[发明专利]一种病毒预警系统和方法

说明书

技术领域

本发明涉及计算机技术领域，特别涉及一种病毒预警系统和方法。

背景技术

随着技术的进步和发展，现在的网络情况也变得越来越复杂，越来越多的计算机联接到网络中。同时，计算机病毒的种类也变得日益繁多，从而病毒问题一直是困扰网络安全的主要问题。

现有的病毒防范方法一般为：终端用户基于本地杀毒软件进行防御，从本地终端上发现病毒的存在；终端用户本地的杀毒软件对发现的病毒进行采样和分析，并向杀毒软件供应商上报病毒信息；杀毒软件供应商将上报的病毒信息在自己的网站上公告；其他用户利用本地杀毒软件主动从杀毒软件供应商处下载病毒信息更新，完成对新病毒的预防。

但是，当一种新型的计算机病毒出现时，没有较好的预防手段，一般都是病毒爆发之后才能引起人们的关注。由于新病毒发现和处理的不及时，不能直接对新病毒进行防范和预警，从而增加了终端用户的危险性。

发明内容

本发明实施例提供了一种病毒预警系统和方法，能够对新病毒进行防范和预警，有效的降低了终端用户的危险性。

第一方面，本发明实施例提供了一种病毒预警系统，该系统包括：处理模块、统计模块和分析模块，其中，

处理模块，用于对不同类型的正常数据进行处理获得各个类型对应的维护数据；

统计模块，用于对不同类型的网络数据进行统计获得各个类型对应的统计数据；

分析模块，用于针对每个类型的数据，将统计数据与维护数据进行对比，获得异常数据。

优选地，不同类型的数据包括但不限于端口会话数据、终端进程数据和终端URL访问数据。

优选地，对于端口会话数据，统计模块具体用于按照端口扫描和端口--端口通信两种方式进行统计；

对于终端进程数据，统计模块具体用于按照终端进程名进行统计；

对于终端URL访问数据，统计模块具体用于按照URL进行统计。

优选地，对于端口会话数据，分析模块具体用于将统计数据与维护数据进行对比，筛选出非正常端口扫描和异常端口--端口通信；

对于终端进程数据，分析模块具体用于将统计数据与维护数据进行对比，抓取统计数据中在维护数据中已知的危险进程、不明进程和在维护数据中未知的新进程；

对于终端URL访问数据，分析模块具体用于将统计数据与维护数据进行对比，抓取统计数据中在维护数据中出现的危险URL链接、不明URL链接和在维护数据中未出现的新URL链接。

优选地，该系统进一步包括：展示模块，用于展示分析模块获得的异常数据。

第二方面，本发明实施例提供了一种病毒预警方法，该方法包括：

S1：对不同类型的正常数据进行处理获得各个类型对应的维护数据；

S2：对不同类型的网络数据进行统计获得各个类型对应的统计数据；

S3：针对每个类型的数据，将统计数据与维护数据进行对比，获得异常数据。

优选地，不同类型的数据包括但不限于端口会话数据、终端进程数据和终端URL访问数据。

优选地，步骤S2的具体过程包括：对端口会话数据按照端口扫描和端口--端口通信两种方式进行统计、对终端进程数据按照终端进程名进行统计以及对终端URL访问数据按照URL进行统计。

优选地，步骤S3的具体过程包括：将统计数据与维护数据进行对比，对于端口会话数据筛选出非正常端口扫描和异常端口--端口通信、对于终端进程数据抓取统计数据中在维护数据中已知的危险进程、不明进程和在维护数据中未知的新进程以及对于终端URL访问数据抓取统计数据中在维护数据中出现的危险URL链接、不明URL链接和在维护数据中未出现的新URL链接。

优选地，在步骤S3之后，本方法进一步包括：展示获取的异常数据。

与现有技术相比，本发明至少具有以下有益效果：

(1)病毒扩散行为的定位方式全面，从端口扩散、进程扩散、访问域名URL扩散，多维度抓取病毒扩散行为，有助于快速定位病毒扩散行为进行逆向追溯处理；

(2)数据来源多样化，不同数据，不同分析方式，定位方法交叉互补。

(3)利用大数据技术，提升数据分类统计和数据分析效率，实现病毒扩散快速发现、快速定位。

附图说明

为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。