专利名称:分布式病毒监测体系结构的制作方法
技术领域:
本发明涉及一种网络化病毒的监测体系结构,具体地说,是一种分布式的病毒监测体系结构。
文件监测方式是当网络化病毒到达本地后,在感染文件,或隐藏在文件中时被监测,并有杀毒引擎查杀病毒。它的工作原理是,一个文件监测程序常驻于计算机内存,它监测所有的文件,当文件发生变化时,它会向杀毒引擎报告信息,并请求查毒,这个变化可以是文件大小的改变,也可以是新文件的生成。网络化病毒的侵袭必然会引起部分文件的变化,从而被文件监测程序所掌握,并被查杀。这种监测病毒的方式的优点是可以监测计算机上的病毒,并进行查杀。但其缺点是病毒监测都是在单机上进行,即在一台计算机上安装上查杀毒软件,则该软件对该计算机上的病毒进行监测和查杀,当网络化病毒侵袭时,它只能被动的查杀,而不能从网络上杀毒,从而,不能对网络化病毒形成一个有效的防范机制,只能任由网络化病毒在网络上传播。同时,它对网络化病毒的传播束手无策,它既不知道病毒的来源,也不知道是否会经过它再传播给其它的计算机。
端口监测方式是当网络化病毒到达本地时,在到达网络层时被监测,并有杀毒引擎查杀病毒。它的工作原理是,一个端口监测程序常驻内存,它监测所有对外的计算机网络接口,当有网络上的数据到达时,它会向杀毒引擎报告信息,并请求查毒,这个端口可以是电子邮件的端口,也可以是WEB(网页)的端口,或是FTP(网页)的端口。这种病毒监测的优点是可以监测网络传播来的数据,并进行查杀。但其,缺点是病毒监测也是在单机上进行的,即在一台计算机上安装上查杀毒软件,则该软件对到达该计算机上的数据进行监测和查杀,当网络化病毒侵袭时,它只能被动的查杀,而不能从网络上杀毒,从而不能对网络化病毒形成一个有效的防范机制,只能任由网络化病毒在网络上传播。
本发明的技术方案是建立分布式病毒监测体系结构,对计算机网络进行分布式的计算机病毒的监测和查杀,它采用三级网络化病毒防范机制,其包括若干病毒防范节点,特点是,设有一台病毒中心服务器和至少一台病毒分中心服务器,并相应设置病毒中心服务器模块,病毒分中心服务器模块和病毒防范节点模块,而形成树状拓扑三级病毒防范体系,一台病毒中心服务器位于体系的根部,病毒分中心服务器位于中间层,所有的病毒分中心服务器与病毒中心服务器相连,病毒防范节点与最近的一台病毒分中心服务器相连,构成了分布式病毒监测体系;上述的病毒中心服务器模块是管理整个分布式病毒监测体系的中心,它包括病毒信息存储部分,病毒信息接收部分和病毒库分发部分部分。该病毒信息接收部分从病毒分中心服务器模块接收计算机病毒发作的信息,计算机病毒的特征该病毒信息存储部分把从病毒信息接收部分接收来的病毒信息放到病毒中心服务器的病毒信息数据库中;该病毒库分发部分取得病毒中心服务器上的最新的病毒库,并以预定的格式发送给各台在该病毒中心服务器注册的病毒分中心服务器;上述的病毒分中心服务器模块是管理局部网络的中心,它包括病毒信息存储部分、病毒信息接收部分、病毒信息发送部分、病毒库接收部分和病毒库分发部分。该病毒信息接收部分从病毒防范节点模块接收计算机病毒发作的信息,计算机病毒的特征;该病毒信息存储部分把从病毒信息接收部分接收来的病毒信息放到病毒分中心服务器的病毒信息数据库中;该病毒信息发送部分把病毒信息库中的病毒信息以预定的格式发送给病毒中心服务器;该病毒库接收部分从病毒中心服务器的病毒库发送模块接收最新的病毒库;该病毒库的分发部分就是取得其所在的病毒分中心服务器上的最新的病毒库,并以预定的格式发送给各台在该病毒分中心服务器注册的病毒防范节点;上述的病毒防范节点模块的功能是在病毒防范节点即计算机上监测、查杀病毒。