專利名稱:一種蠕蟲檢測方法及裝置的制作方法
技術領域:
本發(fā)明涉及網絡安全技術領域����,尤其涉及一種蠕蟲檢測方法及裝置。
背景技術:
互聯(lián)網的應用給人們的日常生活和工作帶來了極大的方便��,但隨著網絡規(guī)模的不斷擴大�����,網絡復雜度的不斷增加�,網絡所產生的漏洞也越來越多,互聯(lián)網中的安全問題及其帶來的損失也越來越大��。在互聯(lián)網安全問題造成的損失中��,計算機惡意軟件造成的損失占用最大的比重�����。計算機惡意軟件主要包括計算機病毒�、蠕蟲、木馬���、后門��、邏輯炸彈等����。其中,計算機病毒是一段能夠使自己添加到其他可執(zhí)行程序上的代碼���,其本身不 能獨立運行�,而需要由其宿主程序來激活它運行�����。蠕蟲則是一種無需用戶干預能夠獨立運行的程序��,其通過不停的獲取網絡中存在漏洞的終端上的部分或者全部控制權限來進行傳播��,蠕蟲的攻擊流程具體如圖I所示�����。圖I為現(xiàn)有技術中蠕蟲攻擊的過程����,具體包括以下步驟SlOl :感染了蠕蟲的終端探測網絡中的攻擊目標。S102 :對探測到的攻擊目標進行攻擊,獲取攻擊目標的權限��。S103 :蠕蟲將自身復制到攻擊目標中�����,并返回步驟SlOl��。由于蠕蟲具有自我復制功能��,因此被感染的終端又會重復上述步驟SlOf S103�����,以繼續(xù)傳播蠕蟲����??梢姡c一般的計算機病毒相比�,蠕蟲的傳播速度更快,影響的范圍更廣����。據計算機緊急響應小組(CERT)的統(tǒng)計,僅在2011年10月16 22日這一周的時間����,境內感染飛客(Conficker)螺蟲的終端就高達160. 2萬臺�,一周之內被篡改的網站高達508個����。因此,如何對網絡中的蠕蟲進行有效的檢測和防御成為一個亟待解決的問題。在現(xiàn)有技術中����,對蠕蟲進行檢測的一種方法為基于蜜罐(Honeypot)技術對蠕蟲進行檢測。具體為將Honeypot命名為與終端的某個系統(tǒng)文件相似的名稱�����,并通過Honeypot提供有漏洞的服務�,以誘騙網絡中的螺蟲對Honeypot進行攻擊,當Honeypot檢測到蠕蟲的攻擊時���,提取蠕蟲的特征并添加到特征庫中���,用以后續(xù)對具有該特征的數據包進行防御。另一種蠕蟲檢測方法為基于內容的檢測方法�����。具體的,將接收到的數據包分為正常數據包和可疑數據包���,將可疑數據包進行會話重組�����,按照一定規(guī)則將重組后的會話中的數據劃分為若干個字符串,統(tǒng)計各個字符串出現(xiàn)的頻率��,將頻率大于設定閾值的字符串作為蠕蟲的特征添加到特征庫中�,用以后續(xù)對具有該特征的數據包進行防御。在通過基于內容的檢測方法進行蠕蟲檢測時�,也可以不對接收到的數據包區(qū)分正常數據包和可疑數據包,而是將每個數據包中的數據都進行字符串的劃分����,并統(tǒng)計各個字符串出現(xiàn)的頻率,根據統(tǒng)計的頻率進后續(xù)步驟����。可見��,現(xiàn)有技術中的蠕蟲檢測方法都是終端根據接收到的數據包檢測自身是否受到了蠕蟲的攻擊的被動檢測方法,即使檢測出自身受到了攻擊而進行防御���,最多也只能保護該終端自身不被蠕蟲感染����,無法保證網絡中的其他設備不被蠕蟲感染�����,從而無法有效的抑制蠕蟲的傳播
發(fā)明內容
本發(fā)明實施例提供一種蠕蟲檢測方法及裝置�����,用以解決現(xiàn)有技術中無法有效的抑制蠕蟲的傳播的問題�。本發(fā)明實施例提供的一種蠕蟲檢測方法,包括終端確定待發(fā)送的數據包的目的地址����,將所述待發(fā)送的數據包添加到所述目的地址對應的等待隊列中;并檢測在設定周期內添加到所述等待隊列中的數據包的數量是否超過設定數量��;以及若是�����,則確定自身感染了蠕蟲,斷開與所述目的地址對應的設備的連接��。