一種病毒程序傳播設(shè)備監(jiān)控的方法以及服務(wù)器的制造方法
【專利摘要】本發(fā)明實施例公開了一種病毒程序傳播設(shè)備監(jiān)控的方法��,包括:獲取病毒程序回送信息時指向的網(wǎng)絡(luò)地址;根據(jù)所述網(wǎng)絡(luò)地址,確定所述病毒程序的傳播設(shè)備�����;對所述傳播設(shè)備傳輸?shù)骄W(wǎng)絡(luò)的數(shù)據(jù)進(jìn)行監(jiān)控�����。相應(yīng)地�����,本發(fā)明實施例還公開了一種服務(wù)器��。采用本發(fā)明�����,可以通過病毒程序找到其對應(yīng)的傳播設(shè)備����,實現(xiàn)對病毒程序傳播設(shè)備的監(jiān)控,從而達(dá)到幫助用戶終端提前預(yù)防病毒程序的效果�����,提高用戶安全上網(wǎng)的體驗���。
【專利說明】一種病毒程序傳播設(shè)備監(jiān)控的方法以及服務(wù)器
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及網(wǎng)絡(luò)安全【技術(shù)領(lǐng)域】�����,尤其涉及一種病毒程序傳播設(shè)備監(jiān)控的方法以及服務(wù)器���。
【背景技術(shù)】
[0002]隨著互聯(lián)網(wǎng)的不斷發(fā)展及推廣����,互聯(lián)網(wǎng)越來越多地走進(jìn)用戶生活的各個領(lǐng)域��。隨之而來的��,病毒程序也越來越多地通過互聯(lián)網(wǎng)盜取用戶的信息或窺視用戶的隱私��。例如:病毒程序通過互聯(lián)網(wǎng)進(jìn)入用戶的終端��,盜取用戶網(wǎng)絡(luò)平臺的賬號及密碼信息�����、網(wǎng)銀的賬戶信息以及網(wǎng)絡(luò)社交平臺的個人信息等���。其中,以盜取騰訊QQ賬號的密碼的QQ粘蟲最為普遍。
[0003]目前���,普遍應(yīng)對病毒程序的方法是����,通過分析某一病毒程序的特點����,設(shè)計出清理該病毒程序的殺毒進(jìn)程。然而�����,用于盜取信息的病毒程序不斷更新����,僅僅通過上述方法來保護(hù)用戶的終端是不盡人意的,這種方法不能在新病毒程序攻擊之前就提前做好防護(hù)�����,因而始終建立在犧牲一部分用戶的基礎(chǔ)上����。
【發(fā)明內(nèi)容】
[0004]本發(fā)明實施例所要解決的技術(shù)問題在于����,提供一種病毒程序傳播設(shè)備監(jiān)控的方法以及服務(wù)器����,可以實現(xiàn)對病毒程序傳播設(shè)備的定位和監(jiān)控,從而達(dá)到幫助用戶終端提前預(yù)防病毒程序的效果��,提高用戶安全上網(wǎng)的體驗�。
[0005]為了解決上述技術(shù)問題,本發(fā)明實施例提供了一種病毒程序傳播設(shè)備監(jiān)控的方法�,包括:
[0006]獲取病毒程序回送信息時指向的網(wǎng)絡(luò)地址;
[0007]根據(jù)所述網(wǎng)絡(luò)地址����,確定所述病毒程序的傳播設(shè)備;
[0008]對所述傳播設(shè)備傳輸?shù)骄W(wǎng)絡(luò)的數(shù)據(jù)進(jìn)行監(jiān)控�。
[0009]相應(yīng)地,本發(fā)明實施例還提供了一種服務(wù)器����,包括:
[0010]網(wǎng)絡(luò)地址獲取模塊,用于獲取病毒程序回送信息時指向的網(wǎng)絡(luò)地址����;
[0011]傳播設(shè)備獲取模塊,用于根據(jù)所述網(wǎng)絡(luò)地址�����,確定所述病毒程序的傳播設(shè)備�����;
[0012]傳播設(shè)備監(jiān)控模塊����,用于對所述傳播設(shè)備傳輸?shù)骄W(wǎng)絡(luò)的數(shù)據(jù)進(jìn)行監(jiān)控。
[0013]實施本發(fā)明實施例����,具有如下有益效果:本發(fā)明實施例采用根據(jù)病毒程序回送信息時所指向的網(wǎng)絡(luò)地址找到其對應(yīng)的傳播設(shè)備的方法,實現(xiàn)對病毒程序傳播設(shè)備的監(jiān)控����,從而達(dá)到幫助用戶終端提前預(yù)防病毒程序的效果,提高用戶安全上網(wǎng)的體驗����。
【專利附圖】
【附圖說明】
[0014]為了更清楚地說明本發(fā)明實施例或現(xiàn)有技術(shù)中的技術(shù)方案,下面將對實施例或現(xiàn)有技術(shù)描述中所需要使用的附圖作簡單地介紹����,顯而易見地�,下面描述中的附圖僅僅是本發(fā)明的一些實施例��,對于本領(lǐng)域普通技術(shù)人員來講�����,在不付出創(chuàng)造性勞動的前提下����,還可以根據(jù)這些附圖獲得其他的附圖。[0015]圖1是本發(fā)明實施例提供的一種病毒程序傳播設(shè)備監(jiān)控的方法的流程示意圖�;