它包括病毒监测部分,病毒信息发送部分,病毒库更新部分。该病毒监测部分监测本地计算机,发现网络化病毒,就向杀毒引擎报告,请求查杀病毒;该病毒信息发送部分从病毒监测部分得到病毒信息,并以特定的格式发送给它所注册的病毒分中心服务器;该病毒库更新部分从病毒分中心服务器接收最新的病毒库,在病毒防范节点上更新最新的病毒定义,把最新的病毒定义加到该病毒防范节点病毒特征库中。
本发明的优点是通过该技术的实现,可保证网络内无网络化病毒,实现了病毒的分布式查杀。
图2是本发明的分布式病毒监测体系结构示意图。
请参看
图1和图2,本实施例中,包括一台病毒中心服务器1和二台病毒分中心服务器2及四台病毒防范节点3——一台个人计算机31,一台小型计算机32,一台工作站33和一台电子邮件服务器34。它们形成树状拓扑三级病毒监测体系结构。一台病毒中心服务器1位于体系的根部,二台病毒分中心服务器2位于体系的中间层,它们向上分别连接该病毒中心服务器1,而向下则分别连接病毒防范节点3中的个人计算机31与小型计算机32和工作站33与电子邮件服务器34。上述的服务器1,2均装有系统软件Lunix6.2+Oralce8i+Tomcat。而该四台病毒防范节点3均装有WIN32+杀毒软件。
上述的病毒中心服务器1上设有病毒中心服务器模块10,其包括接受来自病毒分中心服务器2的病毒信息的病毒信息接受部分101,病毒信息存储部分102和向病毒分中心服务器2发送最新病毒库的病毒库分发部分102。
上述的病毒分中心服务器2上的病毒分中心服务器模块20,其包括接受病毒防范节点3送来的病毒信息的病毒信息接受部分201,病毒库存储部分202,向病毒中心服务器1发送病毒信息的病毒信息发送部分203,接受病毒中心服务器1送来的最新病毒库的病毒库接受部分204和向病毒防范节点3发送最新病毒库的病毒库分发部分。
上述的设在病毒防范节点3上的病毒防范节点模块30,其包括接受来自病毒分中心服务器2发送来的最新病毒库的病毒库更新部分303,监测本地计算机病毒的病毒监测部分301和从该病毒监测部分301取得病毒信息,并以特定格式发送给病毒分中心服务器2的病毒信息发送部分302。
下面将对病毒防范节点3、病毒分中心服务器2、病毒中心服务器1及病毒防范节点3-中级(病毒分中心服务器2)、中级-核心(病毒中心服务器1)间实现的功能进行详细的描述。
(1)局域网病毒防范节点3局域网病毒防范节点3包括多种功能和多种类型,作为病毒防范体系中直接进行病毒查、杀防范的一环,局域网病毒防范节点包括电子邮件病毒防范服务器、网络文件病毒防范服务器、病毒防范网关、客户端病毒防范软件等。模型软件中将首先实现客户端的病毒防范软件,并着重针对电子邮件型网络化病毒的防范处理。
模型软件系统在客户端采用文件系统监控方式。客户端程序对Outlook或其他电子邮件客户端软件进行监控,在其收取电子邮件时,监控文件系统的变化,同时调用杀毒引擎以比较病毒特征;如果杀毒引擎发现病毒,即自动杀毒并从中提取病毒信息(病毒名、邮件源、发件日期、主题、发件人、收件人等),同时报告本地,并向中级病毒管理中心提交病毒信息。同时客户端程序还具有主动向中级病毒管理中心请求更新病毒特征库和获取最新的病毒防范软件版本的功能。
