发明内容
基于此,有必要针对传统技术的病毒防御方式难以准确确定病毒传播途径的问题,提供一种能够在各种环境下准确确定病毒传播途径的标识、采集、统计病毒传播途径的方法及装置
为实现本发明目的提供的一种标识、采集、统计病毒传播途径的方法,包括以下步骤:
检测设备中是否有文件移动操作;
当设备中有文件移动操作时,对操作所针对的文件进行病毒检测;
当所述操作所针对的文件发现病毒时,记录所述病毒的数据信息;
将所述数据信息传输至数据库存储;
其中,所述数据信息中包括病毒传播途径。
作为一种标识、采集、统计病毒传播途径的方法的可实施方式,所述文件移动操作包括设备上的文件读或写操作、收发邮件操作、文件下载操作、网络共享读写操作及网络映射盘读写操作。
作为一种标识、采集、统计病毒传播途径的方法的可实施方式,所述数据信息还包括病毒名称、病毒样本特性、感染时间及传播介质。
作为一种标识、采集、统计病毒传播途径的方法的可实施方式,还包括以下步骤:
对所述数据库中的多个数据信息进行分析处理,得到指定病毒的感染、传播详情。
作为一种标识、采集、统计病毒传播途径的方法的可实施方式,所述文件移动操作为设备上的文件读操作时,所述病毒传播途径为从中间介质感染到当前设备,所述文件移动操作为设备上的文件写操作时,所述病毒传播途径为从当前设备感染到中间介质,所述文件移动操作为收发邮件操作时,所述病毒传播途径为邮件的收发地址之间,所述文件移动操作为文件下载操作时,所述病毒传播途径为文件下载源到当前设备,所述文件移动操作为网络共享或网络映射盘读操作时,所述病毒传播途径为从网络感染到当前设备,所述文件移动操作为网络共享或网络映射盘写操作时,所述病毒传播途径为从当前设备感染到网络;
所述中间介质包括U盘。
基于同一发明构思的一种标识、采集、统计病毒传播途径的装置,包括监控模块、病毒检测模块、信息收集模块及数据存储模块,其中:
所述监控模块,用于检测设备中是否有文件移动操作;
所述病毒检测模块,用于根据所述监控模块的检测结果,当设备中有文件移动操作时,对操作所针对的文件进行病毒检测;
所述信息收集模块,用于根据所述病毒检测模块的检测结果,当所述操作所针对的文件发现病毒时,记录所述病毒的数据信息;
所述数据存储模块,用于将所述信息收集模块收集的所述数据信息传输至数据库存储;
其中,所述数据信息中包括病毒传播途径。
作为一种标识、采集、统计病毒传播途径的装置的可实施方式,所述监控模块包括设备文件行为监控子模块、邮件收发监控子模块、下载监控子模块及局域网共享、网络映射盘监控子模块,其中:
所述设备文件行为监控子模块,用于检测设备中是否有设备上的文件读或写操作;
所述邮件收发监控子模块,用于检测设备中是否有收发邮件操作;
所述下载监控子模块,用于检测设备中是否有文件下载操作;
所述局域网共享、网络映射盘监控子模块,用于检测设备中是否有网络共享读写操作或网络映射盘读写操作。
作为一种标识、采集、统计病毒传播途径的装置的可实施方式,所述数据信息还包括病毒名称、病毒样本特性、感染时间及传播介质。
作为一种标识、采集、统计病毒传播途径的装置的可实施方式,还包括数据处理模块,用于对所述数据库中的多个数据信息进行分析处理,得到指定病毒的感染、传播详情。
作为一种标识、采集、统计病毒传播途径的装置的可实施方式,所述文件移动操作为设备上的文件读操作时,所述病毒传播途径为从中间介质感染到当前设备,所述文件移动操作为设备上的文件写操作时,所述病毒传播途径为从当前设备感染到中间介质,所述文件移动操作为收发邮件操作时,所述病毒传播途径为邮件的收发地址之间,所述文件移动操作为文件下载操作时,所述病毒传播途径为文件下载源到当前设备,所述文件移动操作为网络共享或网络映射盘读操作时,所述病毒传播途径为从网络感染到当前设备,所述文件移动操作为网络共享或网络映射盘写操作时,所述病毒传播途径为从当前设备感染到网络;
所述中间介质包括U盘。
