專利名稱::一種未知惡意代碼的預警方法、設(shè)備和系統(tǒng)的制作方法
技術(shù)領(lǐng)域:
:本發(fā)明實施例涉及網(wǎng)絡(luò)安全技術(shù)�����,特別是涉及一種未知惡意代碼的預警方法、設(shè)備和系統(tǒng)�����。
背景技術(shù):
:隨著互聯(lián)網(wǎng)的廣泛應用�,對網(wǎng)絡(luò)安全的需求變得越來越大�。在所有的攻擊手段中,對漏洞的利用也越來越頻繁�。過去安全漏洞被利用一般需要幾個月時間。最近�,發(fā)現(xiàn)與利用之間的時間間隔已經(jīng)減少到了數(shù)天。漏洞一旦被發(fā)現(xiàn)后在很短的時間內(nèi)就會被惡意利用����,對于這種攻擊����,廠商大多很久才能夠得到惡意代碼的樣本�����,發(fā)行相應的補丁也就更慢�����,所以這種攻擊往往能夠造成巨大的破壞����。MSBlast(MS風暴)在漏洞被發(fā)現(xiàn)不到25天就進行了襲擊,Nachi(MS風暴變種)一周后就發(fā)動了襲擊�。如果能夠及早發(fā)現(xiàn)惡意代碼,就可以及時預防�,進而減少惡意代碼造成的損失?���,F(xiàn)有技術(shù)中,網(wǎng)絡(luò)設(shè)備無法對可疑代碼進行上報�����,當惡意代碼攻擊發(fā)生以后�,廠商需要很久才能獲取惡意代碼樣本。病毒軟件雖然可以對已經(jīng)下載到電腦上的文件進行分析并上報給監(jiān)控中心����,但是如果處理不當,仍然會受到已經(jīng)下載的惡意代碼的攻擊�,并且給用戶的電腦帶來了很大的負擔,另外由于需要安裝����,給用戶帶來了很多麻煩���,所以一些用戶會拒絕在網(wǎng)絡(luò)設(shè)備上安裝殺毒軟件,成為了惡意代碼傳播的溫床����。
發(fā)明內(nèi)容本發(fā)明實施例提供了一種未知惡意代碼的預警方法�、設(shè)備和系統(tǒng)?���?梢栽诘谝粫r間主動上報大量可疑代碼的源地址,為縮短解決病毒威脅的時間奠定了基礎(chǔ)��;并且無需在客戶端安裝軟件�����,避免安裝過程的麻煩���。本發(fā)明實施例提供的一種未知惡意代碼的預警方法�����,包括對數(shù)據(jù)包進行特征檢測��;通過檢測結(jié)果判斷所述數(shù)據(jù)包是否包含可疑代碼�����;如果包含��,記錄所述可疑代碼的源地址����;向監(jiān)控設(shè)備發(fā)送包含所述源地址的預警信息。本發(fā)明實施例提供的一種網(wǎng)絡(luò)設(shè)備�����,包括第一檢測模塊��,用于對數(shù)據(jù)包進行特征檢測���;第一判斷模塊��,用于通過第一檢測模塊的檢測結(jié)果判斷所述數(shù)據(jù)包是否包含可疑代碼����;第一記錄模塊,用于在第一判斷模塊判斷為包含的情況下���,記錄所述可疑代碼的源地址����;第一發(fā)送模塊����,用于向監(jiān)控設(shè)備發(fā)送包含所述源地址的預警信息。本發(fā)明實施例提供的一種未知惡意代碼的預警系統(tǒng)�,包括網(wǎng)絡(luò)設(shè)備和監(jiān)控設(shè)備�����,其中監(jiān)控設(shè)備用于接收預警信息�����;解析所述預警信息中的源地址���;下載所述源地址對應的可疑代碼���;判斷所述可疑代碼是否惡意�;在判斷為具有惡意時���,發(fā)送報警信息���。本發(fā)明實施例提供的一種未知惡意代碼的預警方法、設(shè)備和系統(tǒng)��??梢栽诘谝粫r間主動上報大量可疑代碼的源地址,從而使得廠商在惡意代碼出現(xiàn)后快速獲得樣本源地址�,并且確保了預警信息來源的全面性,為縮短解決病毒威脅的時間奠定了基礎(chǔ)����;并且無需在客戶端安裝軟件,避免安裝過程的麻煩���。