一种网络化病毒源的挖掘方法,其步骤包括:a.建立提供原始病毒信息的病毒信息获取模块1,b.建立对原始病毒信息进行筛选的病毒信息组织模块2,建立对经筛选的病毒信息进行分析的病毒信息分析模块3,使用本发明专利技术的病毒源挖掘方法,可以实现对网络病毒的自动地、实时地追踪发现,增加了对病毒的追踪发现的可靠性。(*该技术在2021年保护过期,可自由使用*)
【技术实现步骤摘要】
本专利技术涉及一种计算机病毒源的挖掘方法,特别是关于计算机网络病毒源的挖掘方法。它的优点利用计算机安全专家的知识,确实可以比较可靠的找到病毒的根源。它的缺点是a)只有当病毒发作,并造成严重危害,引起了人们的注意时,才会对网络化病毒进行追踪,缺乏对所有病毒追踪的机制;b)病毒源的追踪只有一小部分计算机安全专家才能完成,对网络上大量的病毒来说,缺乏病毒源的追踪的普遍的手段;c)病毒源的追踪还处于人工阶段,它的时延性很强,即在网络化病毒发作时,并不能立即得到病毒源,而需要专家做大量的分析之后,才能有结果,这需要相当长的时间,有时候这个时延是不能忍受的。本专利技术的实现步骤包括建立提供原始病毒信息的病毒信息获取模块,建立对原始病毒信息进行筛选的病毒信息组织模块和建立对经筛选的病毒信息进行分析的病毒信息分析模块。上述的病毒信息获取模块是从网络上获得大量的计算机病毒发作时病毒和计算机的信息,该病毒信息获取模块包括依次以病毒信息流相联结的若干台病毒防范节点、至少一台病毒分中心服务器和一台病毒中心服务器构成的三级病毒防范体系,所有的病毒分中心服务器分别连接该台病毒中心服务器和各台病毒防范节点分别就近连接一台病毒分中心服务器,从而获得网络化病毒信息,它包含了由该病毒防范体系监测的所有计算机病毒的记录,这些记录包括病毒的来源,病毒到达的日期、病毒发送的目的地、病毒的主要特征等;上述病毒信息组织模块包括设在该病毒中心服务器上的依次联结的病毒信息数据库、网页(Web)服务器和网页浏览器,其对从病毒信息获取模块得到的病毒信息进行组织,存储,查询,修改等;病毒信息组织模块从病毒信息获取模块得到病毒信息后,把信息存储在病毒中心服务器的数据库中,该数据库提供数据记录的操作接口,该病毒中心服务器的网站调用这个接口,可以对病毒信息进行查询,修改,增加,删除和打印等操作;上述的病毒信息分析模块包括设在病毒中心服务器上的若干个后接该病毒信息数据库的病毒信息分析记录块和病毒源挖掘块。该病毒中心服务器调用该病毒信息数据库所提供的数据记录接口,对病毒中心服务器上数据库中的病毒信息进行统计、分析和挖掘,并先后记录在该病毒信息分析记录块和病毒源挖掘块上,所说的分析包括病毒信息的递归分析,聚类分析等。递归分析是对病毒数据库进行病毒目的地址和源地址的匹配分析,如果一条计算机病毒传播途径的源地址和另一条计算机病毒传播途径的目的地址相同,便认为它们在同一条传播途径上,通过类似的分析可以在数据库记录中挖掘出病毒的来源,以及传播病毒的途径;聚类分析,就是对大量的病毒发作信息的特征进行匹配,如果它们的特征相似,便把它们放到一起,当有大量的计算机病毒信息时,便定义病毒特征的相似程度,并划分不同的级别,相同,相似,次相似等,再对每个级别中病毒的特征进行分析,获得他们的共同的特征。本专利技术的积极效果是通过本专利技术病毒源挖掘方法技术,实现了对网络病毒自动的,实时的追踪发现,增加了追踪发现的可靠性。图2是本专利技术的病毒信息获取模块结构示意图。图3是本专利技术的病毒信息组织模块结构示意图。图4是本专利技术的病毒信息分析模块结构示意图。请参阅附图说明图1和图2,本实施例中共有五台病毒防范节点13、二台病毒分中心服务器12和一台病毒中心服务器11,它们自下而上(即由病毒防范节点13—>病毒分中心服务器12—>病毒中心服务器11)依次以病毒信息流相连接,二台病毒分中心服务器12分别连接该台病毒中心服务器11,三台病毒防范节点13——个人计算机、小型计算机和工作站就近连接一台病毒分中心服务器12,而另二台病毒防范节点13——电子邮件服务器和文件服务器则就近连接另一台病毒分中心服务器12,从而构建成本专利技术的病毒信息获取模块1。从病毒防范节点13所提供的原始病毒信息流,其包括三级体系所监测的所有计算机病毒记录,含有病毒的来源、到达日期、发送目的地和病毒主要特征等。请参阅图1和图3,如图所示,本实施例中,病毒信息组织模块2包括依次连接的病毒信息数据库1121、Web(网页)服务器1122和Web浏览器1123,它们设在该病毒中心服务器11上,从该病毒信息获取模块1取得的原始病毒信息数据存放在该病毒信息数据库1121中,该数据库1121设有数据记录接口,该病毒中心服务器11的网站调用该接口,对病毒信息进行信息查询、修改、增加、删除和打印等操作。请参阅图1和图4,如图所示,本实施例中,病毒信息分析模块3包括依次后接于该病毒信息数据库1121之后的若干个病毒信息分析记录块1131和病毒源挖掘块1132,例如,根据对病毒信息数据库的监测记录,由统计分析获得病毒来源经由计算机A—>B,由B—>C,由C—>D,它们被分别记录在四个病毒信息分析记录块1131上,再经递归分析或聚类分析A—>B—>C—>D,确知病毒源为A。下面将对病毒防范节点13、病毒分中心服务器12(或称中级管理中心、中级)、病毒中心服务器11(或称核心管理中心、核心)及防范节点3—中级12,中级12—核心11间实现的功能进行详细的描述。(1)局域网病毒防范节点13局域网病毒防范节点13包括多种功能和多种类型,作为病毒防范体系中直接进行病毒查、杀防范的一环,局域网病毒防范节点包括电子邮件病毒防范服务器、网络文件病毒防范服务器、病毒防范网关、客户端病毒防范软件等。模型软件中将首先实现客户端的病毒防范软件,并着重针对电子邮件型网络化病毒的防范处理。模型软件系统在客户端采用文件系统监控方式。客户端程序对Outlook或其他电子邮件客户端软件进行监控,在其收取电子邮件时,监控文件系统的变化,同时调用杀毒引擎以比较病毒特征;如果杀毒引擎发现病毒,即自动杀毒并从中提取病毒信息(病毒名、邮件源、发件日期、主题、发件人、收件人等),同时报告本地,并向中级病毒管理中心提交病毒信息。同时客户端程序还具有主动向中级病毒管理中心请求更新病毒特征库和获取最新的病毒防范软件版本的功能。(2)病毒分中心服务器12病毒分中心服务器12将维护病毒特征库和病毒信息库两个数据库。各病毒分中心服务器12将应答客户端,包括病毒信息库的更新、获取最新的病毒防范软件版本、查询公共信息等请求。对客户端提交的病毒信息,各病毒分中心服务器12将把这些信息(病毒名、邮件源、发件日期、主题、发件人、收件人等)自动加入到病毒信息库中。各病毒分中心服务器12将对客户端提交的病毒信息进行分析统计并以报表显示和打印,同时提供查询功能。病毒分中心服务器12将定期向病毒中心服务器11提交数据库中有关病毒信息的统计结果。各病毒分中心服务器12还能定时地请求从病毒中心服务器11中获取最新的病毒防范软件版本及相关的病毒特征库。(3)病毒中心服务器11病毒中心服务器11中存放最新的病毒信息库、最新的病毒特征库以及病毒防范软件版本,提供WEB浏览的接口,计算机病毒挖掘的软件。病毒中心服务器11自动响应各病毒分中心服务器12对最新的病毒特征库、相关的病毒信息库以及病毒防范软件更新的请求。病毒中心服务器11的病毒信息库中将对所有病毒分中心服务器12提交的统计信息再进行分析统计并以报表显示和打印同时提供查询本文档来自技高网...
【技术保护点】
一种网络化病毒源的挖掘方法,其步骤包括:a.建立提供原始病毒信息的病毒信息获取模块(1),b.建立对原始病毒信息进行筛选的病毒信息组织模块(2),c.建立对经筛选的病毒信息进行分析的病毒信息分析模块(3)。
【技术特征摘要】
【专利技术属性】
技术研发人员:钱松荣,王东,韩苹苹,余华,谢晖,胡方农,周曦民,石坚,吴恩平,陆金山,杨东升,
申请(专利权)人:复旦大学,上海市计算机病毒防范服务中心,
类型:发明
国别省市:31[中国|上海]
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。