專利名稱:大型網絡內的病毒監控方法及裝置的制作方法
技術領域:
本發明涉及信息安全技術,更具體地說,涉及大型網絡內的病毒監控 方法及裝置。
背景技術:
病毒的防范是保證信息系統安全穩定運行的重要手段,是信息安全領 域的重大課題。特別是金融行業,信息系統的安全問題至關重要。目前,
國內外殺毒軟件廠商推出了諸多殺毒軟件產品,如Symantec、 Kill、 McAfee
等。這些殺毒軟件除了有單機版,也有基于服務器的網絡版,以實現對網 絡內各臺計算機的病毒報警情況進行監控、對病毒庫升級進行管理及其它 各類管理和監控功能,所有病毒防治客戶端信息均轉發到病毒防治服務器 的數據庫中。
但是目前使用的病毒防治軟件的管理和監控功能仍舊存在無法滿足金 融行業實際管理和監控需求的問題,例如報表功能不全、審計功能不夠、 網絡監控范圍小等;并且,殺毒軟件的服務器端只能監視網絡內已經安裝 了殺毒軟件客戶端的機器,對沒有安裝殺毒軟件或者其它殺毒軟件的客戶 端無法管理,這就造成了病毒防治的一個盲區,給計算機系統安全留下了 隱患。對于金融行業來說,這個隱患尤其需要加以重視。
發明內容
本發明旨在提供一種用于大型網絡的病毒監控裝置及病毒監控方法, 以滿足復雜的大型網絡,尤其是金融行業網絡的防病毒需求。
根據本發明的實施例,提供一種大型網絡內的病毒監控裝置,包括 客戶端,客戶端作為病毒監控裝置的系統管理平臺,實現與終端用戶 的交互;
代理端,連接到一個或數個殺毒軟件服務器,實現對整個網絡的掃描以及對病毒的監控;
服務器,與客戶端和代理端進行數據通信,從代理端接收有關掃描以 及病毒的數據,進行處理和保存,并將處理后的數據提供給客戶端。 根據一實施例,代理端對網絡內的每一個子網進行掃描,將子網內的
終端設備分為如下的四類不活動的設備、安裝了殺毒軟件的設備、未安 裝殺毒軟件,但是具有操作系統的設備、以及未安裝操作系統的設備。
根據一實施例,代理端使用NMAP技術對子網進行掃描,其中如果 終端設備對ping命令沒有回應,則分類為不活動的設備;如果終端設備對 ping命令有回應,且殺毒軟件專用端口可連接,則分類為安裝了殺毒軟件 的設備,代理端進一步解析出終端設備的主機名;如果終端設備對ping命 令有回應,殺毒軟件專用端口不可連接,但操作系統端口可連接,則分類 為未安裝殺毒軟件,但是具有操作系統的設備,代理端進一步解析出終端 設備的主機名;如果終端設備對ping命令有回應,殺毒軟件專用端口不可 連接,操作系統端口也不可連接,則分類為未安裝操作系統的設備。
代理端可以是安裝在殺毒軟件服務器上的應用程序。
服務器可包括如下的幾個模塊異常報警模塊,對發現的病毒或者殺 毒軟件服務器的異常進行報警;監督管理模塊,監控殺毒軟件服務器的病 毒庫的升級情況;信息查詢模塊,進行病毒信息的查詢;信息統計模塊, 對病毒信息進行統計。
根據本發明的實施例,該提供一種大型網絡內的病毒監控方法,包括
通過一客戶端實現與終端用戶的交互;
通過一服務器,根據客戶端與終端用戶的交互結果,指示一代理端進 行對網絡的掃描以及對病毒的監控;
代理端連接到一個或數個殺毒軟件服務器,通過殺毒軟件服務器實現 對網絡的掃描以及對病毒的監控;
服務器從代理端接收有關掃描以及病毒的數據,進行處理和保存,并 將處理后的數據提供給客戶端;
客戶端將所述數據反饋給終端用戶。
根據一實施例,代理端對網絡內的每一個子網進行掃描,將子網內的
