法律状态公告日
法律状态信息
法律状态
2018-05-18
专利权的转移 IPC(主分类):H04L9/32 登记生效日:20180427 变更前: 变更后: 申请日:20040716
专利申请权、专利权的转移
2010-03-24
授权
授权
2006-07-12
实质审查的生效
实质审查的生效
2006-01-18
公开
公开
技术领域
本发明涉及计算机病毒技术,特别是一种防范蠕虫病毒向网络扩散的系统和方法。
背景技术
随着计算机技术和网络技术的飞速发展,互联网(Internet)在人们的日常生活、学习和工作中发挥的作用也越来越大。由互联网所带来的各种网络业务也在办公和生活中获得了普及和推广。互联网在给人们带来极大方便的同时,也给蠕虫病毒提供了良好的温床。
蠕虫病毒是一种破坏性极大、传染性极强的计算机病毒,它的传播通常不需要人为的激活,而通过网络来扩散特定的信息和错误。局域网条件下的共享文件夹、电子邮件(E-mail)、网络中的恶意网页、大量存在着漏洞的服务器等都成为蠕虫病毒传播的良好途径。蠕虫病毒的肆意传播经常会给网络带来灾难,并在全世界的范围内造成重大破坏。蠕虫病毒的迅速传播会造成互联网严重堵塞和域名服务器(DNS)的瘫痪,从而造成浏览互联网网页及收发电子邮件的速度大幅减缓。同时,蠕虫病毒还会造成业务数据破坏、银行自动提款机运作中断、机票等网络预订系统运作中断和信用卡等收付款系统出现故障。
由于蠕虫病毒传播迅速、破坏巨大而又难以彻底根除,如何防范蠕虫病毒向网络扩散一直是网络安全的焦点之一。目前,一些厂商纷纷推出各种防病毒软件来查杀计算机中的蠕虫病毒。但是由于很多计算机在感染蠕虫病毒前并没有安装防病毒软件,因此即使防病毒软件可以清除蠕虫病毒,蠕虫病毒仍然已经向网络扩散。而且即使计算机安装了防病毒软件并清除了蠕虫病毒,如果计算机没有安装计算机系统补丁,仍然不能阻止计算机再次感染蠕虫病毒,也不能阻止蠕虫病毒向网络扩散,从而不能保证网络的可靠性。并且,某些蠕虫病毒感染计算机后会获得计算机的最高权限,因此可以关闭防病毒软件,从而使得防病毒软件失效,不能正常查杀蠕虫病毒。
发明内容
有鉴于此,本发明的主要目的是提供一种防范蠕虫病毒向网络扩散的系统,以提高网络的可靠性。
本发明的另一目的是提供一种防范蠕虫病毒向网络扩散的方法,以提高网络的可靠性。
为达到上述目的,本发明的技术方案是这样的:
一种防范蠕虫病毒向网络扩散的系统,包括至少一个终端,该系统包括:
安全配置服务器,用于配置蠕虫病毒特征,并向安全认证服务器发送所述蠕虫病毒特征;
终端代理模块,用于从终端收集与蠕虫病毒特征相对应的终端信息,并向安全认证服务器发送所述终端信息;
安全认证服务器,用于根据所述蠕虫病毒特征对终端信息进行认证,当认证通过时,向网络接入服务器发送终端蠕虫病毒认证通过消息;
网络接入服务器,根据终端蠕虫病毒认证通过消息打开终端的上网权限。
所述安全认证服务器进一步用于在认证不通过时,向网络接入服务器发送终端蠕虫病毒认证不通过消息;所述网络接入服务器进一步用于根据终端蠕虫病毒认证不通过消息关闭终端的上网权限。
所述安全配置服务器进一步用于配置终端安全条件特征,并向安全认证服务器发送所述终端安全条件特征;
所述终端代理模块进一步用于收集与终端安全条件特征相对应的终端安全条件信息,并向安全认证服务器发送所述终端安全条件信息;
所述安全认证服务器进一步用于根据终端安全条件特征对终端安全条件信息进行认证,如果认证通过,则向网络接入设备发送终端安全条件认证通过消息,如果认证不通过,则向网络接入设备发送终端安全条件认证不通过消息;
所述网络接入服务器,进一步用于当收到终端安全条件认证通过消息和蠕虫病毒认证通过消息后打开终端的上网权限,当收到终端安全条件认证不通过消息时关闭终端的上网权限。
所述蠕虫病毒特征为蠕虫病毒特征码、蠕虫病毒文件名、蠕虫病毒进程信息、蠕虫病毒感染端口号、蠕虫病毒感染注册表信息中的一种或者一种以上的任意组合。
