專利名稱::檢測(cè)蠕蟲病毒及延緩病毒傳播的方法
技術(shù)領(lǐng)域:
:本發(fā)明涉及網(wǎng)絡(luò)安全
技術(shù)領(lǐng)域:
,特別是一種利用IDS進(jìn)行蠕蟲病毒檢測(cè)�����、延緩病毒傳播的方法�����。
背景技術(shù):
:目前�,大多是由實(shí)時(shí)病毒檢測(cè)程序來完成對(duì)蠕蟲病毒的檢測(cè)。主要的檢測(cè)方法是傳統(tǒng)的基于病毒特征碼的檢測(cè)���,首先由病毒研究人員分析病毒樣本��,總結(jié)出病毒特征碼���,更新病毒特征庫(kù),然后病毒檢測(cè)程序才能對(duì)病毒進(jìn)行檢測(cè)��。這種方法的一個(gè)致命弱點(diǎn)是�,當(dāng)病毒發(fā)生變種,特征碼改變時(shí)就需要新的病毒庫(kù)支持���。另一種方法是通過IDS(IntrusionDetectionSystem)來檢測(cè)蠕蟲病毒���,同樣也是基于病毒特征碼的檢測(cè)�。這兩種方法都不能適應(yīng)病毒的變種以及新蠕蟲病毒的出現(xiàn)�����,也無法阻止或延緩病毒的傳播�����。另一方面�,蠕蟲病毒一旦發(fā)作,在網(wǎng)絡(luò)上會(huì)產(chǎn)生大量的數(shù)據(jù)��,對(duì)網(wǎng)絡(luò)設(shè)備�����、IDS以及其他病毒檢測(cè)程序形成很大的壓力���,甚至導(dǎo)致這些設(shè)備拒絕服務(wù),導(dǎo)致整個(gè)網(wǎng)絡(luò)系統(tǒng)�、IDS以及其他病毒檢測(cè)系統(tǒng)癱瘓。對(duì)于蠕蟲病毒的防治�����,還有一個(gè)重要方面是病毒源頭的判斷。在一個(gè)企業(yè)的網(wǎng)絡(luò)系統(tǒng)中����,如果病毒發(fā)作造成網(wǎng)絡(luò)系統(tǒng)崩潰,將無法判斷病毒在本網(wǎng)絡(luò)內(nèi)的源頭�����。
發(fā)明內(nèi)容本發(fā)明的目的是為了克服現(xiàn)有病毒檢測(cè)技術(shù)的不足���,提供一種能夠阻止或延緩病毒傳播的方法���,其能有效地適應(yīng)病毒變種和未知蠕蟲病毒的發(fā)作,找到病毒的源頭���,阻止或延緩病毒的傳播�����,從而在網(wǎng)絡(luò)系統(tǒng)能夠正常工作的前提下�����,完成病毒檢測(cè)�。實(shí)現(xiàn)本發(fā)明目的的技術(shù)方案是;為了能夠克服現(xiàn)有的病毒檢測(cè)技術(shù)不能適應(yīng)病毒變種�����,無法判斷病毒來源以及不能阻止病毒的傳播速度的問題���,本發(fā)明提供了一種新的檢測(cè)方法�����,本發(fā)明提供的檢測(cè)蠕蟲病毒及延緩病毒傳播的方法���,其特征在于,利用設(shè)置在網(wǎng)絡(luò)中的病毒防護(hù)系統(tǒng)����,其病毒防護(hù)系統(tǒng)包括病毒監(jiān)測(cè)程序和入侵檢測(cè)系統(tǒng)IDS�����,通過病毒監(jiān)測(cè)程序監(jiān)測(cè)任一與網(wǎng)絡(luò)聯(lián)接的計(jì)算機(jī)與其它與網(wǎng)絡(luò)聯(lián)接的計(jì)算機(jī)的連接數(shù)量�,并設(shè)置閥值限制與網(wǎng)絡(luò)聯(lián)接的計(jì)算機(jī)與其它網(wǎng)絡(luò)聯(lián)接的計(jì)算機(jī)的連接數(shù)量�,對(duì)超過閥值的連接將強(qiáng)行丟棄��,向入侵檢測(cè)系統(tǒng)IDS發(fā)出報(bào)警��。本發(fā)明由于利用病毒監(jiān)測(cè)程序和在網(wǎng)絡(luò)中的合理布設(shè)的入侵檢測(cè)系統(tǒng)IDS�����,組成一個(gè)互動(dòng)的病毒檢測(cè)防護(hù)系統(tǒng)��,從而能夠有效的發(fā)現(xiàn)病毒以及病毒源并能延緩病毒的傳播速度����,保護(hù)網(wǎng)絡(luò)系統(tǒng)正常運(yùn)行。