CN100530208C - 适于病毒防护的网络隔离技术 - Google Patents

Abstract

描述了在具有多个服务器计算机和相关联客户机装置的分布式网络中将受感染的客户机装置与未受感染的客户机装置隔离的方法。该方法通过以下步骤执行：将网络有关病毒感染信息相关；根据相关信息确定病毒发作是否出现；当确认病毒发作时，将受感染的客户机装置与未受感染的客户机装置隔离；监视网络中的所有数据分组是否有病毒；识别与病毒相关联的分组类型；以及仅仅阻止识别的分组类型。

Description

适于病毒防护的网络隔离技术

技术领域

本发明一般涉及使用计算机的信息分析和屏蔽，并且具体地说，涉及用于从传送的媒体截接和删除计算机病毒与蠕虫的配置和方法。

背景技术

随着因特网的日益普及，现有每天有成千上百万的用户从其主机连接到因特网以进行电子商务交易，执行信息搜索和/或下载可执行程序以增强其自己的主机的功能和性能。这些用户与其它主机服务器之间在因特网上的交互一般涉及传送一定量的数据，这些数据可包括静态可显示信息和可执行的计算机代码。一般而言，静态可显示信息指要在主机上显示的静态信息，而可执行代码或“可执行的”指配置为在主机上执行以执行某一任务的计算机指令。

通常，因特网的大部分可下载数据是有用或至少无害的内容材料。然而，存在着一类可执行代码，如果该类执行代码下载并在主机上执行，则可能对操作系统、硬件和/或主机的其它软件施以严重破坏。这些可执行文件包括通常所述的计算机病毒和/或蠕虫。

计算机病毒是一段通常伪装成其它内容的编程代码，它可导致一些意外且通常不良的事件(对于受害者而言)。病毒通常设计为可跨网络连接自动扩展到其它计算机用户。例如，通过将病毒做为电子邮件消息的附件发送，通过从其它网站下载受感染的程序设计，和/或通过从软盘或CD-ROM将它们导入计算机，均可传送病毒。处理电子邮件消息、下载文件或软盘的源应用通常意识不到病毒。一些病毒在其代码执行时施以其影响；其它的病毒处于静止，直至环境促使计算机执行其代码。一些病毒十分有害，导致硬盘需要重新格式化或以不必要的业务阻塞网络。

计算机蠕虫很类似于病毒，表现在蠕虫是一个小的软件，使用计算机网络和安全漏洞自身拷贝。蠕虫的副本扫描网络以检测是否另一机器具有特定的安全漏洞。安全漏洞一旦被发现，蠕虫便使用该安全漏洞而自身拷贝到新机器，然后使用新感染的计算机开始自身拷贝，以便感染连接到该计算机的其它计算机。虽然蠕虫不改变文件，但驻留在活动存储器中并自身拷贝，蠕虫使用自动且用户通常看不到的操作系统的部分。因此，通常只在蠕虫不受控制的拷贝消耗系统资源，从而减慢或停止其它任务时才受注意。

为防止蠕虫，计算机网络(如公司局域网或广域网)的用户和管理员长期以来采用了设计成检测和阻止蠕虫感染计算机系统的多种工具。例如，在公司局域网(LAN)中，网络管理员可采用代理服务器(置于LAN的主机与因特网之间)及各个计算机，以执行设计成防止蠕虫感染的多种防御策略中的任一策略。一个此类防御策略依赖计算机动作的行为监控。在行为监控中，保持了有关每个计算机采取的动作的历史数据库，该数据库随后由监控程序(启发式引擎)用于比较特定计算机执行的当前动作。在行为监控程序认为当前动作与历史标准实质上不同的那些情况下，行为监控程序将该特定的计算机标记为可能被蠕虫感染。一旦这样标记，便可采用适当的动作。

在每天防止计算机病毒和其它终端装置病毒的努力中，最终用户不断寻找接种的方式以防止此类病毒。由于常规的防病毒技术一般依赖已经识别的病毒，因此，即使对于防病毒防火墙和各种其它防病毒保护软件和协议严密防护的公司网络，一些病毒仍实现对网络的渗透和感染，从而造成极大的损害。具体而言，常规防病毒保护通常对防止已知的计算机病毒有效，但对阻止未知的病毒可能无效。因此，诸如连接到局域网(LAN)或广域网(WAN)的计算机等终端装置对于未知病毒一般无法使用常规防病毒软件而引用有效的防病毒保护。

连接到网络的终端装置或计算机受到渗透到网络中的未知病毒的攻击时，网络管理程序负责防护此类攻击并尽快将网络恢复到正常操作状态。网络中的准备程度取决于知道病毒成功渗透公司网络的概率。

入侵检测系统(IDS)产品通过扫描查找协议层中异常的网络分组而抵消网络类型的攻击，包括一种在主机基础IDS中称为应用行为监控(ABM)的方法。ABM跟踪了解目标应用的行为模式，并通过允许良性(已知)行业模式通过禁止或阻止未知或恶性的行为模式而保护网络系统。

常规防病毒软件设置特殊的警报级别以便网络系统的系统管理员及早检测到病毒发作。警报级别的设置变得很重要。如果警报级别设得太低，则可能引起错误的计算机病毒确定，从而使良性应用被错误地认为是病毒。如果警报级别设得太高，则某些计算机病毒将未被检测到并被允许进入网络。

常规防病毒软件仍依赖防病毒服务提供商的支持系统生成治疗措施。此类实践严重依赖服务提供商获得病毒样本、实施病毒分析、生成适当的治疗措施及将它们部署到最终用户方面的响应时间。虽然此类支持系统在某些级别可能有效，但某些最终用户(如公司网络的系统管理员)仍需要提供更佳提前时间和效率以防止计算机病毒突然发作的解决方案。

因此，在技术上需要一种克服本领域中至少上述缺陷的网络级别防病毒方法和系统。一般而言，在技术上需要一种具有用于预计和检测计算机病毒发作的多级别防病毒功能的防病毒方法和系统。具体而言，需要一种提供受感染客户机装置和还未受感染的客户机装置隔离的系统和方法。

发明内容

为实现上述需要，并且根据本发明的目的，描述了用于监控网络以查找计算机病毒的系统和方法。

在第一实施例中，描述了在具有多个服务器计算机和相关联客户机装置的分布式网络中将受感染的客户机装置与未受感染的客户机装置隔离的方法。该方法通过以下步骤执行：将网络有关病毒感染信息相关；根据相关信息确定病毒发作是否出现；当确认病毒发作时，将受感染的客户机装置与未受感染的客户机装置隔离；监视网络中的所有数据分组是否有病毒；识别与病毒相关联的分组类型；以及仅仅阻止识别的数据分组。

