基于云网络的网络病毒防护方法、安全无线路由器和系统与流程

本发明属于无线路由器领域，尤其涉及一种基于云网络的网络病毒防护方法、安全无线路由器和系统。

背景技术：

生活中人们往往利用无线路由作为有线连接到无线连接的桥梁，在使用手机或电脑的时候，无线路由器仅仅只是把手机或电脑的无线信号转化为有线信号传送到有线网络internet，或是将internet传送来的有线信号转换为无线信号发送给手机或电脑。

随着信息化的发展，网络无处不在，但网络及电子产品的信息安全也越来越重要，以往的防信息被盗、防病毒、防木马的方法就是在电子产品中安装杀毒软件，使之监控系统运行扫描病毒和木马，保护信息安全。

现有的这种安装杀毒软件保护信息安全的方法有缺点，1、现有的技术是必须在每个电子产品终端装上杀毒软件，这种方法占用电子产品系统资源且对小系统的电子产品无法适用；1、当电脑中毒严重，杀毒软件本身感染病毒时，杀毒软件扫描电子产器数据时反而会感染其他文件，另外杀毒不正常工作也会使电子产品本身运行不流畅。

为了解决上述技术问题，人们进行了长期的探索，例如中国专利公开了一种具有静态数据包筛选功能的高端防火墙无线路由器[申请号：cn201521070052.2]，包括机器壳体、中央处理器、静态数据包筛选芯片、传输天线，机器壳体两侧设置有散热孔，机器壳体正面下方设置有工作信号指示灯，机器壳体上侧面设置有外部连接端口，外部连接端口两侧设置有传输天线，机器壳体内部安装有中央处理器，中央处理器上方设置有静态数据包筛选芯片，中央处理器下方设置有内存芯片，中央处理器后侧设置有集成控制电路板，中央处理器和内存芯片、静态数据包筛选芯片之间设置有联通线路。

再如，一种基于检查知识库技术的等级保护检查系统及其使用方法[申请号：cn201610091018.6]，包括工具检查管理系统和技术检测工具库，其特征在于，所述工具检查管理系统包括检查指标库、检查知识库、人机交互界面、系统管理模块和专用接口，所述人机交互界面，用于展示重要信息系统基础数据库下发的内容和技术检测工具库提交的工具检查数据，为检查人员提供检查知识引导和检查数据录入的功能；所述检查指标库包括备案单位等级保护工作开展情况检查、信息系统定级备案检查、等级测评和安全建设整改工作情况检查、信息系统关键技术措施落实情况、信息系统等级保护管理制度落实情况、信息安全事件、应急预案、事件调查处置的检查内容和检查指标；所述检查知识库，将信息安全等级保护检查工作的实施经验、专家知识和分析模型进行固化，以后台运行的方式，为等级保护现场检查工作提供统一的专业检查知识和专业分析的智能分析模块，检查知识是对等级保护工作的实践经验和知识的提炼，对现场检查工作进行明确和规范的引导；所述系统管理模块，为工具检查管理系统提供运行维护支持，包括配置、用户和日志管理，所述专用接口，用于工具之间的检查数据交互、检查工具的数据提交、以及与信息系统安全监管平台之间的数据交互；所述技术检测工具库包括等级保护检查的标配工具和选配工具，所述标配工具包括：windows主机配置检查工具，用于对安装windows操作系统的主机进行配置信息自动化采集的工具；linux主机配置检查工具，用于对安装linux操作系统的主机进行配置信息自动化采集的工具；网络及安全设备配置检查工具，用于对无线路由器、交换机和防火墙进行配置信息自动化采集的工具；病毒检查工具，用于检查windows操作系统是否存在病毒的工具；木马检查工具，于检查windows操作系统是否存在木马的工具；网站恶意代码检查工具，用于检查web服务器目录路径中asp、aspx、jsp、php、css策略是否感染或存在恶意代码的工具；所述选配工具包括弱口令检查工具和漏洞检查工具，所述弱口令检查工具，用于检查smb、mssql、ftp、mysql、oracle、rdp、pop3、ssh、http、telnet、vnc和sysbase应用服务是否存在弱口令的工具；所述漏洞检查工具包括数据库安全检查工具和工业控制系统检测工具，所述数据库安全检查工具用于检查数据库是否存在安全弱点的工具；所述工业控制系统检测工具，用于对工业控制系统中的plc漏洞进行安全检测和发现plc存在的安全漏洞。

