專利名稱:分布式網(wǎng)絡(luò)中通過(guò)病毒/蠕蟲監(jiān)視器進(jìn)行的網(wǎng)絡(luò)業(yè)務(wù)管理的制作方法
技術(shù)領(lǐng)域:
本發(fā)明一般涉及使用計(jì)算機(jī)的信息分析和過(guò)濾����,并且具體地說(shuō)��,涉及用于從傳送的媒體截接和刪除計(jì)算機(jī)病毒與蠕蟲的配置和方法��。
背景技術(shù):
隨著因特網(wǎng)的日益普及����,現(xiàn)有每天有成千上百萬(wàn)的用戶從其主機(jī)連接到因特網(wǎng)以進(jìn)行電子商務(wù)交易,執(zhí)行信息搜索和/或下載可執(zhí)行程序以增強(qiáng)其自己的主機(jī)的功能和性能��。這些用戶與其它主機(jī)服務(wù)器之間在因特網(wǎng)上的交互一般涉及傳送一定量的數(shù)據(jù),這些數(shù)據(jù)可包括靜態(tài)可顯示信息和可執(zhí)行的計(jì)算機(jī)代碼�����。一般而言����,靜態(tài)可顯示信息指要在主機(jī)上顯示的靜態(tài)信息,而可執(zhí)行代碼或“可執(zhí)行的”指配置為在主機(jī)上執(zhí)行以執(zhí)行某一任務(wù)的計(jì)算機(jī)指令�����。
通常��,因特網(wǎng)的大部分可下載數(shù)據(jù)是有用或至少無(wú)害的內(nèi)容材料��。然而�,存在著一類可執(zhí)行代碼,如果該類執(zhí)行代碼下載并在主機(jī)上執(zhí)行�,則可能對(duì)操作系統(tǒng)、硬件和/或主機(jī)的其它軟件施以嚴(yán)重破壞��。這些可執(zhí)行文件包括通常所述的計(jì)算機(jī)病毒和/或蠕蟲�。
計(jì)算機(jī)病毒是一段通常偽裝成其它內(nèi)容的編程代碼,它可導(dǎo)致一些意外且通常不良的事件(對(duì)于受害者而言)���。病毒通常設(shè)計(jì)為可跨網(wǎng)絡(luò)連接自動(dòng)擴(kuò)展到其它計(jì)算機(jī)用戶���。例如��,通過(guò)將病毒做為電子郵件消息的附件發(fā)送�����,通過(guò)從其它網(wǎng)站下載受感染的程序設(shè)計(jì)���,和/或通過(guò)從軟盤或CD-ROM將它們導(dǎo)入計(jì)算機(jī),均可傳送病毒���。處理電子郵件消息���、下載文件或軟盤的源應(yīng)用通常意識(shí)不到病毒���。一些病毒在其代碼執(zhí)行時(shí)施以其影響���;其它的病毒處于靜止,直至環(huán)境促使計(jì)算機(jī)執(zhí)行其代碼�����。一些病毒十分有害,導(dǎo)致硬盤需要重新格式化或以不必要的業(yè)務(wù)阻塞網(wǎng)絡(luò)��。
計(jì)算機(jī)蠕蟲很類似于病毒����,表現(xiàn)在蠕蟲是一個(gè)小的軟件,使用計(jì)算機(jī)網(wǎng)絡(luò)和安全漏洞自身拷貝���。蠕蟲的副本掃描網(wǎng)絡(luò)以檢測(cè)是否另一機(jī)器具有特定的安全漏洞����。安全漏洞一旦被發(fā)現(xiàn)��,蠕蟲便使用該安全漏洞而自身拷貝到新機(jī)器��,然后使用新感染的計(jì)算機(jī)開始自身拷貝�����,以便感染連接到該計(jì)算機(jī)的其它計(jì)算機(jī)��。雖然蠕蟲不改變文件�,但駐留在活動(dòng)存儲(chǔ)器中并自身拷貝�,蠕蟲使用自動(dòng)且用戶通?��?床坏降牟僮飨到y(tǒng)的部分����。因此��,通常只在蠕蟲不受控制的拷貝消耗系統(tǒng)資源�����,從而減慢或停止其它任務(wù)時(shí)才受注意��。
為防止蠕蟲���,計(jì)算機(jī)網(wǎng)絡(luò)(如公司局域網(wǎng)或廣域網(wǎng))的用戶和管理員長(zhǎng)期以來(lái)采用了設(shè)計(jì)成檢測(cè)和阻止蠕蟲感染計(jì)算機(jī)系統(tǒng)的多種工具���。例如,在公司局域網(wǎng)(LAN)中�,網(wǎng)絡(luò)管理員可采用代理服務(wù)器(置于LAN的主機(jī)與因特網(wǎng)之間)及各個(gè)計(jì)算機(jī),以執(zhí)行設(shè)計(jì)成防止蠕蟲感染的多種防御策略中的任一策略����。一個(gè)此類防御策略依賴計(jì)算機(jī)動(dòng)作的行為監(jiān)控。在行為監(jiān)控中���,保持了有關(guān)每個(gè)計(jì)算機(jī)采取的動(dòng)作的歷史數(shù)據(jù)庫(kù)�,該數(shù)據(jù)庫(kù)隨后由監(jiān)控程序(啟發(fā)式引擎)用于比較特定計(jì)算機(jī)執(zhí)行的當(dāng)前動(dòng)作���。在行為監(jiān)控程序認(rèn)為當(dāng)前動(dòng)作與歷史標(biāo)準(zhǔn)實(shí)質(zhì)上不同的那些情況下����,行為監(jiān)控程序?qū)⒃撎囟ǖ挠?jì)算機(jī)標(biāo)記為可能被蠕蟲感染��。一旦這樣標(biāo)記���,便可采用適當(dāng)?shù)膭?dòng)作�。
在每天防止計(jì)算機(jī)病毒和其它終端裝置病毒的努力中�,最終用戶不斷尋找接種的方式以防止此類病毒。由于常規(guī)的防病毒技術(shù)一般依賴已經(jīng)識(shí)別的病毒�����,因此�����,即使對(duì)于防病毒防火墻和各種其它防病毒保護(hù)軟件和協(xié)議嚴(yán)密防護(hù)的公司網(wǎng)絡(luò),一些病毒仍實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)的滲透和感染�����,從而造成極大的損害�����。具體而言�,常規(guī)防病毒保護(hù)通常對(duì)防止已知的計(jì)算機(jī)病毒有效,但對(duì)阻止未知的病毒可能無(wú)效����。因此,諸如連接到局域網(wǎng)(LAN)或廣域網(wǎng)(WAN)的計(jì)算機(jī)等終端裝置對(duì)于未知病毒一般無(wú)法使用常規(guī)防病毒軟件而引用有效的防病毒保護(hù)�。
連接到網(wǎng)絡(luò)的終端裝置或計(jì)算機(jī)受到滲透到網(wǎng)絡(luò)中的未知病毒的攻擊時(shí),網(wǎng)絡(luò)管理程序負(fù)責(zé)防護(hù)此類攻擊并盡快將網(wǎng)絡(luò)恢復(fù)到正常操作狀態(tài)�����。網(wǎng)絡(luò)中的準(zhǔn)備程度取決于知道病毒成功滲透公司網(wǎng)絡(luò)的概率��。
入侵檢測(cè)系統(tǒng)(IDS)產(chǎn)品通過(guò)掃描查找協(xié)議層中異常的網(wǎng)絡(luò)分組而抵消網(wǎng)絡(luò)類型的攻擊�����,包括一種在主機(jī)基礎(chǔ)IDS中稱為應(yīng)用行為監(jiān)控(ABM)的方法�����。ABM跟蹤了解目標(biāo)應(yīng)用的行為模式�,并通過(guò)允許良性(已知)行業(yè)模式通過(guò)禁止或阻止未知或惡性的行為模式而保護(hù)網(wǎng)絡(luò)系統(tǒng)。
常規(guī)防病毒軟件設(shè)置特殊的警報(bào)級(jí)別以便網(wǎng)絡(luò)系統(tǒng)的系統(tǒng)管理員及早檢測(cè)到病毒發(fā)作��。警報(bào)級(jí)別的設(shè)置變得很重要�����。如果警報(bào)級(jí)別設(shè)得太低�����,則可能引起錯(cuò)誤的計(jì)算機(jī)病毒確定����,從而使良性應(yīng)用被錯(cuò)誤地認(rèn)為是病毒。如果警報(bào)級(jí)別設(shè)得太高�,則某些計(jì)算機(jī)病毒將未被檢測(cè)到并被允許進(jìn)入網(wǎng)絡(luò)。
常規(guī)防病毒軟件仍依賴防病毒服務(wù)提供商的支持系統(tǒng)生成治療措施��。此類實(shí)踐嚴(yán)重依賴服務(wù)提供商獲得病毒樣本、實(shí)施病毒分析�����、生成適當(dāng)?shù)闹委煷胧┘皩⑺鼈儾渴鸬阶罱K用戶方面的響應(yīng)時(shí)間����。雖然此類支持系統(tǒng)在某些級(jí)別可能有效,但某些最終用戶(如公司網(wǎng)絡(luò)的系統(tǒng)管理員)仍需要提供更佳提前時(shí)間和效率以防止計(jì)算機(jī)病毒突然發(fā)作的解決方案���。
因此���,在技術(shù)上需要一種克服本領(lǐng)域中至少上述缺陷的網(wǎng)絡(luò)級(jí)別防病毒方法和系統(tǒng)。一般而言�,在技術(shù)上需要一種具有用于預(yù)計(jì)和檢測(cè)計(jì)算機(jī)病毒發(fā)作的多級(jí)別防病毒功能的防病毒方法和系統(tǒng)。具體而言�����,需要一種通過(guò)將對(duì)網(wǎng)絡(luò)業(yè)務(wù)的影響降到最低而保存網(wǎng)絡(luò)帶寬的系統(tǒng)和方法��。
發(fā)明內(nèi)容
為實(shí)現(xiàn)上述需要��,并且根據(jù)本發(fā)明的目的�,描述了用于監(jiān)控網(wǎng)絡(luò)以查找計(jì)算機(jī)病毒的系統(tǒng)和方法�。
在第一實(shí)施例中���,在互連計(jì)算裝置的分布式網(wǎng)絡(luò)中的一種網(wǎng)絡(luò)病毒/蠕蟲監(jiān)視器���。所述監(jiān)視器包括網(wǎng)絡(luò)病毒/蠕蟲感測(cè)器和可以多種模式操作��、與所述網(wǎng)絡(luò)病毒/監(jiān)視器感測(cè)器和所述網(wǎng)絡(luò)進(jìn)行通信的業(yè)務(wù)控制器��,其中��,在第一模式中�,在所述網(wǎng)絡(luò)病毒/蠕蟲感測(cè)器進(jìn)行病毒/蠕蟲感測(cè)操作期間,而所述網(wǎng)絡(luò)病毒/蠕蟲感測(cè)器在網(wǎng)絡(luò)業(yè)務(wù)中檢測(cè)到計(jì)算機(jī)病毒或計(jì)算機(jī)蠕蟲時(shí)�,所述網(wǎng)絡(luò)的帶寬實(shí)質(zhì)上不受所述業(yè)務(wù)控制器的影響,所述病毒/蠕蟲感測(cè)器使所述業(yè)務(wù)控制器切換到第二模式���,以便只有受所述檢測(cè)到的計(jì)算機(jī)病毒或計(jì)算機(jī)蠕蟲感染的那些數(shù)據(jù)分組不返回到所述網(wǎng)絡(luò)����。
在本發(fā)明的另一實(shí)施例中��,在互連計(jì)算裝置的分布式網(wǎng)絡(luò)中一種通過(guò)具有網(wǎng)絡(luò)病毒/蠕蟲感測(cè)器的網(wǎng)絡(luò)病毒/蠕蟲監(jiān)視器管理網(wǎng)絡(luò)業(yè)務(wù)的方法���。在病毒/蠕蟲感測(cè)操作期間�,在所述網(wǎng)絡(luò)病毒/蠕蟲感測(cè)器在第一模式中,所述網(wǎng)絡(luò)病毒/蠕蟲感測(cè)器在網(wǎng)絡(luò)業(yè)務(wù)中檢測(cè)到計(jì)算機(jī)病毒或計(jì)算機(jī)蠕蟲時(shí)����,網(wǎng)絡(luò)的帶寬實(shí)質(zhì)上不受所述業(yè)務(wù)控制器的影響。在計(jì)算機(jī)病毒或計(jì)算機(jī)蠕蟲被檢測(cè)到時(shí)切換到第二模式����,以便只有受所述檢測(cè)到的計(jì)算機(jī)病毒或計(jì)算機(jī)蠕蟲感染的那些數(shù)據(jù)分組不返回到所述網(wǎng)絡(luò)。
在又一實(shí)施例中�,描述了在具有多個(gè)服務(wù)器計(jì)算機(jī)和相關(guān)聯(lián)客戶機(jī)裝置的分布式網(wǎng)絡(luò)中可執(zhí)行的計(jì)算機(jī)程序產(chǎn)品,計(jì)算機(jī)程序產(chǎn)品通過(guò)具有網(wǎng)絡(luò)病毒/蠕蟲感測(cè)器的網(wǎng)絡(luò)病毒/蠕蟲監(jiān)視器管理網(wǎng)絡(luò)業(yè)務(wù)�。所述計(jì)算機(jī)程序產(chǎn)品包括用于執(zhí)行計(jì)算機(jī)病毒/蠕蟲感測(cè)操作的計(jì)算機(jī)代碼,在所述網(wǎng)絡(luò)病毒/蠕蟲感測(cè)器處于第一模式中�����,而所述網(wǎng)絡(luò)病毒/蠕蟲感測(cè)器在網(wǎng)絡(luò)業(yè)務(wù)中檢測(cè)到計(jì)算機(jī)病毒或計(jì)算機(jī)蠕蟲時(shí)�����,所述網(wǎng)絡(luò)的所述帶寬實(shí)質(zhì)上不受所述業(yè)務(wù)控制器的影響�����;用于在計(jì)算機(jī)病毒或計(jì)算機(jī)蠕蟲被檢測(cè)到時(shí)切換到第二模式的程序代碼,以便只有受所述檢測(cè)到的計(jì)算機(jī)病毒或計(jì)算機(jī)蠕蟲感染的那些數(shù)據(jù)分組不返回到所述網(wǎng)絡(luò)����;以及用于存儲(chǔ)所述計(jì)算機(jī)代碼的計(jì)算機(jī)可讀媒體。
通過(guò)參照結(jié)合附圖的以下說(shuō)明����,可最好地理解本發(fā)明及其其它優(yōu)點(diǎn)。
圖1顯示根據(jù)本發(fā)明實(shí)施例�����,具有網(wǎng)絡(luò)病毒監(jiān)視器的分布式網(wǎng)絡(luò)�����;圖2是具有活動(dòng)網(wǎng)絡(luò)病毒監(jiān)視器的圖1所示分布式網(wǎng)絡(luò)��;圖3顯示圖1的分布式網(wǎng)絡(luò)����,由此網(wǎng)絡(luò)病毒監(jiān)視器在登記所有連接的客戶機(jī)裝置���;圖4顯示圖3的分布式網(wǎng)絡(luò)���,由此網(wǎng)絡(luò)監(jiān)視器在備用模式操作并標(biāo)記了病毒事件���;圖5顯示圖2的分布式網(wǎng)絡(luò),由此網(wǎng)絡(luò)病毒監(jiān)視器內(nèi)聯(lián)模式操作�;圖6A-6B顯示根據(jù)本發(fā)明實(shí)施例,具有由于病毒發(fā)作和病毒清潔過(guò)程而產(chǎn)生的分割部分的示范分布式網(wǎng)絡(luò)��;圖7顯示根據(jù)本發(fā)明實(shí)施例的示范病毒結(jié)構(gòu)和相關(guān)聯(lián)的防病毒結(jié)構(gòu)��;圖8顯示根據(jù)本發(fā)明實(shí)施例的示范病毒監(jiān)視器�;圖9顯示在備用模式操作的圖8病毒監(jiān)視器;圖10顯示在備用模式操作的圖9所示病毒監(jiān)視器的示范安全模塊和文件掃描模塊�����;圖11顯示在內(nèi)聯(lián)模式操作的圖9所示病毒監(jiān)視器的示范安全模塊和文件掃描模塊���;圖12顯示根據(jù)本發(fā)明實(shí)施例的一個(gè)流程圖���,詳細(xì)介紹了用于監(jiān)視網(wǎng)絡(luò)以檢測(cè)病毒的進(jìn)程;
圖13顯示根據(jù)本發(fā)明實(shí)施例的一個(gè)流程圖�,詳細(xì)介紹了用于將暫時(shí)的新客戶機(jī)裝置引入網(wǎng)絡(luò)的進(jìn)程;圖14顯示根據(jù)本發(fā)明實(shí)施例的一個(gè)流程圖,詳細(xì)介紹了用于將非暫時(shí)的新客戶機(jī)裝置引入網(wǎng)絡(luò)的進(jìn)程�����;圖15顯示根據(jù)本發(fā)明實(shí)施例的一個(gè)流程圖�����,詳細(xì)介紹了網(wǎng)絡(luò)段隔離進(jìn)程��;圖16顯示根據(jù)本發(fā)明實(shí)施例的一個(gè)流程圖��,詳細(xì)介紹了病毒清潔進(jìn)程����;圖17顯示根據(jù)本發(fā)明實(shí)施例的一個(gè)流程圖,詳細(xì)介紹了用于為一組受感染計(jì)算機(jī)執(zhí)行自動(dòng)病毒清潔/治療措施的進(jìn)程�;圖18顯示根據(jù)本發(fā)明實(shí)施例��,用于自動(dòng)治療和清潔的進(jìn)程���;圖19顯示用于執(zhí)行本發(fā)明功能的計(jì)算機(jī)系統(tǒng)的系統(tǒng)方框圖�,功能包括對(duì)懷疑有計(jì)算機(jī)病毒���、蠕蟲的數(shù)據(jù)分組進(jìn)行掃描�����、刪除���、截?cái)嗪透綦x等����。
具體實(shí)施例方式
現(xiàn)在將詳細(xì)參考本發(fā)明的優(yōu)選實(shí)施例�。附圖中示出優(yōu)選實(shí)施例的一個(gè)示例。雖然結(jié)合特定的實(shí)施例描述了本發(fā)明�����,但可理解�,這不是要將本發(fā)明限制為該具體實(shí)施例。與此相反�����,這是要涵蓋可包括在如所附權(quán)利要求書定義的本發(fā)明精神和范圍內(nèi)的替代����、修改和等同物。
在網(wǎng)絡(luò)級(jí)別上,常規(guī)防病毒軟件仍依賴防病毒服務(wù)提供商的支持系統(tǒng)生成治療措施�。此類實(shí)踐嚴(yán)重依賴服務(wù)提供商獲得病毒樣本、實(shí)施病毒分析����、生成適當(dāng)?shù)闹委煷胧┘皩⑺鼈儾渴鸬阶罱K用戶方面的響應(yīng)時(shí)間。雖然此類系統(tǒng)在一些級(jí)別上可能有效����,但某些最終用戶(如公司網(wǎng)絡(luò)的系統(tǒng)管理員)仍需要提供更佳提前時(shí)間和效率以防止計(jì)算機(jī)病毒突然發(fā)作的解決方案。這是特別重要的���,因?yàn)榫W(wǎng)絡(luò)的大小在增加�,并且為網(wǎng)絡(luò)中的每個(gè)組件包含防病毒軟件的可行性費(fèi)用高得無(wú)人問(wèn)津�。另外,一旦計(jì)算機(jī)違反了網(wǎng)絡(luò)的完整性�,識(shí)別和清潔受影響計(jì)算機(jī)均將極為困難、耗時(shí)和昂貴����。這特別有意義�,因?yàn)樗惺芨腥镜挠?jì)算機(jī)必須被識(shí)別、清潔和接種以防止將來(lái)感染�����。
因此,本發(fā)明描述了一種網(wǎng)絡(luò)級(jí)別病毒監(jiān)視系統(tǒng)����,能夠根據(jù)系統(tǒng)管理員的具體需要以多個(gè)檢查模式中任一模式監(jiān)視網(wǎng)絡(luò)業(yè)務(wù)流。監(jiān)視提供了病毒攻擊的早期警告���,從而有利于針對(duì)遏制病毒發(fā)作的隔離過(guò)程�����。通過(guò)提供此類早期警告����,網(wǎng)絡(luò)病毒監(jiān)視器減少了最終受病毒攻擊影響的計(jì)算機(jī)數(shù)量����,伴隨的是減少了系統(tǒng)修復(fù)成本和停機(jī)時(shí)間量?jī)烧摺_@樣�����,本發(fā)明的網(wǎng)絡(luò)病毒監(jiān)視器在系統(tǒng)正常運(yùn)行時(shí)間提高和系統(tǒng)損失降低方面提供了大大改進(jìn)���。在此類系統(tǒng)包括在具有多個(gè)服務(wù)器計(jì)算機(jī)和相關(guān)聯(lián)客戶機(jī)裝置的分布式網(wǎng)絡(luò)中時(shí)�����,為提高其效率����,所述系統(tǒng)包括耦合到網(wǎng)絡(luò)病毒/蠕蟲感測(cè)器的網(wǎng)絡(luò)病毒感測(cè)器自登記模塊,被安排成自動(dòng)自行登記相關(guān)聯(lián)的網(wǎng)絡(luò)病毒/蠕蟲感測(cè)器�。
在本發(fā)明的一個(gè)實(shí)施例中,監(jiān)視系統(tǒng)包括耦合到多個(gè)互連計(jì)算裝置的分布式網(wǎng)絡(luò)的病毒監(jiān)視裝置�。在所述實(shí)施例中,病毒監(jiān)視裝置包括安排成檢測(cè)網(wǎng)絡(luò)的業(yè)務(wù)流中網(wǎng)絡(luò)計(jì)算機(jī)病毒的病毒監(jiān)視器���。監(jiān)視裝置也包括耦合到網(wǎng)絡(luò)監(jiān)視器的網(wǎng)絡(luò)計(jì)算機(jī)病毒發(fā)作警告單元��,被安排成提供網(wǎng)絡(luò)計(jì)算機(jī)病毒的早期警告���。對(duì)網(wǎng)絡(luò)計(jì)算機(jī)病毒發(fā)作警告單元作出響應(yīng)的網(wǎng)絡(luò)計(jì)算機(jī)病毒警告響應(yīng)單元被安排成隔開受網(wǎng)絡(luò)計(jì)算機(jī)病毒影響的網(wǎng)絡(luò)段,或者阻止網(wǎng)絡(luò)計(jì)算機(jī)病毒�。
現(xiàn)在將在互連客戶機(jī)裝置的網(wǎng)絡(luò)情境中描述本發(fā)明。此類客戶機(jī)裝置可包括臺(tái)式計(jì)算機(jī)��、膝上型計(jì)算機(jī)���、諸如個(gè)人數(shù)字助理(或PDA)的瘦客戶機(jī)裝置��、嵌入式設(shè)備等���。雖然是使用互連計(jì)算機(jī)和計(jì)算裝置的網(wǎng)絡(luò)描述,但本發(fā)明的范圍和意圖擴(kuò)展到病毒和/或蠕蟲發(fā)現(xiàn)值得攻擊的所有那些裝置�。此外,僅為此論述起見�,互連裝置彼此通過(guò)基于分組的通信協(xié)議進(jìn)行通信。此類協(xié)議包括本領(lǐng)域熟知的TCP(傳輸控制協(xié)議)/IP(因特網(wǎng)協(xié)議)���。TCP是規(guī)則集���,與IP一起使用以便通過(guò)因特網(wǎng)在計(jì)算機(jī)之間以消息單元形式發(fā)送數(shù)據(jù)。雖然IP負(fù)責(zé)處理數(shù)據(jù)的實(shí)際輸送�,但TCP負(fù)責(zé)留意消息分割成的各個(gè)數(shù)據(jù)單元(稱為分組)以便通過(guò)因特網(wǎng)有效路由。
例如�����,在超文本傳送協(xié)議(HTTP)文件從Web服務(wù)器發(fā)送時(shí)�����,該服務(wù)器中的傳輸控制協(xié)議(TCP)程序?qū)訉⑽募殖梢粋€(gè)或多個(gè)分組,為分組編號(hào)���,然后將它們各個(gè)轉(zhuǎn)發(fā)到IP程序?qū)?����。雖然每個(gè)分組具有相同的目的地IP地址����,但它可通過(guò)網(wǎng)絡(luò)不同地路由���。在客戶機(jī)計(jì)算機(jī)所處的另一端���,TCP層將各個(gè)分組重新組合,并一直等到它們到達(dá)以便將它們作為單個(gè)文件轉(zhuǎn)發(fā)���。然而�,應(yīng)注意的是�,本發(fā)明很適合與如SMTP之類的其它通信協(xié)議配合使用。
因此�,圖1顯示根據(jù)本發(fā)明實(shí)施例的在具有網(wǎng)絡(luò)病毒監(jiān)視器102的分布式網(wǎng)絡(luò)100上實(shí)現(xiàn)的病毒監(jiān)視系統(tǒng)。如圖所示��,網(wǎng)絡(luò)100是包括多個(gè)單獨(dú)的客戶機(jī)裝置104-116的分布式計(jì)算環(huán)境?�?蛻魴C(jī)裝置可采用任一計(jì)算裝置形式�,具有易受計(jì)算機(jī)病毒或蠕蟲攻擊的機(jī)上存儲(chǔ)器���。此類裝置包括但不限于計(jì)算機(jī)(臺(tái)式和膝上型)和諸如個(gè)人數(shù)字助理(PDA)的手持式瘦客戶機(jī)裝置��。
通常����,網(wǎng)絡(luò)使用地區(qū)分類�、管理分類和詳細(xì)的信息劃分為分層結(jié)構(gòu)。分層結(jié)構(gòu)因此以具有多級(jí)別的圖形式顯示���。因此����,網(wǎng)絡(luò)100按照有三層分層結(jié)構(gòu)的分層網(wǎng)絡(luò)體系結(jié)構(gòu)來(lái)構(gòu)建�。在此特定體系結(jié)構(gòu)中,各種多服務(wù)交換機(jī)用于在網(wǎng)絡(luò)的第一層(即��,例如因特網(wǎng)骨干)提供用戶服務(wù)����。
層1交換機(jī)(顯示為交換機(jī)118)可用于合并來(lái)自許多用戶的業(yè)務(wù)���,并且也可執(zhí)行根據(jù)網(wǎng)絡(luò)體系結(jié)構(gòu)的業(yè)務(wù)整形。一些情況下�,層1交換機(jī)118隨后可連接到層2交換機(jī)120,而層2交換機(jī)120又連接到層3交換機(jī)122�����,從而提供進(jìn)一步的業(yè)務(wù)集中�����。這樣�,分層體系結(jié)構(gòu)提供擴(kuò)展網(wǎng)絡(luò)可縮放性的模塊化方式,使電信公司能夠在用戶要求需要時(shí)向網(wǎng)絡(luò)拓?fù)湓黾咏粨Q能力�����。因此��,根據(jù)包括第1層�、第2層、第3層等的多層網(wǎng)絡(luò)描述網(wǎng)絡(luò)100。例如��,客戶機(jī)裝置104-116形成最低級(jí)別層(即����,第3級(jí)),而病毒監(jiān)視器102形成下一更高階層(即�,第2級(jí))等。
除提供可縮放性外��,網(wǎng)絡(luò)100的分層體系結(jié)構(gòu)提供用于網(wǎng)絡(luò)病毒監(jiān)視器102的拓?fù)溆欣ㄎ?�。例如����,在目前的情況中����,病毒監(jiān)視器102位于層2交換機(jī)122與各種客戶機(jī)裝置104-116耦合到的更低級(jí)別層3交換機(jī)124之間。這樣�,層2交換機(jī)(例如,可直接耦合到因特網(wǎng)骨干)與任一層3交換機(jī)之間的所有網(wǎng)絡(luò)業(yè)務(wù)可由任一客戶機(jī)裝置前某一點(diǎn)的病毒監(jiān)視器102監(jiān)視��。通過(guò)提供防止可能病毒攻擊的壁壘���,病毒監(jiān)視器102為病毒檢測(cè)��、病毒發(fā)作保護(hù)及需要時(shí)的病毒發(fā)作清潔和恢復(fù)提供了焦點(diǎn)�����,而這又有效地防止各種客戶機(jī)裝置受到病毒的攻擊����。應(yīng)注意的是,入塢端口125可包括在網(wǎng)絡(luò)100中����,安排成接受暫時(shí)或訪問(wèn)者客戶機(jī)裝置。
在所述實(shí)施例中�,每個(gè)病毒監(jiān)視器102耦合到控制器126,而控制器又耦合到服務(wù)器計(jì)算機(jī)128(或多個(gè)服務(wù)器計(jì)算機(jī))�,每個(gè)服務(wù)器計(jì)算機(jī)可配置為具有諸如下面以一定細(xì)節(jié)描述的監(jiān)視器、鍵盤和鼠標(biāo)等各種用戶接口裝置的獨(dú)立服務(wù)器計(jì)算機(jī)���。在所述實(shí)施例中���,服務(wù)器計(jì)算機(jī)128是網(wǎng)絡(luò)可連接的計(jì)算機(jī)或服務(wù)器裝置,如運(yùn)行UNIX操作系統(tǒng)的工作站�,或運(yùn)行Windows NTTM或Windows XPTM操作系統(tǒng)的計(jì)算機(jī)����?��?刂破?26包括用于存儲(chǔ)和獲得多個(gè)檢測(cè)規(guī)則以檢測(cè)計(jì)算機(jī)病毒的規(guī)則引擎130和發(fā)作防護(hù)政策(OPP)分配與執(zhí)行引擎132�����,該引擎132提供適合系統(tǒng)管理員使用以防止病毒發(fā)作及修復(fù)病毒發(fā)作引起的任何隨后損害的防病毒政策����、協(xié)議和過(guò)程集���。應(yīng)注意的是,在規(guī)則引擎130和在OPP分配與執(zhí)行引擎132中出現(xiàn)的檢測(cè)規(guī)則�、政策和過(guò)程可根據(jù)需要,通過(guò)服務(wù)器計(jì)算機(jī)128定期更新����。
另外,控制器126(一些情況下可能位于分開的位置)也用于在某種程度上基于觀察到的異常事件的統(tǒng)計(jì)結(jié)果�,確定不同監(jiān)視器102觀察到的異常事件是否可能為計(jì)算機(jī)病毒。另外���,服務(wù)器128可提供從已知和未知但隨后被分析的那些病毒衍生并基于那些病毒的病毒清潔代理�����。這樣��,即使在以前未知的病毒代理攻擊網(wǎng)絡(luò)100的各個(gè)組成部分的那些情況下�����,服務(wù)器128提供的病毒分析可有利于隔離操作(通過(guò)網(wǎng)絡(luò)分段協(xié)議)和隨后的病毒清潔(通過(guò)病毒清潔代理)與修復(fù)(通過(guò)病毒修復(fù)代理)�。除提供緩和或治療服務(wù)外,服務(wù)器128也能夠提供用于在那些受感染的計(jì)算機(jī)(但隨后被清潔)和那些未受感染但易受到病毒代理將來(lái)攻擊的計(jì)算機(jī)上防止將來(lái)攻擊的病毒接種代理��。在所述實(shí)施例中����,一些客戶機(jī)裝置也可包括存儲(chǔ)用于檢測(cè)計(jì)算機(jī)病毒的規(guī)則信息和參數(shù)的客戶機(jī)規(guī)則集(CRS)134。應(yīng)注意的是�����,存儲(chǔ)在CRS 134中用于檢測(cè)計(jì)算機(jī)病毒的規(guī)則信息和參數(shù)可預(yù)安裝在每個(gè)裝置中����,或者如果不存在����,可直接通過(guò)服務(wù)器128或通過(guò)控制器126和/或病毒監(jiān)視器102下載到該特定客戶機(jī)�。
在安裝階段期間(或初始化階段期間),通過(guò)收集某環(huán)境信息(如所有相關(guān)客戶機(jī)裝置的IP地址)及網(wǎng)絡(luò)100內(nèi)的自配置�,例如,通過(guò)自身為病毒監(jiān)視器102確定適當(dāng)?shù)腎P地址�,每個(gè)病毒監(jiān)視器102進(jìn)行自身登記。除自身登記外�����,病毒監(jiān)視器102將搜索適當(dāng)?shù)目刂破?26(例如�����,如最近的控制器)����,一旦找到后�,便相應(yīng)地向它登記。
具體參照?qǐng)D2��,一旦病毒監(jiān)視器102完成安裝和/或登記進(jìn)程���,控制器126便從服務(wù)器128接收最新政策和過(guò)程集的更新OPP文件135和最新病毒檢測(cè)規(guī)則的規(guī)則集136(如果需要)��。一旦控制器126接收后����,OPP文件135和規(guī)則集136便轉(zhuǎn)發(fā)到每個(gè)病毒監(jiān)視器102,以便在認(rèn)為適當(dāng)時(shí)提供最新的規(guī)則和病毒過(guò)濾器和模式����。例如,OPP文件135由OPP分配與執(zhí)行引擎132用于應(yīng)用適當(dāng)?shù)牟《菊?如��,要掃描是否有病毒的特定文件類型)����,而規(guī)則集136由規(guī)則引擎130用于實(shí)踐特定的病毒檢測(cè)規(guī)則。應(yīng)注意的是����,在任一操作平臺(tái)中可配置各種監(jiān)視器、控制器和服務(wù)器���。例如��,此類平臺(tái)包括嵌入式Linux����、基于PC的Linux或Windows(如上所述),并且在一些情況下需要更高級(jí)別資源時(shí)��,可使用Sun SPARCTM平臺(tái)等�����。
一旦各種病毒監(jiān)視器102通過(guò)最新的規(guī)則和政策進(jìn)行更新�,病毒監(jiān)視器102便將執(zhí)行防病毒安全政策執(zhí)行過(guò)程,由此耦合到病毒監(jiān)視器102的每個(gè)客戶機(jī)裝置被查詢���,以便確定該客戶機(jī)裝置是否安裝了適當(dāng)和正確的防病毒軟件����。此類適當(dāng)?shù)姆啦《拒浖砂ㄖT如加利福尼亞州庫(kù)珀蒂諾(Cupertino)的Trend Micro等任意多個(gè)公認(rèn)供應(yīng)商的任何公認(rèn)防病毒軟件等���。然而�,應(yīng)注意的是���,任何時(shí)候耦合新客戶機(jī)裝置到病毒監(jiān)視器102時(shí),也將以類似的方式查詢新連接的客戶機(jī)裝置���。
在發(fā)現(xiàn)客戶機(jī)裝置未安裝適當(dāng)?shù)姆啦《拒浖哪切┣闆r下�,病毒監(jiān)視器102具有任意數(shù)量的選擇用于響應(yīng)。大多數(shù)情況下�����,病毒監(jiān)視器102將引導(dǎo)目標(biāo)客戶機(jī)裝置(即�����,發(fā)現(xiàn)沒有適當(dāng)?shù)姆啦《拒浖目蛻魴C(jī)裝置)到防病毒安裝服務(wù)器138(這實(shí)際上可以為服務(wù)器128)��,并阻止到/自目標(biāo)客戶機(jī)裝置和所有其它地址的所有業(yè)務(wù)���,直至已正確安裝了適當(dāng)?shù)姆啦《拒浖r(shí)�����。
例如���,病毒監(jiān)視器102-1發(fā)送查詢140到每個(gè)客戶機(jī)裝置110-116,請(qǐng)求確認(rèn)每個(gè)客戶機(jī)中已安裝如OPP文件135中包含的政策所確定的適當(dāng)?shù)姆啦《拒浖?���。在收到查?40后�,每個(gè)客戶機(jī)裝置檢查實(shí)際上存在適當(dāng)?shù)姆啦《拒浖拇_認(rèn)��。如果假設(shè)就客戶機(jī)裝置116而言�,確定不存在軟件或者安裝的軟件不適當(dāng)(例如,基于OPP文件135中的政策)���,則客戶機(jī)裝置116只會(huì)被引導(dǎo)到防病毒軟件安裝服務(wù)器138而不是其它位置����。此時(shí)���,可選擇在客戶機(jī)裝置116上顯示用戶界面�,指出在安裝正確的軟件前��,客戶機(jī)裝置116將無(wú)法與其它系統(tǒng)進(jìn)行通信��。然而�,應(yīng)注意的是,可使用由于其加密而基本上對(duì)病毒感染免疫的一些傳輸協(xié)議(如HTTPS)��。
一旦在客戶機(jī)裝置116中已安裝適當(dāng)?shù)姆啦《拒浖?���,病毒監(jiān)視器102-1便釋放對(duì)用于客戶機(jī)裝置116的通信信道的鎖定。這樣��,客戶機(jī)裝置116可以與網(wǎng)絡(luò)100的其它裝置進(jìn)行通信�。
在臨時(shí)用戶要連接到網(wǎng)絡(luò)100的那些情況下,必須確定訪問(wèn)者客戶機(jī)裝置是否符合當(dāng)前政策和規(guī)則����。一般情況下,建議不要授予臨時(shí)用戶使用防病毒軟件的許可����,因?yàn)檫@不但成本高,而且將限制用于其它用戶的可用許可數(shù)量���。從訪問(wèn)者的立場(chǎng)而言�����,只在有限的時(shí)間安裝防病毒軟件也不合需要�,因?yàn)檐浖赡芘c計(jì)算機(jī)上已經(jīng)存在的防病毒軟件有抵觸���,和/或需要難以得到的計(jì)算資源�。因此,在來(lái)訪者客戶機(jī)裝置要連接到網(wǎng)絡(luò)的那些情況下��,需要另一種方案����。
具體而言,在本發(fā)明的特定實(shí)施例中��,如圖3所示����,來(lái)訪者連接到在此之前未知(對(duì)網(wǎng)絡(luò)100)的客戶機(jī)裝置125時(shí),病毒監(jiān)視器102將查詢來(lái)訪者客戶機(jī)裝置125是否存在適當(dāng)?shù)姆啦《拒浖?���。如果確定來(lái)訪者客戶機(jī)裝置125未安裝有適當(dāng)?shù)姆啦《拒浖瑒t在病毒掃描服務(wù)器模塊142(這可能是或不是防病毒軟件安裝服務(wù)器138的一部分)掃描來(lái)訪者客戶機(jī)裝置125的存儲(chǔ)器前��,到除防病毒軟件安裝服務(wù)器138外所有其它地址的訪問(wèn)均被阻止��。
一旦來(lái)訪者客戶機(jī)裝置125已被認(rèn)為是無(wú)計(jì)算機(jī)病毒���,則病毒掃描服務(wù)器142將使用令牌144傳遞到來(lái)訪者客戶機(jī)裝置125�。使用令牌144一般在有限的時(shí)間量(例如��,1小時(shí))內(nèi)有效,在此之后�,令牌必須重新驗(yàn)證。然而�����,在使用令牌144有效的時(shí)期期間����,到/自來(lái)訪者客戶機(jī)裝置125的所有信道均開通��,并可用于傳遞網(wǎng)絡(luò)業(yè)務(wù)���。為重新驗(yàn)證使用令牌144����,來(lái)訪者計(jì)算機(jī)125必須請(qǐng)求新令牌����,新令牌在一定程度上是基于來(lái)訪者客戶機(jī)裝置125仍保持無(wú)計(jì)算機(jī)病毒(或蠕蟲)的確定而授予。
此時(shí)����,所有客戶機(jī)裝置(包括任何來(lái)訪者客戶機(jī)裝置)已被確認(rèn)為具有適當(dāng)?shù)姆啦《拒浖?或具有有效的使用令牌)���,并且病毒監(jiān)視器102準(zhǔn)備開始監(jiān)視網(wǎng)絡(luò)業(yè)務(wù)是否存在計(jì)算機(jī)病毒(和/或蠕蟲)。
通常�����,病毒監(jiān)視器102根據(jù)政策和規(guī)則監(jiān)視網(wǎng)絡(luò)100的活動(dòng)是否有異常事件�,并在檢測(cè)到異常事件時(shí)生成異常報(bào)告,該報(bào)告隨后傳送到控制器126��。在一些實(shí)施例中��,控制器126確定用于檢測(cè)到的異常事件的警報(bào)級(jí)別�����,而在其它實(shí)施例中��,控制器126將異常事件信息轉(zhuǎn)發(fā)到服務(wù)器128�,服務(wù)器128將評(píng)估數(shù)據(jù),并在確定適當(dāng)時(shí)將發(fā)送早期病毒警告到網(wǎng)絡(luò)100中的其它病毒監(jiān)視器���。一些情況下���,異常報(bào)告數(shù)據(jù)被轉(zhuǎn)發(fā)到病毒攻擊警告服務(wù)器����,該服務(wù)器決定采取的動(dòng)作過(guò)程以便防止病毒擴(kuò)散����。此類動(dòng)作過(guò)程包括是否隔離網(wǎng)絡(luò)100受影響的段,生成并分配病毒清潔代理到受影響的段�,對(duì)網(wǎng)絡(luò)中的其它計(jì)算機(jī)接種以防止病毒擴(kuò)散,并最終在可能時(shí)修復(fù)病毒發(fā)作引起的所有損害��。
為保護(hù)網(wǎng)絡(luò)100���,病毒監(jiān)視器102持續(xù)監(jiān)視網(wǎng)絡(luò)業(yè)務(wù)是否有可能的病毒攻擊。任一網(wǎng)絡(luò)首要的考慮事項(xiàng)之一是可用帶寬�����,表現(xiàn)在如果完全可能的話必須避免不必要地限制帶寬(即��,不受阻礙的網(wǎng)絡(luò)業(yè)務(wù)流)的任何事物��。因此�,為將對(duì)網(wǎng)絡(luò)業(yè)務(wù)流的影響降到最低(并因此保存帶寬),病毒監(jiān)視器102初始設(shè)為在稱為備用模式的模式下運(yùn)行�����。通過(guò)備用模式,意味著允許基本上所有數(shù)據(jù)分組繼續(xù)在網(wǎng)絡(luò)100中流動(dòng)���,具有警告����,即病毒監(jiān)視器102將使用分組的拷貝以確定是否存在病毒�����。
參照?qǐng)D4���,病毒監(jiān)視器102在備用模式中監(jiān)視構(gòu)成網(wǎng)絡(luò)業(yè)務(wù)流(表示為網(wǎng)絡(luò)業(yè)務(wù)流T1)的數(shù)據(jù)分組流���。這樣,網(wǎng)絡(luò)100的帶寬受到影響最小���,因?yàn)榫W(wǎng)絡(luò)業(yè)務(wù)流在病毒監(jiān)視器102之前和之后均實(shí)質(zhì)上保持恒定����。實(shí)際上通過(guò)拷貝所有數(shù)據(jù)分組并使用拷貝的數(shù)據(jù)分組進(jìn)行其分析��,病毒監(jiān)視器102監(jiān)視網(wǎng)絡(luò)業(yè)務(wù)(即,組成數(shù)據(jù)分組)��,實(shí)現(xiàn)這種網(wǎng)絡(luò)帶寬保存����。這樣,實(shí)際上不會(huì)有由于病毒監(jiān)視器102的動(dòng)作而導(dǎo)致的數(shù)據(jù)分組丟失�。在一些實(shí)施例中,確定數(shù)據(jù)分組類型��,并基于該分組類型����,只拷貝被認(rèn)為易受病毒攻擊的那些分組類型�。這樣,執(zhí)行病毒監(jiān)視所需的資源僅限于為適當(dāng)監(jiān)視業(yè)務(wù)流所需的資源����。
在病毒監(jiān)視器102檢測(cè)到一個(gè)或多個(gè)數(shù)據(jù)分組中可能的病毒的情況下(或在可能的入侵者攻擊在進(jìn)行的情況下),病毒監(jiān)視器102生成事件標(biāo)志���。此事件標(biāo)志使用規(guī)則集136和OPP文件135�����,提供基于檢測(cè)到的病毒的信息及任何其它被認(rèn)為有用的數(shù)據(jù)�。一般情況下,事件標(biāo)志直接傳遞到控制器126����,而控制器126在一些情況下可將事件標(biāo)志轉(zhuǎn)發(fā)到服務(wù)器138以做進(jìn)一步分析和/或部署任何補(bǔ)救行動(dòng),若有的話�����。
在一些情況下���,事件標(biāo)志表示的可能威脅太嚴(yán)重���,因此,如圖5所示��,病毒監(jiān)視器102的操作模式立即從備用模式更改為稱為內(nèi)聯(lián)(inline)模式的模式����,而無(wú)需控制器126的干涉。在內(nèi)聯(lián)模式中�,業(yè)務(wù)流T1中的所有數(shù)據(jù)分組被分析而不進(jìn)行拷貝,這樣,確定為(或懷疑為)受感染的那些數(shù)據(jù)分組不許傳回到業(yè)務(wù)流中(這種情況下�,T1大于T2)。在此情況中�,病毒被禁止傳遞到網(wǎng)絡(luò)100和遍及網(wǎng)絡(luò)100。在事件本身不會(huì)觸發(fā)病毒監(jiān)視器102而將操作模式更改為內(nèi)聯(lián)模式的其它情況下�����,來(lái)自控制器126或服務(wù)器128的模式更改命令506用于觸發(fā)模式更改����。這樣,在速度對(duì)遏制可能病毒發(fā)作非常重要的那些情況下��,本發(fā)明的防病毒系統(tǒng)具有向病毒監(jiān)視器授權(quán)的額外優(yōu)點(diǎn)����。另一方面,在威脅更不太明顯或需要進(jìn)一步分析的那些情況下����,確定威脅可能性和執(zhí)行防衛(wèi)計(jì)劃的責(zé)任可集中在更高級(jí)別的分析引擎中(例如�,如系統(tǒng)管理員),從而減少誤報(bào)警和不必要的系統(tǒng)關(guān)閉����。
應(yīng)注意的是�,雖然在各個(gè)圖中未明確顯示�����,但病毒監(jiān)視器的數(shù)量可以多達(dá)適當(dāng)監(jiān)視業(yè)務(wù)流所必需的數(shù)量�����。因此��,在初期病毒攻擊的情況下�,極其需要盡可能快地確定病毒攻擊的范圍和攻擊成為普遍的病毒發(fā)作從而威脅整個(gè)網(wǎng)絡(luò)100完整性的概率。
因此���,在相關(guān)聯(lián)業(yè)務(wù)流中檢測(cè)到病毒的每個(gè)病毒監(jiān)視器102將發(fā)送對(duì)應(yīng)的事件報(bào)告到相關(guān)聯(lián)的控制器126�����。各個(gè)控制器又將各個(gè)事件報(bào)告轉(zhuǎn)發(fā)到服務(wù)器128����,在服務(wù)器中它們被整理和分析以便確定是否應(yīng)生成病毒警告508�。在生成病毒警告的情況下,病毒警告506發(fā)送到服務(wù)器128已確定最可能受病毒發(fā)作影響的那些控制器126。這樣�����,任一系統(tǒng)管理員可查看網(wǎng)絡(luò)100的當(dāng)前狀態(tài)�,并獲悉對(duì)系統(tǒng)總體或?qū)赡芤暈橹匾蔚倪x定段的可能威脅。
一旦已確定病毒發(fā)作在進(jìn)行中�����,服務(wù)器128(或一些情況下�,一個(gè)或多個(gè)控制器126)便將開始嘗試使用多種工具遏制病毒發(fā)作。一個(gè)此類工具稱為網(wǎng)絡(luò)段隔離��,該工具正如其名一樣�,從物理上將被認(rèn)為受病毒影響的網(wǎng)絡(luò)100的那些段與被認(rèn)為最可能不受影響但可能受病毒威脅的那些段隔開。例如�,在圖6A中,控制器102(如此示例中服務(wù)器128所指)設(shè)立了網(wǎng)絡(luò)段隔離協(xié)議����,由此,網(wǎng)絡(luò)段602已與網(wǎng)絡(luò)100其余部分隔開��。段602包括所有客戶機(jī)裝置104-125(包括可能恰巧在該時(shí)連接到網(wǎng)絡(luò)100的任何來(lái)訪者裝置)�。一旦隔開后,來(lái)自受影響客戶機(jī)裝置的所有業(yè)務(wù)便不再可隨意流過(guò)整個(gè)網(wǎng)絡(luò)�����,以便遏制病毒�����。一旦多個(gè)客戶機(jī)裝置已被識(shí)別為極可能受病毒V危害(如此例子中的客戶機(jī)裝置104和106)�,則受影響的客戶機(jī)裝置受到限制,這樣���,每個(gè)受影響的客戶機(jī)裝置甚至被禁止與受影響網(wǎng)絡(luò)段中那些客戶機(jī)裝置進(jìn)行通信����。例如���,受影響的客戶機(jī)裝置104和106只可彼此進(jìn)行通信�����,而不可與網(wǎng)絡(luò)段602中其它客戶機(jī)裝置108和125進(jìn)行通信�����。
一旦識(shí)別了受影響的計(jì)算機(jī)��,便將識(shí)別病毒清潔代理��,該代理在使用時(shí)具有清潔受影響的計(jì)算機(jī)��、為清潔的計(jì)算機(jī)接種以防隨后的感染和對(duì)未受影響但受到威脅的計(jì)算機(jī)接種以防病毒感染的作用���。
每個(gè)病毒至少有兩個(gè)組成部分��,并更可能有三個(gè)組成部分����。圖7說(shuō)明代表性的計(jì)算機(jī)病毒結(jié)構(gòu)700���。一般情況下�����,病毒結(jié)構(gòu)700包括檢測(cè)模塊��、感染模塊和作為在感染的計(jì)算機(jī)上執(zhí)行的動(dòng)作的有效載荷�����。有效載荷表示病毒與復(fù)制分開地執(zhí)行的那些動(dòng)作���。有效載荷可能從煩人(例如,WM97/Class-D病毒���,它重復(fù)顯示諸如“I think′username′is a big stupid jerk”的消息)到災(zāi)難(例如�����,CIH病毒��,它嘗試改寫Flash BIOS�,這對(duì)一些機(jī)器會(huì)導(dǎo)致無(wú)法修復(fù)的損害)不等���。
然而�,在有效載荷有機(jī)會(huì)造成任何損害前�,計(jì)算機(jī)病毒必須引入計(jì)算機(jī)中。此動(dòng)作由檢測(cè)模塊702和感染模塊704的動(dòng)作實(shí)現(xiàn)�。檢測(cè)模塊702確定某個(gè)特定的計(jì)算機(jī)是否已經(jīng)被病毒V感染。如果尚未感染����,則病毒V被引入該計(jì)算機(jī)的適當(dāng)部分����,在該部分感染(或有時(shí)稱為復(fù)制模塊或部分)會(huì)接手以盡量經(jīng)常復(fù)制病毒V�。一旦病毒V被成功引入和復(fù)制,每個(gè)病毒實(shí)例便將執(zhí)行其相關(guān)聯(lián)的有效載荷部分706以損害計(jì)算機(jī)系統(tǒng)����。
然而,根據(jù)本發(fā)明的一個(gè)實(shí)施例���,可使用病毒結(jié)構(gòu)700開發(fā)防病毒代理710�����,該代理具有清潔受影響計(jì)算機(jī)�,對(duì)那些計(jì)算機(jī)(和其它計(jì)算機(jī))接種以防隨后的感染和在需要時(shí)修復(fù)執(zhí)行的病毒有效載荷部分706造成的任何損害的作用����。為實(shí)現(xiàn)這些目標(biāo),防病毒結(jié)構(gòu)V1使用修改(即使從病毒V的立場(chǎng)而言可識(shí)別)的病毒結(jié)構(gòu)710�。例如,防病毒檢測(cè)模塊712仍識(shí)別受病毒V影響的那些計(jì)算機(jī)���,但不同于病毒檢測(cè)模塊702���,防病毒檢測(cè)模塊712通過(guò)引入防病毒感染模塊714而繼續(xù)感染進(jìn)程���。這樣,原病毒V由防病毒V1改寫����,由此設(shè)置最終的清理和修復(fù)階段�。一旦防病毒V1被引入,防病毒V1有效載荷部分716便修復(fù)由原病毒V造成的任何損害���。應(yīng)注意的是�,防病毒V1的導(dǎo)出直接與原病毒V的結(jié)構(gòu)相關(guān)(更象與相關(guān)聯(lián)生物病毒相關(guān)的抗體)�,并因此對(duì)防止特定的病毒、病毒類或組有效��。
再參照?qǐng)D6A�����,一旦受影響的客戶機(jī)裝置已被識(shí)別并隔開���,服務(wù)器128便釋放并引導(dǎo)防病毒代理V1到受影響的計(jì)算機(jī)(在此示例中為客戶機(jī)裝置104和106)��。防病毒代理V1繼續(xù)識(shí)別網(wǎng)絡(luò)段602中的所有計(jì)算機(jī)�����,并開始系統(tǒng)性地“感染”網(wǎng)絡(luò)段602中的所有計(jì)算機(jī)��。對(duì)于受感染的客戶機(jī)裝置104和106�,防病毒V1的檢測(cè)模塊712忽略每個(gè)裝置已經(jīng)感染了計(jì)算機(jī)病毒V的事實(shí),并繼續(xù)用防病毒代理V1“感染”這些裝置���。防病毒V1隨后繼續(xù)改寫計(jì)算機(jī)104和106中的原病毒V�����,并執(zhí)行修復(fù)有效載荷部分716���。修復(fù)有效載荷716的作用同樣取決于原病毒V造成的特定損害,并因此具體鏈接到病毒V和任何相關(guān)的病毒����。但在任一情況下,已清潔和修復(fù)的計(jì)算機(jī)隨后由防病毒V1接種�����,這樣,病毒V或相關(guān)病毒的隨后感染不可能����。
對(duì)于病毒V來(lái)感染的那些計(jì)算機(jī),防病毒代理V1用于對(duì)那些計(jì)算機(jī)接種(或可以說(shuō)“鎖上門”)以防計(jì)算機(jī)病毒V的隨后感染�����。一旦確定網(wǎng)絡(luò)段602中的所有計(jì)算機(jī)已清潔�����、修復(fù)和接種�����,或只進(jìn)行了接種��,便結(jié)束對(duì)網(wǎng)絡(luò)段602(并且更重要的是以前感染了計(jì)算機(jī)病毒V的客戶機(jī)裝置104和106)的隔離���。然而,有時(shí)要決定是否對(duì)網(wǎng)絡(luò)100中的所有客戶機(jī)裝置接種以防止病毒V�。決定必須考慮計(jì)算機(jī)病毒V的毒性、計(jì)算機(jī)病毒V的影響和至少部分由接種進(jìn)程造成的網(wǎng)絡(luò)100中斷的任何可能性。此決定可在系統(tǒng)管理員級(jí)作出���,或在一些情況下����,可基于OPP中設(shè)置的標(biāo)準(zhǔn)作出��。
例如��,參照?qǐng)D6B��,它示出針對(duì)已被病毒V感染的多個(gè)受感染客戶機(jī)裝置(即����,客戶機(jī)裝置104和106)的防病毒代理V1。另外����,多個(gè)在此之前未受感染的客戶機(jī)裝置(即,108�����、125和110-114)已被防病毒代理V1接種以防止病毒V的將來(lái)感染���。
病毒監(jiān)視器現(xiàn)在轉(zhuǎn)到病毒監(jiān)視器102的具體實(shí)施�����,可是要注意所述實(shí)施例只是示范而不限制本發(fā)明的范圍或意圖���。
相應(yīng)地�,圖8說(shuō)明病毒監(jiān)視器800�����,作為病毒監(jiān)視器102的一個(gè)可能實(shí)現(xiàn)����。相應(yīng)地,病毒監(jiān)視器800包括通過(guò)網(wǎng)絡(luò)接口804耦合到網(wǎng)絡(luò)100的業(yè)務(wù)控制器802���,網(wǎng)絡(luò)接口804包括入侵者檢測(cè)系統(tǒng)(IDS)模塊806,用于評(píng)估可能的入侵者攻擊����。此類基于入侵者的攻擊包括拒絕服務(wù)(DoS)攻擊,由此���,在短時(shí)間內(nèi)向特定的服務(wù)器計(jì)算機(jī)發(fā)出大量的請(qǐng)求����,導(dǎo)致受攻擊的服務(wù)器計(jì)算機(jī)無(wú)法給其它合法請(qǐng)求者提供訪問(wèn)。IDS模塊806基于單位時(shí)間間隔內(nèi)在病毒監(jiān)視器800的數(shù)據(jù)業(yè)務(wù)流的量而確定相關(guān)聯(lián)的警報(bào)級(jí)別�����,如果數(shù)據(jù)業(yè)務(wù)流的量在預(yù)定時(shí)期內(nèi)大于預(yù)定值�,則這被指定為異常。
一般情況下��,主機(jī)基礎(chǔ)IDS(未示出)將警報(bào)閾值設(shè)得很高以減少檢測(cè)病毒中的誤報(bào)警率���,這會(huì)導(dǎo)致在處理病毒發(fā)作方面的效率低和不靈活����。與此相反�����,協(xié)作防病毒系統(tǒng)采用多級(jí)別警報(bào)閾值���,最高的警報(bào)閾值類似于主機(jī)基礎(chǔ)IDS的閾值����。在最高閾值下,至少保持兩個(gè)更低的閾值以將不同級(jí)別的可能病毒發(fā)作的活動(dòng)分組���。在這方面應(yīng)注意的是����,在一些實(shí)施例中���,業(yè)務(wù)控制器802可以是分布式類型控制器���,并可位于遠(yuǎn)程位置。遠(yuǎn)程位置是指業(yè)務(wù)控制器802可作為分立組件實(shí)施����,每個(gè)組件彼此進(jìn)行通信但不在同一物理容器內(nèi)。然而����,在所述實(shí)施例中�,業(yè)務(wù)控制器802作為單獨(dú)的組件包括在適當(dāng)部署以監(jiān)視網(wǎng)絡(luò)100的更大裝置(如病毒監(jiān)視器102)中。
連接到業(yè)務(wù)控制器802的是安全模塊808�����,它被安排應(yīng)用所有相關(guān)的政策和規(guī)則(例如,如通過(guò)控制器接口810和控制器鏈路812由控制器126提供的一樣)�。安全模塊808還提供某個(gè)特定的數(shù)據(jù)分組是否為可能受計(jì)算機(jī)病毒感染的類型的確定。例如�����,不太可能的是��,加密類型的數(shù)據(jù)分組(如遵循HTTPS協(xié)議的那些)可能被病毒感染并因此不被傳遞以由文件掃描模塊814進(jìn)行分析���。
在操作上����,數(shù)據(jù)分組將被業(yè)務(wù)控制器802引導(dǎo)到安全模塊808�����。在病毒監(jiān)視器800處于備用模式時(shí)數(shù)據(jù)分組可以是原數(shù)據(jù)分組的拷貝���,或者在病毒監(jiān)視器處于內(nèi)聯(lián)模式時(shí)數(shù)據(jù)分組可以是原數(shù)據(jù)分組(兩者均在下面更詳細(xì)地描述)���。一旦在安全模塊808上�,安全模塊808便基于OPP文件135和規(guī)則集136中包括的組合政策���,決定該數(shù)據(jù)分組是否為最可能受某個(gè)特定病毒影響的分組�����。如果安全模塊808確定所述數(shù)據(jù)分組需要進(jìn)行病毒掃描���,則數(shù)據(jù)分組被傳遞到文件掃描模塊814以便進(jìn)一步分析。應(yīng)注意的是��,通過(guò)使用安全模塊808已知的病毒或蠕蟲的特征�����,文件掃描模塊814用于掃描任一特定文件是否有如安全模塊808確定的任一病毒和/或蠕蟲�����。在任一點(diǎn)上�,任一模塊(即,業(yè)務(wù)控制器802��、安全模塊808或文件掃描模塊814)可實(shí)時(shí)提交報(bào)告����,或作為日志提交報(bào)告,或兩者��,從而提供有關(guān)其操作和結(jié)果的細(xì)節(jié)��。在多數(shù)情況下��,病毒監(jiān)視器800響應(yīng)選擇信號(hào)S�,在操作上設(shè)為所述的備用模式。
圖9顯示根據(jù)本發(fā)明實(shí)施例�,在備用模式的病毒監(jiān)視器800的特定示例。在備用模式時(shí)��,業(yè)務(wù)控制器802中包括的或與其耦合的數(shù)據(jù)分組拷貝器單元902拷貝通過(guò)網(wǎng)絡(luò)接口804從網(wǎng)絡(luò)100傳送的每個(gè)數(shù)據(jù)分組��。應(yīng)注意的是�,在一些實(shí)現(xiàn)中,在預(yù)期到達(dá)數(shù)據(jù)分組拷貝器單元902前��,數(shù)據(jù)分組類型分析在數(shù)據(jù)分組類型分析器(未示出)執(zhí)行�。在一些情況下,如果某個(gè)特定數(shù)據(jù)分組類型被視為不太可能受某個(gè)特定計(jì)算機(jī)病毒的影響����,則該數(shù)據(jù)分組不被拷貝而只是在網(wǎng)絡(luò)業(yè)務(wù)流中在其路徑上發(fā)送�,從而保存計(jì)算機(jī)資源以用于被視為更有問(wèn)題的那些數(shù)據(jù)分組�����。
所述數(shù)據(jù)分組一旦由數(shù)據(jù)分組拷貝器單元902拷貝���,便只傳遞拷貝的數(shù)據(jù)分組到安全模塊808以進(jìn)一步分析�����。然而�����,應(yīng)注意的是���,即使在拷貝的數(shù)據(jù)分組被確定為感染有病毒的那些情況下,原數(shù)據(jù)分組仍保持在網(wǎng)絡(luò)業(yè)務(wù)流中�,造成可能的感染威脅。為此����,可選擇在內(nèi)部將病毒監(jiān)視器800立即切換到內(nèi)聯(lián)模式,而無(wú)需控制器126基于文件掃描單元814執(zhí)行的分析進(jìn)行干預(yù)。
圖10顯示作為圖9的病毒監(jiān)視器900的特定實(shí)施例的病毒監(jiān)視器1000的一部分�。在所述實(shí)施例中,安全模塊808包括安排成從數(shù)據(jù)分組拷貝器單元902接收拷貝的數(shù)據(jù)分組的分組協(xié)議確定器1006�。應(yīng)注意的是,在一些實(shí)施例中�,拷貝的數(shù)據(jù)分組可在數(shù)據(jù)分組確定器1002獲得前存儲(chǔ)在數(shù)據(jù)緩沖器中�����。這樣�����,病毒監(jiān)視器900可利用由于數(shù)據(jù)分組流的管道輸送而具有的所有優(yōu)點(diǎn)�。分組協(xié)議確定器1006的目的是為數(shù)據(jù)分組協(xié)議類型評(píng)估接收的數(shù)據(jù)分組。例如����,數(shù)據(jù)分組協(xié)議類型可以是任意數(shù)量的協(xié)議,如HTTP�����、HTTPS��、IMAP、POP3���、SMTP等����,并非所有這些協(xié)議易受計(jì)算機(jī)病毒的感染����。因此,一旦已識(shí)別數(shù)據(jù)分組協(xié)議類型���,比較器單元1008便可確定是否應(yīng)由文件掃描模塊1004進(jìn)一步處理數(shù)據(jù)分組��,或在多數(shù)情況下���,將其廢棄到垃圾收集單元1010。用于確定的基礎(chǔ)一般情況下在OPP文件135中或規(guī)則集136中�����,任何時(shí)候需要時(shí)可根據(jù)需要更新OPP文件135或規(guī)則集136��。
在比較器單元1008確定數(shù)據(jù)分組應(yīng)由文件掃描模塊1006掃描的情況下��,數(shù)據(jù)分組傳遞到病毒掃描單元1012,該單元確定數(shù)據(jù)分組是否已被病毒感染�。此確定例如是基于比較數(shù)據(jù)分組與特定病毒或病毒組的已知模式。在發(fā)現(xiàn)數(shù)據(jù)分組無(wú)任何病毒的情況下�,數(shù)據(jù)分組被丟棄在垃圾收集單元1010,而如果發(fā)現(xiàn)數(shù)據(jù)分組感染有病毒��,則在病毒分析器單元1014分析病毒��。在所述實(shí)施例中����,病毒分析可包括將病毒解析成其構(gòu)成部分���,從而暴露病毒的有效載荷部分��。這樣�����,最終可產(chǎn)生對(duì)清潔和修復(fù)均有用的防病毒代理�。在一些情況下���,病毒警告模塊1016可選擇將病毒警告1018發(fā)送到控制器126��。病毒警告具有將可能的病毒攻擊通知其它監(jiān)視器及其相關(guān)聯(lián)控制器以嘗試挫敗可能的病毒發(fā)作的作用�����。這樣��,可減輕病毒發(fā)作的任何影響��。病毒分析器1014得出的分析又呈送給控制器126以便在需要時(shí)由服務(wù)器129進(jìn)一步整理���、相關(guān)和共同研究��。
除在備用模式操作外(以保存網(wǎng)絡(luò)帶寬)�,在需要進(jìn)行數(shù)據(jù)分組的全面分析和篩選時(shí)��,也可選擇在內(nèi)聯(lián)模式操作病毒監(jiān)視器102��。雖然���,內(nèi)聯(lián)模式通過(guò)強(qiáng)制幾乎所有數(shù)據(jù)分組通過(guò)病毒監(jiān)視器102而稍微減少帶寬�,但由于任何感染的數(shù)據(jù)分組不會(huì)返回網(wǎng)絡(luò)100(如在備用模式情況下一樣)�����,而是與網(wǎng)絡(luò)100隔開以進(jìn)行分析并最終丟棄在垃圾收集單元1010,因此�,病毒發(fā)作可有效地被遏制。相應(yīng)地�,圖11顯示了根據(jù)本發(fā)明實(shí)施例,用于在內(nèi)聯(lián)模式操作的病毒監(jiān)視器1100���。在內(nèi)聯(lián)模式操作時(shí)��,病毒監(jiān)視器1100禁用了數(shù)據(jù)分組拷貝器單元902�,這樣���,所有數(shù)據(jù)分組直接發(fā)送到安全模塊808。在安全模塊808確定了某個(gè)特定數(shù)據(jù)分組不是可能被某個(gè)特定病毒影響的分組的那些情況下���,該數(shù)據(jù)分組通過(guò)網(wǎng)絡(luò)接口804傳回網(wǎng)絡(luò)100��。另一方面���,那些被認(rèn)為更可能受影響的數(shù)據(jù)分組直接傳遞到文件掃描模塊814。未發(fā)現(xiàn)病毒的那些數(shù)據(jù)分組通過(guò)網(wǎng)絡(luò)接口804被送回網(wǎng)絡(luò)業(yè)務(wù)流����,而發(fā)現(xiàn)被病毒感染的那些數(shù)據(jù)分組被保留以便進(jìn)一步的分析����、垃圾收集��、隔離等���。在一些情況下�,文件掃描單元1104將發(fā)出指示執(zhí)行的病毒分析的病毒報(bào)告1106�����。一般情況下����,報(bào)告1106將轉(zhuǎn)發(fā)到控制器126以便進(jìn)一步分析和與整個(gè)網(wǎng)絡(luò)100內(nèi)其它病毒監(jiān)視器生成的其它報(bào)告相關(guān)。
流程圖實(shí)施例現(xiàn)在將根據(jù)多個(gè)流程圖描述本發(fā)明的方法�����,每個(gè)流程圖描述實(shí)現(xiàn)本發(fā)明的特定進(jìn)程��。具體而言����,圖12-18描述了多個(gè)相互關(guān)聯(lián)的進(jìn)程��,在單獨(dú)或以任意組合方式使用時(shí)描述了本發(fā)明的各個(gè)方面���。
圖12顯示根據(jù)本發(fā)明實(shí)施例的一個(gè)流程圖,詳細(xì)介紹了用于監(jiān)視網(wǎng)絡(luò)以檢測(cè)病毒的進(jìn)程1200�。進(jìn)程1200從1202開始,在任意數(shù)量的適當(dāng)位置將病毒監(jiān)視器連接到網(wǎng)絡(luò)�����。一般情況下���,這些位置是為病毒監(jiān)視器提供對(duì)與其耦合的所有計(jì)算裝置最大可視性的那些位置�。例如���,一般情況下,在層2與層3交換機(jī)之間耦合病毒監(jiān)視器為隨后的病毒監(jiān)視提供了良好的有利點(diǎn)���。一旦病毒監(jiān)視器已連接到網(wǎng)絡(luò)�,在1204病毒監(jiān)視器便可自身登記�����。此類自身登記包括在與病毒監(jiān)視器相關(guān)聯(lián)的網(wǎng)絡(luò)中識(shí)別位置(如IP地址)和/或識(shí)別最近控制器的位置。一旦控制器已定位���,在1206病毒監(jiān)視器將自身鏈接到定位的控制器�,在該處�,病毒監(jiān)視器在1208調(diào)用初始化過(guò)程。一般情況下�����,初始化過(guò)程包括通過(guò)控制器從服務(wù)器計(jì)算機(jī)下載規(guī)則集和發(fā)作保護(hù)政策(OPP)文件�����。
一旦初始化程序完成���,在1210病毒監(jiān)視器便監(jiān)視網(wǎng)絡(luò)業(yè)務(wù)(即�����,一般情況下的數(shù)據(jù)分組流)是否有多個(gè)和多種網(wǎng)絡(luò)病毒中的任一病毒���。如果在1212檢測(cè)到病毒,則在1214識(shí)別或分析檢測(cè)到的病毒以提供身份(如果是在此之前未知的病毒)����。一旦病毒已被分析和識(shí)別�,在1216控制器獲悉病毒的身份�。此時(shí),控制器實(shí)質(zhì)上同時(shí)執(zhí)行多個(gè)操作中的任一操作�����。此類操作包括在1218重置病毒監(jiān)視器以提供過(guò)濾類型監(jiān)控���,這樣��,確定為受病毒感染的數(shù)據(jù)分組不會(huì)被傳回網(wǎng)絡(luò)業(yè)務(wù)流��。在所述實(shí)施例中�����,此特定模式稱為內(nèi)聯(lián)模式����,與最初初始化的備用模式不同��,在備用模式中�����,拷貝數(shù)據(jù)分組以進(jìn)行分析��,從而允許原數(shù)據(jù)分組返回網(wǎng)絡(luò)業(yè)務(wù)流���。
除將病毒監(jiān)視器從備用模式設(shè)為內(nèi)聯(lián)模式外�,控制器在1220識(shí)別受影響或最可能受影響的那些客戶機(jī)裝置����,并在需要高安全級(jí)別的那些情況下,控制器在1222將所有病毒監(jiān)視器的所有病毒通知相關(guān)����。基于受影響或可能受影響的客戶機(jī)裝置的識(shí)別和接收的病毒通知的相關(guān)�����,控制器在1224將確定為受影響和可能受威脅的那些客戶機(jī)裝置隔離�����。在1226,確定是否可自動(dòng)治愈病毒�。自動(dòng)治愈病毒是指從受影響的計(jì)算機(jī)消除病毒,并自動(dòng)修復(fù)任何損害�����。在一些情況下���,所有客戶機(jī)裝置被接種以防受病毒或相關(guān)病毒的進(jìn)一步感染�����。如果確定無(wú)法自動(dòng)治愈病毒��,則在1228手動(dòng)清潔受影響的客戶機(jī)裝置���,例如,在是計(jì)算機(jī)蠕蟲的情況下重新引導(dǎo)計(jì)算機(jī)系統(tǒng)��,或在最糟的情況下�,重新格式化受影響計(jì)算機(jī)的硬盤。
另一方面����,如果確定受影響的計(jì)算機(jī)可自動(dòng)治愈�,則在1230��,自動(dòng)清潔受影響計(jì)算機(jī)���,從而結(jié)束進(jìn)程1200。應(yīng)注意的是�,在無(wú)法以及時(shí)和節(jié)省成本的方式治愈計(jì)算機(jī)的病毒的不太可能的情況下,因此受影響的計(jì)算機(jī)將與網(wǎng)絡(luò)斷開連接以便保持剩余互連裝置的完整性�����。
在來(lái)訪者客戶機(jī)裝置連接到受監(jiān)視網(wǎng)絡(luò)的那些情況下�����,通過(guò)使用根據(jù)本發(fā)明實(shí)施例的圖13所示的流程圖中詳細(xì)介紹的進(jìn)程1300而將來(lái)訪者客戶機(jī)裝置引入網(wǎng)絡(luò)���。相應(yīng)地�,進(jìn)程1300從1302開始��,來(lái)訪者客戶機(jī)裝置連接到受監(jiān)視的網(wǎng)絡(luò)的一部分中包括的來(lái)訪者端口����。在1304���,確定來(lái)訪者客戶機(jī)裝置是否符合包括可接受防病毒軟件的最新網(wǎng)絡(luò)防病毒政策。如果確定來(lái)訪者客戶機(jī)裝置確實(shí)符合�����,則在1306符合的來(lái)訪者客戶機(jī)裝置被授予暫時(shí)使用令牌���,如使用令牌的條款和條件中所述一樣��,使用令牌提供有限時(shí)間量的網(wǎng)絡(luò)訪問(wèn)����。此類條款和條件可包括各種授權(quán)級(jí)別�、安全級(jí)別等。一般情況下���,使用令牌是用于持續(xù)的時(shí)期���,并且不累計(jì),因此���,將來(lái)訪者端口的可用性損失限制為只在該時(shí)期�。
另一方面,如果來(lái)訪者客戶機(jī)裝置被確定為不符合�����,則在1308來(lái)訪者客戶機(jī)裝置被掃描是否有任何活動(dòng)或潛在的病毒感染�����。如果在1310被掃描的來(lái)訪者客戶機(jī)裝置通過(guò)病毒掃描���,則在1306授予來(lái)訪者客戶機(jī)裝置使用令牌,否則在1312確定是否要繼續(xù)將來(lái)訪者客戶機(jī)裝置連接到網(wǎng)絡(luò)����。如果連接要結(jié)束,則進(jìn)程1300結(jié)束而不連接��,然而���,如果連接要繼續(xù)��,則在1314受感染的來(lái)訪者客戶機(jī)裝置被清潔并修復(fù)任何損害��,之后�,控制傳遞到1306,在該處授予來(lái)訪者客戶機(jī)裝置使用令牌���。
一旦授予了使用令牌�����,在1316便授予對(duì)網(wǎng)絡(luò)的訪問(wèn)��,在此期間����,在1318定期檢查使用令牌的有效性�。在已確定使用令牌無(wú)效的那些情況下,則在1320確定是否請(qǐng)求了新使用令牌��。如果請(qǐng)求了新的使用令牌����,則將控制傳回1308以掃描來(lái)訪者客戶機(jī)裝置,確保病毒未感染請(qǐng)求的裝置��,否則����,進(jìn)程1300正常結(jié)束���。
在一些情況下,新客戶機(jī)裝置會(huì)永久性添加到網(wǎng)絡(luò)(與來(lái)訪者客戶機(jī)裝置的暫時(shí)添加不同)����,這種情況下,圖14所示的進(jìn)程1400隨后確保符合防病毒安全政策����。相應(yīng)地����,進(jìn)程1400從1402開始,識(shí)別要添加到網(wǎng)絡(luò)的新客戶機(jī)裝置����。識(shí)別一般包括識(shí)別系統(tǒng)的類型、常駐操作系統(tǒng)��、安裝的防病毒軟件(如果有)��、網(wǎng)絡(luò)地址(如IP地址)等�。一旦正確識(shí)別了新客戶機(jī)裝置,在1404便確定正確的防病毒政策和協(xié)議集是否在適當(dāng)位置��。此類防病毒政策和協(xié)議包括正確的防病毒軟件、過(guò)濾器等��。此類適當(dāng)?shù)姆啦《拒浖砂ㄖT如加利福尼亞州庫(kù)珀蒂諾(Cupertino)的Trend Micro等任意數(shù)量的公認(rèn)供應(yīng)商的任何公認(rèn)防病毒軟件等�����。
如果確定新客戶機(jī)裝置確實(shí)在適當(dāng)位置具有正確的防病毒政策和協(xié)議����,則在1406,檢索選定的裝置信息�。此類信息可與客戶機(jī)裝置的識(shí)別及有關(guān)網(wǎng)絡(luò)連接的任何其它適當(dāng)?shù)男畔⑾嚓P(guān),并且新客戶機(jī)裝置在1408連接到網(wǎng)絡(luò)���。
另一方面����,如果確定正確的防病毒政策和協(xié)議沒有在適當(dāng)位置���,則在1410��,阻止除到防病毒軟件安裝服務(wù)器的訪問(wèn)外到所有其它地址的所有訪問(wèn)���。一旦在1412授予對(duì)防病毒軟件安裝服務(wù)器的訪問(wèn)��,在1414便確定是否要下載適當(dāng)?shù)姆啦《拒浖叫聛?lái)訪者裝置��。如果確定不下載防病毒軟件�����,則進(jìn)程1400結(jié)束�����,新客戶機(jī)裝置不連接到網(wǎng)絡(luò)���。否則�����,控制傳遞到1406�����,并最終傳遞到1408�,在該處,新客戶機(jī)裝置連接到網(wǎng)絡(luò)�。
一旦所有客戶機(jī)裝置連接到網(wǎng)絡(luò)��,任何病毒攻擊便通過(guò)構(gòu)成稱為網(wǎng)絡(luò)段隔離的防御措施而在范圍上受限制���,由此網(wǎng)絡(luò)受影響的部分在邏輯上與網(wǎng)絡(luò)未受影響的部分隔開。更具體地說(shuō)�����,圖15所示的進(jìn)程1500詳細(xì)地描述了根據(jù)本發(fā)明實(shí)施例的網(wǎng)絡(luò)隔離進(jìn)程���。相應(yīng)地���,進(jìn)程1500從1502開始,在該處���,控制器(或系統(tǒng)管理員)將各種病毒攻擊報(bào)告相關(guān)�����。在多個(gè)報(bào)告相關(guān)時(shí)��,控制器在1504確定是否確認(rèn)了病毒發(fā)作��。如果病毒發(fā)作已確認(rèn)����,則控制器在1506將受影響的客戶機(jī)裝置隔開(一般情況下通過(guò)客戶機(jī)裝置以物理或邏輯方式連接到的網(wǎng)絡(luò)節(jié)點(diǎn))。一旦發(fā)作已被確認(rèn)����,控制器便向病毒監(jiān)視器發(fā)送信號(hào),將操作模式切換到內(nèi)聯(lián)模式���,從而在1508檢查構(gòu)成網(wǎng)絡(luò)業(yè)務(wù)的所有數(shù)據(jù)分組是否有該病毒和相關(guān)病毒�����。一旦在1510病毒被識(shí)別��,控制器便在1512指示病毒監(jiān)視器只阻止受該特定病毒和相關(guān)病毒感染的那些數(shù)據(jù)分組���。
一旦病毒已被識(shí)別�,防病毒(或治療代理)便可通過(guò)根據(jù)本發(fā)明實(shí)施例的防病毒創(chuàng)建進(jìn)程1600來(lái)創(chuàng)建。相應(yīng)地�����,圖16所示的進(jìn)程1600從1602解析識(shí)別的病毒開始。解析病毒指識(shí)別病毒的各個(gè)組成部分��。此類組成部分包括感染模塊��、檢測(cè)模塊和有效載荷模塊��。一旦識(shí)別了病毒的各個(gè)組成部分��,便分析組成部分�����。更具體地說(shuō)�,在1604分析檢測(cè)模塊,在1606分析感染模塊���,并且在1608分析有效載荷模塊��。分析是指研究各個(gè)病毒組成部分��,以確定感染模塊和病毒有效載荷部分的有害作用可以在受感染系統(tǒng)上存在的情況下感染的方法�����。
應(yīng)注意的是����,分析可并發(fā)執(zhí)行或以任意適當(dāng)?shù)捻樞驁?zhí)行。一旦分析了各個(gè)組成部分����,在1610便修改感染模塊以感染已經(jīng)被病毒感染的所有計(jì)算機(jī)(不考慮某個(gè)特定計(jì)算機(jī)可能已經(jīng)被父病毒感染的事實(shí)),并且在1612修改有效載荷模塊以“鎖上門”(即���,防止病毒再感染該計(jì)算機(jī)�����,或?qū)λM(jìn)行接種以防將來(lái)的病毒攻擊)�����。一旦修改了各個(gè)模塊�����,在1614便組合檢測(cè)模塊(未修改)���、修改的感染模塊和修改的有效載荷模塊以在1616形成防病毒�����。應(yīng)注意的是,在一些情況下��,修改的有效載荷模塊提供損害修復(fù)協(xié)議���,修復(fù)由原病毒造成的損害���。
圖17顯示根據(jù)本發(fā)明實(shí)施例的一個(gè)流程圖,詳細(xì)介紹了用于為一組受感染計(jì)算機(jī)執(zhí)行自動(dòng)清潔/治愈辦法的進(jìn)程1700�����。相應(yīng)地���,進(jìn)程1700從1702開始��,獲得發(fā)現(xiàn)在感染網(wǎng)絡(luò)中多個(gè)計(jì)算機(jī)的某個(gè)特定病毒的身份�。一旦獲得身份�,在1704便接收已識(shí)別病毒的相關(guān)聯(lián)防病毒,之后�����,在1706識(shí)別受感染的計(jì)算機(jī)。識(shí)別是指不但知道物理位置�����,而且也知道邏輯位置以及與計(jì)算機(jī)相關(guān)的任何其它有關(guān)信息��。一旦識(shí)別了位置�����,便在1708確定已識(shí)別計(jì)算機(jī)中是否已安裝清潔工具��。清潔工具是指使用為該特定病毒生成的防病毒自動(dòng)清潔/治愈受感染計(jì)算機(jī)的工具���。如果未找到清潔工具�,則在1710將到/來(lái)自受感染計(jì)算機(jī)的所有業(yè)務(wù)重新路由到清潔工具服務(wù)器��,在該處�,在1712下載適當(dāng)?shù)那鍧嵐ぞ摺?br>
一旦下載了適當(dāng)?shù)那鍧嵐ぞ撸?714便清潔受感染計(jì)算機(jī)�。回到1708��,如果找到適當(dāng)?shù)那鍧嵐ぞ?��,則在1716將該清潔工具發(fā)送到網(wǎng)絡(luò)中所有受感染的計(jì)算機(jī)���,以便在1714開始清潔。在清潔完成后��,在1718對(duì)在此之前未受影響的計(jì)算機(jī)中選定的計(jì)算機(jī)進(jìn)行接種以防將來(lái)的病毒攻擊�����。
一旦形成了防病毒��,便可使用防病毒自動(dòng)清潔任何受影響的計(jì)算機(jī)以及對(duì)未受影響的計(jì)算機(jī)進(jìn)行接種���,從而防止任何將來(lái)的病毒發(fā)作�����。圖18中所示的流程圖詳細(xì)描述了自動(dòng)治愈/清潔進(jìn)程1800��,其中��,在1802防病毒檢測(cè)到計(jì)算機(jī)感染有相關(guān)聯(lián)的病毒�。一旦防病毒檢測(cè)到受影響的計(jì)算機(jī)��,在1804防病毒便感染已經(jīng)被父病毒感染的計(jì)算機(jī),而在1806防病毒將受影響的計(jì)算機(jī)中的父病毒改寫為防病毒有效載荷�����。在一些實(shí)施例中����,防病毒有效載荷的作用是通過(guò)對(duì)父病毒“鎖上門”,對(duì)受影響的計(jì)算機(jī)進(jìn)行接種以防將來(lái)的攻擊�。一旦防病毒有效載荷已被下載,在1808防病毒有效載荷便修復(fù)由父病毒造成的任何損害�����。一旦受影響的計(jì)算機(jī)已被接種并且任何損害已修復(fù)�,在1810防病毒便對(duì)未受影響的計(jì)算機(jī)進(jìn)行接種。應(yīng)注意的是�,在未受影響的計(jì)算機(jī)的情況下,由于不存在父病毒造成的損害���,因此�,防病毒有效載荷不在活動(dòng)中���,并且因而保持靜止�。
圖19顯示計(jì)算機(jī)系統(tǒng)801的系統(tǒng)方框圖,該系統(tǒng)可能要實(shí)施用于執(zhí)行本發(fā)明功能的計(jì)算系統(tǒng)300����,而這些功能包括對(duì)懷疑有計(jì)算機(jī)蠕蟲的數(shù)據(jù)分組進(jìn)行掃描、刪除��、修改和隔離�。計(jì)算機(jī)系統(tǒng)801包括顯示監(jiān)視器803和鍵盤809與鼠標(biāo)811��。計(jì)算機(jī)系統(tǒng)801還包括諸如中央處理器851�、系統(tǒng)存儲(chǔ)器853、固定儲(chǔ)存器855(例如����,硬盤驅(qū)動(dòng)器)、可移動(dòng)儲(chǔ)存器857(例如�����,CD-ROM驅(qū)動(dòng)器)���、顯示適配器859�����、聲卡861��、揚(yáng)聲器863及網(wǎng)絡(luò)接口865等子系統(tǒng)�����。中央處理器851可執(zhí)行計(jì)算機(jī)程序代碼(例如�,操作系統(tǒng))以便如本文所述實(shí)施本發(fā)明的掃描引擎的各個(gè)方面。操作系統(tǒng)通常但不一定在其執(zhí)行期間常駐在系統(tǒng)存儲(chǔ)器853中���。適用于本發(fā)明的其它計(jì)算機(jī)系統(tǒng)可包括另外的子系統(tǒng)或更少的子系統(tǒng)���。例如,另一計(jì)算機(jī)系統(tǒng)可包括不止一個(gè)處理器851(即���,多處理器系統(tǒng))或一級(jí)或多級(jí)的高速緩沖存儲(chǔ)器��。
計(jì)算機(jī)系統(tǒng)801的系統(tǒng)總線體系結(jié)構(gòu)由箭頭867表示�����。然而�,這些箭頭是說(shuō)明用于鏈接子系統(tǒng)的任一互連方案。例如���,本地總線可用于將中央處理器連接到系統(tǒng)存儲(chǔ)器和顯示適配器�����。圖6所示的計(jì)算機(jī)系統(tǒng)801只是適用于本發(fā)明的一個(gè)計(jì)算機(jī)系統(tǒng)示例����。也可利用具有不同子系統(tǒng)配置的其它計(jì)算機(jī)體系結(jié)構(gòu)�����。
雖然描述了病毒過(guò)濾器��,但可理解��,本領(lǐng)域的技術(shù)人員經(jīng)常變換使用有關(guān)惡意代碼的術(shù)語(yǔ)��。因此���,術(shù)語(yǔ)“計(jì)算機(jī)蠕蟲”可包括任何類型的惡意或者在計(jì)算機(jī)上自身存在的不期望或想不到的計(jì)算機(jī)代碼,而無(wú)論代碼是否稱為“病毒”���、“蠕蟲”��、“特洛伊木馬”等��。此外���,雖然以一定的細(xì)節(jié)描述了上述發(fā)明以便于清楚地理解�����,但將明白��,在不脫離隨附權(quán)利要求書的范圍的情況下可實(shí)行某些更改和修改���。因此,所述實(shí)施例應(yīng)視為說(shuō)明而不是限制�����,并且本發(fā)明不應(yīng)限于本文給出的細(xì)節(jié)而應(yīng)由隨附權(quán)利要求書及其等同物的完整范圍來(lái)限定�。
權(quán)利要求
1.在互連計(jì)算裝置的分布式網(wǎng)絡(luò)中的一種網(wǎng)絡(luò)病毒/蠕蟲監(jiān)視器,它包括網(wǎng)絡(luò)病毒/蠕蟲感測(cè)器����;以及可以多種模式操作�、與所述網(wǎng)絡(luò)病毒/監(jiān)視器感測(cè)器和所述網(wǎng)絡(luò)進(jìn)行通信的業(yè)務(wù)控制器���,其中���,在第一模式中,在所述網(wǎng)絡(luò)病毒/蠕蟲感測(cè)器進(jìn)行病毒/蠕蟲感測(cè)操作期間����,所述網(wǎng)絡(luò)的帶寬實(shí)質(zhì)上不受所述業(yè)務(wù)控制器的影響,其中����,當(dāng)所述網(wǎng)絡(luò)病毒/蠕蟲感測(cè)器在網(wǎng)絡(luò)業(yè)務(wù)中檢測(cè)計(jì)算機(jī)病毒或計(jì)算機(jī)蠕蟲時(shí),所述病毒/蠕蟲感測(cè)器使所述業(yè)務(wù)控制器切換到第二模式�,以便只有受所檢測(cè)的計(jì)算機(jī)病毒或計(jì)算機(jī)蠕蟲感染的那些數(shù)據(jù)分組不返回到所述網(wǎng)絡(luò)���。
2.如權(quán)利要求1所述的監(jiān)視器���,其中被認(rèn)為受所識(shí)別的計(jì)算機(jī)病毒或計(jì)算機(jī)蠕蟲感染的那些數(shù)據(jù)分組被轉(zhuǎn)發(fā)至耦合到所述網(wǎng)絡(luò)計(jì)算機(jī)病毒/蠕蟲感測(cè)器的病毒/蠕蟲分析器單元。
3.如權(quán)利要求2所述的監(jiān)視器�����,其中在所述第一模式中,所述業(yè)務(wù)控制器實(shí)質(zhì)上拷貝網(wǎng)絡(luò)業(yè)務(wù)中包括的所有數(shù)據(jù)分組��。
4.如權(quán)利要求3所述的監(jiān)視器��,其中��,實(shí)質(zhì)上所有所拷貝的數(shù)據(jù)分組被轉(zhuǎn)發(fā)到所述病毒/蠕蟲分析器單元�����。
5.如權(quán)利要求4所述的監(jiān)視器�����,在所述病毒/蠕蟲分析器單元��,所拷貝的數(shù)據(jù)分組被轉(zhuǎn)發(fā)到分組協(xié)議確定器�����,所述分組協(xié)議確定器確定所拷貝的數(shù)據(jù)分組的分組協(xié)議是否為可能受所檢測(cè)的計(jì)算機(jī)病毒或計(jì)算機(jī)蠕蟲感染的分組協(xié)議�����。
6.如權(quán)利要求5所述的監(jiān)視器�����,還包括廢物收集器,被安排成接收被確定為屬于不可能受所檢測(cè)的計(jì)算機(jī)病毒或計(jì)算機(jī)蠕蟲感染的協(xié)議的那些拷貝數(shù)據(jù)分組����;文件掃描單元,被安排成接收和分析被確定為屬于可能受所檢測(cè)的計(jì)算機(jī)病毒或計(jì)算機(jī)蠕蟲感染的協(xié)議的那些拷貝數(shù)據(jù)分組���。
7.如權(quán)利要求5所述的監(jiān)視器����,還包括病毒/蠕蟲分析器單元��,被安排成確定在所述文件掃描單元接收的那些拷貝數(shù)據(jù)分組是否受所檢測(cè)的計(jì)算機(jī)病毒或計(jì)算機(jī)蠕蟲感染�,其中,那些確定為不受感染的分組被轉(zhuǎn)發(fā)到所述廢物收集器����;病毒分析單元,被安排成分析所感染的拷貝數(shù)據(jù)分組����;以及病毒報(bào)告模塊�����,被安排成基于所述分析生成病毒報(bào)告。
8.如權(quán)利要求2所述的監(jiān)視器���,其特征在于在所述第二模式中�����,只有網(wǎng)絡(luò)業(yè)務(wù)中懷疑被所檢測(cè)的計(jì)算機(jī)病毒或計(jì)算機(jī)蠕蟲感染的那些原數(shù)據(jù)分組被所述業(yè)務(wù)控制器轉(zhuǎn)發(fā)到所述病毒/蠕蟲分析器單元��。
9.如權(quán)利要求8所述的監(jiān)視器�����,在所述病毒/蠕蟲分析器單元����,所述原數(shù)據(jù)分組被轉(zhuǎn)發(fā)到分組協(xié)議確定器���,所述分組協(xié)議確定器確定所拷貝的數(shù)據(jù)分組的分組協(xié)議是否為可能受所檢測(cè)的計(jì)算機(jī)病毒或計(jì)算機(jī)蠕蟲感染的分組協(xié)議����。
10.如權(quán)利要求9所述的監(jiān)視器����,還包括網(wǎng)絡(luò)接口����,被安排成將確定為屬于不可能受所檢測(cè)的計(jì)算機(jī)病毒或計(jì)算機(jī)蠕蟲感染的協(xié)議的那些原數(shù)據(jù)分組返回到所述網(wǎng)絡(luò)業(yè)務(wù)����,其中,所述文件掃描單元接收和分析被確定為屬于可能受所檢測(cè)的計(jì)算機(jī)病毒或計(jì)算機(jī)蠕蟲感染的協(xié)議的那些原數(shù)據(jù)分組����。
11.如權(quán)利要求10所述的監(jiān)視器,其中所述病毒/蠕蟲分析器單元確定在所述文件掃描單元接收的那些原數(shù)據(jù)分組是否受所檢測(cè)的計(jì)算機(jī)病毒或計(jì)算機(jī)蠕蟲感染���,其中�����,確定為未受感染的那些分組被轉(zhuǎn)發(fā)到所述網(wǎng)絡(luò)接口以便返回到所述網(wǎng)絡(luò)業(yè)務(wù)���,并且其中所述病毒分析單元分析所感染的原數(shù)據(jù)分組,且所述病毒報(bào)告模塊基于所述分析生成病毒報(bào)告��。
12.如權(quán)利要求1所述的監(jiān)視器�,其中所述第一模式為內(nèi)聯(lián)模式,并且所述第二模式為備用模式���。
13.在互連計(jì)算裝置的分布式網(wǎng)絡(luò)中一種通過(guò)具有網(wǎng)絡(luò)病毒/蠕蟲感測(cè)器的網(wǎng)絡(luò)病毒/蠕蟲監(jiān)視器管理網(wǎng)絡(luò)業(yè)務(wù)的方法�,它包括在病毒/蠕蟲感測(cè)操作期間���,在所述網(wǎng)絡(luò)病毒/蠕蟲感測(cè)器在第一模式中�,所述網(wǎng)絡(luò)的帶寬實(shí)質(zhì)上不受業(yè)務(wù)控制器的影響����,其中在所述網(wǎng)絡(luò)病毒/蠕蟲感測(cè)器在網(wǎng)絡(luò)業(yè)務(wù)中檢測(cè)到計(jì)算機(jī)病毒或計(jì)算機(jī)蠕蟲時(shí);以及在計(jì)算機(jī)病毒或計(jì)算機(jī)蠕蟲被檢測(cè)到時(shí)切換到第二模式��,以便只有受所檢測(cè)的計(jì)算機(jī)病毒或計(jì)算機(jī)蠕蟲感染的那些數(shù)據(jù)分組不返回到所述網(wǎng)絡(luò)�����。
14.如權(quán)利要求13所述的方法�,還包括實(shí)質(zhì)上拷貝所有數(shù)據(jù)分組。
15.如權(quán)利要求14所述的方法�,其中在所述第一模式中,所述業(yè)務(wù)控制器實(shí)質(zhì)上拷貝所述網(wǎng)絡(luò)業(yè)務(wù)中包括的所有數(shù)據(jù)分組�;以及將所拷貝的數(shù)據(jù)分組轉(zhuǎn)發(fā)到病毒/蠕蟲分析器單元。
16.如權(quán)利要求15所述的方法,包括將所拷貝的數(shù)據(jù)分組轉(zhuǎn)發(fā)到分組協(xié)議確定器����;以及確定所拷貝數(shù)據(jù)分組的分組協(xié)議是否為可能受所檢測(cè)的計(jì)算機(jī)病毒或計(jì)算機(jī)蠕蟲感染的分組協(xié)議。
17.如權(quán)利要求16所述的方法��,還包括在廢物收集器接收被確定為屬于不可能受所檢測(cè)的計(jì)算機(jī)病毒或計(jì)算機(jī)蠕蟲感染的協(xié)議的那些拷貝數(shù)據(jù)分組���;以及在文件掃描單元接收和分析被確定為屬于可能受所檢測(cè)的計(jì)算機(jī)病毒或計(jì)算機(jī)蠕蟲感染的協(xié)議的那些拷貝數(shù)據(jù)分組�����。
18.如權(quán)利要求17所述的方法�����,還包括由病毒/蠕蟲分析器單元確定在所述文件掃描單元接收的那些拷貝數(shù)據(jù)分組是否受所檢測(cè)的計(jì)算機(jī)病毒或計(jì)算機(jī)蠕蟲感染�����;將確定為未受感染的那些分組轉(zhuǎn)發(fā)到所述廢物收集器���;分析所感染的拷貝數(shù)據(jù)分組;以及基于所述分析生成病毒報(bào)告��。
19.如權(quán)利要求14所述的方法,包括其中在所述第二模式中�����,只將所述網(wǎng)絡(luò)業(yè)務(wù)中懷疑被所檢測(cè)的計(jì)算機(jī)病毒或計(jì)算機(jī)蠕蟲感染的那些原數(shù)據(jù)分組轉(zhuǎn)發(fā)到所述病毒/蠕蟲分析器單元��。
20.如權(quán)利要求19所述的方法�����,在所述病毒/蠕蟲分析器單元����,將所述原數(shù)據(jù)分組轉(zhuǎn)發(fā)到分組協(xié)議確定器�;以及確定所述拷貝數(shù)據(jù)分組的分組協(xié)議是否為可能受所檢測(cè)的計(jì)算機(jī)病毒或計(jì)算機(jī)蠕蟲感染的分組協(xié)議。
21.如權(quán)利要求20所述的方法�����,還包括只將確定為屬于不可能受所檢測(cè)的計(jì)算機(jī)病毒或計(jì)算機(jī)蠕蟲感染的協(xié)議的那些原數(shù)據(jù)分組返回到所述網(wǎng)絡(luò)業(yè)務(wù)�;以及分析確定為屬于可能受所檢測(cè)的計(jì)算機(jī)病毒或計(jì)算機(jī)蠕蟲感染的協(xié)議的那些原數(shù)據(jù)分組。
22.如權(quán)利要求21所述的方法�,包括確定在所述文件掃描單元接收的那些原數(shù)據(jù)分組是否受所檢測(cè)的計(jì)算機(jī)病毒或計(jì)算機(jī)蠕蟲感染;將確定為未受感染的那些分組轉(zhuǎn)發(fā)到網(wǎng)絡(luò)接口以返回到所述網(wǎng)絡(luò)業(yè)務(wù)����;以及基于所述分析生成病毒報(bào)告�����。
23.如權(quán)利要求13所述的監(jiān)視器�,其中所述第一模式為內(nèi)聯(lián)模式��,并且所述第二模式為備用模式���。
24.通過(guò)具有網(wǎng)絡(luò)病毒/蠕蟲感測(cè)器的網(wǎng)絡(luò)病毒/蠕蟲監(jiān)視器管理網(wǎng)絡(luò)業(yè)務(wù)的計(jì)算機(jī)程序產(chǎn)品�����,它包括用于執(zhí)行計(jì)算機(jī)病毒/蠕蟲感測(cè)操作的計(jì)算機(jī)代碼�,在所述網(wǎng)絡(luò)病毒/蠕蟲感測(cè)器在第一模式中�,所述網(wǎng)絡(luò)的帶寬實(shí)質(zhì)上不受業(yè)務(wù)控制器的影響,其中在所述網(wǎng)絡(luò)病毒/蠕蟲感測(cè)器在網(wǎng)絡(luò)業(yè)務(wù)中檢測(cè)計(jì)算機(jī)病毒或計(jì)算機(jī)蠕蟲時(shí)�;用于在計(jì)算機(jī)病毒或計(jì)算機(jī)蠕蟲被檢測(cè)到時(shí)切換到第二模式的計(jì)算機(jī)代碼,以便只有受所檢測(cè)的計(jì)算機(jī)病毒或計(jì)算機(jī)蠕蟲感染的那些數(shù)據(jù)分組不返回到所述網(wǎng)絡(luò)����;以及用于存儲(chǔ)所述計(jì)算機(jī)代碼的計(jì)算機(jī)可讀媒體。
25.如權(quán)利要求24所述的計(jì)算機(jī)程序產(chǎn)品�,還包括用于由所述業(yè)務(wù)控制器實(shí)質(zhì)上拷貝所述網(wǎng)絡(luò)業(yè)務(wù)中包括的所有數(shù)據(jù)分組的計(jì)算機(jī)代碼����。
26.如權(quán)利要求25所述的計(jì)算機(jī)程序產(chǎn)品���,其中在所述第一模式中���,用于將所拷貝的數(shù)據(jù)分組轉(zhuǎn)發(fā)到所述病毒/蠕蟲分析器單元的計(jì)算機(jī)代碼。
27.如權(quán)利要求26所述的計(jì)算機(jī)程序產(chǎn)品�,包括用于將所拷貝的數(shù)據(jù)分組轉(zhuǎn)發(fā)到分組協(xié)議確定器的計(jì)算機(jī)代碼�;以及用于確定所述拷貝數(shù)據(jù)分組的分組協(xié)議是否為可能受所檢測(cè)的計(jì)算機(jī)病毒或計(jì)算機(jī)蠕蟲感染的分組協(xié)議的計(jì)算機(jī)代碼。
28.如權(quán)利要求27所述的計(jì)算機(jī)程序產(chǎn)品�����,還包括用于在廢物收集器接收被確定為屬于不可能受所檢測(cè)的計(jì)算機(jī)病毒或計(jì)算機(jī)蠕蟲感染的協(xié)議的那些拷貝數(shù)據(jù)分組的計(jì)算機(jī)代碼�����;以及用于在文件掃描單元接收和分析被確定為屬于可能受所檢測(cè)的計(jì)算機(jī)病毒或計(jì)算機(jī)蠕蟲感染的協(xié)議的那些拷貝數(shù)據(jù)分組的計(jì)算機(jī)代碼���。
29.如權(quán)利要求28所述的計(jì)算機(jī)程序產(chǎn)品���,還包括用于通過(guò)病毒/蠕蟲分析器單元確定在所述文件掃描單元接收的那些拷貝數(shù)據(jù)分組是否受所檢測(cè)的計(jì)算機(jī)病毒或計(jì)算機(jī)蠕蟲感染的計(jì)算機(jī)代碼�����;用于將確定為未受感染的那些分組轉(zhuǎn)發(fā)到所述廢物收集器的計(jì)算機(jī)代碼��;用于分析所感染的拷貝數(shù)據(jù)分組的計(jì)算機(jī)代碼�����;以及用于基于所述分析生成病毒報(bào)告的計(jì)算機(jī)代碼����。
30.如權(quán)利要求29所述的計(jì)算機(jī)程序產(chǎn)品���,包括其中在所述第二模式中���,用于只將所述網(wǎng)絡(luò)業(yè)務(wù)中懷疑被所檢測(cè)的計(jì)算機(jī)病毒或計(jì)算機(jī)蠕蟲感染的那些原數(shù)據(jù)分組轉(zhuǎn)發(fā)到所述病毒/蠕蟲分析器單元的計(jì)算機(jī)代碼。
31.如權(quán)利要求30所述的計(jì)算機(jī)程序產(chǎn)品����,在所述病毒/蠕蟲分析器單元,用于將所述原數(shù)據(jù)分組轉(zhuǎn)發(fā)到分組協(xié)議確定器的計(jì)算機(jī)代碼�;以及用于確定所述拷貝數(shù)據(jù)分組的分組協(xié)議是否為可能受所檢測(cè)的計(jì)算機(jī)病毒或計(jì)算機(jī)蠕蟲感染的分組協(xié)議的計(jì)算機(jī)代碼。
32.如權(quán)利要求31所述的計(jì)算機(jī)程序產(chǎn)品���,還包括用于只將確定為屬于不可能受所檢測(cè)的計(jì)算機(jī)病毒或計(jì)算機(jī)蠕蟲感染的協(xié)議的那些原數(shù)據(jù)分組返回到所述網(wǎng)絡(luò)業(yè)務(wù)的計(jì)算機(jī)代碼����;以及用于分析被確定為屬于可能受所檢測(cè)的計(jì)算機(jī)病毒或計(jì)算機(jī)蠕蟲感染的協(xié)議的那些原數(shù)據(jù)分組的計(jì)算機(jī)代碼。
33.如權(quán)利要求32所述的計(jì)算機(jī)程序產(chǎn)品��,包括用于確定在所述文件掃描單元接收的那些原數(shù)據(jù)分組是否受所檢測(cè)的計(jì)算機(jī)病毒或計(jì)算機(jī)蠕蟲感染�、將確定為未受感染的那些分組轉(zhuǎn)發(fā)到網(wǎng)絡(luò)接口以便返回到所述網(wǎng)絡(luò)業(yè)務(wù)的計(jì)算機(jī)代碼;以及用于基于所述分析生成病毒報(bào)告的計(jì)算機(jī)代碼����。
全文摘要
本發(fā)明公開了一種網(wǎng)絡(luò)級(jí)別病毒監(jiān)視系統(tǒng),能夠根據(jù)系統(tǒng)管理員的特殊需要監(jiān)視多個(gè)檢查模式中任一模式的網(wǎng)絡(luò)業(yè)務(wù)流����。系統(tǒng)包括連接到網(wǎng)絡(luò)病毒/蠕蟲感測(cè)器的網(wǎng)絡(luò)病毒感測(cè)器自登記模塊��,用于自動(dòng)自行登記相關(guān)聯(lián)的網(wǎng)絡(luò)病毒/蠕蟲感測(cè)器�����。監(jiān)視提供了病毒攻擊的早期警告�,從而有利于針對(duì)遏制病毒發(fā)作的隔離過(guò)程。通過(guò)提供此類早期警告��,網(wǎng)絡(luò)病毒監(jiān)視器減少了最終受病毒攻擊影響的計(jì)算機(jī)數(shù)量,伴隨的是減少了系統(tǒng)修復(fù)成本和停機(jī)時(shí)間量?jī)烧?�。這樣��,本發(fā)明的網(wǎng)絡(luò)病毒監(jiān)視器在系統(tǒng)正常運(yùn)行時(shí)間和系統(tǒng)損失降低方面提供了極大的改進(jìn)���。
文檔編號(hào)G06F11/30GK1871571SQ200480031562
公開日2006年11月29日 申請(qǐng)日期2004年8月27日 優(yōu)先權(quán)日2003年8月29日
發(fā)明者Y·C·梁, Y·F·陳 申請(qǐng)人:株式會(huì)社特倫德麥克羅