所述终端安全条件特征包括终端补丁条件、终端硬件条件、终端浏览器安全级别条件、终端软件及其版本条件、终端进程条件中的一种或者一种以上的任意组合。
一种防范蠕虫病毒向网络扩散的方法,预先配置蠕虫病毒特征,并向安全认证服务器发送所述蠕虫病毒特征,该方法包括:
A、收集与蠕虫病毒特征相对应的终端信息,并向安全认证服务器发送所述终端信息;
B、安全认证服务器根据所述蠕虫病毒特征对所述终端信息进行认证,如果认证通过,向网络接入服务器发送终端蠕虫病毒认证通过消息;
C、网络接入服务器根据终端蠕虫病毒认证通过消息打开终端的上网权限。
所述蠕虫病毒特征为蠕虫病毒特征码、蠕虫病毒文件名、蠕虫病毒进程信息、蠕虫病毒感染端口号、蠕虫病毒感染注册表信息中的一种或者一种以上的任意组合。
步骤B进一步包括:当认证不通过时向网络接入服务器发送终端蠕虫病毒认证不通过消息;步骤C进一步包括:网络接入服务器根据终端蠕虫病毒认证不通过消息关闭终端的上网权限。
进一步预先配置终端安全条件特征,并向安全认证服务器发送所述终端安全条件特征;在步骤A进一步收集与终端安全条件特征相对应的终端安全条件信息,并向安全认证服务器发送所述终端安全条件信息;步骤B中安全认证服务器进一步根据终端安全条件特征对终端安全条件信息进行认证,如果认证通过向网络接入服务器发送终端安全条件认证通过消息;步骤C中进一步当收到终端安全条件认证通过消息和蠕虫病毒认证通过消息后打开终端的上网权限。
步骤B中进一步在认证不通过后向网络接入服务器发送终端安全条件认证不通过消息;步骤C中进一步当收到终端安全条件认证不通过消息时关闭终端的上网权限。
所述终端安全条件特征包括终端补丁条件、终端硬件条件、终端浏览器安全级别条件、终端软件及其版本条件、终端进程条件中的一种或者一种以上的任意组合。
步骤B中认证不通过后,安全认证服务器进一步向终端发送蠕虫病毒告警消息,终端向安全配置服务器发送杀毒请求消息,安全配置服务器根据杀毒请求消息对终端进行清除蠕虫病毒。
步骤B中认证不通过后,安全认证服务器进一步向安全配置服务器发送蠕虫病毒认证不通过消息,安全配置服务器主动对终端进行清除蠕虫病毒。
步骤C中对终端安全条件信息认证不通过后,安全认证服务器进一步向终端发送安全条件告警消息,终端根据所述安全条件告警消息向安全配置服务器发送安全配置请求消息,安全配置服务器根据所述安全配置请求消息对终端进行安全配置。
步骤C中对终端安全条件信息认证不通过后,安全认证服务器进一步向安全配置服务器发送安全条件认证不通过消息,安全配置服务器根据安全条件认证不通过消息主动对终端进行安全配置。
所述安全认证服务器向终端发送安全条件告警消息为:安全认证服务器向终端发送补丁告警消息;所述终端向安全配置服务器发送安全配置请求消息,安全配置服务器根据安全配置请求消息对终端进行安全配置为:终端向安全配置服务器发送补丁配置请求消息,安全配置服务器根据补丁配置请求消息对终端进行补丁配置。
所述安全认证服务器向安全配置服务器发送安全认证不通过消息为:安全认证服务器向安全配置服务器发送补丁告警消息;所述安全配置服务器主动对终端进行安全配置为:安全配置服务器主动对终端进行补丁配置。
该方法进一步包括,在步骤A前将终端划分为不少于一个的群组,步骤A所述配置终端安全条件特征,并向安全认证服务器发送终端安全条件特征为:配置各群组的安全条件特征,并向安全认证服务器发送所述各群组的安全条件特征;步骤B所述终端代理模块收集与终端安全条件特征相对应的终端安全条件信息为:终端代理模块收集与该终端所在群组的安全条件特征相对应的终端安全条件信息;步骤C所述安全认证服务器根据终端安全条件特征对终端安全条件信息进行认证为:安全认证服务器根据该终端所在群组的安全条件特征对终端安全条件信息进行认证。
所述预先配置蠕虫病毒特征进一步包括配置新的蠕虫病毒特征。
