CN1356631A - 分布式病毒监测体系结构 - Google Patents

分布式病毒监测体系结构 Download PDF

Info

Publication number
CN1356631A
CN1356631A CN 01139002 CN01139002A CN1356631A CN 1356631 A CN1356631 A CN 1356631A CN 01139002 CN01139002 CN 01139002 CN 01139002 A CN01139002 A CN 01139002A CN 1356631 A CN1356631 A CN 1356631A
Authority
CN
China
Prior art keywords
virus
viral
info
branch center
center server
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN 01139002
Other languages
English (en)
Inventor
周曦民
石坚
吴恩平
陆金山
杨东升
钱松荣
胡方农
余华
王东
韩苹苹
谢晖
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
SHANGHAI COMPUTER VIRUS PREVENTION SERVICE
Fudan University
Original Assignee
SHANGHAI COMPUTER VIRUS PREVENTION SERVICE
Fudan University
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by SHANGHAI COMPUTER VIRUS PREVENTION SERVICE, Fudan University filed Critical SHANGHAI COMPUTER VIRUS PREVENTION SERVICE
Priority to CN 01139002 priority Critical patent/CN1356631A/zh
Publication of CN1356631A publication Critical patent/CN1356631A/zh
Pending legal-status Critical Current

Links

Images

Landscapes

  • Computer And Data Communications (AREA)

Abstract

一种分布式病毒监测体系结构,包括若干台病毒防范节点,特点是:设有与该若干台病毒防范节点构成树状拓扑的三级病毒防范体系的一台位于体系根部的病毒中心服务器和位于体系中间层的至少一台病毒分中心服务器,所有的病毒分中心服务器连接该台病毒中心服务器,而该若干台病毒防范节点则分别连接与其相近的一台病毒分中心服务器;上述的病毒中心服务器,病毒分中心服务器和病毒防范节点均分别安装有病毒中心服务器模块,病毒分中心服务器模块和病毒防范节点模块,它们形成树状拓扑三级体系结构。本发明由于能实现对计算机病毒的分布式查杀,因而具有可保证网络内无网络化病毒的性能。