本发明的有益效果包括:本发明提供的标识、采集、统计病毒传播途径的方法及装置对于局域网络中的所有计算机或者相互关联的多台设备,将每台设备中的病毒的数据信息都传输到一个数据库中。且所述病毒的数据信息中包含病毒传播途径。从而可以利用数据库中的病毒的数据信息对整个环境中的所有病毒传播途径进行统计分析,也可以有针对性的选取合适的病毒的数据信息进行分析,能够准确确定某个或者任何一个所涉及的病毒的整个传播路径,从而可以对所有涉及的设备进行查毒、杀毒,避免传统技术中病毒传播路径不能确定造成杀毒不彻底。有效保证整个大环境的安全。
具体实施方式
为了使本发明的目的、技术方案及优点更加清楚明白,以下结合附图对本发明的标识、采集、统计病毒传播途径的方法及装置的具体实施方式进行说明。应当理解,此处所描述的具体实施例仅仅用以解释本发明,并不用于限定本发明。
本发明一实施例的标识、采集、统计病毒传播途径的方法,如图1所示,包括以下步骤:
S100,检测设备中是否有文件移动操作。
此处需要说明的是,本步骤在一个独立的设备上进行,对当前设备的活动进行实时的监测,且尤其对设备涉及文件的引入或者输出进行动作进行检测。一旦发现当前设备有文件移动操作,则立即执行下面的步骤进行文件是否存在病毒及文件或者说病毒的流动方向进行记录。所说的实时是指按照较高的频率对当前设备是否有文件移动操作进行检测,而具体的检测频率或者检测的时间周期可根据设备运行速率及处理能力确定。
其中,文件的移动操作包括当前设备上的文件读或写操作、收发邮件操作、文件下载操作、网络共享读写操作及网络映射盘读写操作。所有这些文件移动操作都是基于当前设备或者在当前设备上执行的。对于一个大环境(例如局域网)中的多台设备,可对每台设备都进行相同的对文件移动操作的监控。且可在每台设备上设置多个实时监控模块分别对不同的文件移动操作进行实时的检测。此处所说的设备可以是较常见的计算机,也可能为其他一些具有文件读取、存储等功能的设备。
S200,当设备中有文件移动操作时,对操作所针对的文件进行病毒检测。
此处需要说明的是,在设备中对文件进行病毒检测时可以使用传统的病毒识别引擎,判断是否是病毒文件,如果是病毒,则进一步确定病毒的名称及分类等相关信息。还需要说明的是,本步骤是在步骤S100判断出设备中为文件移动操作时进行的,很容易理解,设备中没有文件移动操作时,对病毒传播途径是没有影响的。因此,设备中没有文件移动操作时,在本方法中并不进行病毒检测。当然,本方法的执行并不影响用户自行操作的使用杀毒软件对设备进行病毒检测及查杀过程。本方法可在设备中独立的在前台或者后台运行。如果检测到病毒,则进一步执行步骤S300,如果没有检测到病毒则停止针对当前文件的病毒识别及处理方法,等到再次检测到新的文件移动时针对新的文件再执行本步骤的病毒检测及本方法中相关的后续步骤。
S300,当所述操作所针对的文件发现病毒时,记录所述病毒的数据信息。
其中,病毒的数据信息包括但不限于病毒传播途径、病毒名称、病毒样本特性、感染时间及传播介质。且这些数据可首先存储到当前设备中。进一步的,病毒传播途径主要是描述病毒在两个传播介质之间的移动方向,一般和文件移动的方向相同。
具体的,当文件移动操作为设备上的文件读写操作时,发现病毒时:
1)记录病毒样本的特性(一般为病毒文件的哈希值);
2)记录感染时间;文件移动的目标地址即为被感染一方,此处所记录的感染时间即为目标地址被病毒感染的时间。
3)判断当前文件的操作介质(中间介质)是否为移动存储介质,如U盘,移动硬盘或者光盘等。如果是移动存储介质,则记录移动存储介质的标识;
4)根据文件的读写动作确定病毒的传播方向或者说传播途径:读->从中间介质感染到当前设备,写->从当前设备感染到中间介质。
类似的,当文件移动操作为收发邮件操作时,若发现病毒,则执行以下步骤记录病毒的数据信息:
1)记录病毒样本的特征;
2)记录被感染时间;
3)记录当前传播介质为邮件,并记录邮件的收发地址;
