專利名稱::一種未知惡意代碼的預(yù)警方法、設(shè)備和系統(tǒng)的制作方法
技術(shù)領(lǐng)域:
:本發(fā)明實(shí)施例涉及網(wǎng)絡(luò)安全技術(shù)�,特別是涉及一種未知惡意代碼的預(yù)警方法�、設(shè)備和系統(tǒng)�����。
背景技術(shù):
:隨著互聯(lián)網(wǎng)的廣泛應(yīng)用,對(duì)網(wǎng)絡(luò)安全的需求變得越來(lái)越大��。在所有的攻擊手段中����,對(duì)漏洞的利用也越來(lái)越頻繁��。過(guò)去安全漏洞被利用一般需要幾個(gè)月時(shí)間���。最近���,發(fā)現(xiàn)與利用之間的時(shí)間間隔已經(jīng)減少到了數(shù)天。漏洞一旦被發(fā)現(xiàn)后在很短的時(shí)間內(nèi)就會(huì)被惡意利用��,對(duì)于這種攻擊,廠商大多很久才能夠得到惡意代碼的樣本��,發(fā)行相應(yīng)的補(bǔ)丁也就更慢�����,所以這種攻擊往往能夠造成巨大的破壞。MSBlast(MS風(fēng)暴)在漏洞被發(fā)現(xiàn)不到25天就進(jìn)行了襲擊,Nachi(MS風(fēng)暴變種)一周后就發(fā)動(dòng)了襲擊���。如果能夠及早發(fā)現(xiàn)惡意代碼����,就可以及時(shí)預(yù)防����,進(jìn)而減少惡意代碼造成的損失?���,F(xiàn)有技術(shù)中����,網(wǎng)絡(luò)設(shè)備無(wú)法對(duì)可疑代碼進(jìn)行上報(bào)��,當(dāng)惡意代碼攻擊發(fā)生以后,廠商需要很久才能獲取惡意代碼樣本。病毒軟件雖然可以對(duì)已經(jīng)下載到電腦上的文件進(jìn)行分析并上報(bào)給監(jiān)控中心��,但是如果處理不當(dāng),仍然會(huì)受到已經(jīng)下載的惡意代碼的攻擊���,并且給用戶的電腦帶來(lái)了很大的負(fù)擔(dān),另外由于需要安裝,給用戶帶來(lái)了很多麻煩,所以一些用戶會(huì)拒絕在網(wǎng)絡(luò)設(shè)備上安裝殺毒軟件�����,成為了惡意代碼傳播的溫床。
發(fā)明內(nèi)容本發(fā)明實(shí)施例提供了一種未知惡意代碼的預(yù)警方法��、設(shè)備和系統(tǒng)?��?梢栽诘谝粫r(shí)間主動(dòng)上報(bào)大量可疑代碼的源地址,為縮短解決病毒威脅的時(shí)間奠定了基礎(chǔ)��;并且無(wú)需在客戶端安裝軟件��,避免安裝過(guò)程的麻煩�。本發(fā)明實(shí)施例提供的一種未知惡意代碼的預(yù)警方法,包括對(duì)數(shù)據(jù)包進(jìn)行特征檢測(cè);通過(guò)檢測(cè)結(jié)果判斷所述數(shù)據(jù)包是否包含可疑代碼��;如果包含,記錄所述可疑代碼的源地址;向監(jiān)控設(shè)備發(fā)送包含所述源地址的預(yù)警信息����。本發(fā)明實(shí)施例提供的一種網(wǎng)絡(luò)設(shè)備,包括第一檢測(cè)模塊��,用于對(duì)數(shù)據(jù)包進(jìn)行特征檢測(cè);第一判斷模塊��,用于通過(guò)第一檢測(cè)模塊的檢測(cè)結(jié)果判斷所述數(shù)據(jù)包是否包含可疑代碼;第一記錄模塊,用于在第一判斷模塊判斷為包含的情況下�,記錄所述可疑代碼的源地址�;第一發(fā)送模塊,用于向監(jiān)控設(shè)備發(fā)送包含所述源地址的預(yù)警信息�。