CN109271783A - 一种病毒拦截方法、装置及电子设备 - Google Patents
一种病毒拦截方法、装置及电子设备 Download PDFInfo
- Publication number
- CN109271783A CN109271783A CN201811103482.8A CN201811103482A CN109271783A CN 109271783 A CN109271783 A CN 109271783A CN 201811103482 A CN201811103482 A CN 201811103482A CN 109271783 A CN109271783 A CN 109271783A
- Authority
- CN
- China
- Prior art keywords
- network
- network packet
- packet
- data
- data packet
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/566—Dynamic detection, i.e. detection performed at run-time, e.g. emulation, suspicious activities
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/554—Detecting local intrusion or implementing counter-measures involving event detection and direct action
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Virology (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本申请实施例公开了一种病毒拦截方法、装置及电子设备,包括:将病毒攻击工具的数据包规则配置到网络防护驱动中;在接收到网络数据包的情况下,确定所述网络数据包的特征是否与所述数据包规则匹配;若所述网络数据包的特征与所述数据包规则匹配,则通过所述网络防护驱动对所述网络数据包进行拦截。采用本申请实施例,可以提高病毒的拦截成功率和拦截及时性。
Description
技术领域
本申请涉及电子技术领域,尤其涉及一种病毒拦截方法、装置及电子设备。
背景技术
网络病毒通过某种途径潜伏在计算机的存储介质(或程序)里,当达到某种条件时即被激活,通过修改其他程序的方法将自己的拷贝或者可能演化的形式放入其他程序中,从而感染其他程序,对计算机资源进行破坏。例如不法分子利用“永恒之蓝”工具大肆传播网络病毒,如勒索病毒。传播方式无需用户任何操作,只要打开445端口就会被植入病毒。
在现有的病毒拦截方式中,一般通过获取病毒文件的消息摘要算法第五版(Message Digest Algorithm,MD5)值、或者分析病毒的行为来进行拦截。但是,由于病毒的变种原因,通过MD5值进行拦截的方式拦截不够及时,通过病毒行为分析的方式成功率不高。
发明内容
本申请实施例提供一种病毒拦截方法、装置及电子设备,提高病毒的拦截成功率和拦截及时性。
第一方面,本申请实施例提供了一种病毒拦截方法、装置及电子设备,包括:
将病毒攻击工具的数据包规则配置到网络防护驱动中;
在接收到网络数据包的情况下,确定所述网络数据包的特征是否与所述数据包规则匹配;
若所述网络数据包的特征与所述数据包规则匹配,则通过所述网络防护驱动对所述网络数据包进行拦截。
其中,所述当接收到网络数据包时,确定所述网络数据包的特征是否与所述数据包规则匹配包括:
在接收到网络数据包的情况下,确定接收所述网络数据包的端口是否为指定端口;
当接收所述网络数据包的端口为指定端口时,确定所述网络数据包的特征是否与所述数据包规则匹配。
其中,所述当接收到网络数据包时,确定所述网络数据包的特征是否与所述数据包规则匹配包括:
在接收到网络数据包的情况下,确定所述网络数据包的数据包协议是否为预设协议;
当所述网络数据包的所述数据包协议为预设协议时,确定所述网络数据包的特征是否与所述数据包规则匹配。
其中,所述当接收到网络数据包时,确定所述网络数据包的特征是否与所述数据包规则匹配包括:
在接收到网络数据包的情况下,确定接收所述网络数据包的端口是否为指定端口、以及所述网络数据包的数据包协议是否为预设协议;
当接收所述网络数据包的端口为指定端口、且所述网络数据包的所述数据包协议为预设协议时,确定所述网络数据包的特征是否与所述数据包规则匹配。
其中,所述若所述网络数据包的特征与所述数据包规则匹配,则通过所述网络防护驱动对所述网络数据包进行拦截之后,还包括:
通过弹窗方式显示所述网络数据包的拦截结果,所述拦截结果用于提示用户清理查找所述网络数据包的地址并清理病毒。
其中,所述数据包规则包括数据长度、数据内容以及数据偏移量中的至少一种。
第二方面,本申请实施例提供了一种病毒拦截装置,包括:
加载模块,用于将病毒攻击工具的数据包规则配置到网络防护驱动中;