Description

分布式病毒监测体系结构
技术领域
本发明涉及一种网络化病毒的监测体系结构,具体地说,是一种分布式的病毒监测体系结构。
背景技术
当前对网络化病毒的监测方法主要有两种方式:一是文件监测方式,另一是端口监测方式。
文件监测方式是当网络化病毒到达本地后,在感染文件,或隐藏在文件中时被监测,并有杀毒引擎查杀病毒。它的工作原理是,一个文件监测程序常驻于计算机内存,它监测所有的文件,当文件发生变化时,它会向杀毒引擎报告信息,并请求查毒,这个变化可以是文件大小的改变,也可以是新文件的生成。网络化病毒的侵袭必然会引起部分文件的变化,从而被文件监测程序所掌握,并被查杀。这种监测病毒的方式的优点是:可以监测计算机上的病毒,并进行查杀。但其缺点是:病毒监测都是在单机上进行,即在一台计算机上安装上查杀毒软件,则该软件对该计算机上的病毒进行监测和查杀,当网络化病毒侵袭时,它只能被动的查杀,而不能从网络上杀毒,从而,不能对网络化病毒形成一个有效的防范机制,只能任由网络化病毒在网络上传播。同时,它对网络化病毒的传播束手无策,它既不知道病毒的来源,也不知道是否会经过它再传播给其它的计算机。
端口监测方式是当网络化病毒到达本地时,在到达网络层时被监测,并有杀毒引擎查杀病毒。它的工作原理是,一个端口监测程序常驻内存,它监测所有对外的计算机网络接口,当有网络上的数据到达时,它会向杀毒引擎报告信息,并请求查毒,这个端口可以是电子邮件的端口,也可以是WEB(网页)的端口,或是FTP(网页)的端口。这种病毒监测的优点是:可以监测网络传播来的数据,并进行查杀。但其,缺点是:病毒监测也是在单机上进行的,即在一台计算机上安装上查杀毒软件,则该软件对到达该计算机上的数据进行监测和查杀,当网络化病毒侵袭时,它只能被动的查杀,而不能从网络上杀毒,从而不能对网络化病毒形成一个有效的防范机制,只能任由网络化病毒在网络上传播。
发明内容
本发明的目的是克服已有技术的缺陷,提供一种分布式病毒监测体系结构,使用分布式病毒监测技术实现病毒的分布式监测,检查网络中有无病毒,针对网络进行查杀病毒,保证网络化病毒在监管范围内被查杀。
本发明的技术方案是建立分布式病毒监测体系结构,对计算机网络进行分布式的计算机病毒的监测和查杀,它采用三级网络化病毒防范机制,其包括若干病毒防范节点,特点是,设有一台病毒中心服务器和至少一台病毒分中心服务器,并相应设置:病毒中心服务器模块,病毒分中心服务器模块和病毒防范节点模块,而形成树状拓扑三级病毒防范体系,一台病毒中心服务器位于体系的根部,病毒分中心服务器位于中间层,所有的病毒分中心服务器与病毒中心服务器相连,病毒防范节点与最近的一台病毒分中心服务器相连,构成了分布式病毒监测体系;
上述的病毒中心服务器模块是管理整个分布式病毒监测体系的中心,它包括病毒信息存储部分,病毒信息接收部分和病毒库分发部分部分。该病毒信息接收部分从病毒分中心服务器模块接收计算机病毒发作的信息,计算机病毒的特征:该病毒信息存储部分把从病毒信息接收部分接收来的病毒信息放到病毒中心服务器的病毒信息数据库中;该病毒库分发部分取得病毒中心服务器上的最新的病毒库,并以预定的格式发送给各台在该病毒中心服务器注册的病毒分中心服务器;
上述的病毒分中心服务器模块是管理局部网络的中心,它包括病毒信息存储部分、病毒信息接收部分、病毒信息发送部分、病毒库接收部分和病毒库分发部分。该病毒信息接收部分从病毒防范节点模块接收计算机病毒发作的信息,计算机病毒的特征;该病毒信息存储部分把从病毒信息接收部分接收来的病毒信息放到病毒分中心服务器的病毒信息数据库中;该病毒信息发送部分把病毒信息库中的病毒信息以预定的格式发送给病毒中心服务器;该病毒库接收部分从病毒中心服务器的病毒库发送模块接收最新的病毒库;该病毒库的分发部分就是取得其所在的病毒分中心服务器上的最新的病毒库,并以预定的格式发送给各台在该病毒分中心服务器注册的病毒防范节点;
上述的病毒防范节点模块的功能是在病毒防范节点即计算机上监测、查杀病毒。它包括病毒监测部分,病毒信息发送部分,病毒库更新部分。该病毒监测部分监测本地计算机,发现网络化病毒,就向杀毒引擎报告,请求查杀病毒;该病毒信息发送部分从病毒监测部分得到病毒信息,并以特定的格式发送给它所注册的病毒分中心服务器;该病毒库更新部分从病毒分中心服务器接收最新的病毒库,在病毒防范节点上更新最新的病毒定义,把最新的病毒定义加到该病毒防范节点病毒特征库中。
本发明的优点是:通过该技术的实现,可保证网络内无网络化病毒,实现了病毒的分布式查杀。
附图说明
图1是本发明的分布式病毒监测原理图。
图2是本发明的分布式病毒监测体系结构示意图。
具体实施方式
下面根据图1和图2给出本发明的一个较好的实施例,并结合对实施例的描述,进一步给出本发明的技术细节,以便使能更好地了解本发明的技术特征和功能,但它不是用来限制本发明的权利要求保护范围。