在另一个实施例中，描述可在具有多个服务器计算机和相关联客户机装置的分布式网络中执行的计算机程序产品、用于将受感染的客户机装置与未受感染的客户机装置隔离的计算机程序产品。上述计算机程序产品包括：用于将网络有关病毒感染信息相关、根据相关信息确定病毒发作是否出现的计算机代码；用于在确认病毒发作时将受感染的客户机装置与未受感染的客户机装置隔离的计算机代码；用于监视网络中的所有数据分组是否有病毒的计算机代码；用于识别与病毒相关联的分组类型的计算机代码；用于仅仅阻止识别的数据分组的计算机代码；以及用于存储代码的计算机可读媒体。

附图说明

通过参照结合附图的以下说明，可最好地理解本发明及其其它优点。

图1显示根据本发明实施例，具有网络病毒监视器的分布式网络；

图2是具有活动网络病毒监视器的图1所示分布式网络；

图3显示图1的分布式网络，由此网络病毒监视器在登记所有连接的客户机装置；

图4显示图3的分布式网络，由此网络监视器在备用模式操作并标记了病毒事件；

图5显示图2的分布式网络，由此网络病毒监视器内联模式操作；

图6A-6B显示根据本发明实施例，具有由于病毒发作和病毒清洁过程而产生的分割部分的示范分布式网络；

图7显示根据本发明实施例的示范病毒结构和相关联的防病毒结构；

图8显示根据本发明实施例的示范病毒监视器；

图9显示在备用模式操作的图8病毒监视器；

图10显示在备用模式操作的图9所示病毒监视器的示范安全模块和文件扫描模块；

图11显示在内联模式操作的图9所示病毒监视器的示范安全模块和文件扫描模块；

图12显示根据本发明实施例的一个流程图，详细介绍了用于监视网络以检测病毒的进程；

图13显示根据本发明实施例的一个流程图，详细介绍了用于将暂时的新客户机装置引入网络的进程；

图14显示根据本发明实施例的一个流程图，详细介绍了用于将非暂时的新客户机装置引入网络的进程；

图15显示根据本发明实施例的一个流程图，详细介绍了网络段隔离进程；

图16显示根据本发明实施例的一个流程图，详细介绍了病毒清洁进程；

图17显示根据本发明实施例的一个流程图，详细介绍了用于为一组受感染计算机执行自动病毒清洁/治疗措施的进程；

图18显示根据本发明实施例，用于自动治疗和清洁的进程；

图19显示用于执行本发明功能的计算机系统的系统方框图，功能包括对怀疑有计算机病毒、蠕虫的数据分组进行扫描、删除、截断和隔离等。

具体实施方式

现在将详细参考本发明的优选实施例。附图中示出优选实施例的一个示例。虽然结合特定的实施例描述了本发明，但可理解，这不是要将本发明限制为该具体实施例。与此相反，这是要涵盖可包括在如所附权利要求书定义的本发明精神和范围内的替代、修改和等同物。

在网络级别上，常规防病毒软件仍依赖防病毒服务提供商的支持系统生成治疗措施。此类实践严重依赖服务提供商获得病毒样本、实施病毒分析、生成适当的治疗措施及将它们部署到最终用户方面的响应时间。虽然此类系统在一些级别上可能有效，但某些最终用户(如公司网络的系统管理员)仍需要提供更佳提前时间和效率以防止计算机病毒突然发作的解决方案。这是特别重要的，因为网络的大小在增加，并且为网络中的每个组件包含防病毒软件的可行性费用高得无人问津。另外，一旦计算机违反了网络的完整性，识别和清洁受影响计算机均将极为困难、耗时和昂贵。这特别有意义，因为所有受感染的计算机必须被识别、清洁和接种以防止将来感染。

因此，本发明描述了一种网络级别病毒监视系统，能够根据系统管理员的具体需要以多个检查模式中任一模式监视网络业务流。监视提供了病毒攻击的早期警告，从而有利于针对遏制病毒发作的隔离过程。通过提供此类早期警告，网络病毒监视器减少了最终受病毒攻击影响的计算机数量，伴随的是减少了系统修复成本和停机时间量两者。这样，本发明的网络病毒监视器在系统正常运行时间提高和系统损失降低方面提供了大大改进。在此类系统包括在具有多个服务器计算机和相关联客户机装置的分布式网络中时，为提高其效率，所述系统包括耦合到网络病毒/蠕虫感测器的网络病毒感测器自登记模块，被安排成自动自行登记相关联的网络病毒/蠕虫感测器。

在本发明的一个实施例中，监视系统包括耦合到多个互连计算装置的分布式网络的病毒监视装置。在所述实施例中，病毒监视装置包括安排成检测网络的业务流中网络计算机病毒的病毒监视器。监视装置也包括耦合到网络监视器的网络计算机病毒发作警告单元，被安排成提供网络计算机病毒的早期警告。对网络计算机病毒发作警告单元作出响应的网络计算机病毒警告响应单元被安排成隔开受网络计算机病毒影响的网络段，或者阻止网络计算机病毒。

现在将在互连客户机装置的网络情境中描述本发明。此类客户机装置可包括台式计算机、膝上型计算机、诸如个人数字助理(或PDA)的瘦客户机装置、嵌入式设备等。虽然是使用互连计算机和计算装置的网络描述，但本发明的范围和意图扩展到病毒和/或蠕虫发现值得攻击的所有那些装置。此外，仅为此论述起见，互连装置彼此通过基于分组的通信协议进行通信。此类协议包括本领域熟知的TCP(传输控制协议)/IP(因特网协议)。TCP是规则集，与IP一起使用以便通过因特网在计算机之间以消息单元形式发送数据。虽然IP负责处理数据的实际输送，但TCP负责留意消息分割成的各个数据单元(称为分组)以便通过因特网有效路由。

例如，在超文本传送协议(HTTP)文件从Web服务器发送时，该服务器中的传输控制协议(TCP)程序层将文件分成一个或多个分组，为分组编号，然后将它们各个转发到IP程序层。虽然每个分组具有相同的目的地IP地址，但它可通过网络不同地路由。在客户机计算机处的另一端，TCP层将各个分组重新组合，并一直等到它们到达以便将它们作为单个文件转发。然而，应注意的是，本发明很适合与如SMTP之类的其它通信协议配合使用。

因此，图1显示根据本发明实施例的在具有网络病毒监视器102的分布式网络100上实现的病毒监视系统。如图所示，网络100是包括多个单独的客户机装置104-116的分布式计算环境。客户机装置可采用任一计算装置形式，具有易受计算机病毒或蠕虫攻击的机上存储器。此类装置包括但不限于计算机(台式和膝上型)和诸如个人数字助理(PDA)的手持式瘦客户机装置。

通常，网络使用地区分类、管理分类和详细的信息划分为分层结构。分层结构因此以具有多级别的图形式显示。因此，网络100按照具有三层分层结构的分层网络体系结构来构建。在此特定体系结构中，各种多服务交换机用于在网络的第一层(即，例如因特网骨干)提供用户服务。

