CN109684831B - 一种检测计算机网络病毒的方法和装置 - Google Patents

一种检测计算机网络病毒的方法和装置 Download PDF

Info

Publication number
CN109684831B
CN109684831B CN201810671532.6A CN201810671532A CN109684831B CN 109684831 B CN109684831 B CN 109684831B CN 201810671532 A CN201810671532 A CN 201810671532A CN 109684831 B CN109684831 B CN 109684831B
Authority
CN
China
Prior art keywords
rule
data packet
packet
network
information
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201810671532.6A
Other languages
English (en)
Other versions
CN109684831A (zh
Inventor
李博
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Beijing ThreatBook Technology Co Ltd
Original Assignee
Beijing ThreatBook Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Beijing ThreatBook Technology Co Ltd filed Critical Beijing ThreatBook Technology Co Ltd
Priority to CN201810671532.6A priority Critical patent/CN109684831B/zh
Publication of CN109684831A publication Critical patent/CN109684831A/zh
Application granted granted Critical
Publication of CN109684831B publication Critical patent/CN109684831B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/566Dynamic detection, i.e. detection performed at run-time, e.g. emulation, suspicious activities
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Virology (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本申请提供了一种检测计算机网络病毒的方法和装置,所述方法包括:在预设的计算机网络中,当第一数据包触发第一规则时,则根据第一规则和所述第一数据包生成与第二规则相关联的探测数据包,并向所述预设的计算机网络中发送所述探测数据包;其中,所述第一规则和第二规则与第一网络病毒相关联,是识别数据包中第一网络病毒的预设规则;当响应探测数据包而返回的第二数据包触发第二规则时,则所述预设的计算机网络中存在第一网络病毒。本申请利用伪装成C&C控制端数据包的方式,对已经运行且触发告警的计算机网络程序进行探测,通过分析返回数据包获得识别结果,能够有效的降低产品的误报,提高恶意样本识别率。