本發(fā)明實(shí)施例提供的一種未知惡意代碼的預(yù)警系統(tǒng)�,包括網(wǎng)絡(luò)設(shè)備和監(jiān)控設(shè)備,其中監(jiān)控設(shè)備用于接收預(yù)警信息�����;解析所述預(yù)警信息中的源地址��;下載所述源地址對(duì)應(yīng)的可疑代碼���;判斷所述可疑代碼是否惡意����;在判斷為具有惡意時(shí),發(fā)送報(bào)警信息�����。本發(fā)明實(shí)施例提供的一種未知惡意代碼的預(yù)警方法�����、設(shè)備和系統(tǒng)����。可以在第一時(shí)間主動(dòng)上報(bào)大量可疑代碼的源地址��,從而使得廠商在惡意代碼出現(xiàn)后快速獲得樣本源地址�,并且確保了預(yù)警信息來(lái)源的全面性,為縮短解決病毒威脅的時(shí)間奠定了基礎(chǔ);并且無(wú)需在客戶端安裝軟件�����,避免安裝過(guò)程的麻煩。為了更清楚地說(shuō)明本發(fā)明實(shí)施例中的技術(shù)方案����,下面將對(duì)實(shí)施例中所需要使用的附圖作簡(jiǎn)單地介紹,顯而易見(jiàn)地�,下面描述中的附圖僅僅是本發(fā)明的一些實(shí)施例���,對(duì)于本領(lǐng)域普通技術(shù)人員來(lái)講�����,在不付出創(chuàng)造性勞動(dòng)的前提下,還可以根據(jù)這些附圖獲得其他的附圖����。圖1為本發(fā)明未知惡意代碼的預(yù)警方法實(shí)施例示意圖����;圖2為本發(fā)明未知惡意代碼的預(yù)警方法實(shí)施例示意圖��;圖3為本發(fā)明網(wǎng)絡(luò)設(shè)備實(shí)施例示意圖�����;圖4為本發(fā)明未知惡意代碼的預(yù)警系統(tǒng)實(shí)施例示意圖。具體實(shí)施例方式下面將結(jié)合本發(fā)明實(shí)施例中的附圖,對(duì)本發(fā)明實(shí)施例中的技術(shù)方案進(jìn)行清楚、完整地描述���,顯然�,所描述的實(shí)施例僅僅是本發(fā)明一部分實(shí)施例��,而不是全部的實(shí)施例����?���;诒景l(fā)明中的實(shí)施例�,本領(lǐng)域普通技術(shù)人員在沒(méi)有作出創(chuàng)造性勞動(dòng)前提下所獲得的所有其他實(shí)施例,都屬于本發(fā)明保護(hù)的范圍�����。本發(fā)明實(shí)施例提供了一種結(jié)構(gòu)化信息價(jià)值評(píng)估方法和設(shè)備�,下面對(duì)本發(fā)明實(shí)施例的技術(shù)方案做進(jìn)一步的詳細(xì)描述�����。圖1為本發(fā)明未知惡意代碼的預(yù)警方法實(shí)施例示意圖����。本實(shí)施例包括步驟105�����,對(duì)數(shù)據(jù)包進(jìn)行特征檢測(cè)��;步驟IIO,通過(guò)檢測(cè)結(jié)果判斷所述數(shù)據(jù)包是否包含可疑代碼;步驟128�,如果包含��,記錄所述可疑代碼的源地址��;步驟130,向監(jiān)控設(shè)備發(fā)送包含所述源地址的預(yù)警信息���。本發(fā)明實(shí)施例的執(zhí)行主體為網(wǎng)絡(luò)設(shè)備�����。通過(guò)將數(shù)據(jù)包中可疑代碼的源地址發(fā)送給監(jiān)控設(shè)備���,及時(shí)地對(duì)可疑代碼進(jìn)行了預(yù)警�。