本發(fā)明實施例提供的一種蠕蟲檢測裝置����,包括攔截模塊,用于確定待發(fā)送的數據包的目的地址����,將所述待發(fā)送的數據包添加到所述目的地址對應的等待隊列中��;檢測模塊�,用于檢測在設定周期內添加到所述等待隊列中的數據包的數量是否超過設定數量;控制模塊��,用于當所述檢測模塊檢測到在設定周期內添加到所述等待隊列中的數據包的數量超過設定數量時�����,確定感染了蠕蟲�,斷開與所述目的地址對應的設備的連接。本發(fā)明實施例提供一種蠕蟲檢測方法及裝置�,該方法終端將待發(fā)送的數據包添加到該待發(fā)送的數據包的目的地址對應的等待隊列中,檢測在設定周期內添加到等待隊列中的數據包的數量是否超過設定數量����,若是�,則確定自身感染了蠕蟲��,斷開與該目的地址對應的設備的連接����。通過上述方法,終端可以主動的檢測出自身是否正在對網絡中的其他設備進行攻擊�����,當檢測出自身正在攻擊網絡中的其他設備時��,斷開自身與其他設備的連接���,實現(xiàn)自我隔離����,從而可以有效的抑制蠕蟲的傳播���。
圖I為現(xiàn)有技術中蠕蟲攻擊的過程����;圖2為本發(fā)明實施例提供的蠕蟲檢測過程;圖3為本發(fā)明實施例提供的另一種蠕蟲檢測過程�����;圖4為本發(fā)明實施例提供的蠕蟲檢測裝置結構示意圖�����。
具體實施例方式由于蠕蟲是通過不停的獲取網絡中存在漏洞的終端上的部分或者全部控制權限來進行傳播的����,因此蠕蟲在開始傳播時必然是由網絡中的某一臺或某幾臺終端開始向其他設備傳播。本發(fā)明實施例為了有效的抑制蠕蟲的傳播��,摒棄了現(xiàn)有技術中被動檢測終端自身是否受到了蠕蟲攻擊的方法���,而是主動的檢測終端自身是否正在攻擊網絡中的其他設備,若檢測到正在攻擊其他設備�����,則該終端斷開自身與其他設備的連接�����,實現(xiàn)自我隔離,以保證該終端自身感染的蠕蟲不能再通過網絡攻擊其他設備�����,從而抑制蠕蟲在網絡中的傳播�����。下面結合說明書附圖���,對本發(fā)明實施例進行詳細描述�。圖2為本發(fā)明實施例提供的蠕蟲檢測過程�,具體包括以下步驟S201 :終端確定待發(fā)送的數據包的目的地址,將該待發(fā)送的數據包添加到該目的地址對應的等待隊列中����。在本發(fā)明實施例中,終端通過網絡與其他設備連接����,終端針對與自身連接的其他設備,建立與該其他設備的地址對應的等待隊列�。當終端要向該其他設備發(fā)送數據包時,待發(fā)送的數據包的目的地址即為該其他設備的地址����,因此終端先將該待發(fā)送的數據包添加到該目的地址對應的等待隊列中���,也即先將該待發(fā)送的數據包添加到建立的該其他設備對應的等待隊列中。 S202:檢測在設定周期內添加到該等待隊列中的數據包的數量是否超過設定數量����,若是,執(zhí)行步驟S204����,否則執(zhí)行步驟S203。由于螺蟲在進行攻擊行為時,一般會在短時間內向攻擊目標發(fā)送大量的螺蟲攻擊數據包�,用于以掃描形式對攻擊目標進行探測,因此�,在本發(fā)明實施例中,終端可以從與該目的地址對應的設備建立連接開始���,在每個設定周期的結束時刻,檢測該設定周期內添加到該等待隊列中的數據包的數量是否超過設定數量�����,若是�����,則說明該終端感染了蠕蟲,并且該終端感染的蠕蟲正在對該目的地址對應的設備進行攻擊�。其中,該設定周期和設定數量可以根據需要進行設定���。例如����,該設定周期可以設定為I秒�����,將終端與該目的地址對應的設備建立連接的時刻作為第0秒��,則在第I秒到來時�,終端檢測從第0秒到第I秒這I秒的周期內添加到該等待隊列中的數據包的數量是否超過設定數量,在第2秒到來時�����,檢測從第I秒到第2秒這I秒的周期內添加到該等待隊列中的數據包的數量是否超過設定數量�����。S203:檢測在該設定周期內添加到該等待隊列的數據包中是否存在蠕蟲攻擊數據包,若存在����,執(zhí)行步驟S204,否則執(zhí)行步驟S205����。如果在步驟S202中未檢測到在該設定周期內添加到該等待隊列中的數據包的數量超過設定數量,則終端可能并未感染蠕蟲���,此時可以將在該設定周期內添加到該等待隊列中的數據包直接發(fā)送出去�����。