网络病毒防护方法和用于网络病毒防护的路由器与流程

本发明属于路由器领域，尤其涉及一种网络病毒防护方法和用于网络病毒防护的路由器。

背景技术：

生活中人们往往利用无线路由作为有线连接到无线连接的桥梁，在使用手机或电脑的时候，无线路由器仅仅只是把手机或电脑的无线信号转化为有线信号传送到有线网络internet，或是将internet传送来的有线信号转换为无线信号发送给手机或电脑。

随着信息化的发展，网络无处不在，但网络及电子产品的信息安全也越来越重要，以往的防信息被盗、防病毒、防木马的方法就是在电子产品中安装杀毒软件，使之监控系统运行扫描病毒和木马，保护信息安全。

现有的这种安装杀毒软件保护信息安全的方法有缺点，1、现有的技术是必须在每个电子产品终端装上杀毒软件，这种方法占用电子产品系统资源且对小系统的电子产品无法适用；1、当电脑中毒严重，杀毒软件本身感染病毒时，杀毒软件扫描电子产器数据时反而会感染其他文件，另外杀毒不正常工作也会使电子产品本身运行不流畅。

为了解决上述技术问题，人们进行了长期的探索，例如中国专利公开了一种具有静态数据包筛选功能的高端防火墙路由器[申请号：cn201521070052.2]，包括机器壳体、中央处理器、静态数据包筛选芯片、传输天线，机器壳体两侧设置有散热孔，机器壳体正面下方设置有工作信号指示灯，机器壳体上侧面设置有外部连接端口，外部连接端口两侧设置有传输天线，机器壳体内部安装有中央处理器，中央处理器上方设置有静态数据包筛选芯片，中央处理器下方设置有内存芯片，中央处理器后侧设置有集成控制电路板，中央处理器和内存芯片、静态数据包筛选芯片之间设置有联通线路。

再如，一种基于检查知识库技术的等级保护检查系统及其使用方法[申请号：cn201610091018.6]，包括工具检查管理系统和技术检测工具库，其特征在于，所述工具检查管理系统包括检查指标库、检查知识库、人机交互界面、系统管理模块和专用接口，所述人机交互界面，用于展示重要信息系统基础数据库下发的内容和技术检测工具库提交的工具检查数据，为检查人员提供检查知识引导和检查数据录入的功能；所述检查指标库包括备案单位等级保护工作开展情况检查、信息系统定级备案检查、等级测评和安全建设整改工作情况检查、信息系统关键技术措施落实情况、信息系统等级保护管理制度落实情况、信息安全事件、应急预案、事件调查处置的检查内容和检查指标；所述检查知识库，将信息安全等级保护检查工作的实施经验、专家知识和分析模型进行固化，以后台运行的方式，为等级保护现场检查工作提供统一的专业检查知识和专业分析的智能分析模块，检查知识是对等级保护工作的实践经验和知识的提炼，对现场检查工作进行明确和规范的引导；所述系统管理模块，为工具检查管理系统提供运行维护支持，包括配置、用户和日志管理，所述专用接口，用于工具之间的检查数据交互、检查工具的数据提交、以及与信息系统安全监管平台之间的数据交互；所述技术检测工具库包括等级保护检查的标配工具和选配工具，所述标配工具包括：windows主机配置检查工具，用于对安装windows操作系统的主机进行配置信息自动化采集的工具；linux主机配置检查工具，用于对安装linux操作系统的主机进行配置信息自动化采集的工具；网络及安全设备配置检查工具，用于对路由器、交换机和防火墙进行配置信息自动化采集的工具；病毒检查工具，用于检查windows操作系统是否存在病毒的工具；木马检查工具，于检查windows操作系统是否存在木马的工具；网站恶意代码检查工具，用于检查web服务器目录路径中asp、aspx、jsp、php、css策略是否感染或存在恶意代码的工具；所述选配工具包括弱口令检查工具和漏洞检查工具，所述弱口令检查工具，用于检查smb、mssql、ftp、mysql、oracle、rdp、pop3、ssh、http、telnet、vnc和sysbase应用服务是否存在弱口令的工具；所述漏洞检查工具包括数据库安全检查工具和工业控制系统检测工具，所述数据库安全检查工具用于检查数据库是否存在安全弱点的工具；所述工业控制系统检测工具，用于对工业控制系统中的plc漏洞进行安全检测和发现plc存在的安全漏洞。

上述两个方案均将病毒拦截程序安装在路由器上，解决了现有技术必须在每个终端上安装杀毒软件的缺陷，达到防网络病毒目的的同时保证终端的运行效率，但是仍然存在部分缺陷，例如，只能对经过路由器的网络病毒进行拦截，无法对终端上的存在的病毒进行查杀等。