从以上的技术方案可以看出,本发明中在安全配置服务器配置蠕虫病毒特征,并向安全配置服务器发送蠕虫病毒特征,终端代理模块收集终端的与蠕虫病毒特征相对应的终端信息,并向安全认证服务器发送该终端信息,安全认证服务器根据蠕虫病毒特征对终端信息进行认证。只有认证通过后,网络接入服务器才打开终端的上网权限,用户才能接入网络。所以应用本发明后,强制隔离了已经感染蠕虫病毒的计算机接入网络,所以防止了蠕虫病毒向网络扩散,因此极大地提高了网络的可靠性。
同时,在安全配置服务器配置终端安全条件特征,并向安全配置服务器发送终端安全条件特征,终端代理模块收集终端的与终端安全条件特征相对应的终端安全信息,并向安全认证服务器发送该终端安全信息,安全认证服务器根据终端安全条件特征对终端安全信息进行认证。只有认证通过后,网络接入服务器才打开终端的上网权限,用户才能接入网络。所以应用本发明后,避免了防护能力薄弱和容易感染蠕虫病毒的计算机接入网络,从而进一步保证了网络的安全性。
同时,当终端因感染蠕虫病毒而认证不通过时,安全配置服务器对终端进行主动杀毒或者引导终端进行杀毒,从而方便终端查杀蠕虫病毒;当终端因不满足终端安全条件特征而认证不通过时,安全配置服务器对终端进行主动安全配置或者引导终端进行安全配置,从而提高了终端的防病毒能力,进而防范未知蠕虫病毒的感染。
附图说明
图1为本发明一实施例的防范蠕虫病毒向网络扩散的系统结构示意图。
图2为本发明一实施例的防范蠕虫病毒向网络扩散的流程示意图。
具体实施方式
为使本发明的目的、技术方案和优点表达得更加清楚明白,下面结合附图及具体实施例对本发明再作进一步详细的说明。
图1所示为本发明一实施例的防范蠕虫病毒向网络扩散的系统结构示意图。如图1所示,该系统包括至少一个的终端101、与终端101分别对应的终端代理模块102、交换机103、网络接入服务器104、安全配置服务器105和安全认证服务器106,其中:
安全配置服务器105,用于配置蠕虫病毒特征,并向安全认证服务器106发送蠕虫病毒特征;
终端代理模块102,用于收集终端101的与蠕虫病毒特征相对应的终端信息,并向安全认证服务器106发送该终端信息;
安全认证服务器106,用于根据蠕虫病毒特征对终端信息进行认证,如果认证通过则向网络接入服务器104发送终端蠕虫病毒认证通过消息,如果认证不通过则向网络接入服务器104发送终端蠕虫病毒认证不通过消息;
网络接入服务器104,根据终端蠕虫病毒认证通过消息/终端蠕虫病毒认证不通过消息打开/关闭终端的上网权限。交换机103用于终端代理模块102和网络接入服务器104之间的信息交互。
通过分析目前已经出现的各种蠕虫病毒可得到蠕虫病毒特征。蠕虫病毒特征可为蠕虫病毒特征码、蠕虫病毒文件名、蠕虫病毒进程信息、蠕虫病毒感染端口号、或蠕虫病毒感染注册表信息等信息。而且,当有新的蠕虫病毒出现的时候,可以把这些新出现的蠕虫病毒的特征再配置到安全配置服务器105,并再向安全认证服务器106发送新出现的蠕虫病毒的特征,而且终端代理模块102也同样向安全认证服务器106发送与新出现的蠕虫病毒特征相对应的终端信息,安全认证服务器106同样对这些终端信息进行认证。同理,如果认证通过,则向网络接入服务器104发送终端蠕虫病毒认证通过消息;如果认证不通过,则向网络接入服务器104发送终端蠕虫病毒认证不通过消息。网络接入服务器再根据终端蠕虫病毒认证通过消息/终端蠕虫病毒认证不通过消息而打开/关闭终端的上网权限。所以,当有新的蠕虫病毒出现时,应用本发明也可以及时防范新出现的蠕虫病毒向网络扩散。
当终端101因感染蠕虫病毒而无法通过安全认证服务器106的认证时,安全认证服务器106根据终端信息和蠕虫病毒特征判断出终端101所感染的蠕虫病毒种类,并向安全配置服务器105发送主动杀毒消息。安全配置服务器105根据接收到的主动杀毒消息主动对终端101清除蠕虫病毒。可选地,也可由安全认证服务器106向终端101发送蠕虫病毒告警消息,终端101根据蠕虫病毒告警消息手动清除蠕虫病毒,其中该蠕虫病毒告警消息包括查杀该种蠕虫病毒的方法。