[0016]圖2是本發(fā)明實施例提供的另一種病毒程序傳播設(shè)備監(jiān)控的方法的流程示意圖;
[0017]圖3是本發(fā)明實施例提供的一種服務(wù)器的結(jié)構(gòu)示意圖��;
[0018]圖4是本發(fā)明實施例提供的一種傳播設(shè)備獲取模塊的結(jié)構(gòu)示意圖�����;
[0019]圖5是本發(fā)明實施例提供的一種核心傳播設(shè)備確定單元的結(jié)構(gòu)示意圖�����;
[0020]圖6是本發(fā)明實施例提供的一種傳播設(shè)備監(jiān)控模塊的結(jié)構(gòu)示意圖���;
[0021]圖7是本發(fā)明實施例提供的一種網(wǎng)絡(luò)拓?fù)涞慕Y(jié)構(gòu)示意圖��。
【具體實施方式】
[0022]下面將結(jié)合本發(fā)明實施例中的附圖�,對本發(fā)明實施例中的技術(shù)方案進(jìn)行清楚�、完整地描述,顯然����,所描述的實施例僅僅是本發(fā)明一部分實施例,而不是全部的實施例�����?�;诒景l(fā)明中的實施例����,本領(lǐng)域普通技術(shù)人員在沒有作出創(chuàng)造性勞動前提下所獲得的所有其他實施例,都屬于本發(fā)明保護(hù)的范圍�����。
[0023]本發(fā)明實施例提供的病毒程序即通過互聯(lián)網(wǎng)進(jìn)入用戶的終端并盜取用戶信息的一種程序�����,例如:盜號木馬、QQ粘蟲等�。
[0024]本發(fā)明實施例提供的服務(wù)器包括云端的殺毒服務(wù)器,所述殺毒服務(wù)器至少包括殺毒進(jìn)程�����、病毒數(shù)據(jù)庫以及地址數(shù)據(jù)庫���。
[0025]圖1是本發(fā)明實施例中一種病毒程序傳播設(shè)備監(jiān)控的方法的流程示意圖��。如圖所示本實施例中的病毒程序傳播設(shè)備監(jiān)控的方法的流程可以包括:
[0026]S101�����,服務(wù)器獲取病毒程序回送信息時指向的網(wǎng)絡(luò)地址���。
[0027]病毒作者在設(shè)計病毒程序時,會讓病毒程序在盜取到用戶的信息后�����,將信息發(fā)送回病毒作者的服務(wù)器或者網(wǎng)絡(luò)郵箱,因而上述網(wǎng)絡(luò)地址包括IP (Internet Protocol�����,互聯(lián)網(wǎng)協(xié)議)地址或網(wǎng)絡(luò)郵箱地址�。具體的,服務(wù)器獲取病毒程序回送盜取的信息時指向的IP地址或網(wǎng)絡(luò)郵箱地址���。
[0028]另外��,服務(wù)器獲取上述病毒作者設(shè)計的病毒程序的方法可以是:通過基于文件特征或基于行為特征的病毒鑒定方法從樣本文件中獲取。所述基于文件特征或基于行為特征的病毒鑒定方法為一種常用的病毒鑒定方法����,這里不再贅述。
[0029]可選的���,服務(wù)器可在虛擬環(huán)境中運行病毒程序���,進(jìn)而觸發(fā)病毒程序回送信息。具體的,服務(wù)器在虛擬環(huán)境中�,例如虛擬機運行環(huán)境中,運行病毒程序����,并啟動模擬用戶操作的程序,填入虛假的賬號和密碼����,進(jìn)而觸發(fā)病毒程序回送盜取的賬號和密碼。需要指出的是���,病毒程序會將盜取的所有信息都回送給病毒作者�,病毒作者再進(jìn)一步檢驗信息的真?zhèn)?��,因而填入虛假的信息是可以觸發(fā)病毒程序的����。
[0030]S102�,服務(wù)器根據(jù)所述網(wǎng)絡(luò)地址,確定所述病毒程序的傳播設(shè)備���。
[0031]所述病毒程序的傳播設(shè)備�,即病毒作者散播病毒程序的終端設(shè)備。具體的���,服務(wù)器根據(jù)病毒程序回送信息時指向的IP地址或網(wǎng)絡(luò)郵箱地址�����,確定病毒作者散播病毒程序的終端設(shè)備���。
[0032]具體實現(xiàn)過程中,請參閱圖7所示的一種網(wǎng)絡(luò)拓?fù)涞慕Y(jié)構(gòu)示意圖���。當(dāng)上述網(wǎng)絡(luò)地址為IP地址時��,服務(wù)器通過網(wǎng)絡(luò)找到該IP地址,從而確定IP地址對應(yīng)的傳播設(shè)備����,例如:若A域的網(wǎng)絡(luò)地址3為病毒程序回送信息時指向的IP地址,那么服務(wù)器通過網(wǎng)絡(luò)可以確定A域中網(wǎng)絡(luò)地址3所對應(yīng)的傳播設(shè)備���。當(dāng)上述網(wǎng)絡(luò)地址為網(wǎng)絡(luò)郵箱時���,服務(wù)器通過查詢網(wǎng)絡(luò)郵箱的申請信息、最近登錄信息等來獲知傳播設(shè)備的IP地址,從而確定傳播設(shè)備����。
