控制病毒访问网络的方法及装置制造方法
【专利摘要】本发明提供一种控制病毒访问网络的方法及装置,属于网络安全【技术领域】。其中,该控制病毒访问网络的方法,包括:接收病毒客户端的对内部网络进行访问的访问请求;判断所述访问请求是否为允许的访问行为;在所述访问请求为允许的访问行为时,将所述访问请求发送给内部网络。本发明的技术方案能够在病毒不影响网络上其他计算机的前提下,对病毒访问网络的行为进行控制。
【专利说明】控制病毒访问网络的方法及装置
【技术领域】
[0001]本发明涉及网络安全【技术领域】,特别是指一种控制病毒访问网络的方法及装置。【背景技术】
[0002]网络防火墙技术是针对Internet网络不安全因素所采取的一种保护措施,顾名思义,防火墙就是用来阻挡外部不安全因素的内部网络屏障,它在Internet与Internet之间建立起一个安全网关(Security Gateway),从而保护内部网免受非法用户的侵入,防火墙主要由服务访问政策、验证工具、包过滤和应用网关4个部分组成。
[0003]现有的防火墙技术一般严格禁止病毒文件访问网络,一般采取的是白名单策略:即不允许病毒访问网络,一旦发现病毒有访问网络的行为,立即进行拦截,而不是放行本次访问。这样会导致病毒在访问网络失败的情况下退出程序,从病毒分析的意义上讲,在禁止病毒访问网络后,不能捕捉到病毒后续的行为,从而监控不到相应的病毒行为,无法对病毒进行进一步地分析。
【发明内容】
[0004]本发明要解决的技术问题是提供一种控制病毒访问网络的方法及装置,能够在病毒不影响网络上其他计算机的前提下,对病毒访问网络的行为进行控制。
[0005]为解决上述技术问题,本发明的实施例提供技术方案如下:
[0006]一方面,提供一种控制病毒访问网络的方法,包括:
[0007]接收病毒客户端的对内部网络进行访问的访问请求;
[0008]判断所述访问请求是否为允许的访问行为;
[0009]在所述访问请求为允许的访问行为时,将所述访问请求发送给内部网络。
[0010]进一步地,上述方案中,所述判断所述访问请求是否为允许的访问行为具体为:
[0011]根据预设的配置文件判断所述访问请求是否为允许的访问行为。
[0012]进一步地,上述方案中,所述配置文件中包括有预设协议类型、预设进程、预设IP地址和端口、预设规则,所述根据预设的配置文件判断所述访问请求是否为允许的访问行为包括:
[0013]在所述访问请求为预设协议类型的访问请求;或
[0014]所述访问请求为预设进程发送的访问请求;或
[0015]所述访问请求为预设IP地址和端口发送的访问请求;或
[0016]所述访问请求的数据格式符合预设规则时,判断所述访问请求为允许的访问行为。
[0017]进一步地,上述方案中,所述配置文件中包括有预设后门协议类型,所述根据预设的配置文件判断所述访问请求是否为允许的访问行为包括:
[0018]在所述访问请求为预设后门协议类型的访问请求时,判断所述访问请求为允许的访问行为。[0019]进一步地,上述方案中,所述将所述访问请求发送给内部网络之后还包括:
[0020]监控所述病毒客户端与其对应服务器之间的连接是否有效;
[0021]在所述连接失效时,按照预设后门协议类型构建控制指令,并将所述控制指令发送给所述病毒客户端。
[0022]本发明实施例还提供了一种控制病毒访问网络的装置,包括:
[0023]接收模块,用于接收病毒客户端的对内部网络进行访问的访问请求;
[0024]判断模块,用于判断所述访问请求是否为允许的访问行为;
[0025]发送模块,用于在所述访问请求为允许的访问行为时,将所述访问请求发送给内部网络。
[0026]进一步地,上述方案中,所述判断模块具体用于根据预设的配置文件判断所述访问请求是否为允许的访问行为。
[0027]进一步地,上述方案中,所述配置文件中包括有预设协议类型、预设进程、预设IP地址和端口、预设规则,
[0028]所述判断模块具体用于在所述访问请求为预设协议类型的访问请求;或
[0029]所述访问请求为预设进程发送的访问请求;或
[0030]所述访问请求为预设IP地址和端口发送的访问请求;或
[0031]所述访问请求的数据格式符合预设规则时,判断所述访问请求为允许的访问行为。
[0032]进一步地,上述方案中,所述配置文件中包括有预设后门协议类型,
[0033]所述判断模块还用于在所述访问请求为预设后门协议类型的访问请求时,判断所述访问请求为允许的访问行为。
[0034]进一步地,上述方案中,所述装置还包括:
[0035]监控模块,用于在所述发送模块将所述访问请求发送给内部网络之后,监控所述病毒客户端与其对应服务器之间的连接是否有效;