本實(shí)施例首先對(duì)數(shù)據(jù)包進(jìn)行特征檢測(cè),比如可以通過(guò)檢測(cè)數(shù)據(jù)包中是否包含所述可疑代碼的名稱����、檢測(cè)數(shù)據(jù)流中是否包含所述可疑代碼的文件頭����、或者兩者結(jié)合的方法進(jìn)行檢測(cè)。具體的����,只通過(guò)檢測(cè)數(shù)據(jù)包中是否包含所述可疑代碼的名稱時(shí)���,例如,當(dāng)檢測(cè)到數(shù)據(jù)包中包含類似get*,exe的字符串時(shí)����,說(shuō)明正在傳輸一個(gè)可執(zhí)行文件����,那么這個(gè)*.exe就是可疑代碼����,因?yàn)檫@個(gè)可執(zhí)行文件有可能會(huì)泄露終端用戶的信息、對(duì)終端的系統(tǒng)造成破環(huán)、甚至被攻擊者控制����,其中*代表任意長(zhǎng)字符串�?�;蛘弋?dāng)數(shù)據(jù)包中包含類似get*.dll、get*.ocx的字符串時(shí)����,也說(shuō)明正在傳輸一個(gè)可執(zhí)行文件�����,也有可能是一段惡意代碼���,有可能會(huì)泄露終端用戶的信息�、對(duì)終端的系統(tǒng)造成破環(huán)、甚至被攻擊者控制��,同樣需要上報(bào)�。只通過(guò)檢測(cè)數(shù)據(jù)流中是否包含所述可疑代碼的文件頭時(shí)��,例如��,當(dāng)檢測(cè)到數(shù)據(jù)包中包含PE(PortableExcutable��,可移植可執(zhí)行)文件頭特征碼"MZ"(ASCII(AmericanStandardCodeforInformationInterchange,美國(guó)信息交換標(biāo)準(zhǔn)代碼)碼表示)時(shí)�����,這個(gè)PE文件可能在執(zhí)行時(shí)泄露終端用戶的信息�、對(duì)終端的系統(tǒng)造成破環(huán)����、甚至被攻擊者控制�����,所以這個(gè)PE文件也是可疑代碼����。通過(guò)兩者結(jié)合的方法進(jìn)行檢測(cè)時(shí),當(dāng)檢測(cè)到get*,jpg之后����,如果繼續(xù)檢測(cè)到相應(yīng)數(shù)據(jù)中包含PE文件頭特征碼"MZ"(ASCII(AmericanStandardCodeforlnformationInterchange,美國(guó)信息交換標(biāo)準(zhǔn)代碼)碼表示),這個(gè)PE文件就是可疑代碼�����,因?yàn)橛脩魢L試的是下載一副圖片��,但是返回的是一個(gè)可執(zhí)行文件,這個(gè)欺騙行為�,說(shuō)明這個(gè)PE文件非常可能是一段惡意代碼���。當(dāng)檢測(cè)到可疑代碼以后,查找可疑代碼的來(lái)源�����,具體的�����,如果是通過(guò)檢測(cè)數(shù)據(jù)流中是否包含所述可疑代碼的名稱來(lái)確定可疑代碼的�,那么源地址一般是會(huì)在get后面的URL中出現(xiàn),如果是通過(guò)檢測(cè)數(shù)據(jù)流中是否包含所述可疑代碼的文件頭來(lái)確定可疑代碼的��,那么可以通過(guò)數(shù)據(jù)包中的信息查找到數(shù)據(jù)包的源地址��,如果是使用兩者相結(jié)合的方式來(lái)確定可疑代碼的�,源地址一般也會(huì)在get后面的URL中出現(xiàn)�����。記錄下可疑代碼的源地址以后����,再通過(guò)預(yù)警信息��,將上述源地址發(fā)送給監(jiān)控設(shè)備�。