為了更清楚地說明本發(fā)明實施例中的技術(shù)方案�����,下面將對實施例中所需要使用的附圖作簡單地介紹��,顯而易見地�,下面描述中的附圖僅僅是本發(fā)明的一些實施例,對于本領(lǐng)域普通技術(shù)人員來講�����,在不付出創(chuàng)造性勞動的前提下����,還可以根據(jù)這些附圖獲得其他的附圖。圖1為本發(fā)明未知惡意代碼的預警方法實施例示意圖���;圖2為本發(fā)明未知惡意代碼的預警方法實施例示意圖��;圖3為本發(fā)明網(wǎng)絡(luò)設(shè)備實施例示意圖����;圖4為本發(fā)明未知惡意代碼的預警系統(tǒng)實施例示意圖���。具體實施例方式下面將結(jié)合本發(fā)明實施例中的附圖,對本發(fā)明實施例中的技術(shù)方案進行清楚���、完整地描述���,顯然��,所描述的實施例僅僅是本發(fā)明一部分實施例��,而不是全部的實施例��?�;诒景l(fā)明中的實施例���,本領(lǐng)域普通技術(shù)人員在沒有作出創(chuàng)造性勞動前提下所獲得的所有其他實施例,都屬于本發(fā)明保護的范圍�。本發(fā)明實施例提供了一種結(jié)構(gòu)化信息價值評估方法和設(shè)備,下面對本發(fā)明實施例的技術(shù)方案做進一步的詳細描述�。圖1為本發(fā)明未知惡意代碼的預警方法實施例示意圖。本實施例包括步驟105���,對數(shù)據(jù)包進行特征檢測����;步驟IIO���,通過檢測結(jié)果判斷所述數(shù)據(jù)包是否包含可疑代碼��;步驟128�,如果包含,記錄所述可疑代碼的源地址�����;步驟130���,向監(jiān)控設(shè)備發(fā)送包含所述源地址的預警信息�。本發(fā)明實施例的執(zhí)行主體為網(wǎng)絡(luò)設(shè)備��。通過將數(shù)據(jù)包中可疑代碼的源地址發(fā)送給監(jiān)控設(shè)備���,及時地對可疑代碼進行了預警�。本實施例首先對數(shù)據(jù)包進行特征檢測����,比如可以通過檢測數(shù)據(jù)包中是否包含所述可疑代碼的名稱、檢測數(shù)據(jù)流中是否包含所述可疑代碼的文件頭�����、或者兩者結(jié)合的方法進行檢測��。具體的�����,只通過檢測數(shù)據(jù)包中是否包含所述可疑代碼的名稱時���,例如���,當檢測到數(shù)據(jù)包中包含類似get*,exe的字符串時,說明正在傳輸一個可執(zhí)行文件�,那么這個*.exe就是可疑代碼,因為這個可執(zhí)行文件有可能會泄露終端用戶的信息���、對終端的系統(tǒng)造成破環(huán)��、甚至被攻擊者控制���,其中*代表任意長字符串?����;蛘弋敂?shù)據(jù)包中包含類似get*.dll�����、get*.ocx的字符串時,也說明正在傳輸一個可執(zhí)行文件�,也有可能是一段惡意代碼,有可能會泄露終端用戶的信息�、對終端的系統(tǒng)造成破環(huán)、甚至被攻擊者控制�,同樣需要上報。只通過檢測數(shù)據(jù)流中是否包含所述可疑代碼的文件頭時�,例如,當檢測到數(shù)據(jù)包中包含PE(PortableExcutable�,可移植可執(zhí)行)文件頭特征碼"MZ"(ASCII(AmericanStandardCodeforInformationInterchange,美國信息交換標準代碼)碼表示)時,這個PE文件可能在執(zhí)行時泄露終端用戶的信息�����、對終端的系統(tǒng)造成破環(huán)����、甚至被攻擊者控制,所以這個PE文件也是可疑代碼�����。通過兩者結(jié)合的方法進行檢測時���,當檢測到get*,jpg之后�,如果繼續(xù)檢測到相應數(shù)據(jù)中包含PE文件頭特征碼"MZ"(ASCII(AmericanStandardCodeforlnformationInterchange,美國信息交換標準代碼)碼表示)����,這個PE文件就是可疑代碼,因為用戶嘗試的是下載一副圖片�,但是返回的是一個可執(zhí)行文件,這個欺騙行為�����,說明這個PE文件非?