层1交换机(显示为交换机118)可用于合并来自许多用户的业务，并且也可执行根据网络体系结构的业务整形。一些情况下，层1交换机118随后可连接到层2交换机120，而层2交换机120又连接到层3交换机122，从而提供进一步的业务集中。这样，分层体系结构提供扩展网络可缩放性的模块化方式，使电信公司能够在用户要求需要时向网络拓扑增加交换能力。因此，根据包括第1层、第2层、第3层等的多层网络描述网络100。例如，客户机装置104-116形成最低级别层(即，第3级)，而病毒监视器102形成下一更高阶层(即，第2级)等。

除提供可缩放性外，网络100的分层体系结构提供网络病毒监视器102的拓扑有利定位。例如，在目前的情况中，病毒监视器102位于层2交换机120与各种客户机装置104-116耦合到的更低级别层3交换机122之间。这样，层2交换机(例如，可直接耦合到因特网骨干)与任一层3交换机之间的所有网络业务可由任一客户机装置前某一点的病毒监视器102监视。通过提供防止可能病毒攻击的壁垒，病毒监视器102为病毒检测、病毒发作保护及需要时的病毒发作清洁和恢复提供了焦点，而这又有效地防止各种客户机装置受到病毒的攻击。应注意的是，入坞端口125可包括在网络100中，安排成接受暂时或访问者客户机装置。

在所述实施例中，每个病毒监视器102耦合到控制器126，而控制器又耦合到服务器计算机128(或多个服务器计算机)，每个服务器计算机可配置为具有诸如下面以一定细节描述的监视器、键盘和鼠标等各种用户接口装置的独立服务器计算机。在所述实施例中，服务器计算机128是网络可连接的计算机或服务器装置，如运行UNIX操作系统的工作站，或运行Windows NT^TM或Windows XP^TM操作系统的计算机。控制器126包括用于存储和获得多个检测规则以检测计算机病毒的规则引擎130和发作防护政策(OPP)分配与执行引擎132，该引擎132提供适合系统管理员使用以防止病毒发作及修复病毒发作引起的任何随后损害的防病毒政策、协议和过程集。应注意的是，在规则引擎130和在OPP分配与执行引擎132中出现的检测规则、政策和过程可根据需要，通过服务器计算机128定期更新。

另外，控制器126(一些情况下可能位于分开的位置)也用于在某种程度上基于观察到的异常事件的统计结果，确定不同监视器102观察到的异常事件是否可能为计算机病毒。另外，服务器128可提供从已知和未知但随后被分析的那些病毒衍生并基于那些病毒的病毒清洁代理。这样，即使在以前未知的病毒代理攻击网络100的各个组成部分的那些情况下，服务器128提供的病毒分析可有利于隔离操作(通过网络分段协议)和随后的病毒清洁(通过病毒清洁代理)与修复(通过病毒修复代理)。除提供缓和或治疗服务外，服务器128也能够提供用于在那些受感染的计算机(但随后被清洁)和那些未受感染但易受到病毒代理将来攻击的计算机上防止将来攻击的病毒接种代理。在所述实施例中，一些客户机装置也可包括存储用于检测计算机病毒的规则信息和参数的客户机规则集(CRS)134。应注意的是，存储在CRS 134中用于检测计算机病毒的规则信息和参数可预安装在每个装置中，或者如果不存在，可直接通过服务器128或通过控制器126和/或病毒监视器102下载到该特定客户机。

在安装阶段期间(或初始化阶段期间)，通过收集某环境信息(如所有相关客户机装置的IP地址)及网络100内的自配置，例如，通过自身为病毒监视器102确定适当的IP地址，每个病毒监视器102进行自身登记。除自身登记外，病毒监视器102将搜索适当的控制器126(例如，如最近的控制器)，一旦找到后，便相应地向它登记。

具体参照图2，一旦病毒监视器102完成安装和/或登记进程，控制器126便从服务器128接收最新政策和过程集的更新OPP文件135和最新病毒检测规则的规则集136(如果需要)。一旦控制器126接收后，OPP文件135和规则集136便转发到每个病毒监视器102，以便在认为适当时提供最新的规则和病毒过滤器和模式。例如，OPP文件135由OPP分配与执行引擎132用于应用适当的病毒政策(如，要扫描是否有病毒的特定文件类型)，而规则集136由规则引擎130用于实践特定的病毒检测规则。应注意的是，在任一操作平台中可配置各种监视器、控制器和服务器。例如，此类平台包括嵌入式Linux、基于PC的Linux或Windows(如上所述)，并且在一些情况下需要更高级别资源时，可使用Sun SPARC^TM平台等。

一旦各种病毒监视器102通过最新的规则和政策进行更新，病毒监视器102便将执行防病毒安全政策执行过程，由此耦合到病毒监视器102的每个客户机装置被查询，以便确定该客户机装置是否安装了适当和正确的防病毒软件。此类适当的防病毒软件可包括诸如加利福尼亚州库珀蒂诺(Cupertino)的Trend Micro等任意多个公认供应商的任何公认防病毒软件等。然而，应注意的是，任何时候耦合新客户机装置到病毒监视器102时，也将以类似的方式查询新连接的客户机装置。

在发现客户机装置未安装适当的防病毒软件的那些情况下，病毒监视器102具有任意数量的选择用于响应。大多数情况下，病毒监视器102将引导目标客户机装置(即，发现没有适当的防病毒软件的客户机装置)到防病毒安装服务器138(这实际上可以为服务器128)，并阻止到/自目标客户机装置和所有其它地址的所有业务，直至已正确安装了适当的防病毒软件时。

例如，病毒监视器102-1发送查询140到每个客户机装置110-116，请求确认每个客户机中已安装如OPP文件135中包含的政策所确定的适当的防病毒软件。在收到查询140后，每个客户机装置检查实际上存在适当的防病毒软件的确认。如果假设就客户机装置116而言，确定不存在软件或者安装的软件不适当(例如，基于OPP文件135中的政策)，则客户机装置116只会被引导到防病毒软件安装服务器138而不是其它位置。此时，可选择在客户机装置116上显示用户界面，指出在安装正确的软件前，客户机装置116将无法与其它系统进行通信。然而，应注意的是，可使用由于其加密而基本上对病毒感染免疫的一些传输协议(如HTTPS)。

一旦在客户机装置116中已安装适当的防病毒软件，病毒监视器102-1便释放对用于客户机装置116的通信信道的锁定。这样，客户机装置116可以与网络100的其它装置进行通信。

在临时用户要连接到网络100的那些情况下，必须确定访问者客户机装置是否符合当前政策和规则。一般情况下，建议不要授予临时用户使用防病毒软件的许可，因为这不但成本高，而且将限制用于其它用户的可用许可数量。从访问者的立场而言，只在有限的时间安装防病毒软件也不合需要，因为软件可能与计算机上已经存在的防病毒软件有抵触，和/或需要难以得到的计算资源。因此，在来访者客户机装置要连接到网络的那些情况下，需要另一种方案。

