《计算机病毒检测方法及装置的制作方法》由会员分享,可在线阅读,更多相关《计算机病毒检测方法及装置的制作方法(5页珍藏版)》请在金锄头文库上搜索。
1、计算机病毒检测方法及装置的制作方法专利名称:计算机病毒检测方法及装置的制作方法技术领域:本发明涉及计算机领域,尤其涉及一种计算机病毒检测方法及装置。背景技术:计算机病毒(Computer Virus)是编制者在计算机程序中插入的破坏计算机功能或者破坏数据,影响计算机使用并且能够自我复制的一组计算机指令或者程序代码。与医学上的“病毒”不同,计算机病毒不是天然存在的,是某些人利用计算机软件和硬件所固有的脆弱性编制的一组指令集或程序代码。它能通过某种途径潜伏在计算机的存储介质(或程序)里,当达到某种条件时即被激活,通过修改其他程序的方法将自己的精确拷贝或者可能演化的形式放入其他程序中,从而感染其他程
2、序,对计算机资源进行破坏。目前,有一类以密码猜解为攻击手段的计算机病毒,运行之后,病毒会将自己复制到计算机系统目录下,通过使用密码词典,逐个尝试使用词典中的密码访问其他计算机。即它会尝试猜解网络中其他计算机的管理员密码,一旦猜解成功便向这些计算机发送病毒文件,病毒以特定昵称登录指定的互联网中继聊天(Internet Relay Chat,简称IRC)频道接受黑客的远程控制,黑客可以操纵中毒计算机并发动攻击。目前,常用的病毒检测方法包括特征代码法、行为监测法等。特征代码法是检测已知病毒的最简单、开销最小的方法。它的实现是采集已知病毒样本,建立病毒数据库。当病毒检测开始时,打开被检测文件,在文件中
3、搜索,检查文件中是否含有病毒数据库中的病毒特征代码。如果发现被检测文件中存在病毒特征代码,由于特征代码与病毒一一对应,便可以断定,被查文件中患有何种病毒。行为监测法,即利用病毒的特有行为特征来监测病毒的方法。通过对病毒多年的观察、研究,有一些行为是病毒的共同行为,而且比较特殊。在正常程序中,这些行为比较罕见。当程序运行时,监视其行为,如果发现了病毒行为,立即报警。但是,上述病毒检测方法是泛化的解决方法,此类病毒检测方法对于以密码猜解为攻击手段的计算机病毒难以检测。发明内容本发明一实施例提供一种计算机病毒检测方法及装置,能够准确检测出以密码猜解为攻击手段的计算机病毒。一方面,提供一种计算机病毒检
4、测方法,包括记录密码错误事件,所述密码错误事件包括客户端标识、进程标识和时间标识;统计预设时间内同一客户端同一进程密码错误事件次数;判断所述预设时间内同一客户端同一进程密码错误事件次数是否超出预设阀值;若所述预设时间内同一客户端同一进程密码错误事件次数超出预设阀值,则确定所述进程为计算机病毒源。结合第一方面的第一实施方式中,所述记录密码错误事件包括接收第一客户端上报的密码错误事件;记录所述第一客户端上报的密码错误事件。结合第一方面或第一方面第一实施方式的第二实施方式中,所述密码错误事件包括第二客户端向第一客户端反馈的所述第一客户端一进程访问所述第二客户端所使用的密码为错误密码以及所述第一客户端
5、标识、所述进程标识和密码错误发生时间的时间标识。第二方面,提供一种计算机病毒检测服务器,包括记录模块,用于记录密码错误事件,所述密码错误事件包括客户端标识、进程标识和时间标识;统计模块,用于根据所述记录模块记录的密码错误事件,统计预设时间内同一客户端同一进程密码错误事件次数;判断模块,用于判断所述预设时间内同一客户端同一进程密码错误事件次数是否超出预设阀值;处理模块,用于在所述判断模块确定所述预设时间内同一客户端同一进程密码错误事件次数超出预设阀值时,确定所述进程为计算机病毒源。第三方面,提供一种计算机病毒检测客户端,包括接收模块,用于接收密码错误事件,所述密码错误事件包括进程标识和时间标识;
