。通過本發(fā)明提供的上述惡意代碼識別方法及識別設(shè)備��,能夠在內(nèi)外網(wǎng)之間有效地防范和打擊主動通過網(wǎng)絡(luò)進(jìn)行感染的惡意代碼的攻擊�,從而為內(nèi)外網(wǎng)之間的數(shù)據(jù)交換營造安全、良好的網(wǎng)絡(luò)環(huán)境�����,保證內(nèi)網(wǎng)的數(shù)據(jù)安全��。
[0039]以上結(jié)合附圖詳細(xì)描述了本發(fā)明的優(yōu)選實(shí)施方式����,但是��,本發(fā)明并不限于上述實(shí)施方式中的具體細(xì)節(jié)�����,在本發(fā)明的技術(shù)構(gòu)思范圍內(nèi),可以對本發(fā)明的技術(shù)方案進(jìn)行多種簡單變型�����,這些簡單變型均屬于本發(fā)明的保護(hù)范圍�����。
[0040]另外需要說明的是����,在上述【具體實(shí)施方式】中所描述的各個(gè)具體技術(shù)特征,在不矛盾的情況下�����,可以通過任何合適的方式進(jìn)行組合���。為了避免不必要的重復(fù)���,本發(fā)明對各種可能的組合方式不再另行說明�。
[0041]此外�,本發(fā)明的各種不同的實(shí)施方式之間也可以進(jìn)行任意組合,只要其不違背本發(fā)明的思想�����,其同樣應(yīng)當(dāng)視為本發(fā)明所公開的內(nèi)容��。
【主權(quán)項(xiàng)】
1.一種用于內(nèi)外網(wǎng)之間的業(yè)務(wù)的惡意代碼識別方法�,其特征在于,該方法包括: 監(jiān)測內(nèi)外網(wǎng)之間的業(yè)務(wù)�; 將所監(jiān)測到的內(nèi)外網(wǎng)之間的業(yè)務(wù)記錄到業(yè)務(wù)數(shù)據(jù)庫中; 將所記錄的業(yè)務(wù)的內(nèi)容與惡意代碼數(shù)據(jù)庫中預(yù)先存儲的已知惡意代碼特征串進(jìn)行比較����,以確定該業(yè)務(wù)中是否包括所述已知惡意代碼特征串;以及 在確定所述業(yè)務(wù)中包括所述已知惡意代碼特征串的情況下�,在所述業(yè)務(wù)數(shù)據(jù)庫中將該業(yè)務(wù)標(biāo)記為惡意代碼。
2.根據(jù)權(quán)利要求1所述的方法����,其特征在于,在所述惡意代碼數(shù)據(jù)庫中���,每種已知惡意代碼特征串由唯一標(biāo)識進(jìn)行索引�;以及在確定所述業(yè)務(wù)中包括所述已知惡意代碼特征串的情況下,根據(jù)所包括的已知惡意代碼特征串的標(biāo)識對所述業(yè)務(wù)進(jìn)行標(biāo)記���。
3.根據(jù)權(quán)利要求2所述的方法���,其特征在于,所述業(yè)務(wù)至少包括源地址字段和創(chuàng)建時(shí)間字段����,其中�����,所述源地址字段包括源設(shè)備地址��,所述創(chuàng)建時(shí)間字段包括所述業(yè)務(wù)的創(chuàng)建時(shí)間���。
4.根據(jù)權(quán)利要求3所述的方法����,其特征在于�����,該方法還包括:針對被標(biāo)記為惡意代碼的業(yè)務(wù),根據(jù)這些業(yè)務(wù)的所述創(chuàng)建時(shí)間字段�、所述源地址字段、以及標(biāo)記的已知惡意代碼特征串的標(biāo)識���,確定最先被感染的源設(shè)備��,和/或源設(shè)備最先被何種惡意代碼感染�����。
5.根據(jù)權(quán)利要求1-4中任一權(quán)利要求所述的方法����,其特征在于���,該方法還包括:在所述業(yè)務(wù)數(shù)據(jù)庫中未被標(biāo)記為惡意代碼的業(yè)務(wù)被確定為是新的惡意代碼的情況下����,從該業(yè)務(wù)中提取新的惡意代碼特征串���,并將所提取的新的惡意代碼特征串更新到所述惡意代碼數(shù)據(jù)庫中���。