但是��,考慮到在實際應用中�,感染了蠕蟲的終端在對其他設備進行攻擊時�����,也可能并不是在短時間內向攻擊目標發(fā)送大量的以掃描形式進行探測的蠕蟲攻擊數據包�,而是只發(fā)送少量的蠕蟲攻擊數據包���,如果直接將在該設定周期內添加到該等待隊列中的數據包發(fā)送出去���,勢必會導致數據包的接收方�,也即該目的地址對應的設備受到蠕蟲的攻擊��,進而感染蠕蟲��。因此�����,為了進一步提高蠕蟲檢測的準確性����,在本發(fā)明實施例中,當在步驟S202中未檢測到在該設定周期內添加到該等待隊列中的數據包的數量超過設定數量時����,終端還要檢測在該設定周期內添加到該等待隊列的數據包中是否存在蠕蟲攻擊數據包。其中��,終端可以按照設定的時間間隔檢測在該設定周期內添加到該等待隊列的數據包中是否存在蠕蟲攻擊數據包���,如果檢測到存在蠕蟲攻擊數據包���,則確定自身感染了蠕蟲�����。S204 :確定自身感染了蠕蟲����,斷開與該目的地址對應的設備的連接���。
當終端檢測到在該設定周期內添加到該等待隊列中的數據包的數量超過設定數量時�,或者���,當終端未檢測到在該設定周期內添加到該等待隊列中的數據包的數量超過設定數量���,但檢測到在該設定周期內添加到該等待隊列的數據包中存在蠕蟲攻擊數據包時,確定自身感染了蠕蟲��,并且自身也正在對該目的地址對應的設備進行攻擊行為�,因此斷開與該目的地址對應的設備的連接,以實現(xiàn)自我隔離�����,防止自身感染的蠕蟲通過網絡進行傳播�����。當然�����,當終端確定自身感染了蠕蟲時����,為了進一步提高網絡的安全性,除了斷開與該目的地址對應的設備的連接之外���,還要刪除該等待隊列中的所有數據包�����,并查殺感染的蠕蟲��,在完成蠕蟲的查殺后�����,恢復與該目的地址對應的設備的連接����,以進行正常的信息交互。S205 :發(fā)送在該設定周期內添加到該等待隊列中的數據包�。 當終端未檢測到在該設定周期內添加到該等待隊列中的數據包的數量超過設定數量,并且也未檢測到在該設定周期內添加到該等待隊列的數據包中存在蠕蟲攻擊數據包時�,則確定自身在該設定周期內未對該目的地址對應的設備進行攻擊行為,因此發(fā)送在該設定周期內添加到該等待隊列中的數據包�。在上述過程中,終端要向其他設備發(fā)送數據包時��,先將待發(fā)送的數據包添加到相應的等待隊列中�����,當檢測到在設定周期內添加到該等待隊列中的數據包的數量超過設定數量時���,斷開與相應設備的連接�。通過上述方法��,當終端感染了蠕蟲����,并正在對其他設備進行攻擊時����,終端可以檢測到自身對其他設備的攻擊行為����,從而斷開與其他設備的連接,可以有效的抑制自身感染的蠕蟲通過網絡進行傳播�。例如�,網絡中的存在二個終2而分別為終》而A、終2而B�、終2而C。終2而A要向終2而B發(fā)送數據包時����,該待發(fā)送的數據包的目的地址即為終端B的地址,終端A將該待發(fā)送的數據包添加到該目的地址對應的等待隊列中�����,也即終端B對應的等待隊列中����。假設此時終端A檢測到當前設定周期內添加到終端B對應的等待隊列中的數據包的數量超過了設定數量,則終端A確定自身感染了蠕蟲���,并確定自身正在對終端B進行攻擊�,因此終端A斷開與終端B的連接,刪除終端B對應的等待隊列中的所有數據包���,并查殺自身感染的蠕蟲����,在完成蠕蟲的查殺后����,恢復與終端B的連接?����;蛘?����,終端A未檢測到當前設定周期內添加到終端B對應的等待隊列中的數據包的數量超過設定數量�����,但是檢測到當前設定周期內添加到終端B對應的等待隊列的數據包中存在蠕蟲攻擊數據包����,則終端A確定自身感染了蠕蟲���,并確定自身正在對終端B進行攻擊,因此終端A斷開與終端B的連接����,刪除終端B對應的等待隊列中的所有數據包,并查殺自身感染的蠕蟲����,在完成蠕蟲的查殺后�����,恢復與終端B的連接����。當然,當終端確定自身感染了蠕蟲時��,也可以斷開與網絡中的所有設備的連接���,并在完成蠕蟲的查殺后恢復與所有設備的連接�����。也即����,終端A也可以同時斷開與終端B和終端C的連接,并在完成螺蟲的查殺后恢復與終端B和終端C的連接�����。若終端A既未檢測到當前設定周期內添加到終端B對應的等待隊列中的數據包的數量超過設定數量�,也未檢測到當前設定周期內添加到終端B對應的等待隊列的數據包中存在蠕蟲攻擊數據包,則將當前設定周期內添加到終端B對應的等待隊列中的數據包發(fā)送給終端B���。