确定模块,用于在接收到网络数据包的情况下,确定所述网络数据包的特征是否与所述数据包规则匹配;
拦截模块,用于若所述网络数据包的特征与所述数据包规则匹配,则通过所述网络防护驱动对所述网络数据包进行拦截。
其中,所述确定模块,还用于在接收到网络数据包的情况下,确定接收所述网络数据包的端口是否为指定端口;当接收所述网络数据包的端口为指定端口时,确定所述网络数据包的特征是否与所述数据包规则匹配。
其中,所述确定模块,还用于在接收到网络数据包的情况下,确定所述网络数据包的数据包协议是否为预设协议;
当所述网络数据包的所述数据包协议为预设协议时,确定所述网络数据包的特征是否与所述数据包规则匹配。
其中,所述当接收到网络数据包时,确定所述网络数据包的特征是否与所述数据包规则匹配包括:
在接收到网络数据包的情况下,确定接收所述网络数据包的端口是否为指定端口、以及所述网络数据包的数据包协议是否为预设协议;
当接收所述网络数据包的端口为指定端口、且所述网络数据包的所述数据包协议为预设协议时,确定所述网络数据包的特征是否与所述数据包规则匹配。
其中,所述若所述网络数据包的特征与所述数据包规则匹配,则通过所述网络防护驱动对所述网络数据包进行拦截之后,还包括:
通过弹窗方式显示所述网络数据包的拦截结果,所述拦截结果用于提示用户清理查找所述网络数据包的地址并清理病毒。
其中,所述数据包规则包括数据长度、数据内容以及数据偏移量中的至少一种。
相应地,本申请第三方面提供了一种电子设备,包括:处理器、存储器、通信接口和总线;
所述处理器、所述存储器和所述通信接口通过所述总线连接并完成相互间的通信;
所述存储器存储可执行程序代码;
所述处理器通过读取所述存储器中存储的可执行程序代码来运行与所述可执行程序代码对应的程序,以用于:
将病毒攻击工具的数据包规则配置到网络防护驱动中;
在接收到网络数据包的情况下,确定所述网络数据包的特征是否与所述数据包规则匹配;
若所述网络数据包的特征与所述数据包规则匹配,则通过所述网络防护驱动对所述网络数据包进行拦截。
相应地,本申请实施例提供了一种存储介质,其中,所述存储介质用于存储应用程序,所述应用程序用于在运行时执行本申请实施例第一方面公开的一种病毒拦截方法。
相应地,本申请实施例提供了一种应用程序,其中,所述应用程序用于在运行时执行本申请实施例第一方面公开的一种病毒拦截方法。
实施本申请实施例,首先将病毒攻击工具的数据包规则配置到网络防护驱动中;然后在接收到网络数据包的情况下,确定网络数据包的特征是否与数据包规则匹配;若该网络数据包的特征与数据包规则匹配,则对网络数据包进行拦截。在确定接收到的网络数据包为攻击数据包的情况下,在网络驱动层对该网络数据包进行拦截,从而提高病毒的拦截成功率和拦截及时性。
附图说明
为了更清楚地说明本申请实施例的技术方案,下面将对实施例描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图是本申请的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是本申请实施例提供的一种病毒拦截方法的流程示意图;
图2是本申请实施例提供的另一种病毒拦截方法的流程示意图;
图3是本申请实施例提供的一种病毒拦截装置的结构示意图;
图4是本申请实施例提供的一种电子设备的结构示意图。
具体实施方式
下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
请参考图1,图1是本申请实施例提供的一种病毒拦截方法的流程示意图。如图所示,本申请实施例中步骤包括:
S101,将病毒攻击工具的数据包规则配置到网络防护驱动中。
具体实现中,可以首先在操作系统启动时加载网络防护驱动,该网络防护驱动可以用于截获网络数据包、并在确定网络数据包的安全性后对网络数据包进行处理。然后启动病毒防护服务,将病毒攻击工具的数据包规则配置到网络防护驱动中。其中,所述数据包规则包括数据长度、数据内容以及数据偏移量中的至少一种。
S102,在接收到网络数据包的情况下,确定所述网络数据包的特征是否与所述数据包规则匹配。
具体实现中,可以在接收到网络数据包之后,在未知该网络数据包是否存在病毒的情况下,首先通过网络防护驱动截获该网络数据包,然后确定所述网络数据包的特征是否与所述数据包规则匹配。
进一步的,可以确定所述网络数据包的数据长度是否与数据包规则中规定的数据长度是否相同,或者确定所述网络数据包的数据内容是否与数据包规则中规定的数据内容相同,或者确定所述网络数据包的中数据偏移量是否与所述数据包规则中规定的数据偏移量是否相同。或者,确定数据长度、数据内容以及数据偏移量是否全部相同。
可选的,在接收到网络数据包的情况下,可以首先确定接收所述网络数据包的端口是否为指定端口;当接收所述网络数据包的端口为指定端口时,然后确定所述网络数据包的特征是否与所述数据包规则匹配。其中,指定端口可以为445端口。
可选的,在接收到网络数据包的情况下,可以首先确定所述网络数据包的数据包协议是否为预设协议;当所述网络数据包的所述数据包协议为预设协议时,然后确定所述网络数据包的特征是否与所述数据包规则匹配。其中,预设协议可以为SMB(ServerMessage Block)协议。
