专利名称:大型网络内的病毒监控方法及装置的制作方法
技术领域:
本发明涉及信息安全技术,更具体地说,涉及大型网络内的病毒监控 方法及装置。
背景技术:
病毒的防范是保证信息系统安全稳定运行的重要手段,是信息安全领 域的重大课题。特别是金融行业,信息系统的安全问题至关重要。目前,
国内外杀毒软件厂商推出了诸多杀毒软件产品,如Symantec、 Kill、 McAfee
等。这些杀毒软件除了有单机版,也有基于服务器的网络版,以实现对网 络内各台计算机的病毒报警情况进行监控、对病毒库升级进行管理及其它 各类管理和监控功能,所有病毒防治客户端信息均转发到病毒防治服务器 的数据库中。
但是目前使用的病毒防治软件的管理和监控功能仍旧存在无法满足金 融行业实际管理和监控需求的问题,例如报表功能不全、审计功能不够、 网络监控范围小等;并且,杀毒软件的服务器端只能监视网络内已经安装 了杀毒软件客户端的机器,对没有安装杀毒软件或者其它杀毒软件的客户 端无法管理,这就造成了病毒防治的一个盲区,给计算机系统安全留下了 隐患。对于金融行业来说,这个隐患尤其需要加以重视。
发明内容
本发明旨在提供一种用于大型网络的病毒监控装置及病毒监控方法, 以满足复杂的大型网络,尤其是金融行业网络的防病毒需求。
根据本发明的实施例,提供一种大型网络内的病毒监控装置,包括 客户端,客户端作为病毒监控装置的系统管理平台,实现与终端用户 的交互;
代理端,连接到一个或数个杀毒软件服务器,实现对整个网络的扫描以及对病毒的监控;
服务器,与客户端和代理端进行数据通信,从代理端接收有关扫描以 及病毒的数据,进行处理和保存,并将处理后的数据提供给客户端。 根据一实施例,代理端对网络内的每一个子网进行扫描,将子网内的
终端设备分为如下的四类不活动的设备、安装了杀毒软件的设备、未安 装杀毒软件,但是具有操作系统的设备、以及未安装操作系统的设备。
根据一实施例,代理端使用NMAP技术对子网进行扫描,其中如果 终端设备对ping命令没有回应,则分类为不活动的设备;如果终端设备对 ping命令有回应,且杀毒软件专用端口可连接,则分类为安装了杀毒软件 的设备,代理端进一步解析出终端设备的主机名;如果终端设备对ping命 令有回应,杀毒软件专用端口不可连接,但操作系统端口可连接,则分类 为未安装杀毒软件,但是具有操作系统的设备,代理端进一步解析出终端 设备的主机名;如果终端设备对ping命令有回应,杀毒软件专用端口不可 连接,操作系统端口也不可连接,则分类为未安装操作系统的设备。
代理端可以是安装在杀毒软件服务器上的应用程序。
服务器可包括如下的几个模块异常报警模块,对发现的病毒或者杀 毒软件服务器的异常进行报警;监督管理模块,监控杀毒软件服务器的病 毒库的升级情况;信息查询模块,进行病毒信息的查询;信息统计模块, 对病毒信息进行统计。
根据本发明的实施例,该提供一种大型网络内的病毒监控方法,包括
通过一客户端实现与终端用户的交互;
通过一服务器,根据客户端与终端用户的交互结果,指示一代理端进 行对网络的扫描以及对病毒的监控;
代理端连接到一个或数个杀毒软件服务器,通过杀毒软件服务器实现 对网络的扫描以及对病毒的监控;
服务器从代理端接收有关扫描以及病毒的数据,进行处理和保存,并 将处理后的数据提供给客户端;
客户端将所述数据反馈给终端用户。
根据一实施例,代理端对网络内的每一个子网进行扫描,将子网内的
