[发明专利]蠕虫病毒检测方法、装置和网关设备

说明书

技术领域

本发明涉及病毒检测领域，特别是涉及一种蠕虫病毒检测方法、装置和 网关设备。

背景技术

随着网络技术的快速发展，网络的安全问题已经成为用户和运营商关注 的焦点，而蠕虫病毒则是对网络安全最严重的威胁之一。

现有技术中通常采用基于流量信息的方法进行蠕虫病毒的检测，其检测 过程如下：首先，通过采集正常流量日志和有蠕虫活动时的流量日志，提取 检测蠕虫的特征，得到标定类别的流量日志；其次，利用机器学习算法对标 定类别的流量日志进行学习，获得蠕虫检测分类器；最后，将通过网络学习 后得到的蠕虫检测分类器部署到网络中，提取网络中的流量信息的特征向量， 利用蠕虫检测分类器检测网络的蠕虫活动。现有基于流量信息进行蠕虫病毒 的检测中，是假设网络中正常业务的流量处于平稳状态情况下，才有可能根 据蠕虫病毒爆发时出现的流量变化而检测出蠕虫病毒；若网络中正常业务流 量突然增多时，容易将流量突然增多的正常业务判定也为蠕虫病毒。

发明人在实现本发明的过程中发现现有技术中蠕虫病毒检测时，对于网 络中正常业务流量变化较频繁的场合，容易产生误判，导致病毒的误报率高； 同时，现有技术基于流量的病毒检测中，网络流量学习及特征向量的提取需 要大量的网络数据，数据处理量大，占用的系统资源多，导致处理速度较慢， 病毒检测效率低。

发明内容

本发明实施例的目的是提供一种蠕虫病毒检测方法、装置和网关设备， 可有效提高蠕虫病毒检测的效率，减少误报率。

为实现上述目的，本发明实施例提供了一种蠕虫病毒检测方法，包括：

获取源IP地址主机发起的扫描连接信息，所述扫描连接信息包括扫描连 接次数、扫描连接失败率以及扫描端口的连接数量；

对预设周期内获取的所述源IP地址主机的扫描连接信息进行分析，判断 所述源IP地址主机是否为感染蠕虫病毒的主机。

本发明实施例提供了一种蠕虫病毒检测装置，包括：

信息获取模块，用于获取源IP地址主机发起的扫描连接信息，所述扫描 连接信息包括扫描连接次数、扫描连接失败率以及扫描端口的连接数量；

分析检测模块，用于对预设周期内获取的所述源IP地址主机的扫描连接 信息进行分析，判断所述源IP地址主机是否为感染蠕虫病毒的主机。

本发明实施例提供了一种网关设备，包括数据包接收装置和上述的蠕虫 病毒检测装置，其中，

所述数据包接收装置，用于从网络中接收源IP地址主机发送的扫描数据 包；

所述蠕虫病毒检测装置，用于根据所述扫描数据包获取源IP地址主机发 起的扫描连接信息，并对预设周期内获取的所述源IP地址主机的扫描连接信 息进行分析，判断所述源IP地址主机是否为感染蠕虫病毒的主机，所述扫描 连接信息包括扫描连接次数、扫描连接失败率以及扫描端口的连接数量。

本发明实施例通过对源IP地址主机发起的扫描连接的扫描连接次数、扫 描连接失败率以及扫描端口的连接数量的多个扫描连接信息进行分析，可有 效判定源IP地址主机是否为感染蠕虫病毒的主机，其判断过程不受正常业务 流量变化的限制，病毒检测效率高，病毒检测的误判率低；同时，病毒检测 中仅检测扫描连接信息，数据处理量较小，处理速度快，系统资源的占用率 较低，使得整个系统具有较高的病毒检测效率。

附图说明

为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对 实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地， 下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员 来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附 图。

图1为本发明蠕虫病毒检测方法实施例一的流程示意图；

图2为本发明蠕虫病毒检测方法实施例二的流程示意图；

图3为本发明实施例中获取源IP地址主机发起的扫描连接信息的流程示 意图；

图4为本发明蠕虫病毒检测方法实施例二中判断源IP地址主机是否为感 染蠕虫病毒主机的流程示意图；

图5为本发明蠕虫病毒检测方法实施例三中判断源IP地址主机是否为感 染蠕虫病毒主机的流程示意图；

图6为本发明蠕虫病毒检测方法实施例四的流程示意图；

图7为本发明蠕虫病毒检测装置实施例一的结构示意图；