[发明专利]一种蜜罐系统和运用该系统检测木马的方法

权利要求书

1.一种蜜罐系统，包括安装于用户计算机操作系统的系统客户端、与所述系统客户端交互通信的系统服务器，其特征在于：

在所述系统客户端设有病毒作者过滤库，用于存储预存的病毒作者的病毒作者行为规则，所述病毒作者行为规则包括安全防护软件的数量、安全防护软件的扫描操作次数和特征码定位器；

在所述系统客户端设有检测模块，用于检测计算机安全防护软件的数量、安全防护软件的扫描操作次数、以及计算机中是否包含特征码定位器；

在所述系统客户端设有第一判断模块，用于判断检测模块检测的结果是否是病毒作者过滤库中的病毒作者行为规则；

在所述系统客户端设有提示模块，用于提示计算机操作者使用安全防护软件扫描的文件是否为病毒文件；

在所述系统客户端设有提取模块，用于上传病毒作者扫描的文件至系统服务器；

在所述系统服务器设有木马规则过滤库，用于存储常见的木马行为规则；

在所述系统服务器设有第二判断模块，其根据木马规则过滤库判断提取模块上传的文件是否为病毒文件，并将判断结果反馈至提示模块，由提示模块通过窗口提示模式提示用户。

2.根据权利要求1所述的蜜罐系统，其特征在于：所述病毒作者行为规则包括计算机内安装两个以上安全防护软件、24小时内安全防护软件扫描操作两次以上、以及存在特征码定位器。

3.根据权利要求1或2所述的蜜罐系统，其特征在于：所述检测模块检测结果与病毒作者行为规则过滤库中任一病毒作者行为规则匹配，则第一判断模块判断该计算机为病毒计算机。

4.一种运用权利要求1-3任一所述蜜罐系统检测木马的方法，用于快速、精确检测木马病毒，其特征在于，该检测方法包括以下步骤：

检测模块检测计算机内安装安全防护软件的数量、24小时内安全防护软件扫描操作次数以及计算机内是否存在特征码定位器；

第一判断模块判断根据检测模块的检测结果，通过与病毒作者过滤库中的病毒作者行为规则匹配，判断该计算机是否为病毒计算机；若检测模块检测结果与病毒作者行为规则过滤库中任一病毒作者行为规则匹配，则第一判断模块判断该计算机为病毒计算机；第一判断模块的判断结果发送至提取模块；

提取模块提取计算机操作者使用安全防护软件扫描的文件至系统服务器；

系统服务器的第二判断模块根据木马规则过滤库中的木马行为规则判断该文件是否为木马文件；第二判断模块的判断结果发送至系统客户端的提示模块；

提示模块通过提示窗口的模式提示用户。

5.根据权利要求4所述的方法，其特征在于：所述第一判断模块把该计算机为病毒计算机的判断结果发送至提取模块；判断结果为非病毒计算机则返回检测模块继续检测步骤。

6.根据权利要求4所述的方法，其特征在于：所述第二判断模块把判断结果为木马文件的判断结果发送至客户端的提示模块；判断结果为非木马文件则返回检测模块继续检测步骤。