[发明专利]计算机病毒检测方法及装置

说明书

技术领域

本发明涉及计算机领域，尤其涉及一种计算机病毒检测方法及装置。

背景技术

计算机病毒(Computer Virus)是编制者在计算机程序中插入的破坏计算机功能或者破坏数据，影响计算机使用并且能够自我复制的一组计算机指令或者程序代码。与医学上的“病毒”不同，计算机病毒不是天然存在的，是某些人利用计算机软件和硬件所固有的脆弱性编制的一组指令集或程序代码。它能通过某种途径潜伏在计算机的存储介质(或程序)里，当达到某种条件时即被激活，通过修改其他程序的方法将自己的精确拷贝或者可能演化的形式放入其他程序中，从而感染其他程序，对计算机资源进行破坏。

目前，有一类以密码猜解为攻击手段的计算机病毒，运行之后，病毒会将自己复制到计算机系统目录下，通过使用密码词典，逐个尝试使用词典中的密码访问其他计算机。即它会尝试猜解网络中其他计算机的管理员密码，一旦猜解成功便向这些计算机发送病毒文件，病毒以特定昵称登录指定的互联网中继聊天(Internet Relay Chat，简称IRC)频道接受黑客的远程控制，黑客可以操纵中毒计算机并发动攻击。

目前，常用的病毒检测方法包括：特征代码法、行为监测法等。特征代码法是检测已知病毒的最简单、开销最小的方法。它的实现是采集已知病毒样本，建立病毒数据库。当病毒检测开始时，打开被检测文件，在文件中搜索，检查文件中是否含有病毒数据库中的病毒特征代码。如果发现被检测文件中存在病毒特征代码，由于特征代码与病毒一一对应，便可以断定，被查文件中患有何种病毒。

行为监测法，即利用病毒的特有行为特征来监测病毒的方法。通过对病毒多年的观察、研究，有一些行为是病毒的共同行为，而且比较特殊。在正常程序中，这些行为比较罕见。当程序运行时，监视其行为，如果发现了病毒行为，立即报警。

但是，上述病毒检测方法是泛化的解决方法，此类病毒检测方法对于以密码猜解为攻击手段的计算机病毒难以检测。

发明内容

本发明一实施例提供一种计算机病毒检测方法及装置，能够准确检测出以密码猜解为攻击手段的计算机病毒。

一方面，提供一种计算机病毒检测方法，包括：记录密码错误事件，所述密码错误事件包括客户端标识、进程标识和时间标识；统计预设时间内同一客户端同一进程密码错误事件次数；判断所述预设时间内同一客户端同一进程密码错误事件次数是否超出预设阀值；若所述预设时间内同一客户端同一进程密码错误事件次数超出预设阀值，则确定所述进程为计算机病毒源。

结合第一方面的第一实施方式中，所述记录密码错误事件包括：接收第一客户端上报的密码错误事件；记录所述第一客户端上报的密码错误事件。

结合第一方面或第一方面第一实施方式的第二实施方式中，所述密码错误事件包括：第二客户端向第一客户端反馈的所述第一客户端一进程访问所述第二客户端所使用的密码为错误密码以及所述第一客户端标识、所述进程标识和密码错误发生时间的时间标识。

第二方面，提供一种计算机病毒检测服务器，包括：记录模块，用于记录密码错误事件，所述密码错误事件包括客户端标识、进程标识和时间标识；统计模块，用于根据所述记录模块记录的密码错误事件，统计预设时间内同一客户端同一进程密码错误事件次数；判断模块，用于判断所述预设时间内同一客户端同一进程密码错误事件次数是否超出预设阀值；处理模块，用于在所述判断模块确定所述预设时间内同一客户端同一进程密码错误事件次数超出预设阀值时，确定所述进程为计算机病毒源。

第三方面，提供一种计算机病毒检测客户端，包括：接收模块，用于接收密码错误事件，所述密码错误事件包括进程标识和时间标识；记录模块，用于记录所述密码错误事件；统计模块，用于根据所述记录模块记录的密码错误事件统计预设时间内同一进程密码错误事件次数；判断模块，用于判断所述预设时间内同一进程密码错误事件次数是否超出预设阀值；处理模块，用于在所述判断模块确定所述预设时间内同一进程密码错误事件次数超出预设阀值时，确定所述进程为计算机病毒源。

第四方面，还提供一种计算机病毒检测客户端，包括：接收单元，用于接收第二客户端返回的密码错误事件，所述密码错误事件包括第一客户端标识、进程标识和时间标识；发送单元，用于将所述密码错误事件发送给事件记录服务器，以使所述事件记录服务器根据同一客户端同一进程密码错误事件次数处理所述进程。