6終端設備分為如下的四類不活動的設備、安裝了殺毒軟件的設備、未安 裝殺毒軟件,但是具有操作系統的設備、未安裝操作系統的設備。根據一實施例,代理端使用NMAP技術對子網進行掃描,其中首先 使用ping命令連接終端設備,如果終端i殳備對ping命令沒有回應,則分 類為不活動的設備;如果終端設備對ping命令有回應,則連接殺毒軟件專 用端口,如果殺毒軟件專用端口可連接,則分類為安裝了殺毒軟件的設備, 代理端進一步解析出終端設備的主機名;如果殺毒軟件專用端口不可連接, 則連接操作系統端口可連接,如果操作系統端口可連接可連接,則分類為 未安裝殺毒軟件,但是具有操作系統的設備,代理端進一步解析出終端設 備的主機名;如果操作系統端口不可連接,則分類為未安裝操作系統的設 備。代理端可以是安裝在殺毒軟件服務器上的應用程序。 服務器實現如下的功能異常報警,對發現的病毒或者殺毒軟件服務 器的異常進行報警;監督管理,監控殺毒軟件服務器的病毒庫的升級情況; 信息查詢,進行病毒信息的查詢;信息統計,對病毒信息進行統計。本發明的病毒監控裝置及病毒監控方法采用了 一系列先進的信息安 全、網絡管理和數據分析技術和工具,采用安全管理系統的設計理念,整 合開發而成,實現了對整個網絡內病毒防治情況的實時監控和管理,使得 網絡管理人員對整個大型網絡內的病毒防治情況充分掌握,這對系統安全 有著非常重要的意義。
本發明上述的以及其他的特征、本質、優點將通過下面結合附圖和實 施例的描述而變得更加明顯,在附圖中,相同的附圖標記始終表示相同的 特征,其中圖1揭示了根據本發明的一實施例的病毒監控裝置的結構圖; 圖2揭示了根據本發明的 一 實施例的病毒監控方法的流程圖。
具體實施方式
術語定義,在本發明中,下述的英文縮寫被定義為,AVMC: (Anti Virus Monitoring Center)防病毒監控中心; KILL :冠群公司開發的"安全曱胄"防病毒軟件; NMAP: Network Mapper, —種網絡掃描和嗅探工具。 本發明的病毒監控裝置即是一個AVMC,根據本發明,該AVMC使用 NMAP技術。目前,NMAP ( Network Mapper)是常用的網絡掃描和嗅探 工具。NMAP可以幫助網絡管理人員深入探測UDP或者TCP端口 ,直至 主機所使用的操作系統;還可以將所有探測結果記錄到各種格式的日志中, 為系統安全服務。其基本功能有三個, 一是探測一組主機是否在線;其次 是掃描主機端口,嗅探所提供的網絡服務;還可以推斷主機所用的操作系 統。NMAP可用于掃描僅有兩個節點的LAN,直至500個節點以上的網絡。 NMAP還允許用戶定制掃描技巧。通常,一個簡單的使用ICMP協議的ping 操作可以滿足一般需求;也可以深入探測UDP或者TCP端口 ,直至主機 所使用的操作系統;還可以將所有探測結果記錄到各種格式的日志中,供 進一步分析操作。AVMC就采用了 NMAP的一些基礎原理,并做了一定的 擴展,使得掃描結果更加準確。利用這些結果,進一步判斷系統內的 windows機器是否安裝了殺毒軟件;如果安裝了 KILL殺毒軟件,進一步對 其病毒防治進行實時監控,如果出現比較重大的病毒事件系統會及時報警。 AVMC對數據庫中的病毒實時監視和掃描日志進行了詳細全面的采 集、分析和歸并,無論是每臺機器的病毒防治情況還是感染次數排名在前 的病毒,或者幾百個支行和部門內機器的病毒防治情況都可以進行查詢統 計,并按照靈活的自定義對于高危病毒感染情況給與實時報警。 參考圖1所示,該大型網絡內的病毒監控裝置包括 客戶端100,客戶端100作為病毒監控裝置的系統管理平臺,實現與 終端用戶的交互;代理端102,連接到一個或數個殺毒軟件服務器200,實現對整個網 絡的掃描以及對病毒的監控;服務器104,與客戶端100和代理端102進行數據通信,從代理端1028接收有關掃描以及病毒的數據,進行處理和保存,并將處理后的數據提供給客戶端100。服務器104可以具有數據庫。