6终端设备分为如下的四类不活动的设备、安装了杀毒软件的设备、未安 装杀毒软件,但是具有操作系统的设备、未安装操作系统的设备。根据一实施例,代理端使用NMAP技术对子网进行扫描,其中首先 使用ping命令连接终端设备,如果终端i殳备对ping命令没有回应,则分 类为不活动的设备;如果终端设备对ping命令有回应,则连接杀毒软件专 用端口,如果杀毒软件专用端口可连接,则分类为安装了杀毒软件的设备, 代理端进一步解析出终端设备的主机名;如果杀毒软件专用端口不可连接, 则连接操作系统端口可连接,如果操作系统端口可连接可连接,则分类为 未安装杀毒软件,但是具有操作系统的设备,代理端进一步解析出终端设 备的主机名;如果操作系统端口不可连接,则分类为未安装操作系统的设 备。代理端可以是安装在杀毒软件服务器上的应用程序。 服务器实现如下的功能异常报警,对发现的病毒或者杀毒软件服务 器的异常进行报警;监督管理,监控杀毒软件服务器的病毒库的升级情况; 信息查询,进行病毒信息的查询;信息统计,对病毒信息进行统计。本发明的病毒监控装置及病毒监控方法采用了 一系列先进的信息安 全、网络管理和数据分析技术和工具,采用安全管理系统的设计理念,整 合开发而成,实现了对整个网络内病毒防治情况的实时监控和管理,使得 网络管理人员对整个大型网络内的病毒防治情况充分掌握,这对系统安全 有着非常重要的意义。
本发明上述的以及其他的特征、本质、优点将通过下面结合附图和实 施例的描述而变得更加明显,在附图中,相同的附图标记始终表示相同的 特征,其中图1揭示了根据本发明的一实施例的病毒监控装置的结构图; 图2揭示了根据本发明的 一 实施例的病毒监控方法的流程图。
具体实施方式
术语定义,在本发明中,下述的英文缩写被定义为,AVMC: (Anti Virus Monitoring Center)防病毒监控中心; KILL :冠群公司开发的"安全曱胄"防病毒软件; NMAP: Network Mapper, —种网络扫描和嗅探工具。 本发明的病毒监控装置即是一个AVMC,根据本发明,该AVMC使用 NMAP技术。目前,NMAP ( Network Mapper)是常用的网络扫描和嗅探 工具。NMAP可以帮助网络管理人员深入探测UDP或者TCP端口 ,直至 主机所使用的操作系统;还可以将所有探测结果记录到各种格式的日志中, 为系统安全服务。其基本功能有三个, 一是探测一组主机是否在线;其次 是扫描主机端口,嗅探所提供的网络服务;还可以推断主机所用的操作系 统。NMAP可用于扫描仅有两个节点的LAN,直至500个节点以上的网络。 NMAP还允许用户定制扫描技巧。通常,一个简单的使用ICMP协议的ping 操作可以满足一般需求;也可以深入探测UDP或者TCP端口 ,直至主机 所使用的操作系统;还可以将所有探测结果记录到各种格式的日志中,供 进一步分析操作。AVMC就采用了 NMAP的一些基础原理,并做了一定的 扩展,使得扫描结果更加准确。利用这些结果,进一步判断系统内的 windows机器是否安装了杀毒软件;如果安装了 KILL杀毒软件,进一步对 其病毒防治进行实时监控,如果出现比较重大的病毒事件系统会及时报警。 AVMC对数据库中的病毒实时监视和扫描日志进行了详细全面的采 集、分析和归并,无论是每台机器的病毒防治情况还是感染次数排名在前 的病毒,或者几百个支行和部门内机器的病毒防治情况都可以进行查询统 计,并按照灵活的自定义对于高危病毒感染情况给与实时报警。 参考图1所示,该大型网络内的病毒监控装置包括 客户端100,客户端100作为病毒监控装置的系统管理平台,实现与 终端用户的交互;代理端102,连接到一个或数个杀毒软件服务器200,实现对整个网 络的扫描以及对病毒的监控;服务器104,与客户端100和代理端102进行数据通信,从代理端1028接收有关扫描以及病毒的数据,进行处理和保存,并将处理后的数据提供给客户端100。服务器104可以具有数据库。