请参看图1和图2,本实施例中,包括一台病毒中心服务器1和二台病毒分中心服务器2及四台病毒防范节点3——一台个人计算机31,一台小型计算机32,一台工作站33和一台电子邮件服务器34。它们形成树状拓扑三级病毒监测体系结构。一台病毒中心服务器1位于体系的根部,二台病毒分中心服务器2位于体系的中间层,它们向上分别连接该病毒中心服务器1,而向下则分别连接病毒防范节点3中的个人计算机31与小型计算机32和工作站33与电子邮件服务器34。上述的服务器1,2均装有系统软件Lunix6.2+Oralce8i+Tomcat。而该四台病毒防范节点3均装有WIN32+杀毒软件。
上述的病毒中心服务器1上设有病毒中心服务器模块10,其包括接受来自病毒分中心服务器2的病毒信息的病毒信息接受部分101,病毒信息存储部分102和向病毒分中心服务器2发送最新病毒库的病毒库分发部分102。
上述的病毒分中心服务器2上的病毒分中心服务器模块20,其包括接受病毒防范节点3送来的病毒信息的病毒信息接受部分201,病毒库存储部分202,向病毒中心服务器1发送病毒信息的病毒信息发送部分203,接受病毒中心服务器1送来的最新病毒库的病毒库接受部分204和向病毒防范节点3发送最新病毒库的病毒库分发部分。
上述的设在病毒防范节点3上的病毒防范节点模块30,其包括接受来自病毒分中心服务器2发送来的最新病毒库的病毒库更新部分303,监测本地计算机病毒的病毒监测部分301和从该病毒监测部分301取得病毒信息,并以特定格式发送给病毒分中心服务器2的病毒信息发送部分302。
下面将对病毒防范节点3、病毒分中心服务器2、病毒中心服务器1及病毒防范节点3-中级(病毒分中心服务器2)、中级-核心(病毒中心服务器1)间实现的功能进行详细的描述。
(1)局域网病毒防范节点3
局域网病毒防范节点3包括多种功能和多种类型,作为病毒防范体系中直接进行病毒查、杀防范的一环,局域网病毒防范节点包括电子邮件病毒防范服务器、网络文件病毒防范服务器、病毒防范网关、客户端病毒防范软件等。模型软件中将首先实现客户端的病毒防范软件,并着重针对电子邮件型网络化病毒的防范处理。
模型软件系统在客户端采用文件系统监控方式。客户端程序对Outlook或其他电子邮件客户端软件进行监控,在其收取电子邮件时,监控文件系统的变化,同时调用杀毒引擎以比较病毒特征;如果杀毒引擎发现病毒,即自动杀毒并从中提取病毒信息(病毒名、邮件源、发件日期、主题、发件人、收件人等),同时报告本地,并向中级病毒管理中心提交病毒信息。同时客户端程序还具有主动向中级病毒管理中心请求更新病毒特征库和获取最新的病毒防范软件版本的功能。
局域网病毒防范节点3是三级网络化病毒防范体系中具体实现查、杀病毒的环节,使用的病毒查杀引擎和文件监控模块由创源公司提供,与中心病毒管理中心2的通信部分,病毒引擎及文件监控模块的调用由本发明人进行开发。
(2)中级病毒管理中心(病毒分中心服务器2)
中级病毒管理中心将维护病毒特征库和病毒信息库两个数据库。各病毒分中心服务器2将应答病毒防范节点3(客户端),包括病毒信息库的更新、获取最新的病毒防范软件版本、查询公共信息等请求。
对客户端提交的病毒信息,各病毒分中心服务器2将把这些信息(病毒名、邮件源、发件日期、主题、发件人、收件人等)自动加入到病毒信息库中。各病毒分中心服务器2将对客户端提交的病毒信息进行分析统计并以报表显示和打印,同时提供查询功能。
病毒分中心服务器2将定期向病毒中心服务器1提交数据库中有关病毒信息的统计结果。各病毒分中心服务器2还能定时地请求从病毒中心服务器1中获取最新的病毒防范软件版本及相关的病毒特征库。
中级病毒管理中心应用在大型企事业单位、区县病毒防范专门机构中。
(3)核心病毒管理中心(病毒中心服务器1)
病毒中心服务器1中存放最新的病毒信息库、最新的病毒特征库以及病毒防范软件版本。
核心病毒管理中心自动响应各病毒分中心服务器2对最新的病毒特征库、相关的病毒信息库以及病毒防范软件更新的请求。
病毒中心服务器的病毒信息库中将对所有中级病毒管理中心提交的统计信息再进行分析统计并以报表显示和打印同时提供查询功能。
核心病毒管理中心主要应用在市级的病毒防范专门机构,根据病毒中心服务器1中的病毒信息库,可以对病毒的发作时间、传播地区、传播方式、发作形式、破坏、攻击方式、产生地域、病毒高发人群、地区等内容进行分析,并据此对病毒防范的政策及宏观措施提供决策支持。
(4)客户端-中级
客户端与病毒分中心服务器2之间的通信主要为:客户端向病毒分中心服务器2请求病毒特征库/病毒防范软件的更新和病毒分中心服务器2对客户端请求的响应;以及客户端向病毒分中心服务器2提交病毒信息的请求及病毒分中心服务2的确认。
(5)中级(病毒分中心服务器2)-核心(病毒中心服务器1)
病毒分中心服务器2与病毒中心服务器1之间的通信主要为:病毒分中心服务器2向病毒中心服务器1请求病毒特征库更新和病毒中心服务器1对病毒分中心服务器2请求的响应;以及病毒分中心服务器2向病毒中心服务器1提交病毒信息的请求及核心的确认。