根據一實施例,代理端102對網絡內的每一個子網進行掃描,將子網 內的終端設備分為如下的四類不活動的設備、安裝了殺毒軟件的設備、 未安裝殺毒軟件,但是具有操作系統的設備、以及未安裝操作系統的設備。根據一實施例,代理端102使用NMAP技術對子網進行掃描,其中 如果終端設備對ping命令沒有回應,則分類為不活動的設備;如果終端設 備對ping命令有回應,且殺毒軟件專用端口可連接,則分類為安裝了殺毒 軟件的設備,代理端進一步解析出終端設備的主機名;如果終端設備對ping 命令有回應,殺毒軟件專用端口不可連接,但操作系統端口可連接,則分 類為未安裝殺毒軟件,但是具有操作系統的設備,代理端進一步解析出終 端設備的主機名;如果終端設備對ping命令有回應,殺毒軟件專用端口不 可連接,操作系統端口也不可連接,則分類為未安裝操作系統的設備。代理端可以是安裝在殺毒軟件服務器上的應用程序,比如一個代理程序。在使用Windows操作系統和KILL殺毒軟件的網絡中,上述的子網掃 描的過程可以實現如下子網掃描采用NMAP技術,以已下發的子網為依據,逐個子網進行, 達到(1 )獲取KILL客戶端的安裝和病毒特征碼更新情況;(2) 了解KILL 服務器病毒特征碼更新情況及管理范圍的目的。對每個子網進行掃描前根據設置的網絡地址和掩碼算出要描掃的機器 的IP范圍。如30.0.184.0/255.255.255.0這個網段的掃描范圍為 30.0.184.1~30.0.184.254。對254個地址逐個進行掃描。掃描后才幾器被分 為四類不活動的機器;安裝KILL的機器;未安裝KILL的windows機器;非windows機器。掃描的流程如下首先代理程序ping遠程機器,如果不能ping通,則表示機器不活動; 如果ping通,去連接目標機器的42510端口 ,該端口為KILL殺毒軟件的 專用端口;如果42510端口可連接,再用IP地址得到遠程機器的機器名, 那么判斷該機器已安裝了 KILL殺毒軟件,同時通過NET BIOS技術解析 出主機名,并從KlLL數據庫中取出相應的特征碼版本信息, 一 并以"安裝 KILL的才幾器"為前提,將信息寫入數據庫,比如服務器的數據庫中;如果 42510端口不能連接,那么再嘗試使用3389 ( SQL Server所使用網絡端 口 ) 、 9594 (Dandesk軟件所用網絡端口 )等端口進一步連接判斷;如果 這些端口可連接,那么判斷該機器為WINDOWS機器,同樣的使用NET BIOS技術解析出主機名,并以"未安裝KILL的WINDOWS機器,,為前提, 將信息寫入數據庫,比如服務器的數據庫;如果無法連通上述端口,則再 用NMAP工具判斷是否是WINDOWS機器,如果是的話,同樣的使用NET BIOS技術解析出主機名,并以"未安裝KILL的WINDOWS機器"為前提, 將信息寫入數據庫,比如服務器的數據庫;如果不是,則以"非WINDOWS 機器"為前提,將信息寫入數據庫,比如服務器的數據庫。服務器104可包括如下的幾個模塊,同樣參考圖1所示異常報警模 塊140,對發現的病毒或者殺毒軟件服務器的異常進行報警;監督管理模 塊142,監控殺毒軟件服務器的病毒庫的升級情況;信息查詢模塊144, 進行病毒信息的查詢;信息統計模塊146,對病毒信息進行統計。其中,異常報警模塊140實現的異常報警功能包括未清除病毒(KILL實時監視器發現);防病毒服務器進程異常;防病毒服務器端的AVMC代理程序TssAgent服務異常; 防病毒服務器性能異常CPU、內存、磁盤空間利用率過閥值。 監督管理模塊142實現的監督管理功能包括 KILL客戶端安裝、病毒庫升級情況; 防病毒服務器病毒庫升級情況。 信息查詢模塊144實現的信息查詢功能包括 (實時)病毒日志(明細)查詢;分析病毒感染源列出最先感染某種病毒的機器。 