本发明专利技术公开了一种网络级别病毒监视系统,能够根据系统管理员的特殊需要监视多个检查模式中任一模式的网络业务流。系统包括连接到网络病毒/蠕虫感测器的网络病毒感测器自登记模块,用于自动自行登记相关联的网络病毒/蠕虫感测器。监视提供了病毒攻击的早期警告,从而有利于针对遏制病毒发作的隔离过程。通过提供此类早期警告,网络病毒监视器减少了最终受病毒攻击影响的计算机数量,伴随的是减少了系统修复成本和停机时间量两者。这样,本发明专利技术的网络病毒监视器在系统正常运行时间和系统损失降低方面提供了极大的改进。
【技术实现步骤摘要】
【国外来华专利技术】
本专利技术一般涉及使用计算机的信息分析和过滤,并且具体地说,涉及用于从传送的媒体截接和删除计算机病毒与蠕虫的配置和方法。
技术介绍
随着因特网的日益普及,现有每天有成千上百万的用户从其主机连接到因特网以进行电子商务交易,执行信息搜索和/或下载可执行程序以增强其自己的主机的功能和性能。这些用户与其它主机服务器之间在因特网上的交互一般涉及传送一定量的数据,这些数据可包括静态可显示信息和可执行的计算机代码。一般而言,静态可显示信息指要在主机上显示的静态信息,而可执行代码或“可执行的”指配置为在主机上执行以执行某一任务的计算机指令。通常,因特网的大部分可下载数据是有用或至少无害的内容材料。然而,存在着一类可执行代码,如果该类执行代码下载并在主机上执行,则可能对操作系统、硬件和/或主机的其它软件施以严重破坏。这些可执行文件包括通常所述的计算机病毒和/或蠕虫。计算机病毒是一段通常伪装成其它内容的编程代码,它可导致一些意外且通常不良的事件(对于受害者而言)。病毒通常设计为可跨网络连接自动扩展到其它计算机用户。例如,通过将病毒做为电子邮件消息的附件发送,通过从其它网站下载受感染的程序设计,和/或通过从软盘或CD-ROM将它们导入计算机,均可传送病毒。处理电子邮件消息、下载文件或软盘的源应用通常意识不到病毒。一些病毒在其代码执行时施以其影响;其它的病毒处于静止,直至环境促使计算机执行其代码。一些病毒十分有害,导致硬盘需要重新格式化或以不必要的业务阻塞网络。计算机蠕虫很类似于病毒,表现在蠕虫是一个小的软件,使用计算机网络和安全漏洞自身拷贝。蠕虫的副本扫描网络以检测是否另一机器具有特定的安全漏洞。安全漏洞一旦被发现,蠕虫便使用该安全漏洞而自身拷贝到新机器,然后使用新感染的计算机开始自身拷贝,以便感染连接到该计算机的其它计算机。虽然蠕虫不改变文件,但驻留在活动存储器中并自身拷贝,蠕虫使用自动且用户通常看不到的操作系统的部分。因此,通常只在蠕虫不受控制的拷贝消耗系统资源,从而减慢或停止其它任务时才受注意。为防止蠕虫,计算机网络(如公司局域网或广域网)的用户和管理员长期以来采用了设计成检测和阻止蠕虫感染计算机系统的多种工具。例如,在公司局域网(LAN)中,网络管理员可采用代理服务器(置于LAN的主机与因特网之间)及各个计算机,以执行设计成防止蠕虫感染的多种防御策略中的任一策略。一个此类防御策略依赖计算机动作的行为监控。在行为监控中,保持了有关每个计算机采取的动作的历史数据库,该数据库随后由监控程序(启发式引擎)用于比较特定计算机执行的当前动作。在行为监控程序认为当前动作与历史标准实质上不同的那些情况下,行为监控程序将该特定的计算机标记为可能被蠕虫感染。一旦这样标记,便可采用适当的动作。在每天防止计算机病毒和其它终端装置病毒的努力中,最终用户不断寻找接种的方式以防止此类病毒。由于常规的防病毒技术一般依赖已经识别的病毒,因此,即使对于防病毒防火墙和各种其它防病毒保护软件和协议严密防护的公司网络,一些病毒仍实现对网络的渗透和感染,从而造成极大的损害。具体而言,常规防病毒保护通常对防止已知的计算机病毒有效,但对阻止未知的病毒可能无效。因此,诸如连接到局域网(LAN)或广域网(WAN)的计算机等终端装置对于未知病毒一般无法使用常规防病毒软件而引用有效的防病毒保护。连接到网络的终端装置或计算机受到渗透到网络中的未知病毒的攻击时,网络管理程序负责防护此类攻击并尽快将网络恢复到正常操作状态。网络中的准备程度取决于知道病毒成功渗透公司网络的概率。入侵检测系统(IDS)产品通过扫描查找协议层中异常的网络分组而抵消网络类型的攻击,包括一种在主机基础IDS中称为应用行为监控(ABM)的方法。ABM跟踪了解目标应用的行为模式,并通过允许良性(已知)行业模式通过禁止或阻止未知或恶性的行为模式而保护网络系统。常规防病毒软件设置特殊的警报级别以便网络系统的系统管理员及早检测到病毒发作。警报级别的设置变得很重要。如果警报级别设得太低,则可能引起错误的计算机病毒确定,从而使良性应用被错误地认为是病毒。如果警报级别设得太高,则某些计算机病毒将未被检测到并被允许进入网络。常规防病毒软件仍依赖防病毒服务提供商的支持系统生成治疗措施。此类实践严重依赖服务提供商获得病毒样本、实施病毒分析、生成适当的治疗措施及将它们部署到最终用户方面的响应时间。虽然此类支持系统在某些级别可能有效,但某些最终用户(如公司网络的系统管理员)仍需要提供更佳提前时间和效率以防止计算机病毒突然发作的解决方案。因此,在技术上需要一种克服本领域中至少上述缺陷的网络级别防病毒方法和系统。一般而言,在技术上需要一种具有用于预计和检测计算机病毒发作的多级别防病毒功能的防病毒方法和系统。具体而言,需要一种通过将对网络业务的影响降到最低而保存网络带宽的系统和方法。
技术实现思路
为实现上述需要,并且根据本专利技术的目的,描述了用于监控网络以查找计算机病毒的系统和方法。在第一实施例中,在互连计算装置的分布式网络中的一种网络病毒/蠕虫监视器。所述监视器包括网络病毒/蠕虫感测器和可以多种模式操作、与所述网络病毒/监视器感测器和所述网络进行通信的业务控制器,其中,在第一模式中,在所述网络病毒/蠕虫感测器进行病毒/蠕虫感测操作期间,而所述网络病毒/蠕虫感测器在网络业务中检测到计算机病毒或计算机蠕虫时,所述网络的带宽实质上不受所述业务控制器的影响,所述病毒/蠕虫感测器使所述业务控制器切换到第二模式,以便只有受所述检测到的计算机病毒或计算机蠕虫感染的那些数据分组不返回到所述网络。在本专利技术的另一实施例中,在互连计算装置的分布式网络中一种通过具有网络病毒/蠕虫感测器的网络病毒/蠕虫监视器管理网络业务的方法。在病毒/蠕虫感测操作期间,在所述网络病毒/蠕虫感测器在第一模式中,所述网络病毒/蠕虫感测器在网络业务中检测到计算机病毒或计算机蠕虫时,网络的带宽实质上不受所述业务控制器的影响。在计算机病毒或计算机蠕虫被检测到时切换到第二模式,以便只有受所述检测到的计算机病毒或计算机蠕虫感染的那些数据分组不返回到所述网络。在又一实施例中,描述了在具有多个服务器计算机和相关联客户机装置的分布式网络中可执行的计算机程序产品,计算机程序产品通过具有网络病毒/蠕虫感测器的网络病毒/蠕虫监视器管理网络业务。所述计算机程序产品包括用于执行计算机病毒/蠕虫感测操作的计算机代码,在所述网络病毒/蠕虫感测器处于第一模式中,而所述网络病毒/蠕虫感测器在网络业务中检测到计算机病毒或计算机蠕虫时,所述网络的所述带宽实质上不受所述业务控制器的影响;用于在计算机病毒或计算机蠕虫被检测到时切换到第二模式的程序代码,以便只有受所述检测到的计算机病毒或计算机蠕虫感染的那些数据分组不返回到所述网络;以及用于存储所述计算机代码的计算机可读媒体。附图说明通过参照结合附图的以下说明,可最好地理解本专利技术及其其它优点。图1显示根据本专利技术实施例,具有网络病毒监视器的分布式网络;图2是具有活动网络病毒监视器的图1所示分布式网络;图3显示图1的分布式网络,由此网络病毒监视器在登记所有连接的客户机装置;图4显示图3的分布式网络,由此网络监视器在备用模式操作并标记了病毒事件;图5显示图2的分布式网本文档来自技高网...
【技术保护点】
在互连计算装置的分布式网络中的一种网络病毒/蠕虫监视器,它包括:网络病毒/蠕虫感测器;以及可以多种模式操作、与所述网络病毒/监视器感测器和所述网络进行通信的业务控制器,其中,在第一模式中,在所述网络病毒/蠕虫感测器进行病毒/ 蠕虫感测操作期间,所述网络的带宽实质上不受所述业务控制器的影响,其中,当所述网络病毒/蠕虫感测器在网络业务中检测计算机病毒或计算机蠕虫时,所述病毒/蠕虫感测器使所述业务控制器切换到第二模式,以便只有受所检测的计算机病毒或计算机蠕虫感染的那些数据分组不返回到所述网络。
【技术特征摘要】
【国外来华专利技术】...
【专利技术属性】
技术研发人员:YC梁,YF陈,
申请(专利权)人:株式会社特伦德麦克罗,
类型:发明
国别省市:JP[日本]
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。