[0033]可選的,上述確定傳播設(shè)備的方式��,可以是通過傳播設(shè)備的物理地址來確定的��。那么即便傳播設(shè)備更換IP地址��,服務(wù)器仍可識別出該傳播設(shè)備����。
[0034]S103,服務(wù)器對所述傳播設(shè)備傳輸?shù)骄W(wǎng)絡(luò)的數(shù)據(jù)進(jìn)行監(jiān)控�。
[0035]具體的,服務(wù)器實時監(jiān)控核心傳播設(shè)備�,只要發(fā)現(xiàn)核心傳播設(shè)備傳輸數(shù)據(jù)到網(wǎng)絡(luò),服務(wù)器將獲取該數(shù)據(jù)并對該數(shù)據(jù)進(jìn)行分析�,若分析出該數(shù)據(jù)為病毒作者新創(chuàng)的病毒程序,則服務(wù)器針對這一新創(chuàng)的病毒程序執(zhí)行相應(yīng)的應(yīng)防措施�。
[0036]具體的,服務(wù)器可清除或隔離所述病毒程序�,或是針對所述病毒程序相應(yīng)地更新殺毒軟件的病毒數(shù)據(jù)庫,亦或是當(dāng)檢測到用戶終端從網(wǎng)絡(luò)下載所述病毒程序時�,向用戶終端發(fā)出危險警報�����,從而提前預(yù)防上述新創(chuàng)的病毒程序通過網(wǎng)絡(luò)侵入用戶終端�,避免用戶的信息被盜取�。
[0037]本發(fā)明實施例采用根據(jù)病毒程序回送信息時所指向的網(wǎng)絡(luò)地址找到其對應(yīng)的傳播設(shè)備的方法,實現(xiàn)對病毒程序傳播設(shè)備的監(jiān)控�����,從而達(dá)到幫助用戶終端提前預(yù)防病毒程序的效果�,提高用戶安全上網(wǎng)的體驗。
[0038]圖2是本發(fā)明實施例中另一種病毒程序傳播設(shè)備監(jiān)控的方法的流程示意圖�,可以包括:
[0039]S201,服務(wù)器在虛擬環(huán)境中運行所述病毒程序���,進(jìn)而觸發(fā)所述病毒程序回送信息����。
[0040]病毒作者在設(shè)計病毒程序時����,會讓病毒程序在盜取到用戶的信息后��,將信息發(fā)送回病毒作者的服務(wù)器或者網(wǎng)絡(luò)郵箱。具體的�,服務(wù)器在虛擬環(huán)境中,例如虛擬機運行環(huán)境中�����,運行病毒程序���,并啟動模擬用戶操作的程序�����,填入虛假的賬號和密碼����,進(jìn)而觸發(fā)病毒程序回送盜取的賬號和密碼����。需要指出的是,病毒程序會將盜取的所有信息都回送給病毒作者��,病毒作者再進(jìn)一步檢驗信息的真?zhèn)?��,因而填入虛假的信息是可以觸發(fā)病毒程序的��。
[0041]另外��,服務(wù)器獲取上述病毒作者設(shè)計的病毒程序的方法可以是:通過基于文件特征或基于行為特征的病毒鑒定方法從樣本文件中獲取����。所述基于文件特征或基于行為特征的病毒鑒定方法為一種常用的病毒鑒定方法,這里不再贅述�。
[0042]S202,服務(wù)器獲取病毒程序回送信息時指向的網(wǎng)絡(luò)地址�。
[0043]所述網(wǎng)絡(luò)地址包括IP (Internet Protocol,互聯(lián)網(wǎng)協(xié)議)地址或網(wǎng)絡(luò)郵箱地址��。具體的�,在觸發(fā)病毒程序回送盜取的信息后,服務(wù)器獲取病毒程序指向的IP地址或網(wǎng)絡(luò)郵箱地址�。
[0044]S203,服務(wù)器在地址數(shù)據(jù)庫中�����,獲取與所述網(wǎng)絡(luò)地址同類的關(guān)聯(lián)網(wǎng)絡(luò)地址��。
[0045]所述地址數(shù)據(jù)庫用于存儲服務(wù)器獲取的網(wǎng)絡(luò)地址���。具體的�,服務(wù)器將存入地址數(shù)據(jù)庫的所有網(wǎng)絡(luò)地址進(jìn)行分類����,即把可能屬于同一病毒作者的網(wǎng)絡(luò)地址歸為同類,同一類的網(wǎng)絡(luò)地址即為關(guān)聯(lián)網(wǎng)絡(luò)地址�。
[0046]具體實現(xiàn)過程中,對數(shù)據(jù)庫中的網(wǎng)絡(luò)地址進(jìn)行分類的方法可以是:
[0047]首先��,把所有網(wǎng)絡(luò)地址按IP地址和網(wǎng)絡(luò)郵箱地址分為兩類�;
[0048]然后,分別在IP地址中和網(wǎng)絡(luò)郵箱地址中�����,通過字符串模糊匹配算法�,將可能屬于同一病毒作者的網(wǎng)絡(luò)地址歸為同類,例如同一域段或同一服務(wù)提供方的IP地址可通過字符串模糊匹配算法找出并歸為一類���,又如形如“jaCk001”����、“jaCk002”��、“jaCk003”命名方式的網(wǎng)絡(luò)郵箱地址可通過字符串模糊匹配算法找出并歸為一類����。
[0049]S204�,服務(wù)器在所述網(wǎng)絡(luò)地址和所述關(guān)聯(lián)網(wǎng)絡(luò)地址中�����,獲取所述對應(yīng)的病毒程序的上報時間最早的網(wǎng)絡(luò)地址����。