在采用如圖2所示的方法進行蠕蟲檢測時�,由于終端每次要發(fā)送數據包時�����,都需要先將待發(fā)送的數據包添加到相應的等待隊列中����,在檢測相應周期內添加到等待隊列的數據包中不存在蠕蟲攻擊數據包時才將數據包發(fā)送出去,因此勢必會降低發(fā)送數據包的效率。因此����,本發(fā)明實施例中為了提高數據包的發(fā)送效率,在圖2所示的步驟S201中�,終端將待發(fā)送的數據包添加到該目的地址對應的等待隊列中之前,還要確定該待發(fā)送的數據包的目的地址不在保存的已訪問地址表中��。也即�����,若該待發(fā)送的數據包的目的地址不在保存的已訪問地址表中���,則將該待發(fā)送的數據包添加到該目的地址對應的等待隊列中�����,若該待發(fā)送的數據包的目的地址在保存的已訪問地址表中,則直接發(fā)送該待發(fā)送的數據包�。并且,若待發(fā)送的數據包的目的地址不在保存的已訪問地址表中����,則將該待發(fā)送的數據包添加到該目的地址對應的等待隊列中之后,如果后續(xù)連續(xù)若干次既未檢測到設定周期內添加到該等待隊列中的數據包的數量超過設定數量,也未檢測到設定周期內添加到該等待隊列的數據包中存在蠕蟲攻擊數據包���,則還要將該目的地址添加到已訪問地址表中���,如圖3所示。 圖3為本發(fā)明實施例提供的另一種蠕蟲檢測過程���,具體包括以下步驟S301 :終端確定待發(fā)送的數據包的目的地址�。S302 :判斷確定的目的地址是否在保存的已訪問地址表中����,若是,則執(zhí)行步驟S309�����,否則執(zhí)行步驟S303���。S303 :將該待發(fā)送的數據包添加到該目的地址對應的等待隊列中����。S304:檢測在設定周期內添加到該等待隊列中的數據包的數量是否超過設定數量����,若是���,則執(zhí)行步驟S306,否則執(zhí)行步驟S305�����。S305:檢測在該設定周期內添加到該等待隊列的數據包中是否存在蠕蟲攻擊數據包���,若是�����,執(zhí)行步驟S306����,否則執(zhí)行步驟S307�。S306 :終端確定自身感染了蠕蟲,斷開與該目的地址對應的設備的連接����。當然��,為了進一步提高網絡的安全性,終端除了斷開與該目的地址對應的設備的連接之外���,還要刪除該等待隊列中的所有數據包�����,并查殺感染的蠕蟲���,在完成蠕蟲的查殺后,恢復與該目的地址對應的設備的連接��,以進行正常的信息交互����。并且,終端在確定自身感染了蠕蟲時�,也可以斷開與網絡中所有設備的連接,在完成蠕蟲的查殺后����,再恢復與網絡中所有設備的連接。S307 :發(fā)送在該設定周期內添加到該等待隊列中的數據包�����。S308:當連續(xù)發(fā)送了設定次數的在設定周期內添加到所述等待隊列中的數據包時,將該目的地址添加到保存的已訪問地址表中���。在本發(fā)明實施例中���,當既未檢測到設定周期內添加到該等待隊列中的數據包的數量超過設定數量,也未檢測到設定周期內添加到該等待隊列的數據包中存在蠕蟲攻擊數據包的情況連續(xù)出現(xiàn)了設定次數時��,也即�����,當連續(xù)執(zhí)行步驟S307的次數達到設定次數時����,則確定終端自身未感染蠕蟲,該目的地址對應的設備不會由于與該終端的連接而感染蠕蟲��,因此終端將該目的地址添加到保存的已訪問地址表中��,后續(xù)再向該目的地址對應的設備發(fā)送數據包時���,直接發(fā)送即可���。其中,該設定次數可以根據需要進行設定��,例如可設定為I次�,也可設定為10次。S309 :發(fā)送該待發(fā)送的數據包���。
