目前，大多是由实时病毒检测程序来完成对蠕虫病毒的检测。主要的 检测方法是传统的基于病毒特征码的检测，首先由病毒研究人员分析病毒 样本，总结出病毒特征码，更新病毒特征库，然后病毒检测程序才能对病 毒进行检测。这种方法的一个致命弱点是，当病毒发生变种，特征码改变 时就需要新的病毒库支持。另一种方法是通过IDS(Intrusion Detection System)来检测蠕虫病毒，同样也是基于病毒特征码的检测。这两种方法 都不能适应病毒的变种以及新蠕虫病毒的出现，也无法阻止或延缓病毒的 传播。
另一方面，蠕虫病毒一旦发作，在网络上会产生大量的数据，对网络 设备、IDS以及其他病毒检测程序形成很大的压力，甚至导致这些设备拒 绝服务，导致整个网络系统、IDS以及其他病毒检测系统瘫痪。
对于蠕虫病毒的防治，还有一个重要方面是病毒源头的判断。在一个 企业的网络系统中，如果病毒发作造成网络系统崩溃，将无法判断病毒在 本网络内的源头。

本发明的目的是为了克服现有病毒检测技术的不足，提供一种能够阻 止或延缓病毒传播的方法，其能有效地适应病毒变种和未知蠕虫病毒的发 作，找到病毒的源头，阻止或延缓病毒的传播，从而在网络系统能够正常 工作的前提下，完成病毒检测。
实现本发明目的的技术方案是；
为了能够克服现有的病毒检测技术不能适应病毒变种，无法判断 病毒来源以及不能阻止病毒的传播速度的问题，本发明提供了一种新的检 测方法，本发明提供的检测蠕虫病毒及延缓病毒传播的方法，其特征在于， 利用设置在网络中的病毒防护系统，其病毒防护系统包括病毒监测程序和 入侵检测系统IDS，通过病毒监测程序监测任一与网络联接的计算机与其 它与网络联接的计算机的连接数量，并设置阀值限制与网络联接的计算机 与其它网络联接的计算机的连接数量，对超过阀值的连接将强行丢弃，向 入侵检测系统IDS发出报警。
本发明由于利用病毒监测程序和在网络中的合理布设的入侵检测系统 IDS，组成一个互动的病毒检测防护系统，从而能够有效的发现病毒以及病 毒源并能延缓病毒的传播速度，保护网络系统正常运行。
通过实验发现，一旦病毒侵入了一台计算机，它就会使这台计算机和 尽可能多的其他计算机快速联接，并迅速传播病毒。因此，本技术的关键 之一就是通过病毒监测程序监测本机与其他计算机之间的连接数量，设置 阀值限制本机到其他计算机的连接数量，对超过阀值的连接病毒监测程序 将强行丢弃，这样就减轻了病毒传播对网络造成的压力，入侵检测系统IDS 也能够正常工作。因此只有通过病毒监测程序与IDS系统的有机结合才能 有效的检测蠕虫病毒，并延缓其传播。
本发明实现检测蠕虫病毒及延缓病毒传播方法的病毒防护系统，其包 括病毒监测程序和入侵检测系统IDS及网络中交换数据的交换机，病毒监 测程序与入侵检测系统IDS采用标准网络协议进行标准的通信连接；病毒 监测程序安装在每一与网络连接的计算机上，入侵检测系统IDS通过网络 接口与交换机相连。
本发明为了解决其技术问题所采用的技术方法是：在网络中的每一台 计算机上安装一个病毒监测程序，监视从本机发起到其他计算机的连接。 如果定义的单位时间内，本机试图与大量(超过阀值)的计算机进行连接， 病毒监测程序将限制本机与其他计算机的连接数量，达到延缓病毒传播的 效果。在网络中适当的位置安装IDS系统，用来检测病毒的传播。由于病 毒监测程序限制了病毒的传播速度，减轻了网络的压力，因此IDS系统就 能够正常工作，可以进行连续的多包分析，准确的检测病毒。通过在网络 不同位置布设的IDS系统，就可以确定病毒的来源以及分析病毒的感染的 范围。也可以由病毒监测程序在开始限制网络连接数量时，向IDS发送一 个特定的报警信息，IDS根据报警信息来判断病毒的来源。
本发明检测蠕虫病毒及延缓病毒传播的方法包括如下步骤；
A.截获由与网络连接的计算机应用层到TCP/IP核心的数据；
B.分析目的地址，统计其机与其它计算机的连接，包括其机发起到其 它计算机的TCP连接和其机发送的UDP包；
C.判断目的地址是不是到入侵检测系统IDS的地址，对到入侵检测系 统IDS的数据，则转发到网络接口；
D.对不是到入侵检测系统IDS的数据，判断是否超过规定的阀值，超 过阀值则将数据丢弃，并且向入侵检测系统IDS发出报警信息，否 则转发到网络接口；
E.入侵检测系统IDS接受发来的病毒警报，进行统计分析，形 成完整的病毒统计报告。
本发明的有益效果是可以判断病毒源头，以便于在病毒发作的初期就 加以控制，防止病毒的大规模传播，延缓病毒的传播速度，从而保护网络系 统正常运行。

