CN117240623B - 一种保证业务连续性的蠕虫病毒阻断系统、方法及装置 - Google Patents
一种保证业务连续性的蠕虫病毒阻断系统、方法及装置 Download PDFInfo
- Publication number
- CN117240623B CN117240623B CN202311507383.7A CN202311507383A CN117240623B CN 117240623 B CN117240623 B CN 117240623B CN 202311507383 A CN202311507383 A CN 202311507383A CN 117240623 B CN117240623 B CN 117240623B
- Authority
- CN
- China
- Prior art keywords
- virus
- node
- worm
- blocking
- service
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 241000700605 Viruses Species 0.000 title claims abstract description 616
- 230000000903 blocking effect Effects 0.000 title claims abstract description 299
- 238000000034 method Methods 0.000 title claims abstract description 82
- 230000008447 perception Effects 0.000 claims description 20
- 238000004590 computer program Methods 0.000 claims description 8
- 230000014599 transmission of virus Effects 0.000 abstract description 2
- 230000005540 biological transmission Effects 0.000 description 59
- 231100000572 poisoning Toxicity 0.000 description 22
- 230000000607 poisoning effect Effects 0.000 description 22
- 238000004891 communication Methods 0.000 description 18
- 238000010586 diagram Methods 0.000 description 18
- 208000015181 infectious disease Diseases 0.000 description 7
- 239000000284 extract Substances 0.000 description 5
- 230000011664 signaling Effects 0.000 description 5
- 230000006870 function Effects 0.000 description 4
- 230000003993 interaction Effects 0.000 description 4
- 230000008569 process Effects 0.000 description 4
- 230000009471 action Effects 0.000 description 3
- 230000000694 effects Effects 0.000 description 3
- 230000008859 change Effects 0.000 description 2
- 238000000605 extraction Methods 0.000 description 2
- 230000006855 networking Effects 0.000 description 2
- 230000002093 peripheral effect Effects 0.000 description 2
- 230000009466 transformation Effects 0.000 description 2
- 230000009385 viral infection Effects 0.000 description 2
- 208000012260 Accidental injury Diseases 0.000 description 1
- 238000003491 array Methods 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 230000008901 benefit Effects 0.000 description 1
- 238000013500 data storage Methods 0.000 description 1
- 238000013501 data transformation Methods 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 238000000802 evaporation-induced self-assembly Methods 0.000 description 1
- 230000006872 improvement Effects 0.000 description 1
- 208000014674 injury Diseases 0.000 description 1
- 230000010354 integration Effects 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 239000013307 optical fiber Substances 0.000 description 1
- 239000007787 solid Substances 0.000 description 1
- 238000007619 statistical method Methods 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
- 230000000007 visual effect Effects 0.000 description 1
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本申请实施例提供了一种保证业务连续性的蠕虫病毒阻断系统、方法及装置,涉及计算机技术领域,上述系统包括:感知节点、控制节点和业务节点;其中,感知节点,用于感知蠕虫病毒,确定蠕虫病毒的病毒描述信息;向控制节点反馈蠕虫病毒感染的第一业务节点的第一节点标识和病毒描述信息;控制节点,用于基于由病毒描述信息确定的蠕虫病毒的攻击端口,生成并向第一业务节点下发用于阻断目标请求的阻断策略,其中,目标请求为:向攻击端口发送数据的请求;第一业务节点,用于运行接收到的阻断策略,以阻断向攻击端口发送数据的目标请求。应用本申请实施例提供的方案能够在减少业务被中断情况的同时阻断病毒传播。
Description
技术领域
本申请涉及计算机技术领域,特别是涉及一种保证业务连续性的蠕虫病毒阻断系统、方法及装置。
背景技术
蠕虫病毒一般具有较强的传播性,感染蠕虫病毒的中毒设备会通过网络向其他设备传播蠕虫病毒,导致蠕虫病毒迅速扩散。为避免造成更大规模的病毒感染,需要及时阻断蠕虫病毒的传播。
现有技术中,一般采用隔离中毒设备的方式来阻断蠕虫病毒传播,如,通过防火墙、交换机等设备将中毒设备的IP(Internet Protocol,网际互连协议)地址进行封禁,以中断中毒设备与其他设备之间的网络连接,从而阻断蠕虫病毒的传播。
然而,上述方式可能会造成中毒设备中部署的业务产生中断,无法保证业务的连续性,这在某些场景下是难以接受的。例如,企业中的某一台服务器因遭受蠕虫病毒感染而被隔离,该服务器与其他服务器之间的网络连接中断,则该服务器上部署的联网业务也会中断,从而可能会给企业带来较大的损失。
发明内容
本申请实施例的目的在于提供一种保证业务连续性的蠕虫病毒阻断系统、方法及装置,以在减少业务被中断情况的同时阻断病毒传播。具体技术方案如下:
第一方面,本申请实施例提供了一种保证业务连续性的蠕虫病毒阻断系统,所述系统包括:感知节点、控制节点和业务节点;其中,
所述感知节点,用于感知蠕虫病毒,确定所述蠕虫病毒的病毒描述信息;向所述控制节点反馈所述蠕虫病毒感染的第一业务节点的第一节点标识和所述病毒描述信息;
所述控制节点,用于基于由所述病毒描述信息确定的所述蠕虫病毒的攻击端口,生成用于阻断目标请求的阻断策略,其中,所述目标请求为:向所述攻击端口发送数据的请求;向所述第一节点标识对应的第一业务节点下发所生成的阻断策略;
所述第一业务节点,用于运行接收到的阻断策略,以阻断向所述攻击端口发送数据的目标请求。
第二方面,本申请实施例提供了一种保证业务连续性的蠕虫病毒阻断方法,应用于保证业务连续性的蠕虫病毒阻断系统中的控制节点,所述系统还包括:感知节点和业务节点;所述方法包括:
接收所述感知节点发送的第一节点标识和病毒描述信息,其中,所述第一节点标识为:所述感知节点感知到的蠕虫病毒感染的第一业务节点的节点标识,所述病毒描述信息为:所述蠕虫病毒的描述信息;
基于由所述病毒描述信息确定的所述蠕虫病毒的攻击端口,生成用于阻断目标请求的阻断策略,其中,所述目标请求为:向所述攻击端口发送数据的请求;
向所述第一节点标识对应的第一业务节点下发所生成的阻断策略,以使得所述第一业务节点运行接收到的阻断策略、阻断向所述攻击端口发送数据的目标请求。
第三方面,本申请实施例提供了一种保证业务连续性的蠕虫病毒阻断方法,应用于保证业务连续性的蠕虫病毒阻断系统包括的业务节点中的第一业务节点,所述系统还包括:感知节点和控制节点,所述第一业务节点为:被所述感知节点感知到的蠕虫病毒感染的节点;所述方法包括:
接收所述控制节点下发的、用于阻断目标请求的阻断策略,其中,所述目标请求为:向所述蠕虫病毒的攻击端口发送数据的请求;
运行接收到的阻断策略,以阻断向所述攻击端口发送数据的目标请求。