在圖3所示的過程中�����,終端要向其他設備發(fā)送數據包時���,如果待發(fā)送的數據包的目的地址在已訪問地址表中,則直接發(fā)送該待發(fā)送的數據包�,如果不在已訪問地址表中,則將該待發(fā)送的數據包添加到該目的地址對應的等待隊列中����,并進行后續(xù)處理,提高了發(fā)送數據的安全性���。需要說明的是�,圖3所示的蠕蟲檢測過程只適用于對通過網絡傳播的蠕蟲進行檢測���,對于通過如U盤等可移動存儲設備感染的蠕蟲則不適用��。例如����,網絡中存在終端A,現(xiàn)新加入一個終端B�����,由于終端B是新加入網絡的���,因此終端A保存的已訪問地址表中不包括終端B的地址�,并且終端B保存的已訪問地址表中也不包括終端A的地址���。當終端A要向終端B發(fā)送數據包時�����,確定待發(fā)送的數據包的地址不在已訪問地址表中�����,因此將該待發(fā)送的數據包添加到終端B對應的等待隊列中���,并進行后續(xù) 步驟�。相應的�,當終端B要向終端A發(fā)送數據包時���,也確定待發(fā)送的數據包的地址不在已訪問地址表中�,因此將該待發(fā)送的數據包添加到終端A對應的等待隊列中���,并進行后續(xù)步驟��。如果后續(xù)步驟中終端A既未檢測到設定周期內添加到終端B對應的等待隊列中的數據包的數量超過設定數量�,也未檢測到該設定周期內添加到終端B對應的等待隊列的數據包中存在蠕蟲攻擊數據包的情況連續(xù)出現(xiàn)了設定次數��,則終端A確定自身未感染蠕蟲����,因此將終端B的地址添加到已訪問地址表中,后續(xù)終端A再向終端B發(fā)送數據包��,則直接發(fā)送���。相應的��,如果終端B既未檢測到設定周期內添加到終端A對應的等待隊列中的數據包的數量超過設定數量����,也未檢測到該設定周期內添加到終端A對應的等待隊列的數據包中存在蠕蟲攻擊數據包的情況也連續(xù)出現(xiàn)了設定次數,則終端B確定自身未感染蠕蟲�����,因此將終端A的地址添加到已訪問地址表中����,后續(xù)終端B再向終端A發(fā)送數據包,則直接發(fā)送��。至此��,說明終端A和終端B均未感染蠕蟲�����,終端A和終端B也未通過網絡連接攻擊對方����,因此終端A和終端B不會由于二者之間的網絡連接而相互感染蠕蟲。如果后續(xù)網絡中再加入一個終端C,則仍采用類似的方法進行蠕蟲檢測�。但如果終端A將終端B的地址添加到已訪問地址表之后,通過U盤等可移動存儲設備使終端A感染了蠕蟲�,圖3所示的方法將不能抑制終端A感染的蠕蟲向終端B的傳播,需要通過圖2所示的方法才能抑制蠕蟲的傳播��。由于蠕蟲大多是通過如圖I所示的流程通過網絡進行傳播的��,因此考慮兼顧發(fā)送數據包的效率����,可以采用如圖3所示的蠕蟲檢測方法進行蠕蟲檢測����,如果考慮盡量提高網絡的安全性,則可以采用如圖2所示的蠕蟲檢測方法進行蠕蟲檢測�,具體可以根據實際需要而定。在本發(fā)明實施例中����,在圖2所示的步驟S203和圖3所示的步驟S305中,終端檢測在設定周期內添加到等待隊列的數據包中是否存在蠕蟲攻擊數據包的方法可以為判斷在該設定周期內添加到該等待隊列的數據包中是否存在特征與蠕蟲特征庫中的特征相匹配的數據包����,若存在,則確定在該設定周期內添加到該等待隊列的數據包中存在蠕蟲攻擊數據包,否則確定在該設定周期內添加到該等待隊列的數據包中不存在蠕蟲攻擊數據包�。具體的,終端可以先對在該設定周期內添加到等待隊列中的數據包進行會話重組�����,針對重組的會話中的每個數據包���,判斷該數據包的特征是否與蠕蟲特征庫中的特征相匹配����,若匹配����,則確定該數據包為蠕蟲攻擊數據包,否則確定該數據包不是蠕蟲攻擊數據包�。并且,當終端確定自身感染了蠕蟲時�,為了提高蠕蟲檢測的效率和準確性,還可以對步驟S202和步驟S304中用于檢測終端是否在短時間內要向該目的地址對應的設備發(fā)送大量的數據包所基于的設定數量進行動態(tài)調整�。