技術領域

本發明涉及計算機網絡病毒檢測技術，特別是涉及一種病毒檢測方法和裝置。

背景技術

隨著計算機網絡的迅速發展，互聯網的應用越來越廣泛，病毒的危害性越來越大，尤其是蠕蟲病毒對計算機系統安全和網絡安全的威脅日益增加。其中，蠕蟲病毒是一種通過網絡傳播的惡意病毒，其具有傳播速度快、傳播范圍廣和破壞程度大的特點。在網絡環境下，蠕蟲病毒可以按幾何增長模式進行傳染。蠕蟲病毒侵入計算機網絡，可以導致計算機網絡的效率急劇下降，系統資源遭到嚴重破壞，短時間內就造成網絡系統的癱瘓。現在多態蠕蟲病毒以及變形蠕蟲病毒，很容易避開現有的檢測系統，成為威脅到網絡安全的一個重大隱患。

蠕蟲病毒傳播時需要掃描探測網絡中存在漏洞的主機，因此，在蠕蟲病毒爆發的時候，傳播蠕蟲病毒的主機會向網絡中的大量主機發出探測連接，使得流量或連接狀態與正常情況下相比有明顯的差異，且蠕蟲病毒傳播時一般采用快速掃描方式傳播和慢速掃描方式傳播。目前，現有技術基于流量異常或連接異常的蠕蟲病毒檢測方法主要是基于數理學中的統計分析，按照協議、端口、IP地址、訪問資源等可測量屬性對一段時間內的網絡中嗅探到的數據流信息進行統計，并與正常情況下這些屬性的值進行比較，綜合蠕蟲病毒傳播模型，判斷流量中蠕蟲病毒存在的可能性。

但是，發明人在實現本發明的過程中發現現有技術至少存在以下缺陷：現有技術蠕蟲病毒檢測時，需要在一定的統計時間內檢測蠕蟲病毒，若統計時間過長，則在快速掃描方式傳播的蠕蟲病毒可能已經感染了網絡中的大量主機；若統計時間較短，則對于慢速掃描方式傳播蠕蟲病毒，可能無法檢測到病毒，出現漏報的情況；同時，網絡情況較差時，也容易產生誤報的情況，且需要對網絡中的所有數據流進行統計，導致病毒檢測的效率低。

發明內容

本發明實施例提供一種病毒檢測方法和裝置，可以有效提高病毒檢測效率，降低病毒的誤報率。

本發明實施例提供了一種病毒檢測方法，包括：

獲取并分析分組的首次連接隊列中各連接項的連接狀態，所述分組的首次連接隊列中各連接項具有相同的源IP地址和目的端口號；

根據所述分組的首次連接隊列中連接項的連接狀態，判斷所述分組對應的源IP地址的主機是否感染病毒。

本發明實施例提供了一種病毒檢測裝置，包括：

獲取分析模塊，用于獲取并分析分組的首次連接隊列中各連接項的連接狀態，所述分組的首次連接隊列中各連接項具有相同的源IP地址和目的端口號；

病毒判斷模塊，用于根據所述分組的首次連接隊列中連接項的連接狀態，判斷所述分組對應的源IP地址的主機是否感染病毒。

本發明實施例可適用于慢掃描方式和快速掃描方式傳播的蠕蟲病毒的檢測、通過對網絡中首次連接組成的首次連接隊列的連接狀態進行分析，對傳播或感染蠕蟲病毒的主機進行檢測，可實時高效的檢測網絡中的病毒，提高病毒的檢測效率，降低病毒的誤報率。

附圖說明

為了更清楚地說明本發明實施例或現有技術中的技術方案，下面將對實施例或現有技術描述中所需要使用的附圖作簡單地介紹，顯而易見地，下面描述中的附圖僅僅是本發明的一些實施例，對于本領域普通技術人員來講，在不付出創造性勞動性的前提下，還可以根據這些附圖獲得其他的附圖。

圖1為本發明病毒檢測方法實施例一的流程圖；

圖2為本發明病毒檢測方法實施例二的流程圖；

圖3為本發明病毒檢測方法實施例三中對分組的首次連接項進行超時處理的流程圖；

圖4為本發明病毒檢測方法實施例四中對分組的失敗連接隊列進行處理的流程圖；

圖5為本發明病毒檢測裝置實施例一的結構示意圖；

圖6為本發明病毒檢測裝置實施例二中病毒判斷模塊的結構示意圖；

圖7為本發明病毒檢測裝置實施例三的結構示意圖。

具體實施方式

下面將結合本發明實施例中的附圖，對本發明實施例中的技術方案進行清楚、完整地描述，顯然，所描述的實施例僅僅是本發明一部分實施例，而不是全部的實施例。基于本發明中的實施例，本領域普通技術人員在沒有做出創造性勞動前提下所獲得的所有其他實施例，都屬于本發明保護的范圍。

圖1為本發明病毒檢測方法實施例一的流程圖。該方法包括：

步驟101、獲取并分析分組的首次連接隊列中各連接項的連接狀態，所述分組的首次連接隊列中各連接項具有相同的源IP地址和目的端口號；

步驟102、根據所述分組的首次連接隊列中連接項的連接狀態，判斷所述分組對應的源IP地址的主機是否感染病毒。