第四方面,本申请实施例提供了一种保证业务连续性的蠕虫病毒阻断方法,应用于保证业务连续性的蠕虫病毒阻断系统中的感知节点,所述系统还包括:控制节点和业务节点;所述方法包括:
感知蠕虫病毒,确定所述蠕虫病毒的病毒描述信息;
向所述控制节点反馈所述蠕虫病毒感染的第一业务节点的第一节点标识和所述病毒描述信息,以使得所述控制节点基于由所述病毒描述信息确定的所述蠕虫病毒的攻击端口生成用于阻断目标请求的阻断策略、向所述第一节点标识对应的第一业务节点下发所生成的阻断策略,其中,所述目标请求为:向所述攻击端口发送数据的请求。
第五方面,本申请实施例提供了一种保证业务连续性的蠕虫病毒阻断装置,应用于保证业务连续性的蠕虫病毒阻断系统中的控制节点,所述系统还包括:感知节点和业务节点;所述装置包括:
第一信息接收模块,用于接收所述感知节点发送的第一节点标识和病毒描述信息,其中,所述第一节点标识为:所述感知节点感知到的蠕虫病毒感染的第一业务节点的节点标识,所述病毒描述信息为:所述蠕虫病毒的描述信息;
策略生成模块,用于基于由所述病毒描述信息确定的所述蠕虫病毒的攻击端口,生成用于阻断目标请求的阻断策略,其中,所述目标请求为:向所述攻击端口发送数据的请求;
第一策略下发模块,用于向所述第一节点标识对应的第一业务节点下发所生成的阻断策略,以使得所述第一业务节点运行接收到的阻断策略、阻断向所述攻击端口发送数据的目标请求。
第六方面,本申请实施例提供了一种保证业务连续性的蠕虫病毒阻断装置,应用于保证业务连续性的蠕虫病毒阻断系统包括的业务节点中的第一业务节点,所述系统还包括:感知节点和控制节点,所述第一业务节点为:被所述感知节点感知到的蠕虫病毒感染的节点;所述装置包括:
策略接收模块,用于接收所述控制节点下发的、用于阻断目标请求的阻断策略,其中,所述目标请求为:向所述蠕虫病毒的攻击端口发送数据的请求;
策略运行模块,用于运行接收到的阻断策略,以阻断向所述攻击端口发送数据的目标请求。
第七方面,本申请实施例提供了一种保证业务连续性的蠕虫病毒阻断装置,应用于保证业务连续性的蠕虫病毒阻断系统中的感知节点,所述系统还包括:控制节点和业务节点;所述装置包括:
蠕虫病毒感知模块,用于感知蠕虫病毒,确定所述蠕虫病毒的病毒描述信息;
信息发送模块,用于向所述控制节点反馈所述蠕虫病毒感染的第一业务节点的第一节点标识和所述病毒描述信息,以使得所述控制节点基于由所述病毒描述信息确定的所述蠕虫病毒的攻击端口生成用于阻断目标请求的阻断策略、向所述第一节点标识对应的第一业务节点下发所生成的阻断策略,其中,所述目标请求为:向所述攻击端口发送数据的请求。
第八方面,本申请实施例提供了一种电子设备,包括:
存储器,用于存放计算机程序;
处理器,用于执行存储器上所存放的程序时,实现上述第二方面或第三方面或第四方面任一所述的方法。
第九方面,本申请实施例提供了一种包含指令的计算机程序产品,当其在计算机上运行时,使得计算机执行上述第二方面或第三方面或第四方面任一所述的方法。
由以上可见,在申请实施例提供的保证业务连续性的蠕虫病毒阻断方案中,感知节点可以感知蠕虫病毒,并向控制节点反馈蠕虫病毒感染的第一业务节点的第一节点标识和蠕虫病毒的病毒描述信息;控制节点可以基于由病毒描述信息确定的蠕虫病毒的攻击端口,生成用于阻断向攻击端口发送数据的目标请求的阻断策略,并向第一业务节点下发所生成的阻断策略;这样,第一业务节点可以运行接收到的阻断策略,阻断向攻击端口发送数据的目标请求。由于向攻击端口发送数据的目标请求被阻断,因此,第一业务节点无法向攻击端口发送恶意数据,这样避免了第一业务节点感染的蠕虫病毒感染其他节点,阻断了蠕虫病毒的传播。
其中,第一节点运行接收到的阻断策略后,仅仅是向攻击端口发送数据的目标请求被阻断,向除攻击端口之外的其余端口发送数据的请求均不会被阻断。这样,一方面,可以拦截向攻击端口发送恶意数据的请求,隔离了攻击端口与网络的连接,阻断了蠕虫病毒通过攻击端口传播;另一方面,向上述其余端口发送数据的请求可以正常发送,也即基于其余端口进行的业务可以正常进行,可见,这样避免第一业务节点感染的蠕虫病毒感染其他节点、阻断蠕虫病毒传播的同时,减少了第一业务节点的业务通信被中断的情况,从而实现了在减少第一业务节点中部署的业务被中断情况的同时阻断病毒传播。
当然,实施本申请的任一产品或方法并不一定需要同时达到以上所述的所有优点。
附图说明
为了更清楚地说明本申请实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请的一些实施例,对于本领域普通技术人员来讲,还可以根据这些附图获得其他的实施例。
图1为本申请实施例提供的一种保证业务连续性的蠕虫病毒阻断系统的结构示意图;
图2为本申请实施例提供的第一种保证业务连续性的蠕虫病毒阻断方法的信令交互图;
图3a为现有技术中一种请求发送场景的示意图;
图3b为本申请实施例提供的一种请求发送场景的示意图;
图4为本申请实施例提供的第二种保证业务连续性的蠕虫病毒阻断方法的信令交互图;
图5为本申请实施例提供的第三种保证业务连续性的蠕虫病毒阻断方法的流程示意图;
图6为本申请实施例提供的第四种保证业务连续性的蠕虫病毒阻断方法的流程示意图;
图7为本申请实施例提供的第五种保证业务连续性的蠕虫病毒阻断方法的流程示意图;
图8为本申请实施例提供的第一种保证业务连续性的蠕虫病毒阻断装置的结构示意图;
图9为本申请实施例提供的第二种保证业务连续性的蠕虫病毒阻断装置的结构示意图;
图10为本申请实施例提供的第三种保证业务连续性的蠕虫病毒阻断装置的结构示意图;
图11为本申请实施例提供的一种电子设备的结构示意图。
具体实施方式
下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员基于本申请所获得的所有其他实施例,都属于本申请保护的范围。
感染了蠕虫病毒的设备会通过网络连接向其他设备传播病毒,从而引发大规模的设备感染病毒。可见,蠕虫病毒对于网络中的设备具有较大的危害。
然而,采用隔离中毒设备的方式阻断病毒传播可能会造成中毒设备中部署的业务产生中断,无法保证业务的连续性。
鉴于上述情况,本申请实施例提供了一种保证业务连续性的蠕虫病毒阻断方案,以在减少业务被中断情况的同时阻断病毒传播。
参见图1,图1为本申请实施例提供的一种保证业务连续性的蠕虫病毒阻断系统的结构示意图,上述系统包括:感知节点101、控制节点102和业务节点103。
上述节点均可以是任意具有数据处理、通信等功能的电子设备。
一种情况下,上述业务节点103可以是企业部署的服务器,用于执行各项业务。
需要说明的是,上述系统中包括的各类节点的名称仅用于区分各类节点,不用于对节点的功能作限定。例如,上述感知节点101和控制节点102也可以用于执行业务。
另外,本申请实施例对上述系统中包括的各类型节点的数量不作限定。
一种情况下,上述系统中可以包括1个控制节点102、多个感知节点101以及多个业务节点103。
为了更加直观的说明上述系统阻断蠕虫病毒传播的方式,下面采用信令图的形式对本申请实施例提供的阻断蠕虫病毒传播方案进行详细说明。
参见图2,为本申请实施例提供的第一种保证业务连续性的蠕虫病毒阻断方法的信令交互图,上述方法包括以下步骤S201-S205。
步骤S201:感知节点感知蠕虫病毒,确定蠕虫病毒的病毒描述信息。
上述蠕虫病毒可以是各种类型的蠕虫病毒,本申请实施例对此不作限定。
首先对感知节点感知蠕虫病毒的方式进行介绍。
一种实施方式中,感知节点可以提取业务节点发送的数据的数据特征,基于所提取的数据特征,确定业务节点发送的数据是否为恶意数据,若为是,确定感知到蠕虫病毒。
业务节点与感知节点间存在网络连接,正常情况下,业务节点可以向感知节点发送各类业务数据。
然而,若业务节点感染了蠕虫病毒,其可能会向感知节点发送恶意数据,上述恶意数据一般用于攻击电子设备、传播蠕虫病毒等,可以被称为payload。
那么,若感知节点检测到了业务节点发送的数据为恶意数据,即可认为感知到了蠕虫病毒。
本申请实施例不对提取业务节点发送的数据的数据特征的方式作限定。
例如,可以提取业务节点发送的数据中的特定字符串,作为数据特征;可以对上述数据进行哈希变换等数据变换,将变换结果作为数据特征;也可以采用统计方法统计特定字符串在数据中的出现频率和分布情况,作为数据特征。
上述特定字符串可以是预设设置的、恶意数据中包含的字符串。
得到数据特征之后,基于数据特征,可以采用以下方式确定业务节点发送的数据是否为恶意数据。
第一种方式,可以在病毒信息表中匹配所提取的数据特征,若存在匹配结果,确定业务节点发送的数据为恶意数据。
其中,病毒信息表中包括:各类型的蠕虫病毒所生成的恶意数据的数据特征。
可见,若存在匹配结果,则业务节点发送的数据的数据特征为某一类型的蠕虫病毒所生成的恶意数据的数据特征,也就表示业务节点发送的数据为某一类型的蠕虫病毒所生成的恶意数据。
这样基于数据特征和病毒信息表中记录的数据特征之间的匹配,可以便捷、快速的确定业务节点发送的数据是否为恶意数据。
第二种方式,可以计算所提取的数据特征与上述病毒信息表中记录的各数据特征之间的相似度,若计算所得的最大相似度大于预设相似度阈值,则确定业务节点发送的数据为恶意数据。
上述预设相似度阈值可以由工作人员根据经验和实际需求设定,如可以是80%、90%等。
可见,感知节点提取业务节点发送的数据的数据特征后,可以基于所提取的数据特征,确定业务节点发送的数据是否为恶意数据。由于数据特征能够反映数据的整体特点,对于数据有一定的标识作用,可以用于区分恶意数据和非恶意数据,这样,基于数据特征可以较为准确的确定数据是否为恶意数据。
另一种实施方式中,感知节点可以直接检测业务节点发送的数据中是否包含预设的字符串,若为是,确定感知到蠕虫病毒。
下面再对确定蠕虫病毒的病毒描述信息的方式进行说明。
具体的,可以先获得蠕虫病毒感染的第一业务节点发送的数据的目标数据特征,然后采用以下三种方式确定病毒描述信息:
其中,感知节点基于恶意数据感知到蠕虫病毒之后,可以将发送上述恶意数据的业务节点确定为蠕虫病毒感染的第一业务节点。
获得第一业务节点发送的数据的目标数据特征的方式与前述提取数据特征的方式相同,这里不再赘述。
第一种方式,可以直接将上述目标数据特征作为蠕虫病毒的病毒描述信息。
第二种方式,可以基于预先存储的数据特征与病毒类型之间的对应关系,确定目标数据特征对应的目标病毒类型,作为蠕虫病毒的病毒描述信息。
上述对应关系可以从联网病毒数据库获取并存储,可以包括各类蠕虫病毒的病毒类型与蠕虫病毒生成的恶意数据的数据特征之间的对应关系。
这样,基于上述对应关系,可以确定目标数据特征对应的目标病毒类型。