具体而言，在本发明的特定实施例中，如图3所示，来访者连接到在此之前未知(对网络100)的客户机装置125时，病毒监视器102将查询来访者客户机装置125是否存在适当的防病毒软件。如果确定来访者客户机装置125未安装适当的防病毒软件，则在病毒扫描服务器模块142(这可能是或不是防病毒软件安装服务器138的一部分)扫描来访者客户机装置125的存储器前，到除防病毒软件安装服务器138外所有其它地址的访问均被阻止。

一旦来访者客户机装置125已被认为是无计算机病毒，则病毒扫描服务器142将使用令牌144传递到来访者客户机装置125。使用令牌144一般在有限的时间量(例如，1小时)内有效，在此之后，令牌必须重新验证。然而，在使用令牌144有效的时期期间，到/自来访者客户机装置125的所有信道均开通，并可用于传递网络业务。为重新验证使用令牌144，来访者计算机125必须请求新令牌，新令牌在一定程度上是基于来访者客户机装置125仍保持无计算机病毒(或蠕虫)的确定而授予。

此时，所有客户机装置(包括任何来访者客户机装置)已被确认为具有适当的防病毒软件(或具有有效的使用令牌)，并且病毒监视器102准备开始监视网络业务是否存在计算机病毒(和/或蠕虫)。

通常，病毒监视器102根据政策和规则监视网络100的活动是否有异常事件，并在检测到异常事件时生成异常报告，该报告随后传送到控制器126。在一些实施例中，控制器126确定用于检测到的异常事件的警报级别，而在其它实施例中，控制器126将异常事件信息转发到服务器128，服务器128将评估数据，并在确定适当时将发送早期病毒警告到网络100中的其它病毒监视器。一些情况下，异常报告数据被转发到病毒攻击警告服务器，该服务器决定采取的动作过程以便防止病毒扩散。此类动作过程包括是否隔离网络100受影响的段，生成并分配病毒清洁代理到受影响的段，对网络中的其它计算机接种以防止病毒扩散，并最终在可能时修复病毒发作引起的所有损害。

为保护网络100，病毒监视器102持续监视网络业务是否有可能的病毒攻击。任一网络首要的考虑事项之一是可用带宽，表现在如果完全可能的话必须避免不必要地限制带宽(即，不受阻碍的网络业务流)的任何事物。因此，为将对网络业务流的影响降到最低(并因此保存带宽)，病毒监视器102初始设为在称为备用模式的模式下运行。通过备用模式，意味着允许基本上所有数据分组继续在网络100中流动，具有警告，即病毒监视器102将使用分组的拷贝以确定是否存在病毒。

参照图4，病毒监视器102在备用模式中监视构成网络业务流(表示为网络业务流T₁)的数据分组流。这样，网络100的带宽受到影响最小，因为网络业务流在病毒监视器102之前和之后均实质上保持恒定。实际上通过拷贝所有数据分组并使用拷贝的数据分组进行其分析，病毒监视器102监视网络业务(即，组成数据分组)，实现这种网络带宽保存。这样，实际上不会有由于病毒监视器102的动作而导致的数据分组丢失。在一些实施例中，确定数据分组类型，并基于该分组类型，只拷贝被认为易受病毒攻击的那些分组类型。这样，执行病毒监视所需的资源仅限于为适当监视业务流所需的资源。

在病毒监视器102检测到一个或多个数据分组中可能的病毒的情况下(或在可能的入侵者攻击在进行的情况下)，病毒监视器102生成事件标志。此事件标志使用规则集136和OPP文件135，提供基于检测到的病毒的信息及任何其它被认为有用的数据。一般情况下，事件标志直接传递到控制器126，而控制器126在一些情况下可将事件标志转发到服务器138以做进一步分析和/或部署任何补救行动，若有的话。

在一些情况下，事件标志表示的可能威胁太严重，因此，如图5所示，病毒监视器102的操作模式立即从备用模式更改为称为内联(inline)模式的模式，而无需控制器126的干涉。在内联模式中，业务流T₁中的所有数据分组被分析而不进行拷贝，这样，确定为(或怀疑为)受感染的那些数据分组不许传回到业务流中(这种情况下，T₁大于T₂)。在此情况中，病毒被禁止传递到网络100和遍及网络100。在事件本身不会触发病毒监视器102而将操作模式更改为内联模式的其它情况下，来自控制器126的模式更改命令502或来自服务器128的模式更改命令504用于触发模式更改。这样，在速度对遏制可能病毒发作非常重要的那些情况下，本发明的防病毒系统具有向病毒监视器授权的额外优点。另一方面，在威胁不太明显或需要进一步分析的那些情况下，确定威胁可能性和执行防卫计划的责任可集中在更高级别的分析引擎中(例如，如系统管理员)，从而减少误报警和不必要的系统关闭。

应注意的是，虽然在各个图中未明确显示，但病毒监视器的数量可以多达适当监视业务流所必需的数量。因此，在初期病毒攻击的情况下，极其需要尽可能快地确定病毒攻击的范围和攻击成为普遍的病毒发作从而威胁整个网络100完整性的概率。

因此，在相关联业务流中检测到病毒的每个病毒监视器102将发送对应的事件报告到相关联的控制器126。各个控制器又将各个事件报告转发到服务器128，在服务器中它们被整理和分析以便确定是否应生成病毒警告508。在生成病毒警告的情况下，病毒警告506发送到服务器128已确定最可能受病毒发作影响的那些控制器126。这样，任一系统管理员可查看网络100的当前状态，并获悉对系统总体或对可能视为重要段的选定段的可能威胁。

一旦已确定病毒发作在进行中，服务器128(或一些情况下，一个或多个控制器126)便将开始尝试使用多种工具遏制病毒发作。一个此类工具称为网络段隔离，该工具正如其名一样，从物理上将被认为受病毒影响的网络100的那些段与被认为最可能不受影响但可能受病毒威胁的那些段隔开。例如，在图6A中，控制器102(如此示例中服务器128所指)设立了网络段隔离协议，由此，网络段602已与网络100其余部分隔开。段602包括所有客户机装置104-125(包括可能恰巧在该时连接到网络100的任何来访者装置)。一旦隔开后，来自受影响客户机装置的所有业务便不再可随意流过整个网络，以便遏制病毒。一旦多个客户机装置已被识别为极可能受病毒V危害(如此例子中的客户机装置104和106)，则受影响的客户机装置受到限制，这样，每个受影响的客户机装置甚至被禁止与受影响网络段中那些客户机装置进行通信。例如，受影响的客户机装置104和106只可彼此进行通信，而不可与网络段602中其它客户机装置108和125进行通信。

一旦识别了受影响的计算机，便将识别病毒清洁代理，该代理在使用时具有清洁受影响的计算机、为清洁的计算机接种以防随后的感染和对未受影响但受到威胁的计算机接种以防病毒感染的作用。