4)根据病毒的收发情况确定病毒的传播方向(传播途径):
收邮件:从邮件的发地址感染到当前设备;
发邮件:从当前设备感染到邮件的收地址。
当文件移动操作为文件下载操作时,若发现病毒,则执行以下步骤记录病毒的数据信息:
1)记录病毒样本的特征;
2)记录感染时间;
3)记录当前传播介质软件,如浏览器软件、第三方软件,以及精确源如网址、第三方软件源(如QQ)等。
4)确定病毒的传播方向为:被感染。即病毒的传播途径为从文件的下载源到当前设备。
如此,能够监控并标识指定网址、可传送文件的软件传播病毒到当前设备的这一类病毒传播途径。
当文件移动操作为网络共享或网络映射盘读写操作时,若发现病毒,则执行以下步骤记录病毒的数据信息:
1)记录病毒样本的特征;
2)记录感染时间;
3)记录当前传播介质的网络路径、对方计算机标识(如计算机名称或者IP);
4)根据读写操作确定病毒传播方向:
读:从网络感染到当前设备;
写:从当前设备感染到网络。
需要说明的是,对于当前设备和网络共享或网络映射盘之间的读写操作的监控,主要是针对处于局域网中的计算机等设备。
对发现的病毒记录病毒的数据信息之后,则执行步骤S400,将所述数据信息传输至数据库存储。
此处需要说明的是,对于局域网络中的所有计算机或者相互关联的多台设备,可设置将每台设备中的病毒的数据信息都传输到一个数据库中。从而可以对整个环境中的所有病毒传播途径进行统计分析,也可以有针对性的选取合适的病毒的数据信息进行分析,可以准确确定某个病毒的整个传播路径。对所有涉及的设备进行查毒、杀毒,避免传统技术中病毒传播路径不能确定造成杀毒不彻底。有效保证整个大环境的安全。
进一步的,如图2所示,针对数据库中所存储的病毒的数据信息,可进行如下操作:
S500,对所述数据库中的多个数据信息进行分析处理,得到指定病毒的感染、传播详情。如前所述,筛选数据库中所存储的多个可能涉及某个指定病毒的病毒的数据信息进行分析处理,根据每一次病毒的传播途径及传播时间等信息,确定病毒的原始来源,为发现、处理整个环境中的潜在的威胁提供有力支持。
也可以根据病毒的传播途径确定感染的设备,并进一步确定病毒已经感染的区域,再根据实际病毒本身特性、危害性更快速准确的确定病毒的威胁程度及影响范围。
具体的对数据库中的病毒的数据信息进行分析,可将各设备传输来的各种零散病毒的数据信息进行筛选、统计和分析,得出整个环境(全网络)的病毒传播途径,还可包括以下几个角度的统计分析:
(1)具有感染、传播的病毒分析。根据收集到数据库中的病毒的传播途径,分析全网络中存在的病毒。确定可能在全网络中感染、传播的病毒。从而能够对整个网络的存在病毒状态得到一个整体的把握。
(2)病毒的传播介质分析。如病毒一般是经过网络传播还是经过移动存储介质传播等。
(3)指定传播介质的感染、传播情况。此分析是针对一种传播介质如某个移动存储介质的感染病毒的时间,将病毒传播给其他设备的情况进行的统计。
(4)以时间为主线的统计、分析病毒感染、传播情况,病毒爆发态势分析。
(5)以设备为主线的统计、分析病毒感染、传播情况。本方法处理能够发现传统意义上的计算机终端本机的威胁,更能发现、指导其他更多的中间介质(移动存储设备、邮件、网站网址、文件传输软件、网络共享、网络映射盘等等)。且其能够定位到中间介质,可以针对性的对中间介质进行处理(如禁用、查杀移动存储设备,检查邮件服务器,审核网站内容,关闭不必要的共享等等),能够更彻底清除病毒威胁,更好的防止重复感染。
下面以一个具体的实例说明本发明的标识、采集、统计病毒传播途径的方法。
例1:
设本环境系统中包含三台终端计算机分别为CA、CB和CC,且每台计算机上都采用前述的标识、采集、统计病毒传播途径的方法进行本机的文件移动操作监控及后续的发现病毒后的处理步骤。
还包括一个中间传输介质,一个U盘DU。且每台计算机所收集的病毒的数据信息都上传到一个病毒传播信息收集服务器SA上。另外还包括一个病毒传播途径分析、统计服务器SB。