第三种方式,可以基于预先存储的数据特征与攻击端口之间的对应关系,确定目标数据特征对应的攻击端口,作为蠕虫病毒的病毒描述信息。
感染了蠕虫病毒的中毒设备一般会向其他设备的特定端口发送恶意数据,上述端口可以称为蠕虫病毒的攻击端口。蠕虫病毒的攻击端口的数量可以为1个,也可以为多个。
例如,蠕虫病毒W1的攻击端口为445端口,那么感染蠕虫病毒W1的中毒设备P1会向其他设备的445端口发送恶意数据;蠕虫病毒W2的攻击端口为135端口和139端口,那么感染蠕虫病毒W2的中毒设备P2会向其他设备的135端口和139端口发送恶意数据。
上述对应关系可以从联网病毒数据库获取并存储,可以包括各类蠕虫病毒生成的恶意数据的数据特征与蠕虫病毒的攻击端口之间的对应关系。
这样,基于上述对应关系,可以确定目标数据特征对应的攻击端口。
可以看出,感知节点可以采用多种方式获得蠕虫病毒相关的信息,将所得信息作为病毒描述信息,提高了获得病毒描述信息时的灵活性,从而便于后续控制节点基于病毒描述信息采用多种方式灵活的确定病毒攻击端口。
本申请的一个实施例中,也可以任意组合上述3种实施方式,将所得多种信息作为病毒描述信息。
如,将蠕虫病毒的目标病毒类型和蠕虫病毒的攻击端口作为病毒描述信息、将上述目标数据特征和蠕虫病毒的目标病毒类型作为病毒描述信息等。
步骤S202:感知节点向控制节点反馈蠕虫病毒感染的第一业务节点的第一节点标识和病毒描述信息。
上述第一节点标识可以是第一业务节点的IP(Internet Protocol,互联网协议)地址、MAC(Media Access Control,媒体访问控制)地址,也可以是工作人员预先为第一业务节点设置的编号、代号等,本申请实施例对此不作限定。
步骤S203:控制节点基于由病毒描述信息确定的蠕虫病毒的攻击端口,生成用于阻断目标请求的阻断策略。
其中,目标请求为:向攻击端口发送数据的请求。
由前述步骤S202可知,感知设备可以生成多种包含不同信息的病毒描述信息,相应的,本步骤中,控制节点可以按照以下多种方式基于病毒描述信息确定蠕虫病毒的攻击端口。
第一种方式,若病毒描述信息包括蠕虫病毒感染的第一业务节点发送的数据的目标数据特征,则可以基于预先存储的数据特征与攻击端口之间的对应关系,确定病毒描述信息中包含的目标数据特征对应的攻击端口,作为蠕虫病毒的攻击端口。
与前述步骤S202中感知节点存储的对应关系类似的,控制节点存储的上述对应关系可以是从联网病毒数据库获取并存储的,可以包括各类蠕虫病毒生成的恶意数据的数据特征与蠕虫病毒的攻击端口之间的对应关系。
这样,控制节点基于上述对应关系即可确定目标数据特征对应的攻击端口。
第二种方式,若病毒描述信息包括目标数据特征对应的目标病毒类型,则可以基于预先存储的病毒类型与攻击端口之间的对应关系,确定病毒描述信息中包含的目标病毒类型对应的攻击端口,作为蠕虫病毒的攻击端口。
控制节点存储的上述对应关系可以是从联网病毒数据库获取并存储的,可以包括各类蠕虫病毒生成的病毒类型与蠕虫病毒的攻击端口之间的对应关系。
这样,控制节点基于上述对应关系即可确定目标病毒类型对应的攻击端口。
第三种方式,若病毒描述信息包括目标数据特征对应的攻击端口,则可以直接获得病毒描述信息中包含的攻击端口,作为蠕虫病毒的攻击端口。
在病毒描述信息包含攻击端口的情况下,控制节点可以直接将上述攻击端口确定为蠕虫病毒的攻击端口。
可以看出,根据病毒描述信息所包含信息的不同,控制节点基于病毒描述信息可以采用多种方式确定蠕虫病毒的攻击端口,提高了确定上述攻击端口时的灵活性。
控制节点确定蠕虫病毒的攻击端口之后,可以生成用于阻断向攻击端口发送数据的目标请求的阻断策略。
具体的,控制节点可以生成用于阻断向攻击端口发送数据的目标请求的ACL(Access Control Lists,访问控制列表)命令,作为上述阻断策略。
步骤S204:控制节点向第一节点标识对应的第一业务节点下发所生成的阻断策略。
步骤S205:第一业务节点运行接收到的阻断策略,以阻断向攻击端口发送数据的目标请求。
阻断策略可以阻断向攻击端口发送数据的目标请求,第一业务节点运行接收到的阻断策略后,向攻击端口发送数据的目标请求会被拦截,从而,第一业务节点无法向其他设备的攻击端口发送恶意数据,这样避免了第一业务节点中感染的蠕虫病毒感染其他节点,阻断了蠕虫病毒的传播。
由以上可见,在申请实施例提供的保证业务连续性的蠕虫病毒阻断方案中,感知节点可以感知蠕虫病毒,并向控制节点反馈蠕虫病毒感染的第一业务节点的第一节点标识和蠕虫病毒的病毒描述信息;控制节点可以基于由病毒描述信息确定的蠕虫病毒的攻击端口,生成用于阻断向攻击端口发送数据的目标请求的阻断策略,并向第一业务节点下发所生成的阻断策略;这样,第一业务节点可以运行接收到的阻断策略,阻断向攻击端口发送数据的目标请求。由于向攻击端口发送数据的目标请求被阻断,因此,第一业务节点无法向攻击端口发送恶意数据,这样避免了第一业务节点感染的蠕虫病毒感染其他节点,阻断了蠕虫病毒的传播。
其中,第一节点运行接收到的阻断策略后,仅仅是向攻击端口发送数据的目标请求被阻断,向除攻击端口之外的其余端口发送数据的请求均不会被阻断。这样,一方面,可以拦截向攻击端口发送恶意数据的请求,隔离了攻击端口与网络的连接,阻断了蠕虫病毒通过攻击端口传播;另一方面,向上述其余端口发送数据的请求可以正常发送,也即基于其余端口进行的业务可以正常进行,可见,这样避免第一业务节点感染的蠕虫病毒感染其他节点、阻断蠕虫病毒传播的同时,减少了第一业务节点的业务通信被中断的情况,从而实现了在减少第一业务节点中部署的业务被中断情况的同时阻断病毒传播。
另外,申请实施例提供的方案无需采用防火墙、交换机等网络设备对业务节点进行封禁,使得各节点间整体的网络架构不会产生变化,降低了因网络架构变化影响业务节点中部署的业务的可能性。
并且,申请实施例提供的方案无需进行主动杀毒即可阻断病毒传播,避免了杀毒过程对业务节点的系统功能程序的误伤,提高了业务节点所部属的业务运行时的稳定性。
下面再结合图3a和图3b,对申请实施例提供的方案与现有技术在阻断病毒传播时的区别进行更加直观的说明。
以下针对图3a和图3b的描述中,将感染蠕虫病毒的节点称为中毒节点,将未感染蠕虫病毒的节点称为正常节点。
首先参见图3a,为现有技术中一种请求发送场景的示意图。
现有技术中,通过封禁中毒节点的IP地址的方式阻断蠕虫病毒传播,这样,如图3a所示,中毒节点被完全隔离,中毒节点与正常节点之间的网络连接中断。
因此,中毒节点的任何请求均不能向正常节点发送。
可见,采用现有技术中的方案阻断蠕虫病毒传播时,对于中毒节点而言,由于网络连接中断,任何请求均不能向正常节点发送,从而中毒节点中部署的联网业务会产生中断。
再参见图3b,为本申请实施例提供的一种请求发送场景的示意图。
本申请实施例提供的方案中,中毒节点应用阻断策略之后,仅仅会阻断向攻击端口(如图3b中445端口)发送数据的目标请求,向除攻击端口外的其他端口(如图3b中8080端口)发送正常数据的请求不会被阻断。
这样,一方面,中毒节点向445端口发送恶意数据的请求被阻断,恶意数据无法发送至正常节点,避免了中毒节点感染的蠕虫病毒感染正常节点;另一方面,中毒节点向8080端口发送正常数据的请求可以正常发送,使得中毒节点的业务通信不受影响,保障了第一业务节点中部署的业务的连续性。
可见,相较于现有技术,本申请实施例提供的方案实现了在保障中毒节点中部署的业务的连续性的同时阻断病毒传播,提高了业务的稳定性,降低了因业务中断产生的损失。
由图2所示实施例可见,感知节点是根据与其存在网络连接的业务节点发送的数据的数据特征感知被蠕虫病毒感染的业务节点。
一些情况下,由于感知节点数量有限,感知节点难以与系统中全部的业务节点之间存在网络连接,此时,感知节点难以接收到全部业务节点发送的数据,从而感知节点难以感知到全部被感染的节点。
另外,即便感知节点与系统中全部的业务节点之间存在网络连接,也会出现被病毒感染的业务节点不向业务节点发送数据,而是仅向其他业务节点发送数据的情况。此时,感知节点也难以感知到全部被感染的节点。
这种情况下,在图2所示实施例的基础上,第一业务节点在接收到阻断策略之后,还可以向控制节点反馈病毒攻击信息,控制节点可以基于接收到的病毒攻击信息向其他业务节点下发阻断策略。鉴于上述情况,本公开实施例提供了第二种保证业务连续性的蠕虫病毒阻断方法。
参见图4,为本申请实施例提供的第二种保证业务连续性的蠕虫病毒阻断方法的信令交互图,上述方法包括以下步骤S401-S407。
步骤S401:感知节点感知蠕虫病毒,确定蠕虫病毒的病毒描述信息。
步骤S402:感知节点向控制节点反馈蠕虫病毒感染的第一业务节点的第一节点标识和病毒描述信息。
步骤S403:控制节点基于由病毒描述信息确定的蠕虫病毒的攻击端口,生成用于阻断目标请求的阻断策略。
步骤S404:控制节点向第一节点标识对应的第一业务节点下发所生成的阻断策略。
步骤S405:第一业务节点运行接收到的阻断策略,以阻断向攻击端口发送数据的目标请求。
上述步骤S401与步骤S405与前述图2所示实施例中步骤S201-步骤S205相同,这里不再赘述。
步骤S406:第一业务节点向控制节点反馈病毒攻击信息。
其中,病毒攻击信息包括:已被第一业务节点所感染的蠕虫病毒攻击的第二业务节点的第二节点标识。
首先对第一业务节点向控制节点反馈病毒攻击信息的时机进行说明。
具体而言,第一业务节点一旦接收到阻断策略,就可以立即向控制节点反馈病毒攻击信息,这样有利于及时控制病毒传播。
本方案中,感知节点感知到的、被感染的业务节点均称为第一业务节点。随着感知节点不断在网络中感知蠕虫病毒,其感知到的第一业务节点会越来越多。
另外,这些第一业务节点还在继续工作,可能会继续通过攻击端口传播蠕虫病毒,从而感染其他业务节点,这些被第一业务节点感染的业务节点可以被称为第二业务节点。此时,被感染的第二业务节点也需要进行病毒阻断。
又由于感知节点难以感知到网络中被病毒感染的全部节点,因此,易出现感知节点未感知到被感染的第二业务节点的情况。
其中,第一业务节点可以得知自身已经感染了哪些第二业务节点,鉴于此,为了防止感知节点不能够及时感知到第二业务节点,尽早阻断第二业务节点的病毒传播,第一业务节点可以主动向控制节点上报自身感染的第二业务节点,使得控制节点能够及时的向第二业务节点下发阻断策略。所以,第一业务节点向控制节点反馈的病毒攻击信息中可以包括第二业务节点的第二节点标识。
下面对第一业务节点确定已被自身所感染的蠕虫病毒攻击的第二业务节点的具体方式进行介绍。
首先,由于阻断策略是阻断向攻击端口发送数据的目标请求的策略,因此,第一业务节点接收到阻断策略之后,可以确定阻断策略所针对的攻击端口。