每个病毒至少有两个组成部分，并更可能有三个组成部分。图7说明代表性的计算机病毒结构700。一般情况下，病毒结构700包括检测模块、感染模块和作为在感染的计算机上执行的动作的有效载荷。有效载荷表示病毒与复制分开地执行的那些动作。有效载荷可能从烦人(例如，WM97/Class-D病毒，它重复显示诸如“I think′username′is a big stupidjerk”的消息)到灾难(例如，CIH病毒，它尝试改写Flash BIOS，这对一些机器会导致无法修复的损害)不等。

然而，在有效载荷有机会造成任何损害前，计算机病毒必须引入计算机中。此动作由检测模块702和感染模块704的动作实现。检测模块702确定某个特定的计算机是否已经被病毒V感染。如果尚未感染，则病毒V被引入该计算机的适当部分，在该部分感染(或有时称为复制模块或部分)会接手以尽量经常复制病毒V。一旦病毒V被成功引入和复制，每个病毒实例便将执行其相关联的有效载荷部分706以损害计算机系统。

然而，根据本发明的一个实施例，可使用病毒结构700开发防病毒代理710，该代理具有清洁受影响计算机，对那些计算机(和其它计算机)接种以防随后的感染和在需要时修复执行的病毒有效载荷部分706造成的任何损害的作用。为实现这些目标，防病毒结构V1使用修改(即使从病毒V的立场而言可识别)的病毒结构710。例如，防病毒检测模块712仍识别受病毒V影响的那些计算机，但不同于病毒检测模块702，防病毒检测模块712通过引入防病毒感染模块714而继续感染进程。这样，原病毒V由防病毒V1改写，由此设置最终的清理和修复阶段。一旦防病毒V1被引入，防病毒V1有效载荷部分716便修复由原病毒V造成的任何损害。应注意的是，防病毒V1的导出直接与原病毒V的结构相关(更象与相关联生物病毒相关的抗体)，并因此对防止特定的病毒、病毒类或组有效。

再参照图6A，一旦受影响的客户机装置已被识别并隔开，服务器128便释放并引导防病毒代理V1到受影响的计算机(在此示例中为客户机装置104和106)。防病毒代理V1继续识别网络段602中的所有计算机，并开始系统性地“感染”网络段602中的所有计算机。对于受感染的客户机装置104和106，防病毒V1的检测模块712忽略每个装置已经感染了计算机病毒V的事实，并继续用防病毒代理V1“感染”这些装置。防病毒V1随后继续改写计算机104和106中的原病毒V，并执行修复有效载荷部分716。修复有效载荷716的作用同样取决于原病毒V造成的特定损害，并因此具体链接到病毒V和任何相关的病毒。但在任一情况下，已清洁和修复的计算机随后由防病毒V1接种，这样，病毒V或相关病毒的随后感染不可能。

对于病毒V未感染的那些计算机，防病毒代理V1用于对那些计算机接种(或可以说“锁上门”)以防计算机病毒V的随后感染。一旦确定网络段602中的所有计算机已清洁、修复和接种，或只进行了接种，便结束对网络段602(并且更重要的是以前感染了计算机病毒V的客户机装置104和106)的隔离。然而，有时要决定是否对网络100中的所有客户机装置接种以防止病毒V。决定必须考虑计算机病毒V的毒性、计算机病毒V的影响和至少部分由接种进程造成的网络100中断的任何可能性。此决定可在系统管理员级作出，或在一些情况下，可基于OPP中设置的标准作出。

例如，参照图6B，它示出针对已被病毒V感染的多个受感染客户机装置(即，客户机装置104和106)的防病毒代理V1。另外，多个在此之前未受感染的客户机装置(即，108、125和110-114)已被防病毒代理V1接种以防止病毒V的将来感染。

病毒监视器

现在转到病毒监视器102的具体实施，可是要注意所述实施例只是示范而不限制本发明的范围或意图。

相应地，图8说明病毒监视器800，作为病毒监视器102的一个可能实现。相应地，病毒监视器800包括通过网络接口804耦合到网络100的业务控制器802，网络接口804包括入侵者检测系统(IDS)模块806，用于评估可能的入侵者攻击。此类基于入侵者的攻击包括拒绝服务(DoS)攻击，由此，在短时间内向特定的服务器计算机发出大量的请求，导致受攻击的服务器计算机无法给其它合法请求者提供访问。IDS模块806基于单位时间间隔内在病毒监视器800的数据业务流的量而确定相关联的警报级别，如果数据业务流的量在预定时期内大于预定值，则这被指定为异常。

一般情况下，主机基础IDS(未示出)将警报阈值设得很高以减少检测病毒中的误报警率，这会导致在处理病毒发作方面的效率低和不灵活。与此相反，协作防病毒系统采用多级别警报阈值，最高的警报阈值类似于主机基础IDS的阈值。在最高阈值下，至少保持两个更低的阈值以将不同级别的可能病毒发作的活动分组。在这方面应注意的是，在一些实施例中，业务控制器802可以是分布式类型控制器，并可位于远程位置。远程位置是指业务控制器802可作为分立组件实施，每个组件彼此进行通信但不在同一物理容器内。然而，在所述实施例中，业务控制器802作为单独的组件包括在适当部署以监视网络100的更大装置(如病毒监视器102)中。

连接到业务控制器802的是安全模块808，它被安排应用所有相关的政策和规则(例如，如通过控制器接口810和控制器链路812由控制器126提供的一样)。安全模块808还提供某个特定的数据分组是否为可能受计算机病毒感染的类型的确定。例如，不太可能的是，加密类型的数据分组(如遵循HTTPS协议的那些)可能被病毒感染并因此不被传递以由文件扫描模块814进行分析。

在操作上，数据分组将被业务控制器802引导到安全模块808。在病毒监视器800处于备用模式时数据分组可以是原数据分组的拷贝，或者在病毒监视器处于内联模式时数据分组可以是原数据分组(两者均在下面更详细地描述)。一旦在安全模块808上，安全模块808便基于OPP文件135和规则集136中包括的组合政策，决定该数据分组是否为最可能受某个特定病毒影响的分组。如果安全模块808确定所述数据分组需要进行病毒扫描，则数据分组被传递到文件扫描模块814以便进一步分析。应注意的是，通过使用安全模块808已知的病毒或蠕虫的特征，文件扫描模块814用于扫描任一特定文件是否有如安全模块808确定的任一病毒和/或蠕虫。在任一点上，任一模块(即，业务控制器802、安全模块808或文件扫描模块814)可实时提交报告，或作为日志提交报告，或两者，从而提供有关其操作和结果的细节。在多数情况下，病毒监视器800响应选择信号S，在操作上设为所述的备用模式。

图9显示根据本发明实施例，在备用模式的病毒监视器800的特定示例。在备用模式时，业务控制器802中包括的或与其耦合的数据分组拷贝器单元902拷贝通过网络接口804从网络100传送的每个数据分组。应注意的是，在一些实现中，在预期到达数据分组拷贝器单元902前，数据分组类型分析在数据分组类型分析器(未示出)执行。在一些情况下，如果某个特定数据分组类型被视为不太可能受某个特定计算机病毒的影响，则该数据分组不被拷贝而只是在网络业务流中在其路径上发送，从而保存计算机资源以用于被视为更有问题的那些数据分组。

