CN1761939A - 阻止病毒感染的方法及系统 - Google Patents
阻止病毒感染的方法及系统 Download PDFInfo
- Publication number
- CN1761939A CN1761939A CN200480007290.7A CN200480007290A CN1761939A CN 1761939 A CN1761939 A CN 1761939A CN 200480007290 A CN200480007290 A CN 200480007290A CN 1761939 A CN1761939 A CN 1761939A
- Authority
- CN
- China
- Prior art keywords
- virus
- computing machine
- network
- attack
- bait
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/567—Computer malware detection or handling, e.g. anti-virus arrangements using dedicated hardware
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Software Systems (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Virology (AREA)
- Health & Medical Sciences (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- General Health & Medical Sciences (AREA)
- Computer And Data Communications (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
公开了一种检测网络中的病毒感染并阻止病毒感染的系统。在存储装置(12)上设置可以通过网络(1)访问的诱饵单元(13、14、15)。具有:通信信息解析单元(16),其检测病毒对诱饵单元(13、14、15)的侵入,并且在检测到病毒入侵时,根据在病毒入侵时获取的通信信息检测作为病毒发送源的计算机;计算机攻击单元(17),其通过网络对作为病毒发送源的计算机进行抑制病毒活动的病毒攻击处理。确定感染病毒的计算机(5),在管理员完成杀毒等的对策之前的期间,利用监视计算机(10)的计算机攻击单元(17)进行攻击。
Description
技术领域
本发明涉及当连接网络的计算机感染病毒时,查明感染源,阻止感染到连接在同一网络上的其它计算机的技术。
背景技术
在计算机病毒中,有侵入服务器等计算机的共享文件中,访问预定的文件和程序并将其破坏,或进行改写使其产生错误动作的病毒。可以使用预定的程序检测出病毒的存在。该程序根据病毒的文件名、病毒的行为方式等判断是否是病毒。在检测到病毒时,计算机的管理员实施必要的处理,去除病毒。检测病毒并发布疫苗(vaccine)的技术已介绍过多种(参照专利文献1:日本特开2002-259149号公报)。
但是,上述以往的技术存在以下应该解决的课题。
在检测到病毒时,必须进行如下的处理:马上查明其所处位置,并从网络中断开,使用疫苗进行杀毒。但是,从检测病毒到完成杀毒处理有时需要花费时间。如果花费时间,则受害范围逐渐扩大,有可能给网络带来重大损害。
另外,潜伏在网络上的其它计算机中、通过网络进行文件访问的病毒在其开始活动之前很难检测。即使该病毒开始活动并检测到病毒时,调查潜伏病毒的计算机并去除该病毒将花费时间,存在损害扩大的问题。
发明内容
本发明的目的在于,提供一种查明连接网络的计算机感染病毒的情况,同时阻止对连接在同一网络上的其它计算机的损害扩大的技术。
根据本发明的第1方式,提供了一种检测网络中的病毒感染并阻止病毒感染的方法,其特征在于,在监视病毒入侵的计算机上设置可以通过网络访问的诱饵,接受通过网络对所述诱饵的访问,从而获取通信信息,同时检测病毒的入侵,在病毒侵入该诱饵时,根据对应获取的通信信息,检测作为病毒发送源的计算机,通过网络对作为病毒发送源的计算机进行抑制病毒活动的病毒攻击处理。
根据本发明的第2方式,提供了一种检测网络中的病毒感染并阻止病毒感染的系统,其特征在于,具有:可以通过网络访问的诱饵单元;通信信息解析单元,其检测病毒对所述诱饵单元的入侵,并且在检测到病毒入侵时,根据在病毒入侵时获取的通信信息检测作为病毒发送源的计算机;计算机攻击单元,其通过网络对作为病毒发送源的计算机进行抑制病毒活动的病毒攻击处理。
根据本发明的第3方式,提供了一种检测网络中的病毒感染并阻止病毒感染的系统,其特征在于,具有:接受对作为病毒发送源的计算机进行病毒攻击处理的请求的单元;计算机攻击单元,其根据所接受的请求,通过网络对所述作为病毒发送源的计算机进行抑制病毒活动的病毒攻击处理。
根据本发明的第4方式,提供了一种使计算机检测网络中的病毒感染并阻止病毒感染的系统,其特征在于,使计算机构建成:通信信息解析单元,其检测病毒对可以通过网络访问的预先设置的诱饵单元的入侵,并且在检测到病毒入侵时,根据在病毒入侵时获取的通信信息检测作为病毒发送源的计算机;计算机攻击单元,其通过网络对作为病毒发送源的计算机进行抑制病毒活动的病毒攻击处理。
根据本发明的第5方式,提供了一种使计算机检测网络中的病毒感染并阻止病毒感染的程序,其特征在于,在收到作为病毒发送源的计算机网络地址的通知时,使计算机执行拒绝来自作为病毒发送源的计算机的通信的处理。
附图说明
图1是表示阻止病毒感染的系统的具体示例的方框图。
图2是说明检测报告的示例的说明图。
图3是表示利用多个计算机攻击感染计算机的示例的说明图。
图4是大规模计算机网络的说明图。
图5是表示监视计算机的基本动作的流程图。
图6是表示监视计算机的协作动作的流程图。
具体实施方式
以下,对于实施发明的最佳方式,说明包括其原理的概要情况。然后,进行详细说明。
在监视病毒入侵的计算机(监视计算机)上设置可以通过网络访问的诱饵(decoy),接受通过网络对所述诱饵的访问,并获取通信信息,同时检测病毒的入侵,在病毒侵入该诱饵时,根据对应获取的通信信息,检测作为病毒发送源的计算机,通过网络对作为病毒发送源的计算机(感染计算机)进行抑制病毒活动的病毒攻击处理。并且,向作为病毒发送源的计算机的管理员发送检测报告。
