[发明专利]蠕虫病毒检测方法、装置和网关设备

权利要求书

1.一种蠕虫病毒检测方法，其特征在于，包括：

获取源IP地址主机发起的扫描连接信息，所述扫描连接信息包括扫描连 接次数、扫描连接失败率以及扫描端口的连接数量；

对预设周期内获取的所述源IP地址主机的扫描连接信息进行分析，判断 所述源IP地址主机是否为感染蠕虫病毒的主机；

所述对预设周期内获取的所述源IP地址主机发起的扫描连接信息进行分 析，判断所述源IP地址主机是否为感染蠕虫病毒的主机包括：

判断预设周期内获取的所述源IP地址主机发起的所述扫描连接次数、扫 描连接失败率和扫描端口的连接数量是否分别超过预设连接次数阈值、第一 预设连接失败率阈值和预设端口连接数量阈值，若判断结果均为是，则判断 发起扫描连接的所述源IP地址主机为感染蠕虫病毒的主机，若所述扫描连接 次数、扫描连接失败率和扫描端口的连接数量其中任何一个未超过相应预设 的阈值时，则判断发起扫描连接的所述源IP地址主机为非感染蠕虫病毒的主 机；

其中，所述扫描连接失败率为所述源IP地址主机发起的所有扫描连接中 连接失败数与总连接数的比值；

或者，所述对预设周期内获取的所述源IP地址主机发起的扫描连接信息 进行分析，判断所述源IP地址主机是否为感染蠕虫病毒的主机包括：

判断预设周期内所述源IP地址主机发起的所述扫描连接次数和扫描端口 的连接数量是否分别超过预设连接次数阈值和预设端口连接数量阈值，若判 断结果均为是，则获取扫描连接数量超过所述预设端口连接数量阈值的端口；

判断所述端口对应的各扫描连接的扫描连接失败率是否超过第二预设连 接失败率阈值，若是，则判断发起扫描连接的所述源IP地址主机为感染蠕虫 病毒的主机，其中，所述扫描连接失败率为所述端口对应的所有扫描连接中 连接失败数和总连接数的比率。

2.根据权利要求1所述的蠕虫病毒检测方法，其特征在于，所述扫描连 接信息还包括相同端口的各扫描连接的跨网段数，在判断所述扫描端口的连 接数量超过预设端口连接数量阈值后，还包括：

获取扫描连接数量超过所述预设端口连接数量阈值的端口，判断所述端 口对应的各扫描连接的跨网段数是否超过预设跨网段数阈值，若是，则判断 发起扫描连接的所述源IP地址主机为感染蠕虫病毒的主机。

3.根据权利要求1或2所述的蠕虫病毒检测方法，其特征在于，还包括：

将在所述预设周期内通过扫描连接信息判断得到的感染蠕虫病毒的源IP 地址主机确定为疑似感染蠕虫病毒的主机；

对预设检测个数的预设周期内所判断得到的疑似感染蠕虫病毒的主机的 数量进行监测，若所述疑似感染蠕虫病毒的主机的数量超过预设检测阈值， 则最后确定所述疑似感染蠕虫病毒的源IP地址主机为感染蠕虫病毒的主机。

4.根据权利要求1所述的蠕虫病毒检测方法，其特征在于，所述对预设 周期内获取的所述源IP地址主机的扫描连接信息进行分析包括：

从所述预设周期内所述源IP地址主机发起的最后的扫描连接起，经过预 设时间后对所述预设周期内获取的所述源IP地址主机的扫描连接信息进行分 析。