具體的,當終端確定自身感染了蠕蟲時����,也即在檢測到在設定周期內添加到等待隊列中的數據包的數量超過設定數量時���,確定在設定周期內添加到等待隊列的數據包中存在的蠕蟲攻擊數據包的數量,當確定的蠕蟲攻擊數據包的數量小于第一數量閾值時�,減小該設定數量,當確定的蠕蟲攻擊數據包的數量大于第二數量閾值時�,增大該設定數量,其中�����,第一數量閾值小于第二數量閾值����。這是因為當終端檢測到在設定周期內添加到等待隊列中的數據包的數量超過設定數量時�����,如果確定的在該設定周期內添加到等待隊列的數據包中存在的蠕蟲攻擊數據包的數量小于第一數量閾值����,則說明具有攻擊行為的蠕蟲攻擊數據包的數量較少,因此實際上在步驟S202或步驟S304的檢測過程中很容易被判定為在設定周期內添加到等待隊列中的數據包的數量未超過設定數量����,進而說明該設定數量設定的偏大�,因此要減小該設定數量�����。相反���,如果確定的在設定周期內添加到等待隊列的數據包中存在的蠕蟲攻擊數據包的數量大于第二數量閾值��,則說明具有攻擊行為的蠕蟲攻擊數據包的數量較多��,因此可以增大該設定數量�。���、并且�����,減小或增大設定數量時�,可以根據預先設定的步進值進行減小或增大���,例如��,減小該設定數量時��,將該設定數量減小預先設定的步進值����,增大該設定數量時,將該設定數量增大預先設定的步進值��。還可以采用其他方法減小或增大該設定數量��,這里就不再--贅述�。在本發(fā)明實施例中,終端檢測自身是否對網絡中的其他設備進行了攻擊行為���,若檢測到自身對其他設備進行了攻擊行為���,則斷開與其他設備的連接,實現(xiàn)自我隔離�����,以抑制蠕蟲在網絡中的傳播����,而為了進一步提高網絡的安全性���,還可以結合現(xiàn)有技術中終端檢測是否受到了其他設備的蠕蟲攻擊的方法���,進一步對其他設備發(fā)起的蠕蟲攻擊進行防御�����。也即����,終端一方面防止自身攻擊網絡中的其他設備����,以抑制自身感染的蠕蟲在網絡中傳播,另一方面也要防御網絡中其他設備感染的蠕蟲的攻擊���,以保證終端自身的安全性���。另外,為了進一步提高網絡的安全性�����,終端在建立一個新的連接時�,還可以將該待建立的連接的屬性信息發(fā)送給服務器進行認證�,并接收服務器返回的認證結果和數字簽名����。如果服務器返回的認證結果為認證通過,則終端對服務器返回的數字簽名進行進一步認證�,當對服務器返回的數字簽名認證通過時,確定該待建立的連接為正常連接�,建立該待建立的連接。如果服務器返回的認證結果為認證不通過�����,或者終端對服務器返回的數字簽名進行進一步認證時的認證結果為認證不通過��,則確定該待建立的連接為非法連接�����,拒絕建立該待建立的連接�。基于上述同樣的發(fā)明思路�,本發(fā)明實施例還提供一種蠕蟲檢測裝置����,如圖4所示��。圖4為本發(fā)明實施例提供的蠕蟲檢測裝置結構示意圖�����,具體包括攔截模塊401����,用于確定待發(fā)送的數據包的目的地址�����,將所述待發(fā)送的數據包添加到所述目的地址對應的等待隊列中�;檢測模塊402,用于檢測在設定周期內添加到所述等待隊列中的數據包的數量是否超過設定數量���;控制模塊403��,用于當所述檢測模塊402檢測到在設定周期內添加到所述等待隊列中的數據包的數量超過設定數量時���,確定感染了蠕蟲,斷開與所述目的地址對應的設備的連接���。所述檢測模塊402還用于��,當確定在設定周期內添加到所述等待隊列中的數據包的數量未超過設定數量時���,檢測在所述設定周期內添加到所述等待隊列的數據包中是否存在蠕蟲攻擊數據包�����;所述控制模塊403還用于���,當所述檢測模塊402檢測到在所述設定周期內添加到所述等待隊列的數據包中存在蠕蟲攻擊數據包時,確定感染了蠕蟲����,斷開與所述目的地址對應的設備的連接,否則���,發(fā)送在所述設定周期內添加到所述等待隊列中的數據包�。