Description

一种检测计算机网络病毒的方法和装置
技术领域
本申请涉及计算机病毒领域,具体涉及检测计算机网络病毒的方法,以及检测计算机网络病毒的装置。
背景技术
病毒,是指编制或者在计算机程序中插入的破坏计算机功能或者破坏数据,影响计算机使用并且能够自我复制的一组计算机指令或者程序代码。病毒可以划分为计算机网络病毒,文件病毒,引导型病毒。
计算机网络病毒,是通过计算机网络传播感染网络中的可执行文件。C&C类木马是一种典型的计算机网络病毒。
C&C:即Command and Control,中文意思是“命令以及控制”,有时也简写为C2。在某些情况下,C&C(或者C2)是指C&C服务器,也就是控制端,本申请C&C取本意。
C&C类木马,是指能进行远程控制的木马类型。包括:DDoS木马,传统的远程控制木马,以及现下流行的APT(高级可持续性威胁)程序。通常网络中的计算机被感染木马后,控制端的计算机就可以通过木马控制网络中所有的被控端的计算机按照指令行动。例如,进行统一的网络攻击,使被攻击对象的网络或计算机瘫痪,不能正常工作。
防止计算机网络病毒对网络系统的侵害的主要手段是在计算机网络系统中布设入侵检测系统。
入侵检测系统(Intrusion Detection Systems,简称IDS),就是依照一定的安全策略,通过软、硬件,对计算机网络、系统的运行状况进行监视,尽可能发现各种攻击企图、攻击行为或者攻击结果,以保证计算机网络系统资源的机密性、完整性和可用性。主要原理是针对恶意有效载荷流量编写规则进行检测。
当前,入侵检测系统主要存在以下缺陷:误报率比较高。
发明内容
本申请提供一种检测计算机网络病毒的方法,一种检测计算机网络病毒的装置;以解决入侵检测系统误报率高的问题。
为了解决上述技术问题,本申请实施例提供了如下的技术方案:
本实施例提供了一种检测计算机网络病毒的方法,包括:
在预设的计算机网络中,当第一数据包触发第一规则时,则根据第一规则和所述第一数据包生成与第二规则相关联的探测数据包,并向所述预设的计算机网络中发送所述探测数据包;其中,所述第一规则和第二规则与第一网络病毒相关联,是识别数据包中第一网络病毒的预设规则;
当响应探测数据包而返回的第二数据包触发第二规则时,则所述预设的计算机网络中存在第一网络病毒。
可选的,所述第一数据包触发第一规则,包括:
拦截第一数据包,并依据第一规则获得第一数据包中的第一特征信息;
判断所述第一特征信息是否满足第一规则;
若是,则触发第一规则。
可选的,所述根据第一规则和所述第一数据包生成与第二规则相关联的探测数据包,其中,所述第一规则和第二规则与第一网络病毒相关联,包括:
识别第一规则,获得第一网络病毒信息;
根据所述第一网络病毒信息获得第二规则;
利用第二规则和所述第一数据包生成与第二规则相关联的探测数据包。
进一步的,所述探测数据包,是指伪装成第一网络病毒的控制端发送的数据包。
可选的,所述利用第二规则和所述第一数据包生成与第二规则相关联的探测数据包,包括:
从所述第一数据包中提取探测数据包的包头信息;其中,所述探测数据包的包头信息至少包括:目的地网络地址和/或目的地设备名称,以及源网络地址和/或源设备名称;
依据第二规则生成所述探测数据包的包体信息;
利用所述探测数据包的包头信息和包体信息生成所述探测数据包。
可选的,所述利用第二规则和所述第一数据包生成与第二规则相关联的探测数据包,包括:
获取预设的计算机网络中每个电子设备的网络地址和/或设备名称;
将每个电子设备的网络地址和/或设备名称作为每个探测数据包的包头的目的地网络地址和/或目的地设备名称;
从所述第一数据包中提取每个探测数据包的包头的源网络地址和/或源设备名称;
依据第二规则生成每个探测数据包的包体信息;
利用每个探测数据包的包头信息和包体信息生成与预设的计算机网络中每个电子设备相关联的探测数据包。
可选的,所述响应探测数据包而返回的第二数据包触发第二规则,包括:
依据第二规则获取响应探测数据包而返回的第二数据包中的第二特征信息;
判断所述第二特征信息是否满足第二规则;
若是,则触发第二规则。
综上所述,所述第一规则和第二规则,分别属于不同的识别规则。