然后,第一业务节点可以通过查找自身的数据发送记录,确定自身前预设时段内向其他节点发送的数据,在所确定的数据中查找目的端口是上述攻击端口的数据,查找到的数据也就是第一业务节点在接收到阻断策略之前、向其他节点的攻击端口发送的数据,实质上是第一业务节点所感染的蠕虫病毒用于攻击其他节点的恶意数据。
最后,第一业务节点可以确定查找到的数据的目的地址,上述目的地址即为已被第一业务节点所感染的蠕虫病毒攻击的第二业务节点的地址,因此,确定了目的地址也就确定了第二业务节点,进而可以向控制节点反馈包含第二业务节点的第二节点标识的病毒攻击信息。
例如,第一业务节点接收到阻断策略后,可以立即确定阻断策略所针对的攻击端口为445端口,从而可以查找自身的数据发送记录,确定自身前预设时段内向其他节点发送的数据Data:[data1,data2,data3……,dataN],其中,data1、data3和data5的目的端口是445端口,可以理解为data1、data3和data5是向攻击端口发送的恶意数据;那么,data1、data3和data5的目的地址就是已被第一业务节点所感染的蠕虫病毒攻击的第二业务节点的地址。
一种情况下,第一业务节点向控制节点反馈的病毒攻击信息还可以包括自身的第一节点标识。这样有利于后续控制节点基于自身的第一节点标识更加便捷、高效的向第二业务节点下发阻断策略,详见下一步骤中的介绍。
步骤S407:控制节点基于第二节点标识向第二业务节点下发阻断策略。
具体的,控制节点可以采用以下方式向第二业务节点下发阻断策略。
一种实施方式中,若病毒攻击信息中包括第一业务节点的第一节点标识,控制节点可以基于第一节点标识,从已生成的阻断策略中确定下发至第一业务节点的阻断策略,基于第二节点标识向第二业务节点下发所确定的阻断策略。
系统中可能有很多感知节点感知到的被病毒感染的第一业务节点,针对各第一业务节点都会生成相应的阻断策略,所以会存在很多已生成的阻断策略。
对于其中一个第一业务节点而言,其把病毒传播到第二业务节点后,第二业务节点所感染的病毒与该第一业务节点感染的病毒相同,因此,他们的阻断策略也是通用的。
所以,可以从全部阻断策略中找到该第一业务节点的阻断策略,直接向上述第二业务节点发送找到的阻断策略。
这种情况下,控制节点向第二业务节点下发阻断策略后,第二业务节点可以运行接收到的阻断策略,从而阻断向第一业务节点感染的蠕虫病毒的攻击端口发送数据的请求。
由于第二业务节点是已被第一业务节点所感染的蠕虫病毒攻击的业务节点,其很可能也感染了第一业务节点所感染的蠕虫病毒,因此,控制节点直接将下发至第一业务节点的阻断策略也下发至第二业务节点,在第二业务节点感染蠕虫病毒的情况下,可以便捷、高效阻断第二业务节点中蠕虫病毒的传播。
另一种实施方式中,控制节点可以获得第二业务节点发送的数据的数据特征,基于上述数据特征,确定第二业务节点感染的蠕虫病毒的攻击端口,并生成用于阻断向上述攻击端口发送数据的请求的阻断策略。
其中,前述图2所示实施例中步骤S203中已经介绍了控制节点基于第一业务节点的数据特征确定攻击端口、生成阻断策略的方式,本实施方式可以在此基础上得到,区别仅为将第一业务节点替换为第二业务节点,这里不再赘述。
这种情况下,控制节点向第二业务节点下发阻断策略后,第二业务节点可以运行接收到的阻断策略,从而阻断向第二业务节点感染的蠕虫病毒的攻击端口发送数据的请求。
由以上可见,应用本申请实施例提供的方式阻断蠕虫病毒传播时,一方面,控制节点向感染病毒的第一业务节点发送阻断策略,从而阻断第一业务节点感染的蠕虫病毒感染其他节点;另一方面,还向已被第一业务节点所感染的蠕虫病毒攻击的第二业务节点发送阻断策略,这样,也阻断了第二业务节点感染的蠕虫病毒感染其他节点。这样能够更加全面的封锁病毒的感染路径,从而能够更加全面的阻断蠕虫病毒的继续传播。
本申请的一个实施例中,第二业务节点在接收到阻断策略之后,可以向控制节点反馈病毒攻击信息,从而控制节点可以基于病毒攻击信息向已被第二业务节点所感染的蠕虫病毒攻击的第三业务节点下发阻断策略,同理,第三业务节点在接收到阻断策略之后,也可以向控制节点反馈病毒攻击信息,以此类推。
也就是,所有被感染的业务节点反馈病毒攻击信息的流程均相同,一旦接收到阻断策略,就上报已被自身感染的业务节点,除非不存在已被自身感染的业务节点(也即业务节点在感染其他业务节点之前接收到了阻断策略)。
例如,业务节点1被病毒感染,接收到阻断策略后,立即向控制节点上报自身感染的业务节点2、3;
业务节点2、3接收到控制节点下发的阻断策略后,立即向控制节点上报自身感染的业务节点4、5;
业务节点4、5在感染其他节点之前接收到了控制节点下发的阻断策略,从而业务节点4、5可以应用阻断策略阻止病毒传播,不会再感染其他节点,流程结束。
这样可以更加完整的封锁蠕虫病毒的传播路径,进一步有利于实现全面阻断蠕虫病毒的传播。
与上述保证业务连续性的蠕虫病毒阻断系统相对应的,本申请实施例还提供了分别应用于上述系统中控制节点、第一业务节点以及感知节点的保证业务连续性的蠕虫病毒阻断方法,下面分别进行介绍。
上述方法所涉及的各步骤的具体实施方式基本已在前述图2、图4中说明,因此下面仅进行简略介绍。
首先对应用于控制节点的保证业务连续性的蠕虫病毒阻断方法进行介绍。
参见图5,为本申请实施例提供的第三种保证业务连续性的蠕虫病毒阻断方法的流程示意图,应用于控制节点,上述方法包括以下步骤S501-步骤S503。
步骤S501:接收感知节点发送的第一节点标识和病毒描述信息。
其中,第一节点标识为:感知节点感知到的蠕虫病毒感染的第一业务节点的节点标识,病毒描述信息为:蠕虫病毒的描述信息。
步骤S502:基于由病毒描述信息确定的蠕虫病毒的攻击端口,生成用于阻断目标请求的阻断策略。
其中,目标请求为:向攻击端口发送数据的请求。
基于病毒描述信息,可以采用以下方式确定蠕虫病毒的攻击端口。
第一种方式,基于预先存储的数据特征与攻击端口之间的对应关系,确定病毒描述信息中包含的目标数据特征对应的攻击端口,作为蠕虫病毒的攻击端口。
第二种方式,基于预先存储的病毒类型与攻击端口之间的对应关系,确定病毒描述信息中包含的目标病毒类型对应的攻击端口,作为蠕虫病毒的攻击端口。
第三种方式,直接获得病毒描述信息中包含的攻击端口,作为蠕虫病毒的攻击端口。
可以看出,感知节点可以采用多种方式获得蠕虫病毒相关的信息,将所得信息作为病毒描述信息,提高了获得病毒描述信息时的灵活性,从而便于后续控制节点基于病毒描述信息采用多种方式灵活的确定病毒攻击端口。
步骤S503:向第一节点标识对应的第一业务节点下发所生成的阻断策略,以使得第一业务节点运行接收到的阻断策略、阻断向攻击端口发送数据的目标请求。
由以上可见,在申请实施例提供的保证业务连续性的蠕虫病毒阻断方案中,控制节点可以接收感知节点感知到的蠕虫病毒感染的第一业务节点的第一节点标识和蠕虫病毒的病毒描述信息,从而可以基于由病毒描述信息确定的蠕虫病毒的攻击端口,生成用于阻断向攻击端口发送数据的目标请求的阻断策略,并向第一业务节点下发所生成的阻断策略,这样,第一业务节点可以运行接收到的阻断策略,阻断向攻击端口发送数据的目标请求。由于向攻击端口发送数据的目标请求被阻断,因此,第一业务节点无法向攻击端口发送恶意数据,这样避免了第一业务节点感染的蠕虫病毒感染其他节点,阻断了蠕虫病毒的传播。
其中,第一节点运行接收到的阻断策略后,仅仅是向攻击端口发送数据的目标请求被阻断,向除攻击端口之外的其余端口发送数据的请求均不会被阻断。这样,一方面,可以拦截向攻击端口发送恶意数据的请求,隔离了攻击端口与网络的连接,阻断了蠕虫病毒通过攻击端口传播;另一方面,向上述其余端口发送数据的请求可以正常发送,也即基于其余端口进行的业务可以正常进行,可见,这样避免第一业务节点感染的蠕虫病毒感染其他节点、阻断蠕虫病毒传播的同时,减少了第一业务节点的业务通信被中断的情况,从而实现了在减少第一业务节点中部署的业务被中断情况的同时阻断病毒传播。
本申请的一个实施例中,控制节点可以接收第一业务节点发送的病毒攻击信息,向病毒攻击信息中包含的第二节点标识对应的第二业务节点下发阻断策略。
其中,上述病毒攻击信息包括:已被第一业务节点所感染的蠕虫病毒攻击的第二业务节点的第二节点标识。
一种实施方式中,在病毒攻击信息包括第一业务节点的第一节点标识的情况下,控制节点可以基于第一节点标识,从已生成的阻断策略中确定下发至第一业务节点的阻断策略,向病毒攻击信息中包含的第二节点标识对应的第二业务节点下发所确定的阻断策略。
由于第二业务节点是已被第一业务节点所感染的蠕虫病毒攻击的业务节点,其很可能也感染了第一业务节点所感染的蠕虫病毒,因此,控制节点直接将下发至第一业务节点的阻断策略也下发至第二业务节点,在第二业务节点感染蠕虫病毒的情况下,可以便捷、高效阻断第二业务节点中蠕虫病毒的传播。
由以上可见,应用本申请实施例提供的方式阻断蠕虫病毒传播时,一方面,控制节点向感染病毒的第一业务节点发送阻断策略,从而阻断第一业务节点感染的蠕虫病毒感染其他节点;另一方面,还向已被第一业务节点所感染的蠕虫病毒攻击的第二业务节点发送阻断策略,这样,也阻断了第二业务节点感染的蠕虫病毒感染其他节点。这样能够更加全面的封锁病毒的感染路径,从而能够更加全面的阻断蠕虫病毒的继续传播。
然后对应用于第一业务节点的保证业务连续性的蠕虫病毒阻断方法进行介绍。
参见图6,为本申请实施例提供的第四种保证业务连续性的蠕虫病毒阻断方法的流程示意图,应用于第一业务节点,上述方法包括以下步骤S601-步骤S602。
步骤S601:接收控制节点下发的、用于阻断目标请求的阻断策略。
其中,目标请求为:向蠕虫病毒的攻击端口发送数据的请求。
步骤S602:运行接收到的阻断策略,以阻断向攻击端口发送数据的目标请求。
由以上可见,在申请实施例提供的保证业务连续性的蠕虫病毒阻断方案中,第一业务节点可以接收控制节点下发的阻断策略,上述阻断策略用于阻断向蠕虫病毒的攻击端口发送数据的请求,这样,第一业务节点可以运行接收到的阻断策略,阻断向攻击端口发送数据的目标请求。由于向攻击端口发送数据的目标请求被阻断,因此,第一业务节点无法向攻击端口发送恶意数据,这样避免了第一业务节点感染的蠕虫病毒感染其他节点,阻断了蠕虫病毒的传播。
其中,第一节点运行接收到的阻断策略后,仅仅是向攻击端口发送数据的目标请求被阻断,向除攻击端口之外的其余端口发送数据的请求均不会被阻断。这样,一方面,可以拦截向攻击端口发送恶意数据的请求,隔离了攻击端口与网络的连接,阻断了蠕虫病毒通过攻击端口传播;另一方面,向上述其余端口发送数据的请求可以正常发送,也即基于其余端口进行的业务可以正常进行,可见,这样避免第一业务节点感染的蠕虫病毒感染其他节点、阻断蠕虫病毒传播的同时,减少了第一业务节点的业务通信被中断的情况,从而实现了在减少第一业务节点中部署的业务被中断情况的同时阻断病毒传播。