上述两个方案均将病毒拦截程序安装在无线路由器上，解决了现有技术必须在每个终端上安装杀毒软件的缺陷，达到防网络病毒目的的同时保证终端的运行效率，但是仍然存在部分缺陷，例如，只能对经过无线路由器的网络访问进行拦截，无法有区别地通过安全数据，拦截病毒数据等。

技术实现要素：

本发明的目的是针对上述问题，提供一种能够查杀病毒的网络病毒防护方法；

本发明的另一目的是针对上述问题，提供一种具有网络病查杀功能的安全无线路由器；

本发明的另一目的是针对上述技术问题，提供一种网络病毒防护系统。

为达到上述目的，本发明采用了下列技术方案：

一种网络病毒防护方法，包括如下步骤：

s1：多个无线路由器通过建立有网络病毒必要特征信息库的云服务器组成为相互关联的云网络；

s2当存在网络访问时，相应的无线路由器启动病毒查杀程序；

s3：通过病毒查杀程序对网络访问提取特征信息，并将该特征信息上传至云服务器对使特征信息与网络病毒必要特征信息库进行匹配；

s4若接收到匹配成功的信息，则根据匹配结果拦截符合网络病毒必要特征信息的病毒数据，同时通过网络访问中的安全数据；若接收到匹配不成功的信息，则通过网络访问。

通过上述技术方案，杀毒操作主要由无线路由器完成，对终端设备的系统运行资源占用减少，提高终端设备的运行效率。

在上述的网络病毒防护方法中，在步骤s4中，当接收到匹配成功的信息后，通过病毒查杀程序根据所感染病毒的感染特性对网络访问中的安全数据进行恢复修改。

在上述的网络病毒防护方法中，在步骤s4之后，当杀毒程序检测到网络访问中还存在隐藏病毒或多种形态性质病毒时，执行以下步骤：

s4-1：通过杀毒程序建立虚拟运行环境来执行网络访问以对安全数据进行进一步检查；

s4-2：在运行网络访问的同时对网络访问的运转展开监测，等待病毒的密码破译后，再次提取特征信息并上传至云服务器使特征提取信息与网络病毒必要特征信息库进行匹配确认。

在上述的网络病毒防护方法中，在运行网络访问的同时，病毒查杀程序对网络访问进行行为监测，并在发现病毒行为后对病毒数据进行查杀并将该病毒数据的特征信息上报给云服务器供云服务器参考选择是否更新网络病毒必要特征信息库。

在上述的网络病毒防护方法中，所述的网络访问包括上下网络访问和下行网络访问。

在上述的网络病毒防护方法中，无线路由器发现存在病毒数据的网络访问后，执行以下步骤：

向相应网络访问的上行终端设备和/或下行终端设备发送病毒信息。

一种安全无线路由器，包括安装有杀毒模块的无线路由器，所述的杀毒模块包括访问特征信息提取模块11、通信模块、病毒数据拦截模块和安全数据恢复模块14，其中，

访问特征信息提取模块11：用于提取通过无线路由器的网络访问的访问特征信息；

通信模块：用于与云服务器之间的信息交流，包括上传访问特征信息和接收匹配结果信息；

病毒数据拦截模块：用于根据匹配结果执行拦截符合网络病毒必要特征信息的病毒数据；

安全数据恢复模块14：用于根据所感染病毒的感染特性对网络访问中的安全数据进行恢复修改。

在上述的安全无线路由器中，所述的杀毒模块包括用于建立虚拟运行环境以对网络访问进行运行监测的虚拟机建立模块。

在上述的安全无线路由器中，所述的无线路由器包括用于向网络访问的上行终端设备和/或下行终端设备发送病毒信息的病毒告知模块。

一种网络病毒防护系统，包括权利要求7-9任意一项所述的安全无线路由器，还包括云服务器，且所述的云服务器包括网络病毒必要特征信息库和网络病毒必要特征信息库更新模块；