技术实现要素：

本发明的目的是针对上述问题，提供一种能够识别并查杀病毒的网络病毒防护方法；

本发明的另一目的是针对上述问题，提供一种具有网络病毒识别功能的用于网络病毒防护的路由器；

为达到上述目的，本发明采用了下列技术方案：

一种网络病毒防护方法，包括如下步骤：

s1：通过安装有杀毒主程序的路由器监测安装有杀毒程序接口程序的终端设备；

s2：路由器接收杀毒程序接口程序根据杀毒主程序的监测指令返回的数据；

s3：由杀毒主程序对杀毒程序接口程序发来的数据进行检测，并在检测到存在病毒数据时向相应的杀毒程序接口程序发送查杀指令。

通过上述技术方案，杀毒操作主要由路由器完成，对终端设备的系统运行资源占用减少，提高终端设备的运行效率。

在上述的网络病毒防护方法中，所述的路由器通过杀毒主程序的扫描程序对相应终端设备进行扫描监测，通过杀毒程序的病毒检测程序对扫描数据进行病毒检测，通过杀毒主程序的病毒查杀程序对检测到的病毒数据进行处理。

在上述的网络病毒防护方法中，在步骤s1中，所述的杀毒主程序通过无线网络扫描安装有杀毒程序接口程序的终端设备的运行状态及相关数据以对相应的终端设备进行扫描监测。

在上述的网络病毒防护方法中，在步骤s3中，所述的杀毒主程序通过特征代码法、检验和法、行为监测法和软件模拟法中的任意一种或多种病毒检测方法以检测终端设备是否存在病毒数据。

在上述的网络病毒防护方法中，在步骤s1中，所述的杀毒主程序通过向所述的杀毒程序接口程序发送使杀毒程序接口程序执行删除相应终端设备上具有病毒特征的数据的操作的查杀指令对病毒数据进行处理。

在上述的网络病毒防护方法中，在步骤s1之前，还包括：

路由器建立用于存储网络中病毒特征信息的病毒特征信息网络表，并通过杀毒主程序监测通过该路由器的网络访问数据。

在上述的网络病毒防护方法中，当存在通过路由器的网络访问时，路由器将网络访问的上行网络数据和/或下行终端设备的网络数据与病毒特征信息网络表中的病毒特征信息进行匹配，当匹配成功后，对匹配成功的网络数据进行拦截。

在上述的网络病毒防护方法中，所述的路由器在检测到存在于终端设备的新病毒之后，将该新病毒特征信息加入到病毒特征信息网络表中。

一种用于网络病毒防护的路由器，包括安装有杀毒模块的无线路由器，所述的杀毒模块包括扫描模块、病毒检测模块和病毒查杀模块，其中，

扫描模块：用于对路由器下行的终端设备的运行状态及相关数据进行扫描；

病毒检测模块：用于对扫描信息进行检测以监测相应的终端设备是否存在病毒数据；

病毒查杀模块：用于向相应的终端设备上的病毒删除模块下达删除该终端设备上相应病毒数据的指令。

在上述的用于网络病毒防护的路由器中，所述的无线路由器还包括：

病毒特征信息网络表：用于存储网络病毒特征信息；

匹配模块：用于将上行网络数据和/或下行终端设备的网络数据与病毒特征信息网络表中的病毒特征信息进行匹配；

拦截模块：用于根据匹配结果和/或病毒检测结果将上行网络数据和/或下行终端设备的网络数据中的病毒数据进行拦截；

病毒特征信息网络表更新模块：用于将包括在路由器下行的终端设备上新发现病毒的病毒特征信息的新病毒特征信息加入到病毒特征信息网络表中。

本发明网络病毒防护方法和用于网络病毒防护的路由器相较于现有技术具有以下优点：1、减少杀毒程序占用终端产品的系统运行资源，提高终端产品的运行速度；2、通过将主要程序的主要部分安装在路由器上将杀毒程序与终端设备的数据隔离，保证杀毒程序自身干净，不会因为自身被感染而影响终端设备的数据。

附图说明

图1是本发明实施例一的方法流程图；

图2是本发明实施例二的部分方法流程图；

图3是本发明实施例三的系统框图。

附图标记：无线路由器1；病毒特征信息网络表11；匹配模块12；拦截模块13；病毒特征信息网络表更新模块14；杀毒模块2；扫描模块21；病毒检测模块22；病毒查杀模块23；终端设备3；病毒删除模块4。

具体实施方式

本发明适用于无线电子设备的病毒预防及管理，能够解决现有技术将整个病毒程序安装在终端设备上，导致占用终端设备资源过多，病毒本身造成污染对终端设备数据产生影响等问题。