需要说明的是,外部的病毒攻击工具一般都是通过发往本机的445端口进行病毒攻击,并且发送的网络数据包的数据包协议都是SMB协议,如果接收所述网络数据包的端口不为445端口、或者网络数据包的数据包协议不为SMB协议,则可以判定接收到的网络数据包不是攻击数据包,因此可以直接放弃对该网络数据包进行拦截。如果接收所述网络数据包的端口为445端口、且网络数据包的数据包协议为SMB协议,则可以确定该数据包有可能时攻击数据包。
S103,若所述网络数据包的特征与所述数据包规则匹配,则可以确定该网络数据包是通过病毒攻击工具发送的攻击数据包,因此可以在网络驱动层对该网络数据包进行拦截。
S104,若所述网络数据包的特征与所述数据包规则不匹配,则可以确定该网络数据包不是通过病毒攻击工具发送的攻击数据包,因此不对该网络数据包进行拦截。
例如,局域网内机器A运行“永恒之蓝”来传播勒索病毒,该勒索病毒通过网络遍历找到存在漏洞的机器B,该勒索病毒发送网络数据包。机器B接收到该网络数据包之后,截获该网络数据包,将该网络数据包的特征与病毒数据包的数据包规则进行匹配,确定该网络数据包是攻击数据包,因此拒绝接收该网络数据包,勒索病毒被成功拦截。
在本申请实施例中,首先将病毒攻击工具的数据包规则配置到网络防护驱动中;然后在接收到网络数据包的情况下,确定网络数据包的特征是否与数据包规则匹配;若该网络数据包的特征与数据包规则匹配,则对网络数据包进行拦截。在确定接收到的网络数据包为攻击数据包的情况下,在网络驱动层对该网络数据包进行拦截,从而提高病毒的拦截成功率和拦截及时性。
请参考图2,图2是本申请实施例提供的另一种病毒拦截方法的流程示意图。如图所示,本申请实施例中步骤包括:
S201,将病毒攻击工具的数据包规则配置到网络防护驱动中。
具体实现中,可以首先在操作系统启动时加载网络防护驱动,该网络防护驱动可以用于截获网络数据包、并在确定网络数据包的安全性后对网络数据包进行处理。然后启动病毒防护服务,将病毒攻击工具的数据包规则配置到网络防护驱动中。其中,所述数据包规则包括数据长度、数据内容以及数据偏移量中的至少一种。
S202,在接收到网络数据包的情况下,确定接收所述网络数据包的端口是否为指定端口、以及所述网络数据包的数据包协议是否为预设协议。
需要说明的是,外部的病毒攻击工具一般都是通过发往本机的445端口进行病毒攻击,并且发送的网络数据包的数据包协议都是SMB协议,如果接收所述网络数据包的端口不为445端口、或者网络数据包的数据包协议不为SMB协议,则可以判定接收到的网络数据包不是攻击数据包,因此可以直接放弃对该网络数据包进行拦截。如果接收所述网络数据包的端口为445端口、且网络数据包的数据包协议为SMB协议,则可以确定该数据包有可能时攻击数据包。
S203,当接收所述网络数据包的端口为指定端口、且所述网络数据包的所述数据包协议为预设协议时,确定所述网络数据包的特征是否与所述数据包规则匹配。
具体实现中,可以确定所述网络数据包的数据长度是否与数据包规则中规定的数据长度是否相同,或者确定所述网络数据包的数据内容是否与数据包规则中规定的数据内容相同,或者确定所述网络数据包的中数据偏移量是否与所述数据包规则中规定的数据偏移量是否相同。或者,确定数据长度、数据内容以及数据偏移量是否全部相同。
S204,若所述网络数据包的特征与所述数据包规则匹配,则可以确定该网络数据包是通过病毒攻击工具发送的攻击数据包,因此可以在网络驱动层对该网络数据包进行拦截,转至步骤S206。
S205,若所述网络数据包的特征与所述数据包规则不匹配,则可以确定该网络数据包不是通过病毒攻击工具发送的攻击数据包,因此不对该网络数据包进行拦截。
S206,显示所述网络数据包的拦截结果,所述拦截结果用于提示用户清理查找所述网络数据包的地址并清理病毒。
具体实现中,如果接收到的网络数据包是攻击数据包,首先网络驱动层对该网络数据包进行拦截,在拦截成功后,然后网络驱动层通知应用层显示拦截结果。其中,显示方式包括但不限于弹窗方式。拦截结果可以包括该网络数据包为攻击数据包、该网络数据包中的病毒位置、或者网络数据包所属的攻击主机等等。如果接收到的网络数据包不是攻击数据包,网络驱动层可以放弃对该网络数据包进行拦截。
在本申请实施例中,首先将病毒攻击工具的数据包规则配置到网络防护驱动中;然后确定接收网络数据包的端口是否为指定端口、以及网络数据包的数据包协议是否为预设协议,当接收网络数据包的端口为指定端口、且网络数据包的数据包协议为预设协议时,确定网络数据包的特征是否与数据包规则匹配;若该网络数据包的特征与数据包规则匹配,则对网络数据包进行拦截。在确定接收到的网络数据包为攻击数据包的情况下,在网络驱动层对该网络数据包进行拦截,从而提高病毒的拦截成功率和拦截及时性。
请参考图3,图3是本申请实施例提供的一种病毒拦截装置的结构示意图。如图所示,本申请实施例中装置包括:
加载模块301,用于将病毒攻击工具的数据包规则配置到网络防护驱动中。
具体实现中,可以首先在操作系统启动时加载网络防护驱动,该网络防护驱动可以用于截获网络数据包、并在确定网络数据包的安全性后对网络数据包进行处理。然后启动病毒防护服务,将病毒攻击工具的数据包规则配置到网络防护驱动中。其中,所述数据包规则包括数据长度、数据内容以及数据偏移量中的至少一种。