����?赡苁且欢螑阂獯a��。當檢測到可疑代碼以后�����,查找可疑代碼的來源�,具體的,如果是通過檢測數(shù)據(jù)流中是否包含所述可疑代碼的名稱來確定可疑代碼的���,那么源地址一般是會在get后面的URL中出現(xiàn)��,如果是通過檢測數(shù)據(jù)流中是否包含所述可疑代碼的文件頭來確定可疑代碼的����,那么可以通過數(shù)據(jù)包中的信息查找到數(shù)據(jù)包的源地址,如果是使用兩者相結(jié)合的方式來確定可疑代碼的��,源地址一般也會在get后面的URL中出現(xiàn)�����。記錄下可疑代碼的源地址以后����,再通過預警信息,將上述源地址發(fā)送給監(jiān)控設(shè)備�����。在預警之后����,網(wǎng)絡(luò)設(shè)備還可以接收所述監(jiān)控設(shè)備發(fā)送的報警信息。本發(fā)明實施例提供的一種未知惡意代碼的預警方法���??梢栽诘谝粫r間主動上報大量可疑代碼的源地址,從而使得廠商在惡意代碼出現(xiàn)后快速獲得樣本源地址���,并且確保了預警信息來源的全面性,為縮短解決病毒威脅的時間奠定了基礎(chǔ)��;并且無需在客戶端安裝軟件���,避免安裝過程的麻煩�����。圖2為本發(fā)明未知惡意代碼的預警方法實施例示意圖���。本實施例包括步驟105,對數(shù)據(jù)包進行特征檢測����;步驟IIO,通過檢測結(jié)果判斷所述數(shù)據(jù)包是否包含可疑代碼�;步驟128,如果包含�����,記錄所述可疑代碼的源地址;步驟130��,向監(jiān)控設(shè)備發(fā)送包含所述源地址的預警信息�����。步驟204���,接收所述監(jiān)控設(shè)備發(fā)送的報警信息����,所述報警信息包含所述可疑代碼的惡意性���、或所述可疑代碼的惡意性以及僵尸網(wǎng)絡(luò)拓撲信息���。本發(fā)明實施例與上一實施例的區(qū)別在于,網(wǎng)絡(luò)設(shè)備發(fā)送預警信息之后��,接收監(jiān)控設(shè)備發(fā)送的報警信息�。報警信息中包含預警的可疑代碼的惡意性、或者預警的可疑代碼的惡意性以及僵尸網(wǎng)絡(luò)拓撲信息。監(jiān)控設(shè)備可以通過特征檢測的方法��、沙箱測試的方法或者二者相結(jié)合的方法判斷可疑代碼的惡意性����。如果監(jiān)控設(shè)備使用特征檢測的方法計算惡意可能性,則監(jiān)控設(shè)備利用更為詳細的惡意代碼特征資源庫�����,與可疑代碼進行比較�,如果可疑代碼與惡意代碼特征資源庫中的特征匹配�����,根據(jù)其匹配的程度計算可疑代碼發(fā)動攻擊的概率����,并判斷是否有可能發(fā)生攻擊行為,即惡意可能性�����。比如����,如果特征庫中包含一段可疑代碼特征�,被認定為具有80%發(fā)動攻擊的概率����,可疑代碼與這段可疑代碼特征是一樣的,則可以認定可疑代碼也具有80%發(fā)動攻擊的概率�,如果這一概率超過報警閥值,則可疑代碼具有惡意可能性��。如果監(jiān)控設(shè)備使用沙箱的方法計算惡意可能性����,監(jiān)控設(shè)備自動將上述可疑代碼在沙箱中運行,并記錄執(zhí)行的結(jié)果和運行情況���,監(jiān)控設(shè)備根據(jù)這一記錄計算它的惡意可能性�。上述沙箱是一種專業(yè)虛擬環(huán)境�����,在其中運行的程序在修改注冊表或者文件時會被重定向至沙箱內(nèi)部��,這樣��,如果程序具有惡意,也不對沙箱外部造成影響��。即使在沙箱內(nèi)部執(zhí)行了攻擊行為����,只需重啟沙箱即可消除攻擊行為的影響。比如監(jiān)控設(shè)備檢測到可疑代碼的運行過程中觸發(fā)了一個惡意事件����,而這一事件的發(fā)動攻擊的概率是40%,則這一可疑代碼的惡意可能性也是40%����,如果這一概率超過報警閥值,則可疑代碼具有惡意可能性�����。