控制病毒访问网络的方法及装置转让专利
申请号 : CN201210460273.5
文献号 : CN103812850B
文献日 : 2016-12-21
发明人 : 苏海峰 , 赵旭 , 陈勇 , 张楠
申请人 : 北京金山安全软件有限公司 , 北京金山网络科技有限公司 , 贝壳网际(北京)安全技术有限公司 , 可牛网络技术(北京)有限公司
摘要 :
本发明提供一种控制病毒访问网络的方法及装置,属于网络安全技术领域。其中,该控制病毒访问网络的方法,包括:接收病毒客户端的对内部网络进行访问的访问请求;判断所述访问请求是否为允许的访问行为;在所述访问请求为允许的访问行为时,将所述访问请求发送给内部网络。本发明的技术方案能够在病毒不影响网络上其他计算机的前提下,对病毒访问网络的行为进行控制。
权利要求 :
1.一种控制病毒访问网络的方法,其特征在于,包括:接收病毒客户端的对内部网络进行访问的访问请求;
判断所述访问请求是否为允许的访问行为;
在所述访问请求为允许的访问行为时,将所述访问请求发送给内部网络;
所述将所述访问请求发送给内部网络之后还包括:监控所述病毒客户端与其对应服务器之间的连接是否有效;
在所述连接失效时,按照预设后门协议类型构建控制指令,并将所述控制指令发送给所述病毒客户端。
2.根据权利要求1所述的控制病毒访问网络的方法,其特征在于,所述判断所述访问请求是否为允许的访问行为具体为:根据预设的配置文件判断所述访问请求是否为允许的访问行为。
3.根据权利要求2所述的控制病毒访问网络的方法,其特征在于,所述配置文件中包括有预设协议类型、预设进程、预设IP地址和端口、预设规则,所述根据预设的配置文件判断所述访问请求是否为允许的访问行为包括:在所述访问请求为预设协议类型的访问请求;或所述访问请求为预设进程发送的访问请求;或所述访问请求为预设IP地址和端口发送的访问请求;或所述访问请求的数据格式符合预设规则时,判断所述访问请求为允许的访问行为。
4.根据权利要求2所述的控制病毒访问网络的方法,其特征在于,所述配置文件中包括有预设后门协议类型,所述根据预设的配置文件判断所述访问请求是否为允许的访问行为包括:在所述访问请求为预设后门协议类型的访问请求时,判断所述访问请求为允许的访问行为。
5.一种控制病毒访问网络的装置,其特征在于,包括:接收模块,用于接收病毒客户端的对内部网络进行访问的访问请求;
判断模块,用于判断所述访问请求是否为允许的访问行为;
发送模块,用于在所述访问请求为允许的访问行为时,将所述访问请求发送给内部网络;
监控模块,用于在所述发送模块将所述访问请求发送给内部网络之后,监控所述病毒客户端与其对应服务器之间的连接是否有效;
指令构建模块,用于在所述连接失效时,按照预设后门协议类型构建控制指令,并将所述控制指令发送给所述病毒客户端。
6.根据权利要求5所述的控制病毒访问网络的装置,其特征在于,所述判断模块具体用于根据预设的配置文件判断所述访问请求是否为允许的访问行为。
7.根据权利要求6所述的控制病毒访问网络的装置,其特征在于,所述配置文件中包括有预设协议类型、预设进程、预设IP地址和端口、预设规则,所述判断模块具体用于在所述访问请求为预设协议类型的访问请求;或所述访问请求为预设进程发送的访问请求;或所述访问请求为预设IP地址和端口发送的访问请求;或所述访问请求的数据格式符合预设规则时,判断所述访问请求为允许的访问行为。
8.根据权利要求6所述的控制病毒访问网络的装置,其特征在于,所述配置文件中包括有预设后门协议类型,所述判断模块还用于在所述访问请求为预设后门协议类型的访问请求时,判断所述访问请求为允许的访问行为。
说明书 :
控制病毒访问网络的方法及装置
技术领域