云服务器：用于建立网络病毒特征信息库以与无线路由器提取到的访问特征信息进行匹配以检查病毒；

网络病毒必要特征信息库：用于存储网络病毒必要特征信息；

拦截匹配模块：用于将所述的访问特征信息与所述网络病毒必要特征信息库中的网络病毒必要特征信息进行匹配；

网络病毒必要特征信息库更新模块：用于根据任意一个所述的无线路由器新发现的病毒不定期更新网络病毒必要特征信息库，以及根据网络大数据定期更新网络病毒必要特征信息库。

本发明基于云网络的网络病毒防护方法、安全无线路由器和系统相较于现有技术具有以下优点：1、减少杀毒程序占用终端产品的系统运行资源，提高终端产品的运行速度；2、只拦截病毒数据，对安全数据照常通过，不会影响到访问数据源头的正常访问请求；3、无线路由器之间通过云网络建立关联，共享共用更新网络病毒必要特征信息库。

附图说明

图1是本发明实施例一的方法流程图；

图2是本发明实施例二安全无线路由器的结构框图；

图3是本发明实施例三的系统框图。

附图标记：杀毒模块1；访问特征信息提取模块11；通信模块12；病毒数据拦截模块13；安全数据恢复模块14；虚拟机建立模块15；无线路由器2；病毒告知模块21；云服务器3；网络病毒必要特征信息库31；网络病毒必要特征信息库更新模块32。

具体实施方式

本发明适用于无线电子设备的病毒预防及管理，能够解决现有技术需要将病毒程序安装在终端设备上，导致占用终端设备资源过多，病毒本身造成污染对终端设备数据产生影响等问题。

以下是本发明的优选实施例并结合附图，对本发明的技术方案作进一步的描述，但本发明并不限于这些实施例。

实施例一

如图1所示，本实施例公开了一种网络病毒防护方法，包括：

s1：多个无线路由器2通过建立有网络病毒必要特征信息库31的云服务器3组成为相互关联的云网络；

s2当存在网络访问时，相应的无线路由器2启动病毒查杀程序；

s3：通过病毒查杀程序对网络访问提取特征信息，并将该特征信息上传至云服务器3对使特征信息与网络病毒必要特征信息库31进行匹配；

s4若接收到匹配成功的信息，则根据匹配结果拦截符合网络病毒必要特征信息的病毒数据，同时通过网络访问中的安全数据；若接收到匹配不成功的信息，则通过网络访问。

其中，为了保证正常数据的正常传送，本实施例根据不同类型的病毒对感染对象的修改具有不同表现的特性，在步骤s4执行过程中，包括：

当接收到匹配成功的信息后，通过病毒查杀程序根据所感染病毒的感染特性对网络访问中的安全数据进行恢复修改。

具体过程包括：在匹配成功后，无线路由器2同时接收与访问特征相匹配的病毒信息和/或该病毒信息可能会对感染对象也就是网络访问中的正常数据进行的修改动作，然后无线路由器2根据接收到的信息对网络访问的正常数据进行检查，对于检查到被破坏的正常数据进行反向修改使其恢复正常。

现有技术中，杀毒程序可通过特征代码法、检验和法、行为监测法和软件模拟法中的任意一种或多种病毒检测方法以检测病毒的存在与否；其中

特征代码法：

特征代码法被早期应用于scan、cpav等著名病毒检测工具中。

特征代码法的实现步骤如下：

采集已知病毒样本，病毒如果既感染com文件，又感染exe文件，对这种病毒要同时采集com型病毒样本和exe型病毒样本。

在病毒样本中，抽取特征代码。依据如下原则：

抽取的代码比较特殊，不大可能与普通正常程序代码吻合。抽取的代码具有适当长度，一方面维持特征代码的唯一性，另一方面又没有太大的空间与时间的开销。如果一种病毒的特征代码增长一字节，要检测3000种病毒，增加的空间就是3000字节。在保持唯一性的前提下，尽量使特征代码长度短些，以减少空间与时间开销。

在既感染com文件又感染exe文件的病毒样本中，抽取两种样本共有的代码，将特征代码纳入病毒数据库。

打开被检测文件，在文件中搜索，检查文件中是否含有病毒数据库中的病毒特征代码，如果发现病毒特征代码，由于特征代码与病毒一一对应，便可以断定，被查文件中患有何种病毒。