此处,通过准备安全性较低的诱饵来促使病毒侵入。为了降低诱饵的安全性,通过使对病毒的防护低于假定的各种计算机中的安全性来实现。但是,调查安全性是否低于其它计算机非容易之事。因此,可以考虑根据病毒防护程度赋予差的安全性。例如,考虑完全不采用一般情况下应当实施的病毒防范。具体地讲,可以列举出不安装防病毒软件,或使所安装的防病毒软件无效,在操作系统、应用程序等存在安全漏洞时放任该状态等。
另外,在为特定的计算机组进行该防病毒时,多数情况下作为对象的计算机的安全性等级已经公知。在这种情况下,在作为对象的计算机组中,将诱饵的安全性设定成为比安全性最低的计算机还低的安全性。这样,使诱饵在应该进行病毒防范的计算机组中最容易被病毒入侵。
作为诱饵,例如图1所示,可以列举出设置诱饵文件夹14,设置诱饵应用程序15,设置诱饵服务器13等。这些诱饵可以单独使用也可以并用两个或两个以上。还可以在多个计算机中分散设置诱饵。
诱饵文件夹13可以由连接在网络1上的计算机10的存储装置12上的虚拟地形成的诱饵服务器中设置的应用程序构成。所说文件夹中的病毒入侵,指病毒通过网络读出文件夹中的任意文件或尝试改写文件的情况。所说感染病毒,指病毒自身进入了计算机的存储装置的某处。
通信信息是病毒侵入诱饵文件夹时从网络接收的通信路径等的信息。该通信信息中包括作为病毒发送源的计算机的网络地址等。作为病毒发送源的计算机是已感染病毒的计算机。由于用诱饵文件夹等待接受,所以能够检测入侵的病毒。检测报告的内容是任意的。报告方法也是任意的。在通知已感染计算机的管理员时,同时攻击其感染源的计算机。
成为探索对象的病毒有时是具有入侵共享文件夹的性质的病毒。可以通过设置诱饵文件夹来检测这种入侵共享文件夹的病毒的活动。
诱饵应用程序15由连接在网络上的计算机的存储装置上的虚拟地形成的诱饵服务器中所设置的应用程序构成。该诱饵构成为用于检测具有入侵服务器的性质的病毒。是设置诱饵应用程序来代替诱饵文件夹的示例。例如,在作为探索对象的病毒是具有诱发应用程序的错误动作的性质的病毒时,通过设置虚拟的诱饵应用程序,可以检测其活动。
诱饵服务器13检测具有入侵服务器的性质的病毒。诱饵服务器由虚拟的应用程序构成,外观上具有具备服务器结构的数据。诱饵服务器13具有在对其进行访问时,针对该访问返回与服务器相同的响应的功能。假定的服务器的形式可以是作为访问对象的服务器。例如,有网页服务器、邮件服务器等,可以是任意服务器。这种诱饵服务器构成为对应服务器攻击型病毒。由于构成为在虚拟地形成于计算机的存储装置上的诱饵服务器中设置诱饵文件夹,所以即使受到病毒攻击也不受其影响。即,不会产生危害。同时,可以一面接受攻击一面查明其出处。所说诱饵服务器和诱饵文件夹可以完全不同,也可以由一体化的应用程序构成。
在病毒入侵到诱饵中时,马上查明感染源,并在阻止损害扩大的基础上实施对策。即,对感染计算机进行抑制病毒活动的病毒攻击处理。作为病毒攻击处理,可以列举出通过网络发送施加高负荷的信息的方式。攻击是持续进行直到完全驱除病毒为止。所说病毒对策指将感染计算机从网络中隔离或者驱除病毒。
作为从主体来看的攻击方式,有单独攻击、请求攻击、共同攻击等。单独攻击是监视计算机单独攻击感染计算机的方式。请求攻击是监视计算机请求位于感染计算机附近的具有攻击能力的计算机进行攻击,被请求的计算机攻击感染计算机的方式。共同攻击是利用多个计算机攻击感染计算机的方式。这些情况将在后面详细叙述。另外,请求攻击时的攻击方法、共同攻击时的攻击方法,可以由监视计算机确定并统一攻击。并且,也可以根据被请求者、各个合作计算机所具有的攻击能力来请求进行攻击。
并且,作为攻击内容,在本发明中,如前面所述,为了在感染计算机中抑制病毒活动、或者阻止感染计算机中的病毒活动,使用对感染计算机施加较高的通信负荷的方法,和对感染计算机的CPU施加较高的负荷的方法。可以使用其中任意一种方法,也可以组合使用两种方法。关于攻击方式将在后面详细叙述。
在检测到作为病毒发送源的感染计算机时,首先,向感染计算机的管理员发送检测报告。然后,进行攻击直到完成针对该病毒的对策为止。
并且,在攻击感染计算机时,发送用于通知攻击开始的信息,提醒计算机的使用者、管理者注意。另外,在攻击开始时或攻击开始以后,利用攻击源的终端装置发出报警声音。由此,可以提醒与感染计算机共享网络的其它终端装置的使用者注意。报警声音的种类是任意的。并且,也可以在显示器上进行攻击过程中的显示。
为了进行攻击,监视计算机就不用说了,也使被请求的计算机、参与共同攻击的计算机具有攻击程序(病毒对策程序),该攻击程序使该计算机分别执行对作为病毒发送源的计算机施加负荷的处理。该病毒对策程序可以根据需要从监视计算机安装到其它计算机上。
并且,除监视计算机以外的参加攻击的计算机只要具有攻击功能即可。因此,也可以不具有监视功能。
另一方面,也准备感染计算机以外的计算机的防护对策。例如,在接收到作为病毒发送源的计算机网络地址的通知时,使计算机执行拒绝来自作为病毒发送源的计算机的通信的处理。并且,在从网络监视用计算机收到感染计算机的通知时,为了防护而执行拒绝来自作为病毒发送源的计算机的通信的处理。
下面,分别参照附图说明本发明的实施方式。
图1是表示病毒对策系统的具体示例的方框图。计算机5通过网络接口4连接在网络1上。在该计算机5中设有存储装置6。假设该存储装置6感染了病毒7。把该计算机5称为感染计算机。
在网络1上连接着监视计算机10。监视计算机10具有网络接口11和存储装置12。在存储装置12中存储着诱饵服务器13、诱饵文件夹14和诱饵应用程序15。为了作为所实现的功能,监视网络接口11所获取的通信信息,计算机10设有通信信息解析单元16。通信信息解析单元16的输出驱动警报发生单元19。另外,根据通信信息解析单元16的输出,计算机攻击单元17和检测报告发送单元18进行动作。通信信息解析单元16、计算机攻击单元17、检测报告发送单元18和警报发生单元19均是通过计算机10的未图示的CPU执行的、使监视计算机10执行预定处理的计算机程序。这些程序被安装在存储装置12上,在执行时加载到未图示的CPU上。
