[发明专利]一种检测计算机网络病毒的方法和装置

说明书

本申请提供了一种检测计算机网络病毒的方法和装置，所述方法包括：在预设的计算机网络中，当第一数据包触发第一规则时，则根据第一规则和所述第一数据包生成与第二规则相关联的探测数据包，并向所述预设的计算机网络中发送所述探测数据包；其中，所述第一规则和第二规则与第一网络病毒相关联，是识别数据包中第一网络病毒的预设规则；当响应探测数据包而返回的第二数据包触发第二规则时，则所述预设的计算机网络中存在第一网络病毒。本申请利用伪装成CC控制端数据包的方式，对已经运行且触发告警的计算机网络程序进行探测，通过分析返回数据包获得识别结果，能够有效的降低产品的误报，提高恶意样本识别率。

技术领域

本申请涉及计算机病毒领域，具体涉及检测计算机网络病毒的方法，以及检测计算机网络病毒的装置。

背景技术

病毒，是指编制或者在计算机程序中插入的破坏计算机功能或者破坏数据，影响计算机使用并且能够自我复制的一组计算机指令或者程序代码。病毒可以划分为计算机网络病毒，文件病毒，引导型病毒。

计算机网络病毒，是通过计算机网络传播感染网络中的可执行文件。CC类木马是一种典型的计算机网络病毒。

CC：即Command and Control，中文意思是“命令以及控制”，有时也简写为C2。在某些情况下，CC(或者C2)是指CC服务器，也就是控制端，本申请CC取本意。

CC类木马，是指能进行远程控制的木马类型。包括：DDoS木马，传统的远程控制木马，以及现下流行的APT(高级可持续性威胁)程序。通常网络中的计算机被感染木马后，控制端的计算机就可以通过木马控制网络中所有的被控端的计算机按照指令行动。例如，进行统一的网络攻击，使被攻击对象的网络或计算机瘫痪，不能正常工作。

防止计算机网络病毒对网络系统的侵害的主要手段是在计算机网络系统中布设入侵检测系统。

入侵检测系统(Intrusion Detection Systems，简称IDS)，就是依照一定的安全策略，通过软、硬件，对计算机网络、系统的运行状况进行监视，尽可能发现各种攻击企图、攻击行为或者攻击结果，以保证计算机网络系统资源的机密性、完整性和可用性。主要原理是针对恶意有效载荷流量编写规则进行检测。

当前，入侵检测系统主要存在以下缺陷：误报率比较高。

发明内容

本申请提供一种检测计算机网络病毒的方法，一种检测计算机网络病毒的装置；以解决入侵检测系统误报率高的问题。

为了解决上述技术问题，本申请实施例提供了如下的技术方案：

本实施例提供了一种检测计算机网络病毒的方法，包括：

在预设的计算机网络中，当第一数据包触发第一规则时，则根据第一规则和所述第一数据包生成与第二规则相关联的探测数据包，并向所述预设的计算机网络中发送所述探测数据包；其中，所述第一规则和第二规则与第一网络病毒相关联，是识别数据包中第一网络病毒的预设规则；

当响应探测数据包而返回的第二数据包触发第二规则时，则所述预设的计算机网络中存在第一网络病毒。

可选的，所述第一数据包触发第一规则，包括：

拦截第一数据包，并依据第一规则获得第一数据包中的第一特征信息；

判断所述第一特征信息是否满足第一规则；

若是，则触发第一规则。

可选的，所述根据第一规则和所述第一数据包生成与第二规则相关联的探测数据包，其中，所述第一规则和第二规则与第一网络病毒相关联，包括：

识别第一规则，获得第一网络病毒信息；

根据所述第一网络病毒信息获得第二规则；