初始条件设置为,CA开启了本机目录的共享NF,并且在SF中放置了一个病毒样本VF。
设对VF病毒样本进行了如下操作:
首先,计算机CB访问计算机CA的共享目录NF,并拷贝病毒样本文件VF到本机。此时计算机CA上监控发现病毒传播动作,标识、采集到病毒样本VF信息,并记录当前操作的时间及病毒传播的方向,把获得的前述病毒的数据信息上报存储到信息收集服务器SA上。
之后,再在计算机CB上插入U盘设备DU,并拷贝病毒样本文件VF到U盘上。此时计算机CB上监控发现病毒传播动作,标识、采集到病毒样本VF信息,并记录当前操作的时间及病毒传播的方向,把获得的前述病毒的数据信息上报存储到信息收集服务器SA上。
之后,U盘设备DU又插入到计算机CC上,并把病毒样本文件VF拷贝到本机。此时计算机CC上监控发现病毒传播动作,标识、采集到病毒样本VF信息,并记录当前操作的时间及病毒传播的方向,把获得的前述病毒的数据信息上报存储到信息收集服务器SA上。
即实际病毒样本文件VF的传播过程如下:
CA的共享目录NF–>(传输至)CB本机,CB本机–>(传输至)U盘DU,U盘DU–>(传输至)CC本机。
病毒传播途径分析、统计服务器SB进行如下操作:
a.通过信息收集服务器SA得到上述三条病毒传播详情(从CA共享目录NF传输至CB本机,从CB本机传输至U盘DU,再从U盘DU传输至CC本机)。
b.根据病毒样本特性信息及传播时间准确得到这三条病毒传播记录就是同一病毒样本。
c.可以分析得到病毒样本VF已经感染三台物理主机CA、CB、CC,以及一个中间介质U盘DU,由此可知要想彻底清除处理掉该病毒不仅仅要对三台物理主机进行处理,还需要对U盘DU也进行杀毒处理。
d.可以分析得到各机器的准确感染时间以及感染方式、方向、途径、介质。其中CB本机为通过共享局域网的读操作被感染,CC本机是通过中间介质,U盘的读操作被感染。
f.可以分析得到该样本最初源头是计算机CA的共享目录NF。
其通过传播途径及各感染设备的被感染时间逐步推算确定病毒的源头,及源头的文件。从而可以在需要的时候对源头设备进行进一步的分析确定病毒进入大环境的方式,并采取有效措施防止病毒在全系统杀毒完成后再次进入。
基于同一发明构思,本发明还提供一种标识、采集、统计病毒传播途径的装置,由于此装置解决问题的原理与前述一种标识、采集、统计病毒传播途径的方法相似,因此,该装置的实施可以按照前述方法的具体步骤实现,重复之处不再赘述。
在其中一个实施例的标识、采集、统计病毒传播途径的装置中,如图3所示,包括监控模块100、病毒检测模块200、信息收集模块300及数据存储模块400。其中:监控模块100,用于检测设备中是否有文件移动操作;病毒检测模块200,用于根据所述监控模块的检测结果,当设备中有文件移动操作时,对操作所针对的文件进行病毒检测;信息收集模块300,用于根据所述病毒检测模块的检测结果,当所述操作所针对的文件发现病毒时,记录所述病毒的数据信息;数据存储模块400,用于将所述信息收集模块300收集的所述数据信息传输至数据库500存储。且,所述数据信息中包括病毒传播途径。
需要说明的是,在本发明实施例中监控模块100、病毒检测模块200、信息收集模块300及数据存储模块400都设置在要进行病毒移动或者感染检测的设备上。且对于一个局域网中的多个设备,或者相互关联的多个设备,每个设备上设置一套前述的4个模块。每个设备中上报的病毒的数据信息都统一传输到一个数据库中进行汇总。其中,此处所说的设备可以为计算机也可以为其他具有文件存储及使用功能的智能设备。
还需要说明的是,数据库500也是本发明实施例的标识、采集、统计病毒传播途径的装置的一个组成部分。且如前面方法中所介绍的,本发明实施例中的数据库也可以用一个信息收集服务器代替,则数据存储模块400将所述信息收集模块收集的所述数据信息传输到信息收集服务器中存储。因此本发明实施例的标识、采集、统计病毒传播途径的装置中包含多套相互配合工作的监控模块100、病毒检测模块200、信息收集模块300及数据存储模块400。局域网中的每个设备对应一套。而一般只包含一个集中存储数据的数据库。当然也可再额外设置备份数据用的其他数据库。