本发明确定感染病毒7的计算机5,在该计算机5的管理员去除病毒7的期间,使该计算机5产生高负荷,抑制病毒7的活动。为了确定感染病毒7的计算机5,在网络1中构建诱饵服务器13、诱饵文件夹14和诱饵应用程序15。在监视计算机10中虚拟地生成诱饵服务器13等。诱饵文件夹14可以生成于监视计算机10的存储装置12中的任意部位。并且,一体地生成于诱饵服务器13中。
[诱饵服务器等]
诱饵服务器13优选在网络1上进行环境设定以便最先受到病毒7攻击。使安全性的等级为最低,并且,例如将计算机名称选定为显示在网络计算机列表的最上位。并且,用于接受病毒的共享文件夹名使用病毒容易攻击的文件夹名。其也可以选定为显示在网络计算机列表的最上位。另外,计算机名和文件夹名都可以根据病毒性质确定最佳名称。例如,诱饵服务器13由进行与病毒7尝试入侵实际存在的服务器时的响应完全相同的响应的应用程序构成。由于和实际存在的服务器不同,所以对破坏活动没有任何影响。例如,文件夹14由进行与病毒7对实际存在的服务器进行访问时的响应完全相同的响应的应用程序构成。由于和实际存在的文件夹不同,所以对删除文件这种破坏活动没有任何影响。诱饵应用程序15与实际的应用程序不同,所以不会产生错误动作。
[确定感染计算机]
通信信息解析单元16具有以下功能:在检测到病毒入侵时,马上从其通信信息中解析并确定发送源的计算机名。该信息包括谁登录的计算机、该计算机的地址、使用计算机的员工的员工编号等信息。
另外,在发现计算机病毒的情况下,如果无条件地马上攻击感染的计算机,则使使用者不知所措,产生各种弊端。因此,设置警报发生单元19。警报发生单元19例如具有以下功能:使用弹出(pop-up)消息等的通知手段,向感染计算机发送“该计算机感染病毒。请马上切断网络”这种通知开始采取对策的信息。另外,对周围的计算机用户,为了通过网络发出病毒7有可能侵入的警告,例如具有使扬声器2鸣叫或在显示器3上显示报警画面的功能。
图2(a)和图2(b)是表示检测报告的示例说明图。通信信息解析单元16(参照图1)向检测报告发送单元18转发从通信信息中获取的发送源IP地址8。检测报告发送单元18例如使用电子邮件或传真向感染计算机5的管理员发送检测报告。图2(a)是检测到扩散型病毒时的检测报告示例。图2(b)是检测到网络共享型病毒时的检测报告示例。例如,图2(a)的报告表示IP地址为“192.168.10.15”的计算机受到该图所示类型病毒的攻击。
[病毒的入侵和感染计算机的检测]
病毒被取入到网络上的任一计算机中时,以预定的定时开始活动。例如,病毒通过网络访问其它计算机的共享文件夹,改写存储于此的文件或进行破坏。所说病毒入侵指这种访问共享文件夹的行为。不限于病毒文件被实际复制。因此,在病毒入侵的计算机中,在正常状态下,也不能区分是因病毒入侵造成的文件访问还是正常的文件访问,而不能检测病毒。
因此,设置诱饵服务器和诱饵文件夹。通常的应用程序只访问预先确定的服务器或文件夹。而向虚拟作成的诱饵服务器或诱饵文件夹进行访问的是病毒的概率极高。另外,通过确认其访问类型,可以获得是病毒的验证。然后,根据该通信信息查明哪个计算机已感染该病毒。如果不阻止感染计算机中的病毒活动,则该病毒将通过网络对各种计算机带来危害。
[对感染计算机的攻击]
计算机攻击单元17(图1)具有对感染计算机进行预定的攻击动作的功能。该计算机攻击单元17对感染计算机5施加高负荷。为了阻止感染计算机中的病毒活动,有对感染计算机5施加较高的通信负荷的方法,和对感染计算机的CPU施加高负荷的方法。
如果对感染计算机5施加较高的通信负荷,则在连接网络1和感染计算机5之间的网络接口11等的通信路径中,通信量增大,从感染计算机5对网络1的通信的通信速度明显降低。因此,从感染计算机5的内部经由网络1向其它计算机的病毒入侵活动受到抑制。具体地讲,如果是具有100BASE-T左右带宽的网络,可以向感染计算机发送5MB左右的大型数据包。但是,该情况时,CPU自身未施加如此大的负荷。
另一方面,如果对感染计算机5的CPU施加较高的负荷,则在感染计算机5内部想要进行数据破坏活动的病毒的活动速度明显降低。因此,可以防止感染计算机5中的病毒损害扩大。例如,连续发送大量的Ping数据包。由此,CPU成为过负荷,所以阻止计算机内部的病毒活动,可以抑制损害的扩大。具体地讲,向感染计算机5大量地连续发送2字节左右的Ping数据包。感染计算机5的CPU在每次接收到数据包时必须进行返回响应的控制,所以CPU成为过负荷。
因此,可以使用上述一种方法或两种方法并用。当然,也可以利用上述以外的已知的任意方法,对感染计算机施加高负荷。
[多个计算机进行的攻击]
图3是表示利用多个计算机攻击感染计算机5的示例的说明图。在图3的网络1上连接着监视计算机10和感染计算机5、终端装置20、终端装置22、终端装置24。终端装置20通过网络接口21连接网络1。终端装置22通过网络接口23连接网络1。终端装置24通过网络接口25连接网络1。
终端装置20具有计算机攻击单元31。终端装置22具有计算机攻击单元32。终端装置24具有计算机攻击单元33。计算机攻击单元31、计算机攻击单元32、计算机攻击单元33均具有和监视计算机10的计算机攻击单元17相同的功能。
利用1台计算机攻击感染计算机,有时会不充分。该情况下,如图3所示,监视计算机10请求其它计算机例如终端装置20、22、24进行攻击。并且,利用多台计算机10、20、22和24的协作,共同攻击1台计算机5。由此,限制已感染病毒的计算机的功能。另一方面,在此期间通知管理员,获得用于删除病毒的时间。
终端装置20等可以是攻击专用计算机,也可以在普通用户使用的计算机上安装计算机攻击单元31等。监视计算机10可以在网络1中只设置1台,也可以设置多台。
另外,从监视计算机10发送给计算机攻击单元31等的攻击请求中包括感染计算机的IP地址(网络地址)。并且,也可以包括起动计算机攻击单元31等的命令。具有计算机攻击单元的计算机,可以是具有和监视计算机相同功能的计算机,也可以是只具有攻击单元的计算机。
图4是大规模计算机网络的说明图。如图4所示,利用路由器50和路由器51,在相互连接的网络52、网络53和网络54上分别连接多个计算机。连接网络52的计算机61、62中的计算机62是监视计算机。连接网络53的计算机63、64和65中的计算机63是监视计算机。连接网络54的计算机66、67和68中的计算机68是监视计算机。