通過實(shí)驗(yàn)發(fā)現(xiàn)�,一旦病毒侵入了一臺(tái)計(jì)算機(jī),它就會(huì)使這臺(tái)計(jì)算機(jī)和盡可能多的其他計(jì)算機(jī)快速聯(lián)接����,并迅速傳播病毒。因此�,本技術(shù)的關(guān)鍵之一就是通過病毒監(jiān)測(cè)程序監(jiān)測(cè)本機(jī)與其他計(jì)算機(jī)之間的連接數(shù)量,設(shè)置閥值限制本機(jī)到其他計(jì)算機(jī)的連接數(shù)量���,對(duì)超過閥值的連接病毒監(jiān)測(cè)程序?qū)?qiáng)行丟棄��,這樣就減輕了病毒傳播對(duì)網(wǎng)絡(luò)造成的壓力��,入侵檢測(cè)系統(tǒng)IDS也能夠正常工作�。因此只有通過病毒監(jiān)測(cè)程序與IDS系統(tǒng)的有機(jī)結(jié)合才能有效的檢測(cè)蠕蟲病毒,并延緩其傳播���。本發(fā)明實(shí)現(xiàn)檢測(cè)蠕蟲病毒及延緩病毒傳播方法的病毒防護(hù)系統(tǒng)���,其包括病毒監(jiān)測(cè)程序和入侵檢測(cè)系統(tǒng)IDS及網(wǎng)絡(luò)中交換數(shù)據(jù)的交換機(jī),病毒監(jiān)測(cè)程序與入侵檢測(cè)系統(tǒng)IDS采用標(biāo)準(zhǔn)網(wǎng)絡(luò)協(xié)議進(jìn)行標(biāo)準(zhǔn)的通信連接����;病毒監(jiān)測(cè)程序安裝在每一與網(wǎng)絡(luò)連接的計(jì)算機(jī)上,入侵檢測(cè)系統(tǒng)IDS通過網(wǎng)絡(luò)接口與交換機(jī)相連���。本發(fā)明為了解決其技術(shù)問題所采用的技術(shù)方法是在網(wǎng)絡(luò)中的每一臺(tái)計(jì)算機(jī)上安裝一個(gè)病毒監(jiān)測(cè)程序���,監(jiān)視從本機(jī)發(fā)起到其他計(jì)算機(jī)的連接。如果定義的單位時(shí)間內(nèi)����,本機(jī)試圖與大量(超過閥值)的計(jì)算機(jī)進(jìn)行連接����,病毒監(jiān)測(cè)程序?qū)⑾拗票緳C(jī)與其他計(jì)算機(jī)的連接數(shù)量��,達(dá)到延緩病毒傳播的效果�����。在網(wǎng)絡(luò)中適當(dāng)?shù)奈恢冒惭bIDS系統(tǒng)����,用來檢測(cè)病毒的傳播����。由于病毒監(jiān)測(cè)程序限制了病毒的傳播速度,減輕了網(wǎng)絡(luò)的壓力��,因此IDS系統(tǒng)就能夠正常工作�,可以進(jìn)行連續(xù)的多包分析,準(zhǔn)確的檢測(cè)病毒��。通過在網(wǎng)絡(luò)不同位置布設(shè)的IDS系統(tǒng)�,就可以確定病毒的來源以及分析病毒的感染的范圍。也可以由病毒監(jiān)測(cè)程序在開始限制網(wǎng)絡(luò)連接數(shù)量時(shí)����,向IDS發(fā)送一個(gè)特定的報(bào)警信息���,IDS根據(jù)報(bào)警信息來判斷病毒的來源。本發(fā)明檢測(cè)蠕蟲病毒及延緩病毒傳播的方法包括如下步驟���;A.截獲由與網(wǎng)絡(luò)連接的計(jì)算機(jī)應(yīng)用層到TCP/IP核心的數(shù)據(jù)����;B.分析目的地址��,統(tǒng)計(jì)其機(jī)與其它計(jì)算機(jī)的連接�,包括其機(jī)發(fā)起到其它計(jì)算機(jī)的TCP連接和其機(jī)發(fā)送的UDP包;C.判斷目的地址是不是到入侵檢測(cè)系統(tǒng)IDS的地址��,對(duì)到入侵檢測(cè)系統(tǒng)IDS的數(shù)據(jù)�����,則轉(zhuǎn)發(fā)到網(wǎng)絡(luò)接口���;D.對(duì)不是到入侵檢測(cè)系統(tǒng)IDS的數(shù)據(jù)�����,判斷是否超過規(guī)定的閥值�,超過閥值則將數(shù)據(jù)丟棄���,并且向入侵檢測(cè)系統(tǒng)IDS發(fā)出報(bào)警信息����,否則轉(zhuǎn)發(fā)到網(wǎng)絡(luò)接口�����;E.