[0050]請參閱圖7,用戶終端中病毒程序后會通過網(wǎng)絡(luò)上報給服務(wù)器���,服務(wù)器將病毒程序的上報時間記錄在地址數(shù)據(jù)庫中��,簡而言之��,地址數(shù)據(jù)庫記錄有網(wǎng)絡(luò)地址和關(guān)聯(lián)網(wǎng)絡(luò)地址對應(yīng)的病毒程序的上報時間����。
[0051]具體的�,服務(wù)器通過比較網(wǎng)絡(luò)地址和關(guān)聯(lián)網(wǎng)絡(luò)地址對應(yīng)的病毒程序的上報時間,在地址數(shù)據(jù)庫中找出對應(yīng)的病毒程序上報時間最早的網(wǎng)絡(luò)地址���。
[0052]S205�,服務(wù)器根據(jù)所述對應(yīng)的病毒程序的上報時間最早的網(wǎng)絡(luò)地址����,確定核心傳
播設(shè)備。
[0053]病毒程序的傳播設(shè)備����,即病毒作者散播病毒程序的終端設(shè)備。一般情況下���,病毒作者會在多個傳播設(shè)備上將病毒程序散播出去���,上述網(wǎng)絡(luò)地址和關(guān)聯(lián)網(wǎng)絡(luò)地址正好對應(yīng)了所述的多個傳播設(shè)備��。
[0054]需要指出的是,病毒作者直接使用的設(shè)備為核心傳播設(shè)備��。請參閱圖7���,圖中A域或B域分別為同一病毒作者的多個傳播設(shè)備,在A域或B域內(nèi)�,分別有多個傳播設(shè)備和一個核心傳播設(shè)備����。
[0055]具體的,由于病毒作者直接使用核心傳播設(shè)備,故核心傳播設(shè)備必然是第一個散播病毒程序的,按照一般規(guī)律�����,最早散播出的病毒程序也會被用戶終端最早上報到服務(wù)器�����,因而服務(wù)器可根據(jù)對應(yīng)的病毒程序的上報時間最早的網(wǎng)絡(luò)地址���,定位核心傳播設(shè)備��。
[0056]具體實現(xiàn)過程中����,請參閱圖7所示的一種網(wǎng)絡(luò)拓?fù)涞慕Y(jié)構(gòu)示意圖��。當(dāng)上述網(wǎng)絡(luò)地址為IP地址時���,服務(wù)器通過網(wǎng)絡(luò)找到該IP地址����,從而確定該IP地址對應(yīng)的傳播設(shè)備,例如:若A域的網(wǎng)絡(luò)地址I為對應(yīng)的病毒程序的上報時間最早的IP地址�,那么服務(wù)器通過網(wǎng)絡(luò)可以確定A域中網(wǎng)絡(luò)地址I所對應(yīng)的傳播設(shè)備為核心傳播設(shè)備。當(dāng)上述網(wǎng)絡(luò)地址為網(wǎng)絡(luò)郵箱時�,服務(wù)器通過查詢網(wǎng)絡(luò)郵箱的申請信息、最近登錄信息等來獲知核心傳播設(shè)備的IP地址����,從而確定核心傳播設(shè)備。
[0057]可選的�����,上述確定傳播設(shè)備的方式����,可以是通過傳播設(shè)備的物理地址來確定的。那么即便傳播設(shè)備更換IP地址���,服務(wù)器仍可識別出該傳播設(shè)備�����。
[0058]S206��,獲取所述核心傳播設(shè)備傳輸?shù)骄W(wǎng)絡(luò)的數(shù)據(jù)�。
[0059]具體的,服務(wù)器實時監(jiān)控核心傳播設(shè)備����,只要發(fā)現(xiàn)核心傳播設(shè)備傳輸數(shù)據(jù)到網(wǎng)絡(luò),則獲取該數(shù)據(jù)����。
[0060]S207,服務(wù)器判斷所述數(shù)據(jù)是否為新創(chuàng)的病毒程序����。
[0061]具體的����,服務(wù)器通過預(yù)設(shè)的鑒定方法,判斷該數(shù)據(jù)是否為核心傳播設(shè)備散播的新創(chuàng)的病毒程序����。若是,則進(jìn)入步驟S208����。
[0062]S208����,服務(wù)器針對所述新創(chuàng)的病毒程序采取應(yīng)防措施�。
[0063]具體的,服務(wù)器對新創(chuàng)的病毒程序進(jìn)行分析后����,可清除或隔離所述病毒程序,或是針對所述病毒程序相應(yīng)地更新殺毒軟件的病毒數(shù)據(jù)庫���,亦或是當(dāng)檢測到用戶終端從網(wǎng)絡(luò)下載所述病毒程序時�,向用戶終端發(fā)出危險警報���,從而提前預(yù)防上述新創(chuàng)的病毒程序通過網(wǎng)絡(luò)侵入用戶終端�,避免用戶的信息被盜取��。