例如,计算机67是感染计算机,计算机62有时检测到该病毒入侵。此时,即使从计算机62进行攻击,由于路由器50和路由器51成为瓶颈,所以很难有效攻击。因此,计算机62请求与计算机67所属的网络54连接的最近的计算机68攻击计算机67。计算机68利用前面说明的扬声器等发出报警,提醒周围的计算机66等注意,然后开始攻击计算机67。这样,可以进行大规模网络中的监视动作。
[动作流程图]
图5是表示监视计算机的基本动作的流程图。具体地讲,监视计算机10执行程序,实现各种功能。由此,监视计算机10发挥通信信息解析单元16、计算机攻击单元17、检测报告发送单元18和警报发生单元19的作用。
首先,监视计算机10进行使诱饵服务器13、诱饵文件夹14和诱饵应用程序15有效的初期设定(步骤S1)。在该状态下,开始等待接受病毒(步骤S2)。通信信息解析单元16监视网络接口11处理的通信信息。
在检测到病毒入侵时,通信信息解析单元16解析通信信息,获取发送源IP地址8,确定感染计算机(步骤S3、S4、S5)。检测报告发送单元18向管理员发出检测报告(步骤S6)。
警报发生单元19使扬声器2鸣叫报警声音(步骤S7)。并且,在监视计算机10的显示器3上显示正在攻击的动画等。另外,警报发生单元19向感染计算机5发送攻击开始消息(步骤S8)。
计算机攻击单元17开始攻击(步骤S9)。然后,通过任意路由判断是否接收到已完成病毒对策的报告(步骤S10)。在接收到已完成病毒对策的报告时,结束计算机攻击单元17的攻击(步骤S11)。
图6是表示监视计算机的协作动作的流程图。在获得多个计算机的协作进行感染计算机的攻击时,利用前述的监视计算机10的各种功能,进行感染计算机的发现处理、用于协作攻击的请求处理、协作攻击处理。
监视计算机10首先确定感染计算机(步骤S21-步骤S24)。用于确定感染计算机的处理与前述图5所示(步骤S2-步骤S5)处理相同。
在确定感染计算机后,计算机攻击单元17进行网络调查(步骤S25),以探索最近的监视计算机。为了探索最近的监视计算机,从预先准备的监视计算机列表中检索IP地址的一部分和感染计算机相同的监视计算机(步骤S26)。
最近的监视计算机可以是自身,也可以如图4中说明的那样,是通过路由器那样的几个网络成分连接的监视计算机。因此,判断最近的监视计算机是否是自身(步骤S27)。如果不是自身,则确定攻击受托方(步骤S28)。在对应的监视计算机有多个时,可以通过广播向多个监视计算机发送攻击请求。
然后,向对应的监视计算机发送攻击请求(步骤S29)。然后,在攻击受托方执行图5的步骤S6以后的处理。
[感染计算机的处理]
由于感染计算机受到损害的可能性较大,所以马上切断网络是最有效的对策。在完成该对策后,即可结束对感染计算机的攻击。
关于感染计算机,在之后进行杀毒处理,并修复受到损害的部分。并且,进行OS(操作系统)、应用程序等的再安装来进行恢复。为此,如图3所示,在存储装置6中,在显示器上显示包括该旨意的消息的画面40。该画面40一直显示直到在完成必要的对应措施后按钮41被点击为止。
本发明具有降低通过网络扩散的病毒的扩散速度的功能。即,通过对已感染病毒的计算机施加较大的负荷,阻止病毒的扩散。并且,也适用于病毒侵入某计算机的共享文件时仅依靠该动作不能马上确认侵入的情况。即,设定诱饵计算机,以便在病毒活动时,最先接受该病毒的攻击。由此,发现病毒,确认病毒是否正在感染某台计算机,确定对应的攻击对象计算机。即,对于仅单纯地侵入文件夹时难以发现的病毒的检测及排除非常有效。
另外,上述计算机程序可以组合分别独立的程序模块来构成,也可以利用整体上一体化的程序构成。还可以利用具有与通过计算机程序控制的处理全部或部分相同功能的硬件构成。并且,上述计算机程序可以安装在已有的应用程序中使用。用于实现上述本发明的计算机程序,例如可以记录在CD-ROM那样计算机可读取的记录介质中,并安装在任意信息处理装置上使用。并且,也可以通过网络下载到任意计算机的存储器中使用。
Claims (19)
1.一种检测网络中的病毒感染并阻止病毒感染的方法,其特征在于,在监视病毒入侵的计算机上设置可以通过网络访问的诱饵,接受通过网络对所述诱饵进行的访问,来获取通信信息,同时检测病毒的入侵,在病毒侵入该诱饵时,根据对应获取的通信信息,检测作为病毒发送源的计算机,通过网络对作为病毒发送源的计算机进行抑制病毒活动的病毒攻击处理。
2.根据权利要求1所述的阻止病毒感染的方法,其特征在于,所述诱饵是在存储装置中存储的诱饵文件夹、在存储装置中存储的诱饵应用程序、以及在存储装置中虚拟地形成的服务器中的一种或一种以上。
3.根据权利要求1所述的阻止病毒感染的方法,其特征在于,所述病毒攻击是对作为所述病毒发送源的计算机施加高负荷。
4.根据权利要求3所述的阻止病毒感染的方法,其特征在于,施加给作为所述病毒发送源的计算机的高负荷是增大该计算机的通信量。
5.根据权利要求3所述的阻止病毒感染的方法,其特征在于,施加给作为所述病毒发送源的计算机的高负荷是大量请求该计算机的CPU应当进行响应动作的处理。
6.一种检测网络中的病毒感染并阻止病毒感染的系统,其特征在于,具有:
可以通过网络访问的诱饵单元;
通信信息解析单元,其检测病毒向所述诱饵单元的入侵,并且在检测到病毒入侵时,根据在病毒入侵时获取的通信信息检测作为该病毒的发送源的计算机;
计算机攻击单元,其通过网络对作为病毒发送源的计算机进行抑制病毒活动的病毒攻击处理。
7.根据权利要求6所述的阻止病毒感染的系统,其特征在于,所述诱饵是在存储装置中存储的诱饵文件夹、在存储装置中存储的诱饵应用程序、以及在存储装置中虚拟地形成的服务器中的一种或一种以上。
8.根据权利要求6所述的阻止病毒感染的系统,其特征在于,所述计算机攻击单元对作为所述病毒发送源的计算机施加高负荷。
9.根据权利要求8所述的阻止病毒感染的系统,其特征在于,所述计算机攻击单元增大作为所述病毒发送源的计算机的通信量,从而对该计算机施加高负荷。
10.根据权利要求8所述的阻止病毒感染的系统,其特征在于,所述计算机攻击单元大量请求作为所述病毒发送源的计算机的CPU应当进行响应动作的处理,从而对该计算机施加高负荷。
11.根据权利要求8、9和10中任意一项所述的阻止病毒感染的系统,其特征在于,
还具有向作为病毒发送源的计算机的管理员发送检测报告的单元,
所述计算机攻击单元持续进行对该计算机的攻击,直到完成针对该病毒的对策为止。