在預(yù)警之后���,網(wǎng)絡(luò)設(shè)備還可以接收所述監(jiān)控設(shè)備發(fā)送的報(bào)警信息��。本發(fā)明實(shí)施例提供的一種未知惡意代碼的預(yù)警方法。可以在第一時(shí)間主動(dòng)上報(bào)大量可疑代碼的源地址��,從而使得廠商在惡意代碼出現(xiàn)后快速獲得樣本源地址,并且確保了預(yù)警信息來(lái)源的全面性,為縮短解決病毒威脅的時(shí)間奠定了基礎(chǔ)��;并且無(wú)需在客戶端安裝軟件,避免安裝過(guò)程的麻煩���。圖2為本發(fā)明未知惡意代碼的預(yù)警方法實(shí)施例示意圖��。本實(shí)施例包括步驟105���,對(duì)數(shù)據(jù)包進(jìn)行特征檢測(cè)��;步驟IIO�,通過(guò)檢測(cè)結(jié)果判斷所述數(shù)據(jù)包是否包含可疑代碼�;步驟128,如果包含���,記錄所述可疑代碼的源地址;步驟130���,向監(jiān)控設(shè)備發(fā)送包含所述源地址的預(yù)警信息��。步驟204����,接收所述監(jiān)控設(shè)備發(fā)送的報(bào)警信息����,所述報(bào)警信息包含所述可疑代碼的惡意性�、或所述可疑代碼的惡意性以及僵尸網(wǎng)絡(luò)拓?fù)湫畔ⅰ1景l(fā)明實(shí)施例與上一實(shí)施例的區(qū)別在于,網(wǎng)絡(luò)設(shè)備發(fā)送預(yù)警信息之后�,接收監(jiān)控設(shè)備發(fā)送的報(bào)警信息。報(bào)警信息中包含預(yù)警的可疑代碼的惡意性�����、或者預(yù)警的可疑代碼的惡意性以及僵尸網(wǎng)絡(luò)拓?fù)湫畔?����。監(jiān)控設(shè)備可以通過(guò)特征檢測(cè)的方法�����、沙箱測(cè)試的方法或者二者相結(jié)合的方法判斷可疑代碼的惡意性��。如果監(jiān)控設(shè)備使用特征檢測(cè)的方法計(jì)算惡意可能性���,則監(jiān)控設(shè)備利用更為詳細(xì)的惡意代碼特征資源庫(kù)�����,與可疑代碼進(jìn)行比較��,如果可疑代碼與惡意代碼特征資源庫(kù)中的特征匹配�,根據(jù)其匹配的程度計(jì)算可疑代碼發(fā)動(dòng)攻擊的概率�����,并判斷是否有可能發(fā)生攻擊行為�����,即惡意可能性。比如�,如果特征庫(kù)中包含一段可疑代碼特征��,被認(rèn)定為具有80%發(fā)動(dòng)攻擊的概率����,可疑代碼與這段可疑代碼特征是一樣的,則可以認(rèn)定可疑代碼也具有80%發(fā)動(dòng)攻擊的概率��,如果這一概率超過(guò)報(bào)警閥值,則可疑代碼具有惡意可能性��。如果監(jiān)控設(shè)備使用沙箱的方法計(jì)算惡意可能性����,監(jiān)控設(shè)備自動(dòng)將上述可疑代碼在沙箱中運(yùn)行�,并記錄執(zhí)行的結(jié)果和運(yùn)行情況,監(jiān)控設(shè)備根據(jù)這一記錄計(jì)算它的惡意可能性�����。上述沙箱是一種專業(yè)虛擬環(huán)境,在其中運(yùn)行的程序在修改注冊(cè)表或者文件時(shí)會(huì)被重定向至沙箱內(nèi)部�����,這樣,如果程序具有惡意,也不對(duì)沙箱外部造成影響。即使在沙箱內(nèi)部執(zhí)行了攻擊行為,只需重啟沙箱即可消除攻擊行為的影響����。