如果判斷為惡意代碼��,監(jiān)控設(shè)備可以提取所述惡意代碼中的僵尸網(wǎng)絡(luò)拓撲結(jié)構(gòu)信息�,生成包含所述拓撲結(jié)構(gòu)信息的報警信息�����;監(jiān)控設(shè)備發(fā)送所述包含所述拓撲結(jié)構(gòu)信息的報警信息。上述惡意代碼中的僵尸網(wǎng)絡(luò)拓撲結(jié)構(gòu)信息��,包括僵尸主機以及控制主機的IP地址���、端口���、或URL。監(jiān)控設(shè)備發(fā)送包含所述拓撲結(jié)構(gòu)信息的報警信息之后�����,網(wǎng)絡(luò)設(shè)備接收所述監(jiān)控設(shè)備發(fā)送的報警信息��,所述報警信息包含所述可疑代碼的惡意性�����、或所述可疑代碼的惡意性以及上述僵尸網(wǎng)絡(luò)拓撲信息���。本發(fā)明實施例還可以包含以下步驟步驟216�,根據(jù)所述可疑代碼的惡意性�����,攔截具有惡意的可疑代碼;或步驟225����,根據(jù)所述可疑代碼的惡意性以及僵尸網(wǎng)絡(luò)拓撲信息,攔截具有惡意的可疑代碼以及所述僵尸網(wǎng)絡(luò)拓撲信息對應的僵尸網(wǎng)絡(luò)中的數(shù)據(jù)包���。網(wǎng)絡(luò)設(shè)備在收到報警信息之后對相應的可疑代碼進行攔截����,對僵尸網(wǎng)絡(luò)中的數(shù)據(jù)包進行攔截����。本發(fā)明實施例提供的一種未知惡意代碼的預警方法?����?梢栽诘谝粫r間主動上報大量可疑代碼的源地址�����,并且確保了預警信息來源的全面性����,為縮短解決病毒威脅的時間奠定了基礎(chǔ);同時避免了安裝客戶端軟件的麻煩��。另外�,通過網(wǎng)絡(luò)設(shè)備發(fā)送可疑代碼的源地址,減少了直接發(fā)送可疑代碼用戶帶寬的占用量����;通過監(jiān)控設(shè)備分析可疑代碼,并向網(wǎng)絡(luò)設(shè)備發(fā)送報警�����,使得網(wǎng)絡(luò)設(shè)備對惡意可疑代碼進行攔截���;通過提取僵尸網(wǎng)絡(luò)拓撲結(jié)構(gòu)信息��,并向網(wǎng)絡(luò)設(shè)備發(fā)送僵尸網(wǎng)絡(luò)的報警����,使得網(wǎng)絡(luò)設(shè)備對僵尸網(wǎng)絡(luò)中的數(shù)據(jù)包進行攔截���,減少了主機收到攻擊的可能性�。圖3為本發(fā)明網(wǎng)絡(luò)設(shè)備實施例示意圖���。本實施例包括第一檢測模塊301��,用于對數(shù)據(jù)包進行特征檢測��;第一判斷模塊312����,用于通過第一檢測模塊的檢測結(jié)果判斷所述數(shù)據(jù)包是否包含可疑代碼;第一記錄模塊325��,用于在第一判斷模塊判斷為包含的情況下�����,記錄所述可疑代碼的源地址��;第一發(fā)送模塊336�,用于向監(jiān)控設(shè)備發(fā)送包含所述源地址的預警信息。本實施例第一檢測模塊首先對數(shù)據(jù)包進行特征檢測��,比如可以通過檢測數(shù)據(jù)包中是否包含所述可疑代碼的名稱��、檢測數(shù)據(jù)流中是否包含所述可疑代碼的文件頭��、或者兩者結(jié)合的方法進行檢測�����。第一判斷模塊根據(jù)第一檢測模塊的檢測結(jié)果判斷是否包含可疑代碼��。如果包含��,第一記錄模塊記錄下可疑代碼的來源�����,并通過第一發(fā)送模塊向監(jiān)控設(shè)備預警�。在預警之后,網(wǎng)絡(luò)設(shè)備還可以接收所述監(jiān)控設(shè)備發(fā)送的報警信息�。本實施例第一檢測模塊還可以包括以下子模塊第一檢測子模塊302,用于檢測數(shù)據(jù)流中是否包含所述可疑代碼的名稱��;和/或第二檢測子模塊303�,用于檢測數(shù)據(jù)流中是否包含所述可疑代碼的文件頭。