专利名称:病毒监测方法和设备的制作方法
技术领域:
本发明总体上涉及计算机安全领域,更具体地,涉及一种计算机病毒监测方法和设备。
背景技术:
随着各种计算设备的普及和网络的广泛使用,通过网络来传播计算机病毒的趋势日益严重。近年来,像蠕虫病毒这样的恶意病毒活动猖獗,在诸如局域网这样的计算机网络环境下,其传染范围能够呈几何级增长,迅速导致系统资源严重受损、整个网络效率骤降。例如,病毒在网络内传播的一种很重要的手段就是通过共享文件的方式进行传播。例如,局域网中的染毒主机会寻找网络中的共享目录,找到可写的目录后,把带毒文件写入该目录中,等待用户打开或执行。然而,对于传统的网络安全设备(例如,部署在网关处的防毒墙)来说,它们大多采用包/文件过滤机制,因此,只有在病毒通过传统的传输协·议进行传播时才能将其发现并拦截,而对于不经过该设备进行传播的病毒却无能为力。尤其是在这种情况下,由于确定不了到底是谁在传播病毒,因此就无法尽可能从根源上制止病毒的扩散。因此,本领域中迫切需要一种能够及时有效地发现病毒并定位病毒传播者的技术。
发明内容
根据本发明的一个实施例,提供了一种病毒监测方法,包括当检测到要在网络中的监测设备上写入文件的请求时,记录与该请求有关的信息;获得对所写入的文件进行病毒扫描的结果;以及如果所述结果指示所述文件包含病毒,则利用所记录的与所述请求有关的信息来确定所述网络中发出该请求的计算设备。根据本发明的另一个实施例,提供了一种病毒监测方法,包括当检测到要在网络中的监测设备上写入文件的请求时,判断所要写入的文件的大小;如果所述大小未超出预定值,则允许所述文件的写入并记录与所述请求有关的信息;获得对所写入的文件进行病毒扫描的结果;以及如果所述结果指示所述文件包含病毒,则利用所记录的与所述请求有关的信息来确定所述网络中发出该请求的计算设备根据本发明的再一个实施例,提供了一种病毒监测设备,包括用于当检测到要在网络中的监测设备上写入文件的请求时,记录与该请求有关的信息的模块;用于获得对所写入的文件进行病毒扫描的结果的模块;以及用于如果所述结果指示所述文件包含病毒,则利用所记录的与所述请求有关的信息来确定所述网络中发出该请求的计算设备的模块。根据本发明的又一个实施例,提供了一种病毒监测设备,包括用于当检测到要在网络中的监测设备上写入文件的请求时,判断所要写入的文件的大小的模块;用于如果所述大小未超出预定值,则允许所述文件的写入并记录与所述请求有关的信息的模块;用于获得对所写入的文件进行病毒扫描的结果的模块;以及用于如果所述结果指示所述文件包含病毒,则利用所记录的与所述请求有关的信息来确定所述网络中发出该请求的计算设备的模块。
参照下列附图详细描述了本发明。应该理解,这些附图仅是示例性的、而非限制性的,并且附图中相同或相似的参考标记指示对应的或类似的要素。图I示出了根据本发明的一个示例性实施例的工作环境;图2示出了根据本发明的一个实施例的病毒监测方法200的流程图;图3示出了根据本发明的一个实施例的病毒监测设备300的方框图;图4示出了根据本发明的另一个实施例的病毒监测设备400的方框图。
具体实施例方式在下面的详细说明中,给出了大量的具体细节,以提供对本发明实施例的透彻理解。然而,本领域技术人员应该理解,这些具体细节仅仅是示例性的而非限制性的,可以在没有这些具体细节的情况下实现本发明。说明书中提及的短语“一个实施例”或“实施例”等表示结合该实施例而描述的特定特征、结构或特性被包括在本发明的至少一个实施例中。因此,在本说明书中各处出现的短语“在一个实施例中”或“根据一个实施例”等并不一定指代同一个实施例。本领域技术人员可以理解,本文所述的实施例可以由硬件、软件、固件、中间件、微代码或其任意组合来实现。图I示出了根据本发明的一个示例性实施例的工作环境。如图I所示,网络101可以至少包含有、或者耦合到一台或多台计算设备102^102^102^……、102n以及一台监测设备103。按照本发明的一个实施例,网络101例如可以是局域网,然而本发明并不局限于此。所述计算设备K^1-IOZn可以包括多种基于处理器的计算设备中的任何一种或多种,例如包括但不限于台式计算设备、膝上型计算设备、手持计算设备、机顶盒等等。手持计算设备可以包括但不限于智能手机、个人数字助理(PDA)、移动互联网设备(MID)、超级移动个人计算机(UMPC)等等。所述计算设备K^1-IOZn具有联网功能,从而能够通过各种有线的和/或无线的连接方式来通过网络101在彼此之间和/或与外部网络进行通信。