[0001] 本发明涉及网络安全技术领域,特别是指一种控制病毒访问网络的方法及装置。
背景技术
[0002] 网络防火墙技术是针对Internet网络不安全因素所采取的一种保护措施,顾名思义,防火墙就是用来阻挡外部不安全因素的内部网络屏障,它在Internet与Internet之间建立起一个安全网关(Security Gateway),从而保护内部网免受非法用户的侵入,防火墙主要由服务访问政策、验证工具、包过滤和应用网关4个部分组成。
[0003] 现有的防火墙技术一般严格禁止病毒文件访问网络,一般采取的是白名单策略:即不允许病毒访问网络,一旦发现病毒有访问网络的行为,立即进行拦截,而不是放行本次访问。这样会导致病毒在访问网络失败的情况下退出程序,从病毒分析的意义上讲,在禁止病毒访问网络后,不能捕捉到病毒后续的行为,从而监控不到相应的病毒行为,无法对病毒进行进一步地分析。
发明内容
[0004] 本发明要解决的技术问题是提供一种控制病毒访问网络的方法及装置,能够在病毒不影响网络上其他计算机的前提下,对病毒访问网络的行为进行控制。
[0005] 为解决上述技术问题,本发明的实施例提供技术方案如下:
[0006] 一方面,提供一种控制病毒访问网络的方法,包括:
[0007] 接收病毒客户端的对内部网络进行访问的访问请求;
[0008] 判断所述访问请求是否为允许的访问行为;
[0009] 在所述访问请求为允许的访问行为时,将所述访问请求发送给内部网络。
[0010] 进一步地,上述方案中,所述判断所述访问请求是否为允许的访问行为具体为:
[0011] 根据预设的配置文件判断所述访问请求是否为允许的访问行为。
[0012] 进一步地,上述方案中,所述配置文件中包括有预设协议类型、预设进程、预设IP地址和端口、预设规则,所述根据预设的配置文件判断所述访问请求是否为允许的访问行为包括:
[0013] 在所述访问请求为预设协议类型的访问请求;或
[0014] 所述访问请求为预设进程发送的访问请求;或
[0015] 所述访问请求为预设IP地址和端口发送的访问请求;或
[0016] 所述访问请求的数据格式符合预设规则时,判断所述访问请求为允许的访问行为。
[0017] 进一步地,上述方案中,所述配置文件中包括有预设后门协议类型,所述根据预设的配置文件判断所述访问请求是否为允许的访问行为包括:
[0018] 在所述访问请求为预设后门协议类型的访问请求时,判断所述访问请求为允许的访问行为。
[0019] 进一步地,上述方案中,所述将所述访问请求发送给内部网络之后还包括:
[0020] 监控所述病毒客户端与其对应服务器之间的连接是否有效;
[0021] 在所述连接失效时,按照预设后门协议类型构建控制指令,并将所述控制指令发送给所述病毒客户端。
[0022] 本发明实施例还提供了一种控制病毒访问网络的装置,包括:
[0023] 接收模块,用于接收病毒客户端的对内部网络进行访问的访问请求;
[0024] 判断模块,用于判断所述访问请求是否为允许的访问行为;
[0025] 发送模块,用于在所述访问请求为允许的访问行为时,将所述访问请求发送给内部网络。
[0026] 进一步地,上述方案中,所述判断模块具体用于根据预设的配置文件判断所述访问请求是否为允许的访问行为。
[0027] 进一步地,上述方案中,所述配置文件中包括有预设协议类型、预设进程、预设IP地址和端口、预设规则,
[0028] 所述判断模块具体用于在所述访问请求为预设协议类型的访问请求;或[0029] 所述访问请求为预设进程发送的访问请求;或
[0030] 所述访问请求为预设IP地址和端口发送的访问请求;或
[0031] 所述访问请求的数据格式符合预设规则时,判断所述访问请求为允许的访问行为。