所述数据分组一旦由数据分组拷贝器单元902拷贝，便只传递拷贝的数据分组到安全模块808以进一步分析。然而，应注意的是，即使在拷贝的数据分组被确定为感染有病毒的那些情况下，原数据分组仍保持在网络业务流中，造成可能的感染威胁。为此，可选择在内部将病毒监视器800立即切换到内联模式，而无需控制器126基于文件扫描单元814执行的分析进行干预。

图10显示作为图9的病毒监视器900的特定实施例的病毒监视器1000的一部分。在所述实施例中，安全模块808包括安排成从数据分组拷贝器单元902接收拷贝的数据分组的分组协议确定器1006。应注意的是，在一些实施例中，拷贝的数据分组可在数据分组确定器1002获得前存储在数据缓冲器中。这样，病毒监视器900可利用由于数据分组流的管道输送而具有的所有优点。分组协议确定器1006的目的是为数据分组协议类型评估接收的数据分组。例如，数据分组协议类型可以是任意数量的协议，如HTTP、HTTPS、IMAP、POP3、SMTP等，并非所有这些协议易受计算机病毒的感染。因此，一旦已识别数据分组协议类型，比较器单元1008确定是否应由文件扫描模块1004进一步处理数据分组，或在多数情况下，将其废弃到垃圾收集单元1010。用于确定的基础一般情况下在OPP文件135中或规则集136中，任何时候需要时可根据需要更新OPP文件135或规则集136。

在比较器单元1008确定数据分组应由文件扫描模块1006扫描的情况下，数据分组传递到病毒扫描单元1012，该单元确定数据分组是否已被病毒感染。此确定例如是基于比较数据分组与特定病毒或病毒组的已知模式。在发现数据分组无任何病毒的情况下，数据分组被丢弃在垃圾收集单元1010，而如果发现数据分组感染有病毒，则在病毒分析器单元1014分析病毒。在所述实施例中，病毒分析可包括将病毒解析成其构成部分，从而暴露病毒的有效载荷部分。这样，最终可产生对清洁和修复均有用的防病毒代理。在一些情况下，病毒警告模块1016可选择将病毒警告1018发送到控制器126。病毒警告具有将可能的病毒攻击通知其它监视器及其相关联控制器以尝试挫败可能的病毒发作的作用。这样，可减轻病毒发作的任何影响。病毒分析器1014得出的分析又呈送给控制器126以便在需要时由服务器129进一步整理、相关和共同研究。

除在备用模式操作外(以保存网络带宽)，在需要进行数据分组的全面分析和筛选时，也可选择在内联模式操作病毒监视器102。虽然，内联模式通过强制几乎所有数据分组通过病毒监视器102而稍微减少带宽，但由于任何感染的数据分组不会返回网络100(如在备用模式情况下一样)，而是与网络100隔开以进行分析并最终丢弃在垃圾收集单元1010，因此，病毒发作可有效地被遏制。相应地，图11显示了根据本发明实施例，用于在内联模式操作的病毒监视器1100。在内联模式操作时，病毒监视器1100禁用了数据分组拷贝器单元902，这样，所有数据分组直接发送到安全模块808。在安全模块808确定了某个特定数据分组不是可能被某个特定病毒影响的分组的那些情况下，该数据分组通过网络接口804传回网络100。另一方面，那些被认为更可能受影响的数据分组直接传递到文件扫描模块814。未发现病毒的那些数据分组通过网络接口804被送回网络业务流，而发现被病毒感染的那些数据分组被保留以便进一步的分析、垃圾收集、隔离等。在一些情况下，文件扫描单元1104将发出指示执行的病毒分析的病毒报告1106。一般情况下，报告1106将转发到控制器126以便进一步分析和与整个网络100内其它病毒监视器生成的其它报告相关。

流程图实施例

现在将根据多个流程图描述本发明的方法，每个流程图描述实现本发明的特定进程。具体而言，图12-18描述了多个相互关联的进程，在单独或以任意组合方式使用时描述了本发明的各个方面。

图12显示根据本发明实施例的一个流程图，详细介绍了用于监视网络以检测病毒的进程1200。进程1200从1202开始，在任意数量的适当位置将病毒监视器连接到网络。一般情况下，这些位置是为病毒监视器提供对与其耦合的所有计算装置最大可视性的那些位置。例如，一般情况下，在层2与层3交换机之间耦合病毒监视器为随后的病毒监视提供了良好的有利点。一旦病毒监视器已连接到网络，在1204病毒监视器自身登记。此类自身登记包括在与病毒监视器相关联的网络中识别位置(如IP地址)和/或识别最近控制器的位置。一旦控制器已定位，在1206病毒监视器将自身链接到定位的控制器，在该处，病毒监视器在1208调用初始化过程。一般情况下，初始化过程包括通过控制器从服务器计算机下载规则集和发作保护政策(OPP)文件。

一旦初始化程序完成，在1210病毒监视器便监视网络业务(即，一般情况下的数据分组流)是否有多个和多种网络病毒中的任一病毒。如果在1212检测到病毒，则在1214识别或分析检测到的病毒以提供身份(如果是在此之前未知的病毒)。一旦病毒已被分析和识别，在1216控制器获悉病毒的身份。此时，控制器实质上同时执行多个操作中的任一操作。此类操作包括在1218重置病毒监视器以提供过滤类型监控，这样，确定为受病毒感染的数据分组不会被传回网络业务流。在所述实施例中，此特定模式称为内联模式，与最初初始化的备用模式不同，在备用模式中，拷贝数据分组以进行分析，从而允许原数据分组返回网络业务流。

除将病毒监视器从备用模式设为内联模式外，控制器在1220识别受影响或最可能受影响的那些客户机装置，并在需要高安全级别的那些情况下，控制器在1222将所有病毒监视器的所有病毒通知相关。基于受影响或可能受影响的客户机装置的识别和接收的病毒通知的相关，控制器在1224将确定为受影响和可能受威胁的那些客户机装置隔离。在1226，确定是否可自动治愈病毒。自动治愈病毒是指从受影响的计算机消除病毒，并自动修复任何损害。在一些情况下，所有客户机装置被接种以防受病毒或相关病毒的进一步感染。如果确定无法自动治愈病毒，则在1228手动清洁受影响的客户机装置，例如，在计算机蠕虫的情况下重新引导计算机系统，或在最糟的情况下，重新格式化受影响计算机的硬盘。

另一方面，如果确定受影响的计算机可自动治愈，则在1230，自动清洁受影响计算机，从而结束进程1200。应注意的是，在无法以及时和节省成本的方式治愈计算机的病毒的不太可能的情况下，因此受影响的计算机将与网络断开连接以便保持剩余互连装置的完整性。