所述计算设备K^1-IOZn中的每一个都具有自己的唯一标识,例如,包括但不限于该计算设备在网络101内的唯一名称、该计算设备的网际协议(IP)地址等等。所述计算设备K^1-IOZn中可以运行有各种操作系统中的一种或多种,例如,包括但不限于微软公司出品的视窗(Windows) 操作系统的各种版本。监测设备103用于实现根据本发明所述的病毒监测功能,如下文中所详细说明的。根据本发明的一个实施例,监测设备103可以是与前述的计算设备K^1-IOZn相类似的计算设备,例如,其也用作网络101中的一台客户端设备。按照本发明的另一个实施例,监测设备103还可以充当一台网关设备或其中的一部分,如图I所示。这样的网关设备实现了网络101与位于该网络101外部的网络104之间的互连,因此例如,该网关设备可以按照需要来控制网络101中的各种设备(例如,计算设备102^1023对外部网络104的访问。所述外部网络104例如可以是互联网,然而本发明并不局限于此。根据本发明的一个实施例,监测设备103中提供或部署了文件共享服务,这可以例如通过用户手动地进行配置或者计算机自动地进行配置(例如,通过执行特定的指令)来实现。典型地,所述文件共享服务可以使用服务器消息块(Server Message Block,SMB)/公用互联网文件系统(Common Internet File System,CIFS)协议,然而本发明并不局限于此。在一个示例性的方案中,所述文件共享服务具有匿名、可写权限,从而允许网络101中的例如计算设备IOZ1-K^n借助该服务来在监测设备103的指定共享目录中写入文件。作为一个例子,在监测设备103运行Linux操作系统 的情况下,可以通过Samba套件(可从http://www. samba, org获得)来在该监测设备103上提供Windows文件共享服务,其中,可以通过对Samba配置文件smb. conf中的内容进行配置来设置例如所要共享的目录的位置、是否允许可写、是否允许匿名用户登录等等。本领域技术人员可以很容易想到,除了所示出的计算设备K^1-IOZn和监测设备103之外,网络101还可以包含有、或者耦合到各种其它设备,在此不再对其进行详述,以免不当地模糊本发明。如前所述,很多病毒,尤其是蠕虫病毒,会通过网络共享的方式进行传播。因此,在诸如局域网这样的网络101上的某一台计算设备(例如,这里是计算设备102i)向其上部署有匿名可写的文件共享服务的监测设备103发出请求,要求在该监测设备103的共享目录中写入文件的情况下,考虑到计算设备102i自身可能已经感染了蠕虫病毒这一事实,该计算设备102i在监测设备103上写入的文件也通常会包含有病毒(当然,这里可以理解,诸如计算设备102这样的设备本身并不知道监测设备103所要实现的病毒监测功能,而只当它是网络101上的一台普通设备)。例如,为了实现病毒传播,已感染病毒的计算设备1023#求在监测设备103上的一个共享目录“/test_folder”中写入同样包含有病毒的文件test, exe(在实际中,这样的带毒文件通常会被伪装成很有诱惑力的名字,以吸引用户主动打开或执行,从而将其中包含的病毒激活)。借助本发明,监测设备103可以及时有效地获知该病毒的传播者,即计算设备102i,如下面所进一步详细描述的。下面参照图2,示出了根据本发明的一个实施例的病毒监测方法200的流程图。所述方法可以由监测设备(例如,图I所示的监测设备103)来执行。如图所示,该过程开始于步骤S201,在该步骤中,当检测到要在网络中的监测设备上写入文件的请求时,记录与该请求有关的信息。具体地,参考前面的例子,监测设备103对来自网络101中的要求在该监测设备103上写入文件的请求进行监听,如果检测到计算设备1023#求在监测设备103上的共享目录“/test_f0lder”中写入文件(例如,可执行文件test, exe),监测设备103会对与该请求有关的信息进行记录。例如,将其以表格的形式记录在监测设备103的存储器(未示出)中,然而本发明并不限于此。这里,与该请求有关的信息例如可以包括所要求写入的文件的文件名(这里是“test, exe”,或者包含其完整路径的“/test_folder/test. exe”)、发出该请求的计算设备的唯一标识(例如,该计算设备在网络101中的IP地址192. 168.0. I)等。取决于不同的实现需求,与该请求有关的信息还可以包括各种其它信息,例如所要求写入的文件的大小等等,本发明并不局限于此。