Claims (7)

1.一种分布式病毒监测体系结构,包括若干台病毒防范节点(3),其特征在于,设有与该若干台病毒防范节点(3)构成树状拓扑的三级病毒防范体系的至少一台病毒分中心服务器(2)和一台病毒中心服务器(1);该台病毒中心服务器(1)位于树状拓扑体系结构的根部,且其内设有病毒中心服务器模块(10);
所说的病毒分中心服务器(2)位于中间层,且分别与该病毒中心服务器(1)相连接,和该每一台病毒分中心服务器(2)上各设有病毒中心服务器模块(20);
该若干台病毒防范节点(3)分别与其相近的一台病毒分中心服务器(2)相连接,且每一台病毒防范节点(3)上设有相应的病毒防范节点模块(30):
相应地,所述的病毒防范节点模块(30),病毒分中心服务器模块(20)和病毒中心服务器模块(10)构成三级树状拓扑体系。
2.根据权利要求1所述的分布式病毒监测体系结构,其特征在于,所说的病毒中心服务器模块(10),其包括顺次连接的病毒信息接受部分(101),病毒信息存储部分(102),和病毒库分发部分(103);
该病毒信息接受部分(101)从该病毒分中心服务器模块(20)接受计算机病毒发作的信息和计算机病毒的特征;
该病毒信息存储部分(102)把从该病毒信息接受部分(101)中接受来的病毒信息放到该病毒中心服务器(1)的病毒信息数据库中;
该病毒库分发部分(103)取得病毒中心服务器(1)上的最新病毒库,并以预定的格式发给各台在病毒中心服务器(1)上注册的病毒分中心服务器(2)。
3.根据权利要求1所述的分布式病毒监测体系结构,其特征在于,所说的病毒分中心服务器模块(20),其包括病毒信息接受部分(201),病毒信息存储部分(202),病毒信息发送部分(203),病毒库接受部分(204)和病毒库分发部分(205),其中:
该病毒信息接受部分(201)从与其相连接的该病毒防范节点模块(30)接收计算机病毒发作的信息和计算机病毒的特征;
该病毒信息存储部分(202)把从该病毒信息接受部分(201)接受来的病毒信息放到病毒分中心服务器(2)的病毒信息数据库中;
该病毒信息发送部分(203)把该病毒分中心服务器(2)的病毒信息数据库的病毒信息以预定格式发送给病毒中心服务器(1);
该病毒库接受部分(204)从该病毒中心服务器模块(10)的病毒库分发部分(103)接受最新的病毒库;
该病毒库分发部分(205)取得其所在的病毒分中心服务器(2)上的最新的病毒库,并以预定格式发送给向病毒分中心服务器(2)中注册的病毒防范节点(3)。
4.根据权利要求1所述的分布式病毒监测体系结构,其特征在于,所说的病毒防范节点模块(30),其包括病毒监测部分(301),病毒信息发送部分(302),病毒库更新部分(303),其中;
该病毒监测部分(301)监测本地计算机,发现网络化病毒就向杀毒引擎报告,请求查杀病毒;
该病毒信息发送部分(302)从该病毒监测部分(301)取得病毒信息,并以特定格式发送给它所注册的病毒分中心服务器(2);
该病毒库更新部分(303)是从它所注册的病毒分中心服务器(2)接受最新的病毒库,在病毒防范节点(3)上更新最新的病毒定义,把最新的病毒定义加到病毒特征库中。
5.根据权利要求1所述的分布式病毒监测体系结构,其特征在于,所说的病毒中心服务器(1)设在省市级的病毒防范专门机构。
6.根据权利要求1所述的分布式病毒监测体系结构,其特征在于,所说的病毒分中心服务器(2)系设置在大型企事业单位,区县级病毒防范专门机构。
7.根据权利要求1所述的分布式病毒监测体系结构,其特征在于,所说的病毒防范节点(3)系指局域网防范节点,其包括电子病毒防范服务器,网络病毒防范服务器,病毒防范网关,客户端病毒防范软件。
CN 01139002 2001-12-03 2001-12-03 分布式病毒监测体系结构 Pending CN1356631A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN 01139002 CN1356631A (zh) 2001-12-03 2001-12-03 分布式病毒监测体系结构