根据一实施例,代理端102对网络内的每一个子网进行扫描,将子网 内的终端设备分为如下的四类不活动的设备、安装了杀毒软件的设备、 未安装杀毒软件,但是具有操作系统的设备、以及未安装操作系统的设备。根据一实施例,代理端102使用NMAP技术对子网进行扫描,其中 如果终端设备对ping命令没有回应,则分类为不活动的设备;如果终端设 备对ping命令有回应,且杀毒软件专用端口可连接,则分类为安装了杀毒 软件的设备,代理端进一步解析出终端设备的主机名;如果终端设备对ping 命令有回应,杀毒软件专用端口不可连接,但操作系统端口可连接,则分 类为未安装杀毒软件,但是具有操作系统的设备,代理端进一步解析出终 端设备的主机名;如果终端设备对ping命令有回应,杀毒软件专用端口不 可连接,操作系统端口也不可连接,则分类为未安装操作系统的设备。代理端可以是安装在杀毒软件服务器上的应用程序,比如一个代理程序。在使用Windows操作系统和KILL杀毒软件的网络中,上述的子网扫 描的过程可以实现如下子网扫描采用NMAP技术,以已下发的子网为依据,逐个子网进行, 达到(1 )获取KILL客户端的安装和病毒特征码更新情况;(2) 了解KILL 服务器病毒特征码更新情况及管理范围的目的。对每个子网进行扫描前根据设置的网络地址和掩码算出要描扫的机器 的IP范围。如30.0.184.0/255.255.255.0这个网段的扫描范围为 30.0.184.1~30.0.184.254。对254个地址逐个进行扫描。扫描后才几器被分 为四类不活动的机器;安装KILL的机器;未安装KILL的windows机器;非windows机器。扫描的流程如下首先代理程序ping远程机器,如果不能ping通,则表示机器不活动; 如果ping通,去连接目标机器的42510端口 ,该端口为KILL杀毒软件的 专用端口;如果42510端口可连接,再用IP地址得到远程机器的机器名, 那么判断该机器已安装了 KILL杀毒软件,同时通过NET BIOS技术解析 出主机名,并从KlLL数据库中取出相应的特征码版本信息, 一 并以"安装 KILL的才几器"为前提,将信息写入数据库,比如服务器的数据库中;如果 42510端口不能连接,那么再尝试使用3389 ( SQL Server所使用网络端 口 ) 、 9594 (Dandesk软件所用网络端口 )等端口进一步连接判断;如果 这些端口可连接,那么判断该机器为WINDOWS机器,同样的使用NET BIOS技术解析出主机名,并以"未安装KILL的WINDOWS机器,,为前提, 将信息写入数据库,比如服务器的数据库;如果无法连通上述端口,则再 用NMAP工具判断是否是WINDOWS机器,如果是的话,同样的使用NET BIOS技术解析出主机名,并以"未安装KILL的WINDOWS机器"为前提, 将信息写入数据库,比如服务器的数据库;如果不是,则以"非WINDOWS 机器"为前提,将信息写入数据库,比如服务器的数据库。服务器104可包括如下的几个模块,同样参考图1所示异常报警模 块140,对发现的病毒或者杀毒软件服务器的异常进行报警;监督管理模 块142,监控杀毒软件服务器的病毒库的升级情况;信息查询模块144, 进行病毒信息的查询;信息统计模块146,对病毒信息进行统计。其中,异常报警模块140实现的异常报警功能包括未清除病毒(KILL实时监视器发现);防病毒服务器进程异常;防病毒服务器端的AVMC代理程序TssAgent服务异常; 防病毒服务器性能异常CPU、内存、磁盘空间利用率过阀值。 监督管理模块142实现的监督管理功能包括 KILL客户端安装、病毒库升级情况; 防病毒服务器病毒库升级情况。 信息查询模块144实现的信息查询功能包括 (实时)病毒日志(明细)查询;分析病毒感染源列出最先感染某种病毒的机器。 