6、记录模块,用于记录所述密码错误事件;统计模块,用于根据所述记录模块记录的密码错误事件统计预设时间内同一进程密码 错误事件次数;判断模块,用于判断所述预设时间内同一进程密码错误事件次数是否超出预设阀值;处理模块,用于在所述判断模块确定所述预设时间内同一进程密码错误事件次数超出预设阀值时,确定所述进程为计算机病毒源。第四方面,还提供一种计算机病毒检测客户端,包括接收单元,用于接收第二客户端返回的密码错误事件,所述密码错误事件包括第一客户端标识、进程标识和时间标识;发送单元,用于将所述密码错误事件发送给事件记录服务器,以使所述事件记录服务器根据同一客户端同一进程密码错误事件次数处理所述进程。本发明实
7、施例的计算机病毒检测方法通过对同一进程预设时间内的密码错误事件进行统计,若同一进程预设时间内的密码错误事件次数超出正常值,则认为该进程为病毒源进程,该方法能够显著提高以密码为攻击手段的计算病毒检测准确率,同时,该检测方法计算复杂度低,仅以时间、进程为维度,检测标准简单,易于维护和优化。为了更清楚地说明本发明实施例的技术方案,下面将对本发明实施例中所需要使用的附图作简单地介绍,显而易见地,下面所描述的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。图I是本发明一实施例的计算机病毒检测方法示意流程图;图2是本发明另一实施例的计
8、算机病毒检测方法示意流程图;图3是本发明一又实施例的计算机病毒检测方法示意流程图;图4A是本发明一实施例的计算机病毒检测服务器示意结构框图;图4B是本发明一另实施例的计算机病毒检测服务器示意结构框图;图5A是本发明一实施例的计算机病毒检测客户端示意结构框图;图5B是本发明另一实施例的计算机病毒检测客户端示意结构框图。具体实施方式下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。图I是本发
9、明一实施例的计算机病毒检测方法示意流程图,如图I所示,本发明一实施例的计算机病毒检测方法包括101、记录密码错误事件,该密码错误事件包括客户端标识、进程标识和时间标识;可选的,事件记录服务器在记录密码错误事件之前,还接收第一客户端发送的密码错误事件。具体的,第一客户端设置有监控装置,可以监控第一客户端的所有进程与其他客户端的连接,当第一客户端的某个进程尝试使用某个密码访问第二客户端时,第二客户端根据该进程使用的密码对该进程的访问进行鉴权,一旦该进程使用的密码与第二客户端预置的密码不一致,则向第一客户端反馈密码错误事件,该密码错误事件还包括第一客户端标识、该进程的进程标识以及密码错误事件发生的时
10、间,第一客户端在收到第二客户端反馈的密码错误事件后,可以根据网络协议中的密码验证约定,确认该密码错误事件是第二客户端在密码验证后返回的密码错误事件,并将该密码错误事件上报给事件记录服务器,事件记录服务器将第一客户端上报的密码错误事件进行记录。可选的,也可以由第二客户端直接向事件记录服务器上报密码错误事件。102、统计预设时间内同一客户端同一进程密码错误事件次数。具体的,通过网管系统可以事先设置统计的时间范围,例如可以将统计时间范围设置为I分钟内。事件记录服务器根据预设的时间范围统计该时间范围内同一客户端中同一进程密码错误事件次数。需要注意的是,为提高检测精度,该时间范围可以更短,但该时间范围在
11、本发明中不做限制。可选的,事件记录服务器根据密码错误事件中的进程标识、客户端标识和时间标识,对预设时间内,客户端标识同一且进程标识同一的密码错误事件累加,得到该进程预设时间范围内密码错误事件次数。103、判断该预设时间内同一客户端同一进程密码错误事件次数是否超出预设阀值;具体的,可以通过网管系统设置事件记录服务器判断密码错误事件次数的阀值,比如设置为200次。事件记录服务器根据该预设的阀值判断预设时间内同一客户端同一进程的密码错误事件是否超出该预设阀值。即同一客户端同一进程密码错误事件次数大于预设阀值即为超出预设阀值,小于或等于即为不超出预设阀值。需要注意的是,为提高检查精度,该预设阀值可以根