前进到步骤S202,获得对所写入的文件进行病毒扫描的结果。对一个文件进行病毒扫描操作,可以采用本领域已知的和/或将来发展出的各种可行的方式来进行,本发明在此并不受限制。此外,取决于具体实现,病毒扫描操作可以由监测设备103自己来直接进行(例如,通过其内置的病毒扫描引擎),也可以例如通过与监测设备103耦合的专门的病毒扫描设备(未示出)来被动地(例如,响应于来自监测设备103的要求进行扫描的指示)或主动地或进行,然后再将结果反馈给监测设备103。而且,在时机上,病毒扫描操作可以在一旦文件的写入完成时就立即执行,也可以以预定的时间间隔来执行。本发明并不限于上述某一种具体情况。继续前面的例子,无论哪一种情况,在文件test, exe被写入“/test_folder”的操作完成之后,监测设备103可以获得对该文件进行查毒的结果,从而确定其是否包含有病毒。如果前述的扫描结果指示该文件包含病毒,即在步骤S203的判断结果为“是”的情况,则该过程前进到步骤S204 ;否则,跳到步骤S205。在步骤S204,利用所记录的与该请求有关的信息来确定该网络中发出该请求的计算设备。继续参考前面的例子,如果发现test, exe文件中包含有病毒,则监测设备103查找之前记录的与对应于该文件的写入请求有关的信息,找到该请求的发起者的IP地址为192. 168. O. I,从而可以确定是由网络101中的计算设备102i写入了包含病毒的文件test, exe,由此定位了该病毒的传播者。 然后,该过程前进到步骤S205,在该步骤中,判断是否要结束监测操作。如果判断结果为“是”(例如,接收到来自管理员的要求结束监测的指示),则该过程结束;否则,该过程返回到步骤S201,继续接收下一个来自网络101的要在监测设备103上写入文件的请求,并进行相应处理。利用上述病毒监测方法,可以及时有效地获知该病毒的传播者,从而使得对该传播者进行高效处理以尽可能消除其不利影响成为可能。例如,当“熊猫烧香”等通过网络共享方式传播的病毒在局域网(即,网络101的一个例子)内感染某台主机(例如,监测设备103)时,本发明可以第一时间获知传染源(例如,计算设备102^,从而能够对该传染源进行有针对性的处理。此外,在本发明的一个替代的实施例中,替换前述步骤S201的是,当检测到要在网络中的监测设备上写入文件的请求时,还可以首先判断所要写入的单个文件的大小。在这种情况下,如果发现所要写入的文件的大小超过某个预定值(例如,超过了病毒扫描的限制),则监测设备103可以拒绝该文件的写入操作;反之,则可以允许在监测设备103上写入该文件,并记录与该请求有关的信息。此外,作为本发明的另一个一个替代的实施例,在步骤S204和S205之间,即在确定了发出该请求的计算设备之后,所述方法还可以包含一个处理步骤。例如,监测设备103可以通知(例如,通过发出告警日志的形式等)网络管理员对感染病毒的该计算设备102i进行隔离;或者,在监测设备103本身还充当网络101的网关设备的情况下,该监测设备103还可以直接禁止感染病毒的该计算设备102i继续访问外部网络104。以上参照图2描述了示例性的病毒监测方法200,本领域技术人员可以理解,上述方法步骤仅仅是示例性的而非限制性的,取决于具体实现,所述方法还可以包含更多附加的/替代的步骤。在一个或多个方案中,这些方法步骤对应的功能可以在硬件、软件、固件或其任意组合中实现。接下来参考图3,示出了根据本发明的一个实施例的病毒监测设备300的方框图。
所述病毒监测设备300至少包含如下部分记录模块301,用于当检测到要在网络中的监测设备上写入文件的请求时,记录与该请求有关的信息;获得模块302,用于获得对所写入的文件进行病毒扫描的结果;以及确定模块303,用于如果所述结果指示所述文件包含病毒,则利用所记录的与所述请求有关的信息来确定所述网络中发出该请求的计算设备。参考图4,示出了根据本发明的另一个实施例的病毒监测设备400的方框图。所述病毒监测设备400至少包含如下部分判断模块401,用于当检测到要在网络中的监测设备上写入文件的请求时,判断所要写入的文件的大小;允许模块401a,用于如果所述大小未超出预定值,则允许所述文件的写入并记录与所述请求有关的信息;获得模块402,用于获得对所写入的文件进行病毒扫描的结果;以及确定模块403,用于如果所述结果指示所述文件包含病毒,则利用所记录的与所述请求有关的信息来确定所述网络中发出该请求的计算设备。