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN 01139002 CN1356631A (zh) 2001-12-03 2001-12-03 分布式病毒监测体系结构

Publications (1)

Publication Number Publication Date
CN1356631A true CN1356631A (zh) 2002-07-03

Family

ID=4674933

Family Applications (1)

Application Number Title Priority Date Filing Date
CN 01139002 Pending CN1356631A (zh) 2001-12-03 2001-12-03 分布式病毒监测体系结构

Country Status (1)

Country Link
CN (1) CN1356631A (zh)

Cited By (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN100433932C (zh) * 2005-03-15 2008-11-12 乐金电子(中国)研究开发中心有限公司 一种移动通信终端的病毒防火墙提供系统及其方法
CN101098226B (zh) * 2006-06-27 2011-02-09 飞塔公司 一种病毒在线实时处理系统及其方法
CN102075502A (zh) * 2009-11-24 2011-05-25 北京网御星云信息技术有限公司 一种基于云计算的病毒防护系统
CN101651692B (zh) * 2009-09-15 2012-07-18 成都市华为赛门铁克科技有限公司 网络安全保护方法、安全服务器和转发设备
CN101771679B (zh) * 2008-12-31 2012-08-29 中国移动通信集团公司 病毒防御方法及通信网络、核心节点
CN103886257A (zh) * 2012-12-21 2014-06-25 珠海市君天电子科技有限公司 杀毒引擎的自动校对方法及系统
CN104766006A (zh) * 2015-03-18 2015-07-08 百度在线网络技术(北京)有限公司 一种确定危险文件所对应的行为信息的方法和装置
US9465941B2 (en) 2011-08-09 2016-10-11 Huawei Technologies Co., Ltd. Method, system, and apparatus for detecting malicious code