12、据检测效果实时更新,本发明实施例中不对预设阀值作限定。104、若预设时间内同一客户端同一进程密码错误事件次数超出预设阀值,则确定该进程为计算机病毒源。事件记录服务器在判断预设时间内同一进程密码错误事件超出预设阀值,则确定该进程为计算机病毒源。可选的,事件记录服务器可以将该进程标识以及该进程所在客户端标识返回给该进程所在客户端,该进程所在客户端显示该病毒源进程,提示用户。如上所述的计算机病毒检测方法,通过对同一进程预设时间内的密码错误事件进行统计,若同一进程预设时间内的密码错误事件次数超出正常值,则认为该进程为病毒源进程,该方法能够显著提高以密码为攻击手段的计算病毒检测准确率,实际测试中,使用该
13、检测方法检测知名计算机蠕虫病毒Conficker,准确率不低于95%。同时,该检测方法计算复杂度低,仅以时间、进程为维度,检测标准简单,易于维护和优化。下面以客户端A进程A. Pa为例,对本发明实施例的计算机病毒检测方法做进一步说明。图2是本发明另一实施例的计算机病毒检测方法示意流程图,如图2所示,该计算机病毒检测方法包括 201、客户端A进程A. Pa使用第一密码访问客户端B ;可选的,该第一密码可以为A. Pa随机从密码库中选取的密码。202、客户端B根据该第一密码对进程A. Pa鉴权,鉴权失败,向客户端A返回密码错误事件。具体的,客户端B可以事先与客户端A约定访问密码,如果客户端A进程A
14、. Pa用于访问客户端B的密码与事先约定的密码不一致,则客户端B向客户端A返回密码错误事件,告知客户端A,进程A. Pa访问客户端B所使用的密码为错误密码。203、客户端A记录该密码错误事件以及该密码错误事件发生的时间和进程A. Pa标识。可选的,客户端A也可将该密码错误事件上报给事件记录服务器,由事件记录服务器记录该密码错误事件。204、客户端A统计预设时间内进程A. Pa密码错误事件次数;具体的,可以预先在客户端A设置统计的时间范围,例如可以将统计时间范围设置为I分钟内。客户端A根据预设的时间范围统计该时间范围内同一进程密码错误事件次数。需要注意的是,为提高检测精度,该时间范围可以更短,但
15、该时间范围在本发明中不做限制。205、客户端A判断该预设时间内进程A. Pa密码错误事件次数是否超出预设阀值;具体的,可以事先设置客户端A判断密码错误事件次数的阀值,比如设置为200次。客户端A根据该预设的阀值判断预设时间内同一进程的密码错误事件是否超出该预设阀值。即同一进程密码错误事件次数大于预设阀值即为超出预设阀值,小于或等于即为不超出预设阀值。需要注意的是,为提高检查精度,该预设阀值可以根据检测效果实时更新,本发明实施例中不对预设阀值作限定。206、若该预设时间内同一进程密码错误事件次数超出该预设阀值,则客户端A确定该进程A. Pa为计算机病毒源。可选的,客户端A在判断预设时间内同一进程
16、密码错误事件超出预设阀值,确定该进程A. Pa为计算机病毒源后,可以通过显示装置显示该病毒源进程A. Pa,以提示用户。如上所述的计算机病毒检测方法,通过对同一进程预设时间内的密码错误事件进行统计,若同一进程预设时间内的密码错误事件次数超出正常值,则认为该进程为病毒源进程,该方法能够显著提高以密码为攻击手段的计算病毒检测准确率,实际测试中,使用该检测方法检测知名计算机蠕虫病毒Conficker,准确率不低于95%。同时,该检测方法计算复杂度低,仅以时间、进程为维度,检测标准简单,易于维护和优化。图3是本发明一又实施例的计算机病毒检测方法示意流程图,如图3所示,该计算机病毒检测方法包括301、接收密码错误事件,该密码错误事件包括客户端标识、进程标识和时间标识;具体的,事件记录服务器接收第二客户端发送的密码错误事件,当第一客户端某进程使用某密码访问第二客户端,第二客户端根据该密码对该进程进行鉴权,若该进程使用的密码非为第一客户端与第二客户端事先约定的访问密码,则向事件记录服务器返回密码错误事件,告知事件记录服务器第一客户端该进程访问第