比如監(jiān)控設(shè)備檢測(cè)到可疑代碼的運(yùn)行過(guò)程中觸發(fā)了一個(gè)惡意事件����,而這一事件的發(fā)動(dòng)攻擊的概率是40%,則這一可疑代碼的惡意可能性也是40%�����,如果這一概率超過(guò)報(bào)警閥值,則可疑代碼具有惡意可能性��。如果判斷為惡意代碼���,監(jiān)控設(shè)備可以提取所述惡意代碼中的僵尸網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)信息����,生成包含所述拓?fù)浣Y(jié)構(gòu)信息的報(bào)警信息���;監(jiān)控設(shè)備發(fā)送所述包含所述拓?fù)浣Y(jié)構(gòu)信息的報(bào)警信息����。上述惡意代碼中的僵尸網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)信息,包括僵尸主機(jī)以及控制主機(jī)的IP地址�、端口��、或URL。監(jiān)控設(shè)備發(fā)送包含所述拓?fù)浣Y(jié)構(gòu)信息的報(bào)警信息之后���,網(wǎng)絡(luò)設(shè)備接收所述監(jiān)控設(shè)備發(fā)送的報(bào)警信息,所述報(bào)警信息包含所述可疑代碼的惡意性����、或所述可疑代碼的惡意性以及上述僵尸網(wǎng)絡(luò)拓?fù)湫畔?���。本發(fā)明實(shí)施例還可以包含以下步驟步驟216����,根據(jù)所述可疑代碼的惡意性,攔截具有惡意的可疑代碼�;或步驟225,根據(jù)所述可疑代碼的惡意性以及僵尸網(wǎng)絡(luò)拓?fù)湫畔?����,攔截具有惡意的可疑代碼以及所述僵尸網(wǎng)絡(luò)拓?fù)湫畔?duì)應(yīng)的僵尸網(wǎng)絡(luò)中的數(shù)據(jù)包�。網(wǎng)絡(luò)設(shè)備在收到報(bào)警信息之后對(duì)相應(yīng)的可疑代碼進(jìn)行攔截�����,對(duì)僵尸網(wǎng)絡(luò)中的數(shù)據(jù)包進(jìn)行攔截�����。本發(fā)明實(shí)施例提供的一種未知惡意代碼的預(yù)警方法�����?�?梢栽诘谝粫r(shí)間主動(dòng)上報(bào)大量可疑代碼的源地址���,并且確保了預(yù)警信息來(lái)源的全面性����,為縮短解決病毒威脅的時(shí)間奠定了基礎(chǔ);同時(shí)避免了安裝客戶端軟件的麻煩����。另外�,通過(guò)網(wǎng)絡(luò)設(shè)備發(fā)送可疑代碼的源地址�,減少了直接發(fā)送可疑代碼用戶帶寬的占用量��;通過(guò)監(jiān)控設(shè)備分析可疑代碼���,并向網(wǎng)絡(luò)設(shè)備發(fā)送報(bào)警��,使得網(wǎng)絡(luò)設(shè)備對(duì)惡意可疑代碼進(jìn)行攔截����;通過(guò)提取僵尸網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)信息�����,并向網(wǎng)絡(luò)設(shè)備發(fā)送僵尸網(wǎng)絡(luò)的報(bào)警��,使得網(wǎng)絡(luò)設(shè)備對(duì)僵尸網(wǎng)絡(luò)中的數(shù)據(jù)包進(jìn)行攔截�,減少了主機(jī)收到攻擊的可能性����。圖3為本發(fā)明網(wǎng)絡(luò)設(shè)備實(shí)施例示意圖。