[0032] 进一步地,上述方案中,所述配置文件中包括有预设后门协议类型,[0033] 所述判断模块还用于在所述访问请求为预设后门协议类型的访问请求时,判断所述访问请求为允许的访问行为。
[0034] 进一步地,上述方案中,所述装置还包括:
[0035] 监控模块,用于在所述发送模块将所述访问请求发送给内部网络之后,监控所述病毒客户端与其对应服务器之间的连接是否有效;
[0036] 指令构建模块,用于在所述连接失效时,按照预设后门协议类型构建控制指令,并将所述控制指令发送给所述病毒客户端。
[0037] 本发明的实施例具有以下有益效果:
[0038] 上述方案中,在接收到病毒客户端的访问请求后,对访问请求进行判断,在该访问请求为允许的访问行为时,将访问请求发送给内部网络,本发明的技术方案能够在病毒客户端的访问请求不影响网络上其他计算机的情况下,放行病毒的网络访问请求,以便触发后续的病毒行为。
附图说明
[0039] 图1为本发明实施例的控制病毒访问网络的方法的流程示意图;
[0040] 图2为本发明实施例的控制病毒访问网络的装置的结构框图;
[0041] 图3为本发明具体实施例的控制病毒访问网络的方法的流程示意图。
具体实施方式
[0042] 为使本发明的实施例要解决的技术问题、技术方案和优点更加清楚,下面将结合附图及具体实施例进行详细描述。
[0043] 本发明的实施例针对现有技术中防火墙在禁止病毒访问网络后,不能捕捉到病毒后续的行为,从而监控不到相应的病毒行为,无法对病毒进行进一步地分析的问题,提供一种控制病毒访问网络的方法及装置,能够在病毒不影响网络上其他计算机的前提下,对病毒访问网络的行为进行控制。
[0044] 图1为本发明实施例的控制病毒访问网络的方法的流程示意图,如图1所示,本实施例包括:
[0045] 步骤101:接收病毒客户端的对内部网络进行访问的访问请求;
[0046] 步骤102:判断访问请求是否为允许的访问行为;
[0047] 步骤103:在访问请求为允许的访问行为时,将访问请求发送给内部网络。
[0048] 本发明实施例的控制病毒访问网络的方法,接收到病毒客户端的访问请求后,对访问请求进行判断,在该访问请求为允许的访问行为时,将访问请求发送给内部网络,本发明的技术方案能够在病毒客户端的访问请求不影响网络上其他计算机的情况下,放行病毒的网络访问请求,以便触发后续的病毒行为。
[0049] 在本发明另一实施例中,包括上述步骤101-103的基础上,其中,步骤102具体为:
[0050] 根据预设的配置文件判断访问请求是否为允许的访问行为。
[0051] 其中,配置文件中可以包括有预设协议类型、预设进程、预设IP地址和端口、预设规则,根据预设的配置文件判断访问请求是否为允许的访问行为具体可以包括:
[0052] 在访问请求为预设协议类型的访问请求;或访问请求为预设进程发送的访问请求;或访问请求为预设IP地址和端口发送的访问请求;或访问请求的数据格式符合预设规则时,判断访问请求为允许的访问行为。
[0053] 进一步地,上述方案中,配置文件中还可以包括有预设后门协议类型,根据预设的配置文件判断访问请求是否为允许的访问行为具体包括:
[0054] 在访问请求为预设后门协议类型的访问请求时,判断访问请求为允许的访问行为。
[0055] 进一步地,在访问请求为预设后门协议类型的访问请求时,将访问请求发送给内部网络之后还包括:
[0056] 监控病毒客户端与其对应服务器之间的连接是否有效;
[0057] 在连接失效时,按照预设后门协议类型构建控制指令,并将控制指令发送给病毒客户端。