[0064]本發(fā)明實施例將病毒程序回送信息時所指向的網(wǎng)絡(luò)地址存入地址數(shù)據(jù)庫�����,并在地址數(shù)據(jù)庫中找到與其可能屬于同一病毒作者的關(guān)聯(lián)網(wǎng)絡(luò)地址���,分析該網(wǎng)絡(luò)地址和關(guān)聯(lián)網(wǎng)絡(luò)地址后獲取到病毒作者的核心傳播設(shè)備���,并對核心病毒程序傳播設(shè)備的監(jiān)控���,通過關(guān)聯(lián)的多個網(wǎng)絡(luò)地址來獲取核心傳播設(shè)備的方法更能提高成功率,從而達(dá)到幫助用戶終端提前預(yù)防病毒程序的效果�����,提高用戶安全上網(wǎng)的體驗�����。
[0065]圖3是本發(fā)明實施例中一種服務(wù)器的結(jié)構(gòu)示意圖���。如圖所示本發(fā)明實施例中的服務(wù)器至少可以包括網(wǎng)絡(luò)地址獲取模塊310、傳播設(shè)備獲取模塊320以及傳播設(shè)備監(jiān)控模塊330���,其中:
[0066]網(wǎng)絡(luò)地址獲取模塊310�����,用于獲取病毒程序回送信息時指向的網(wǎng)絡(luò)地址�。
[0067]病毒作者在設(shè)計病毒程序時�����,會讓病毒程序在盜取到用戶的信息后,將信息發(fā)送回病毒作者的服務(wù)器或者網(wǎng)絡(luò)郵箱���,因而上述網(wǎng)絡(luò)地址包括IP (Internet Protocol�����,互聯(lián)網(wǎng)協(xié)議)地址或網(wǎng)絡(luò)郵箱地址����。具體的��,網(wǎng)絡(luò)地址獲取模塊310獲取病毒程序回送盜取的信息時指向的IP地址或網(wǎng)絡(luò)郵箱地址��。
[0068]另外���,服務(wù)器獲取上述病毒作者設(shè)計的病毒程序的方法����,可以是:通過基于文件特征或基于行為特征的病毒鑒定方法從樣本文件中獲取����。所述基于文件特征或基于行為特征的病毒鑒定方法為一種常用的病毒鑒定方法�,這里不再贅述���。
[0069]傳播設(shè)備獲取模塊320���,用于根據(jù)所述網(wǎng)絡(luò)地址,確定所述病毒程序的傳播設(shè)備����。具體實現(xiàn)中,所述傳播設(shè)備獲取模塊320可以如圖4所示進(jìn)一步包括:關(guān)聯(lián)網(wǎng)絡(luò)地址獲取單元321和核心傳播設(shè)備確定單元322����,其中:
[0070]關(guān)聯(lián)網(wǎng)絡(luò)地址獲取單 元321,用于在地址數(shù)據(jù)庫中���,獲取與所述網(wǎng)絡(luò)地址同類的關(guān)聯(lián)網(wǎng)絡(luò)地址����。
[0071]所述地址數(shù)據(jù)庫用于存儲服務(wù)器獲取的網(wǎng)絡(luò)地址�����。具體的��,關(guān)聯(lián)網(wǎng)絡(luò)地址獲取單元321將存入地址數(shù)據(jù)庫的所有網(wǎng)絡(luò)地址進(jìn)行分類�����,即把可能屬于同一病毒作者的網(wǎng)絡(luò)地址歸為同類����,同一類的網(wǎng)絡(luò)地址即為關(guān)聯(lián)網(wǎng)絡(luò)地址�。
[0072]具體實現(xiàn)過程中���,對數(shù)據(jù)庫中的網(wǎng)絡(luò)地址進(jìn)行分類的方法可以是:
[0073]首先����,把所有網(wǎng)絡(luò)地址按IP地址和網(wǎng)絡(luò)郵箱地址分為兩類��;
[0074]然后�,分別在IP地址中和網(wǎng)絡(luò)郵箱地址中���,通過字符串模糊匹配算法,將可能屬于同一病毒作者的網(wǎng)絡(luò)地址歸為同類,例如同一域段或同一服務(wù)提供方的IP地址可通過字符串模糊匹配算法找出并歸為一類�����,又如形如“jaCk001”��、“jaCk002”�、“jaCk003”命名方式的網(wǎng)絡(luò)郵箱地址可通過字符串模糊匹配算法找出并歸為一類��。
[0075]核心傳播設(shè)備確定單元322�,用于根據(jù)所述網(wǎng)絡(luò)地址和所述關(guān)聯(lián)網(wǎng)絡(luò)地址��,確定核心傳播設(shè)備�。具體實現(xiàn)中,所述核心傳播設(shè)備確定單元322可以如圖5所示進(jìn)一步包括--第一子單元322a和第二子單元322b�����,其中:
[0076]第一子單元322a�,用于在所述網(wǎng)絡(luò)地址和所述關(guān)聯(lián)網(wǎng)絡(luò)地址中�����,獲取所述對應(yīng)的病毒程序的上報時間最早的網(wǎng)絡(luò)地址��。
[0077]請參閱圖7��,用戶終端中病毒程序后會通過網(wǎng)絡(luò)上報給服務(wù)器���,服務(wù)器將病毒程序的上報時間記錄在地址數(shù)據(jù)庫中�����,簡而言之����,地址數(shù)據(jù)庫記錄有網(wǎng)絡(luò)地址和關(guān)聯(lián)網(wǎng)絡(luò)地址對應(yīng)的病毒程序的上報時間����。