12.根据权利要求6所述的阻止病毒感染的系统,其特征在于,所述诱饵单元是诱饵文件夹,其由连接在网络上的计算机的存储装置上虚拟地形成的诱饵服务器中设置的应用程序构成。
13.根据权利要求6所述的阻止病毒感染的系统,其特征在于,所述诱饵单元是诱饵应用程序,其由连接在网络上的计算机的存储装置上虚拟地形成的诱饵服务器中设置的应用程序构成。
14.根据权利要求8、9和10中任意一项所述的阻止病毒感染的系统,其特征在于,还具有向感染后的计算机发送用于通知施加高负荷的攻击开始的消息的单元。
15.根据权利要求8、9和10中任意一项所述的阻止病毒感染的系统,其特征在于,还具有下述单元,其在攻击开始时或攻击开始以后,在攻击源终端装置中产生警报声音。
16.根据权利要求8、9和10中任意一项所述的阻止病毒感染的系统,其特征在于,还具有下述单元,其向连接在网络上的其它计算机通知作为病毒发送源的计算机的网络地址,并且请求请求对作为病毒发送源的计算机进行病毒攻击处理。
17.一种检测网络中的病毒感染并阻止病毒感染的系统,其特征在于,具有:
接受对作为病毒发送源的计算机进行病毒攻击处理的请求请求的单元;
计算机攻击单元,其根据所接受的请求请求,通过网络对作为所述病毒发送源的计算机进行抑制病毒活动的病毒攻击处理。
18.一种使计算机检测网络中的病毒感染并阻止病毒感染的程序,其特征在于,使计算机构建成:
通信信息解析单元,其检测病毒对预先设置的可以通过网络访问的诱饵单元的入侵,并且在检测到病毒入侵时,根据在病毒入侵时获取的通信信息检测作为该病毒的发送源的计算机;
计算机攻击单元,其通过网络对病毒发送源计算机进行抑制病毒活动的病毒攻击处理。
19.一种使计算机检测网络中的病毒感染并阻止病毒感染的程序,其特征在于,
在收到作为病毒发送源的计算机网络地址的通知时,使计算机执行拒绝来自作为病毒发送源的计算机的通信的处理。
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2003072371 | 2003-03-17 | ||
| JP072371/2003 | 2003-03-17 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN1761939A true CN1761939A (zh) | 2006-04-19 |
Family
ID=33027717
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN200480007290.7A Pending CN1761939A (zh) | 2003-03-17 | 2004-03-17 | 阻止病毒感染的方法及系统 |
Country Status (4)
| Country | Link |
|---|---|
| US (1) | US20060288414A1 (zh) |
| JP (1) | JP4196989B2 (zh) |
| CN (1) | CN1761939A (zh) |
| WO (1) | WO2004084063A1 (zh) |
Cited By (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101316171B (zh) * | 2008-06-30 | 2010-12-08 | 成都市华为赛门铁克科技有限公司 | 病毒防范方法和装置 |
| CN102651061A (zh) * | 2011-04-19 | 2012-08-29 | 卡巴斯基实验室封闭式股份公司 | 用于检测复杂恶意软件的系统和方法 |
| CN103679015A (zh) * | 2012-09-04 | 2014-03-26 | 江苏中科慧创信息安全技术有限公司 | 一种保护内核系统的攻击控制方法 |
| CN104484605A (zh) * | 2014-12-10 | 2015-04-01 | 央视国际网络无锡有限公司 | 云存储环境病毒源检测方法 |
| CN106598788A (zh) * | 2015-10-20 | 2017-04-26 | 鸿富锦精密电子(天津)有限公司 | 服务器管理装置 |
| CN109145599A (zh) * | 2017-06-27 | 2019-01-04 | 关隆股份有限公司 | 恶意病毒的防护方法 |
| CN112560040A (zh) * | 2020-12-25 | 2021-03-26 | 安芯网盾(北京)科技有限公司 | 一种计算机感染型病毒的通用检测的方法及装置 |
Families Citing this family (32)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9154511B1 (en) | 2004-07-13 | 2015-10-06 | Dell Software Inc. | Time zero detection of infectious messages |
| US7343624B1 (en) * | 2004-07-13 | 2008-03-11 | Sonicwall, Inc. | Managing infectious messages as identified by an attachment |
| US8131804B2 (en) * | 2004-11-19 | 2012-03-06 | J Michael Greata | Method and apparatus for immunizing data in computer systems from corruption |
| US20060112430A1 (en) * | 2004-11-19 | 2006-05-25 | Deisenroth Jerrold M | Method and apparatus for immunizing data in computer systems from corruption |
| US7571483B1 (en) * | 2005-08-25 | 2009-08-04 | Lockheed Martin Corporation | System and method for reducing the vulnerability of a computer network to virus threats |