[0058] 这样在识别出预设的后门协议后,可模拟病毒客户端对应的服务器来向病毒客户端发送控制指令,触发病毒对应的行为,以便记录相应的信息。
[0059] 本发明实施例还提供了一种控制病毒访问网络的装置,如图2所示,本实施例包括:
[0060] 接收模块20,用于接收病毒客户端的对内部网络进行访问的访问请求;
[0061] 判断模块21,用于判断访问请求是否为允许的访问行为;
[0062] 发送模块22,用于在访问请求为允许的访问行为时,将访问请求发送给内部网络。
[0063] 进一步地,上述方案中,判断模块21具体用于根据预设的配置文件判断访问请求是否为允许的访问行为。
[0064] 进一步地,上述方案中,配置文件中包括有预设协议类型、预设进程、预设IP地址和端口、预设规则,判断模块21具体用于在访问请求为预设协议类型的访问请求;或访问请求为预设进程发送的访问请求;或访问请求为预设IP地址和端口发送的访问请求;或访问请求的数据格式符合预设规则时,判断访问请求为允许的访问行为。
[0065] 进一步地,上述方案中,配置文件中包括有预设后门协议类型,判断模块21还用于在访问请求为预设后门协议类型的访问请求时,判断访问请求为允许的访问行为。
[0066] 进一步地,上述方案中,控制病毒访问网络的装置还包括:
[0067] 监控模块,用于在发送模块将访问请求发送给内部网络之后,监控病毒客户端与其对应服务器之间的连接是否有效;
[0068] 指令构建模块,用于在连接失效时,按照预设后门协议类型构建控制指令,并将控制指令发送给病毒客户端。
[0069] 本发明实施例的控制病毒访问网络的装置,在接收到病毒客户端的访问请求后,对访问请求进行判断,在该访问请求为允许的访问行为时,将访问请求发送给内部网络,能够在病毒客户端的访问请求不影响网络上其他计算机的情况下,放行病毒的网络访问请求,以便触发后续的病毒行为。本发明实施例还可以在识别出预设的后门协议后,模拟病毒客户端对应的服务器来向病毒客户端发送控制指令,触发病毒对应的行为,以便记录相应的信息。
[0070] 下面结合图3以及具体的实施例对本发明的控制病毒访问网络的方法及装置进行详细介绍:
[0071] 首先,在病毒客户端的访问请求进入内部网络之前,需要对病毒客户端的访问请求进行拦截。具体地,本发明实施例可以采用传输层驱动程序接口(TDI)过滤技术实现对访问请求的拦截,在虚拟机等环境中,本发明的控制病毒访问网络的装置会安装网络驱动,该网络驱动会绑定到网络传输层设备服务上,用于拦截病毒客户端的所有网络请求。执行代码如下:
[0072]
[0073]
[0074] 需要监控的病毒客户端在控制病毒访问网络的装置的监控下,能够正常运行,接收模块在拦截到病毒客户端的访问请求后,首先阻塞该访问请求,之后根据预先定义好的配置文件对访问请求进行判断,根据配置文件中设置的规则判断是否放行本次访问请求。本发明实施例中,若遇到无法识别的数据或会对内部网络上其他计算机造成影响的访问请求,将不会对其放行,将其拦截在内部网络外。执行代码示例如下:
[0075]
[0076]
[0077]
[0078] 是否放行访问请求、允许访问的标准为,是否对内部网络上其他计算机造成影响,若无影响,则放行访问请求,允许访问。配置文件中可以包括有预设协议类型、预设进程、预设IP地址和端口、预设规则,在访问请求为预设协议类型的访问请求;或访问请求为预设进程发送的访问请求;或访问请求为预设IP地址和端口发送的访问请求;或访问请求的数据格式符合预设规则时,放行该次访问请求。