本實施例還可以包括以下模塊第一接收模塊345�����,用于接收所述監(jiān)控設(shè)備發(fā)送的報警信息�����,所述報警信息包含所述可疑代碼的惡意性、或所述可疑代碼的惡意性以及僵尸網(wǎng)絡(luò)拓撲信息�。本實施例還可以包括以下模塊第一攔截模塊352,用于根據(jù)所述可疑代碼的惡意性�����,攔截具有惡意的可疑代碼�;或第二攔截模塊367,用于根據(jù)所述可疑代碼的惡意性以及僵尸網(wǎng)絡(luò)拓撲信息����,攔截具有惡意的可疑代碼以及所述僵尸網(wǎng)絡(luò)拓撲信息對應的僵尸網(wǎng)絡(luò)中的數(shù)據(jù)包。本發(fā)明實施例提供的網(wǎng)絡(luò)設(shè)備��?����?梢栽诘谝粫r間主動上報大量可疑代碼的源地址����,并且確保了預警信息來源的全面性,為縮短解決病毒威脅的時間奠定了基礎(chǔ)��;并且無需在客戶端安裝軟件,避免安裝過程的麻煩�����。還通過第一接收模塊接收監(jiān)控設(shè)備發(fā)送的報警信息��,對惡意可疑代碼進行攔截或者對僵尸網(wǎng)絡(luò)中的數(shù)據(jù)包進行攔截���,減少了主機收到攻擊的可能性。圖4為本發(fā)明未知惡意代碼的預警系統(tǒng)實施例示意圖�。本實施例包括如圖3所示的網(wǎng)絡(luò)設(shè)備401和監(jiān)控設(shè)備412,上述監(jiān)控設(shè)備用于接收預警信息���;解析所述預警信息中的源地址���;下載所述源地址對應的可疑代碼;判斷所述可疑代碼是否惡意���;在判斷為具有惡意時��,發(fā)送報警信息�����。本發(fā)明實施例提供的一種未知惡意代碼的預警系統(tǒng)����。可以在第一時間搜集大量可疑代碼的源地址���,并且確保了預警信息來源的全面性����,為縮短解決病毒威脅的時間奠定了基礎(chǔ)�;并且無需在客戶端安裝軟件,避免安裝過程的麻煩����。。通過以上的實施方式的描述��,本領(lǐng)域的技術(shù)人員可以清楚地了解到本發(fā)明可以通過硬件實現(xiàn)�����,也可以借助軟件加必要的通用硬件平臺的方式來實現(xiàn)�。基于這樣的理解�����,本發(fā)明的技術(shù)方案可以以軟件產(chǎn)品的形式體現(xiàn)出來,該軟件產(chǎn)品可以存儲在一個非易失性存儲介質(zhì)(可以是CD-ROM�����,U盤��,移動硬盤等)中�,包括若干指令用以使得一臺計算機設(shè)備(可以是個人計算機����,服務(wù)器,或者網(wǎng)絡(luò)設(shè)備等)執(zhí)行本發(fā)明各個實施例上述的方法�。本領(lǐng)域技術(shù)人員可以理解附圖只是一個優(yōu)選實施例的示意圖,附圖中的模塊或流程并不一定是實施本發(fā)明所必須的���。本領(lǐng)域技術(shù)人員可以理解實施例中的裝置中的模塊可以按照實施例描述進行分布于實施例的裝置中�,也可以進行相應變化位于不同于本實施例的一個或多個裝置中���。上述實施例的模塊可以合并為一個模塊��,也可以進一步拆分成多個子模塊��。上述本發(fā)明實施例序號僅僅為了描述����,不代表實施例的優(yōu)劣。以上公開的僅為本發(fā)明的幾個具體實施例�,但是,本發(fā)明并非局限于此���,任何本領(lǐng)域的技術(shù)人員能思之的變化都應落入本發(fā)明的保護范圍�����。權(quán)利要求一種未知惡意代碼的預警方法���,其特征在于,包括對數(shù)據(jù)包進行特征檢測�;通過檢測結(jié)果判斷所述數(shù)據(jù)包是否包含可疑代碼;如果包含�����,記錄所述可疑代碼的源地址���;向監(jiān)控設(shè)備發(fā)送包含所述源地址的預警信息���。2.