本申请的一个实施例中,第一业务节点接收到阻断策略之后,可以向控制节点反馈病毒攻击信息,以使得控制节点向病毒攻击信息中包含的第二节点标识对应的第二业务节点下发阻断策略。
其中,第二业务节点为:已被第一业务节点所感染的蠕虫病毒攻击的业务节点。
一种情况下,病毒攻击信息还包括第一业务节点的第一节点标识。
这样有利于后续控制节点基于自身的第一节点标识更加便捷、高效的向第二业务节点下发阻断策略。
由以上可见,应用本申请实施例提供的方式阻断蠕虫病毒传播时,一方面,第一业务节点可以接收控制节点发送的阻断策略,从而阻断第一业务节点感染的蠕虫病毒感染其他节点;另一方面,第一业务节点可以向控制节点反馈病毒攻击信息,从而使得控制节点能够向已被第一业务节点所感染的蠕虫病毒攻击的第二业务节点发送阻断策略,这样,也阻断了第二业务节点感染的蠕虫病毒感染其他节点。这样能够更加全面的封锁病毒的感染路径,从而能够更加全面的阻断蠕虫病毒的继续传播。
再对应用于感知节点的保证业务连续性的蠕虫病毒阻断方法进行介绍。
参见图7,为本申请实施例提供的第五种保证业务连续性的蠕虫病毒阻断方法的流程示意图,应用于感知节点,上述方法包括以下步骤S701-步骤S702。
步骤S701:感知蠕虫病毒,确定蠕虫病毒的病毒描述信息。
本申请的一个实施例中,感知节点可以提取业务节点发送的数据的数据特征,基于所提取的数据特征,确定业务节点发送的数据是否为恶意数据,若为是,确定感知到蠕虫病毒。
本申请的一个实施例中,感知节点可以在病毒信息表中匹配所提取的数据特征,若存在匹配结果,确定业务节点发送的数据为恶意数据。
这样基于数据特征和病毒信息表中记录的数据特征之间的匹配,可以便捷、快速的确定业务节点发送的数据是否为恶意数据。
可见,感知节点提取业务节点发送的数据的数据特征后,可以基于所提取的数据特征,确定业务节点发送的数据是否为恶意数据。由于数据特征能够反映数据的整体特点,对于数据有一定的标识作用,可以用于区分恶意数据和非恶意数据,这样,基于数据特征可以较为准确的确定数据是否为恶意数据。
下面介绍确定蠕虫病毒的病毒描述信息的方式。
具体的,可以先获得蠕虫病毒感染的第一业务节点发送的数据的目标数据特征,然后采用以下三种方式确定病毒描述信息:
第一种方式,可以直接将上述目标数据特征作为蠕虫病毒的病毒描述信息。
第二种方式,可以基于预先存储的数据特征与病毒类型之间的对应关系,确定目标数据特征对应的目标病毒类型,作为蠕虫病毒的病毒描述信息。
第三种方式,可以基于预先存储的数据特征与攻击端口之间的对应关系,确定目标数据特征对应的攻击端口,作为蠕虫病毒的病毒描述信息。
可以看出,根据病毒描述信息所包含信息的不同,控制节点基于病毒描述信息可以采用多种方式确定蠕虫病毒的攻击端口,提高了确定上述攻击端口时的灵活性。
步骤S702:向控制节点反馈蠕虫病毒感染的第一业务节点的第一节点标识和病毒描述信息,以使得控制节点基于由病毒描述信息确定的蠕虫病毒的攻击端口生成用于阻断目标请求的阻断策略、向第一节点标识对应的第一业务节点下发所生成的阻断策略。
其中,目标请求为:向攻击端口发送数据的请求。
由以上可见,在申请实施例提供的保证业务连续性的蠕虫病毒阻断方案中,感知节点可以感知蠕虫病毒,并向控制节点反馈蠕虫病毒感染的第一业务节点的第一节点标识和蠕虫病毒的病毒描述信息,以使得控制节点基于由病毒描述信息确定的蠕虫病毒的攻击端口生成用于阻断目标请求的阻断策略、向第一节点标识对应的第一业务节点下发所生成的阻断策略,这样,第一业务节点可以运行接收到的阻断策略,阻断向攻击端口发送数据的目标请求。由于向攻击端口发送数据的目标请求被阻断,因此,第一业务节点无法向攻击端口发送恶意数据,这样避免了第一业务节点感染的蠕虫病毒感染其他节点,阻断了蠕虫病毒的传播。
其中,第一节点运行接收到的阻断策略后,仅仅是向攻击端口发送数据的目标请求被阻断,向除攻击端口之外的其余端口发送数据的请求均不会被阻断。这样,一方面,可以拦截向攻击端口发送恶意数据的请求,隔离了攻击端口与网络的连接,阻断了蠕虫病毒通过攻击端口传播;另一方面,向上述其余端口发送数据的请求可以正常发送,也即基于其余端口进行的业务可以正常进行,可见,这样避免第一业务节点感染的蠕虫病毒感染其他节点、阻断蠕虫病毒传播的同时,减少了第一业务节点的业务通信被中断的情况,从而实现了在减少第一业务节点中部署的业务被中断情况的同时阻断病毒传播。
与上述保证业务连续性的蠕虫病毒阻断系统相对应的,本申请实施例还提供了分别应用于上述系统中控制节点、第一业务节点以及感知节点的保证业务连续性的蠕虫病毒阻断装置,下面分别进行介绍。
参见图8,为本申请实施例提供的第一种保证业务连续性的蠕虫病毒阻断装置的结构示意图,应用于保证业务连续性的蠕虫病毒阻断系统中的控制节点,所述系统还包括:感知节点和业务节点;上述装置包括以下模块:
第一信息接收模块801,用于接收所述感知节点发送的第一节点标识和病毒描述信息,其中,所述第一节点标识为:所述感知节点感知到的蠕虫病毒感染的第一业务节点的节点标识,所述病毒描述信息为:所述蠕虫病毒的描述信息;
策略生成模块802,用于基于由所述病毒描述信息确定的所述蠕虫病毒的攻击端口,生成用于阻断目标请求的阻断策略,其中,所述目标请求为:向所述攻击端口发送数据的请求;
第一策略下发模块803,用于向所述第一节点标识对应的第一业务节点下发所生成的阻断策略,以使得所述第一业务节点运行接收到的阻断策略、阻断向所述攻击端口发送数据的目标请求。
由以上可见,在申请实施例提供的保证业务连续性的蠕虫病毒阻断方案中,控制节点可以接收感知节点感知到的蠕虫病毒感染的第一业务节点的第一节点标识和蠕虫病毒的病毒描述信息,从而可以基于由病毒描述信息确定的蠕虫病毒的攻击端口,生成用于阻断向攻击端口发送数据的目标请求的阻断策略,并向第一业务节点下发所生成的阻断策略,这样,第一业务节点可以运行接收到的阻断策略,阻断向攻击端口发送数据的目标请求。由于向攻击端口发送数据的目标请求被阻断,因此,第一业务节点无法向攻击端口发送恶意数据,这样避免了第一业务节点感染的蠕虫病毒感染其他节点,阻断了蠕虫病毒的传播。
其中,第一节点运行接收到的阻断策略后,仅仅是向攻击端口发送数据的目标请求被阻断,向除攻击端口之外的其余端口发送数据的请求均不会被阻断。这样,一方面,可以拦截向攻击端口发送恶意数据的请求,隔离了攻击端口与网络的连接,阻断了蠕虫病毒通过攻击端口传播;另一方面,向上述其余端口发送数据的请求可以正常发送,也即基于其余端口进行的业务可以正常进行,可见,这样避免第一业务节点感染的蠕虫病毒感染其他节点、阻断蠕虫病毒传播的同时,减少了第一业务节点的业务通信被中断的情况,从而实现了在减少第一业务节点中部署的业务被中断情况的同时阻断病毒传播。
本申请的一个实施例中,所述装置还包括:
第二信息接收模块,用于接收所述第一业务节点发送的病毒攻击信息,其中,所述病毒攻击信息包括:已被所述第一业务节点所感染的蠕虫病毒攻击的第二业务节点的第二节点标识;
第二策略下发模块,用于向所述病毒攻击信息中包含的第二节点标识对应的第二业务节点下发阻断策略。
由以上可见,应用本申请实施例提供的方式阻断蠕虫病毒传播时,一方面,控制节点向感染病毒的第一业务节点发送阻断策略,从而阻断第一业务节点感染的蠕虫病毒感染其他节点;另一方面,还向已被第一业务节点所感染的蠕虫病毒攻击的第二业务节点发送阻断策略,这样,也阻断了第二业务节点感染的蠕虫病毒感染其他节点。这样能够更加全面的封锁病毒的感染路径,从而能够更加全面的阻断蠕虫病毒的继续传播。
本申请的一个实施例中,在所述病毒攻击信息包括所述第一业务节点的第一节点标识的情况下,所述第二策略下发模块,具体用于基于所述第一节点标识,从已生成的阻断策略中确定下发至所述第一业务节点的阻断策略;向所述病毒攻击信息中包含的第二节点标识对应的第二业务节点下发所确定的阻断策略。
由于第二业务节点是已被第一业务节点所感染的蠕虫病毒攻击的业务节点,其很可能也感染了第一业务节点所感染的蠕虫病毒,因此,控制节点直接将下发至第一业务节点的阻断策略也下发至第二业务节点,在第二业务节点感染蠕虫病毒的情况下,可以便捷、高效阻断第二业务节点中蠕虫病毒的传播。
本申请的一个实施例中,所述第一策略下发模块803,具体用于基于所述病毒描述信息,按照以下方式确定所述蠕虫病毒的攻击端口,生成用于阻断目标请求的阻断策略:基于预先存储的数据特征与攻击端口之间的对应关系,确定所述病毒描述信息中包含的目标数据特征对应的攻击端口,作为所述蠕虫病毒的攻击端口;或 基于预先存储的病毒类型与攻击端口之间的对应关系,确定所述病毒描述信息中包含的目标病毒类型对应的攻击端口,作为所述蠕虫病毒的攻击端口;或 直接获得所述病毒描述信息中包含的攻击端口,作为所述蠕虫病毒的攻击端口。
可以看出,感知节点可以采用多种方式获得蠕虫病毒相关的信息,将所得信息作为病毒描述信息,提高了获得病毒描述信息时的灵活性,从而便于后续控制节点基于病毒描述信息采用多种方式灵活的确定病毒攻击端口。
参见图9,为本申请实施例提供的第二种保证业务连续性的蠕虫病毒阻断装置的结构示意图,应用于保证业务连续性的蠕虫病毒阻断系统包括的业务节点中的第一业务节点,所述系统还包括:感知节点和控制节点,所述第一业务节点为:被所述感知节点感知到的蠕虫病毒感染的节点;上述装置包括以下模块:
策略接收模块901,用于接收所述控制节点下发的、用于阻断目标请求的阻断策略,其中,所述目标请求为:向所述蠕虫病毒的攻击端口发送数据的请求;
策略运行模块902,用于运行接收到的阻断策略,以阻断向所述攻击端口发送数据的目标请求。
由以上可见,在申请实施例提供的保证业务连续性的蠕虫病毒阻断方案中,第一业务节点可以接收控制节点下发的阻断策略,上述阻断策略用于阻断向蠕虫病毒的攻击端口发送数据的请求,这样,第一业务节点可以运行接收到的阻断策略,阻断向攻击端口发送数据的目标请求。由于向攻击端口发送数据的目标请求被阻断,因此,第一业务节点无法向攻击端口发送恶意数据,这样避免了第一业务节点感染的蠕虫病毒感染其他节点,阻断了蠕虫病毒的传播。