本发明实施例的标识、采集、统计病毒传播途径的装置对于局域网络中的所有计算机或者相互关联的多台设备,可设置将每台设备中的病毒的数据信息都传输到一个数据库中。且所述病毒的数据信息中包含病毒传播途径。从而可以利用数据库500中的病毒的数据信息对整个环境中的所有病毒传播途径进行统计分析,也可以有针对性的选取合适的病毒的数据信息进行分析,可以准确确定某个病毒的整个传播路径,对所有涉及的设备进行查毒、杀毒,避免传统技术中病毒传播路径不能确定造成杀毒不彻底。有效保证整个大环境的安全。
其中,如图4所示,监控模块100包括设备文件行为监控子模块110、邮件收发监控子模块120、下载监控子模块130及局域网共享、网络映射盘监控子模块140。其中:设备文件行为监控子模块110,用于检测设备中是否有设备上的文件读或写操作;邮件收发监控子模块120,用于检测设备中是否有收发邮件操作;述下载监控子模块130,用于检测设备中是否有文件下载操作;局域网共享、网络映射盘监控子模块140,用于检测设备中是否有网络共享读写操作或网络映射盘读写操作。在每个进行病毒传播监测的设备上都设置有上述的四个监测子模块,每个子模块实时监测不同种类的可能的文件移动。每个子模块分别独立运行,当前子模块发现相应的文件移动时,则立即启动或者通知所述病毒检测模块200进行病毒检测。通过设置独立工作的监测子模块使文件移动监测实时性更高,且每个子模块进行针对性的检测,准确率高,计算量小,监测快速。
更佳地,所述数据存储模块400传输到数据库500中的数据信息除前述的病毒传播途径之外,还可以包括病毒名称、病毒样本特性、感染时间及传播介质。当然这需要信息收集模块300要收集这些病毒的数据信息。如果需要还可以根据需要要求信息收集模块300收集更多种类的病毒的数据信息。不同的数据信息具有不同的使用价值。如病毒样本特性和所述传播介质相结合对确定病毒类型与传播方式之间的关系具有实际的参考价值。
在另一标识、采集、统计病毒传播途径的装置的实施例中,如图5所示,还包括数据处理模块600,用于对所述数据库中的多个数据信息进行分析处理,得到指定病毒的感染、传播详情。
需要说明的是,本发明实施例中的数据处理模块600可以设置在任意一个局域网中的计算机上。也可以设置在不在非当前局域网中的其他设备上。只要能实现对数据库或者信息收集服务器中的病毒的数据信息进行分析即可。
另外,更佳地,数据处理模块600还可以对病毒的数据进行分析,得到制定传播介质的感染、传播详情;还可以以时间为主线统计、分析病毒感染、传播情况,进行病毒爆发态势分析。
还需要说明的是,在前述的标识、采集、统计病毒传播途径的装置的实施例中,所述文件移动操作为设备上的文件读操作时,所述病毒传播途径为从中间介质感染到当前设备,所述文件移动操作为设备上的文件写操作时,所述病毒传播途径为从当前设备感染到中间介质,所述文件移动操作为收发邮件操作时,所述病毒传播途径为邮件的收发地址之间,所述文件移动操作为文件下载操作时,所述病毒传播途径为文件下载源到当前设备,所述文件移动操作为网络共享或网络映射盘读操作时,所述病毒传播途径为从网络感染到当前设备,所述文件移动操作为网络共享或网络映射盘写操作时,所述病毒传播途径为从当前设备感染到网络。且所述中间介质可以为U盘、移动硬盘或者光盘等移动存储设备。
以上所述实施例仅表达了本发明的几种实施方式,其描述较为具体和详细,但并不能因此而理解为对本发明专利范围的限制。应当指出的是,对于本领域的普通技术人员来说,在不脱离本发明构思的前提下,还可以做出若干变形和改进,这些都属于本发明的保护范围。因此,本发明专利的保护范围应以所附权利要求为准。