| EP1999925B1 (en) * | 2006-03-27 | 2011-07-06 | Telecom Italia S.p.A. | A method and system for identifying malicious messages in mobile communication networks, related network and computer program product therefor |
| US8429746B2 (en) * | 2006-05-22 | 2013-04-23 | Neuraliq, Inc. | Decoy network technology with automatic signature generation for intrusion detection and intrusion prevention systems |
| US20140373144A9 (en) * | 2006-05-22 | 2014-12-18 | Alen Capalik | System and method for analyzing unauthorized intrusion into a computer network |
| US8191140B2 (en) * | 2006-05-31 | 2012-05-29 | The Invention Science Fund I, Llc | Indicating a security breach of a protected set of files |
| US8640247B2 (en) * | 2006-05-31 | 2014-01-28 | The Invention Science Fund I, Llc | Receiving an indication of a security breach of a protected set of files |
| US8209755B2 (en) * | 2006-05-31 | 2012-06-26 | The Invention Science Fund I, Llc | Signaling a security breach of a protected set of files |
| JP2007334536A (ja) * | 2006-06-14 | 2007-12-27 | Securebrain Corp | マルウェアの挙動解析システム |
| KR100789722B1 (ko) * | 2006-09-26 | 2008-01-02 | 한국정보보호진흥원 | 웹 기술을 사용하여 전파되는 악성코드 차단시스템 및 방법 |
| US20080115215A1 (en) * | 2006-10-31 | 2008-05-15 | Jeffrey Scott Bardsley | Methods, systems, and computer program products for automatically identifying and validating the source of a malware infection of a computer system |
| US8898276B1 (en) * | 2007-01-11 | 2014-11-25 | Crimson Corporation | Systems and methods for monitoring network ports to redirect computing devices to a protected network |
| US8255997B2 (en) | 2008-09-29 | 2012-08-28 | At&T Intellectual Property I, L.P. | Contextual alert of an invasion of a computer system |
| US8356001B2 (en) * | 2009-05-19 | 2013-01-15 | Xybersecure, Inc. | Systems and methods for application-level security |
| US8650215B2 (en) * | 2010-05-04 | 2014-02-11 | Red Hat, Inc. | Decoy application servers |
| US9106697B2 (en) | 2010-06-24 | 2015-08-11 | NeurallQ, Inc. | System and method for identifying unauthorized activities on a computer system using a data structure model |
| US8789189B2 (en) | 2010-06-24 | 2014-07-22 | NeurallQ, Inc. | System and method for sampling forensic data of unauthorized activities using executability states |
| US8719938B2 (en) * | 2012-04-09 | 2014-05-06 | Landis+Gyr Innovations, Inc. | Detecting network intrusion using a decoy cryptographic key |
| JP2016033690A (ja) * | 2012-12-26 | 2016-03-10 | 三菱電機株式会社 | 不正侵入検知装置、不正侵入検知方法、不正侵入検知プログラム及び記録媒体 |
| US9152808B1 (en) * | 2013-03-25 | 2015-10-06 | Amazon Technologies, Inc. | Adapting decoy data present in a network |
