专利名称:对网络化病毒源反馈式报警方法
技术领域:
本发明涉及一种查杀计算机病毒的方法,具体地说,是一种向网络化病毒源反馈式报警方法。
本发明是建立向病毒的来源提出警告和建议的反馈式报警方法,其步骤包括建立两个模块发现病毒信息的计算机病毒监测模块和查杀病毒并向病毒源告警的反馈式报警模块。
所说的建立计算机病毒监测模块,其功能是监测网络化病毒,建立三级病毒防范体系监测网络化病毒,该三级病毒监测体系采用树状拓扑结构,一台病毒中心服务器位于体系的根部,病毒分中心服务器位于中间层,所有的病毒分中心服务器与病毒中心服务器相连,病毒防范节点与最近的一台病毒分中心服务器相连,构成了病毒监测体系。病毒防范节点使用病毒监测软件发现网络化的病毒后,取得网络化病毒的来源、病毒到达的日期、病毒发送的目的地和病毒的主要特征等;所说的建立反馈式报警模块,其功能是查杀病毒并向病毒的来源提出警告和建议,反馈式报警模块设在各台病毒防范节点上,包括依次以病毒信息联结的查杀病毒取病毒信息模块和向病毒源发警告模块,计算机病毒监测模块取得计算机病毒的信息,通过电子邮件方式向该病毒的来源发送警告,并提出查毒建议和解决方案。
如上述,通过本发明方法,使病毒的来源计算机会得到警告,这样,网络病毒的查杀是在该病毒的传播途径上进行的,可有效阻止病毒在网络上传播。
图2是本发明的计算机病毒监测模块示意图。
图3是本发明的反馈式报警模块示意图。
图4是本发明的病毒反馈时序示意图。
请参阅
图1,本发明方法的步骤包括a.建立发现病毒信息的计算机病毒监测模块1;b.建立查杀病毒并向病毒源(传播者)告警的反馈式报警模块2。
请参见图2,如图所示,本实施例所建立的计算机病毒监测模块1是一个树状拓扑三级监测体系,其包括一台位于体系根部的病毒中心服务器11,二台位于体系中间层的病毒分中心服务器12,它们分别连接该病毒中心服务器11;有五台病毒防范节点13,其中三台病毒防范节点13——一台个人计算机、一台小型计算机和一台工作站,它们分别连接一台病毒分中心服务器12;另外二台病毒防范节点13——一台电子邮件服务器和一台文件服务器,它们分别与另一台病毒分中心服务器12连接;所有的五台病毒防范节点13都分别向相应(注册)的病毒分中心服务器12上报计算机病毒信息——病毒记录、病毒来源、病毒到达日期、病毒发送目的地和病毒的主要特征等,之后该病毒分中心服务器12向病毒中心服务器11上报,该病毒中心服务器11对病毒信息进行统计、分析而创建最新病毒库,该最新病毒库被逐级下发至各台病毒防范节点13。
请参阅图3,本实施例中,所有五台病毒防范节点13分别建立有如图中所示的反馈式报警模块2,其包括依次以病毒信息联结的查杀病毒取病毒信息模块21和向病毒源发警告模块22。受到计算机病毒入侵的该台病毒防范节点13接受最新病毒库后便对该入侵的病毒进行查杀,并如图4所示那样,对病毒来源计算机甲发出电子邮件,发出病毒警告和建议,这样,该计算机甲除了对感染的病毒进行查杀外又对病毒来源计算机乙以电子邮件方式发出病毒警告和建议,如此一来,病毒源受到追查,阻止了其在网络上传播。
下面将对病毒防范节点13、中级管理中心(病毒分中心服务器12)、核心管理中心(病毒中心服务器11)及病毒防范节点13——病毒分中心服务器12、病毒分中心服务器12——病毒中心服务器11间的实现进行详细的描述。(1)局域网病毒防范节点(病毒防范节点13)局域网病毒防范节点包括多种功能和多种类型,作为病毒防范体系中直接进行病毒查、杀防范的一环,局域网病毒防范节点包括电子邮件病毒防范服务器、网络文件病毒防范服务器、病毒防范网关、客户端病毒防范软件等。模型软件中将首先实现客户端的病毒防范软件,并着重针对电子邮件型网络化病毒的防范处理。
模型软件系统在客户端(病毒防范节点13)采用文件系统监控方式。客户端程序对Outlook或其他电子邮件客户端软件进行监控,在其收取电子邮件时,监控文件系统的变化,同时调用杀毒引擎以比较病毒特征;如果杀毒引擎发现病毒,即自动杀毒并从中提取病毒信息(病毒名、邮件源、发件日期、主题、发件人、收件人等),同时报告本地,并向病毒分中心服务器12提交病毒信息。病毒防范节点13使用病毒监测软件发现网络化的病毒后,取得网络化病毒的来源,病毒到达的日期,病毒发送的目的地,病毒的主要特征等,由病毒信息反馈软件通过电子邮件方式向病毒源报警。(2)病毒分中心服务器12中级病毒管理中心即病毒分中心服务器12将维护病毒特征库和病毒信息库两个数据库。各病毒分中心服务器12服务器将应答客户端,其包括病毒信息库的更新、获取最新的病毒防范软件版本、查询公共信息等请求。