以下是本发明的优选实施例并结合附图，对本发明的技术方案作进一步的描述，但本发明并不限于这些实施例。

实施例一

如图1所示，本实施例公开了一种网络病毒防护方法，包括：

s1：通过安装有杀毒主程序的路由器监测安装有杀毒程序接口程序的终端设备3；

s2：由路由器的杀毒程序主程序接收杀毒程序接口程序根据杀毒主程序的监测指令返回的数据；

s3：由杀毒主程序对杀毒程序接口程序发来的数据进行检测，并在检测到存在病毒数据时向相应的杀毒程序接口程序发送查杀指令。

其中，路由器通过杀毒主程序的扫描程序对相应终端设备3进行扫描监测，通过杀毒程序的病毒检测程序对扫描数据进行病毒检测，通过杀毒主程序的病毒查杀程序对检测到的病毒数据进行处理。

进一步地，杀毒主程序的扫描程序通过无线网络扫描安装有杀毒程序接口程序的终端设备3的运行状态及相关数据对相应的终端设备3进行扫描监测。

同样地，杀毒主程序的病毒查杀程序通过向所述的杀毒程序接口程序发送使杀毒程序接口程序执行删除相应终端设备3上具有病毒特征的数据的操作的查杀指令以对病毒数据进行处理；

同样地，杀毒主程序的病毒检测程序通过特征代码法、检验和法、行为监测法和软件模拟法中的任意一种或多种病毒检测方法以检测终端设备3是否存在病毒数据；其中

特征代码法：

特征代码法被早期应用于scan、cpav等著名病毒检测工具中。

特征代码法的实现步骤如下：

采集已知病毒样本，病毒如果既感染com文件，又感染exe文件，对这种病毒要同时采集com型病毒样本和exe型病毒样本。

在病毒样本中，抽取特征代码。依据如下原则：

抽取的代码比较特殊，不大可能与普通正常程序代码吻合。抽取的代码具有适当长度，一方面维持特征代码的唯一性，另一方面又没有太大的空间与时间的开销。如果一种病毒的特征代码增长一字节，要检测3000种病毒，增加的空间就是3000字节。在保持唯一性的前提下，尽量使特征代码长度短些，以减少空间与时间开销。

在既感染com文件又感染exe文件的病毒样本中，抽取两种样本共有的代码，将特征代码纳入病毒数据库。

打开被检测文件，在文件中搜索，检查文件中是否含有病毒数据库中的病毒特征代码，如果发现病毒特征代码，由于特征代码与病毒一一对应，便可以断定，被查文件中患有何种病毒。

特征代码法的特点是：

a.速度慢

随着病毒种类的增多，检索时间变长。如果检索5000种病毒，必须对5000个病毒特征代码逐一检查，如果病毒种数再增加，检病毒的时间开销就变得十分可观；

b.误报警率低；

c.不能检测多态性病毒；

d.不能对付隐蔽性病毒。

校验和法：

将正常文件的内容，计算其校验和，将该校验和写入文件中或写入别的文件中保存，在文件使用过程中，定期地或每次使用文件前，检查文件现在内容算出的校验和与原来保存的校验和是否一致，因而可以发现文件是否感染。

检验和法既可发现已知病毒又可发现未知病毒。在scan和cpav工具的后期版本中除了病毒特征代码法之外，还纳入校验和法，以提高其检测能力。

校验和法既能发现已知病毒，也能发现未知病毒，但是，它不能识别病毒类，不能报出病毒名称，由于病毒感染并非文件内容改变的唯一的非他性原因，文件内容的改变有可能是正常程序引起的，所以校验和法容易产生误报警。

与特征代码法一样，校验和法也无法对隐蔽性病毒产生影响。

运用校验和法查病毒采用三种方式：

①在检测病毒工具中纳入校验和法，对被查的对象文件计算其正常状态的校验和，将校验和值写入被查文件中或检测工具中，而后进行比较。

②在应用程序中，放入校验和法自我检查功能，将文件正常状态的校验和写入文件本身中，每当应用程序启动时，比较现行校验和与原校验和值，实现应用程序的自检测。

③将校验和检查程序常驻内存，每当应用程序开始运行时，自动比较检查应用程序内部或别的文件中预先保存的校验和。

校验和法的优点是：方法简单，能发现未知病毒，被查文件的细微变化也能发现；

校验和法的缺点是：发布通行记录正常态的校验和、会误报警、不能识别病毒名称、不能对付隐蔽型病毒。

行为监测法：

一种利用病毒的特有行为特征性来监测病毒的方法。

由于一些行为是病毒的共同行为，而且比较特殊，在正常程序中，这些行为比较罕见，所以，当程序运行时，监视其行为即可，如果发现了病毒行为，立即报警。

这些做为监测病毒的行为特征如下：

a.占有int13h

所有的引导型病毒，都攻击boot扇区或主引导扇区。系统启动时，当boot扇区或主引导扇区获得执行权时，系统刚刚开工。一般引导型病毒都会占用int13h功能，因为其他系统功能未设置好，无法利用，引导型病毒占据int13h功能，在其中放置病毒所需的代码。

