在目前反病毒系统中,服务器会收到来自各个用户终端节点的病毒报告。当服务器收到大批来自不同用户终端的病毒报告时,按照何种策略来评价并对这些病毒报告进行优先排序成为影响整个系统提高抵御网络病毒能力的一个关键点。本发明专利技术是一种用于在基于互联网或内联网的网络计算环境中,可采用的用于反病毒软件的一种网络病毒报告排序方法。该方法综合考虑了病毒报告的数量和用户的可信度来对用户提交的病毒报告进行排序,可以让负责解决病毒问题的单位能够利用经过排序的网络病毒报告列表,从而可以优先处理最有价值的病毒报告。
【技术实现步骤摘要】
本专利技术是一种用于在基于互联网或内联网的网络计算环境中 ,可采用的用于反病 毒软件的。本技术属于分布式计算、信息安全、计算机网络和计 算机软件的交叉技术应用领域。
技术介绍
网络病毒包括计算机病毒、网络蠕虫、后门木马、间谍件等,网络优秀的资源共享 和通信功能为网络病毒的传播、感染和破坏提供了天然温床。通过网络特别是互联网及其 应用系统传播的网络病毒、波及范围大、覆盖面广,在短时间内就可以造成网络拥塞甚至瘫 痪、共享资源丢失、机密信息失窃,从而造成巨大的损失。目前防御网络病毒的主要手段是依靠修补系统漏洞(即打补丁)和反病毒软件。 反病毒软件通常集成实时监控识别、病毒扫描和清除、自动升级和数据恢复等功能,已成为 计算机与网络防御系统(还包含防火墙、入侵检测、入侵防御系统等)的重要组成部分。目 前的各个反病毒软件生产商大都在反病毒系统中设置了病毒报告的发送和接收的功能模 块,让用户端作为“探针”来感知和提供网络中传播的病毒的报告。
技术实现思路
技术问题在目前反病毒系统中,服务器会收到来自各个用户终端节点的病毒报 告。当服务器收到大批来自不同用户终端的病毒报告时,按照何种方法来对这些病毒报告 进行优先排序从而让系统优先处理最有价值的报告成为影响整个系统提高抵御网络病毒 能力的一个关键点。技术方案本专利技术是一种用于在基于互联网或内联网的网络计算环境中,可采用 的用于反病毒软件的。该方法可以让负责解决病毒问题的单位 能够获得经过排序的网络病毒报告列表,从而可以优先处理最有价值的病毒报告。病毒报告格式如图1所示,包括了病毒报告序列号、报告标题、病毒内容、用户终 端发现病毒时间、病毒的行为表现和主机的异常情况以及提交病毒报告的用户终端。通过分析可以得出以下几点结论1)在某一段时期内,相同或相似的报告来自大量的不同的节点,则表明某网络病 毒很可能确实在网络中传播,并感染了大量的用户终端节点,应该引起重视;2)如果某用户终端发来的病毒报告连续是虚假的,则该用户终端很有可能是恶意 的,即希望干扰系统对有价值的病毒报告的分析与处理,该用户终端后续发来的病毒报告 也很可能是虚假的;反之,如果某用户终端发来的病毒报告连续是有价值的,后续发来的病 毒报告也常常是有价值的。这里的“有价值的”病毒报告指的是较新的或未知的网络病毒,特别是破坏能力 强、涉及面广泛的;“没有价值的”报告是指用户终端真的被该病毒报告感染,但是该网络病 毒已经是众所周知的了 ;而“虚假的”病毒报告是用户终端伪造的,并不存在该网络病毒,或是该网络病毒已经是众所周知的且用户终端也并没有被该网络病毒攻击。因此合理的方案 应该使服务器优先选择、处理来自用户终端发来的有价值的报告。因此本专利的技术方案中对网络病毒报告排序方法的主要思想是考虑两个方面 一是相同或相似的病毒报告的数量越大,则该病毒报告越重要;二是提交病毒报告的用户 越可信则该病毒报告越重要。有益效果可以达到如下的有益效果1)对病毒报告的排序依据更全面、更加科学,既考虑报告提交者的情况,又考虑到 了报告的数量问题;2)方法没有采用更加复杂的思路,简单明确,易于实施应用到目前的反病毒系统 中。附图说明图1是病毒报告格式示意图。 具体实施例方式一、病毒报告提交和处理流程当用户终端发现自己的计算机运行异常,如在没有执行繁重工作时中央处理器工 作在峰值、内存被大量占用、硬盘不断工作或空闲空间非正常不断缩减等,或是在计算机内 存中发现疑似恶意进程,或是在计算机辅助存储器上发现疑似恶意文件时,或是本地反病 毒软件发现某个软件非常可疑,但又不足以认定它是包含网络病毒程序的恶意软件时,系 统可按照以下的流程工作①用户终端向门户节点发送报告和相关病毒样本。②系统服务器收到报告后,首先将之与病毒报告数据库中的报告进行比对。在报告数据库中存有两类报告,一是已经解决的报告,一是还未解决的报告。所谓 已解决的报告,是经过分析,已经有了明确解决方案的,例如通过打系统补丁或是升级病毒 库已经可以查杀涉及的病毒。如果该报告可以在已经解决的报告中寻找到,则后续问题可参照之前的解决方案 了进行,及向用户发送系统补丁和病毒库升级程序,或是进行远程网络查杀并清除用户终 端计算机上的病毒;如果该报告可以在未解决的报告中寻找到,则将之进行合并汇总。如果 都没有找到,则将该报告归入未解决的报告类别并添加入报告数据库中,等待解决。同时,系统服务器上的病毒报告库动态根据用户提交的未解决的病毒报告的数量 和提交者的情况对病毒报告的价值进行计算,按价值高低进行排序。③当某一类未解决的报告(来自不同用户终端)的数量达到一定数值时,即表明 某未知病毒可能在网络中爆发,系统服务器立即向系统内所有用户终端节点发出警报,避 免问题的进一步扩散。二、病毒报告价值计算方法方法首先对用户终端节点的可信度进行评估。本专利技术将根据节点的历史表现来进 行评价,具体而言以提交有价值的病毒报告次数s、提交没有价值的病毒报告次数w、提交 虚假病毒报告次数f为计算和评价依据。可通过数据挖掘的相关技术来将报告进行汇总和5分类,以将相同和相似的报告进行归并。如果相同或相似的报告来自于同一节点,则系统只 将之计算为一次。经过系统一段时间的运行后,由服务器汇用户终端节点的行为表现,并更新存储 于服务器端的用户终端节点可信度记录。然后依据节点的提交有价值的病毒报告次数s、提交没有价值的病毒报告次数w 和提交虚假病毒报告次数f 来综合得出节点i的可信度凡<formula>formula see original document page 6</formula>上式中的i!和n作为可信度评估调节因子,n是节点数量。在当前一段时间内,系统共接到来自大量的不同的节点的相同或相似的报告种类 共计为m项,系统需要对这m项报告设置报告优先次序等待队列。以报告A为例,该报告来自于j个用户终端节点,这些节点可信度显然不一定相 同,通过上述分析可以得知,报告的优先等级与报告的数量和提交报告的节点的可信度都关系密切,设这j个节点的可信度分别是T” T2,......,Tp则该报告的优先等级《A可计算为(Oa=YjT,系统按照《的大小由高到低来对病毒报告进行优先排序,优先处理排在前面的 报告。<table>table see original document page 6</column></row><table>权利要求,其特征在于,当用户终端发现自己的计算机运行异常,如在没有执行繁重工作时中央处理器工作在峰值、内存被大量占用、硬盘不断工作或空闲空间非正常不断缩减,或是在计算机内存中发现疑似恶意进程,或是在计算机辅助存储器上发现疑似恶意文件时,或是本地反病毒软件发现某个软件非常可疑,但又不足以认定它是恶意软件时,系统按照以下的流程工作①用户终端向门户节点发送报告和相关病毒样本,②系统服务器收到报告后,首先将之与病毒报告数据库中的报告进行比对,在报告数据库中存有两类报告,一是已经解决的报告,二是还未解决的报告,所谓已解决的报告,是经过分析已经有了明确解决方案的、通过打系统补丁或是升级病毒库已经可以查杀涉及的病毒;如果该报告可以在已经解决的报告本文档来自技高网...
【技术保护点】
一种网络病毒报告排序方法,其特征在于,当用户终端发现自己的计算机运行异常,如在没有执行繁重工作时中央处理器工作在峰值、内存被大量占用、硬盘不断工作或空闲空间非正常不断缩减,或是在计算机内存中发现疑似恶意进程,或是在计算机辅助存储器上发现疑似恶意文件时,或是本地反病毒软件发现某个软件非常可疑,但又不足以认定它是恶意软件时,系统按照以下的流程工作:①用户终端向门户节点发送报告和相关病毒样本,②系统服务器收到报告后,首先将之与病毒报告数据库中的报告进行比对,在报告数据库中存有两类报告,一是已经解决的报告,二是还未解决的报告,所谓已解决的报告,是经过分析已经有了明确解决方案的、通过打系统补丁或是升级病毒库已经可以查杀涉及的病毒;如果该报告可以在已经解决的报告中寻找到,则后续问题参照之前的解决方案进行,及向用户发送系统补丁和病毒库升级程序,或是进行远程网络查杀并清除用户终端计算机上的病毒;如果该报告可以在未解决的报告中寻找到,则将之进行合并汇总;如果都没有找到,则将该报告归入未解决的报告类别并添加入报告数据库中,等待解决;同时,系统服务器上的病毒报告库动态根据用户提交的未解决的病毒报告的数量和提交者的情况对病毒报告的价值进行计算,按价值高低进行排序;③当来自不同用户终端某一类未解决的报告数量达到一定数值时,即表明某未知病毒可能在网络中爆发,系统服务器立即向系统内所有用户终端节点发出警报。...
【技术特征摘要】
【专利技术属性】
技术研发人员:徐小龙,程春玲,熊婧夷,赵昌耀,柴倩,杨宝春,钱建屹,
申请(专利权)人:南京邮电大学,
类型:发明
国别省市:84[中国|南京]
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。