入侵檢測(cè)系統(tǒng)IDS接受發(fā)來的病毒警報(bào)�,進(jìn)行統(tǒng)計(jì)分析,形成完整的病毒統(tǒng)計(jì)報(bào)告��。本發(fā)明的有益效果是可以判斷病毒源頭���,以便于在病毒發(fā)作的初期就加以控制�����,防止病毒的大規(guī)模傳播�����,延緩病毒的傳播速度��,從而保護(hù)網(wǎng)絡(luò)系統(tǒng)正常運(yùn)行�。圖1是病毒檢測(cè)防護(hù)系統(tǒng)在網(wǎng)絡(luò)中的典型布設(shè)。圖2是病毒監(jiān)測(cè)程序模塊原理圖��,說明了監(jiān)控模塊的主要工作原理�。圖1中A、B���、C��、D����、…計(jì)算機(jī)安裝有病毒監(jiān)測(cè)程序���,IDS是入侵檢測(cè)系統(tǒng)��。具體實(shí)施例方式如圖1所示����,在局域網(wǎng)每一個(gè)子網(wǎng)內(nèi)布設(shè)一個(gè)IDS系統(tǒng)��,每一臺(tái)計(jì)算機(jī)上都安裝病毒監(jiān)測(cè)程序。入侵檢測(cè)系統(tǒng)IDS是一種網(wǎng)絡(luò)安全設(shè)備��,可以表現(xiàn)為硬件�,也可以表現(xiàn)為軟件。硬件IDS可以通過網(wǎng)絡(luò)接口直接與交換機(jī)連接����,軟件IDS則需要安裝在一臺(tái)計(jì)算機(jī)上�,通過計(jì)算機(jī)的網(wǎng)絡(luò)接口與交換機(jī)相連。本發(fā)明實(shí)施例中采用軟件IDS���。病毒監(jiān)測(cè)程序與入侵檢測(cè)系統(tǒng)IDS采用標(biāo)準(zhǔn)網(wǎng)絡(luò)協(xié)議進(jìn)行標(biāo)準(zhǔn)的通信連接病毒監(jiān)測(cè)代理通過自身所在的計(jì)算機(jī)的網(wǎng)絡(luò)接口向網(wǎng)絡(luò)中的IDS發(fā)送報(bào)警信息�。如果子網(wǎng)1中的計(jì)算機(jī)A感染了蠕蟲病毒��,當(dāng)A試圖感染本子網(wǎng)內(nèi)其他計(jì)算機(jī)時(shí)��,會(huì)快速同本子網(wǎng)內(nèi)的其他計(jì)算機(jī)建立連接����,在網(wǎng)絡(luò)中造成大量的網(wǎng)絡(luò)流量,有可能導(dǎo)致IDS系統(tǒng)失靈����,無法判斷病毒傳播��。如果A計(jì)算機(jī)上的病毒監(jiān)測(cè)程序能夠及時(shí)的控制本機(jī)對(duì)外發(fā)起的連接���,就能大大減輕網(wǎng)絡(luò)負(fù)載,從而使IDS系統(tǒng)能夠正常工作�����,檢測(cè)到病毒傳播�����。通過在網(wǎng)絡(luò)中不同的子網(wǎng)內(nèi)布設(shè)IDS系統(tǒng)��,根據(jù)最先發(fā)現(xiàn)病毒傳播或最先接到病毒監(jiān)測(cè)程序發(fā)出的警報(bào)�����,就有可以找到病毒的源頭����,對(duì)病毒加以控制。圖2所示�,病毒監(jiān)測(cè)程序截獲TCP/IP核心的數(shù)據(jù),首先判斷目的地址是不是IDS的地址��,如果是到IDS的數(shù)據(jù),則轉(zhuǎn)發(fā)到網(wǎng)絡(luò)接口�����;如果不是到IDS的數(shù)據(jù)����,則判斷是否超過規(guī)定的閥值,超過閥值則將數(shù)據(jù)丟棄����,并且向IDS發(fā)出報(bào)警信息����,否則轉(zhuǎn)發(fā)到網(wǎng)絡(luò)接口。病毒監(jiān)測(cè)程序有多種實(shí)現(xiàn)手段����,比如通過修改中間層驅(qū)動(dòng),或者修改網(wǎng)卡驅(qū)動(dòng)���,主要目的是能夠截獲本機(jī)發(fā)出的數(shù)據(jù)��,限制與其他計(jì)算機(jī)的連接數(shù)�。