[发明专利]一种蠕虫检测方法及装置

权利要求书

1.一种蠕虫检测方法，其特征在于，包括：

终端确定待发送的数据包的目的地址，将所述待发送的数据包添加到所述目的地址对应的等待队列中；并

检测在设定周期内添加到所述等待队列中的数据包的数量是否超过设定数量；以及

若是，则确定自身感染了蠕虫，断开与所述目的地址对应的设备的连接。

2.如权利要求1所述的方法，其特征在于，所述方法还包括：

当确定在设定周期内添加到所述等待队列中的数据包的数量未超过设定数量时，检测在所述设定周期内添加到所述等待队列的数据包中是否存在蠕虫攻击数据包；

若存在，则确定自身感染了蠕虫，断开与所述目的地址对应的设备的连接，否则，发送在所述设定周期内添加到所述等待队列中的数据包。

3.如权利要求2所述的方法，其特征在于，将所述待发送的数据包添加到所述目的地址对应的等待队列中之前，所述方法还包括：

所述终端确定所述待发送的数据包的目的地址不在保存的已访问地址表中；

当连续发送了设定次数的在设定周期内添加到所述等待队列中的数据包时，所述方法还包括：

将所述目的地址添加到保存的已访问地址表中。

4.如权利要求2所述的方法，其特征在于，检测在所述设定周期内添加到所述等待队列的数据包中是否存在蠕虫攻击数据包，具体包括：

判断在所述设定周期内添加到所述等待队列的数据包中是否存在特征与蠕虫特征库中的特征相匹配的数据包，若存在，则确定在所述设定周期内添加到所述等待队列的数据包中存在蠕虫攻击数据包，否则，确定在所述设定周期内添加到所述等待队列的数据包中不存在蠕虫攻击数据包。

5.如权利要求1所述的方法，其特征在于，当所述终端确定自身感染了蠕虫时，所述方法还包括：

确定在所述设定周期内添加到所述等待队列的数据包中存在的蠕虫攻击数据包的数量；

当确定的蠕虫攻击数据包的数量小于第一数量阈值时，减小所述设定数量，当确定的蠕虫攻击数据包的数量大于第二数量阈值时，增大所述设定数量，其中，所述第一数量阈值小于所述第二数量阈值。

6.如权利要求1或2所述的方法，其特征在于，当所述终端确定自身感染了蠕虫时，所述方法还包括：

所述终端删除所述等待队列中的所有数据包，并查杀感染的蠕虫；以及

在完成蠕虫的查杀后，恢复与所述目的地址对应的设备的连接。

7.一种蠕虫检测装置，其特征在于，包括：

拦截模块，用于确定待发送的数据包的目的地址，将所述待发送的数据包添加到所述目的地址对应的等待队列中；

检测模块，用于检测在设定周期内添加到所述等待队列中的数据包的数量是否超过设定数量；

控制模块，用于当所述检测模块检测到在设定周期内添加到所述等待队列中的数据包的数量超过设定数量时，确定感染了蠕虫，断开与所述目的地址对应的设备的连接。

8.如权利要求7所述的装置，其特征在于，所述检测模块还用于，当确定在设定周期内添加到所述等待队列中的数据包的数量未超过设定数量时，检测在所述设定周期内添加到所述等待队列的数据包中是否存在蠕虫攻击数据包；

所述控制模块还用于，当所述检测模块检测到在所述设定周期内添加到所述等待队列的数据包中存在蠕虫攻击数据包时，确定感染了蠕虫，断开与所述目的地址对应的设备的连接，否则，发送在所述设定周期内添加到所述等待队列中的数据包。

9.如权利要求8所述的装置，其特征在于，所述拦截模块还用于，在将所述待发送的数据包添加到所述目的地址对应的等待队列中之前，确定所述待发送的数据包的目的地址不在保存的已访问地址表中；

所述控制模块还用于，当连续发送了设定次数的在设定周期内添加到所述等待队列中的数据包时，将所述目的地址添加到保存的已访问地址表中。

10.如权利要求8所述的装置，其特征在于，所述检测模块具体用于，判断在所述设定周期内添加到所述等待队列的数据包中是否存在特征与蠕虫特征库中的特征相匹配的数据包，若存在，则确定在所述设定周期内添加到所述等待队列的数据包中存在蠕虫攻击数据包，否则，确定在所述设定周期内添加到所述等待队列的数据包中不存在蠕虫攻击数据包。