如權(quán)利要求1所述的方法����,其特征在于���,所述對數(shù)據(jù)包進行特征檢測包括以下至少一項檢測數(shù)據(jù)流中是否包含所述可疑代碼的名稱���;檢測數(shù)據(jù)流中是否包含所述可疑代碼的文件頭。3.如權(quán)利要求1或2所述的方法���,其特征在于,還包括接收所述監(jiān)控設(shè)備發(fā)送的報警信息�,所述報警信息包含所述可疑代碼的惡意性、或所述可疑代碼的惡意性以及僵尸網(wǎng)絡(luò)拓撲信息���。4.如權(quán)利要求3所述的方法����,其特征在于�����,還包括根據(jù)所述可疑代碼的惡意性,攔截具有惡意的可疑代碼�����;或根據(jù)所述可疑代碼的惡意性以及僵尸網(wǎng)絡(luò)拓撲信息���,攔截具有惡意的可疑代碼以及所述僵尸網(wǎng)絡(luò)拓撲信息對應的僵尸網(wǎng)絡(luò)中的數(shù)據(jù)包�����。5.—種網(wǎng)絡(luò)設(shè)備����,其特征在于�����,包括第一檢測模塊��,用于對數(shù)據(jù)包進行特征檢測�����;第一判斷模塊����,用于通過第一檢測模塊的檢測結(jié)果判斷所述數(shù)據(jù)包是否包含可疑代碼��;第一記錄模塊��,用于在第一判斷模塊判斷為包含的情況下��,記錄所述可疑代碼的源地址�����;第一發(fā)送模塊�,用于向監(jiān)控設(shè)備發(fā)送包含所述源地址的預警信息����。6.如權(quán)利要求5所述的網(wǎng)絡(luò)設(shè)備�,其特征在于,第一檢測模塊包括第一檢測子模塊��,用于檢測數(shù)據(jù)流中是否包含所述可疑代碼的名稱���;和/或第二檢測子模塊�,用于檢測數(shù)據(jù)流中是否包含所述可疑代碼的文件頭����。7.如權(quán)利要求5所述的網(wǎng)絡(luò)設(shè)備�����,其特征在于����,還包括第一接收模塊����,用于接收所述監(jiān)控設(shè)備發(fā)送的報警信息,所述報警信息包含所述可疑代碼的惡意性��、或所述可疑代碼的惡意性以及僵尸網(wǎng)絡(luò)拓撲信息�����。8.如權(quán)利要求5所述的網(wǎng)絡(luò)設(shè)備���,其特征在于�����,還包括第一攔截模塊����,用于根據(jù)所述可疑代碼的惡意性,攔截具有惡意的可疑代碼����;或第二攔截模塊,用于根據(jù)所述可疑代碼的惡意性以及僵尸網(wǎng)絡(luò)拓撲信息���,攔截具有惡意的可疑代碼以及所述僵尸網(wǎng)絡(luò)拓撲信息對應的僵尸網(wǎng)絡(luò)中的數(shù)據(jù)包�����。9.一種未知惡意代碼的預警系統(tǒng)��,其特征在于����,包括如權(quán)利要求5-8所述的網(wǎng)絡(luò)設(shè)備�;監(jiān)控設(shè)備���,用于接收預警信息�;解析所述預警信息中的源地址���;下載所述源地址對應的可疑代碼����;判斷所述可疑代碼是否惡意;在判斷為具有惡意時�,發(fā)送報警信息。全文摘要本發(fā)明實施例涉及了一種未知惡意代碼的預警方法����、設(shè)備和系統(tǒng)。本發(fā)明實施例涉及的方法和設(shè)備包括對數(shù)據(jù)包進行特征檢測�;通過檢測結(jié)果判斷所述數(shù)據(jù)包是否包含可疑代碼;如果包含���,記錄所述可疑代碼的源地址����;向監(jiān)控設(shè)備發(fā)送包含所述源地址的預警信息��。本發(fā)明實施例可以在第一時間主動上報大量可疑代碼的源地址���,為縮短解決病毒威脅的時間奠定了基礎(chǔ)�����;并且無需在客戶端安裝軟件�,避免安裝過程的麻煩。文檔編號H04L12/24GK101714931SQ20091024717公開日2010年5月26日申請日期2009年11月26日優(yōu)先權(quán)日2009年11月26日發(fā)明者蔣武申請人:成都市華為賽門鐵克科技有限公司