信息統計模塊146實現的信息統計功能包括 病毒防治情況報表(以子網絡為統計對象); 病毒感染次數排名(以病毒名稱為統計對象)。本發明的病毒監控裝置還能夠實現病毒防治軟件對于實時監視掃描部 分產生的病毒感染情況的實時報警和日志采集,以KILL殺毒軟件為例,過 程如下此處提到的病毒日志包含KILL客戶端發送給KILL服務器的病毒曰志 也包含KILL服務器本身的病毒日志。代理程序通過監視該寫有這些日志文 件的數據庫的變化, 一旦發現有新日志產生,該信息立即被代理程序獲取, 代理程序將信息在本地進行報警事件匹配和過濾,如"未清除病毒"實現 報警,然后發往服務器,服務器立即對需要報警的信息進行標準化處理, 呈現在客戶端,系統管理員可以根據這些信息進行相應的處理,無需報警 的病毒日志信息則寫入數據庫中,方便系統管理員日后調閱。該病毒監控裝置能夠實現(實時)病毒日志(明細)查詢;分析病 毒感染源,列出最先感染某種病毒的機器;病毒防治情況報表(以部門/支 行為統計對象);病毒感染次數排名(以病毒名稱為統計對象)。與"病毒日志報警和采集"類似的,以"定時"機制觸發代理程序采 集功能,實現防病毒服務器進程異常監,防病毒服務器端的AVMC代理 程序TssAgent服務異常,防病毒服務器性能異常CPU、內存、磁盤空 間利用率過閥值的監視和報警。本發明的病毒監控裝置的病毒防治服務器病毒特征碼升級過程如下, 同樣以KILL殺毒軟件服務器為例病毒監控裝置(AVMC)關注KILL的服務器是什么時候將新的特征碼 發布(共享)出來給客戶端更新。所以代理程序監視KILL服務器發布特征 碼的目錄(KILL安裝目錄下的Outgoing目錄)。在該目錄下有一個文件 siglist.txt,這個文件記錄了所發布的特征碼的版本信息。代理程序就通過siglisUxt是表征KILL病毒特征碼升級信息的文件,也是KILL防病毒軟件升級包中的文件之一。KlLL服務器通過查看這份文件中標識出的特征 碼版本號來判斷是否需要為服務器執行升級機制,AVMC系統也正是利用 了這一文件的特點,代理程序TssAgent —旦發現siglist.txt修改時間變化, 即刻比較該文件中所帶的特征碼版本和上次檢查時的是否一致,如果發現 有版本更新,即刻發送相關日志至服務器數據庫,反之,則繼續等待下次 變化時間再作判斷。代理端,比如代理程序TssAgent具有遠程自動更新機制。本發明中 的代理程序實現了自動升級功能。如果TssAgent新加了功能并在升級服 務器上進行了相關設置病放入更新程序包,那么,KILL服務器會自動通過 FTP方式以計劃任務的形式觸發來獲得更新程序包并完成TssAgent的版 本升級。代理程序的自動升級模塊由操作系統,比如WINDOWS的計劃任務驅 動。每天進行一次檢查,如果發現有新版本的升級包就自動通過FTP的方 式下載并執行升級。執行自動升級的計劃任務為"TssAgent AutoUpdate,,。圖2揭示了根據本發明的 一 實施例,病毒監控方法200的流程圖,該 方法包括202.通過一客戶端實現與終端用戶的交互;204.通過一服務器,根據客戶端與終端用戶的交互結果,指示一代 理端進行對網絡的掃描以及對病毒的監控;206.代理端連接到一個或數個殺毒軟件服務器,通過殺毒軟件服務 器實現對網絡的掃描以及對病毒的監控;208.服務器從代理端接收有關掃描以及病毒的數據,進行處理和保 存,并將處理后的數據提供給客戶端;210.客戶端將所述數據反饋給終端用戶。同樣的,根據一實施例,代理端對網絡內的每一個子網進行掃描,將 子網內的終端設備分為如下的四類不活動的設備、安裝了殺毒軟件的設 備、未安裝殺毒軟件,但是具有操作系統的設備、未安裝操作系統的設備。