可选的,所述第一规则,提取于包括第一网络病毒的上线数据包或心跳数据包。
可选的,所述第二规则,提取于包括第一网络病毒的被控端返回数据包。
综上所述,还包括以下处理方式之一:
在预设时间内,判断是否获得第二数据包,若否,则所述预设的计算机网络中不存在第一网络病毒;
判断所述第二数据包是否触发第二规则,若否,则所述预设的计算机网络中不存在第一网络病毒。
本实施例提供了另一种检测计算机网络病毒的装置,包括:
触发第一规则单元,配置于在预设的计算机网络中,当第一数据包触发第一规则时,则根据第一规则和所述第一数据包生成与第二规则相关联的探测数据包,并向所述预设的计算机网络中发送所述探测数据包;其中,所述第一规则和第二规则与第一网络病毒相关联,是识别数据包中第一网络病毒的预设规则;
触发第二规则单元,配置于当响应探测数据包而返回的第二数据包触发第二规则时,则所述预设的计算机网络中存在第一网络病毒。
基于上述实施例的公开可以获知,本申请实施例具备如下的有益效果:
本申请提供了一种检测计算机网络病毒的方法和装置,所述方法包括:在预设的计算机网络中,当第一数据包触发第一规则时,则根据第一规则和所述第一数据包生成与第二规则相关联的探测数据包,并向所述预设的计算机网络中发送所述探测数据包;其中,所述第一规则和第二规则与第一网络病毒相关联,是识别数据包中第一网络病毒的预设规则;当响应探测数据包而返回的第二数据包触发第二规则时,则所述预设的计算机网络中存在第一网络病毒。本申请利用伪装成C&C控制端数据包的方式,对已经运行且触发告警的计算机网络程序进行探测,通过分析返回数据包获得识别结果,能够有效的降低产品的误报,提高恶意样本识别率。
附图说明
图1为本申请实施例提供的检测计算机网络病毒的方法的流程图;
图2为本申请实施例提供的检测计算机网络病毒的装置的单元框图。
具体实施方式
下面,结合附图对本申请的具体实施例进行详细的描述,但不作为本申请的限定。
应理解的是,可以对此处公开的实施例做出各种修改。因此,上述说明书不应该视为限制,而仅是作为实施例的范例。本领域的技术人员将想到在本申请的范围和精神内的其他修改。
包含在说明书中并构成说明书的一部分的附图示出了本申请的实施例,并且与上面给出的对本申请的大致描述以及下面给出的对实施例的详细描述一起用于解释本申请的原理。
通过下面参照附图对给定为非限制性实例的实施例的优选形式的描述,本申请的这些和其它特性将会变得显而易见。
还应当理解,尽管已经参照一些具体实例对本申请进行了描述,但本领域技术人员能够确定地实现本申请的很多其它等效形式,它们具有如权利要求所述的特征并因此都位于借此所限定的保护范围内。
当结合附图时,鉴于以下详细说明,本申请的上述和其他方面、特征和优势将变得更为显而易见。
此后参照附图描述本申请的具体实施例;然而,应当理解,所公开的实施例仅仅是本申请的实例,其可采用多种方式实施。熟知和/或重复的功能和结构并未详细描述以避免不必要或多余的细节使得本申请模糊不清。因此,本文所公开的具体的结构性和功能性细节并非意在限定,而是仅仅作为权利要求的基础和代表性基础用于教导本领域技术人员以实质上任意合适的详细结构多样地使用本申请。
本说明书可使用词组“在一种实施例中”、“在另一个实施例中”、“在又一实施例中”或“在其他实施例中”,其均可指代根据本申请的相同或不同实施例中的一个或多个。
本申请提供一种检测计算机网络病毒的方法;本申请还提供一种检测计算机网络病毒的装置。在下面的实施例中逐一进行详细说明。
对本申请提供的第一实施例,即一种检测计算机网络病毒的方法的实施例。
下面结合图1对本实施例进行详细说明,其中,图1为本申请实施例提供的检测计算机网络病毒的方法的流程图。
步骤S101,在预设的计算机网络中,当第一数据包触发第一规则时,则根据第一规则和所述第一数据包生成与第二规则相关联的探测数据包,并向所述预设的计算机网络中发送所述探测数据包;其中,所述第一规则和第二规则与第一网络病毒相关联,是识别数据包中第一网络病毒的预设规则。
计算机网络,是指将地理位置不同的具有独立功能的多台计算机及其外部设备,通过通信线路连接起来,在网络操作系统,网络管理软件及网络通信协议的管理和协调下,实现资源共享和信息传递的计算机系统。计算机网络按照地理范围划分为局域网、城域网、广域网和互联网四种。