确定模块302,用于在接收到网络数据包的情况下,确定所述网络数据包的特征是否与所述数据包规则匹配。
具体实现中,可以在接收到网络数据包之后,在未知该网络数据包是否存在病毒的情况下,首先通过网络防护驱动截获该网络数据包,然后确定所述网络数据包的特征是否与所述数据包规则匹配。
进一步的,可以确定所述网络数据包的数据长度是否与数据包规则中规定的数据长度是否相同,或者确定所述网络数据包的数据内容是否与数据包规则中规定的数据内容相同,或者确定所述网络数据包的中数据偏移量是否与所述数据包规则中规定的数据偏移量是否相同。或者,确定数据长度、数据内容以及数据偏移量是否全部相同。
可选的,在接收到网络数据包的情况下,可以首先确定接收所述网络数据包的端口是否为指定端口;当接收所述网络数据包的端口为指定端口时,然后确定所述网络数据包的特征是否与所述数据包规则匹配。其中,指定端口可以为445端口。
可选的,在接收到网络数据包的情况下,可以首先确定所述网络数据包的数据包协议是否为预设协议;当所述网络数据包的所述数据包协议为预设协议时,然后确定所述网络数据包的特征是否与所述数据包规则匹配。其中,预设协议可以为SMB(ServerMessage Block)协议。
可选的,可以在接收到网络数据包的情况下,确定接收所述网络数据包的端口是否为指定端口、以及所述网络数据包的数据包协议是否为预设协议;当接收所述网络数据包的端口为指定端口、且所述网络数据包的所述数据包协议为预设协议时,确定所述网络数据包的特征是否与所述数据包规则匹配。
需要说明的是,外部的病毒攻击工具一般都是通过发往本机的445端口进行病毒攻击,并且发送的网络数据包的数据包协议都是SMB协议,如果接收所述网络数据包的端口不为445端口、或者网络数据包的数据包协议不为SMB协议,则可以判定接收到的网络数据包不是攻击数据包,因此可以直接放弃对该网络数据包进行拦截。如果接收所述网络数据包的端口为445端口、且网络数据包的数据包协议为SMB协议,则可以确定该数据包有可能时攻击数据包。
拦截模块303,用于若所述网络数据包的特征与所述数据包规则匹配,则通过所述网络防护驱动对所述网络数据包进行拦截。
具体实现中,若所述网络数据包的特征与所述数据包规则匹配,则可以确定该网络数据包是通过病毒攻击工具发送的攻击数据包,因此可以在网络驱动层对该网络数据包进行拦截。若所述网络数据包的特征与所述数据包规则不匹配,则可以确定该网络数据包不是通过病毒攻击工具发送的攻击数据包,因此不对该网络数据包进行拦截。
可选的,在对所述网络数据包进行拦截之后,可以显示所述网络数据包的拦截结果,所述拦截结果用于提示用户清理查找所述网络数据包的地址并清理病毒。例如,如果接收到的网络数据包是攻击数据包,首先网络驱动层对该网络数据包进行拦截,在拦截成功后,然后网络驱动层通知应用层显示拦截结果。其中,显示方式包括但不限于弹窗方式。拦截结果可以包括该网络数据包为攻击数据包、该网络数据包中的病毒位置、或者网络数据包所属的攻击主机等等。
例如,局域网内机器A运行“永恒之蓝”来传播勒索病毒,该勒索病毒通过网络遍历找到存在漏洞的机器B,该勒索病毒发送网络数据包。机器B接收到该网络数据包之后,截获该网络数据包,将该网络数据包的特征与病毒数据包的数据包规则进行匹配,确定该网络数据包是攻击数据包,因此拒绝接收该网络数据包,勒索病毒被成功拦截。
在本申请实施例中,首先将病毒攻击工具的数据包规则配置到网络防护驱动中;然后在接收到网络数据包的情况下,确定网络数据包的特征是否与数据包规则匹配;若该网络数据包的特征与数据包规则匹配,则对网络数据包进行拦截。在确定接收到的网络数据包为攻击数据包的情况下,在网络驱动层对该网络数据包进行拦截,从而提高病毒的拦截成功率和拦截及时性。
请参考图4,图4是本申请实施例提出的一种电子设备的结构示意图。如图所示,该电子设备可以包括:至少一个处理器401,例如CPU,至少一个通信接口402,至少一个存储器403,至少一个总线404。其中,总线404用于实现这些组件之间的连接通信。其中,本申请实施例中电子设备的通信接口402是有线发送端口,也可以为无线设备,例如包括天线装置,用于与其他节点设备进行信令或数据的通信。存储器403可以是高速RAM存储器,也可以是非不稳定的存储器(non-volatile memory),例如至少一个磁盘存储器。存储器403可选的还可以是至少一个位于远离前述处理器401的存储装置。存储器403中存储一组程序代码,且处理器401用于调用存储器中存储的程序代码,用于执行以下操作:
将病毒攻击工具的数据包规则配置到网络防护驱动中;
在接收到网络数据包的情况下,确定所述网络数据包的特征是否与所述数据包规则匹配;
若所述网络数据包的特征与所述数据包规则匹配,则通过所述网络防护驱动对所述网络数据包进行拦截。
其中,处理器401还用于执行如下操作步骤:
在接收到网络数据包的情况下,确定接收所述网络数据包的端口是否为指定端口;
当接收所述网络数据包的端口为指定端口时,确定所述网络数据包的特征是否与所述数据包规则匹配。
其中,处理器401还用于执行如下操作步骤:
在接收到网络数据包的情况下,确定所述网络数据包的数据包协议是否为预设协议;