所述攔截模塊401還用于�,在將所述待發(fā)送的數據包添加到所述目的地址對應的等待隊列中之前,確定所述待發(fā)送的數據包的目的地址不在保存的已訪問地址表中����;所述控制模塊403還用于,當連續(xù)發(fā)送了設定次數的在設定周期內添加到所述等待隊列中的數據包時,將所述目的地址添加到保存的已訪問地址表中��。所述檢測模塊402具體用于�,判斷在所述設定周期內添加到所述等待隊列的數據包中是否存在特征與蠕蟲特征庫中的特征相匹配的數據包�����,若存在���,則確定在所述設定周 期內添加到所述等待隊列的數據包中存在蠕蟲攻擊數據包����,否則�,確定在所述設定周期內添加到所述等待隊列的數據包中不存在蠕蟲攻擊數據包。所述檢測模塊402還用于�����,當所述控制模塊403確定感染了蠕蟲時�,確定在所述設定周期內添加到所述等待隊列的數據包中存在的蠕蟲攻擊數據包的數量,當確定的蠕蟲攻擊數據包的數量小于第一數量閾值時��,減小所述設定數量�,當確定的蠕蟲攻擊數據包的數量大于第二數量閾值時,增大所述設定數量,其中����,所述第一數量閾值小于所述第二數量閾值。所述控制模塊403還用于�����,當確定感染了蠕蟲時���,刪除所述等待隊列中的所有數據包�,并查殺感染的蠕蟲�����,在完成蠕蟲的查殺后��,恢復與所述目的地址對應的設備的連接�����。具體的上述蠕蟲檢測裝置可以位于終端中���。 本發(fā)明實施例提供一種蠕蟲檢測方法及裝置�,該方法終端將待發(fā)送的數據包添加到該待發(fā)送的數據包的目的地址對應的等待隊列中,檢測在設定周期內添加到等待隊列中的數據包的數量是否超過設定數量�,若是,則確定自身感染了蠕蟲���,斷開與該目的地址對應的設備的連接。通過上述方法�����,終端可以主動的檢測出自身是否正在對網絡中的其他設備進行攻擊�,當檢測出自身正在攻擊網絡中的其他設備時,斷開自身與其他設備的連接�����,實現(xiàn)自我隔離�,從而可以有效的抑制蠕蟲的傳播。顯然����,本領域的技術人員可以對本發(fā)明進行各種改動和變型而不脫離本發(fā)明的精神和范圍。這樣�����,倘若本發(fā)明的這些修改和變型屬于本發(fā)明權利要求及其等同技術的范圍之內,則本發(fā)明也意圖包含這些改動和變型在內�。
權利要求
1.一種蠕蟲檢測方法,其特征在于���,包括 終端確定待發(fā)送的數據包的目的地址��,將所述待發(fā)送的數據包添加到所述目的地址對應的等待隊列中����;并 檢測在設定周期內添加到所述等待隊列中的數據包的數量是否超過設定數量��;以及 若是��,則確定自身感染了蠕蟲��,斷開與所述目的地址對應的設備的連接�����。
2.如權利要求I所述的方法�,其特征在于,所述方法還包括 當確定在設定周期內添加到所述等待隊列中的數據包的數量未超過設定數量時����,檢測在所述設定周期內添加到所述等待隊列的數據包中是否存在蠕蟲攻擊數據包�; 若存在��,則確定自身感染了蠕蟲���,斷開與所述目的地址對應的設備的連接��,否則��,發(fā)送在所述設定周期內添加到所述等待隊列中的數據包��。
3.如權利要求2所述的方法,其特征在于���,將所述待發(fā)送的數據包添加到所述目的地址對應的等待隊列中之前��,所述方法還包括 所述終端確定所述待發(fā)送的數據包的目的地址不在保存的已訪問地址表中���; 當連續(xù)發(fā)送了設定次數的在設定周期內添加到所述等待隊列中的數據包時,所述方法還包括 將所述目的地址添加到保存的已訪問地址表中���。
4.如權利要求2所述的方法�,其特征在于�����,檢測在所述設定周期內添加到所述等待隊列的數據包中是否存在蠕蟲攻擊數據包,具體包括 判斷在所述設定周期內添加到所述等待隊列的數據包中是否存在特征與蠕蟲特征庫中的特征相匹配的數據包��,若存在�����,則確定在所述設定周期內添加到所述等待隊列的數據包中存在蠕蟲攻擊數據包�,否則,確定在所述設定周期內添加到所述等待隊列的數據包中不存在蠕蟲攻擊數據包��。
5.如權利要求I所述的方法����,其特征在于,當所述終端確定自身感染了蠕蟲時�,所述方法還包括 確定在所述設定周期內添加到所述等待隊列的數據包中存在的蠕蟲攻擊數據包的數量; 當確定的蠕蟲攻擊數據包的數量小于第一數量閾值時,減小所述設定數量����,當確定的蠕蟲攻擊數據包的數量大于第二數量閾值時,增大所述設定數量�����,其中,所述第一數量閾值小于所述第二數量閾值�。