图1是病毒检测防护系统在网络中的典型布设。
图2是病毒监测程序模块原理图，说明了监控模块的主要工作原理。
图1中A、B、C、D、…计算机安装有病毒监测程序，IDS是入侵检测 系统。

如图1所示，在局域网每一个子网内布设一个IDS系统，每一台计算 机上都安装病毒监测程序。入侵检测系统IDS是一种网络安全设备，可以 表现为硬件，也可以表现为软件。硬件IDS可以通过网络接口直接与交换 机连接，软件IDS则需要安装在一台计算机上，通过计算机的网络接口与 交换机相连。本发明实施例中采用软件IDS。病毒监测程序与入侵检测系 统IDS采用标准网络协议进行标准的通信连接病毒监测代理通过自身所在 的计算机的网络接口向网络中的IDS发送报警信息。如果子网1中的计算 机A感染了蠕虫病毒，当A试图感染本子网内其他计算机时，会快速同本 子网内的其他计算机建立连接，在网络中造成大量的网络流量，有可能导 致IDS系统失灵，无法判断病毒传播。如果A计算机上的病毒监测程序能 够及时的控制本机对外发起的连接，就能大大减轻网络负载，从而使IDS 系统能够正常工作，检测到病毒传播。
通过在网络中不同的子网内布设IDS系统，根据最先发现病毒传播或 最先接到病毒监测程序发出的警报，就有可以找到病毒的源头，对病毒加 以控制。
图2所示，病毒监测程序截获TCP/IP核心的数据，首先判断目的地址 是不是IDS的地址，如果是到IDS的数据，则转发到网络接口；如果不是 到IDS的数据，则判断是否超过规定的阀值，超过阀值则将数据丢弃，并 且向IDS发出报警信息，否则转发到网络接口。
病毒监测程序有多种实现手段，比如通过修改中间层驱动，或者修改 网卡驱动，主要目的是能够截获本机发出的数据，限制与其他计算机的连 接数。
本实施例的病毒监控程序可以通过修改中间层驱动NDIS.sys中的导 出表(Export table)，将NDIS导出的数据包收取函数指向监测程序提供 的函数，从而达到监控数据发送的目的。
NDIS中间层驱动是通过填写两张表： NDIS_MINIPORT_CHARACTERISTICS、NDIS_PROTOCOL_CHARACTERISTICS，并 调用NDIS API函数NdisIMRegisterLayeredMiniport、 NdisRegisterProtocol注册与中间层驱动相关的入口函数。在 NDIS_MINIPORT_CHARACTERISTIC与NDIS_MINIPORT_CHARACTERISTICS表中 存放了所有协议驱动程序与底层派发函数的入口，如SendHandler、 ReceiveHandler、BindAdapterHandler等。当网卡有数据包进入时，会通 过表中ReceiveHandle或ReceivePacketHandler通知协议驱动程序有一个 该协议的数据包进入，反之协议驱动程序通过SendHandler或 SendPacketsHandler函数向网卡驱动发送数据包到网络中。因此只要修改 ndis.sys中NdisRegisterProtocol、NdisIMRegisterLayeredMiniport、 NdisDeRegisterProtocol、NdisOpenAdapter、NdisCloseAdapter函数的 地址，最终实现对数据包发送的控制。
病毒监控模块通过截获TCP/IP核心传来的数据，分析目的地址，统计 本机与其他计算机的连接，包括本机发起到其他计算机的TCP连接和本机 发送的UDP包，如果在定义的单位时间内，本机试图与超过规定阀值的计 算机进行连接，则丢弃所有本机主动连接其他计算机的数据包，同时向IDS 系统发出报警信息。
IDS系统接受病毒监测程序发来的病毒警报，进行统计分析，形成完 整的病毒统计报告。