[0036]指令构建模块,用于在所述连接失效时,按照预设后门协议类型构建控制指令,并将所述控制指令发送给所述病毒客户端。
[0037]本发明的实施例具有以下有益效果:
[0038]上述方案中,在接收到病毒客户端的访问请求后,对访问请求进行判断,在该访问请求为允许的访问行为时,将访问请求发送给内部网络,本发明的技术方案能够在病毒客户端的访问请求不影响网络上其他计算机的情况下,放行病毒的网络访问请求,以便触发后续的病毒行为。
【专利附图】
【附图说明】
[0039]图1为本发明实施例的控制病毒访问网络的方法的流程示意图;
[0040]图2为本发明实施例的控制病毒访问网络的装置的结构框图;
[0041]图3为本发明具体实施例的控制病毒访问网络的方法的流程示意图。
【具体实施方式】
[0042]为使本发明的实施例要解决的技术问题、技术方案和优点更加清楚,下面将结合附图及具体实施例进行详细描述。
[0043]本发明的实施例针对现有技术中防火墙在禁止病毒访问网络后,不能捕捉到病毒后续的行为,从而监控不到相应的病毒行为,无法对病毒进行进一步地分析的问题,提供一种控制病毒访问网络的方法及装置,能够在病毒不影响网络上其他计算机的前提下,对病毒访问网络的行为进行控制。
[0044]图1为本发明实施例的控制病毒访问网络的方法的流程示意图,如图1所示,本实施例包括:
[0045]步骤101:接收病毒客户端的对内部网络进行访问的访问请求;
[0046]步骤102:判断访问请求是否为允许的访问行为;
[0047]步骤103:在访问请求为允许的访问行为时,将访问请求发送给内部网络。
[0048]本发明实施例的控制病毒访问网络的方法,接收到病毒客户端的访问请求后,对访问请求进行判断,在该访问请求为允许的访问行为时,将访问请求发送给内部网络,本发明的技术方案能够在病毒客户端的访问请求不影响网络上其他计算机的情况下,放行病毒的网络访问请求,以便触发后续的病毒行为。
[0049]在本发明另一实施例中,包括上述步骤101 - 103的基础上,其中,步骤102具体为:
[0050]根据预设的配置文件判断访问请求是否为允许的访问行为。
[0051]其中,配置文件中可以包括有预设协议类型、预设进程、预设IP地址和端口、预设规则,根据预设的配置文件判断访问请求是否为允许的访问行为具体可以包括:
[0052]在访问请求为预设协议类型的访问请求;或访问请求为预设进程发送的访问请求;或访问请求为预设IP地址和端口发送的访问请求;或访问请求的数据格式符合预设规则时,判断访问请求为允许的访问行为。
[0053]进一步地,上述方案中,配置文件中还可以包括有预设后门协议类型,根据预设的配置文件判断访问请求是否为允许的访问行为具体包括:
[0054]在访问请求为预设后门协议类型的访问请求时,判断访问请求为允许的访问行为。
[0055]进一步地,在访问请求为预设后门协议类型的访问请求时,将访问请求发送给内部网络之后还包括:
[0056]监控病毒客户端与其对应服务器之间的连接是否有效;
[0057]在连接失效时,按照预设后门协议类型构建控制指令,并将控制指令发送给病毒客户端。
[0058]这样在识别出预设的后门协议后,可模拟病毒客户端对应的服务器来向病毒客户端发送控制指令,触发病毒对应的行为,以便记录相应的信息。
[0059]本发明实施例还提供了一种控制病毒访问网络的装置,如图2所示,本实施例包括:
[0060]接收模块20,用于接收病毒客户端的对内部网络进行访问的访问请求;
[0061]判断模块21,用于判断访问请求是否为允许的访问行为;
[0062]发送模块22,用于在访问请求为允许的访问行为时,将访问请求发送给内部网络。
[0063]进一步地,上述方案中,判断模块21具体用于根据预设的配置文件判断访问请求是否为允许的访问行为。
[0064]进一步地,上述方案中,配置文件中包括有预设协议类型、预设进程、预设IP地址和端口、预设规则,判断模块21具体用于在访问请求为预设协议类型的访问请求;或访问请求为预设进程发送的访问请求;或访问请求为预设IP地址和端口发送的访问请求;或访问请求的数据格式符合预设规则时,判断访问请求为允许的访问行为。
[0065]进一步地,上述方案中,配置文件中包括有预设后门协议类型,判断模块21还用于在访问请求为预设后门协议类型的访问请求时,判断访问请求为允许的访问行为。
[0066]进一步地,上述方案中,控制病毒访问网络的装置还包括:
[0067]监控模块,用于在发送模块将访问请求发送给内部网络之后,监控病毒客户端与其对应服务器之间的连接是否有效;