所以,可以强制隔离受蠕虫病毒感染的计算机,防范蠕虫病毒向网络扩散。并且方便地对蠕虫病毒进行清除。
优选地,还可进一步在安全配置服务器105上配置终端101的终端安全条件特征,并向安全认证服务器106发送终端安全条件特征;终端代理模块102进一步用于收集与终端安全条件特征相对应的终端安全条件信息,并向安全认证服务器106发送终端安全条件信息;安全认证服务器106进一步用于根据终端安全条件特征对终端安全条件信息进行认证,如果认证通过,则向网络接入服务器104发送终端安全条件认证通过消息,如果认证不通过,则向网络接入服务器104发送终端安全条件认证不通过消息;网络接入服务器104,进一步用于当收到终端安全条件认证通过消息后打开终端的上网权限,即只有当收到终端蠕虫病毒认证通过消息和终端安全条件认证通过消息后才打开用户的上网权限,否则关闭用户的上网权限。
终端101的终端安全条件特征可包括终端补丁条件、终端硬件条件、终端浏览器安全级别条件、终端软件及其版本条件、终端进程条件等。终端补丁条件是指为获得上网权限,终端需要安装的补丁;终端硬件条件是指为获得上网权限,终端硬件需要满足的条件;终端浏览器安全级别条件是指为获得上网权限,终端的浏览器需要满足的安全设置;终端软件及其版本条件是指为获得上网权限,终端上需要安装的软件及其版本号;终端进程条件是指为获得上网权限而对终端进程的限制,即终端需要有的进程或不能存在的进程。
在安全配置服务器上105设置这些安全条件特征后,安全配置服务器105向安全认证服务器106发送安全条件特征。终端代理模块102收集终端101的与终端安全条件特征相对应的终端安全条件信息,并向安全认证服务器106发送终端安全条件信息。例如:当前终端已有的补丁信息、当前终端的硬件信息、当前终端的浏览器安全级别信息、当前终端的软件及其版本条件信息、当前终端的进程信息等。安全认证服务器106根据终端安全条件特征对终端安全条件信息进行认证,如果认证通过,则向网络接入服务器104发送该终端安全认证通过消息,如果认证不通过,则向网络接入服务器104发送该终端安全认证不通过消息。
当终端101因终端安全条件信息不满足安全条件特征而无法通过安全认证服务器106的认证时,安全认证服务器106根据终端安全条件信息和终端安全条件特征判断出终端101不满足安全条件的原因,其中这些原因可包括补丁不足或者没有打补丁、浏览器安全级别条件不够等。可以在安全配置服务器105上提供补丁,当终端101因补丁不足或者没有打补丁而无法通过安全认证服务器106的认证时,安全认证服务器106向安全配置服务器105发送安装补丁消息,安全配置服务器根据接收到的安装补丁消息主动对终端101安装补丁程序。可选地,也可由安全认证服务器106向终端代理模块102发送安全条件认证不通过消息,该安全条件认证不通过消息中包括提示下载补丁信息等提示消息,终端代理模块102再根据提示消息引导用户手动安装补丁程序。同理,当终端101因终端浏览器安全级别条件不满足等原因而无法通过安全认证服务器106的认证时,也可以通过终端代理模块102提示用户进行手动配置。
所以,通过对终端安全条件特征的认证使得补丁不完整、浏览器安全级别设置过低等防护蠕虫病毒能力薄弱的终端不能接入网络,进一步提高了网络的安全性。
优选地,可以预先将终端101划分为至少一个的群组,然后针对不同群组在安全配置服务器105上配置各群组的安全条件特征,并向安全认证服务器106发送各群组的安全条件特征;终端代理模块102收集与该终端所在群组的安全条件特征相对应的终端安全条件信息;安全认证服务器根据106该终端所在群组的安全条件特征对终端安全条件信息进行认证。从而提高配置速度,并且非常方便对具有相同或者类似状况的终端的认证,而且也便于对所有终端进行安全状况分析和输出企业的整体报表。