特征代码法的特点是：

a.速度慢

随着病毒种类的增多，检索时间变长。如果检索5000种病毒，必须对5000个病毒特征代码逐一检查，如果病毒种数再增加，检病毒的时间开销就变得十分可观；

b.误报警率低；

c.不能检测多态性病毒；

d.不能对付隐蔽性病毒。

校验和法：

将正常文件的内容，计算其校验和，将该校验和写入文件中或写入别的文件中保存，在文件使用过程中，定期地或每次使用文件前，检查文件现在内容算出的校验和与原来保存的校验和是否一致，因而可以发现文件是否感染。

检验和法既可发现已知病毒又可发现未知病毒。在scan和cpav工具的后期版本中除了病毒特征代码法之外，还纳入校验和法，以提高其检测能力。

校验和法既能发现已知病毒，也能发现未知病毒，但是，它不能识别病毒类，不能报出病毒名称，由于病毒感染并非文件内容改变的唯一的非他性原因，文件内容的改变有可能是正常程序引起的，所以校验和法容易产生误报警。

与特征代码法一样，校验和法也无法对隐蔽性病毒产生影响。

运用校验和法查病毒采用三种方式：

①在检测病毒工具中纳入校验和法，对被查的对象文件计算其正常状态的校验和，将校验和值写入被查文件中或检测工具中，而后进行比较。

②在应用程序中，放入校验和法自我检查功能，将文件正常状态的校验和写入文件本身中，每当应用程序启动时，比较现行校验和与原校验和值，实现应用程序的自检测。

③将校验和检查程序常驻内存，每当应用程序开始运行时，自动比较检查应用程序内部或别的文件中预先保存的校验和。

校验和法的优点是：方法简单，能发现未知病毒，被查文件的细微变化也能发现；

校验和法的缺点是：发布通行记录正常态的校验和、会误报警、不能识别病毒名称、不能对付隐蔽型病毒。

行为监测法：

一种利用病毒的特有行为特征性来监测病毒的方法。

由于一些行为是病毒的共同行为，而且比较特殊，在正常程序中，这些行为比较罕见，所以，当程序运行时，监视其行为即可，如果发现了病毒行为，立即报警。

这些做为监测病毒的行为特征如下：

a.占有int13h

所有的引导型病毒，都攻击boot扇区或主引导扇区。系统启动时，当boot扇区或主引导扇区获得执行权时，系统刚刚开工。一般引导型病毒都会占用int13h功能，因为其他系统功能未设置好，无法利用，引导型病毒占据int13h功能，在其中放置病毒所需的代码。

b.改dos系统为数据区的内存总量

病毒常驻内存后，为了防止dos系统将其覆盖，必须修改系统内存总量。

c.对com、exe文件做写入动作

病毒要感染，必须写com、exe文件。

d.病毒程序与宿主程序的切换

染毒程序运行中，先运行病毒，而后执行宿主程序。在两者切换时，有许多特征行为。

行为监测法的优点：可发现未知病毒、可相当准确地预报未知的多数病毒；

行为监测法的缺点：可能误报警、不能识别病毒名称。

软件模拟法：综合多种病毒检测方法，由于多种形态性质病毒每一次侵入后都会改变他的病毒密码，特征码法无法解决此病毒，由于多种形态性质病毒执行了改变密码的形式，而每一次所使用的密钥不尽相同，将感染病毒的文档中的病毒码与正常病毒码对比，没有办法寻找到一样的可以成飞这个特点的稳定码，为了检查此病毒，可以使用软件模拟法。

用软件模拟法来模拟与解析程序的运转，之后用虚拟机上展开检查查毒，该方法结合特征码法，起初，采用特征码法检查病毒，一旦有隐藏的病毒或者多种形态性质病毒出现时，软件模拟模块就被激发，对病毒的运转展开检测，等待病毒自己的密码破译后，再利用特征码法对病毒的类别进行确认。

软件模拟法优点：对病毒的判断能力最强；

软件模拟法缺点：扫描速度慢。

本实施例中杀毒程序主要通过特征码法、软件模拟法和行为监测法对病毒进行识别。

具体表现为：在步骤s4之后，当杀毒程序检测到网络访问中还存在隐藏病毒或多种形态性质病毒时，执行以下步骤：

s4-1：通过杀毒程序建立虚拟运行环境来执行网络访问以对安全数据进行进一步检查；

s4-2：在运行网络访问的同时对网络访问的运转展开监测，等待病毒的密码破译后，再次提取特征信息并上传至云服务器3使特征提取信息与网络病毒必要特征信息库31进行匹配确认。