局域网,就是在局部地区范围内的网络,它所覆盖的地区范围较小。局域网在计算机数量配置上没有太多的限制,少的可以只有两台,多的可达几百台。
计算机网络病毒,是通过计算机网络传播感染网络中的可执行文件。例如,C&C类木马是一种典型的计算机网络病毒。防止计算机网络病毒对网络系统的侵害的主要手段是在计算机网络系统中布设入侵检测系统。本申请实施例就涉及入侵检测系统领域。通常入侵检测系统安装在计算机网络通讯的关键节点上,通过检查流经关键节点的数据包中的信息查找计算机网络病毒,防止对计算机网络的侵害。
所述预设的计算机网络通常是指局域网,由于局域网与外网通讯是通过若干个连接接口,因此,在接口处设置入侵检测系统,检查输入输出局域网的数据包是否存在计算机网络病毒,可起到事半功倍的效果。同时,由于局域网规模较小,也可以使数据包输入输出局域网的速度更有优势。当然所述预设的计算机网络也可以是城域网,广域网或互联网,均可实现本申请实施例的效果,在此不作限制。
数据包,就是在网络中进行数据传输的数据单位。数据包的结构比较复杂,可以概括为包头和包体。通讯的发送方的请求数据包和接收方的应答数据包的包头的结构是一致的,不同的是包体的内容。包头信息至少包括:目的地网络地址和/或目的地设备名称,以及源网络地址和/或源设备名称。目的地网络地址(或目的地设备名称)是说明这个数据包是要发给谁的;源网络地址(或源设备名称)是说明这个数据包是发自哪里的。而包体的内容就是用户的数据信息。
所述第一数据包触发第一规则,包括以下步骤:
步骤S101-1,拦截第一数据包,并依据第一规则获得第一数据包中的第一特征信息。
所述第一规则与第一网络病毒相关联,是识别数据包中第一网络病毒的预设规则。例如,第一规则中规定:如果被拦截的数据包的第i字节,长度为L1个字节,特征码为“12345”;第i+a字节,长度为L2个字节,特征信息为“abcd”;则该被拦截的数据包意思包含第一网络病毒。
所述第一数据包中的第一特征信息,就是从第一数据包中依据第一规则规定的从指定位置开始的指定长度提取的信息。
步骤S101-2,判断所述第一特征信息是否满足第一规则。
就是判断第一特征信息是否符合第一规则指定的特征信息。
步骤S101-3,若是,则触发第一规则。
所述触发第一规则,就是在预设的计算机网络中疑似存在第一网络病毒,并需要进一步验证。
所述根据第一规则和所述第一数据包生成与第二规则相关联的探测数据包,其中,所述第一规则和第二规则与第一网络病毒相关联,包括以下步骤:
步骤S101-11,识别第一规则,获得第一网络病毒信息。
步骤S101-12,根据所述第一网络病毒信息获得第二规则。
步骤S101-13,利用第二规则和所述第一数据包生成与第二规则相关联的探测数据包。
优选的,所述探测数据包,是指伪装成第一网络病毒的控制端发送的数据包。
本申请的一个实施例,所述利用第二规则和所述第一数据包生成与第二规则相关联的探测数据包,包括以下步骤:
步骤S101-13-1,从所述第一数据包中提取探测数据包的包头信息;其中,所述探测数据包的包头信息至少包括:目的地网络地址和/或目的地设备名称,以及源网络地址和/或源设备名称。
由于第一数据包是通讯的发送方的请求数据包,探测数据包是接收方的应答数据包,所以第一数据包和探测数据包的包头的结构一致。探测数据包的包头信息的目的地网络地址或目的地设备名称就是第一数据包的包头信息的源网络地址或源设备名称;探测数据包的包头信息的源网络地址或源设备名称就是第一数据包的包头信息的目的地网络地址或目的地设备名称。
步骤S101-13-2,依据第二规则生成所述探测数据包的包体信息。
所述第二规则与第一网络病毒相关联,是识别数据包中第一网络病毒的预设规则。例如,第二规则中规定:伪装探测数据包的包体信息;识别响应探测数据包而返回的第二数据包的方法。
步骤S101-13-3,利用所述探测数据包的包头信息和包体信息生成所述探测数据包。
步骤S101-13-1至步骤S101-13-3生成的探测数据包,只是针对预设的计算机网络中发出疑似带有第一网络病毒的数据包的电子设备。所述探测数据包的目的地就是该电子设备。目的是为了检测该电子设备响应带有第一网络病毒信息的所述探测数据包后,返回的第二数据包是否也带有第一网络病毒信息。