| US9794275B1 (en) * | 2013-06-28 | 2017-10-17 | Symantec Corporation | Lightweight replicas for securing cloud-based services |
| JP2016115072A (ja) * | 2014-12-12 | 2016-06-23 | Necフィールディング株式会社 | 被疑ファイル収集装置、マルウェア検知システム、および、マルウェア検知方法 |
| WO2016112219A1 (en) | 2015-01-07 | 2016-07-14 | CounterTack, Inc. | System and method for monitoring a computer system using machine interpretable code |
| GB2544309B (en) * | 2015-11-12 | 2020-01-22 | F Secure Corp | Advanced local-network threat response |
| JP2019096223A (ja) * | 2017-11-27 | 2019-06-20 | 東芝三菱電機産業システム株式会社 | 制御システム用マルウェア対策システムおよび制御システム用マルウェアチェックコンピュータ |
| JP2019198978A (ja) * | 2018-05-14 | 2019-11-21 | 東芝テック株式会社 | プリンタ |
| JP7135870B2 (ja) * | 2019-01-07 | 2022-09-13 | 富士通株式会社 | 検知装置、検知方法、および、検知プログラム |
| JP7120030B2 (ja) * | 2019-01-09 | 2022-08-17 | 富士通株式会社 | 検知装置、検知方法、および、検知プログラム |
| CN111079137A (zh) * | 2019-11-19 | 2020-04-28 | 泰康保险集团股份有限公司 | 一种防病毒处理方法和装置 |
Family Cites Families (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO1992021087A1 (en) * | 1991-05-13 | 1992-11-26 | Hill, William, Stanley | Method and apparatus for preventing 'disease' damage in computer systems |
| US5440723A (en) * | 1993-01-19 | 1995-08-08 | International Business Machines Corporation | Automatic immune system for computers and computer networks |
| US7093239B1 (en) * | 2000-07-14 | 2006-08-15 | Internet Security Systems, Inc. | Computer immune system and method for detecting unwanted code in a computer system |
| US20020108778A1 (en) * | 2000-12-07 | 2002-08-15 | Intel Corporation | Apparatus for shielding transmission line effects on a printed circuit board |
| JP3731111B2 (ja) * | 2001-02-23 | 2006-01-05 | 三菱電機株式会社 | 侵入検出装置およびシステムならびにルータ |
| US7603709B2 (en) * | 2001-05-03 | 2009-10-13 | Computer Associates Think, Inc. | Method and apparatus for predicting and preventing attacks in communications networks |
| US8438241B2 (en) * | 2001-08-14 | 2013-05-07 | Cisco Technology, Inc. | Detecting and protecting against worm traffic on a network |
-
2004
- 2004-03-17 JP JP2005503704A patent/JP4196989B2/ja not_active Expired - Fee Related
- 2004-03-17 CN CN200480007290.7A patent/CN1761939A/zh active Pending
- 2004-03-17 US US10/549,892 patent/US20060288414A1/en not_active Abandoned
- 2004-03-17 WO PCT/JP2004/003520 patent/WO2004084063A1/ja active Application Filing
Cited By (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101316171B (zh) * | 2008-06-30 | 2010-12-08 | 成都市华为赛门铁克科技有限公司 | 病毒防范方法和装置 |
| CN102651061A (zh) * | 2011-04-19 | 2012-08-29 | 卡巴斯基实验室封闭式股份公司 | 用于检测复杂恶意软件的系统和方法 |
| CN102651061B (zh) * | 2011-04-19 | 2014-12-03 | 卡巴斯基实验室封闭式股份公司 | 用于检测复杂恶意软件的系统和方法 |