当所述网络数据包的所述数据包协议为预设协议时,确定所述网络数据包的特征是否与所述数据包规则匹配。
其中,处理器401还用于执行如下操作步骤:
在接收到网络数据包的情况下,确定接收所述网络数据包的端口是否为指定端口、以及所述网络数据包的数据包协议是否为预设协议;
当接收所述网络数据包的端口为指定端口、且所述网络数据包的所述数据包协议为预设协议时,确定所述网络数据包的特征是否与所述数据包规则匹配。
其中,处理器401还用于执行如下操作步骤:
通过弹窗方式显示所述网络数据包的拦截结果,所述拦截结果用于提示用户清理查找所述网络数据包的地址并清理病毒。
其中,所述数据包规则包括数据长度、数据内容以及数据偏移量中的至少一种。
需要说明的是,本申请实施例同时也提供了一种存储介质,该存储介质用于存储应用程序,该应用程序用于在运行时执行图1和图2所示的一种病毒拦截方法中电子设备执行的操作。
需要说明的是,本申请实施例同时也提供了一种应用程序,该应用程序用于在运行时执行图1和图2所示的一种病毒拦截方法中电子设备执行的操作。
需要说明的是,对于前述的各个方法实施例,为了简单描述,故将其都表述为一系列的动作组合,但是本领域技术人员应该知悉,本申请并不受所描述的动作顺序的限制,因为依据本申请,某一些步骤可以采用其他顺序或者同时进行。其次,本领域技术人员也应该知悉,说明书中所描述的实施例均属于优选实施例,所涉及的动作和模块并不一定是本申请所必须的。
在上述实施例中,对各个实施例的描述都各有侧重,某个实施例中没有详细描述的部分,可以参见其他实施例的相关描述。
本领域普通技术人员可以理解上述实施例的各种方法中的全部或部分步骤是可以通过程序来指令相关的硬件来完成,该程序可以存储于一计算机可读存储介质中,存储介质可以包括:闪存盘、只读存储器(英文:Read-Only Memory,简称:ROM)、随机存取器(英文:Random Access Memory,简称:RAM)、磁盘或光盘等。
以上对本申请实施例所提供的内容下载方法及相关设备、系统进行了详细介绍,本文中应用了具体个例对本申请的原理及实施方式进行了阐述,以上实施例的说明只是用于帮助理解本申请的方法及其核心思想;同时,对于本领域的一般技术人员,依据本申请的思想,在具体实施方式及应用范围上均会有改变之处,综上所述,本说明书内容不应理解为对本申请的限制。
在本说明书的描述中,参考术语“一个实施例”、“一些实施例”、“示例”、“具体示例”、或“一些示例”等的描述意指结合该实施例或示例描述的具体特征、结构、材料或者特点包含于本申请的至少一个实施例或示例中。在本说明书中,对上述术语的示意性表述不必须针对的是相同的实施例或示例。而且,描述的具体特征、结构、材料或者特点可以在任一个或多个实施例或示例中以合适的方式结合。此外,在不相互矛盾的情况下,本领域的技术人员可以将本说明书中描述的不同实施例或示例以及不同实施例或示例的特征进行结合和组合。
此外,术语“第一”、“第二”仅用于描述目的,而不能理解为指示或暗示相对重要性或者隐含指明所指示的技术特征的数量。由此,限定有“第一”、“第二”的特征可以明示或者隐含地包括至少一个该特征。在本申请的描述中,“多个”的含义是至少两个,例如两个,三个等,除非另有明确具体的限定。
流程图中或在此以其他方式描述的任何过程或方法描述可以被理解为,表示包括一个或更多个用于实现特定逻辑功能或过程的步骤的可执行指令的代码的模块、片段或部分,并且本申请的优选实施方式的范围包括另外的实现,其中可以不按所示出或讨论的顺序,包括根据所涉及的功能按基本同时的方式或按相反的顺序,来执行功能,这应被本申请的实施例所属技术领域的技术人员所理解。
在流程图中表示或在此以其他方式描述的逻辑和/或步骤,例如,可以被认为是用于实现逻辑功能的可执行指令的定序列表,可以具体实现在任何计算机可读介质中,以供指令执行系统、装置或设备(如基于计算机的系统、包括处理器的系统或其他可以从指令执行系统、装置或设备取指令并执行指令的系统)使用,或结合这些指令执行系统、装置或设备而使用。就本说明书而言,"计算机可读介质"可以是任何可以包含、存储、通信、传播或传输程序以供指令执行系统、装置或设备或结合这些指令执行系统、装置或设备而使用的装置。计算机可读介质的更具体的示例(非穷尽性列表)包括以下:具有一个或多个布线的电连接部(电子装置),便携式计算机盘盒(磁装置),随机存取存储器(RAM),只读存储器(ROM),可擦除可编辑只读存储器(EPROM或闪速存储器),光纤装置,以及便携式光盘只读存储器(CDROM)。另外,计算机可读介质甚至可以是可在其上打印所述程序的纸或其他合适的介质,因为可以例如通过对纸或其他介质进行光学扫描,接着进行编辑、解译或必要时以其他合适方式进行处理来以电子方式获得所述程序,然后将其存储在计算机存储器中。
应当理解,本申请的各部分可以用硬件、软件、固件或它们的组合来实现。在上述实施方式中,多个步骤或方法可以用存储在存储器中且由合适的指令执行系统执行的软件或固件来实现。例如,如果用硬件来实现,和在另一实施方式中一样,可用本领域公知的下列技术中的任一项或他们的组合来实现:具有用于对数据信号实现逻辑功能的逻辑门电路的离散逻辑电路,具有合适的组合逻辑门电路的专用集成电路,可编程门阵列(PGA),现场可编程门阵列(FPGA)等。