根據一實施例,代理端使用NMAP技術對子網進行掃描,其中首先12使用ping命令連接終端設備,如果終端設備對ping命令沒有回應,則分 類為不活動的設備;如果終端設備對ping命令有回應,則連接殺毒軟件專 用端口,如果殺毒軟件專用端口可連接,則分類為安裝了殺毒軟件的設備, 代理端進一步解析出終端設備的主機名;如果殺毒軟件專用端口不可連接, 則連接操作系統端口可連接,如果操作系統端口可連接可連接,則分類為 未安裝殺毒軟件,但是具有操作系統的設備,代理端進一步解析出終端設 備的主機名;如果操作系統端口不可連接,則分類為未安裝操作系統的設 備。代理端可以是安裝在殺毒軟件服務器上的應用程序。 服務器實現如下的功能異常報警,對發現的病毒或者殺毒軟件服務 器的異常進行報警;監督管理,監控殺毒軟件服務器的病毒庫的升級情況; 信息查詢,進行病毒信息的查詢;信息統計,對病毒信息進行統計。該方法的具體實現的細節特征與上面描述的裝置相對應,這里就不再 具體進行說明。總結而言,本發明采用了代理端-服務器-客戶端的病毒監控體系結構。 這一體系結構用于分布式網絡,實現了在復雜廣域網絡情況下對網絡內機 器的防病毒情況的監控和分析。本發明獨創了網絡掃描技術。系統采用獨創的網絡掃描技術并結合 NMAP網絡掃描,擴展了掃描內容,可以判斷出系統內不同計算機的操作 系統等信息。大型網絡,尤其是金融行業的業務網絡狀況非常復雜,劃分 為生產網和辦公網兩大網絡類型,其中包含DOS、 WINDOWS、 LINUX、 UNIX等不同操作系統的計算機,還有網絡打印機、ATM機器、IP終端等 各類特殊機器。該網絡掃描技術能高效地判斷出其中的WINDOWS機器, 并能分析各臺WINDOWS機器是否安裝了 KILL殺毒軟件。本發明提供多樣化、智能化的代理程序端。代理端程序是一個 WINDOWS應用程序,它以系統服務的形式安裝在KILL SERVER上,實 現對KILL SERVER所管轄的網段內的機器的掃描和實時監控。該代理程 序可以遠程自動更新,不需要人工干預;除了可以安裝在KILL安全曱冑軟 件服務器端,還可以修改接口安裝在Symantec等其它殺毒軟件系統上。13本發明采用先進的數據挖掘和數據分析技術,實現了對病毒的結果的 分析處理和幾十種報表打印。
本發明病毒防治技術與網絡掃描技術結合,實現了對大型復雜網絡殺 毒軟件情況的集中管理、病毒事件的實時報警。
本發明的病毒監控裝置和病毒監控方法具有如下的優點系統穩定可 靠,代理程序以系統服務的形式運行,為了防止操作系統平臺上易出現的 內存泄漏和內存損耗情況,代理程序會定期自動重起服務,這些措施進一 步增強了系統的穩定性。系統智能化程度高,搡作方便,病毒信息的處理 完全由系統自動完成,同時代理程序可以自動完成更新。掃描結果準確, 甚至在極其復雜的網絡中也能進行準確的掃描。
上述實施例是提供給熟悉本領域內的人員來實現或使用本發明的,熟 悉本領域的人員可在不脫離本發明的發明思想的情況下,對上述實施例做 出種種修改或變化,因而本發明的保護范圍并不被上述實施例所限,而應 該是符合權利要求書提到的創新性特征的最大范圍。
權利要求
1.一種大型網絡內的病毒監控裝置,其特征在于,包括客戶端,所述客戶端作為病毒監控裝置的系統管理平臺,實現與終端用戶的交互;代理端,連接到一個或數個殺毒軟件服務器,實現對整個網絡的掃描以及對病毒的監控;服務器,與所述客戶端和代理端進行數據通信,從代理端接收有關掃描以及病毒的數據,進行處理和保存,并將處理后的數據提供給所述客戶端。
2. 如權利要求1所述的病毒監控裝置,其特征在于,所述代理端對網 絡內的每一個子網進行掃描,將子網內的終端設備分為如下的四類不活動的設備;安裝了殺毒軟件的設備;未安裝殺毒軟件,但是具有操作系統的設備;未安裝操作系統的設備。