进一步的,本申请的另一个实施例,所述利用第二规则和所述第一数据包生成与第二规则相关联的探测数据包,包括以下步骤:
步骤S101-13-11,获取预设的计算机网络中每个电子设备的网络地址和/或设备名称。
例如,通过PING操作,对预设的计算机网络的预设网段扫描,可以获得预设的计算机网络中每个电子设备的网络地址和/或设备名称。
步骤S101-13-12,将每个电子设备的网络地址和/或设备名称作为每个探测数据包的包头的目的地网络地址和/或目的地设备名称。
步骤S101-13-13,从所述第一数据包中提取每个探测数据包的包头的源网络地址和/或源设备名称。
步骤S101-13-14,依据第二规则生成每个探测数据包的包体信息。
步骤S101-13-15,利用每个探测数据包的包头信息和包体信息生成与预设的计算机网络中每个电子设备相关联的探测数据包。
步骤S101-13-11至步骤S101-13-15生成的探测数据包,是针对预设的计算机网络中的每个电子设备。所述探测数据包的目的地就是预设的计算机网络中的所有电子设备。目的是为了检测每个电子设备响应带有第一网络病毒信息的所述探测数据包后,返回的第二数据包是否也带有第一网络病毒信息。以此,检测预设的计算机网络中哪些电子设备带有第一网络病毒。
步骤S102,当响应探测数据包而返回的第二数据包触发第二规则时,则所述预设的计算机网络中存在第一网络病毒。
所述响应探测数据包而返回的第二数据包触发第二规则,包括以下步骤:
步骤S102-1,依据第二规则获取响应探测数据包而返回的第二数据包中的第二特征信息。
所述第二规则中规定:识别响应探测数据包而返回的第二数据包的方法。包括从第二数据包提取第二特征信息的方法。例如,第二规则中规定:如果被拦截的数据包的第j字节,长度为L3个字节,特征码为“xyz”;第j+a字节,长度为L4个字节,特征信息为“a2b3”;等等。则所述预设的计算机网络中存在第一网络病毒。
步骤S102-2,判断所述第二特征信息是否满足第二规则。
步骤S102-3,若是,则触发第二规则。
所述触发第二规则,就是所述预设的计算机网络中存在第一网络病毒。
本申请实施例还包括以下处理方式之一:
方式一,在预设时间内,判断是否获得第二数据包,若否,则所述预设的计算机网络中不存在第一网络病毒。
方式二,判断所述第二数据包是否触发第二规则,若否,则所述预设的计算机网络中不存在第一网络病毒。
本申请实施例中,优选的,所述第一规则和第二规则,分别属于不同的识别规则。
进一步的,所述第一规则,提取于包括第一网络病毒的上线数据包或心跳数据包。
上线数据包,就是被控端向控制端报告自己开始处于活动状态的数据包。
心跳数据包,就是被控端向控制端报告自己处于活动状态的数据包。心跳数据包按照预设的时间间隔发送。
而所述第二规则,提取于包括第一网络病毒的被控端返回数据包。
这样可以通过多种验证方式提高检测的准确率,降低误报率。
为了实现高精度的检测,可以继续提取规则3、规则4等等,类型和作用与规则2相同。
与本申请提供的第一实施例相对应,本申请还提供了第二实施例,即一种检测计算机网络病毒的装置。由于第二实施例基本相似于第一实施例,所以描述得比较简单,相关的部分请参见第一实施例的对应说明即可。下述描述的装置实施例仅仅是示意性的。
图2示出了本申请提供的一种检测计算机网络病毒的装置的实施例。图2为本申请实施例提供的检测计算机网络病毒的装置的单元框图。
请参考图2,本申请提供一种检测计算机网络病毒的装置,包括:触发第一规则单元201,触发第二规则单元202;
触发第一规则单元201,配置于在预设的计算机网络中,当第一数据包触发第一规则时,则根据第一规则和所述第一数据包生成与第二规则相关联的探测数据包,并向所述预设的计算机网络中发送所述探测数据包;其中,所述第一规则和第二规则与第一网络病毒相关联,是识别数据包中第一网络病毒的预设规则;
触发第二规则单元202,配置于当响应探测数据包而返回的第二数据包触发第二规则时,则所述预设的计算机网络中存在第一网络病毒。