在运行网络访问的同时，病毒查杀程序对网络访问进行行为监测，并在发现病毒行为后对病毒数据进行查杀并将该病毒数据的特征信息上报给云服务器3供云服务器3参考选择是否更新网络病毒必要特征信息库31，云服务器3可以通过病毒判断方法对该病毒数据进行进一步验证确定其为病毒数据后对网络病毒必要特征信息库31进行更新，云网络中的多个无线路由器2共享更新数据，使云网络中无线路由器2可拦截的病毒数据更全面。

具体地，网络访问包括上下网络访问和下行网络访问，无线路由器2在发现存在病毒数据的网络访问后，执行以下步骤：

无线路由器2向相应网络访问的上行终端设备和/或下行终端设备发送病毒信息以告知上行终端设备其发送的网络访问中存在病毒，使有条件的上行终端设备能够根据无线路由器2的返回信息对该病毒进行查杀；同时由于经过无线路由器2进行病毒查杀的网络访问并不一定百分之百被清除干净，所以提醒下行终端设备该网络数据曾经存在病毒，虽然已被查杀，但不能保证肯定没有问题，告知下行设备慎重打开该网络访问的数据或在有条件的情况下进一步查杀该网络访问的数据。

本实施例的杀毒程序安装在无线路由器2上，减少了杀毒程序及杀毒操作对终端设备系统运行资源的占用，提高终端设备的运行速度，同时，多个无线路由器2之间实现云共享，组成云网络病毒特征库，在病毒拦截上更全面，使病毒数据扼杀在传输中。

实施例二

如图2所示，本实施例公开了一种安全无线路由器，包括安装有杀毒模块1的无线路由器2，杀毒模块1包括访问特征信息提取模块11、通信模块12、病毒数据拦截模块13和安全数据恢复模块14，其中，

访问特征信息提取模块11：用于提取通过无线路由器2的网络访问的访问特征信息；

通信模块12：用于与云服务器3之间的信息交流，包括上传访问特征信息和接收匹配结果信息；

病毒数据拦截模块13：用于根据匹配结果执行拦截符合网络病毒必要特征信息的病毒数据；

安全数据恢复模块：用于根据所感染病毒的感染特性对网络访问中的安全数据进行恢复修改。

进一步地，杀毒模块1包括用于建立虚拟运行环境以对网络访问进行运行监测的虚拟机建立模块15。

进一步地，无线路由器2包括用于向网络访问的上行终端设备和/或下行终端设备发送病毒信息的病毒告知模块21。

实施例三

如图3所示，本实施例公开了一种网络病毒防护系统，包括实施例二中的安全无线路由器，还包括云服务器3，且云服务器3包括网络病毒必要特征信息库31和网络病毒必要特征信息库更新模块32；

云服务器3：用于建立网络病毒特征信息库以与无线路由器2提取到的访问特征信息进行匹配以检查病毒；

网络病毒必要特征信息库31：用于存储网络病毒必要特征信息；

拦截匹配模块：用于将所述的访问特征信息与所述网络病毒必要特征信息库31中的网络病毒必要特征信息进行匹配；

网络病毒必要特征信息库更新模块32：用于根据任意一个所述的无线路由器2新发现的病毒不定期更新网络病毒必要特征信息库31，以及根据网络大数据定期更新网络病毒必要特征信息库31，网络大数据是指包括本实施例中所指的云网络在内的整个互联网中通过其他途径新发现病毒的病毒特征信息。

本文中所描述的具体实施例仅仅是对本发明精神作举例说明。本发明所属技术领域的技术人员可以对所描述的具体实施例做各种各样的修改或补充或采用类似的方式替代，但并不会偏离本发明的精神或者超越所附权利要求书所定义的范围。

尽管本文较多地使用了杀毒模块1；访问特征信息提取模块11；通信模块12；病毒数据拦截模块13；安全数据恢复模块14；虚拟机建立模块15；无线路由器2；病毒告知模块21；云服务器3；网络病毒必要特征信息库31；网络病毒必要特征信息库更新模块32等术语，但并不排除使用其它术语的可能性。使用这些术语仅仅是为了更方便地描述和解释本发明的本质；把它们解释成任何一种附加的限制都是与本发明精神相违背的。