[0078]具體的�,第一子單元322a通過比較網(wǎng)絡(luò)地址和關(guān)聯(lián)網(wǎng)絡(luò)地址對應(yīng)的病毒程序的上報時間,在地址數(shù)據(jù)庫中找出對應(yīng)的病毒程序上報時間最早的網(wǎng)絡(luò)地址�����。[0079]第二子單元322b�����,用于根據(jù)所述對應(yīng)的病毒程序的上報時間最早的網(wǎng)絡(luò)地址,確定核心傳播設(shè)備。
[0080]病毒程序的傳播設(shè)備�,即病毒作者散播病毒程序的終端設(shè)備。一般情況下���,病毒作者會在多個傳播設(shè)備上將病毒程序散播出去���,上述網(wǎng)絡(luò)地址和關(guān)聯(lián)網(wǎng)絡(luò)地址正好對應(yīng)了所述的多個傳播設(shè)備。
[0081]需要指出的是��,病毒作者直接使用的設(shè)備為核心傳播設(shè)備�。請參閱圖7,圖中A域或B域分別為同一病毒作者的多個傳播設(shè)備��,在A域或B域內(nèi)�����,分別有多個傳播設(shè)備和一個核心傳播設(shè)備��。
[0082]具體的��,由于病毒作者直接使用核心傳播設(shè)備�,故核心傳播設(shè)備必然是第一個散播病毒程序的���,按照一般規(guī)律���,最早散播出的病毒程序也會被用戶終端最早上報到服務(wù)器����,因而第二子單元322b可根據(jù)對應(yīng)的病毒程序的上報時間最早的網(wǎng)絡(luò)地址�,定位核心傳播設(shè)備。
[0083]具體實現(xiàn)過程中�,請參閱圖7所示的一種網(wǎng)絡(luò)拓?fù)涞慕Y(jié)構(gòu)示意圖。當(dāng)上述網(wǎng)絡(luò)地址為IP地址時�,第二子單元322b通過網(wǎng)絡(luò)找到該IP地址,從而確定該IP地址對應(yīng)的傳播設(shè)備��,例如:若A域的網(wǎng)絡(luò)地址I為對應(yīng)的病毒程序的上報時間最早的IP地址��,那么第二子單元322b通過網(wǎng)絡(luò)可以確定A域中網(wǎng)絡(luò)地址I所對應(yīng)的傳播設(shè)備為核心傳播設(shè)備�����。當(dāng)上述網(wǎng)絡(luò)地址為網(wǎng)絡(luò)郵箱時�,第二子單元322b通過查詢網(wǎng)絡(luò)郵箱的申請信息、最近登錄信息等來獲知核心傳播設(shè)備的IP地址����,從而確定核心傳播設(shè)備。
[0084]可選的,上述確定傳播設(shè)備的方式����,可以是通過傳播設(shè)備的物理地址來確定的。那么即便傳播設(shè)備更換IP地址��,服務(wù)器仍可識別出該傳播設(shè)備��。
[0085]播設(shè)備監(jiān)控模塊330�����,用于對所述傳播設(shè)備傳輸?shù)骄W(wǎng)絡(luò)的數(shù)據(jù)進(jìn)行監(jiān)控�����。具體實現(xiàn)中�,所述播設(shè)備監(jiān)控模塊330可以如圖6所示進(jìn)一步包括:數(shù)據(jù)獲取單元331�����、病毒程序判斷單元332以及病毒程序應(yīng)防單元333��,其中:
[0086]數(shù)據(jù)獲取單元331����,用于獲取所述傳播設(shè)備傳輸?shù)骄W(wǎng)絡(luò)的數(shù)據(jù)�����。
[0087]具體的�,數(shù)據(jù)獲取單元331實時監(jiān)控核心傳播設(shè)備�,只要發(fā)現(xiàn)核心傳播設(shè)備傳輸數(shù)據(jù)到網(wǎng)絡(luò),則獲取該數(shù)據(jù)�。
[0088]病毒程序判斷單元332,用于判斷所述數(shù)據(jù)是否為病毒程序���。
[0089]具體的�,病毒程序判斷單元332通過預(yù)設(shè)的鑒定方法���,判斷該數(shù)據(jù)是否為核心傳播設(shè)備散播的新創(chuàng)的病毒程序����。若是��,則觸發(fā)數(shù)據(jù)庫更新單元333����。
[0090]病毒程序應(yīng)防單元333���,用于若所述數(shù)據(jù)為病毒程序,則執(zhí)行以下任意一種或多種操作:
[0091]清除或隔離所述病毒程序���;
[0092]針對所述病毒程序更新病毒數(shù)據(jù)庫���;
[0093]當(dāng)檢測到用戶終端從網(wǎng)絡(luò)下載所述病毒程序時,向用戶終端發(fā)出危險警報����。
[0094]具體的,病毒程序應(yīng)防單元333對新創(chuàng)的病毒程序進(jìn)行分析后����,可清除或隔離所述病毒程序,或是設(shè)計應(yīng)對該新創(chuàng)病毒程序的進(jìn)程�����,并更新病毒數(shù)據(jù)庫��,亦或是當(dāng)檢測到用戶終端從網(wǎng)絡(luò)下載所述病毒程序時��,向用戶終端發(fā)出危險警報�����,從而提前預(yù)防上述新創(chuàng)的病毒程序通過網(wǎng)絡(luò)侵入終端����,避免用戶的信息被盜取。
[0095]可選的�,請參閱圖3,如圖所示本發(fā)明實施例中的服務(wù)器還可以包括病毒程序運行模塊340����,其中:
[0096]病毒程序運行模塊340,用于在虛擬環(huán)境中運行所述病毒程序����,進(jìn)而觸發(fā)所述病毒程序回送信息。
[0097]具體的�����,病毒程序運行模塊340在虛擬環(huán)境中�����,例如虛擬機運行環(huán)境中����,運行病毒程序���,并啟動模擬用戶操作的程序,填入虛假的賬號和密碼���,進(jìn)而觸發(fā)病毒程序回送盜取的賬號和密碼��。需要指出的是�,病毒程序會將盜取的所有信息都回送給病毒作者�����,病毒作者再進(jìn)一步檢驗信息的真?zhèn)?����,因而填入虛假的信息是可以觸發(fā)病毒程序的�����。
[0098]本發(fā)明實施例采用根據(jù)病毒程序回送信息時所指向的網(wǎng)絡(luò)地址找到其對應(yīng)的傳播設(shè)備的方法����,實現(xiàn)對病毒程序傳播設(shè)備的監(jiān)控,從而達(dá)到幫助用戶終端提前預(yù)防病毒程序的效果�����,提高用戶安全上網(wǎng)的體驗�����。
[0099]本領(lǐng)域普通技術(shù)人員可以理解實現(xiàn)上述實施例方法中的全部或部分流程��,是可以通過計算機程序來指令相關(guān)的硬件來完成�����,所述的程序可存儲于一計算機可讀取存儲介質(zhì)中����,該程序在執(zhí)行時,可包括如上述各方法的實施例的流程�����。其中�,所述的存儲介質(zhì)可為磁碟、光盤���、只讀存儲記憶體(Read-Only Memory, ROM)或隨機存儲記憶體(Random AccessMemory, RAM)等���。
[0100]以上所揭露的僅為本發(fā)明較佳實施例而已���,當(dāng)然不能以此來限定本發(fā)明之權(quán)利范圍,因此依本發(fā)明權(quán)利要求所作的等同變化����,仍屬本發(fā)明所涵蓋的范圍。
【權(quán)利要求】
1.一種病毒程序傳播設(shè)備監(jiān)控的方法���,其特征在于��,所述方法包括: 獲取病毒程序回送信息時指向的網(wǎng)絡(luò)地址�����; 根據(jù)所述網(wǎng)絡(luò)地址�,確定所述病毒程序的傳播設(shè)備���; 對所述傳播設(shè)備傳輸?shù)骄W(wǎng)絡(luò)的數(shù)據(jù)進(jìn)行監(jiān)控���。
2.如權(quán)利要求1所述的方法�,其特征在于�,所述獲取病毒程序回送信息時指向的網(wǎng)絡(luò)地址之前還包括: 在虛擬環(huán)境中運行所述病毒程序,進(jìn)而觸發(fā)所述病毒程序回送信息����。
3.如權(quán)利要求1所述的方法�����,其特征在于��,所述根據(jù)所述網(wǎng)絡(luò)地址�����,確定所述病毒程序的傳播設(shè)備包括: 在地址數(shù)據(jù)庫中����,獲取與所述網(wǎng)絡(luò)地址同類的關(guān)聯(lián)網(wǎng)絡(luò)地址; 根據(jù)所述網(wǎng)絡(luò)地址和所述關(guān)聯(lián)網(wǎng)絡(luò)地址����,確定核心傳播設(shè)備; 所述對所述傳播設(shè)備傳輸?shù)骄W(wǎng)絡(luò)的數(shù)據(jù)進(jìn)行監(jiān)控包括: 對所述核心傳播設(shè)備傳輸?shù)骄W(wǎng)絡(luò)的數(shù)據(jù)進(jìn)行監(jiān)控。
4.如權(quán)利要求3所述的方法���,其特征在于����,所述地址數(shù)據(jù)庫中記錄有所述網(wǎng)絡(luò)地址和所述關(guān)聯(lián)網(wǎng)絡(luò)地址對應(yīng)的病毒程序的上報時間����, 所述根據(jù)所述網(wǎng)絡(luò)地址和所述關(guān)聯(lián)網(wǎng)絡(luò)地址,確定核心傳播設(shè)備包括: 在所述網(wǎng)絡(luò)地址和所述關(guān)聯(lián)網(wǎng)絡(luò)地址中��,獲取所述對應(yīng)的病毒程序的上報時間最早的網(wǎng)絡(luò)地址�����; 根據(jù)所述對應(yīng)的病毒程序的上報時間最早的網(wǎng)絡(luò)地址����,確定核心傳播設(shè)備。