可选的,所述触发第一规则单元201中所述第一数据包触发第一规则,包括:
生成第一特征信息子单元,配置于拦截第一数据包,并依据第一规则获得第一数据包中的第一特征信息;
识别第一特征信息子单元,配置于判断所述第一特征信息是否满足第一规则;
第一特征信息结果子单元,配置于所述识别第一特征信息子单元的识别结果为“是”,则触发第一规则。
可选的,所述触发第一规则单元201中所述根据第一规则和所述第一数据包生成与第二规则相关联的探测数据包,其中,所述第一规则和第二规则与第一网络病毒相关联,包括:
获得病毒信息子单元,配置于识别第一规则,获得第一网络病毒信息;
获得第二规则子单元,配置于根据所述第一网络病毒信息获得第二规则;
生成探测数据包子单元,配置于利用第二规则和所述第一数据包生成与第二规则相关联的探测数据包。
进一步的,所述探测数据包,是指伪装成第一网络病毒的控制端发送的数据包。
可选的,所述生成探测数据包子单元,包括:
提取包头信息子单元,配置于从所述第一数据包中提取探测数据包的包头信息;其中,所述探测数据包的包头信息至少包括:目的地网络地址和/或目的地设备名称,以及源网络地址和/或源设备名称;
生成包体信息子单元,配置于依据第二规则生成所述探测数据包的包体信息;
生成单探测数据包子单元,配置于利用所述探测数据包的包头信息和包体信息生成所述探测数据包。
提取包头信息子单元、生成包体信息子单元和生成单探测数据包子单元,只是针对预设的计算机网络中发出疑似带有第一网络病毒的数据包的电子设备。所述探测数据包的目的地就是该电子设备。目的是为了检测该电子设备响应带有第一网络病毒信息的所述探测数据包后,返回的第二数据包是否也带有第一网络病毒信息。
可选的,所述生成探测数据包子单元,包括:
获取诸网络信息子单元,配置于获取预设的计算机网络中每个电子设备的网络地址和/或设备名称;
生成诸包头目的地信息子单元,配置于将每个电子设备的网络地址和/或设备名称作为每个探测数据包的包头的目的地网络地址和/或目的地设备名称;
生成诸包头源信息子单元,配置于从所述第一数据包中提取每个探测数据包的包头的源网络地址和/或源设备名称;
生成诸包体信息子单元,配置于依据第二规则生成每个探测数据包的包体信息;
生成诸探测数据包子单元,配置于利用每个探测数据包的包头信息和包体信息生成与预设的计算机网络中每个电子设备相关联的探测数据包。
获取诸网络信息子单元、生成诸包头目的地信息子单元、生成诸包头源信息子单元、生成诸包体信息子单元和生成诸探测数据包子单元,是针对预设的计算机网络中的每个电子设备。所述探测数据包的目的地就是预设的计算机网络中的所有电子设备。目的是为了检测每个电子设备响应带有第一网络病毒信息的所述探测数据包后,返回的第二数据包是否也带有第一网络病毒信息。以此,检测预设的计算机网络中哪些电子设备带有第一网络病毒。
可选的,所述触发第二规则单元202中响应探测数据包而返回的第二数据包触发第二规则,包括:
生成第二特征信息子单元,配置于依据第二规则获取响应探测数据包而返回的第二数据包中的第二特征信息;
识别第二特征信息子单元,配置于判断所述第二特征信息是否满足第二规则;
第二特征信息结果子单元,配置于所述识别第二特征信息子单元的识别结果为“是”,则触发第二规则。
综上所述,所述第一规则和第二规则,分别属于不同的识别规则。
可选的,所述第一规则,提取于包括第一网络病毒的上线数据包或心跳数据包。
可选的,所述第二规则,提取于包括第一网络病毒的被控端返回数据包。
这样可以通过多种验证方式提高检测的准确率,降低误报率。
为了实现高精度的检测,可以继续提取规则3、规则4等等,类型和作用与规则2相同。
综上所述,还包括以下处理单元之一:
处理一单元,配置于在预设时间内,判断是否获得第二数据包,若否,则所述预设的计算机网络中不存在第一网络病毒;
处理二单元,配置于判断所述第二数据包是否触发第二规则,若否,则所述预设的计算机网络中不存在第一网络病毒。
以上实施例仅为本申请的示例性实施例,不用于限制本申请,本申请的保护范围由权利要求书限定。本领域技术人员可以在本申请的实质和保护范围内,对本申请做出各种修改或等同替换,这种修改或等同替换也应视为落在本申请的保护范围内。

