[发明专利]木马病毒的阻止方法及装置

说明书

技术领域

本发明涉及互联网领域，具体而言，涉及一种木马病毒的阻止方法及装置。

背景技术

随着以高交互性为主要特点的Web 2.0技术的推广，很多Web站点允许访问者上传文件，随之而来的是Web服务器挂马(服务器被上传包含木马、病毒等恶意代码的文件)越来越威胁Web服务器和客户端浏览器的安全。从Web服务器木马的种类区分有两种形式，一种是服务器木马，一种是客户端木马。服务器木马通常是一个可以在Web服务器上被动态执行的恶意脚本或恶意可执行程序。客户端木马通常是恶意的浏览器程序，它可以是一段Javascript脚本、恶意Java Applet小程序或恶意浏览器插件。Web服务器挂马，通常是借助某些其他的漏洞实现，例如SQL注入漏洞、跨站漏洞、上传漏洞等。

现有技术的木马病毒的阻值方法是在服务器上安装反病毒软件，通过对服务器上文件的监控和扫描，发现恶意代码。当攻击者上传恶意文件的时候，由杀毒软件发现并响应。

这些杀毒软件是基于已知病毒样本的，对未知恶意代码缺乏有效的抵抗手段。现在攻击者在制作恶意程序的时候，通常会使用主流的杀毒软件进行测试，通过各种混淆手段做到杀毒软件的免杀。这样，杀毒软件在应对文件病毒的时候作用有限。同时，如果攻击者上传的恶意代码没有保存成文件，而是利用数据库保存(或者干脆存储在内存中)，基于文件的杀毒软件将无法检测。而且杀毒软件严重消耗服务器计算资源和性能，这一点在对IO读写非常频繁的Web服务器更加明显。

针对现有技术中无法准确阻止未知的木马病毒的问题，目前尚未提出有效的解决方案。

发明内容

本发明提供了一种木马病毒的阻止方法及装置，以至少解决现有技术中无法准确阻止未知的木马病毒的问题。

为了实现上述目的，根据本发明的一个方面，提供了一种木马病毒的阻止方法。

根据本发明的木马病毒的阻止方法包括：防火墙获取访问控制列表，其中，访问控制列表中包括资源的名称；防火墙判断访问者的资源请求对应的资源的名称是否在访问控制列表中；以及当访问者的资源请求对应的资源的名称在访问控制列表中时，防火墙终止访问者与资源对应的服务器之间的连接。

进一步地，防火墙获取访问控制列表包括：防火墙获取第一访问控制列表，其中，第一访问控制列表中包括第一资源的名称，第一资源由管理员设置，防火墙判断访问者的资源请求对应的资源的名称是否在访问控制列表中包括：防火墙判断访问者请求访问的资源的名称是否在第一访问控制列表中。

进一步地，防火墙获取访问控制列表包括：防火墙获取第二访问控制列表，其中，第二访问控制列表中包括第二资源的名称，防火墙判断访问者的资源请求对应的资源的名称是否在访问控制列表中包括：防火墙判断访问者请求上传的资源的名称是否在第二访问控制列表中，当资源请求对应的资源的名称在访问控制列表中时，防火墙终止访问者与资源对应的服务器之间的连接包括：当访问者请求上传的资源的名称在第二访问控制列表中时，防火墙终止访问者与资源对应的服务器之间的连接。

进一步地，防火墙获取第二访问控制列表包括：防火墙判断访问者的资源请求对应的资源的名称是否在访问控制列表中包括：防火墙获取可执行文件资源的扩展名；防火墙确定包括扩展名的资源为第二资源；以及将第二资源所构成的访问控制列表作为第二访问控制列表并获取第二访问控制列表。

进一步地，在防火墙判断访问者请求上传的资源的名称是否在第二访问控制列表中之后，上述方法还包括：在访问者请求上传的资源的名称不在第二访问控制列表中的情况下，防火墙对服务器发送至访问者的资源进行语法分析以获取资源中的扩展名；判断扩展名对应的资源是否为第二资源；以及当资源为第二资源时，防火墙终止访问者与资源对应的服务器之间的连接。

为了实现上述目的，根据本发明的另一个方面，提供了一种木马病毒的阻止装置，该装置用于执行本发明提供的任意一种木马病毒的阻止方法。

根据本发明的另一方面，提供了一种木马病毒的阻止装置。该木马病毒的阻止装置包括：第一获取单元，用于获取访问控制列表，其中，访问控制列表中包括资源的名称；第一判断单元，用于判断访问者的资源请求对应的资源的名称是否在访问控制列表中；以及第一终止单元，用于当访问者的资源请求对应的资源的名称在访问控制列表中时，终止访问者与资源对应的服务器之间的连接。

进一步地，第一获取单元还用于获取第一访问控制列表，其中，第一访问控制列表中包括第一资源的名称，第一资源由管理员设置，第一判断单元还用于判断访问者请求访问的资源的名称是否在第一访问控制列表中。