信息统计模块146实现的信息统计功能包括 病毒防治情况报表(以子网络为统计对象); 病毒感染次数排名(以病毒名称为统计对象)。本发明的病毒监控装置还能够实现病毒防治软件对于实时监视扫描部 分产生的病毒感染情况的实时报警和日志采集,以KILL杀毒软件为例,过 程如下此处提到的病毒日志包含KILL客户端发送给KILL服务器的病毒曰志 也包含KILL服务器本身的病毒日志。代理程序通过监视该写有这些日志文 件的数据库的变化, 一旦发现有新日志产生,该信息立即被代理程序获取, 代理程序将信息在本地进行报警事件匹配和过滤,如"未清除病毒"实现 报警,然后发往服务器,服务器立即对需要报警的信息进行标准化处理, 呈现在客户端,系统管理员可以根据这些信息进行相应的处理,无需报警 的病毒日志信息则写入数据库中,方便系统管理员日后调阅。该病毒监控装置能够实现(实时)病毒日志(明细)查询;分析病 毒感染源,列出最先感染某种病毒的机器;病毒防治情况报表(以部门/支 行为统计对象);病毒感染次数排名(以病毒名称为统计对象)。与"病毒日志报警和采集"类似的,以"定时"机制触发代理程序采 集功能,实现防病毒服务器进程异常监,防病毒服务器端的AVMC代理 程序TssAgent服务异常,防病毒服务器性能异常CPU、内存、磁盘空 间利用率过阀值的监视和报警。本发明的病毒监控装置的病毒防治服务器病毒特征码升级过程如下, 同样以KILL杀毒软件服务器为例病毒监控装置(AVMC)关注KILL的服务器是什么时候将新的特征码 发布(共享)出来给客户端更新。所以代理程序监视KILL服务器发布特征 码的目录(KILL安装目录下的Outgoing目录)。在该目录下有一个文件 siglist.txt,这个文件记录了所发布的特征码的版本信息。代理程序就通过siglisUxt是表征KILL病毒特征码升级信息的文件,也是KILL防病毒软件升级包中的文件之一。KlLL服务器通过查看这份文件中标识出的特征 码版本号来判断是否需要为服务器执行升级机制,AVMC系统也正是利用 了这一文件的特点,代理程序TssAgent —旦发现siglist.txt修改时间变化, 即刻比较该文件中所带的特征码版本和上次检查时的是否一致,如果发现 有版本更新,即刻发送相关日志至服务器数据库,反之,则继续等待下次 变化时间再作判断。代理端,比如代理程序TssAgent具有远程自动更新机制。本发明中 的代理程序实现了自动升级功能。如果TssAgent新加了功能并在升级服 务器上进行了相关设置病放入更新程序包,那么,KILL服务器会自动通过 FTP方式以计划任务的形式触发来获得更新程序包并完成TssAgent的版 本升级。代理程序的自动升级模块由操作系统,比如WINDOWS的计划任务驱 动。每天进行一次检查,如果发现有新版本的升级包就自动通过FTP的方 式下载并执行升级。执行自动升级的计划任务为"TssAgent AutoUpdate,,。图2揭示了根据本发明的 一 实施例,病毒监控方法200的流程图,该 方法包括202.通过一客户端实现与终端用户的交互;204.通过一服务器,根据客户端与终端用户的交互结果,指示一代 理端进行对网络的扫描以及对病毒的监控;206.代理端连接到一个或数个杀毒软件服务器,通过杀毒软件服务 器实现对网络的扫描以及对病毒的监控;208.服务器从代理端接收有关扫描以及病毒的数据,进行处理和保 存,并将处理后的数据提供给客户端;210.客户端将所述数据反馈给终端用户。同样的,根据一实施例,代理端对网络内的每一个子网进行扫描,将 子网内的终端设备分为如下的四类不活动的设备、安装了杀毒软件的设 备、未安装杀毒软件,但是具有操作系统的设备、未安装操作系统的设备。