Claims (5)

1.一种检测计算机网络病毒的方法,其特征在于,包括:
在预设的计算机网络中,当包含有包头和包体的第一数据包触发第一规则时,则根据第一规则识别的第一网络病毒、第一规则和所述第一数据包生成与第二规则相关联、伪装成第一网络病毒的控制端发送的且包含有包头和包体的C&C命令包作为探测数据包,利用伪装成C&C控制端数据包的方式向所述预设的计算机网络中发送所述探测数据包;其中,所述第一规则和第二规则与第一网络病毒相关联,是识别数据包中第一网络病毒的预设规则,所述第二规则配置为:提取于包括第一网络病毒的被控端返回数据包中的多个类型和作用相同的规则;
当响应探测数据包而返回的包含有包头和包体的第二数据包触发第二规则时,则所述预设的计算机网络中存在第一网络病毒,所述响应探测数据包而返回的第二数据包触发第二规则,包括:依据第二规则获取响应探测数据包而返回的第二数据包中的第二特征信息,所述第二特征信息为从第二数据包中依据第二规则规定的从指定位置开始的指定长度提取的信息;判断所述第二特征信息是否满足第二规则;若是,则触发第二规则;
其中:
所述第一数据包触发第一规则,包括:
拦截第一数据包,并依据第一规则获得第一数据包中的第一特征信息,所述第一特征信息为从第一数据包中依据第一规则规定的从指定位置开始的指定长度提取的信息;
判断所述第一特征信息是否满足第一规则;
若是,则触发第一规则;
所述根据第一规则和所述第一数据包生成与第二规则相关联的探测数据包,包括:
基于第一规则,获得第一网络病毒信息;
根据所述第一网络病毒信息获得第二规则;
利用第二规则和所述第一数据包生成与第二规则相关联的探测数据包,包括方式一或方式二,其中,
方式一生成的探测数据包针对预设的计算机网络中发出疑似带有第一网络病毒的数据包的电子设备,所述探测数据包的目的地为该电子设备,用于检测该电子设备响应带有第一网络病毒信息的所述探测数据包后,返回的第二数据包是否也带有第一网络病毒信息,方式一包括:
从所述第一数据包中提取探测数据包的包头信息,所述探测数据包的包头信息至少包括:目的地网络地址和/或目的地设备名称,以及源网络地址和/或源设备名称;
依据第二规则生成所述探测数据包的包体信息;
利用所述探测数据包的包头信息和包体信息生成所述探测数据包;
方式二生成的探测数据包针对预设的计算机网络中的每个电子设备,所述探测数据包的目的地为预设的计算机网络中的所有电子设备,用于检测每个电子设备响应带有第一网络病毒信息的所述探测数据包后,返回的第二数据包是否也带有第一网络病毒信息,以检测预设的计算机网络中哪些电子设备带有第一网络病毒,方式二包括:
获取预设的计算机网络中每个电子设备的网络地址和/或设备名称;
将每个电子设备的网络地址和/或设备名称作为每个探测数据包的包头的目的地网络地址和/或目的地设备名称;
从所述第一数据包中提取每个探测数据包的包头的源网络地址和/或源设备名称;
依据第二规则生成每个探测数据包的包体信息;
利用每个探测数据包的包头信息和包体信息生成与预设的计算机网络中每个电子设备相关联的探测数据包。
2.根据权利要求1中所述的方法,其特征在于,所述第一规则和第二规则,分别属于不同的识别规则。
3.根据权利要求2所述的方法,其特征在于,所述第一规则,提取于包括第一网络病毒的C&C命令包,其包括上线数据包或心跳数据包。
4.根据权利要求1中所述的方法,其特征在于,还包括以下处理方式之一:
在预设时间内,判断是否获得第二数据包,若否,则所述预设的计算机网络中不存在第一网络病毒;
判断所述第二数据包是否触发第二规则,若否,则所述预设的计算机网络中不存在第一网络病毒。
5.一种检测计算机网络病毒的装置,其特征在于,用于根据如权利要求1至4中任一项所述的方法,所述装置包括:
触发第一规则单元,配置于在预设的计算机网络中,当包含有包头和包体的第一数据包触发第一规则时,则根据第一规则识别的第一网络病毒、第一规则和所述第一数据包生成与第二规则相关联、伪装成第一网络病毒的控制端发送的且包含有包头和包体的探测数据包,并向所述预设的计算机网络中发送所述探测数据包;其中,所述第一规则和第二规则与第一网络病毒相关联,是识别数据包中第一网络病毒的预设规则;其中:所述第一数据包触发第一规则,包括:拦截第一数据包,并依据第一规则获得第一数据包中的第一特征信息,所述第一特征信息为从第一数据包中依据第一规则规定的从指定位置开始的指定长度提取的信息;判断所述第一特征信息是否满足第一规则;若是,则触发第一规则;
触发第二规则单元,配置于当响应探测数据包而返回的包含有包头和包体的第二数据包触发第二规则时,则所述预设的计算机网络中存在第一网络病毒。
CN201810671532.6A 2018-06-26 2018-06-26 一种检测计算机网络病毒的方法和装置 Active CN109684831B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201810671532.6A CN109684831B (zh) 2018-06-26 2018-06-26 一种检测计算机网络病毒的方法和装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201810671532.6A CN109684831B (zh) 2018-06-26 2018-06-26 一种检测计算机网络病毒的方法和装置