本實(shí)施例包括第一檢測(cè)模塊301���,用于對(duì)數(shù)據(jù)包進(jìn)行特征檢測(cè)��;第一判斷模塊312����,用于通過(guò)第一檢測(cè)模塊的檢測(cè)結(jié)果判斷所述數(shù)據(jù)包是否包含可疑代碼����;第一記錄模塊325���,用于在第一判斷模塊判斷為包含的情況下���,記錄所述可疑代碼的源地址;第一發(fā)送模塊336�,用于向監(jiān)控設(shè)備發(fā)送包含所述源地址的預(yù)警信息���。本實(shí)施例第一檢測(cè)模塊首先對(duì)數(shù)據(jù)包進(jìn)行特征檢測(cè)����,比如可以通過(guò)檢測(cè)數(shù)據(jù)包中是否包含所述可疑代碼的名稱、檢測(cè)數(shù)據(jù)流中是否包含所述可疑代碼的文件頭��、或者兩者結(jié)合的方法進(jìn)行檢測(cè)����。第一判斷模塊根據(jù)第一檢測(cè)模塊的檢測(cè)結(jié)果判斷是否包含可疑代碼��。如果包含�,第一記錄模塊記錄下可疑代碼的來(lái)源����,并通過(guò)第一發(fā)送模塊向監(jiān)控設(shè)備預(yù)警�。在預(yù)警之后�����,網(wǎng)絡(luò)設(shè)備還可以接收所述監(jiān)控設(shè)備發(fā)送的報(bào)警信息。本實(shí)施例第一檢測(cè)模塊還可以包括以下子模塊第一檢測(cè)子模塊302�����,用于檢測(cè)數(shù)據(jù)流中是否包含所述可疑代碼的名稱;和/或第二檢測(cè)子模塊303����,用于檢測(cè)數(shù)據(jù)流中是否包含所述可疑代碼的文件頭���。本實(shí)施例還可以包括以下模塊第一接收模塊345,用于接收所述監(jiān)控設(shè)備發(fā)送的報(bào)警信息���,所述報(bào)警信息包含所述可疑代碼的惡意性����、或所述可疑代碼的惡意性以及僵尸網(wǎng)絡(luò)拓?fù)湫畔?���。本?shí)施例還可以包括以下模塊第一攔截模塊352����,用于根據(jù)所述可疑代碼的惡意性,攔截具有惡意的可疑代碼��;或第二攔截模塊367,用于根據(jù)所述可疑代碼的惡意性以及僵尸網(wǎng)絡(luò)拓?fù)湫畔?��,攔截具有惡意的可疑代碼以及所述僵尸網(wǎng)絡(luò)拓?fù)湫畔?duì)應(yīng)的僵尸網(wǎng)絡(luò)中的數(shù)據(jù)包。本發(fā)明實(shí)施例提供的網(wǎng)絡(luò)設(shè)備����??梢栽诘谝粫r(shí)間主動(dòng)上報(bào)大量可疑代碼的源地址,并且確保了預(yù)警信息來(lái)源的全面性���,為縮短解決病毒威脅的時(shí)間奠定了基礎(chǔ);并且無(wú)需在客戶端安裝軟件,避免安裝過(guò)程的麻煩���。還通過(guò)第一接收模塊接收監(jiān)控設(shè)備發(fā)送的報(bào)警信息����,對(duì)惡意可疑代碼進(jìn)行攔截或者對(duì)僵尸網(wǎng)絡(luò)中的數(shù)據(jù)包進(jìn)行攔截,減少了主機(jī)收到攻擊的可能性��。圖4為本發(fā)明未知惡意代碼的預(yù)警系統(tǒng)實(shí)施例示意圖���。本實(shí)施例包括如圖3所示的網(wǎng)絡(luò)設(shè)備401和監(jiān)控設(shè)備412����,上述監(jiān)控設(shè)備用于接收預(yù)警信息���;解析所述預(yù)警信息中的源地址�;下載所述源地址對(duì)應(yīng)的可疑代碼���;判斷所述可疑代碼是否惡意;在判斷為具有惡意時(shí)�����,發(fā)送報(bào)警信息��。