本技术领域的普通技术人员可以理解实现上述实施例方法携带的全部或部分步骤是可以通过程序来指令相关的硬件完成,所述的程序可以存储于一种计算机可读存储介质中,该程序在执行时,包括方法实施例的步骤之一或其组合。
此外,在本申请各个实施例中的各功能单元可以集成在一个处理模块中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个模块中。上述集成的模块既可以采用硬件的形式实现,也可以采用软件功能模块的形式实现。所述集成的模块如果以软件功能模块的形式实现并作为独立的产品销售或使用时,也可以存储在一个计算机可读取存储介质中。
上述提到的存储介质可以是只读存储器,磁盘或光盘等。尽管上面已经示出和描述了本申请的实施例,可以理解的是,上述实施例是示例性的,不能理解为对本申请的限制,本领域的普通技术人员在本申请的范围内可以对上述实施例进行变化、修改、替换和变型。
Claims (10)
1.一种病毒拦截方法,其特征在于,所述方法应用于电子设备,所述方法包括:
将病毒攻击工具的数据包规则配置到网络防护驱动中;
在接收到网络数据包的情况下,确定所述网络数据包的特征是否与所述数据包规则匹配;
若所述网络数据包的特征与所述数据包规则匹配,则通过所述网络防护驱动对所述网络数据包进行拦截。
2.如权利要求1所述的方法,其特征在于,所述当接收到网络数据包时,确定所述网络数据包的特征是否与所述数据包规则匹配包括:
在接收到网络数据包的情况下,确定接收所述网络数据包的端口是否为指定端口;
当接收所述网络数据包的端口为指定端口时,确定所述网络数据包的特征是否与所述数据包规则匹配。
3.如权利要求1所述的方法,其特征在于,所述当接收到网络数据包时,确定所述网络数据包的特征是否与所述数据包规则匹配包括:
在接收到网络数据包的情况下,确定所述网络数据包的数据包协议是否为预设协议;
当所述网络数据包的所述数据包协议为预设协议时,确定所述网络数据包的特征是否与所述数据包规则匹配。
4.如权利要求1所述的方法,其特征在于,所述当接收到网络数据包时,确定所述网络数据包的特征是否与所述数据包规则匹配包括:
在接收到网络数据包的情况下,确定接收所述网络数据包的端口是否为指定端口、以及所述网络数据包的数据包协议是否为预设协议;
当接收所述网络数据包的端口为指定端口、且所述网络数据包的所述数据包协议为预设协议时,确定所述网络数据包的特征是否与所述数据包规则匹配。
5.如权利要求1所述的方法,其特征在于,所述若所述网络数据包的特征与所述数据包规则匹配,则通过所述网络防护驱动对所述网络数据包进行拦截之后,还包括:
通过弹窗方式显示所述网络数据包的拦截结果,所述拦截结果用于提示用户清理查找所述网络数据包的地址并清理病毒。
6.如权利要求1-5任一项所述的方法,其特征在于,所述数据包规则包括数据长度、数据内容以及数据偏移量中的至少一种。
7.一种病毒拦截装置,其特征在于,所述装置包括:
加载模块,用于将病毒攻击工具的数据包规则配置到网络防护驱动中;
确定模块,用于在接收到网络数据包的情况下,确定所述网络数据包的特征是否与所述数据包规则匹配;
拦截模块,用于若所述网络数据包的特征与所述数据包规则匹配,则通过所述网络防护驱动对所述网络数据包进行拦截。
8.如权利要求7所述的装置,其特征在于,
所述确定模块,还用于在接收到网络数据包的情况下,确定接收所述网络数据包的端口是否为指定端口;当接收所述网络数据包的端口为指定端口时,确定所述网络数据包的特征是否与所述数据包规则匹配。
9.一种电子设备,其特征在于,包括:处理器、存储器、通信接口和总线;
所述处理器、所述存储器和所述通信接口通过所述总线连接并完成相互间的通信;
所述存储器存储可执行程序代码;
所述处理器通过读取所述存储器中存储的可执行程序代码来运行与所述可执行程序代码对应的程序,以用于执行如权利要求1-6任一项所述的病毒拦截方法。
10.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质存储有多条指令,所述指令适于由处理器加载并执行如权利要求1-6任一项所述的病毒拦截方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201811103482.8A CN109271783A (zh) | 2018-09-20 | 2018-09-20 | 一种病毒拦截方法、装置及电子设备 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201811103482.8A CN109271783A (zh) | 2018-09-20 | 2018-09-20 | 一种病毒拦截方法、装置及电子设备 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN109271783A true CN109271783A (zh) | 2019-01-25 |
Family
ID=65197871