b.改dos系统为数据区的内存总量

病毒常驻内存后，为了防止dos系统将其覆盖，必须修改系统内存总量。

c.对com、exe文件做写入动作

病毒要感染，必须写com、exe文件。

d.病毒程序与宿主程序的切换

染毒程序运行中，先运行病毒，而后执行宿主程序。在两者切换时，有许多特征行为。

行为监测法的优点：可发现未知病毒、可相当准确地预报未知的多数病毒；

行为监测法的缺点：可能误报警、不能识别病毒名称。

软件模拟法：综合多种病毒检测方法。

软件模拟法优点：对病毒的判断能力最强；

软件模拟法缺点：扫描速度慢。

本实施例通过将杀毒程序分为两个部分，分别分装在路由器和终端设备3上，杀毒程序的监测和杀毒由路由器完成，终端设备3的杀毒部分只需根据路由器上的杀毒程序执行保留或删除指令即可，减少杀毒程序及杀毒操作对终端设备3系统运行资源的占用，提高终端设备3运行速度，同时，通过将杀毒程序的主要部分安装在路由器上，与终端设备3的数据进行隔离，保持杀毒程序本身的干净，更不会因自身被感染而影响终端设备3的数据。

实施例二

如图2所示，本实施例与实施例一类似，不同之处在于，本实施例在步骤s1之前，还包括以下步骤：

路由器建立用于存储网络中病毒特征信息的病毒特征信息网络表11，并通过杀毒主程序监测通过该路由器的网络访问数据:路由器将网络访问的上行网络数据和/或下行终端设备3的网络数据与病毒特征信息网络表11中的病毒特征信息进行匹配，当匹配成功后，对匹配成功的网络数据进行拦截。

优选地，路由器在检测到存在于终端设备3的新病毒之后，将该新病毒特征信息加入到病毒特征信息网络表11中以不断丰富路由器的病毒特征信息网络表11以便于下次发现类似病毒直接进行拦截或查杀操作。

本实施例中，对网络数据的拦截将由路由器自身完成，路由器通过自己建立的病毒特征信息对发送到路由器下行的终端设备3的钓鱼网站或木马网站数据进行拦截和过滤，使之不影响终端电子产品的使用，同时拦截下行终端设备3自身带有的病毒，使病毒、木马无法向网络传播，同时通过实施例一的方法将下行终端设备3自身带有的病毒进行查杀。

实施例三

如图3所示，本实施例公开了一种可采用实施例一或实施例二所述的方法进行病毒防护、查杀的用于网络病毒防护的路由器，其包括安装有杀毒模块的无线路由器1，杀毒模块2包括扫描模块21、病毒检测模块22和病毒查杀模块23，其中，

扫描模块21：用于对路由器下行的终端设备3的运行状态及相关数据进行扫描，本实施例中，路由器下行的终端设备3亦称为下行终端设备3；

病毒检测模块22：用于对扫描信息进行检测以监测相应的终端设备3是否存在病毒数据；

病毒查杀模块23：用于向相应的终端设备3上的病毒删除模块4下达删除该终端设备3上相应病毒数据的指令。

进一步地，无线路由器1还包括：

病毒特征信息网络表11：用于存储网络病毒特征信息；

匹配模块12：用于将上行网络数据和/或下行终端设备3的网络数据与病毒特征信息网络表11中的病毒特征信息进行匹配；

拦截模块13：用于根据匹配结果和/或病毒检测结果将上行网络数据和/或下行终端设备3的网络数据中的病毒数据进行拦截；

病毒特征信息网络表更新模块14：用于将包括在路由器下行的终端设备3上新发现病毒的病毒特征信息的新病毒特征信息加入到病毒特征信息网络表11中。

本文中所描述的具体实施例仅仅是对本发明精神作举例说明。本发明所属技术领域的技术人员可以对所描述的具体实施例做各种各样的修改或补充或采用类似的方式替代，但并不会偏离本发明的精神或者超越所附权利要求书所定义的范围。

尽管本文较多地使用了无线路由器1；病毒特征信息网络表11；匹配模块12；拦截模块13；病毒特征信息网络表更新模块14；杀毒模块2；扫描模块21；病毒检测模块22；病毒查杀模块23；终端设备3；病毒删除模块4等术语，但并不排除使用其它术语的可能性。使用这些术语仅仅是为了更方便地描述和解释本发明的本质；把它们解释成任何一种附加的限制都是与本发明精神相违背的。