本發(fā)明實(shí)施例提供的一種未知惡意代碼的預(yù)警系統(tǒng)���?����?梢栽诘谝粫r(shí)間搜集大量可疑代碼的源地址�����,并且確保了預(yù)警信息來(lái)源的全面性�����,為縮短解決病毒威脅的時(shí)間奠定了基礎(chǔ)�;并且無(wú)需在客戶端安裝軟件���,避免安裝過(guò)程的麻煩。�。通過(guò)以上的實(shí)施方式的描述,本領(lǐng)域的技術(shù)人員可以清楚地了解到本發(fā)明可以通過(guò)硬件實(shí)現(xiàn)�����,也可以借助軟件加必要的通用硬件平臺(tái)的方式來(lái)實(shí)現(xiàn)�?����;谶@樣的理解�,本發(fā)明的技術(shù)方案可以以軟件產(chǎn)品的形式體現(xiàn)出來(lái)��,該軟件產(chǎn)品可以存儲(chǔ)在一個(gè)非易失性存儲(chǔ)介質(zhì)(可以是CD-ROM��,U盤,移動(dòng)硬盤等)中���,包括若干指令用以使得一臺(tái)計(jì)算機(jī)設(shè)備(可以是個(gè)人計(jì)算機(jī)�,服務(wù)器��,或者網(wǎng)絡(luò)設(shè)備等)執(zhí)行本發(fā)明各個(gè)實(shí)施例上述的方法。本領(lǐng)域技術(shù)人員可以理解附圖只是一個(gè)優(yōu)選實(shí)施例的示意圖��,附圖中的模塊或流程并不一定是實(shí)施本發(fā)明所必須的��。本領(lǐng)域技術(shù)人員可以理解實(shí)施例中的裝置中的模塊可以按照實(shí)施例描述進(jìn)行分布于實(shí)施例的裝置中��,也可以進(jìn)行相應(yīng)變化位于不同于本實(shí)施例的一個(gè)或多個(gè)裝置中。上述實(shí)施例的模塊可以合并為一個(gè)模塊,也可以進(jìn)一步拆分成多個(gè)子模塊��。上述本發(fā)明實(shí)施例序號(hào)僅僅為了描述���,不代表實(shí)施例的優(yōu)劣。以上公開(kāi)的僅為本發(fā)明的幾個(gè)具體實(shí)施例�,但是���,本發(fā)明并非局限于此,任何本領(lǐng)域的技術(shù)人員能思之的變化都應(yīng)落入本發(fā)明的保護(hù)范圍�����。權(quán)利要求一種未知惡意代碼的預(yù)警方法���,其特征在于�����,包括對(duì)數(shù)據(jù)包進(jìn)行特征檢測(cè)��;通過(guò)檢測(cè)結(jié)果判斷所述數(shù)據(jù)包是否包含可疑代碼;如果包含���,記錄所述可疑代碼的源地址;向監(jiān)控設(shè)備發(fā)送包含所述源地址的預(yù)警信息。2.如權(quán)利要求1所述的方法�,其特征在于�,所述對(duì)數(shù)據(jù)包進(jìn)行特征檢測(cè)包括以下至少一項(xiàng)檢測(cè)數(shù)據(jù)流中是否包含所述可疑代碼的名稱;檢測(cè)數(shù)據(jù)流中是否包含所述可疑代碼的文件頭��。3.如權(quán)利要求1或2所述的方法���,其特征在于,還包括接收所述監(jiān)控設(shè)備發(fā)送的報(bào)警信息����,所述報(bào)警信息包含所述可疑代碼的惡意性�、或所述可疑代碼的惡意性以及僵尸網(wǎng)絡(luò)拓?fù)湫畔ⅰ?.如權(quán)利要求3所述的方法����,其特征在于,還包括根據(jù)所述可疑代碼的惡意性���,攔截具有惡意的可疑代碼���;或根據(jù)所述可疑代碼的惡意性以及僵尸網(wǎng)絡(luò)拓?fù)湫畔ⅲ瑪r截具有惡意的可疑代碼以及所述僵尸網(wǎng)絡(luò)拓?fù)湫畔?duì)應(yīng)的僵尸網(wǎng)絡(luò)中的數(shù)據(jù)包��。