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201811103482.8A Pending CN109271783A (zh) | 2018-09-20 | 2018-09-20 | 一种病毒拦截方法、装置及电子设备 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN109271783A (zh) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111079144A (zh) * | 2019-11-25 | 2020-04-28 | 杭州迪普科技股份有限公司 | 一种病毒传播行为检测方法及装置 |
| CN111355712A (zh) * | 2020-02-20 | 2020-06-30 | 杭州涂鸦信息技术有限公司 | 一种适用于mqtt的安全防护方法及系统 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1578227A (zh) * | 2003-07-29 | 2005-02-09 | 上海聚友宽频网络投资有限公司 | 一种动态ip数据包过滤方法 |
| EP2095604A2 (en) * | 2006-11-03 | 2009-09-02 | Lucent Technologies Inc. | Methods and apparatus for detecting unwanted traffic in one or more packet networks utilizing string analysis |
| CN102790758A (zh) * | 2011-05-18 | 2012-11-21 | 海尔集团公司 | 防火墙系统及其处理方法 |
| CN107231360A (zh) * | 2017-06-08 | 2017-10-03 | 上海斐讯数据通信技术有限公司 | 基于云网络的网络病毒防护方法、安全无线路由器和系统 |
| CN108306857A (zh) * | 2017-12-26 | 2018-07-20 | 努比亚技术有限公司 | 异常操作拦截方法、网络安全设备及计算机可读存储介质 |
-
2018
- 2018-09-20 CN CN201811103482.8A patent/CN109271783A/zh active Pending
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1578227A (zh) * | 2003-07-29 | 2005-02-09 | 上海聚友宽频网络投资有限公司 | 一种动态ip数据包过滤方法 |
| EP2095604A2 (en) * | 2006-11-03 | 2009-09-02 | Lucent Technologies Inc. | Methods and apparatus for detecting unwanted traffic in one or more packet networks utilizing string analysis |
| CN102790758A (zh) * | 2011-05-18 | 2012-11-21 | 海尔集团公司 | 防火墙系统及其处理方法 |
| CN107231360A (zh) * | 2017-06-08 | 2017-10-03 | 上海斐讯数据通信技术有限公司 | 基于云网络的网络病毒防护方法、安全无线路由器和系统 |
| CN108306857A (zh) * | 2017-12-26 | 2018-07-20 | 努比亚技术有限公司 | 异常操作拦截方法、网络安全设备及计算机可读存储介质 |
Non-Patent Citations (1)
| Title |
|---|
| 陈启安等: "《网络空间安全技术基础》", 1 December 2017, 厦门大学出版社 * |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111079144A (zh) * | 2019-11-25 | 2020-04-28 | 杭州迪普科技股份有限公司 | 一种病毒传播行为检测方法及装置 |
| CN111355712A (zh) * | 2020-02-20 | 2020-06-30 | 杭州涂鸦信息技术有限公司 | 一种适用于mqtt的安全防护方法及系统 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US9294442B1 (en) | System and method for threat-driven security policy controls | |
| US20170223033A1 (en) | Multi-Node Affinity-Based Examination for Computer Network Security Remediation | |
