[发明专利]标识、采集、统计病毒传播途径的方法及装置

说明书

技术领域

本发明涉及计算机安全技术领域，尤其涉及一种标识、采集、统计病毒传播途径的方法及装置。

背景技术

在计算机反病毒技术领域，识别、查杀病毒已经是一个成熟的体系，无论是反病毒产品技术的提供者还是产品使用的用户都已经有了一个较好的体验，用户能使用反病毒技术发现、清除或抵御住病毒的破坏，传统的反病毒产品主要进行单点病毒防御和网络病毒防御两种病毒处理方式。

其中，1)单点病毒防御一般包括以下几个方面内容：

本机扫描：终端计算机进行病毒查杀；

U盘防御：禁止使用U盘，禁止U盘自运行，接入U盘自动扫描病毒；

网络攻击拦截：利用防火墙技术对网络包进行识别、拦截，防止如08067这种病毒的传播。

2)网络病毒防御包括以下几个方面内容：

病毒查杀：在网关或交换机位置串联防病毒产品，对网络上传输的文件进行病毒查杀，阻挡病毒的传播；

病毒探针：在网关或交换机位置旁路架设病毒扫描产品，对网络上传输的文件进行病毒扫描，起到预警、统计的作用。

现有技术里虽然能够处理掉单点威胁，也能小部分统计出来网络间的病毒传播情况，但是这对于所有病毒传播情况来说是远远不够的。难以对病毒的传播途径进行准确的记录与跟踪，确定所有被感染的设备，因此使用传统反病毒技术对整个环境进行病毒查杀时很容易造成漏杀，查杀后，设备很容易被再次感染。

发明内容

基于此，有必要针对传统技术的病毒防御方式难以准确确定病毒传播途径的问题，提供一种能够在各种环境下准确确定病毒传播途径的标识、采集、统计病毒传播途径的方法及装置

为实现本发明目的提供的一种标识、采集、统计病毒传播途径的方法，包括以下步骤：

检测设备中是否有文件移动操作；

当设备中有文件移动操作时，对操作所针对的文件进行病毒检测；

当所述操作所针对的文件发现病毒时，记录所述病毒的数据信息；

将所述数据信息传输至数据库存储；

其中，所述数据信息中包括病毒传播途径。

作为一种标识、采集、统计病毒传播途径的方法的可实施方式，所述文件移动操作包括设备上的文件读或写操作、收发邮件操作、文件下载操作、网络共享读写操作及网络映射盘读写操作。

作为一种标识、采集、统计病毒传播途径的方法的可实施方式，所述数据信息还包括病毒名称、病毒样本特性、感染时间及传播介质。

作为一种标识、采集、统计病毒传播途径的方法的可实施方式，还包括以下步骤：

对所述数据库中的多个数据信息进行分析处理，得到指定病毒的感染、传播详情。

作为一种标识、采集、统计病毒传播途径的方法的可实施方式，所述文件移动操作为设备上的文件读操作时，所述病毒传播途径为从中间介质感染到当前设备，所述文件移动操作为设备上的文件写操作时，所述病毒传播途径为从当前设备感染到中间介质，所述文件移动操作为收发邮件操作时，所述病毒传播途径为邮件的收发地址之间，所述文件移动操作为文件下载操作时，所述病毒传播途径为文件下载源到当前设备，所述文件移动操作为网络共享或网络映射盘读操作时，所述病毒传播途径为从网络感染到当前设备，所述文件移动操作为网络共享或网络映射盘写操作时，所述病毒传播途径为从当前设备感染到网络；

所述中间介质包括U盘。

基于同一发明构思的一种标识、采集、统计病毒传播途径的装置，包括监控模块、病毒检测模块、信息收集模块及数据存储模块，其中：

所述监控模块，用于检测设备中是否有文件移动操作；

所述病毒检测模块，用于根据所述监控模块的检测结果，当设备中有文件移动操作时，对操作所针对的文件进行病毒检测；

所述信息收集模块，用于根据所述病毒检测模块的检测结果，当所述操作所针对的文件发现病毒时，记录所述病毒的数据信息；

所述数据存储模块，用于将所述信息收集模块收集的所述数据信息传输至数据库存储；

其中，所述数据信息中包括病毒传播途径。

作为一种标识、采集、统计病毒传播途径的装置的可实施方式，所述监控模块包括设备文件行为监控子模块、邮件收发监控子模块、下载监控子模块及局域网共享、网络映射盘监控子模块，其中：

所述设备文件行为监控子模块，用于检测设备中是否有设备上的文件读或写操作；

所述邮件收发监控子模块，用于检测设备中是否有收发邮件操作；

所述下载监控子模块，用于检测设备中是否有文件下载操作；