对客户端提交的病毒信息,各病毒分中心服务器12将把这些信息(病毒名、邮件源、发件日期、主题、发件人、收件人等)自动加入到病毒信息库中。各病毒分中心服务器12将对客户端提交的病毒信息进行分析统计并以报表显示和打印,同时提供查询功能。
病毒分中心服务器12将定期向病毒中心服务器11提交数据库中有关病毒信息的统计结果。各病毒分中心服务器12还能定时地请求从病毒中心服务器11中获取最新的病毒防范软件版本及相关的病毒特征库。(3)核心病毒管理中心,即病毒中心服务器11病毒中心服务器11中存放最新的病毒信息库、最新的病毒特征库以及病毒防范软件版本。
病毒中心服务器11自动响应各病毒分中心服务器12对最新的病毒特征库、相关的病毒信息库以及病毒防范软件更新的请求。
病毒中心服务器11的病毒信息库中将对所有病毒分中心服务器12提交的统计信息再进行分析统计并以报表显示和打印同时提供查询功能。(4)客户端(病毒防范节点13)——中级病毒管理中心(病毒分中心服务器12)客户端与中级病毒管理中心之间的通信主要为病毒防范节点13向病毒分中心服务器12请求病毒特征库/病毒防范软件的更新和病毒分中心服务器12对病毒防范节点13请求的响应;以及病毒防范节点13向病毒分中心服务器12提交病毒信息的请求及病毒分中心服务器12的确认。(5)中级病毒管理中心(病毒分中心服务器12)——核心病毒管理中心(病毒中心服务器11)中级病毒管理中心与核心病毒管理中心之间的通信主要为病毒分中心服务器12向病毒中心服务器11请求病毒特征库更新和病毒中心服务器11对病毒分中心服务器12请求的响应;以及病毒分中心服务器12向病毒中心服务器11提交病毒信息的请求及病毒中心服务器11的确认。
权利要求
1.一种对网络化病毒源反馈式报警方法,其步骤包括a.建立发现病毒信息的计算机病毒监测模块(1);b.建立查杀病毒并向病毒源告警的反馈式报警模块(2)。
2.根据权利要求1所述的对网络化病毒源反馈式报警方法,其特征在于,所说的建立计算机病毒监测模块(1)是构建一个树状拓扑病毒监测体系,该体系包括一台位于该监测体系根部的病毒中心服务器(11)和至少有一台位于该体系中间层的病毒分中心服务器(12),所有的病毒分中心服务器(12)都分别连接该台病毒分中心服务器(11),以及有若干台病毒防范节点(13),各台防范节点(13)分别与最近的一台病毒分中心服务器(12)连接;一台病毒防范节点(13)发现计算机病毒后,上报给其注册的该台病毒分中心服务器(12),该台病毒中心服务器(12)再上报病毒中心服务器(11),病毒中心服务器(11)获得病毒信息、病毒特征后生成最新病毒库,该最新病毒库被逐级向下分发至各台病毒防范节点(13)查杀病毒。
3.根据权利要求1或2所述的对网络化病毒源反馈式报警方法,其特征在于,所说的建立反馈式报警模块(2),是构建一个包括设在各台病毒防范节点(13)上的依次以病毒库信息联结的查杀病毒取病毒信息模块(21)和向病毒源发警告模块(22);病毒防范节点(13)接受其注册的病毒分中心服务器(12)分发来的最新病毒库后,由设在其上的查杀病毒取病毒信息块(21)查杀病毒,并将病毒信息送入后接它的向病毒源发警告模块(22),该模块(22)以电子邮件方式向对其传入病毒的计算机发出报警信息和建议忠告。
全文摘要
一种对网络化病毒源反馈式报警方法,其主要步骤为建立计算机病毒监测模块和反馈式报警模块,本发明可阻止病毒在网络上传播。
文档编号G06F11/28GK1349166SQ0113900
公开日2002年5月15日 申请日期2001年12月3日 优先权日2001年12月3日
发明者周曦民, 石坚, 吴恩平, 陆金山, 杨东升, 钱松荣, 余华, 王东, 韩苹苹, 谢晖, 胡方农 申请人:上海市计算机病毒防范服务中心, 复旦大学