[0079] 具体地,HTTP(hypertext transport protocol,超文本传输协议)协议的下载请求和DNS((Domain Name System,域名系统)协议的请求可以放行,对于TCP(Transmission Control Protocol,传输控制协议)和UDP(User Datagram Protocol,用户数据报协议)协议的访问请求,进行数据格式匹配判断是否放行;另外还可以判断发送访问请求的IP和端口是否是非法的,是否是系统信任的;还可以发送访问请求的进程是否为特殊的允许访问的可信进程。执行代码示例如下:
[0080]
[0081] 进一步地,配置文件中还可以包括有预设后门协议类型,这样在拦截到访问请求时,会对特定的后门协议的访问请求进行识别,预设后门协议比如流行的灰鸽子后门,上兴远控等等。在识别出预设后门协议的访问请求后,会放行访问请求,并继续监控病毒客户端的后续行为,若监控到病毒客户端与病毒服务器之间的连接失效,本发明的控制病毒访问网络的装置将获取访问请求的后门协议类型,并模拟病毒服务器收发数据,如判断出病毒客户端发送的访问请求为采用灰鸽子后门协议,控制病毒访问网络的装置会按照灰鸽子后门协议规则构建数据包(如数据包内容偏移0x40上的一个DWORD值,内容为0x1表示对内部网络截图然后上传,0x2表示对内部网络进程快照然后上传),并将这些数据包作为控制指令发送给病毒客户端,以便触发后续的病毒行为。
[0082] 本发明的技术方案可应用在网络防火墙中,还可以应用于分析病毒行为的系统中,控制病毒访问网络的行为,拦截病毒的访问请求,判断是否会对内部网络的其他计算机造成影响,如果会造成影响则禁止访问;如果不会造成影响,则放行访问请求,允许访问内部网络。并且对于采用后门协议的访问请求,在病毒客户端与病毒服务器之间的连接失效时,能够模拟病毒服务器端向病毒客户端发送控制指令,触发病毒的完整行为。
[0083] 此说明书中所描述的许多功能部件都被称为模块,以便更加特别地强调其实现方式的独立性。
[0084] 本发明实施例中,模块可以用软件实现,以便由各种类型的处理器执行。举例来说,一个标识的可执行代码模块可以包括计算机指令的一个或多个物理或者逻辑块,举例来说,其可以被构建为对象、过程或函数。尽管如此,所标识模块的可执行代码无需物理地位于一起,而是可以包括存储在不同物理上的不同的指令,当这些指令逻辑上结合在一起时,其构成模块并且实现该模块的规定目的。
[0085] 实际上,可执行代码模块可以是单条指令或者是许多条指令,并且甚至可以分布在多个不同的代码段上,分布在不同程序当中,以及跨越多个存储器设备分布。同样地,操作数据可以在模块内被识别,并且可以依照任何适当的形式实现并且被组织在任何适当类型的数据结构内。所述操作数据可以作为单个数据集被收集,或者可以分布在不同位置上(包括在不同存储设备上),并且至少部分地可以仅作为电子信号存在于系统或网络上。
[0086] 在模块可以利用软件实现时,考虑到现有硬件工艺的水平,所以可以以软件实现的模块,在不考虑成本的情况下,本领域技术人员都可以搭建对应的硬件电路来实现对应的功能,所述硬件电路包括常规的超大规模集成(VLSI)电路或者门阵列以及诸如逻辑芯片、晶体管之类的现有半导体或者是其它分立的元件。模块还可以用可编程硬件设备,诸如现场可编程门阵列、可编程阵列逻辑、可编程逻辑设备等实现。
[0087] 在本发明各方法实施例中,所述各步骤的序号并不能用于限定各步骤的先后顺序,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,对各步骤的先后变化也在本发明的保护范围之内。
[0088] 以上所述是本发明的优选实施方式,应当指出,对于本技术领域的普通技术人员来说,在不脱离本发明所述原理的前提下,还可以作出若干改进和润饰,这些改进和润饰也应视为本发明的保护范围。