局域网病毒防范节点3是三级网络化病毒防范体系中具体实现查、杀病毒的环节,使用的病毒查杀引擎和文件监控模块由创源公司提供,与中心病毒管理中心2的通信部分,病毒引擎及文件监控模块的调用由本发明人进行开发。
(2)中级病毒管理中心(病毒分中心服务器2)中级病毒管理中心将维护病毒特征库和病毒信息库两个数据库。各病毒分中心服务器2将应答病毒防范节点3(客户端),包括病毒信息库的更新、获取最新的病毒防范软件版本、查询公共信息等请求。
对客户端提交的病毒信息,各病毒分中心服务器2将把这些信息(病毒名、邮件源、发件日期、主题、发件人、收件人等)自动加入到病毒信息库中。各病毒分中心服务器2将对客户端提交的病毒信息进行分析统计并以报表显示和打印,同时提供查询功能。
病毒分中心服务器2将定期向病毒中心服务器1提交数据库中有关病毒信息的统计结果。各病毒分中心服务器2还能定时地请求从病毒中心服务器1中获取最新的病毒防范软件版本及相关的病毒特征库。
中级病毒管理中心应用在大型企事业单位、区县病毒防范专门机构中。
(3)核心病毒管理中心(病毒中心服务器1)病毒中心服务器1中存放最新的病毒信息库、最新的病毒特征库以及病毒防范软件版本。
核心病毒管理中心自动响应各病毒分中心服务器2对最新的病毒特征库、相关的病毒信息库以及病毒防范软件更新的请求。
病毒中心服务器的病毒信息库中将对所有中级病毒管理中心提交的统计信息再进行分析统计并以报表显示和打印同时提供查询功能。
核心病毒管理中心主要应用在市级的病毒防范专门机构,根据病毒中心服务器1中的病毒信息库,可以对病毒的发作时间、传播地区、传播方式、发作形式、破坏、攻击方式、产生地域、病毒高发人群、地区等内容进行分析,并据此对病毒防范的政策及宏观措施提供决策支持。
(4)客户端-中级客户端与病毒分中心服务器2之间的通信主要为客户端向病毒分中心服务器2请求病毒特征库/病毒防范软件的更新和病毒分中心服务器2对客户端请求的响应;以及客户端向病毒分中心服务器2提交病毒信息的请求及病毒分中心服务2的确认。
(5)中级(病毒分中心服务器2)-核心(病毒中心服务器1)病毒分中心服务器2与病毒中心服务器1之间的通信主要为病毒分中心服务器2向病毒中心服务器1请求病毒特征库更新和病毒中心服务器1对病毒分中心服务器2请求的响应;以及病毒分中心服务器2向病毒中心服务器1提交病毒信息的请求及核心的确认。
权利要求
1.一种分布式病毒监测体系结构,包括若干台病毒防范节点(3),其特征在于,设有与该若干台病毒防范节点(3)构成树状拓扑的三级病毒防范体系的至少一台病毒分中心服务器(2)和一台病毒中心服务器(1);该台病毒中心服务器(1)位于树状拓扑体系结构的根部,且其内设有病毒中心服务器模块(10);所说的病毒分中心服务器(2)位于中间层,且分别与该病毒中心服务器(1)相连接,和该每一台病毒分中心服务器(2)上各设有病毒中心服务器模块(20);该若干台病毒防范节点(3)分别与其相近的一台病毒分中心服务器(2)相连接,且每一台病毒防范节点(3)上设有相应的病毒防范节点模块(30)相应地,所述的病毒防范节点模块(30),病毒分中心服务器模块(20)和病毒中心服务器模块(10)构成三级树状拓扑体系。
2.根据权利要求1所述的分布式病毒监测体系结构,其特征在于,所说的病毒中心服务器模块(10),其包括顺次连接的病毒信息接受部分(101),病毒信息存储部分(102),和病毒库分发部分(103);该病毒信息接受部分(101)从该病毒分中心服务器模块(20)接受计算机病毒发作的信息和计算机病毒的特征;该病毒信息存储部分(102)把从该病毒信息接受部分(101)中接受来的病毒信息放到该病毒中心服务器(1)的病毒信息数据库中;该病毒库分发部分(103)取得病毒中心服务器(1)上的最新病毒库,并以预定的格式发给各台在病毒中心服务器(1)上注册的病毒分中心服务器(2)。