Cited By (13)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN100433932C (zh) * 2005-03-15 2008-11-12 乐金电子(中国)研究开发中心有限公司 一种移动通信终端的病毒防火墙提供系统及其方法
CN101098226B (zh) * 2006-06-27 2011-02-09 飞塔公司 一种病毒在线实时处理系统及其方法
CN101771679B (zh) * 2008-12-31 2012-08-29 中国移动通信集团公司 病毒防御方法及通信网络、核心节点
CN101651692B (zh) * 2009-09-15 2012-07-18 成都市华为赛门铁克科技有限公司 网络安全保护方法、安全服务器和转发设备
CN102075502A (zh) * 2009-11-24 2011-05-25 北京网御星云信息技术有限公司 一种基于云计算的病毒防护系统
CN102075502B (zh) * 2009-11-24 2013-12-11 北京网御星云信息技术有限公司 一种基于云计算的病毒防护系统
US9465941B2 (en) 2011-08-09 2016-10-11 Huawei Technologies Co., Ltd. Method, system, and apparatus for detecting malicious code
CN103886257A (zh) * 2012-12-21 2014-06-25 珠海市君天电子科技有限公司 杀毒引擎的自动校对方法及系统
CN103886257B (zh) * 2012-12-21 2017-05-03 珠海市君天电子科技有限公司 杀毒引擎的自动校对方法及系统
CN104766006A (zh) * 2015-03-18 2015-07-08 百度在线网络技术(北京)有限公司 一种确定危险文件所对应的行为信息的方法和装置
WO2016145749A1 (zh) * 2015-03-18 2016-09-22 百度在线网络技术(北京)有限公司 一种确定危险文件所对应的行为信息的方法和装置
CN104766006B (zh) * 2015-03-18 2019-03-12 百度在线网络技术(北京)有限公司 一种确定危险文件所对应的行为信息的方法和装置
US10915624B2 (en) 2015-03-18 2021-02-09 Baidu Online Network Technology (Beijing) Co., Ltd. Method and apparatus for determining behavior information corresponding to a dangerous file

Similar Documents

Publication Publication Date Title
CN103152352B (zh) 一种基于云计算环境的全信息安全取证监听方法和系统
CN105656903B (zh) 一种Hive平台的用户安全管理系统及应用
US7774470B1 (en) Load balancing using a distributed hash
US7315903B1 (en) Self-configuring server and server network
EP3270564B1 (en) Distributed security provisioning
US7949712B2 (en) High availability presence engine for instant messaging
EP2055049B1 (en) A push update system
CN101160906B (zh) 涉及跨分布式目录的组成员资格的访问授权的方法和系统
US20020107958A1 (en) Method of and apparatus for notification of state changes in a monitored system
US20060168224A1 (en) Remote dynamic configuration of a web server to facilitate capacity on demand
WO2020186807A1 (zh) 一种基于区块链技术的电力数据链接系统及方法
US20150149607A1 (en) System and method for serving and managing independent access devices
US8566437B2 (en) Systems and methods for improved multisite management of converged communication systems and computer systems
CN107123047A (zh) 基于债券交易的数据采集系统及其数据采集方法
CN112261172A (zh) 服务寻址访问方法、装置、系统、设备及介质
US20040034687A1 (en) Extensible instant messaging service
TW201243617A (en) Cloud computing-based service management system
CN1356631A (zh) 分布式病毒监测体系结构
CN105493047A (zh) 在数据交换层上合并多个系统树
JP2008102795A (ja) ファイル管理装置、システム及びプログラム
CN111784282A (zh) 智慧场馆综合管理平台
US7480651B1 (en) System and method for notification of group membership changes in a directory service
US20220239633A1 (en) Email security based on display name and address
CN101656632A (zh) 大型网络内的病毒监控方法及装置
US20030233434A1 (en) Multi-tiered remote enterprise management system and method

Legal Events

Date Code Title Description
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
C06 Publication
PB01 Publication
C02 Deemed withdrawal of patent application after publication (patent law 2001)
WD01 Invention patent application deemed withdrawn after publication