其中,第一节点运行接收到的阻断策略后,仅仅是向攻击端口发送数据的目标请求被阻断,向除攻击端口之外的其余端口发送数据的请求均不会被阻断。这样,一方面,可以拦截向攻击端口发送恶意数据的请求,隔离了攻击端口与网络的连接,阻断了蠕虫病毒通过攻击端口传播;另一方面,向上述其余端口发送数据的请求可以正常发送,也即基于其余端口进行的业务可以正常进行,可见,这样避免第一业务节点感染的蠕虫病毒感染其他节点、阻断蠕虫病毒传播的同时,减少了第一业务节点的业务通信被中断的情况,从而实现了在减少第一业务节点中部署的业务被中断情况的同时阻断病毒传播。
本申请的一个实施例中,所述装置还包括:
攻击信息反馈模块,用于在接收到阻断策略之后,向所述控制节点反馈病毒攻击信息,以使得所述控制节点向所述病毒攻击信息中包含的第二节点标识对应的第二业务节点下发阻断策略,其中,所述第二业务节点为:已被所述第一业务节点所感染的蠕虫病毒攻击的业务节点。
由以上可见,应用本申请实施例提供的方式阻断蠕虫病毒传播时,一方面,第一业务节点可以接收控制节点发送的阻断策略,从而阻断第一业务节点感染的蠕虫病毒感染其他节点;另一方面,第一业务节点可以向控制节点反馈病毒攻击信息,从而使得控制节点能够向已被第一业务节点所感染的蠕虫病毒攻击的第二业务节点发送阻断策略,这样,也阻断了第二业务节点感染的蠕虫病毒感染其他节点。这样能够更加全面的封锁病毒的感染路径,从而能够更加全面的阻断蠕虫病毒的继续传播。
本申请的一个实施例中,所述病毒攻击信息还包括:所述第一业务节点的第一节点标识。
这样有利于后续控制节点基于自身的第一节点标识更加便捷、高效的向第二业务节点下发阻断策略。
参见图10,为本申请实施例提供的第三种保证业务连续性的蠕虫病毒阻断装置的结构示意图,应用于保证业务连续性的蠕虫病毒阻断系统中的感知节点,所述系统还包括:控制节点和业务节点;所述装置包括:
蠕虫病毒感知模块1001,用于感知蠕虫病毒,确定所述蠕虫病毒的病毒描述信息;
信息发送模块1002,用于向所述控制节点反馈所述蠕虫病毒感染的第一业务节点的第一节点标识和所述病毒描述信息,以使得所述控制节点基于由所述病毒描述信息确定的所述蠕虫病毒的攻击端口生成用于阻断目标请求的阻断策略、向所述第一节点标识对应的第一业务节点下发所生成的阻断策略,其中,所述目标请求为:向所述攻击端口发送数据的请求。
由以上可见,在申请实施例提供的保证业务连续性的蠕虫病毒阻断方案中,感知节点可以感知蠕虫病毒,并向控制节点反馈蠕虫病毒感染的第一业务节点的第一节点标识和蠕虫病毒的病毒描述信息,以使得控制节点基于由病毒描述信息确定的蠕虫病毒的攻击端口生成用于阻断目标请求的阻断策略、向第一节点标识对应的第一业务节点下发所生成的阻断策略,这样,第一业务节点可以运行接收到的阻断策略,阻断向攻击端口发送数据的目标请求。由于向攻击端口发送数据的目标请求被阻断,因此,第一业务节点无法向攻击端口发送恶意数据,这样避免了第一业务节点感染的蠕虫病毒感染其他节点,阻断了蠕虫病毒的传播。
其中,第一节点运行接收到的阻断策略后,仅仅是向攻击端口发送数据的目标请求被阻断,向除攻击端口之外的其余端口发送数据的请求均不会被阻断。这样,一方面,可以拦截向攻击端口发送恶意数据的请求,隔离了攻击端口与网络的连接,阻断了蠕虫病毒通过攻击端口传播;另一方面,向上述其余端口发送数据的请求可以正常发送,也即基于其余端口进行的业务可以正常进行,可见,这样避免第一业务节点感染的蠕虫病毒感染其他节点、阻断蠕虫病毒传播的同时,减少了第一业务节点的业务通信被中断的情况,从而实现了在减少第一业务节点中部署的业务被中断情况的同时阻断病毒传播。
本申请的一个实施例中,所述蠕虫病毒感知模块1001,包括:
数据特征提取子模块,用于提取所述业务节点发送的数据的数据特征;
恶意数据确定子模块,用于基于所提取的数据特征,确定所述业务节点发送的数据是否为恶意数据,若为是,触发蠕虫病毒感知子模块;
蠕虫病毒感知子模块,用于确定感知到蠕虫病毒。
可见,感知节点提取业务节点发送的数据的数据特征后,可以基于所提取的数据特征,确定业务节点发送的数据是否为恶意数据。由于数据特征能够反映数据的整体特点,对于数据有一定的标识作用,可以用于区分恶意数据和非恶意数据,这样,基于数据特征可以较为准确的确定数据是否为恶意数据。
本申请的一个实施例中,所述恶意数据确定子模块,具体用于在病毒信息表中匹配所提取的数据特征,其中,所述病毒信息表中包括:各类型的蠕虫病毒所生成的恶意数据的数据特征;若存在匹配结果,确定所述业务节点发送的数据为恶意数据。
这样基于数据特征和病毒信息表中记录的数据特征之间的匹配,可以便捷、快速的确定业务节点发送的数据是否为恶意数据。
本申请的一个实施例中,在所述蠕虫病毒感知模块1001之前,还包括:目标数据特征提取模块,用于感知蠕虫病毒,获得所述蠕虫病毒感染的第一业务节点发送的数据的目标数据特征;
所述蠕虫病毒感知模块1001,具体用于将所述目标数据特征作为所述蠕虫病毒的病毒描述信息;和/或 感知蠕虫病毒基于预先存储的数据特征与病毒类型之间的对应关系,确定所述目标数据特征对应的目标病毒类型,作为所述蠕虫病毒的病毒描述信息;和/或 感知蠕虫病毒,基于预先存储的数据特征与攻击端口之间的对应关系,确定所述目标数据特征对应的攻击端口,作为所述蠕虫病毒的病毒描述信息。
可以看出,根据病毒描述信息所包含信息的不同,控制节点基于病毒描述信息可以采用多种方式确定蠕虫病毒的攻击端口,提高了确定上述攻击端口时的灵活性。
本申请实施例还提供了一种电子设备,如图11所示,包括:
存储器1101,用于存放计算机程序;
处理器1102,用于执行存储器1101上所存放的程序时,实现前述应用于控制节点或第一业务节点或感知节点的保证业务连续性的蠕虫病毒阻断方法。
并且上述电子设备还可以包括通信总线和/或通信接口,处理器1102、通信接口、存储器1101通过通信总线完成相互间的通信。
上述电子设备提到的通信总线可以是外设部件互连标准(Peripheral ComponentInterconnect,PCI)总线或扩展工业标准结构(Extended Industry StandardArchitecture,EISA)总线等。该通信总线可以分为地址总线、数据总线、控制总线等。为便于表示,图中仅用一条粗线表示,但并不表示仅有一根总线或一种类型的总线。
通信接口用于上述电子设备与其他设备之间的通信。
存储器可以包括随机存取存储器(Random Access Memory,RAM),也可以包括非易失性存储器(Non-Volatile Memory,NVM),例如至少一个磁盘存储器。可选的,存储器还可以是至少一个位于远离前述处理器的存储装置。
上述的处理器可以是通用处理器,包括中央处理器(Central Processing Unit,CPU)、网络处理器(Network Processor,NP)等;还可以是数字信号处理器(Digital SignalProcessor,DSP)、专用集成电路(Application Specific Integrated Circuit,ASIC)、现场可编程门阵列(Field-Programmable Gate Array,FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。
在本申请提供的又一实施例中,还提供了一种计算机可读存储介质,该计算机可读存储介质内存储有计算机程序,所述计算机程序被处理器执行时实现上述应用于控制节点或第一业务节点或感知节点的保证业务连续性的蠕虫病毒阻断方法的步骤。
在本申请提供的又一实施例中,还提供了一种包含指令的计算机程序产品,当其在计算机上运行时,使得计算机执行上述实施例中任一应用于控制节点或第一业务节点或感知节点的保证业务连续性的蠕虫病毒阻断方法。
在上述实施例中,可以全部或部分地通过软件、硬件、固件或者其任意组合来实现。当使用软件实现时,可以全部或部分地以计算机程序产品的形式实现。所述计算机程序产品包括一个或多个计算机指令。在计算机上加载和执行所述计算机程序指令时,全部或部分地产生按照本申请实施例所述的流程或功能。所述计算机可以是通用计算机、专用计算机、计算机网络、或者其他可编程装置。所述计算机指令可以存储在计算机可读存储介质中,或者从一个计算机可读存储介质向另一个计算机可读存储介质传输,例如,所述计算机指令可以从一个网站站点、计算机、服务器或数据中心通过有线(例如同轴电缆、光纤、数字用户线(DSL))或无线(例如红外、无线、微波等)方式向另一个网站站点、计算机、服务器或数据中心进行传输。所述计算机可读存储介质可以是计算机能够存取的任何可用介质或者是包含一个或多个可用介质集成的服务器、数据中心等数据存储设备。所述可用介质可以是磁性介质,(例如,软盘、硬盘、磁带)、光介质(例如,DVD)、或者固态硬盘(Solid StateDisk,SSD)等。
需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
本说明书中的各个实施例均采用相关的方式描述,各个实施例之间相同相似的部分互相参见即可,每个实施例重点说明的都是与其他实施例的不同之处。尤其,对于方法、装置、电子设备及存储介质实施例而言,由于其基本相似于系统实施例,所以描述的比较简单,相关之处参见方法实施例的部分说明即可。
以上所述仅为本申请的较佳实施例,并非用于限定本申请的保护范围。凡在本申请的精神和原则之内所作的任何修改、等同替换、改进等,均包含在本申请的保护范围内。
Claims (15)
1.一种保证业务连续性的蠕虫病毒阻断系统,其特征在于,所述系统包括:感知节点、控制节点和业务节点;其中,
所述感知节点,用于感知蠕虫病毒,确定所述蠕虫病毒的病毒描述信息;向所述控制节点反馈所述蠕虫病毒感染的第一业务节点的第一节点标识和所述病毒描述信息;
所述控制节点,用于基于由所述病毒描述信息确定的所述蠕虫病毒的攻击端口,生成用于阻断目标请求的阻断策略,其中,所述目标请求为:向所述攻击端口发送数据的请求;向所述第一节点标识对应的第一业务节点下发所生成的阻断策略;
所述第一业务节点,用于运行接收到的阻断策略,以阻断向所述攻击端口发送数据的目标请求,其中,所述第一业务节点不阻断向除所述攻击端口之外的其余端口发送数据的请求。
2.根据权利要求1所述的系统,其特征在于,
所述第一业务节点,还用于在接收到阻断策略之后,向所述控制节点反馈病毒攻击信息,其中,所述病毒攻击信息包括:已被所述第一业务节点所感染的蠕虫病毒攻击的第二业务节点的第二节点标识;
所述控制节点,还用于基于所述第二节点标识向所述第二业务节点下发阻断策略。
3.根据权利要求2所述的系统,其特征在于,
所述病毒攻击信息还包括:所述第一业务节点的第一节点标识,
所述控制节点基于所述第二节点标识向所述第二业务节点下发阻断策略,包括:
基于所述第一节点标识,从已生成的阻断策略中确定下发至所述第一业务节点的阻断策略;基于所述第二节点标识向所述第二业务节点下发所确定的阻断策略。
4.根据权利要求1所述的系统,其特征在于,所述感知节点感知蠕虫病毒,包括:
提取所述业务节点发送的数据的数据特征;
基于所提取的数据特征,确定所述业务节点发送的数据是否为恶意数据;
若为是,确定感知到蠕虫病毒。
5.根据权利要求1-4中任一项所述的系统,其特征在于,所述感知节点确定所述蠕虫病毒的病毒描述信息之前,还包括:
获得所述蠕虫病毒感染的第一业务节点发送的数据的目标数据特征;
所述感知节点确定所述蠕虫病毒的病毒描述信息,包括:将所述目标数据特征作为所述蠕虫病毒的病毒描述信息;和/或 基于预先存储的数据特征与病毒类型之间的对应关系,确定所述目标数据特征对应的目标病毒类型,作为所述蠕虫病毒的病毒描述信息;和/或 基于预先存储的数据特征与攻击端口之间的对应关系,确定所述目标数据特征对应的攻击端口,作为所述蠕虫病毒的病毒描述信息;
所述控制节点具体用于基于所述病毒描述信息,按照以下方式确定所述蠕虫病毒的攻击端口:
若所述病毒描述信息包括所述蠕虫病毒感染的第一业务节点发送的数据的目标数据特征,则基于预先存储的数据特征与攻击端口之间的对应关系,确定所述病毒描述信息中包含的目标数据特征对应的攻击端口,作为所述蠕虫病毒的攻击端口;和/或,若所述病毒描述信息包括所述目标数据特征对应的目标病毒类型,则基于预先存储的病毒类型与攻击端口之间的对应关系,确定所述病毒描述信息中包含的目标病毒类型对应的攻击端口,作为所述蠕虫病毒的攻击端口;和/或,若所述病毒描述信息包括所述目标数据特征对应的攻击端口,则直接获得所述病毒描述信息中包含的攻击端口,作为所述蠕虫病毒的攻击端口。
6.一种保证业务连续性的蠕虫病毒阻断方法,其特征在于,应用于保证业务连续性的蠕虫病毒阻断系统中的控制节点,所述系统还包括:感知节点和业务节点;所述方法包括:
接收所述感知节点发送的第一节点标识和病毒描述信息,其中,所述第一节点标识为:所述感知节点感知到的蠕虫病毒感染的第一业务节点的节点标识,所述病毒描述信息为:所述蠕虫病毒的描述信息;
基于由所述病毒描述信息确定的所述蠕虫病毒的攻击端口,生成用于阻断目标请求的阻断策略,其中,所述目标请求为:向所述攻击端口发送数据的请求;
向所述第一节点标识对应的第一业务节点下发所生成的阻断策略,以使得所述第一业务节点运行接收到的阻断策略、阻断向所述攻击端口发送数据的目标请求,其中,所述第一业务节点不阻断向除所述攻击端口之外的其余端口发送数据的请求。
7.根据权利要求6所述的方法,其特征在于,
所述方法还包括:
接收所述第一业务节点发送的病毒攻击信息,其中,所述病毒攻击信息包括:已被所述第一业务节点所感染的蠕虫病毒攻击的第二业务节点的第二节点标识;向所述病毒攻击信息中包含的第二节点标识对应的第二业务节点下发阻断策略;
或
在所述病毒攻击信息包括所述第一业务节点的第一节点标识的情况下,所述向所述病毒攻击信息中包含的第二节点标识对应的第二业务节点下发阻断策略,包括:
基于所述第一节点标识,从已生成的阻断策略中确定下发至所述第一业务节点的阻断策略;向所述病毒攻击信息中包含的第二节点标识对应的第二业务节点下发所确定的阻断策略;
或
所述基于由所述病毒描述信息确定的所述蠕虫病毒的攻击端口,生成用于阻断目标请求的阻断策略,包括:基于所述病毒描述信息,按照以下方式确定所述蠕虫病毒的攻击端口,生成用于阻断目标请求的阻断策略:基于预先存储的数据特征与攻击端口之间的对应关系,确定所述病毒描述信息中包含的目标数据特征对应的攻击端口,作为所述蠕虫病毒的攻击端口;或 基于预先存储的病毒类型与攻击端口之间的对应关系,确定所述病毒描述信息中包含的目标病毒类型对应的攻击端口,作为所述蠕虫病毒的攻击端口;或 直接获得所述病毒描述信息中包含的攻击端口,作为所述蠕虫病毒的攻击端口。
8.一种保证业务连续性的蠕虫病毒阻断方法,其特征在于,应用于保证业务连续性的蠕虫病毒阻断系统包括的业务节点中的第一业务节点,所述系统还包括:感知节点和控制节点,所述第一业务节点为:被所述感知节点感知到的蠕虫病毒感染的节点;所述方法包括:
接收所述控制节点下发的、用于阻断目标请求的阻断策略,其中,所述目标请求为:向所述蠕虫病毒的攻击端口发送数据的请求;
运行接收到的阻断策略,以阻断向所述攻击端口发送数据的目标请求,其中,所述第一业务节点不阻断向除所述攻击端口之外的其余端口发送数据的请求。
9.根据权利要求8所述的方法,其特征在于,
在接收到阻断策略之后,所述方法还包括:向所述控制节点反馈病毒攻击信息,以使得所述控制节点向所述病毒攻击信息中包含的第二节点标识对应的第二业务节点下发阻断策略,其中,所述第二业务节点为:已被所述第一业务节点所感染的蠕虫病毒攻击的业务节点;
或
所述病毒攻击信息还包括:所述第一业务节点的第一节点标识。
10.一种保证业务连续性的蠕虫病毒阻断方法,其特征在于,应用于保证业务连续性的蠕虫病毒阻断系统中的感知节点,所述系统还包括:控制节点和业务节点;所述方法包括:
感知蠕虫病毒,确定所述蠕虫病毒的病毒描述信息;
向所述控制节点反馈所述蠕虫病毒感染的第一业务节点的第一节点标识和所述病毒描述信息,以使得所述控制节点基于由所述病毒描述信息确定的所述蠕虫病毒的攻击端口生成用于阻断目标请求的阻断策略、向所述第一节点标识对应的第一业务节点下发所生成的阻断策略,其中,所述目标请求为:向所述攻击端口发送数据的请求,所述第一业务节点不阻断向除所述攻击端口之外的其余端口发送数据的请求。
11.根据权利要求10所述的方法,其特征在于,
所述感知蠕虫病毒,包括:提取所述业务节点发送的数据的数据特征;基于所提取的数据特征,确定所述业务节点发送的数据是否为恶意数据;若为是,确定感知到蠕虫病毒;
或
所述基于所提取的数据特征,确定所述业务节点发送的数据是否为恶意数据,包括:在病毒信息表中匹配所提取的数据特征,其中,所述病毒信息表中包括:各类型的蠕虫病毒所生成的恶意数据的数据特征;若存在匹配结果,确定所述业务节点发送的数据为恶意数据;
或
在所述确定所述蠕虫病毒的病毒描述信息之前,所述方法还包括:获得所述蠕虫病毒感染的第一业务节点发送的数据的目标数据特征;所述感知节点确定所述蠕虫病毒的病毒描述信息,包括:将所述目标数据特征作为所述蠕虫病毒的病毒描述信息;和/或 基于预先存储的数据特征与病毒类型之间的对应关系,确定所述目标数据特征对应的目标病毒类型,作为所述蠕虫病毒的病毒描述信息;和/或 基于预先存储的数据特征与攻击端口之间的对应关系,确定所述目标数据特征对应的攻击端口,作为所述蠕虫病毒的病毒描述信息。
12.一种保证业务连续性的蠕虫病毒阻断装置,其特征在于,应用于保证业务连续性的蠕虫病毒阻断系统中的控制节点,所述系统还包括:感知节点和业务节点;所述装置包括:
第一信息接收模块,用于接收所述感知节点发送的第一节点标识和病毒描述信息,其中,所述第一节点标识为:所述感知节点感知到的蠕虫病毒感染的第一业务节点的节点标识,所述病毒描述信息为:所述蠕虫病毒的描述信息;
策略生成模块,用于基于由所述病毒描述信息确定的所述蠕虫病毒的攻击端口,生成用于阻断目标请求的阻断策略,其中,所述目标请求为:向所述攻击端口发送数据的请求;
第一策略下发模块,用于向所述第一节点标识对应的第一业务节点下发所生成的阻断策略,以使得所述第一业务节点运行接收到的阻断策略、阻断向所述攻击端口发送数据的目标请求,其中,所述第一业务节点不阻断向除所述攻击端口之外的其余端口发送数据的请求。
13.一种保证业务连续性的蠕虫病毒阻断装置,其特征在于,应用于保证业务连续性的蠕虫病毒阻断系统包括的业务节点中的第一业务节点,所述系统还包括:感知节点和控制节点,所述第一业务节点为:被所述感知节点感知到的蠕虫病毒感染的节点;所述装置包括:
策略接收模块,用于接收所述控制节点下发的、用于阻断目标请求的阻断策略,其中,所述目标请求为:向所述蠕虫病毒的攻击端口发送数据的请求;
策略运行模块,用于运行接收到的阻断策略,以阻断向所述攻击端口发送数据的目标请求,其中,所述第一业务节点不阻断向除所述攻击端口之外的其余端口发送数据的请求。
14.一种保证业务连续性的蠕虫病毒阻断装置,其特征在于,应用于保证业务连续性的蠕虫病毒阻断系统中的感知节点,所述系统还包括:控制节点和业务节点;所述装置包括:
蠕虫病毒感知模块,用于感知蠕虫病毒,确定所述蠕虫病毒的病毒描述信息;
信息发送模块,用于向所述控制节点反馈所述蠕虫病毒感染的第一业务节点的第一节点标识和所述病毒描述信息,以使得所述控制节点基于由所述病毒描述信息确定的所述蠕虫病毒的攻击端口生成用于阻断目标请求的阻断策略、向所述第一节点标识对应的第一业务节点下发所生成的阻断策略,其中,所述目标请求为:向所述攻击端口发送数据的请求,所述第一业务节点不阻断向除所述攻击端口之外的其余端口发送数据的请求。
15.一种电子设备,其特征在于,包括:
存储器,用于存放计算机程序;
处理器,用于执行存储器上所存放的程序时,实现权利要求6-7或8-9或10-11任一所述的方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202311507383.7A CN117240623B (zh) | 2023-11-13 | 2023-11-13 | 一种保证业务连续性的蠕虫病毒阻断系统、方法及装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202311507383.7A CN117240623B (zh) | 2023-11-13 | 2023-11-13 | 一种保证业务连续性的蠕虫病毒阻断系统、方法及装置 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN117240623A CN117240623A (zh) | 2023-12-15 |
CN117240623B true CN117240623B (zh) | 2024-02-02 |
Family
ID=89084569
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202311507383.7A Active CN117240623B (zh) | 2023-11-13 | 2023-11-13 | 一种保证业务连续性的蠕虫病毒阻断系统、方法及装置 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN117240623B (zh) |