Publications (2)

Publication Number Publication Date
CN109684831A CN109684831A (zh) 2019-04-26
CN109684831B true CN109684831B (zh) 2021-04-13

Family

ID=66185086

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201810671532.6A Active CN109684831B (zh) 2018-06-26 2018-06-26 一种检测计算机网络病毒的方法和装置

Country Status (1)

Country Link
CN (1) CN109684831B (zh)

Family Cites Families (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
IL219597A0 (en) * 2012-05-03 2012-10-31 Syndrome X Ltd Malicious threat detection, malicious threat prevention, and a learning systems and methods for malicious threat detection and prevention
CN104484605A (zh) * 2014-12-10 2015-04-01 央视国际网络无锡有限公司 云存储环境病毒源检测方法
CN106355087A (zh) * 2015-07-17 2017-01-25 腾讯科技(深圳)有限公司 一种病毒检测结果的监控方法及装置

Also Published As

Publication number Publication date
CN109684831A (zh) 2019-04-26

Similar Documents

Publication Publication Date Title
FI122571B (fi) Menetelmä ja laite solmukohtaturvallisuuden järjestämiseksi pakettiverkon reitittimessä
US8042182B2 (en) Method and system for network intrusion detection, related network and computer program product
RU2538292C1 (ru) Способ обнаружения компьютерных атак на сетевую компьютерную систему
US10033745B2 (en) Method and system for virtual security isolation
US10218733B1 (en) System and method for detecting a malicious activity in a computing environment
CA2545916A1 (en) Apparatus method and medium for detecting payload anomaly using n-gram distribution of normal data
CN106790189B (zh) 一种基于响应报文的入侵检测方法和装置
KR101487476B1 (ko) 악성도메인을 검출하기 위한 방법 및 장치
CN116055214A (zh) 攻击检测方法、装置、设备及可读存储介质
CN104796386B (zh) 一种僵尸网络的检测方法、装置和系统
CN110022319B (zh) 攻击数据的安全隔离方法、装置、计算机设备及存储设备
CN112491836B (zh) 通信系统、方法、装置及电子设备
US11943250B2 (en) Test device
US8661102B1 (en) System, method and computer program product for detecting patterns among information from a distributed honey pot system
CN109684831B (zh) 一种检测计算机网络病毒的方法和装置
CN116723020A (zh) 网络服务模拟方法、装置、电子设备及存储介质
KR100772177B1 (ko) 보안 기능 시험을 위한 침입 탐지 이벤트 생성 방법 및장치
CN113328976B (zh) 一种安全威胁事件识别方法、装置及设备
KR20150026187A (ko) 드로퍼 판별을 위한 시스템 및 방법
US10250625B2 (en) Information processing device, communication history analysis method, and medium
Jaafar An integrated architecture for IoT fingerprinting
CN113206852A (zh) 一种安全防护方法、装置、设备及存储介质
Anbar et al. Investigating study on network scanning techniques
CN115208596B (zh) 网络入侵防御方法、装置及存储介质
US11451584B2 (en) Detecting a remote exploitation attack

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant