本发明专利技术公开了一种用于内外网之间的业务的恶意代码识别方法及识别设备。该方法包括:监测内外网之间的业务;将所监测到的内外网之间的业务记录到业务数据库中;将所记录的业务的内容与恶意代码数据库中预先存储的已知恶意代码特征串进行比较,以确定该业务中是否包括所述已知恶意代码特征串;以及在确定所述业务中包括所述已知恶意代码特征串的情况下,在所述业务数据库中将该业务标记为恶意代码。由此,能够在内外网的数据交换过程中,快速、准确地识别出主动通过网络感染的恶意代码,从而保证内网通信安全。
【技术实现步骤摘要】
本专利技术涉及恶意代码识别领域,具体地,涉及一种用于内外网之间的业务的恶意代码识别方法及识别设备。
技术介绍
21世纪以来,随着信息化时代不可抵抗的趋势,互联网技术日趋发达,伴随而来的便是网络安全问题。各种攻击手段层出不穷,其中一种就是主动通过网络进行感染的恶意代码。该类方式有一种典型应用:网络蠕虫。网络蠕虫,最大的特点就是感染性与主动传播性,其需要网络作为平台。蠕虫并不需要人为干预,便可主动感染目标主机,传播它自身功能的拷贝或它的某些部分到其他的计算机系统中,并生成大量的同类型蠕虫,四处蔓延,使整个网络的环境变得越来越糟。对于企业、银行、学校或国家机关等机构,内网的通信安全是尤为重要的,因为这关系到内部数据的安全性。因此,为了防范和打击主动通过网络感染的恶意代码对内网的攻击,寻求一种在内外网数据交换的过程中,能够快速、准确地识别出该恶意代码的方法是非常必要的。
技术实现思路
本专利技术的目的是提供一种用于内外网之间的业务的恶意代码识别方法及识别设备,该识别方法及识别设备能够在内外网的数据交换过程中,快速、准确地识别出主动通过网络感染的恶意代码,从而保证内网通信安全。为了实现上述目的,本专利技术提供一种用于内外网之间的业务的恶意代码识别方法,该方法包括:监测内外网之间的业务;将所监测到的内外网之间的业务记录到业务数据库中;将所记录的业务的内容与恶意代码数据库中预先存储的已知恶意代码特征串进行比较,以确定该业务中是否包括所述已知恶意代码特征串;以及在确定所述业务中包括所述已知恶意代码特征串的情况下,在所述业务数据库中将该业务标记为恶意代码。优选地,在所述恶意代码数据库中,每种已知恶意代码特征串由唯一标识进行索引;以及在确定所述业务中包括所述已知恶意代码特征串的情况下,根据所包括的已知恶意代码特征串的标识对所述业务进行标记。优选地,所述业务至少包括源地址字段和创建时间字段,其中,所述源地址字段包括源设备地址,所述创建时间字段包括所述业务的创建时间。优选地,该方法还包括:针对被标记为恶意代码的业务,根据这些业务的所述创建时间字段、所述源地址字段、以及标记的已知恶意代码特征串的标识,确定最先被感染的源设备,和/或源设备最先被何种恶意代码感染。优选地,该方法还包括:在所述业务数据库中未被标记为恶意代码的业务被确定为是新的恶意代码的情况下,从该业务中提取新的恶意代码特征串,并将所提取的新的恶意代码特征串更新到所述恶意代码数据库中。此外,本专利技术还提供一种用于内外网之间的业务的恶意代码识别设备,该识别设备包括:用于监测内外网之间的业务的装置;用于将所监测到的内外网之间的业务记录到业务数据库中的装置;用于将所记录的业务的内容与恶意代码数据库中预先存储的已知恶意代码特征串进行比较,以确定该业务中是否包括所述已知恶意代码特征串的装置;以及用于在确定所述业务中包括所述已知恶意代码特征串的情况下,在所述业务数据库中将该业务标记为恶意代码的装置。优选地,在所述恶意代码数据库中,每种已知恶意代码特征串由唯一标识进行索引;以及在确定所述业务中包括所述已知恶意代码特征串的情况下,根据所包括的已知恶意代码特征串的标识对所述业务进行标记。优选地,所述业务至少包括源地址字段和创建时间字段,其中,所述源地址字段包括源设备地址,所述创建时间字段包括所述业务的创建时间。优选地,该识别设备还包括:用于针对被标记为恶意代码的业务,根据这些业务的所述创建时间字段、所述源地址字段、以及标记的已知恶意代码特征串的标识,确定最先被感染的源设备,和/或源设备最先被何种恶意代码感染的装置。优选地,该识别设备还包括:用于在所述业务数据库中未被标记为恶意代码的业务被确定为是新的恶意代码的情况下,从该业务中提取新的恶意代码特征串,并将所提取的新的恶意代码特征串更新到所述恶意代码数据库中的装置。在上述技术方案中,通过预先建立恶意代码数据库,并将内外网之间的业务的内容与恶意代码数据库中存储的已知恶意代码特征串进行比较,可以自动、快速、准确地识别该业务是否为恶意代码。维护人员可根据此结果采取相应手段,以消除该恶意代码对内外网通信安全的威胁。通过本专利技术提供的上述恶意代码识别方法及识别设备,能够在内外网之间有效地防范和打击主动通过网络进行感染的恶意代码的攻击,从而为内外网之间的数据交换营造安全、良好的网络环境,保证内网的数据安全。本专利技术的其他特征和优点将在随后的【具体实施方式】部分予以详细说明。【附图说明】附图是用来提供对本专利技术的进一步理解,并且构成说明书的一部分,与下面的【具体实施方式】一起用于解释本专利技术,但并不构成对本专利技术的限制。在附图中:图1示出了根据本专利技术的一种实施方式的用于内外网之间的业务的恶意代码识别方法的流程图;以及图2示出了根据本专利技术的一种实施方式的用于内外网之间的业务的恶意代码识别设备的示意图。【具体实施方式】以下结合附图对本专利技术的【具体实施方式】进行详细说明。应当理解的是,此处所描述的【具体实施方式】仅用于说明和解释本专利技术,并不用于限制本专利技术。图1示出了根据本专利技术的一种实施方式的用于内外网之间的业务的恶意代码识别方法的流程图。如图1所示,该识别方法可以包括:步骤S101,监测内外网之间的业务;步骤S102,将所监测到的内外网之间的业务记录到业务数据库中;步骤S103,将所记录的业务的内容与恶意代码数据库中预先存储的已知恶意代码特征串进行比较,以确定该业务中是否包括已知恶意代码特征串;以及步骤S104,在确定所述业务中包括已知恶意代码特征串的情况下,在所述业务数据库中将该业务标记为恶意代码。具体地,首先,在步骤S101,可以监测内外网之间的业务,其中,该业务可以包括从外网设备流入内网设备的应用层业务,和/或从内网设备流向外网设备的应用层业务。在本专利技术中,所述应用层业务可以例如为HTTP (超文本传送协议)、FTP (文件传输协议)、SMTP (简单邮件传输协议)、RPC (远程过程调用)、DNS (域名系统)等应用层业务。在监测到一条业务后(无论是从外网设备流入内网设备的应用层业务,还是从内网设备流向外网设备的应用层业务),可以进行步骤S102,S卩,将所监测到的业务记录到业务数据库中。在本专利技术中,每条业务可以包括多个字段。所述字段可以包括但不限于以下中的至少一者:用户数据字段、源地址字段、创建时间字段、目标地址字段、文件类型字段、格式控制字段、状态码字段、连接状态字段、重试间隔字段、请求方法字段等等。应当理解的是,每种字段的含义及创建方法均是本领域的技术人员公知的,对此,本专利技术在此不做具体阐述。在监测到的一条业务后,可以将该业务分字段存储在所述业务数据库中,作为业务数据库中新增的一条业务记录。可以预先建立一恶意代码数据库,在该恶意代码数据库中可以预先存储诸多已知的恶意代码特征串。这样,在步骤S102之后,就可以将业务数据库中新增的业务记录(即,上述监测到的业务)的内容与恶意代码数据库中预先存储的已知恶意代码特征串进行比较,以确定该业务中是否包括已知恶意代码特征串。例如,可以将所记录的业务的每个字段中的内容分别与恶意代码数据库中的已知恶意代码特征串进行比较,来判断该业务是否包括已知恶意代码特征串,从而识别出该业务是否是由主动通过网络进行感染的恶意代本文档来自技高网...
【技术保护点】
一种用于内外网之间的业务的恶意代码识别方法,其特征在于,该方法包括:监测内外网之间的业务;将所监测到的内外网之间的业务记录到业务数据库中;将所记录的业务的内容与恶意代码数据库中预先存储的已知恶意代码特征串进行比较,以确定该业务中是否包括所述已知恶意代码特征串;以及在确定所述业务中包括所述已知恶意代码特征串的情况下,在所述业务数据库中将该业务标记为恶意代码。
【技术特征摘要】
【专利技术属性】
技术研发人员:李轶夫,李挺,何跃鹰,朱海龙,杨克正,
申请(专利权)人:国家计算机网络与信息安全管理中心,
类型:发明
国别省市:北京;11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。