[发明专利]嵌入式病毒捕获设备和电路板

权利要求书

1.一种嵌入式病毒捕获设备，其特征在于，包括嵌入式CPU、第一网络模块、RAM模块、Flash模块；

所述第一网络模块，受嵌入式CPU控制，用于捕获来自外部网上主机的数据；

所述嵌入式CPU，用于将第一网络模块捕获的数据读取到RAM模块，加载Flash模块中的蜜罐程序，使用蜜罐程序对第一网络模块捕获的数据进行特征匹配和漏洞识别的分析，并产生病毒样本和模拟系统漏洞的过程中攻击源攻击行为的日志，记录恶意程序文件对应的URL列表；

所述RAM模块，受嵌入式CPU控制，用于在嵌入式CPU加载蜜罐程序时，向蜜罐程序提供和扩展数据分析和模拟漏洞的缓存环境，并接收和缓存来自第一网络模块捕获的数据；

所述Flash模块，受嵌入式CPU控制，用于存储蜜罐程序。

2.如权利要求1所述的嵌入式病毒捕获设备，其特征在于，还包括：第二网络模块，受嵌入式CPU控制，用于捕获来自局域网上主机的数据；

所述嵌入式CPU，还将第二网络模块捕获的数据读取到RAM模块，加载Flash模块中的蜜罐程序，使用蜜罐程序对第二网络模块捕获的数据进行特征匹配和漏洞识别的分析，并产生病毒样本和模拟系统漏洞的过程中攻击源攻击行为的日志，记录恶意程序文件对应的URL列表；

所述RAM模块，还接收和缓存来自第二网络模块接收的数据。

3.如权利要求1或2所述的嵌入式病毒捕获设备，其特征在于，第一网络模块或第二网络模块捕获的数据包括：恶意程序文件和网络流数据；

所述恶意程序文件，为嵌入式CPU使用蜜罐程序模拟系统漏洞时下载到RAM模块中的恶意行为对应URL涉及的文件；

所述网络流数据，为第一网络设备模块或第二网络模块捕获的所有流数据以及捕获恶意程序文件中产生的流数据。

4.如权利要求1或2所述的嵌入式病毒捕获设备，其特征在于，嵌入式CPU使用特征串识别捕获的数据是否包含恶意内容，所述特征串是包含恶意内容特征的特征串；

如果捕获的数据包含恶意内容，则产生病毒样本和模拟系统漏洞的过程中攻击源攻击行为的日志，记录恶意程序文件对应的URL记录，否则，丢弃捕获的数据。

5.如权利要求1或2所述的嵌入式病毒捕获设备，其特征在于，还包括：外部存储模块，用于存储病毒样本、日志和记录恶意程序文件对应的URL列表；

嵌入式CPU还将产生的病毒样本、日志和记录的恶意程序文件对应的URL列表暂存到Flash模块，并定期将Flash模块中暂存的病毒样本、日志和URL列表存储到外部存储模块。

6.如权利要求1或2所述的嵌入式病毒捕获设备，其特征在于，还包括：输出模块，受嵌入式CPU控制，指示嵌入式病毒设备的工作状态；

嵌入式CPU还控制输出模块指示嵌入式病毒设备的工作状态。

7.如权利要求1或2所述的嵌入式病毒捕获设备，其特征在于，还包括：输入模块，用于触发嵌入式CPU对嵌入式病毒捕获设备进行升级；

嵌入式CPU还根据输入模块的触发，对嵌入式病毒捕获设备进行升级。

8.如权利要求1或2所述的嵌入式病毒捕获设备，其特征在于，所述Flash模块还存储操作系统、配置文件、设备日志和服务程序；

所述配置文件，保存应用服务器远程控制及管理嵌入式病毒捕获设备的配置信息；

所述设备日志，记录所述嵌入式病毒捕获设备的运行状态和错误状态及错误自恢复的处理信息；

所述服务程序，包括：SSH服务程序、LED输出控制程序、升级程序、与服务器交互服务程序和自检测/自修复服务程序。