本實(shí)施例的病毒監(jiān)控程序可以通過修改中間層驅(qū)動(dòng)NDIS.sys中的導(dǎo)出表(Exporttable),將NDIS導(dǎo)出的數(shù)據(jù)包收取函數(shù)指向監(jiān)測(cè)程序提供的函數(shù)�,從而達(dá)到監(jiān)控?cái)?shù)據(jù)發(fā)送的目的。NDIS中間層驅(qū)動(dòng)是通過填寫兩張表NDIS_MINIPORT_CHARACTERISTICS�����、NDIS_PROTOCOL_CHARACTERISTICS����,并調(diào)用NDISAPI函數(shù)NdisIMRegisterLayeredMiniport、NdisRegisterProtocol注冊(cè)與中間層驅(qū)動(dòng)相關(guān)的入口函數(shù)��。在NDIS_MINIPORT_CHARACTERISTIC與NDIS_MINIPORT_CHARACTERISTICS表中存放了所有協(xié)議驅(qū)動(dòng)程序與底層派發(fā)函數(shù)的入口���,如SendHandler��、ReceiveHandler����、BindAdapterHandler等����。當(dāng)網(wǎng)卡有數(shù)據(jù)包進(jìn)入時(shí),會(huì)通過表中ReceiveHandle或ReceivePacketHandler通知協(xié)議驅(qū)動(dòng)程序有一個(gè)該協(xié)議的數(shù)據(jù)包進(jìn)入,反之協(xié)議驅(qū)動(dòng)程序通過SendHandler或SendPacketsHandler函數(shù)向網(wǎng)卡驅(qū)動(dòng)發(fā)送數(shù)據(jù)包到網(wǎng)絡(luò)中��。因此只要修改ndis.sys中NdisRegisterProtocol���、NdisIMRegisterLayeredMiniport�、NdisDeRegisterProtocol���、NdisOpenAdapter����、NdisCloseAdapter函數(shù)的地址����,最終實(shí)現(xiàn)對(duì)數(shù)據(jù)包發(fā)送的控制���。病毒監(jiān)控模塊通過截獲TCP/IP核心傳來的數(shù)據(jù)�,分析目的地址����,統(tǒng)計(jì)本機(jī)與其他計(jì)算機(jī)的連接,包括本機(jī)發(fā)起到其他計(jì)算機(jī)的TCP連接和本機(jī)發(fā)送的UDP包�,如果在定義的單位時(shí)間內(nèi),本機(jī)試圖與超過規(guī)定閥值的計(jì)算機(jī)進(jìn)行連接���,則丟棄所有本機(jī)主動(dòng)連接其他計(jì)算機(jī)的數(shù)據(jù)包��,同時(shí)向IDS系統(tǒng)發(fā)出報(bào)警信息�。IDS系統(tǒng)接受病毒監(jiān)測(cè)程序發(fā)來的病毒警報(bào),進(jìn)行統(tǒng)計(jì)分析����,形成完整的病毒統(tǒng)計(jì)報(bào)告。權(quán)利要求1.一種檢測(cè)蠕蟲病毒及延緩病毒傳播的方法�����,其特征在于�����,利用設(shè)置在網(wǎng)絡(luò)中的病毒防護(hù)系統(tǒng)����,其病毒防護(hù)系統(tǒng)包括病毒監(jiān)測(cè)程序和入侵檢測(cè)系統(tǒng)IDS,通過病毒監(jiān)測(cè)程序監(jiān)測(cè)任一與網(wǎng)絡(luò)聯(lián)接的計(jì)算機(jī)與其它與網(wǎng)絡(luò)聯(lián)接的計(jì)算機(jī)的連接數(shù)量��,并設(shè)置閥值限制與網(wǎng)絡(luò)聯(lián)接的計(jì)算機(jī)與其它網(wǎng)絡(luò)聯(lián)接的計(jì)算機(jī)的連接數(shù)量�,對(duì)超過閥值的連接將強(qiáng)行丟棄,向入侵檢測(cè)系統(tǒng)IDS發(fā)出報(bào)警。