6.一種用于內(nèi)外網(wǎng)之間的業(yè)務(wù)的惡意代碼識別設(shè)備��,其特征在于�����,該識別設(shè)備包括: 用于監(jiān)測內(nèi)外網(wǎng)之間的業(yè)務(wù)的裝置���; 用于將所監(jiān)測到的內(nèi)外網(wǎng)之間的業(yè)務(wù)記錄到業(yè)務(wù)數(shù)據(jù)庫中的裝置; 用于將所記錄的業(yè)務(wù)的內(nèi)容與惡意代碼數(shù)據(jù)庫中預(yù)先存儲的已知惡意代碼特征串進(jìn)行比較�����,以確定該業(yè)務(wù)中是否包括所述已知惡意代碼特征串的裝置����;以及 用于在確定所述業(yè)務(wù)中包括所述已知惡意代碼特征串的情況下���,在所述業(yè)務(wù)數(shù)據(jù)庫中將該業(yè)務(wù)標(biāo)記為惡意代碼的裝置�����。
7.根據(jù)權(quán)利要求6所述的識別設(shè)備�,其特征在于,在所述惡意代碼數(shù)據(jù)庫中����,每種已知惡意代碼特征串由唯一標(biāo)識進(jìn)行索引;以及在確定所述業(yè)務(wù)中包括所述已知惡意代碼特征串的情況下�,根據(jù)所包括的已知惡意代碼特征串的標(biāo)識對所述業(yè)務(wù)進(jìn)行標(biāo)記。
8.根據(jù)權(quán)利要求7所述的識別設(shè)備���,其特征在于��,所述業(yè)務(wù)至少包括源地址字段和創(chuàng)建時(shí)間字段��,其中��,所述源地址字段包括源設(shè)備地址�����,所述創(chuàng)建時(shí)間字段包括所述業(yè)務(wù)的創(chuàng)建時(shí)間��。
9.根據(jù)權(quán)利要求8所述的識別設(shè)備�����,其特征在于����,該識別設(shè)備還包括:用于針對被標(biāo)記為惡意代碼的業(yè)務(wù),根據(jù)這些業(yè)務(wù)的所述創(chuàng)建時(shí)間字段����、所述源地址字段、以及標(biāo)記的已知惡意代碼特征串的標(biāo)識����,確定最先被感染的源設(shè)備,和/或源設(shè)備最先被何種惡意代碼感染的裝置���。
10.根據(jù)權(quán)利要求6-9中任一權(quán)利要求所述的識別設(shè)備��,其特征在于�,該識別設(shè)備還包括:用于在所述業(yè)務(wù)數(shù)據(jù)庫中未被標(biāo)記為惡意代碼的業(yè)務(wù)被確定為是新的惡意代碼的情況下����,從該業(yè)務(wù)中提取新的惡意代碼特征串�����,并將所提取的新的惡意代碼特征串更新到所述惡意代碼數(shù)據(jù)庫中的裝置��。
【專利摘要】本發(fā)明公開了一種用于內(nèi)外網(wǎng)之間的業(yè)務(wù)的惡意代碼識別方法及識別設(shè)備。該方法包括:監(jiān)測內(nèi)外網(wǎng)之間的業(yè)務(wù)�����;將所監(jiān)測到的內(nèi)外網(wǎng)之間的業(yè)務(wù)記錄到業(yè)務(wù)數(shù)據(jù)庫中�����;將所記錄的業(yè)務(wù)的內(nèi)容與惡意代碼數(shù)據(jù)庫中預(yù)先存儲的已知惡意代碼特征串進(jìn)行比較�����,以確定該業(yè)務(wù)中是否包括所述已知惡意代碼特征串�;以及在確定所述業(yè)務(wù)中包括所述已知惡意代碼特征串的情況下,在所述業(yè)務(wù)數(shù)據(jù)庫中將該業(yè)務(wù)標(biāo)記為惡意代碼�。由此,能夠在內(nèi)外網(wǎng)的數(shù)據(jù)交換過程中�,快速、準(zhǔn)確地識別出主動通過網(wǎng)絡(luò)感染的惡意代碼��,從而保證內(nèi)網(wǎng)通信安全�。
【IPC分類】H04L29-06
【公開號】CN104702605
【申請?zhí)枴緾N201510106946
【發(fā)明人】李軼夫, 李挺, 何躍鷹, 朱海龍, 楊克正
【申請人】國家計(jì)算機(jī)網(wǎng)絡(luò)與信息安全管理中心
【公開日】2015年6月10日
【申請日】2015年3月11日