本发明专利技术公开了一种病毒监测方法和设备。在所述病毒监测方法中,当检测到要在网络中的监测设备上写入文件的请求时,记录与该请求有关的信息,获得对所写入的文件进行病毒扫描的结果,并且如果所述结果指示所述文件包含病毒,则利用所记录的与所述请求有关的信息来确定所述网络中发出该请求的计算设备。
【技术实现步骤摘要】
本专利技术总体上涉及计算机安全领域,更具体地,涉及一种计算机病毒监测方法和设备。
技术介绍
随着各种计算设备的普及和网络的广泛使用,通过网络来传播计算机病毒的趋势日益严重。近年来,像蠕虫病毒这样的恶意病毒活动猖獗,在诸如局域网这样的计算机网络环境下,其传染范围能够呈几何级增长,迅速导致系统资源严重受损、整个网络效率骤降。例如,病毒在网络内传播的一种很重要的手段就是通过共享文件的方式进行传播。例如,局域网中的染毒主机会寻找网络中的共享目录,找到可写的目录后,把带毒文件写入该目录中,等待用户打开或执行。然而,对于传统的网络安全设备(例如,部署在网关处的防毒墙)来说,它们大多采用包/文件过滤机制,因此,只有在病毒通过传统的传输协·议进行传播时才能将其发现并拦截,而对于不经过该设备进行传播的病毒却无能为力。尤其是在这种情况下,由于确定不了到底是谁在传播病毒,因此就无法尽可能从根源上制止病毒的扩散。因此,本领域中迫切需要一种能够及时有效地发现病毒并定位病毒传播者的技术。
技术实现思路
根据本专利技术的一个实施例,提供了一种病毒监测方法,包括当检测到要在网络中的监测设备上写入文件的请求时,记录与该请求有关的信息;获得对所写入的文件进行病毒扫描的结果;以及如果所述结果指示所述文件包含病毒,则利用所记录的与所述请求有关的信息来确定所述网络中发出该请求的计算设备。根据本专利技术的另一个实施例,提供了一种病毒监测方法,包括当检测到要在网络中的监测设备上写入文件的请求时,判断所要写入的文件的大小;如果所述大小未超出预定值,则允许所述文件的写入并记录与所述请求有关的信息;获得对所写入的文件进行病毒扫描的结果;以及如果所述结果指示所述文件包含病毒,则利用所记录的与所述请求有关的信息来确定所述网络中发出该请求的计算设备根据本专利技术的再一个实施例,提供了一种病毒监测设备,包括用于当检测到要在网络中的监测设备上写入文件的请求时,记录与该请求有关的信息的模块;用于获得对所写入的文件进行病毒扫描的结果的模块;以及用于如果所述结果指示所述文件包含病毒,则利用所记录的与所述请求有关的信息来确定所述网络中发出该请求的计算设备的模块。根据本专利技术的又一个实施例,提供了一种病毒监测设备,包括用于当检测到要在网络中的监测设备上写入文件的请求时,判断所要写入的文件的大小的模块;用于如果所述大小未超出预定值,则允许所述文件的写入并记录与所述请求有关的信息的模块;用于获得对所写入的文件进行病毒扫描的结果的模块;以及用于如果所述结果指示所述文件包含病毒,则利用所记录的与所述请求有关的信息来确定所述网络中发出该请求的计算设备的模块。附图说明参照下列附图详细描述了本专利技术。应该理解,这些附图仅是示例性的、而非限制性的,并且附图中相同或相似的参考标记指示对应的或类似的要素。图I示出了根据本专利技术的一个示例性实施例的工作环境;图2示出了根据本专利技术的一个实施例的病毒监测方法200的流程图;图3示出了根据本专利技术的一个实施例的病毒监测设备300的方框图;图4示出了根据本专利技术的另一个实施例的病毒监测设备400的方框图。 具体实施例方式在下面的详细说明中,给出了大量的具体细节,以提供对本专利技术实施例的透彻理解。然而,本领域技术人员应该理解,这些具体细节仅仅是示例性的而非限制性的,可以在没有这些具体细节的情况下实现本专利技术。说明书中提及的短语“一个实施例”或“实施例”等表示结合该实施例而描述的特定特征、结构或特性被包括在本专利技术的至少一个实施例中。因此,在本说明书中各处出现的短语“在一个实施例中”或“根据一个实施例”等并不一定指代同一个实施例。本领域技术人员可以理解,本文所述的实施例可以由硬件、软件、固件、中间件、微代码或其任意组合来实现。图I示出了根据本专利技术的一个示例性实施例的工作环境。如图I所示,网络101可以至少包含有、或者耦合到一台或多台计算设备102^102^102^……、102n以及一台监测设备103。按照本专利技术的一个实施例,网络101例如可以是局域网,然而本专利技术并不局限于此。所述计算设备K^1-IOZn可以包括多种基于处理器的计算设备中的任何一种或多种,例如包括但不限于台式计算设备、膝上型计算设备、手持计算设备、机顶盒等等。手持计算设备可以包括但不限于智能手机、个人数字助理(PDA)、移动互联网设备(MID)、超级移动个人计算机(UMPC)等等。所述计算设备K^1-IOZn具有联网功能,从而能够通过各种有线的和/或无线的连接方式来通过网络101在彼此之间和/或与外部网络进行通信。所述计算设备K^1-IOZn中的每一个都具有自己的唯一标识,例如,包括但不限于该计算设备在网络101内的唯一名称、该计算设备的网际协议(IP)地址等等。所述计算设备K^1-IOZn中可以运行有各种操作系统中的一种或多种,例如,包括但不限于微软公司出品的视窗(Windows) 操作系统的各种版本。监测设备103用于实现根据本专利技术所述的病毒监测功能,如下文中所详细说明的。根据本专利技术的一个实施例,监测设备103可以是与前述的计算设备K^1-IOZn相类似的计算设备,例如,其也用作网络101中的一台客户端设备。按照本专利技术的另一个实施例,监测设备103还可以充当一台网关设备或其中的一部分,如图I所示。这样的网关设备实现了网络101与位于该网络101外部的网络104之间的互连,因此例如,该网关设备可以按照需要来控制网络101中的各种设备(例如,计算设备102^1023对外部网络104的访问。所述外部网络104例如可以是互联网,然而本专利技术并不局限于此。根据本专利技术的一个实施例,监测设备103中提供或部署了文件共享服务,这可以例如通过用户手动地进行配置或者计算机自动地进行配置(例如,通过执行特定的指令)来实现。典型地,所述文件共享服务可以使用服务器消息块(Server Message Block,SMB)/公用互联网文件系统(Common Internet File System,CIFS)协议,然而本专利技术并不局限于此。在一个示例性的方案中,所述文件共享服务具有匿名、可写权限,从而允许网络101中的例如计算设备IOZ1-K^n借助该服务来在监测设备103的指定共享目录中写入文件。作为一个例子,在监测设备103运行Linux操作系统 的情况下,可以通过Samba套件(可从http://www. samba, org获得)来在该监测设备103上提供Windows文件共享服务,其中,可以通过对Samba配置文件smb. conf中的内容进行配置来设置例如所要共享的目录的位置、是否允许可写、是否允许匿名用户登录等等。本领域技术人员可以很容易想到,除了所示出的计算设备K^1-IOZn和监测设备103之外,网络101还可以包含有、或者耦合到各种其它设备,在此不再对其进行详述,以免不当地模糊本专利技术。如前所述,很多病毒,尤其是蠕虫病毒,会通过网络共享的方式进行传播。因此,在诸如局域网这样的网络101上的某一台计算设备(例如,这里是计算设备102i)向其上部署有匿名可写的文件共享服务的监测设备103发出请求,要求在该监测设备103的共享目录中写入文件的情况下,考虑到计算设备102i自身可能已经感染了蠕虫病毒这一事实,该计算设备102i在本文档来自技高网...
【技术保护点】
一种病毒监测方法,包括:当检测到要在网络中的监测设备上写入文件的请求时,记录与该请求有关的信息;获得对所写入的文件进行病毒扫描的结果;以及如果所述结果指示所述文件包含病毒,则利用所记录的与所述请求有关的信息来确定所述网络中发出该请求的计算设备。
【技术特征摘要】
1.一种病毒监测方法,包括 当检测到要在网络中的监测设备上写入文件的请求时,记录与该请求有关的信息; 获得对所写入的文件进行病毒扫描的结果;以及 如果所述结果指示所述文件包含病毒,则利用所记录的与所述请求有关的信息来确定所述网络中发出该请求的计算设备。2.—种病毒监测方法,包括 当检测到要在网络中的监测设备上写入文件的请求时,判断所要写入的文件的大小; 如果所述大小未超出预定值,则允许所述文件的写入并记录与所述请求有关的信息; 获得对所写入的文件进行病毒扫描的结果;以及 如果所述结果指示所述文件包含病毒,则利用所记录的与所述请求有关的信息来确定所述网络中发出该请求的计算设备。3.如权利要求2所述的方法,还包括 如果所述大小超出所述预定值,则拒绝所述文件的写入。4.如权利要求I或2所述的方法,其中, 所述网络是局域网。5.如权利要求I或2所述的方法,其中, 与所述请求有关的信息包括发出该请求的计算设备的唯一标识。6.如权利要求5所述的方法,其中, 所述唯一标识是是所述设备的网际协议地址。7.如权利要求I或2所述的方法,还包括 一旦确定发出所述请求的计算设备,则发出通知以指示应对该计算设备进行隔离。8.如权利要求7所述的方法,其中, 所述通知包括告警日志。9.如权利要求I或2所述的方法,其中, 所述监测设备是所述网络的网关。10.如权利要求9所述的方法,还包括 一旦确定发出所述请求的计算设备,则禁止该计算设备访问位于所述网络外部的网络。11.一种病毒监测设备,包括 用于当检测到要在网络中的监测设备上写...
【专利技术属性】
技术研发人员:冯景辉,
申请(专利权)人:北京瑞星信息技术有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。