| US20160294875A1 (en) | System and method for threat-driven security policy controls | |
| JP4977888B2 (ja) | ウェブアプリケーション攻撃の検知方法 | |
| EP2115653B1 (en) | File conversion in restricted process | |
| CN110084039B (zh) | 用于端点安全与网络安全服务之间的协调的框架 | |
| US9348998B2 (en) | System and methods for detecting harmful files of different formats in virtual environments | |
| US9686304B1 (en) | Systems and methods for healing infected document files | |
| CA2611227C (en) | Resisting the spread of unwanted code and data | |
| Ntantogian et al. | Evaluating the privacy of Android mobile applications under forensic analysis | |
| US6907396B1 (en) | Detecting computer viruses or malicious software by patching instructions into an emulator | |
| US12093387B2 (en) | Endpoint detection and response attack process tree auto-play | |
| US20130145471A1 (en) | Detecting Malware Using Stored Patterns | |
| US20110295894A1 (en) | System and method for matching pattern | |
| JP6050162B2 (ja) | 接続先情報抽出装置、接続先情報抽出方法、及び接続先情報抽出プログラム | |
| CN109558207B (zh) | 在虚拟机中形成用于进行文件的防病毒扫描的日志的系统和方法 | |
| WO2018131199A1 (ja) | 結合装置、結合方法および結合プログラム | |
| CN109800576B (zh) | 未知程序异常请求的监控方法、装置、及电子装置 | |
| CN106021085B (zh) | 一种性能测试方法、装置及数据服务器 | |
| CN109271783A (zh) | 一种病毒拦截方法、装置及电子设备 | |
| US7788724B2 (en) | System and method for detecting malicious applications | |
| US9519780B1 (en) | Systems and methods for identifying malware | |
| CN113992426A (zh) | 一种报文分发方法、装置、存储介质及电子设备 | |
| CN108171063A (zh) | 访问安全元件的方法、终端及计算机可读存储介质 | |
| JP6314036B2 (ja) | マルウェア特徴抽出装置、マルウェア特徴抽出システム、マルウェア特徴方法及び対策指示装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| TA01 | Transfer of patent application right |
Effective date of registration: 20191128 Address after: Room 105-53811, No. 6 Baohua Road, Hengqin New District, Zhuhai City, Guangdong Province Applicant after: Zhuhai Leopard Technology Co.,Ltd. Address before: 519070, No. 10, main building, No. six, science Road, Harbour Road, Tang Wan Town, Guangdong, Zhuhai, 601F Applicant before: Zhuhai Juntian Electronic Technology Co.,Ltd. |
|
| TA01 | Transfer of patent application right | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20190125 |
|
| RJ01 | Rejection of invention patent application after publication |