| CN103679015A (zh) * | 2012-09-04 | 2014-03-26 | 江苏中科慧创信息安全技术有限公司 | 一种保护内核系统的攻击控制方法 |
| CN104484605A (zh) * | 2014-12-10 | 2015-04-01 | 央视国际网络无锡有限公司 | 云存储环境病毒源检测方法 |
| CN106598788A (zh) * | 2015-10-20 | 2017-04-26 | 鸿富锦精密电子(天津)有限公司 | 服务器管理装置 |
| CN106598788B (zh) * | 2015-10-20 | 2020-08-28 | 鸿富锦精密电子(天津)有限公司 | 服务器管理装置 |
| CN109145599A (zh) * | 2017-06-27 | 2019-01-04 | 关隆股份有限公司 | 恶意病毒的防护方法 |
| CN109145599B (zh) * | 2017-06-27 | 2022-01-07 | 关隆股份有限公司 | 恶意病毒的防护方法 |
| CN112560040A (zh) * | 2020-12-25 | 2021-03-26 | 安芯网盾(北京)科技有限公司 | 一种计算机感染型病毒的通用检测的方法及装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| JP4196989B2 (ja) | 2008-12-17 |
| WO2004084063A1 (ja) | 2004-09-30 |
| JPWO2004084063A1 (ja) | 2006-06-22 |
| US20060288414A1 (en) | 2006-12-21 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN1761939A (zh) | 阻止病毒感染的方法及系统 | |
| JP6522707B2 (ja) | マルウェアに対処するための方法及び装置 | |
| US8701189B2 (en) | Method of and system for computer system denial-of-service protection | |
| EP3111330B1 (en) | System and method for verifying and detecting malware | |
| US8566941B2 (en) | Method and system for cloaked observation and remediation of software attacks | |
| US8291498B1 (en) | Computer virus detection and response in a wide area network | |
| RU2377639C2 (ru) | Программный интерфейс, связанный с безопасностью | |
| Ikinci et al. | Monkey-spider: Detecting malicious websites with low-interaction honeyclients | |
| US20060230456A1 (en) | Methods and apparatus to maintain telecommunication system integrity | |
| CN101036369A (zh) | 分组的脱机分析 | |
| US20050138402A1 (en) | Methods and apparatus for hierarchical system validation | |
| CN1771708A (zh) | 检测网络攻击 | |
| JP2004523820A5 (zh) | ||
| CN1655518A (zh) | 网络安全系统和方法 | |
| CN1737722A (zh) | 一种检测和防御计算机恶意程序的系统和方法 | |
| CN101064597A (zh) | 网络安全设备以及使用该网络安全设备处理包数据的方法 | |
| JP2014086821A (ja) | 不正コネクション検出方法、ネットワーク監視装置及びプログラム | |
| US8234503B2 (en) | Method and systems for computer security | |
| US20070083913A1 (en) | Propagation of malicious code through an information technology network | |
| EP3246842B1 (en) | System and method of distributing files between virtual machines forming a distributed system for performing antivirus scans | |
| KR100543664B1 (ko) | 네트워크 보호 장치 및 이의 운영 방법 | |
| Carbone et al. | A mechanism for automatic digital evidence collection on high-interaction honeypots | |
| CN1921474A (zh) | 用于在计算机系统中管理服务器处理的方法和设备 | |
| CN101026500A (zh) | 一种减少网络入侵检测系统漏报的方法 | |
| US20070083914A1 (en) | Propagation of malicious code through an information technology network |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C12 | Rejection of a patent application after its publication | ||
| RJ01 | Rejection of invention patent application after publication |