根据一实施例,代理端使用NMAP技术对子网进行扫描,其中首先12使用ping命令连接终端设备,如果终端设备对ping命令没有回应,则分 类为不活动的设备;如果终端设备对ping命令有回应,则连接杀毒软件专 用端口,如果杀毒软件专用端口可连接,则分类为安装了杀毒软件的设备, 代理端进一步解析出终端设备的主机名;如果杀毒软件专用端口不可连接, 则连接操作系统端口可连接,如果操作系统端口可连接可连接,则分类为 未安装杀毒软件,但是具有操作系统的设备,代理端进一步解析出终端设 备的主机名;如果操作系统端口不可连接,则分类为未安装操作系统的设 备。代理端可以是安装在杀毒软件服务器上的应用程序。 服务器实现如下的功能异常报警,对发现的病毒或者杀毒软件服务 器的异常进行报警;监督管理,监控杀毒软件服务器的病毒库的升级情况; 信息查询,进行病毒信息的查询;信息统计,对病毒信息进行统计。该方法的具体实现的细节特征与上面描述的装置相对应,这里就不再 具体进行说明。总结而言,本发明采用了代理端-服务器-客户端的病毒监控体系结构。 这一体系结构用于分布式网络,实现了在复杂广域网络情况下对网络内机 器的防病毒情况的监控和分析。本发明独创了网络扫描技术。系统采用独创的网络扫描技术并结合 NMAP网络扫描,扩展了扫描内容,可以判断出系统内不同计算机的操作 系统等信息。大型网络,尤其是金融行业的业务网络状况非常复杂,划分 为生产网和办公网两大网络类型,其中包含DOS、 WINDOWS、 LINUX、 UNIX等不同操作系统的计算机,还有网络打印机、ATM机器、IP终端等 各类特殊机器。该网络扫描技术能高效地判断出其中的WINDOWS机器, 并能分析各台WINDOWS机器是否安装了 KILL杀毒软件。本发明提供多样化、智能化的代理程序端。代理端程序是一个 WINDOWS应用程序,它以系统服务的形式安装在KILL SERVER上,实 现对KILL SERVER所管辖的网段内的机器的扫描和实时监控。该代理程 序可以远程自动更新,不需要人工干预;除了可以安装在KILL安全曱冑软 件服务器端,还可以修改接口安装在Symantec等其它杀毒软件系统上。13本发明采用先进的数据挖掘和数据分析技术,实现了对病毒的结果的 分析处理和几十种报表打印。
本发明病毒防治技术与网络扫描技术结合,实现了对大型复杂网络杀 毒软件情况的集中管理、病毒事件的实时报警。
本发明的病毒监控装置和病毒监控方法具有如下的优点系统稳定可 靠,代理程序以系统服务的形式运行,为了防止操作系统平台上易出现的 内存泄漏和内存损耗情况,代理程序会定期自动重起服务,这些措施进一 步增强了系统的稳定性。系统智能化程度高,搡作方便,病毒信息的处理 完全由系统自动完成,同时代理程序可以自动完成更新。扫描结果准确, 甚至在极其复杂的网络中也能进行准确的扫描。
上述实施例是提供给熟悉本领域内的人员来实现或使用本发明的,熟 悉本领域的人员可在不脱离本发明的发明思想的情况下,对上述实施例做 出种种修改或变化,因而本发明的保护范围并不被上述实施例所限,而应 该是符合权利要求书提到的创新性特征的最大范围。
权利要求
1.一种大型网络内的病毒监控装置,其特征在于,包括客户端,所述客户端作为病毒监控装置的系统管理平台,实现与终端用户的交互;代理端,连接到一个或数个杀毒软件服务器,实现对整个网络的扫描以及对病毒的监控;服务器,与所述客户端和代理端进行数据通信,从代理端接收有关扫描以及病毒的数据,进行处理和保存,并将处理后的数据提供给所述客户端。
2. 如权利要求1所述的病毒监控装置,其特征在于,所述代理端对网 络内的每一个子网进行扫描,将子网内的终端设备分为如下的四类不活动的设备;安装了杀毒软件的设备;未安装杀毒软件,但是具有操作系统的设备;未安装操作系统的设备。