5.如權(quán)利要求1所述的方法���,其特征在于����,所述對所述傳播設(shè)備傳輸?shù)骄W(wǎng)絡(luò)的數(shù)據(jù)進(jìn)行監(jiān)控包括: 獲取所述傳播設(shè)備傳輸?shù)骄W(wǎng)絡(luò)的數(shù)據(jù); 判斷所述數(shù)據(jù)是否為病毒程序�; 若所述數(shù)據(jù)為病毒程序,則執(zhí)行以下任意一種或多種操作: 清除或隔離所述病毒程序�����; 針對所述病毒程序更新病毒數(shù)據(jù)庫��; 當(dāng)檢測到用戶終端從網(wǎng)絡(luò)下載所述病毒程序時�,向用戶終端發(fā)出危險警報�。
6.如權(quán)利要求1-5任一項所述的方法,其特征在于���,所述網(wǎng)絡(luò)地址包括互聯(lián)網(wǎng)協(xié)議地址或網(wǎng)絡(luò)郵箱地址���。
7.如權(quán)利要求2所述的方法,其特征在于����,所述在虛擬環(huán)境中運行所述病毒程序,進(jìn)而觸發(fā)所述病毒程序回送信息包括: 通過基于文件特征或基于行為特征的病毒鑒定方法獲取所述病毒程序����; 將獲取的所述病毒程序在虛擬機中運行,進(jìn)而觸發(fā)所述病毒程序回送信息。
8.一種服務(wù)器�����,其特征在于����,所述服務(wù)器包括: 網(wǎng)絡(luò)地址獲取模塊,用于獲取病毒程序回送信息時指向的網(wǎng)絡(luò)地址�����; 傳播設(shè)備獲取模塊�����,用于根據(jù)所述網(wǎng)絡(luò)地址��,確定所述病毒程序的傳播設(shè)備��; 傳播設(shè)備監(jiān)控模塊���,用于對所述傳播設(shè)備傳輸?shù)骄W(wǎng)絡(luò)的數(shù)據(jù)進(jìn)行監(jiān)控��。
9.如權(quán)利要求8所述的服務(wù)器��,其特征在于����,所述服務(wù)器還包括: 病毒程序運行模塊�,用于在虛擬環(huán)境中運行所述病毒程序,進(jìn)而觸發(fā)所述病毒程序回送信息��。
10.如權(quán)利要求8所述的服務(wù)器�����,其特征在于�,所述傳播設(shè)備獲取模塊包括: 關(guān)聯(lián)網(wǎng)絡(luò)地址獲取單元����,用于在地址數(shù)據(jù)庫中,獲取與所述網(wǎng)絡(luò)地址同類的關(guān)聯(lián)網(wǎng)絡(luò)地址�; 核心傳播設(shè)備確定單元,用于根據(jù)所述網(wǎng)絡(luò)地址和所述關(guān)聯(lián)網(wǎng)絡(luò)地址�,確定核心傳播設(shè)備; 所述傳播設(shè)備監(jiān)控模塊用于對所述核心傳播設(shè)備傳輸?shù)骄W(wǎng)絡(luò)的數(shù)據(jù)進(jìn)行監(jiān)控�����。
11.如權(quán)利要求10所述的服務(wù)器,其特征在于�,所述地址數(shù)據(jù)庫中記錄有所述網(wǎng)絡(luò)地址和所述關(guān)聯(lián)網(wǎng)絡(luò)地址對應(yīng)的病毒程序的上報時間, 所述核心傳播設(shè)備確定單元包括: 第一子單元���,用于在所述網(wǎng)絡(luò)地址和所述關(guān)聯(lián)網(wǎng)絡(luò)地址中�����,獲取所述對應(yīng)的病毒程序的上報時間最早的網(wǎng)絡(luò)地址���; 第二子單元,用于根據(jù)所述對應(yīng)的病毒程序的上報時間最早的網(wǎng)絡(luò)地址�����,確定核心傳播設(shè)備�。
12.如權(quán)利要求8所述的服務(wù)器,其特征在于��,所述傳播設(shè)備監(jiān)控模塊包括: 數(shù)據(jù)獲取單元����,用于獲取所述 傳播設(shè)備傳輸?shù)骄W(wǎng)絡(luò)的數(shù)據(jù); 病毒程序判斷單元����,用于判斷所述數(shù)據(jù)是否為病毒程序���; 病毒程序應(yīng)防單元,用于若所述數(shù)據(jù)為病毒程序�,則執(zhí)行以下任意一種或多種操作: 清除或隔離所述病毒程序; 針對所述病毒程序更新病毒數(shù)據(jù)庫��; 當(dāng)檢測到用戶終端從網(wǎng)絡(luò)下載所述病毒程序時���,向用戶終端發(fā)出危險警報��。
13.如權(quán)利要求8-12任一項所述的服務(wù)器�,其特征在于��,所述網(wǎng)絡(luò)地址包括互聯(lián)網(wǎng)協(xié)議地址或網(wǎng)絡(luò)郵箱地址���。
14.如權(quán)利要求9所述的服務(wù)器,其特征在于�����, 所述病毒程序運行模塊���,用于通過基于文件特征或基于行為特征的病毒鑒定方法獲取所述病毒程序�����; 將獲取的所述病毒程序在虛擬機中運行��,進(jìn)而觸發(fā)所述病毒程序回送信息�����。
【文檔編號】H04L29/06GK103763324SQ201410033395
【公開日】2014年4月30日 申請日期:2014年1月23日 優(yōu)先權(quán)日:2014年1月23日
【發(fā)明者】潘泉海, 姚輝, 劉桂峰 申請人:珠海市君天電子科技有限公司