Citations (11)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR20030037372A (ko) * | 2001-11-03 | 2003-05-14 | 주식회사 비즈모델라인 | 웜 바이러스의 전파 경로 추출 방법 및 시스템 |
CN1744607A (zh) * | 2005-10-10 | 2006-03-08 | 广东省电信有限公司研究院 | 一种阻断蠕虫攻击的系统和方法 |
CN1871571A (zh) * | 2003-08-29 | 2006-11-29 | 株式会社特伦德麦克罗 | 分布式网络中通过病毒/蠕虫监视器进行的网络业务管理 |
KR20060130530A (ko) * | 2006-11-03 | 2006-12-19 | 주식회사 비즈모델라인 | 웜 바이러스의 전파 경로 추출 방법 및 시스템 |
CN1885224A (zh) * | 2005-06-23 | 2006-12-27 | 福建东方微点信息安全有限责任公司 | 计算机反病毒防护系统和方法 |
KR100679621B1 (ko) * | 2006-08-09 | 2007-02-06 | 주식회사 윈스테크넷 | 네트워크 기반에서의 알려지지 않은 웜 바이러스 탐지방법및 그 장치 |
CN101605061A (zh) * | 2008-06-10 | 2009-12-16 | 上海贝尔阿尔卡特股份有限公司 | 一种接入网络中防止拒绝服务攻击的方法及其装置 |
CN114205166A (zh) * | 2021-12-17 | 2022-03-18 | 浙江泰嘉光电科技有限公司 | 病毒防护系统 |
CN115664764A (zh) * | 2022-10-19 | 2023-01-31 | 北京知道创宇信息技术股份有限公司 | 一种流量阻断系统及方法 |
CN115913692A (zh) * | 2022-11-09 | 2023-04-04 | 国能大渡河大岗山发电有限公司 | 组网设备自动隔离系统 |
CN116599705A (zh) * | 2023-04-25 | 2023-08-15 | 鹏城实验室 | 一种互联网攻击预测方法、系统、设备及介质 |
Family Cites Families (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20090276852A1 (en) * | 2008-05-01 | 2009-11-05 | International Business Machines Corporation | Statistical worm discovery within a security information management architecture |
-
2023
- 2023-11-13 CN CN202311507383.7A patent/CN117240623B/zh active Active
Patent Citations (11)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR20030037372A (ko) * | 2001-11-03 | 2003-05-14 | 주식회사 비즈모델라인 | 웜 바이러스의 전파 경로 추출 방법 및 시스템 |
CN1871571A (zh) * | 2003-08-29 | 2006-11-29 | 株式会社特伦德麦克罗 | 分布式网络中通过病毒/蠕虫监视器进行的网络业务管理 |
CN1885224A (zh) * | 2005-06-23 | 2006-12-27 | 福建东方微点信息安全有限责任公司 | 计算机反病毒防护系统和方法 |
CN1744607A (zh) * | 2005-10-10 | 2006-03-08 | 广东省电信有限公司研究院 | 一种阻断蠕虫攻击的系统和方法 |
KR100679621B1 (ko) * | 2006-08-09 | 2007-02-06 | 주식회사 윈스테크넷 | 네트워크 기반에서의 알려지지 않은 웜 바이러스 탐지방법및 그 장치 |
KR20060130530A (ko) * | 2006-11-03 | 2006-12-19 | 주식회사 비즈모델라인 | 웜 바이러스의 전파 경로 추출 방법 및 시스템 |
CN101605061A (zh) * | 2008-06-10 | 2009-12-16 | 上海贝尔阿尔卡特股份有限公司 | 一种接入网络中防止拒绝服务攻击的方法及其装置 |
CN114205166A (zh) * | 2021-12-17 | 2022-03-18 | 浙江泰嘉光电科技有限公司 | 病毒防护系统 |
CN115664764A (zh) * | 2022-10-19 | 2023-01-31 | 北京知道创宇信息技术股份有限公司 | 一种流量阻断系统及方法 |
CN115913692A (zh) * | 2022-11-09 | 2023-04-04 | 国能大渡河大岗山发电有限公司 | 组网设备自动隔离系统 |
CN116599705A (zh) * | 2023-04-25 | 2023-08-15 | 鹏城实验室 | 一种互联网攻击预测方法、系统、设备及介质 |
Non-Patent Citations (2)
Title |
---|
F. Templin, Ed. ; Boeing Research amp ; amp ; Technology ; .IPv6 Prefix Delegation and Multi-Addressing Models draft-templin-v6ops-pdhost-26.IETF .2020,全文. * |
王芬芬 ; 周登 ; 谢允.网络蠕虫的检测研究.计算机安全.2009,全文. * |
Also Published As
Publication number | Publication date |
---|---|
CN117240623A (zh) | 2023-12-15 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US11057404B2 (en) | Method and apparatus for defending against DNS attack, and storage medium | |
US7853689B2 (en) | Multi-stage deep packet inspection for lightweight devices | |
US9118716B2 (en) | Computer system, controller and network monitoring method | |
US10193890B2 (en) | Communication apparatus to manage whitelist information | |
US10033745B2 (en) | Method and system for virtual security isolation | |
US20060143709A1 (en) | Network intrusion prevention | |
CN108353068B (zh) | Sdn控制器辅助的入侵防御系统 | |
US10257213B2 (en) | Extraction criterion determination method, communication monitoring system, extraction criterion determination apparatus and extraction criterion determination program | |
US10560452B2 (en) | Apparatus and method to control transfer apparatuses depending on a type of an unauthorized communication occurring in a network | |
CN101674306B (zh) | 地址解析协议报文处理方法及交换机 | |
EP4293550A1 (en) | Traffic processing method and protection system | |
US10911466B2 (en) | Network protection device and network protection system | |
US9686311B2 (en) | Interdicting undesired service | |
CN112383559B (zh) | 地址解析协议攻击的防护方法及装置 | |
US11457021B2 (en) | Selective rate limiting via a hybrid local and remote architecture | |
CN117240623B (zh) | 一种保证业务连续性的蠕虫病毒阻断系统、方法及装置 | |
CN109347810B (zh) | 一种处理报文的方法和装置 | |
US11159533B2 (en) | Relay apparatus | |
KR101065800B1 (ko) | 네트워크 관리 장치 및 그 방법과 이를 위한 사용자 단말기및 그의 기록 매체 | |
CN114124585B (zh) | 一种安全防御方法、装置、电子设备及介质 | |
CN114172881B (zh) | 基于预测的网络安全验证方法、装置及系统 | |
KR102046612B1 (ko) | Sdn 기반의 dns 증폭 공격 방어시스템 및 그 방법 | |
CN113328976B (zh) | 一种安全威胁事件识别方法、装置及设备 | |
KR20210066432A (ko) | 이름 데이터 네트워킹(ndn) 에서 인터레스트 플러딩 공격, 검출 방법 및 방어 방법 | |
CN111490989A (zh) | 一种网络系统、攻击检测方法、装置及电子设备 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |