專利名稱:分布式病毒監(jiān)測體系結(jié)構(gòu)的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及一種網(wǎng)絡(luò)化病毒的監(jiān)測體系結(jié)構(gòu)��,具體地說��,是一種分布式的病毒監(jiān)測體系結(jié)構(gòu)����。
文件監(jiān)測方式是當(dāng)網(wǎng)絡(luò)化病毒到達(dá)本地后�,在感染文件,或隱藏在文件中時被監(jiān)測�,并有殺毒引擎查殺病毒���。它的工作原理是,一個文件監(jiān)測程序常駐于計算機(jī)內(nèi)存����,它監(jiān)測所有的文件,當(dāng)文件發(fā)生變化時���,它會向殺毒引擎報告信息����,并請求查毒�,這個變化可以是文件大小的改變,也可以是新文件的生成�����。網(wǎng)絡(luò)化病毒的侵襲必然會引起部分文件的變化��,從而被文件監(jiān)測程序所掌握�����,并被查殺�。這種監(jiān)測病毒的方式的優(yōu)點(diǎn)是可以監(jiān)測計算機(jī)上的病毒�����,并進(jìn)行查殺�����。但其缺點(diǎn)是病毒監(jiān)測都是在單機(jī)上進(jìn)行����,即在一臺計算機(jī)上安裝上查殺毒軟件���,則該軟件對該計算機(jī)上的病毒進(jìn)行監(jiān)測和查殺����,當(dāng)網(wǎng)絡(luò)化病毒侵襲時�,它只能被動的查殺����,而不能從網(wǎng)絡(luò)上殺毒,從而����,不能對網(wǎng)絡(luò)化病毒形成一個有效的防范機(jī)制����,只能任由網(wǎng)絡(luò)化病毒在網(wǎng)絡(luò)上傳播�����。同時����,它對網(wǎng)絡(luò)化病毒的傳播束手無策,它既不知道病毒的來源��,也不知道是否會經(jīng)過它再傳播給其它的計算機(jī)�。
端口監(jiān)測方式是當(dāng)網(wǎng)絡(luò)化病毒到達(dá)本地時,在到達(dá)網(wǎng)絡(luò)層時被監(jiān)測�,并有殺毒引擎查殺病毒。它的工作原理是�����,一個端口監(jiān)測程序常駐內(nèi)存�����,它監(jiān)測所有對外的計算機(jī)網(wǎng)絡(luò)接口,當(dāng)有網(wǎng)絡(luò)上的數(shù)據(jù)到達(dá)時���,它會向殺毒引擎報告信息�����,并請求查毒����,這個端口可以是電子郵件的端口�����,也可以是WEB(網(wǎng)頁)的端口����,或是FTP(網(wǎng)頁)的端口。這種病毒監(jiān)測的優(yōu)點(diǎn)是可以監(jiān)測網(wǎng)絡(luò)傳播來的數(shù)據(jù)�����,并進(jìn)行查殺����。但其,缺點(diǎn)是病毒監(jiān)測也是在單機(jī)上進(jìn)行的���,即在一臺計算機(jī)上安裝上查殺毒軟件����,則該軟件對到達(dá)該計算機(jī)上的數(shù)據(jù)進(jìn)行監(jiān)測和查殺���,當(dāng)網(wǎng)絡(luò)化病毒侵襲時�����,它只能被動的查殺�,而不能從網(wǎng)絡(luò)上殺毒�,從而不能對網(wǎng)絡(luò)化病毒形成一個有效的防范機(jī)制,只能任由網(wǎng)絡(luò)化病毒在網(wǎng)絡(luò)上傳播��。
本發(fā)明的技術(shù)方案是建立分布式病毒監(jiān)測體系結(jié)構(gòu)���,對計算機(jī)網(wǎng)絡(luò)進(jìn)行分布式的計算機(jī)病毒的監(jiān)測和查殺��,它采用三級網(wǎng)絡(luò)化病毒防范機(jī)制���,其包括若干病毒防范節(jié)點(diǎn)����,特點(diǎn)是����,設(shè)有一臺病毒中心服務(wù)器和至少一臺病毒分中心服務(wù)器,并相應(yīng)設(shè)置病毒中心服務(wù)器模塊���,病毒分中心服務(wù)器模塊和病毒防范節(jié)點(diǎn)模塊�����,而形成樹狀拓?fù)淙壊《痉婪扼w系�����,一臺病毒中心服務(wù)器位于體系的根部�,病毒分中心服務(wù)器位于中間層�����,所有的病毒分中心服務(wù)器與病毒中心服務(wù)器相連���,病毒防范節(jié)點(diǎn)與最近的一臺病毒分中心服務(wù)器相連�,構(gòu)成了分布式病毒監(jiān)測體系;上述的病毒中心服務(wù)器模塊是管理整個分布式病毒監(jiān)測體系的中心�,它包括病毒信息存儲部分�,病毒信息接收部分和病毒庫分發(fā)部分部分。該病毒信息接收部分從病毒分中心服務(wù)器模塊接收計算機(jī)病毒發(fā)作的信息�,計算機(jī)病毒的特征該病毒信息存儲部分把從病毒信息接收部分接收來的病毒信息放到病毒中心服務(wù)器的病毒信息數(shù)據(jù)庫中;該病毒庫分發(fā)部分取得病毒中心服務(wù)器上的最新的病毒庫��,并以預(yù)定的格式發(fā)送給各臺在該病毒中心服務(wù)器注冊的病毒分中心服務(wù)器����;上述的病毒分中心服務(wù)器模塊是管理局部網(wǎng)絡(luò)的中心,它包括病毒信息存儲部分����、病毒信息接收部分、病毒信息發(fā)送部分�����、病毒庫接收部分和病毒庫分發(fā)部分�。該病毒信息接收部分從病毒防范節(jié)點(diǎn)模塊接收計算機(jī)病毒發(fā)作的信息,計算機(jī)病毒的特征��;該病毒信息存儲部分把從病毒信息接收部分接收來的病毒信息放到病毒分中心服務(wù)器的病毒信息數(shù)據(jù)庫中����;該病毒信息發(fā)送部分把病毒信息庫中的病毒信息以預(yù)定的格式發(fā)送給病毒中心服務(wù)器���;該病毒庫接收部分從病毒中心服務(wù)器的病毒庫發(fā)送模塊接收最新的病毒庫;該病毒庫的分發(fā)部分就是取得其所在的病毒分中心服務(wù)器上的最新的病毒庫����,并以預(yù)定的格式發(fā)送給各臺在該病毒分中心服務(wù)器注冊的病毒防范節(jié)點(diǎn);上述的病毒防范節(jié)點(diǎn)模塊的功能是在病毒防范節(jié)點(diǎn)即計算機(jī)上監(jiān)測�����、查殺病毒��。它包括病毒監(jiān)測部分�����,病毒信息發(fā)送部分�����,病毒庫更新部分�。該病毒監(jiān)測部分監(jiān)測本地計算機(jī),發(fā)現(xiàn)網(wǎng)絡(luò)化病毒��,就向殺毒引擎報告,請求查殺病毒�����;該病毒信息發(fā)送部分從病毒監(jiān)測部分得到病毒信息���,并以特定的格式發(fā)送給它所注冊的病毒分中心服務(wù)器;該病毒庫更新部分從病毒分中心服務(wù)器接收最新的病毒庫���,在病毒防范節(jié)點(diǎn)上更新最新的病毒定義���,把最新的病毒定義加到該病毒防范節(jié)點(diǎn)病毒特征庫中。
本發(fā)明的優(yōu)點(diǎn)是通過該技術(shù)的實(shí)現(xiàn)�,可保證網(wǎng)絡(luò)內(nèi)無網(wǎng)絡(luò)化病毒,實(shí)現(xiàn)了病毒的分布式查殺�。
圖2是本發(fā)明的分布式病毒監(jiān)測體系結(jié)構(gòu)示意圖。
請參看
圖1和圖2����,本實(shí)施例中,包括一臺病毒中心服務(wù)器1和二臺病毒分中心服務(wù)器2及四臺病毒防范節(jié)點(diǎn)3——一臺個人計算機(jī)31���,一臺小型計算機(jī)32�,一臺工作站33和一臺電子郵件服務(wù)器34。它們形成樹狀拓?fù)淙壊《颈O(jiān)測體系結(jié)構(gòu)����。一臺病毒中心服務(wù)器1位于體系的根部,二臺病毒分中心服務(wù)器2位于體系的中間層�����,它們向上分別連接該病毒中心服務(wù)器1���,而向下則分別連接病毒防范節(jié)點(diǎn)3中的個人計算機(jī)31與小型計算機(jī)32和工作站33與電子郵件服務(wù)器34��。上述的服務(wù)器1���,2均裝有系統(tǒng)軟件Lunix6.2+Oralce8i+Tomcat。而該四臺病毒防范節(jié)點(diǎn)3均裝有WIN32+殺毒軟件���。
上述的病毒中心服務(wù)器1上設(shè)有病毒中心服務(wù)器模塊10��,其包括接受來自病毒分中心服務(wù)器2的病毒信息的病毒信息接受部分101����,病毒信息存儲部分102和向病毒分中心服務(wù)器2發(fā)送最新病毒庫的病毒庫分發(fā)部分102。
上述的病毒分中心服務(wù)器2上的病毒分中心服務(wù)器模塊20��,其包括接受病毒防范節(jié)點(diǎn)3送來的病毒信息的病毒信息接受部分201����,病毒庫存儲部分202,向病毒中心服務(wù)器1發(fā)送病毒信息的病毒信息發(fā)送部分203���,接受病毒中心服務(wù)器1送來的最新病毒庫的病毒庫接受部分204和向病毒防范節(jié)點(diǎn)3發(fā)送最新病毒庫的病毒庫分發(fā)部分�。
上述的設(shè)在病毒防范節(jié)點(diǎn)3上的病毒防范節(jié)點(diǎn)模塊30��,其包括接受來自病毒分中心服務(wù)器2發(fā)送來的最新病毒庫的病毒庫更新部分303�,監(jiān)測本地計算機(jī)病毒的病毒監(jiān)測部分301和從該病毒監(jiān)測部分301取得病毒信息��,并以特定格式發(fā)送給病毒分中心服務(wù)器2的病毒信息發(fā)送部分302����。
下面將對病毒防范節(jié)點(diǎn)3、病毒分中心服務(wù)器2��、病毒中心服務(wù)器1及病毒防范節(jié)點(diǎn)3-中級(病毒分中心服務(wù)器2)�、中級-核心(病毒中心服務(wù)器1)間實(shí)現(xiàn)的功能進(jìn)行詳細(xì)的描述。
(1)局域網(wǎng)病毒防范節(jié)點(diǎn)3局域網(wǎng)病毒防范節(jié)點(diǎn)3包括多種功能和多種類型���,作為病毒防范體系中直接進(jìn)行病毒查���、殺防范的一環(huán)����,局域網(wǎng)病毒防范節(jié)點(diǎn)包括電子郵件病毒防范服務(wù)器���、網(wǎng)絡(luò)文件病毒防范服務(wù)器�、病毒防范網(wǎng)關(guān)�����、客戶端病毒防范軟件等����。模型軟件中將首先實(shí)現(xiàn)客戶端的病毒防范軟件,并著重針對電子郵件型網(wǎng)絡(luò)化病毒的防范處理�。
模型軟件系統(tǒng)在客戶端采用文件系統(tǒng)監(jiān)控方式?��?蛻舳顺绦?qū)utlook或其他電子郵件客戶端軟件進(jìn)行監(jiān)控�,在其收取電子郵件時���,監(jiān)控文件系統(tǒng)的變化�����,同時調(diào)用殺毒引擎以比較病毒特征�;如果殺毒引擎發(fā)現(xiàn)病毒,即自動殺毒并從中提取病毒信息(病毒名�、郵件源、發(fā)件日期�����、主題����、發(fā)件人����、收件人等),同時報告本地���,并向中級病毒管理中心提交病毒信息��。同時客戶端程序還具有主動向中級病毒管理中心請求更新病毒特征庫和獲取最新的病毒防范軟件版本的功能�����。
局域網(wǎng)病毒防范節(jié)點(diǎn)3是三級網(wǎng)絡(luò)化病毒防范體系中具體實(shí)現(xiàn)查���、殺病毒的環(huán)節(jié)��,使用的病毒查殺引擎和文件監(jiān)控模塊由創(chuàng)源公司提供�,與中心病毒管理中心2的通信部分��,病毒引擎及文件監(jiān)控模塊的調(diào)用由本發(fā)明人進(jìn)行開發(fā)�。
(2)中級病毒管理中心(病毒分中心服務(wù)器2)中級病毒管理中心將維護(hù)病毒特征庫和病毒信息庫兩個數(shù)據(jù)庫。各病毒分中心服務(wù)器2將應(yīng)答病毒防范節(jié)點(diǎn)3(客戶端)�,包括病毒信息庫的更新、獲取最新的病毒防范軟件版本���、查詢公共信息等請求���。
對客戶端提交的病毒信息,各病毒分中心服務(wù)器2將把這些信息(病毒名�、郵件源、發(fā)件日期��、主題�、發(fā)件人����、收件人等)自動加入到病毒信息庫中���。各病毒分中心服務(wù)器2將對客戶端提交的病毒信息進(jìn)行分析統(tǒng)計并以報表顯示和打印�����,同時提供查詢功能���。
病毒分中心服務(wù)器2將定期向病毒中心服務(wù)器1提交數(shù)據(jù)庫中有關(guān)病毒信息的統(tǒng)計結(jié)果。各病毒分中心服務(wù)器2還能定時地請求從病毒中心服務(wù)器1中獲取最新的病毒防范軟件版本及相關(guān)的病毒特征庫����。
中級病毒管理中心應(yīng)用在大型企事業(yè)單位、區(qū)縣病毒防范專門機(jī)構(gòu)中��。
(3)核心病毒管理中心(病毒中心服務(wù)器1)病毒中心服務(wù)器1中存放最新的病毒信息庫����、最新的病毒特征庫以及病毒防范軟件版本����。
核心病毒管理中心自動響應(yīng)各病毒分中心服務(wù)器2對最新的病毒特征庫���、相關(guān)的病毒信息庫以及病毒防范軟件更新的請求。
病毒中心服務(wù)器的病毒信息庫中將對所有中級病毒管理中心提交的統(tǒng)計信息再進(jìn)行分析統(tǒng)計并以報表顯示和打印同時提供查詢功能��。
核心病毒管理中心主要應(yīng)用在市級的病毒防范專門機(jī)構(gòu)�,根據(jù)病毒中心服務(wù)器1中的病毒信息庫,可以對病毒的發(fā)作時間���、傳播地區(qū)����、傳播方式��、發(fā)作形式����、破壞、攻擊方式���、產(chǎn)生地域����、病毒高發(fā)人群��、地區(qū)等內(nèi)容進(jìn)行分析,并據(jù)此對病毒防范的政策及宏觀措施提供決策支持����。
(4)客戶端-中級客戶端與病毒分中心服務(wù)器2之間的通信主要為客戶端向病毒分中心服務(wù)器2請求病毒特征庫/病毒防范軟件的更新和病毒分中心服務(wù)器2對客戶端請求的響應(yīng);以及客戶端向病毒分中心服務(wù)器2提交病毒信息的請求及病毒分中心服務(wù)2的確認(rèn)���。
(5)中級(病毒分中心服務(wù)器2)-核心(病毒中心服務(wù)器1)病毒分中心服務(wù)器2與病毒中心服務(wù)器1之間的通信主要為病毒分中心服務(wù)器2向病毒中心服務(wù)器1請求病毒特征庫更新和病毒中心服務(wù)器1對病毒分中心服務(wù)器2請求的響應(yīng)���;以及病毒分中心服務(wù)器2向病毒中心服務(wù)器1提交病毒信息的請求及核心的確認(rèn)。
權(quán)利要求
1.一種分布式病毒監(jiān)測體系結(jié)構(gòu)�����,包括若干臺病毒防范節(jié)點(diǎn)(3)��,其特征在于���,設(shè)有與該若干臺病毒防范節(jié)點(diǎn)(3)構(gòu)成樹狀拓?fù)涞娜壊《痉婪扼w系的至少一臺病毒分中心服務(wù)器(2)和一臺病毒中心服務(wù)器(1)�;該臺病毒中心服務(wù)器(1)位于樹狀拓?fù)潴w系結(jié)構(gòu)的根部���,且其內(nèi)設(shè)有病毒中心服務(wù)器模塊(10)��;所說的病毒分中心服務(wù)器(2)位于中間層���,且分別與該病毒中心服務(wù)器(1)相連接,和該每一臺病毒分中心服務(wù)器(2)上各設(shè)有病毒中心服務(wù)器模塊(20)����;該若干臺病毒防范節(jié)點(diǎn)(3)分別與其相近的一臺病毒分中心服務(wù)器(2)相連接,且每一臺病毒防范節(jié)點(diǎn)(3)上設(shè)有相應(yīng)的病毒防范節(jié)點(diǎn)模塊(30)相應(yīng)地�����,所述的病毒防范節(jié)點(diǎn)模塊(30)����,病毒分中心服務(wù)器模塊(20)和病毒中心服務(wù)器模塊(10)構(gòu)成三級樹狀拓?fù)潴w系。
2.根據(jù)權(quán)利要求1所述的分布式病毒監(jiān)測體系結(jié)構(gòu)���,其特征在于�,所說的病毒中心服務(wù)器模塊(10)�,其包括順次連接的病毒信息接受部分(101),病毒信息存儲部分(102)�����,和病毒庫分發(fā)部分(103)����;該病毒信息接受部分(101)從該病毒分中心服務(wù)器模塊(20)接受計算機(jī)病毒發(fā)作的信息和計算機(jī)病毒的特征��;該病毒信息存儲部分(102)把從該病毒信息接受部分(101)中接受來的病毒信息放到該病毒中心服務(wù)器(1)的病毒信息數(shù)據(jù)庫中��;該病毒庫分發(fā)部分(103)取得病毒中心服務(wù)器(1)上的最新病毒庫��,并以預(yù)定的格式發(fā)給各臺在病毒中心服務(wù)器(1)上注冊的病毒分中心服務(wù)器(2)����。
3.根據(jù)權(quán)利要求1所述的分布式病毒監(jiān)測體系結(jié)構(gòu)�,其特征在于,所說的病毒分中心服務(wù)器模塊(20)����,其包括病毒信息接受部分(201),病毒信息存儲部分(202)����,病毒信息發(fā)送部分(203),病毒庫接受部分(204)和病毒庫分發(fā)部分(205)����,其中該病毒信息接受部分(201)從與其相連接的該病毒防范節(jié)點(diǎn)模塊(30)接收計算機(jī)病毒發(fā)作的信息和計算機(jī)病毒的特征;該病毒信息存儲部分(202)把從該病毒信息接受部分(201)接受來的病毒信息放到病毒分中心服務(wù)器(2)的病毒信息數(shù)據(jù)庫中;該病毒信息發(fā)送部分(203)把該病毒分中心服務(wù)器(2)的病毒信息數(shù)據(jù)庫的病毒信息以預(yù)定格式發(fā)送給病毒中心服務(wù)器(1)�����;該病毒庫接受部分(204)從該病毒中心服務(wù)器模塊(10)的病毒庫分發(fā)部分(103)接受最新的病毒庫����;該病毒庫分發(fā)部分(205)取得其所在的病毒分中心服務(wù)器(2)上的最新的病毒庫��,并以預(yù)定格式發(fā)送給向病毒分中心服務(wù)器(2)中注冊的病毒防范節(jié)點(diǎn)(3)��。
4.根據(jù)權(quán)利要求1所述的分布式病毒監(jiān)測體系結(jié)構(gòu)���,其特征在于����,所說的病毒防范節(jié)點(diǎn)模塊(30)��,其包括病毒監(jiān)測部分(301)�,病毒信息發(fā)送部分(302),病毒庫更新部分(303)�,其中;該病毒監(jiān)測部分(301)監(jiān)測本地計算機(jī)����,發(fā)現(xiàn)網(wǎng)絡(luò)化病毒就向殺毒引擎報告��,請求查殺病毒���;該病毒信息發(fā)送部分(302)從該病毒監(jiān)測部分(301)取得病毒信息,并以特定格式發(fā)送給它所注冊的病毒分中心服務(wù)器(2)���;該病毒庫更新部分(303)是從它所注冊的病毒分中心服務(wù)器(2)接受最新的病毒庫�,在病毒防范節(jié)點(diǎn)(3)上更新最新的病毒定義��,把最新的病毒定義加到病毒特征庫中�。
5.根據(jù)權(quán)利要求1所述的分布式病毒監(jiān)測體系結(jié)構(gòu),其特征在于���,所說的病毒中心服務(wù)器(1)設(shè)在省市級的病毒防范專門機(jī)構(gòu)���。
6.根據(jù)權(quán)利要求1所述的分布式病毒監(jiān)測體系結(jié)構(gòu),其特征在于��,所說的病毒分中心服務(wù)器(2)系設(shè)置在大型企事業(yè)單位�����,區(qū)縣級病毒防范專門機(jī)構(gòu)。
7.根據(jù)權(quán)利要求1所述的分布式病毒監(jiān)測體系結(jié)構(gòu)�����,其特征在于�����,所說的病毒防范節(jié)點(diǎn)(3)系指局域網(wǎng)防范節(jié)點(diǎn)���,其包括電子病毒防范服務(wù)器,網(wǎng)絡(luò)病毒防范服務(wù)器�,病毒防范網(wǎng)關(guān),客戶端病毒防范軟件��。
全文摘要
一種分布式病毒監(jiān)測體系結(jié)構(gòu),包括若干臺病毒防范節(jié)點(diǎn),特點(diǎn)是:設(shè)有與該若干臺病毒防范節(jié)點(diǎn)構(gòu)成樹狀拓?fù)涞娜壊《痉婪扼w系的一臺位于體系根部的病毒中心服務(wù)器和位于體系中間層的至少一臺病毒分中心服務(wù)器,所有的病毒分中心服務(wù)器連接該臺病毒中心服務(wù)器,而該若干臺病毒防范節(jié)點(diǎn)則分別連接與其相近的一臺病毒分中心服務(wù)器;上述的病毒中心服務(wù)器,病毒分中心服務(wù)器和病毒防范節(jié)點(diǎn)均分別安裝有病毒中心服務(wù)器模塊,病毒分中心服務(wù)器模塊和病毒防范節(jié)點(diǎn)模塊,它們形成樹狀拓?fù)淙夡w系結(jié)構(gòu)����。本發(fā)明由于能實(shí)現(xiàn)對計算機(jī)病毒的分布式查殺,因而具有可保證網(wǎng)絡(luò)內(nèi)無網(wǎng)絡(luò)化病毒的性能。
文檔編號G06F9/44GK1356631SQ0113900
公開日2002年7月3日 申請日期2001年12月3日 優(yōu)先權(quán)日2001年12月3日
發(fā)明者周曦民, 石堅, 吳恩平, 陸金山, 楊東升, 錢松榮, 胡方農(nóng), 余華, 王東, 韓蘋蘋, 謝暉 申請人:上海市計算機(jī)病毒防范服務(wù)中心, 復(fù)旦大學(xué)