首先将终端划分为不少于一个的群组,在安全配置服务器配置各群组的安全条件特征,并向安全认证服务器发送所述各群组的安全条件特征。可将终端与终端代理模块组合为一个整体。图2为本发明一实施例的防范蠕虫病毒的流程示意图。如图2所示,包括以下步骤:
步骤201:配置终端为通过DHCP机制动态获取IP地址后,终端初始化并发送DHCP请求报文,该请求报文经用户侧设备转发到网络接入服务器。
步骤202:网络接入服务器实现DHCP中继功能,将该请求报文转发至DHCP服务器。
步骤203:DHCP服务器对该DHCP请求报文进行响应,产生DHCP响应报文。
步骤204:DHCP服务器向网络接入服务器发送DHCP响应报文,通过DHCP响应报文为用户分配IP地址。
步骤205:网络接入服务器接收到DHCP服务器发送过来的DHCP响应报文后,转发到相应的终端,并在网络接入服务器内部形成IP地址、MAC地址和VLAN端口的对应关系,在终端未通过安全认证以前,限制该终端的上网权限。终端收到DHCP服务器发送过来的DHCP响应报文后,获得IP地址和其它相关参数,并且同时获得缺省的用户权限。这些缺省的权限包括:可以访问安全配置服务器、安全认证服务器等。
步骤206:终端上的终端代理模块收集终端的与蠕虫病毒特征相对应的终端信息,例如蠕虫病毒特征码、蠕虫病毒文件名、蠕虫病毒进程信息、蠕虫病毒感染端口号、蠕虫病毒感染注册表信息等消息。终端上的终端代理模块同时还收集与该终端所在群组的安全条件相对应的终端安全条件信息,例如:终端硬件信息、终端安装软件信息、终端进程信息、终端补丁信息等信息。
步骤207:终端代理模块将与蠕虫病毒特征相对应的终端信息和与该终端所在群组的安全条件相对应的终端安全条件信息发送到安全认证服务器。
步骤208:安全认证服务器接收到用户终端代理模块发送过来的信息后,用安全配置服务器发送的蠕虫病毒特征和终端代理模块发送的与蠕虫病毒特征相对应的终端信息进行比较,判断该终端是否已经感染蠕虫病毒。如果已经感染蠕虫病毒,则执行步骤210及其后续步骤,如果没有感染蠕虫病毒,则执行步骤209及其后续步骤。
步骤209:安全认证服务器根据终端安全条件信息判断终端的群组,并用安全配置服务器发送的该群组的终端安全条件和终端安全条件信息进行比较,判断该终端是否满足安全条件,如果满足则执行步骤214及其后续步骤,否则执行步骤212及其后续步骤。
步骤210:安全认证服务器首先根据蠕虫病毒特征和与蠕虫病毒特征相对应的终端信息判断出终端所感染的蠕虫病毒种类,并向终端发送蠕虫病毒告警消息,其中在蠕虫病毒告警消息中指明蠕虫病毒的种类。
步骤211:终端收到蠕虫病毒告警信息后,向安全配置服务器发送请求查杀该种蠕虫病毒的杀毒消息,安全配置服务器对终端进行杀毒处理等后续处理并结束本流程。
步骤212:安全认证服务器首先根据终端所在群组的安全条件特征和终端安全条件信息判断出终端安全条件不满足的原因,并向终端发送包括该原因的安全条件告警消息。
步骤213:终端收到安全条件告警消息后,向安全配置服务器发送配置请求消息,安全配置服务器对终端进行安全配置并结束本流程。
步骤214:安全认证服务器产生一个允许接入的数据包发送给网络接入服务器。
步骤215~步骤216:网络接入服务器接收到该允许接入的数据包,打开终端的访问权限,并向安全认证服务器发送该终端认证通过的消息。
步骤217~步骤218:安全认证服务器向终端发送认证成功的消息,通过安全认证的终端可以正常上网。
以上过程中,终端是通过DHCP机制获得IP地址,也可以通过指定终端的IP地址而让终端获得静态IP地址。
以上所述,仅为本发明的较佳实施例而已,并非用于限定本发明的保护范围。凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
机译: 通过无线网络自动发送针对蠕虫病毒和防病毒疫苗的警告消息的系统和方法
机译: 使用检疫网络保护病毒和蠕虫细胞网络的系统和方法
机译: 使用隔离网络保护蜂窝网络免受病毒和蠕虫攻击的系统和方法