除此之外,所述病毒监测设备300、400还可以包括附加的/替代的模块,用以实现更多对应的功能,例如,如前面结合方法200及其替代实施例所描述的。所述病毒监测设备300、400例如可以对应于图I所示的监测设备103,或者是其中的一个组件。应当理解的是,病毒监测设备300、400被描述为包括许多模块,其可以是表示由硬件、软件或其组合所实现的功能模块。尽管前面描述并示出了本发明的一些实施例,但是本领域技术人员很容易就能够想到,对于这些实施例的许多修改和变型也同样是可行的。因此,应该理解,所附权利要求旨在涵盖落入本发明的实质和范围之内的所有这样的修改和变型。
权利要求
1.一种病毒监测方法,包括 当检测到要在网络中的监测设备上写入文件的请求时,记录与该请求有关的信息; 获得对所写入的文件进行病毒扫描的结果;以及 如果所述结果指示所述文件包含病毒,则利用所记录的与所述请求有关的信息来确定所述网络中发出该请求的计算设备。
2.—种病毒监测方法,包括 当检测到要在网络中的监测设备上写入文件的请求时,判断所要写入的文件的大小; 如果所述大小未超出预定值,则允许所述文件的写入并记录与所述请求有关的信息; 获得对所写入的文件进行病毒扫描的结果;以及 如果所述结果指示所述文件包含病毒,则利用所记录的与所述请求有关的信息来确定所述网络中发出该请求的计算设备。
3.如权利要求2所述的方法,还包括 如果所述大小超出所述预定值,则拒绝所述文件的写入。
4.如权利要求I或2所述的方法,其中, 所述网络是局域网。
5.如权利要求I或2所述的方法,其中, 与所述请求有关的信息包括发出该请求的计算设备的唯一标识。
6.如权利要求5所述的方法,其中, 所述唯一标识是是所述设备的网际协议地址。
7.如权利要求I或2所述的方法,还包括 一旦确定发出所述请求的计算设备,则发出通知以指示应对该计算设备进行隔离。
8.如权利要求7所述的方法,其中, 所述通知包括告警日志。
9.如权利要求I或2所述的方法,其中, 所述监测设备是所述网络的网关。
10.如权利要求9所述的方法,还包括 一旦确定发出所述请求的计算设备,则禁止该计算设备访问位于所述网络外部的网络。
11.一种病毒监测设备,包括 用于当检测到要在网络中的监测设备上写入文件的请求时,记录与该请求有关的信息的模块; 用于获得对所写入的文件进行病毒扫描的结果的模块;以及 用于如果所述结果指示所述文件包含病毒,则利用所记录的与所述请求有关的信息来确定所述网络中发出该请求的计算设备的模块。
12.—种病毒监测设备,包括 用于当检测到要在网络中的监测设备上写入文件的请求时,判断所要写入的文件的大小的模块; 用于如果所述大小未超出预定值,则允许所述文件的写入并记录与所述请求有关的信息的模块;用于获得对所写入的文件进行病毒扫描的结果的模块;以及 用于如果所述结果指示所述文件包含病毒,则利用所记录的与所述请求有关的信息来确定所述网络中发出该请求的计算设备的模块。
13.如权利要求12所述的设备,还包括 用于如果所述大小超出所述预定值,则拒绝所述文件的写入的模块。
14.如权利要求11或12所述的设备,其中, 所述网络是局域网。
15.如权利要求11或12所述的设备,其中, 与所述请求有关的信息包括发出该请求的计算设备的唯一标识。
16.如权利要求15所述的设备,其中, 所述唯一标识是是所述设备的网际协议地址。
17.如权利要求11或12所述的设备,还包括 用于一旦确定发出所述请求的计算设备,则发出通知以指示应对该计算设备进行隔离的模块。
18.如权利要求17所述的设备,其中, 所述通知包括告警日志。
19.如权利要求11或12所述的设备,其中, 所述监测设备是所述网络的网关。
20.如权利要求19所述的设备,还包括 用于一旦确定发出所述请求的计算设备,则禁止该计算设备访问位于所述网络外部的网络的模块。
全文摘要
本发明公开了一种病毒监测方法和设备。在所述病毒监测方法中,当检测到要在网络中的监测设备上写入文件的请求时,记录与该请求有关的信息,获得对所写入的文件进行病毒扫描的结果,并且如果所述结果指示所述文件包含病毒,则利用所记录的与所述请求有关的信息来确定所述网络中发出该请求的计算设备。
文档编号H04L29/06GK102761535SQ20111011972
公开日2012年10月31日 申请日期2011年4月29日 优先权日2011年4月29日
发明者冯景辉 申请人:北京瑞星信息技术有限公司