在来访者客户机装置连接到受监视网络的那些情况下，通过使用根据本发明实施例的图13所示的流程图中详细介绍的进程1300而将来访者客户机装置引入网络。相应地，进程1300从1302开始，来访者客户机装置连接到受监视的网络的一部分中包括的来访者端口。在1304，确定来访者客户机装置是否符合包括可接受防病毒软件的最新网络防病毒政策。如果确定来访者客户机装置确实符合，则在1306符合的来访者客户机装置被授予暂时使用令牌，如使用令牌的条款和条件中所述一样，使用令牌提供有限时间量的网络访问。此类条款和条件可包括各种授权级别、安全级别等。一般情况下，使用令牌是用于持续的时期，并且不累计，因此，将来访者端口的可用性损失限制为只在该时期。

另一方面，如果来访者客户机装置被确定为不符合，则在1308来访者客户机装置被扫描是否有任何活动或潜在的病毒感染。如果在1310被扫描的来访者客户机装置通过病毒扫描，则在1306授予来访者客户机装置使用令牌，否则在1312确定是否要继续将来访者客户机装置连接到网络。如果连接要结束，则进程1300结束而不连接，然而，如果连接要继续，则在1314受感染的来访者客户机装置被清洁并修复任何损害，之后，控制传递到1306，在该处授予来访者客户机装置使用令牌。

一旦授予了使用令牌，在1316便授予对网络的访问，在此期间，在1318定期检查使用令牌的有效性。在已确定使用令牌无效的那些情况下，则在1320确定是否请求了新使用令牌。如果请求了新的使用令牌，则将控制传回1308以扫描来访者客户机装置，确保病毒未感染请求的装置，否则，进程1300正常结束。

在一些情况下，新客户机装置会永久性添加到网络(与来访者客户机装置的暂时添加不同)，这种情况下，图14所示的进程1400随后确保符合防病毒安全政策。相应地，进程1400从1402开始，识别要添加到网络的新客户机装置。识别一般包括识别系统的类型、常驻操作系统、安装的防病毒软件(如果有)、网络地址(如IP地址)等。一旦正确识别了新客户机装置，在1404便确定正确的防病毒政策和协议集是否在适当位置。此类防病毒政策和协议包括正确的防病毒软件、过滤器等。此类适当的防病毒软件可包括诸如加利福尼亚州库珀蒂诺(Cupertino)的TrendMicro等任意数量的公认供应商的任何公认防病毒软件等。

如果确定新客户机装置确实在适当位置具有正确的防病毒政策和协议，则在1406，检索选定的装置信息。此类信息可与客户机装置的识别及有关网络连接的任何其它适当的信息相关，并且新客户机装置在1408连接到网络。

另一方面，如果确定正确的防病毒政策和协议没有在适当位置，则在1410，阻止除到防病毒软件安装服务器的访问外到所有其它地址的所有访问。一旦在1412授予对防病毒软件安装服务器的访问，在1414便确定是否要下载适当的防病毒软件到新来访者装置。如果确定不下载防病毒软件，则进程1400结束，新客户机装置不连接到网络。否则，控制传递到1406，并最终传递到1408，在该处，新客户机装置连接到网络。

一旦所有客户机装置连接到网络，任何病毒攻击便可通过构成称为网络段隔离的防御措施而在范围上受限制，由此网络受影响的部分在逻辑上与网络未受影响的部分隔开。更具体地说，图15所示的进程1500详细地描述了根据本发明实施例的网络隔离进程。相应地，进程1500从1502开始，在该处，控制器(或系统管理员)将各种病毒攻击报告相关。在多个报告相关时，控制器在1504确定是否确认了病毒发作。如果病毒发作已确认，则控制器在1506将受影响的客户机装置隔开(一般情况下通过客户机装置以物理或逻辑方式连接到的网络节点)。一旦发作已被确认，控制器便向病毒监视器发送信号，将操作模式切换到内联模式，从而在1508检查构成网络业务的所有数据分组是否有该病毒和相关病毒。一旦在1510病毒被识别，控制器便在1512指示病毒监视器只阻止受该特定病毒和相关病毒感染的那些数据分组。

一旦病毒已被识别，防病毒(或治疗代理)便通过根据本发明实施例的防病毒创建进程1600来创建。相应地，图16所示的进程1600从1602解析识别的病毒开始。解析病毒指识别病毒的各个组成部分。此类组成部分包括感染模块、检测模块和有效载荷模块。一旦识别了病毒的各个组成部分，便分析组成部分。更具体地说，在1604分析检测模块，在1606分析感染模块，并且在1608分析有效载荷模块。分析是指研究各个病毒组成部分，以确定感染模块和病毒有效载荷部分的有害作用可以在受感染系统上存在的情况下感染的方法。

应注意的是，分析可并发执行或以任意适当的顺序执行。一旦分析了各个组成部分，在1610便修改感染模块以感染已经被病毒感染的所有计算机(不考虑某个特定计算机可能已经被父病毒感染的事实)，并且在1612修改有效载荷模块以“锁上门”(即，防止病毒再感染该计算机，或对它进行接种以防将来的病毒攻击)。一旦修改了各个模块，在1614便组合检测模块(未修改)、修改的感染模块和修改的有效载荷模块以在1616形成防病毒。应注意的是，在一些情况下，修改的有效载荷模块提供损害修复协议，修复由原病毒造成的损害。

图17显示根据本发明实施例的一个流程图，详细介绍了用于为一组受感染计算机执行自动清洁/治愈办法的进程1700。相应地，进程1700从1702开始，获得发现在感染网络中多个计算机的某个特定病毒的身份。一旦获得身份，在1704便接收已识别病毒的相关联防病毒，之后，在1706识别受感染的计算机。识别是指不但知道物理位置，而且也知道逻辑位置以及与计算机相关的任何其它有关信息。一旦识别了位置，便在1708确定已识别计算机中是否已安装清洁工具。清洁工具是指使用为该特定病毒生成的防病毒自动清洁/治愈受感染计算机的工具。如果未找到清洁工具，则在1710将到/来自受感染计算机的所有业务重新路由到清洁工具服务器，在该处，在1712下载适当的清洁工具。

一旦下载了适当的清洁工具，在1714便清洁受感染计算机。回到1708，如果找到适当的清洁工具，则在1716将该清洁工具发送到网络中所有受感染的计算机，以便在1714开始清洁。在清洁完成后，在1718对在此之前未受影响的计算机中选定的计算机进行接种以防将来的病毒攻击。

一旦形成了防病毒，便可使用防病毒自动清洁任何受影响的计算机以及对未受影响的计算机进行接种，从而防止任何将来的病毒发作。图18中所示的流程图详细描述了自动治愈/清洁进程1800，其中，在1802防病毒检测到计算机感染有相关联的病毒。一旦防病毒检测到受影响的计算机，在1804防病毒便感染已经被父病毒感染的计算机，而在1806防病毒将受影响的计算机中的父病毒改写为防病毒有效载荷。在一些实施例中，防病毒有效载荷的作用是通过对父病毒“锁上门”，对受影响的计算机进行接种以防将来的攻击。一旦防病毒有效载荷已被下载，在1808防病毒有效载荷便修复由父病毒造成的任何损害。一旦受影响的计算机已被接种并且任何损害已修复，在1810防病毒便对未受影响的计算机进行接种。应注意的是，在未受影响的计算机的情况下，由于不存在父病毒造成的损害，因此，防病毒有效载荷不在活动中，并且因而保持静止。