3.根据权利要求1所述的分布式病毒监测体系结构,其特征在于,所说的病毒分中心服务器模块(20),其包括病毒信息接受部分(201),病毒信息存储部分(202),病毒信息发送部分(203),病毒库接受部分(204)和病毒库分发部分(205),其中该病毒信息接受部分(201)从与其相连接的该病毒防范节点模块(30)接收计算机病毒发作的信息和计算机病毒的特征;该病毒信息存储部分(202)把从该病毒信息接受部分(201)接受来的病毒信息放到病毒分中心服务器(2)的病毒信息数据库中;该病毒信息发送部分(203)把该病毒分中心服务器(2)的病毒信息数据库的病毒信息以预定格式发送给病毒中心服务器(1);该病毒库接受部分(204)从该病毒中心服务器模块(10)的病毒库分发部分(103)接受最新的病毒库;该病毒库分发部分(205)取得其所在的病毒分中心服务器(2)上的最新的病毒库,并以预定格式发送给向病毒分中心服务器(2)中注册的病毒防范节点(3)。
4.根据权利要求1所述的分布式病毒监测体系结构,其特征在于,所说的病毒防范节点模块(30),其包括病毒监测部分(301),病毒信息发送部分(302),病毒库更新部分(303),其中;该病毒监测部分(301)监测本地计算机,发现网络化病毒就向杀毒引擎报告,请求查杀病毒;该病毒信息发送部分(302)从该病毒监测部分(301)取得病毒信息,并以特定格式发送给它所注册的病毒分中心服务器(2);该病毒库更新部分(303)是从它所注册的病毒分中心服务器(2)接受最新的病毒库,在病毒防范节点(3)上更新最新的病毒定义,把最新的病毒定义加到病毒特征库中。
5.根据权利要求1所述的分布式病毒监测体系结构,其特征在于,所说的病毒中心服务器(1)设在省市级的病毒防范专门机构。
6.根据权利要求1所述的分布式病毒监测体系结构,其特征在于,所说的病毒分中心服务器(2)系设置在大型企事业单位,区县级病毒防范专门机构。
7.根据权利要求1所述的分布式病毒监测体系结构,其特征在于,所说的病毒防范节点(3)系指局域网防范节点,其包括电子病毒防范服务器,网络病毒防范服务器,病毒防范网关,客户端病毒防范软件。
全文摘要
一种分布式病毒监测体系结构,包括若干台病毒防范节点,特点是:设有与该若干台病毒防范节点构成树状拓扑的三级病毒防范体系的一台位于体系根部的病毒中心服务器和位于体系中间层的至少一台病毒分中心服务器,所有的病毒分中心服务器连接该台病毒中心服务器,而该若干台病毒防范节点则分别连接与其相近的一台病毒分中心服务器;上述的病毒中心服务器,病毒分中心服务器和病毒防范节点均分别安装有病毒中心服务器模块,病毒分中心服务器模块和病毒防范节点模块,它们形成树状拓扑三级体系结构。本发明由于能实现对计算机病毒的分布式查杀,因而具有可保证网络内无网络化病毒的性能。
文档编号G06F9/44GK1356631SQ0113900
公开日2002年7月3日 申请日期2001年12月3日 优先权日2001年12月3日
发明者周曦民, 石坚, 吴恩平, 陆金山, 杨东升, 钱松荣, 胡方农, 余华, 王东, 韩苹苹, 谢晖 申请人:上海市计算机病毒防范服务中心, 复旦大学