5.—種網(wǎng)絡(luò)設(shè)備�,其特征在于���,包括第一檢測(cè)模塊,用于對(duì)數(shù)據(jù)包進(jìn)行特征檢測(cè)����;第一判斷模塊�,用于通過(guò)第一檢測(cè)模塊的檢測(cè)結(jié)果判斷所述數(shù)據(jù)包是否包含可疑代碼;第一記錄模塊,用于在第一判斷模塊判斷為包含的情況下���,記錄所述可疑代碼的源地址����;第一發(fā)送模塊,用于向監(jiān)控設(shè)備發(fā)送包含所述源地址的預(yù)警信息���。6.如權(quán)利要求5所述的網(wǎng)絡(luò)設(shè)備,其特征在于�����,第一檢測(cè)模塊包括第一檢測(cè)子模塊���,用于檢測(cè)數(shù)據(jù)流中是否包含所述可疑代碼的名稱;和/或第二檢測(cè)子模塊����,用于檢測(cè)數(shù)據(jù)流中是否包含所述可疑代碼的文件頭。7.如權(quán)利要求5所述的網(wǎng)絡(luò)設(shè)備�����,其特征在于��,還包括第一接收模塊��,用于接收所述監(jiān)控設(shè)備發(fā)送的報(bào)警信息���,所述報(bào)警信息包含所述可疑代碼的惡意性、或所述可疑代碼的惡意性以及僵尸網(wǎng)絡(luò)拓?fù)湫畔ⅰ?.如權(quán)利要求5所述的網(wǎng)絡(luò)設(shè)備�,其特征在于�����,還包括第一攔截模塊,用于根據(jù)所述可疑代碼的惡意性�����,攔截具有惡意的可疑代碼��;或第二攔截模塊,用于根據(jù)所述可疑代碼的惡意性以及僵尸網(wǎng)絡(luò)拓?fù)湫畔?�,攔截具有惡意的可疑代碼以及所述僵尸網(wǎng)絡(luò)拓?fù)湫畔?duì)應(yīng)的僵尸網(wǎng)絡(luò)中的數(shù)據(jù)包��。9.一種未知惡意代碼的預(yù)警系統(tǒng)����,其特征在于���,包括如權(quán)利要求5-8所述的網(wǎng)絡(luò)設(shè)備��;監(jiān)控設(shè)備��,用于接收預(yù)警信息�;解析所述預(yù)警信息中的源地址�;下載所述源地址對(duì)應(yīng)的可疑代碼�;判斷所述可疑代碼是否惡意�;在判斷為具有惡意時(shí)��,發(fā)送報(bào)警信息����。全文摘要本發(fā)明實(shí)施例涉及了一種未知惡意代碼的預(yù)警方法�、設(shè)備和系統(tǒng)�。本發(fā)明實(shí)施例涉及的方法和設(shè)備包括對(duì)數(shù)據(jù)包進(jìn)行特征檢測(cè)����;通過(guò)檢測(cè)結(jié)果判斷所述數(shù)據(jù)包是否包含可疑代碼;如果包含����,記錄所述可疑代碼的源地址;向監(jiān)控設(shè)備發(fā)送包含所述源地址的預(yù)警信息����。本發(fā)明實(shí)施例可以在第一時(shí)間主動(dòng)上報(bào)大量可疑代碼的源地址���,為縮短解決病毒威脅的時(shí)間奠定了基礎(chǔ);并且無(wú)需在客戶端安裝軟件����,避免安裝過(guò)程的麻煩�����。文檔編號(hào)H04L12/24GK101714931SQ20091024717公開(kāi)日2010年5月26日申請(qǐng)日期2009年11月26日優(yōu)先權(quán)日2009年11月26日發(fā)明者蔣武申請(qǐng)人:成都市華為賽門鐵克科技有限公司