3. 如权利要求2所述的病毒监控装置,其特征在于,所述代理端使用 NMAP技术对子网进行扫描,其中如果终端设备对ping命令没有回应,则分类为不活动的设备;如果终端设备对ping命令有回应,且杀毒软件专用端口可连接,则分 类为安装了杀毒软件的设备,代理端进一步解析出终端设备的主机名;如果终端设备对ping命令有回应,杀毒软件专用端口不可连接,但操 作系统端口可连接,则分类为未安装杀毒软件,但是具有操作系统的设备, 代理端进一步解析出终端设备的主机名;如果终端设备对ping命令有回应,杀毒软件专用端口不可连接,操作 系统端口也不可连接,则分类为未安装操作系统的设备。
4. 如权利要求1-3中任一项所述的病毒监控装置,其特征在于,所述代理端是安装在杀毒软件服务器上的应用程序。
5. 如权利要求1所述的病毒监控装置,其特征在于,所述服务器包括 异常报警模块,对发现的病毒或者杀毒软件服务器的异常进行报警; 监督管理模块,监控杀毒软件服务器的病毒库的升级情况; 信息查询模块,进行病毒信息的查询;信息统计一莫块,对病毒信息进卩于统计。
6. —种大型网络内的病毒监控方法,其特征在于,包括 通过一客户端实现与终端用户的交互;通过一服务器,根据所述客户端与终端用户的交互结果,指示一代理 端进行对网络的扫描以及对病毒的监控;所述代理端连接到一个或数个杀毒软件服务器,通过所述杀毒软件服 务器实现对网络的扫描以及对病毒的监控;所述服务器从代理端接收有关扫描以及病毒的数据,进行处理和保存, 并将处理后的数据提供给所述客户端;所述客户端将所述数据反馈给终端用户。
7. 如权利要求6所述的病毒监控方法,其特征在于,所述代理端对网 络内的每一个子网进行扫描,将子网内的终端设备分为如下的四类不活动的设备;安装了杀毒软件的设备;未安装杀毒软件,但是具有操作系统的设备;未安装操作系统的设备。
8. 如权利要求7所述的病毒监控方法,其特征在于,所述代理端使用 NMAP技术对子网进行扫描,其中首先使用ping命令连接终端设备,如果终端设备对ping命令没有回应,则分类为不活动的设备;如果终端设备对ping命令有回应,则连接杀毒软件专用端口 ,如果杀 毒软件专用端口可连接,则分类为安装了杀毒软件的设备,代理端进一步 解析出终端设备的主机名;如果杀毒软件专用端口不可连接,则连接操作系统端口可连接,如果 操作系统端口可连接可连接,则分类为未安装杀毒软件,但是具有操作系 统的设备,代理端进一步解析出终端设备的主机名;如果操作系统端口不可连接,则分类为未安装操作系统的设备。
9. 如权利要求6-8中任一项所述的病毒监控方法,其特征在于,所述 代理端是安装在杀毒软件服务器上的应用程序。
10. 如权利要求6所述的病毒监控方法,其特征在于,所述服务器实现异常报警,对发现的病毒或者杀毒软件服务器的异常进行报警; 监督管理,监控杀毒软件服务器的病毒库的升级情况; 信息查询,进行病毒信息的查询; 信息统计,对病毒信息进行统计。
全文摘要
本发明揭示了一种大型网络内的病毒监控装置,包括客户端,客户端作为病毒监控装置的系统管理平台,实现与终端用户的交互;代理端,连接到一个或数个杀毒软件服务器,实现对整个网络的扫描以及对病毒的监控;服务器,与客户端和代理端进行数据通信,从代理端接收有关扫描以及病毒的数据,进行处理和保存,并将处理后的数据提供给客户端。本发明还揭示了一种大型网络内的病毒监控方法。
文档编号H04L12/26GK101656632SQ20081004193
公开日2010年2月24日 申请日期2008年8月21日 优先权日2008年8月21日
发明者斌 吴, 亮 姚, 孙美华, 雷重梓 申请人:中国建设银行股份有限公司