6.如權利要求I或2所述的方法,其特征在于����,當所述終端確定自身感染了蠕蟲時,所述方法還包括 所述終端刪除所述等待隊列中的所有數據包��,并查殺感染的蠕蟲�����;以及 在完成蠕蟲的查殺后�����,恢復與所述目的地址對應的設備的連接����。
7.—種蠕蟲檢測裝置��,其特征在于����,包括 攔截模塊�,用于確定待發(fā)送的數據包的目的地址�,將所述待發(fā)送的數據包添加到所述目的地址對應的等待隊列中; 檢測模塊�����,用于檢測在設定周期內添加到所述等待隊列中的數據包的數量是否超過設定數量���; 控制模塊��,用于當所述檢測模塊檢測到在設定周期內添加到所述等待隊列中的數據包的數量超過設定數量時���,確定感染了蠕蟲,斷開與所述目的地址對應的設備的連接�����。
8.如權利要求7所述的裝置�,其特征在于,所述檢測模塊還用于�,當確定在設定周期內添加到所述等待隊列中的數據包的數量未超過設定數量時,檢測在所述設定周期內添加到所述等待隊列的數據包中是否存在蠕蟲攻擊數據包�����; 所述控制模塊還用于,當所述檢測模塊檢測到在所述設定周期內添加到所述等待隊列的數據包中存在蠕蟲攻擊數據包時���,確定感染了蠕蟲�����,斷開與所述目的地址對應的設備的連接�����,否則�����,發(fā)送在所述設定周期內添加到所述等待隊列中的數據包����。
9.如權利要求8所述的裝置�����,其特征在于�,所述攔截模塊還用于,在將所述待發(fā)送的數據包添加到所述目的地址對應的等待隊列中之前�,確定所述待發(fā)送的數據包的目的地址不在保存的已訪問地址表中; 所述控制模塊還用于���,當連續(xù)發(fā)送了設定次數的在設定周期內添加到所述等待隊列中的數據包時��,將所述目的地址添加到保存的已訪問地址表中�。
10.如權利要求8所述的裝置�,其特征在于,所述檢測模塊具體用于����,判斷在所述設定周期內添加到所述等待隊列的數據包中是否存在特征與蠕蟲特征庫中的特征相匹配的數據包,若存在�,則確定在所述設定周期內添加到所述等待隊列的數據包中存在蠕蟲攻擊數據包,否則���,確定在所述設定周期內添加到所述等待隊列的數據包中不存在蠕蟲攻擊數據包��。
11.如權利要求7所述的裝置���,其特征在于,所述檢測模塊還用于���,當所述控制模塊確定感染了蠕蟲時����,確定在所述設定周期內添加到所述等待隊列的數據包中存在的蠕蟲攻擊數據包的數量,當確定的蠕蟲攻擊數據包的數量小于第一數量閾值時����,減小所述設定數量,當確定的蠕蟲攻擊數據包的數量大于第二數量閾值時��,增大所述設定數量���,其中��,所述第一數量閾值小于所述第二數量閾值��。
12.如權利要求7或8所述的裝置��,其特征在于����,所述控制模塊還用于���,當確定感染了蠕蟲時,刪除所述等待隊列中的所有數據包,并查殺感染的蠕蟲��,在完成蠕蟲的查殺后�����,恢復與所述目的地址對應的設備的連接��。
全文摘要
本發(fā)明公開了一種蠕蟲檢測方法及裝置���,用以解決現(xiàn)有技術中無法有效的抑制蠕蟲的傳播的問題���。該方法終端將待發(fā)送的數據包添加到該待發(fā)送的數據包的目的地址對應的等待隊列中,檢測在設定周期內添加到等待隊列中的數據包的數量是否超過設定數量���,若是�,則確定自身感染了蠕蟲�,斷開與該目的地址對應的設備的連接。通過上述方法��,終端可以主動的檢測出自身是否正在對網絡中的其他設備進行攻擊��,當檢測出自身正在攻擊網絡中的其他設備時���,斷開自身與其他設備的連接����,實現(xiàn)自我隔離,從而可以有效的抑制蠕蟲的傳播���。
文檔編號H04L29/06GK102710627SQ201210167069
公開日2012年10月3日 申請日期2012年5月25日 優(yōu)先權日2012年5月25日
發(fā)明者孫建坡 申請人:北京神州綠盟信息安全科技股份有限公司