[发明专利]一种检测计算机网络病毒的方法和装置

权利要求书

1.一种检测计算机网络病毒的方法，其特征在于，包括：

在预设的计算机网络中，当包含有包头和包体的第一数据包触发第一规则时，则根据第一规则识别的第一网络病毒、第一规则和所述第一数据包生成与第二规则相关联、伪装成第一网络病毒的控制端发送的且包含有包头和包体的CC命令包作为探测数据包，利用伪装成CC控制端数据包的方式向所述预设的计算机网络中发送所述探测数据包；其中，所述第一规则和第二规则与第一网络病毒相关联，是识别数据包中第一网络病毒的预设规则，所述第二规则配置为：提取于包括第一网络病毒的被控端返回数据包中的多个类型和作用相同的规则；

当响应探测数据包而返回的包含有包头和包体的第二数据包触发第二规则时，则所述预设的计算机网络中存在第一网络病毒，所述响应探测数据包而返回的第二数据包触发第二规则，包括：依据第二规则获取响应探测数据包而返回的第二数据包中的第二特征信息，所述第二特征信息为从第二数据包中依据第二规则规定的从指定位置开始的指定长度提取的信息；判断所述第二特征信息是否满足第二规则；若是，则触发第二规则；

其中：

所述第一数据包触发第一规则，包括：

拦截第一数据包，并依据第一规则获得第一数据包中的第一特征信息，所述第一特征信息为从第一数据包中依据第一规则规定的从指定位置开始的指定长度提取的信息；

判断所述第一特征信息是否满足第一规则；

若是，则触发第一规则；

所述根据第一规则和所述第一数据包生成与第二规则相关联的探测数据包，包括：

基于第一规则，获得第一网络病毒信息；

根据所述第一网络病毒信息获得第二规则；

利用第二规则和所述第一数据包生成与第二规则相关联的探测数据包，包括方式一或方式二，其中，

方式一生成的探测数据包针对预设的计算机网络中发出疑似带有第一网络病毒的数据包的电子设备，所述探测数据包的目的地为该电子设备，用于检测该电子设备响应带有第一网络病毒信息的所述探测数据包后，返回的第二数据包是否也带有第一网络病毒信息，方式一包括：

从所述第一数据包中提取探测数据包的包头信息，所述探测数据包的包头信息至少包括：目的地网络地址和/或目的地设备名称，以及源网络地址和/或源设备名称；

依据第二规则生成所述探测数据包的包体信息；

利用所述探测数据包的包头信息和包体信息生成所述探测数据包；

方式二生成的探测数据包针对预设的计算机网络中的每个电子设备，所述探测数据包的目的地为预设的计算机网络中的所有电子设备，用于检测每个电子设备响应带有第一网络病毒信息的所述探测数据包后，返回的第二数据包是否也带有第一网络病毒信息，以检测预设的计算机网络中哪些电子设备带有第一网络病毒，方式二包括：

获取预设的计算机网络中每个电子设备的网络地址和/或设备名称；

将每个电子设备的网络地址和/或设备名称作为每个探测数据包的包头的目的地网络地址和/或目的地设备名称；

从所述第一数据包中提取每个探测数据包的包头的源网络地址和/或源设备名称；

依据第二规则生成每个探测数据包的包体信息；

利用每个探测数据包的包头信息和包体信息生成与预设的计算机网络中每个电子设备相关联的探测数据包。

2.根据权利要求1中所述的方法，其特征在于，所述第一规则和第二规则，分别属于不同的识别规则。

3.根据权利要求2所述的方法，其特征在于，所述第一规则，提取于包括第一网络病毒的CC命令包，其包括上线数据包或心跳数据包。

4.根据权利要求1中所述的方法，其特征在于，还包括以下处理方式之一：

在预设时间内，判断是否获得第二数据包，若否，则所述预设的计算机网络中不存在第一网络病毒；

判断所述第二数据包是否触发第二规则，若否，则所述预设的计算机网络中不存在第一网络病毒。

5.一种检测计算机网络病毒的装置，其特征在于，用于根据如权利要求1至4中任一项所述的方法，所述装置包括：

触发第一规则单元，配置于在预设的计算机网络中，当包含有包头和包体的第一数据包触发第一规则时，则根据第一规则识别的第一网络病毒、第一规则和所述第一数据包生成与第二规则相关联、伪装成第一网络病毒的控制端发送的且包含有包头和包体的探测数据包，并向所述预设的计算机网络中发送所述探测数据包；其中，所述第一规则和第二规则与第一网络病毒相关联，是识别数据包中第一网络病毒的预设规则；其中：所述第一数据包触发第一规则，包括：拦截第一数据包，并依据第一规则获得第一数据包中的第一特征信息，所述第一特征信息为从第一数据包中依据第一规则规定的从指定位置开始的指定长度提取的信息；判断所述第一特征信息是否满足第一规则；若是，则触发第一规则；

触发第二规则单元，配置于当响应探测数据包而返回的包含有包头和包体的第二数据包触发第二规则时，则所述预设的计算机网络中存在第一网络病毒。