3. 如權利要求2所述的病毒監控裝置,其特征在于,所述代理端使用 NMAP技術對子網進行掃描,其中如果終端設備對ping命令沒有回應,則分類為不活動的設備;如果終端設備對ping命令有回應,且殺毒軟件專用端口可連接,則分 類為安裝了殺毒軟件的設備,代理端進一步解析出終端設備的主機名;如果終端設備對ping命令有回應,殺毒軟件專用端口不可連接,但操 作系統端口可連接,則分類為未安裝殺毒軟件,但是具有操作系統的設備, 代理端進一步解析出終端設備的主機名;如果終端設備對ping命令有回應,殺毒軟件專用端口不可連接,操作 系統端口也不可連接,則分類為未安裝操作系統的設備。
4. 如權利要求1-3中任一項所述的病毒監控裝置,其特征在于,所述代理端是安裝在殺毒軟件服務器上的應用程序。
5. 如權利要求1所述的病毒監控裝置,其特征在于,所述服務器包括 異常報警模塊,對發現的病毒或者殺毒軟件服務器的異常進行報警; 監督管理模塊,監控殺毒軟件服務器的病毒庫的升級情況; 信息查詢模塊,進行病毒信息的查詢;信息統計一莫塊,對病毒信息進卩于統計。
6. —種大型網絡內的病毒監控方法,其特征在于,包括 通過一客戶端實現與終端用戶的交互;通過一服務器,根據所述客戶端與終端用戶的交互結果,指示一代理 端進行對網絡的掃描以及對病毒的監控;所述代理端連接到一個或數個殺毒軟件服務器,通過所述殺毒軟件服 務器實現對網絡的掃描以及對病毒的監控;所述服務器從代理端接收有關掃描以及病毒的數據,進行處理和保存, 并將處理后的數據提供給所述客戶端;所述客戶端將所述數據反饋給終端用戶。
7. 如權利要求6所述的病毒監控方法,其特征在于,所述代理端對網 絡內的每一個子網進行掃描,將子網內的終端設備分為如下的四類不活動的設備;安裝了殺毒軟件的設備;未安裝殺毒軟件,但是具有操作系統的設備;未安裝操作系統的設備。
8. 如權利要求7所述的病毒監控方法,其特征在于,所述代理端使用 NMAP技術對子網進行掃描,其中首先使用ping命令連接終端設備,如果終端設備對ping命令沒有回應,則分類為不活動的設備;如果終端設備對ping命令有回應,則連接殺毒軟件專用端口 ,如果殺 毒軟件專用端口可連接,則分類為安裝了殺毒軟件的設備,代理端進一步 解析出終端設備的主機名;如果殺毒軟件專用端口不可連接,則連接操作系統端口可連接,如果 操作系統端口可連接可連接,則分類為未安裝殺毒軟件,但是具有操作系 統的設備,代理端進一步解析出終端設備的主機名;如果操作系統端口不可連接,則分類為未安裝操作系統的設備。
9. 如權利要求6-8中任一項所述的病毒監控方法,其特征在于,所述 代理端是安裝在殺毒軟件服務器上的應用程序。
10. 如權利要求6所述的病毒監控方法,其特征在于,所述服務器實現異常報警,對發現的病毒或者殺毒軟件服務器的異常進行報警; 監督管理,監控殺毒軟件服務器的病毒庫的升級情況; 信息查詢,進行病毒信息的查詢; 信息統計,對病毒信息進行統計。
全文摘要
本發明揭示了一種大型網絡內的病毒監控裝置,包括客戶端,客戶端作為病毒監控裝置的系統管理平臺,實現與終端用戶的交互;代理端,連接到一個或數個殺毒軟件服務器,實現對整個網絡的掃描以及對病毒的監控;服務器,與客戶端和代理端進行數據通信,從代理端接收有關掃描以及病毒的數據,進行處理和保存,并將處理后的數據提供給客戶端。本發明還揭示了一種大型網絡內的病毒監控方法。
文檔編號H04L12/26GK101656632SQ20081004193
公開日2010年2月24日 申請日期2008年8月21日 優先權日2008年8月21日
發明者斌 吳, 亮 姚, 孫美華, 雷重梓 申請人:中國建設銀行股份有限公司