[0068]指令构建模块,用于在连接失效时,按照预设后门协议类型构建控制指令,并将控制指令发送给病毒客户端。
[0069]本发明实施例的控制病毒访问网络的装置,在接收到病毒客户端的访问请求后,对访问请求进行判断,在该访问请求为允许的访问行为时,将访问请求发送给内部网络,能够在病毒客户端的访问请求不影响网络上其他计算机的情况下,放行病毒的网络访问请求,以便触发后续的病毒行为。本发明实施例还可以在识别出预设的后门协议后,模拟病毒客户端对应的服务器来向病毒客户端发送控制指令,触发病毒对应的行为,以便记录相应的信息。
[0070]下面结合图3以及具体的实施例对本发明的控制病毒访问网络的方法及装置进行详细介绍:
[0071]首先,在病毒客户端的访问请求进入内部网络之前,需要对病毒客户端的访问请求进行拦截。具体地,本发明实施例可以采用传输层驱动程序接口(TDI)过滤技术实现对访问请求的拦截,在虚拟机等环境中,本发明的控制病毒访问网络的装置会安装网络驱动,该网络驱动会绑定到网络传输层设备服务上,用于拦截病毒客户端的所有网络请求。执行代码如下:
[0072]
【权利要求】
1.一种控制病毒访问网络的方法,其特征在于,包括: 接收病毒客户端的对内部网络进行访问的访问请求; 判断所述访问请求是否为允许的访问行为; 在所述访问请求为允许的访问行为时,将所述访问请求发送给内部网络。
2.根据权利要求1所述的控制病毒访问网络的方法,其特征在于,所述判断所述访问请求是否为允许的访问行为具体为: 根据预设的配置文件判断所述访问请求是否为允许的访问行为。
3.根据权利要求2所述的控制病毒访问网络的方法,其特征在于,所述配置文件中包括有预设协议类型、预设进程、预设IP地址和端口、预设规则,所述根据预设的配置文件判断所述访问请求是否为允许的访问行为包括: 在所述访问请求为预设协议类型的访问请求;或 所述访问请求为预 设进程发送的访问请求;或 所述访问请求为预设IP地址和端口发送的访问请求;或 所述访问请求的数据格式符合预设规则时,判断所述访问请求为允许的访问行为。
4.根据权利要求2所述的控制病毒访问网络的方法,其特征在于,所述配置文件中包括有预设后门协议类型,所述根据预设的配置文件判断所述访问请求是否为允许的访问行为包括: 在所述访问请求为预设后门协议类型的访问请求时,判断所述访问请求为允许的访问行为。
5.根据权利要求4所述的控制病毒访问网络的方法,其特征在于,所述将所述访问请求发送给内部网络之后还包括: 监控所述病毒客户端与其对应服务器之间的连接是否有效; 在所述连接失效时,按照预设后门协议类型构建控制指令,并将所述控制指令发送给所述病毒客户端。
6.一种控制病毒访问网络的装置,其特征在于,包括: 接收模块,用于接收病毒客户端的对内部网络进行访问的访问请求; 判断模块,用于判断所述访问请求是否为允许的访问行为; 发送模块,用于在所述访问请求为允许的访问行为时,将所述访问请求发送给内部网络。
7.根据权利要求6所述的控制病毒访问网络的装置,其特征在于, 所述判断模块具体用于根据预设的配置文件判断所述访问请求是否为允许的访问行为。
8.根据权利要求7所述的控制病毒访问网络的装置,其特征在于,所述配置文件中包括有预设协议类型、预设进程、预设IP地址和端口、预设规则, 所述判断模块具体用于在所述访问请求为预设协议类型的访问请求;或 所述访问请求为预设进程发送的访问请求;或 所述访问请求为预设IP地址和端口发送的访问请求;或 所述访问请求的数据格式符合预设规则时,判断所述访问请求为允许的访问行为。
9.根据权利要求7所述的控制病毒访问网络的装置,其特征在于,所述配置文件中包括有预设后门协议类型, 所述判断模块还用于在所述访问请求为预设后门协议类型的访问请求时,判断所述访问请求为允许的访问行为。
10.根据权利要求9所述的控制病毒访问网络的装置,其特征在于,所述装置还包括:监控模块,用于在所述发送模块将所述访问请求发送给内部网络之后,监控所述病毒客户端与其对应服务器之间的连接是否有效; 指令构建模块,用于在所述连接失效时,按照预设后门协议类型构建控制指令,并将所述控制指令发 送给所述病毒客户端。
【文档编号】H04L29/06GK103812850SQ201210460273
【公开日】2014年5月21日 申请日期:2012年11月15日 优先权日:2012年11月15日
【发明者】苏海峰, 赵旭, 陈勇, 张楠 申请人:北京金山安全软件有限公司, 北京金山网络科技有限公司, 贝壳网际(北京)安全技术有限公司, 可牛网络技术(北京)有限公司