2.按照權(quán)利要求1所述的一種檢測(cè)蠕蟲病毒及延緩病毒傳播的方法����,其特征在于,該方法包括如下步驟����;A.截獲由與網(wǎng)絡(luò)連接的計(jì)算機(jī)應(yīng)用層到TCP/IP核心的數(shù)據(jù);B.分析目的地址�,統(tǒng)計(jì)其機(jī)與其它計(jì)算機(jī)的連接,包括其機(jī)發(fā)起到其它計(jì)算機(jī)的TCP連接和其機(jī)發(fā)送的UDP包���;C.判斷目的地址是不是到入侵檢測(cè)系統(tǒng)IDS的地址�����,對(duì)到入侵檢測(cè)系統(tǒng)IDS的數(shù)據(jù)�,則轉(zhuǎn)發(fā)到網(wǎng)絡(luò)接口��;D.對(duì)不是到入侵檢測(cè)系統(tǒng)IDS的數(shù)據(jù)�����,判斷是否超過規(guī)定的閥值�,超過閥值則將數(shù)據(jù)丟棄,并且向入侵檢測(cè)系統(tǒng)IDS發(fā)出報(bào)警信息���,否則轉(zhuǎn)發(fā)到網(wǎng)絡(luò)接口�����;E.入侵檢測(cè)系統(tǒng)IDS接受發(fā)來的病毒警報(bào)�����,進(jìn)行統(tǒng)計(jì)分析��,形成完整的病毒統(tǒng)計(jì)報(bào)告���。3.按照權(quán)利要求1所述的一種檢測(cè)蠕蟲病毒及延緩病毒傳播的方法,其特征在于��,病毒監(jiān)測(cè)程序可采用修改中間層驅(qū)動(dòng)或修改網(wǎng)卡驅(qū)動(dòng)實(shí)現(xiàn)監(jiān)控?cái)?shù)據(jù)的發(fā)送����。4.一種實(shí)現(xiàn)檢測(cè)蠕蟲病毒及延緩病毒傳播方法的病毒防護(hù)系統(tǒng),其特征在于���,其包括病毒監(jiān)測(cè)程序和入侵檢測(cè)系統(tǒng)IDS及網(wǎng)絡(luò)中交換數(shù)據(jù)的交換機(jī)��,病毒監(jiān)測(cè)程序與入侵檢測(cè)系統(tǒng)IDS采用標(biāo)準(zhǔn)網(wǎng)絡(luò)協(xié)議進(jìn)行標(biāo)準(zhǔn)的通信連接��;病毒監(jiān)測(cè)程序安裝在每一與網(wǎng)絡(luò)連接的計(jì)算機(jī)上����,入侵檢測(cè)系統(tǒng)IDS通過網(wǎng)絡(luò)接口與交換機(jī)相連。全文摘要本發(fā)明為一種檢測(cè)蠕蟲病毒及延緩病毒傳播的方法�����,該方法利用設(shè)置在網(wǎng)絡(luò)中的病毒防護(hù)系統(tǒng)�����,其病毒防護(hù)系統(tǒng)包括病毒監(jiān)測(cè)程序和入侵檢測(cè)系統(tǒng)IDS�����,通過病毒監(jiān)測(cè)程序監(jiān)測(cè)任一與網(wǎng)絡(luò)聯(lián)接的計(jì)算機(jī)與其它與網(wǎng)絡(luò)聯(lián)接的計(jì)算機(jī)的連接數(shù)量�����,并設(shè)置閥值限制其機(jī)與其它網(wǎng)絡(luò)聯(lián)接的計(jì)算機(jī)的連接數(shù)量�����,對(duì)超過閥值的連接將強(qiáng)行丟棄����,并向入侵檢測(cè)系統(tǒng)IDS發(fā)出報(bào)警。IDS接受發(fā)來的病毒警報(bào)�,進(jìn)行統(tǒng)計(jì)分析,形成完整的病毒統(tǒng)計(jì)報(bào)告��。本發(fā)明方法可以判斷病毒源頭��,延緩病毒的傳播速度���,從而保護(hù)網(wǎng)絡(luò)系統(tǒng)正常運(yùn)行���。文檔編號(hào)G06F11/28GK1549126SQ0313105公開日2004年11月24日申請(qǐng)日期2003年5月16日優(yōu)先權(quán)日2003年5月16日發(fā)明者劉秋實(shí),謝書強(qiáng),徐樹軍申請(qǐng)人:北京愛迪安網(wǎng)絡(luò)技術(shù)有限公司