图19显示计算机系统801的系统方框图，该系统可能要实施用于执行本发明功能的计算系统300，而这些功能包括对怀疑有计算机蠕虫的数据分组进行扫描、删除、修改和隔离。计算机系统801包括显示监视器803和键盘809与鼠标811。计算机系统801还包括诸如中央处理器851、系统存储器853、固定储存器855(例如，硬盘驱动器)、可移动储存器857(例如，CD-ROM驱动器)、显示适配器859、声卡861、扬声器863及网络接口865等子系统。中央处理器851可执行计算机程序代码(例如，操作系统)以便如本文所述实施本发明的扫描引擎的各个方面。操作系统通常但不一定在其执行期间常驻在系统存储器853中。适用于本发明的其它计算机系统可包括另外的子系统或更少的子系统。例如，另一计算机系统可包括不止一个处理器851(即，多处理器系统)或一级或多级的高速缓冲存储器。

计算机系统801的系统总线体系结构由箭头867表示。然而，这些箭头是说明用于链接子系统的任一互连方案。例如，本地总线可用于将中央处理器连接到系统存储器和显示适配器。图6所示的计算机系统801只是适用于本发明的一个计算机系统示例。也可利用具有不同子系统配置的其它计算机体系结构。

虽然描述了病毒过滤器，但可理解，本领域的技术人员经常变换使用有关恶意代码的术语。因此，术语“计算机蠕虫”可包括任何类型的恶意或者在计算机上自身存在的不期望或想不到的计算机代码，而无论代码是否称为“病毒”、“蠕虫”、“特洛伊木马”等。此外，虽然以一定的细节描述了上述发明以便于清楚地理解，但将明白，在不脱离随附权利要求书的范围的情况下可实行某些更改和修改。因此，所述实施例应视为说明而不是限制，并且本发明不应限于本文给出的细节而应由随附权利要求书及其等同物的整个范围来限定。

Claims (12)

1.在具有多个服务器计算机和相关联客户机装置的分布式网络中将受感染的客户机装置与未受感染的客户机装置隔离并且为所述受感染的客户机装置接种的方法，包括：

将病毒攻击的网络有关病毒感染报告相关；

当报告被相关时，根据相关的报告确定病毒发作是否出现；

当确认所述病毒发作时，将受感染的客户机装置与未受感染的客户机装置隔离；

切换到内联模式，在所述内联模式中就所述病毒和相关病毒检查所有数据分组而不拷贝所述数据分组；

就所述病毒而监视所述网络中的所有数据分组；

识别所述病毒；

仅仅阻止被特定病毒感染的分组；

创建防病毒代理，其中创建防病毒代理包括：

将所述病毒解析成1)检测模块，所述检测模块将所述客户机装置中所选择的一个标识为目标客户机装置，2)感染模块，所述感染模块使所述病毒感染未被所选择的病毒感染的所述目标客户机装置，和3)病毒代码有效载荷模块，所述病毒代码有效载荷模块感染所述目标客户机装置；

分析所述感染模块以便确定感染方法并且分析防病毒有效载荷模块以便确定有害作用；

修改所述感染模块以便感染已经被所述病毒感染的客户机装置；

将防病毒结合进有效载荷模块，用于防止所述病毒的进一步感染；以及

通过组合检测模块、修改的感染模块和修改的病毒有效载荷模块来形成防计算机病毒代理。

2.如权利要求1所述的方法，还包括：

只有那些被认为受所识别的计算机病毒或计算机蠕虫感染的数据分组转发到耦合至网络的计算机病毒感测器的病毒分析器单元。

3.如权利要求2所述的方法，其中在第一模式下，

业务控制器实质上拷贝网络业务中含有的所有数据分组；以及

将拷贝的数据分组转发到所述病毒分析器单元。

4.如权利要求3所述的方法，包括：

将拷贝的数据分组转发到分组协议确定器；以及

确定所述拷贝的数据分组的分组协议。

5.如权利要求4所述的方法，还包括：

在废物收集器接收那些被确定为属于第一组一个或多个特殊协议的拷贝的数据分组；以及

在文件扫描单元接收和分析那些被确定为属于一个或多个特殊协议的拷贝的数据分组。

6.如权利要求5所述的方法，还包括：

通过病毒分析器单元确定那些在所述文件扫描单元接收的拷贝的数据分组是否受所检测的计算机病毒或计算机蠕虫感染；

将那些被确定为不受感染的分组转发到所述废物收集器；

分析受感染的拷贝的数据分组；以及

基于所述分析生成病毒报告。

7.在具有多个服务器计算机和相关联客户机装置的分布式网络中用于将受感染的客户机装置与未受感染的客户机装置隔离并且为所述受感染的客户机装置接种的设备，包括：

用于将病毒攻击的网络有关病毒感染报告相关的装置；

用于当报告被相关时根据相关的报告确定病毒发作是否出现的装置；

用于在确认所述病毒发作时将受感染的客户机装置与未受感染的客户机装置隔离的装置；

用于切换到内联模式的装置，在所述内联模式中就所述病毒和相关病毒检查所有数据分组而不拷贝所述数据分组；

用于就所述病毒而监视所述网络中的所有数据分组的装置；

用于识别所述病毒的装置；

用于仅仅阻止被特定病毒感染的分组的装置；以及

用于创建防病毒代理的装置，其中创建防病毒代理包括：

将所述病毒解析成1)检测模块，所述检测模块将所述客户机装置中所选择的一个标识为目标客户机装置，2)感染模块，所述感染模块使所述病毒感染未被所选择的病毒感染的所述目标客户机装置，和3)病毒代码有效载荷模块，所述病毒代码有效载荷模块感染所述目标客户机装置；

分析所述感染模块以便确定感染方法并且分析防病毒有效载荷模块以便确定有害作用；

修改所述感染模块以便感染已经被所述病毒感染的客户机装置；

将防病毒结合进有效载荷模块，用于防止病毒的进一步感染；以及

通过组合检测模块、修改的感染模块和修改的病毒有效载荷模块来形成防计算机病毒代理。

8.如权利要求7所述的设备，还包括：

用于只有那些被认为受所识别的计算机病毒或计算机蠕虫感染的数据分组转发到耦合至网络的计算机病毒/蠕虫感测器的病毒分析器单元的装置。

9.如权利要求8所述的设备，还包括：在第一模式下，

用于使业务控制器实质上拷贝网络业务中含有的所有数据分组的装置；以及

用于将拷贝的数据分组转发到所述病毒分析器单元的装置。

10.如权利要求9所述的设备，还包括：

用于将拷贝的数据分组转发到分组协议确定器的装置；以及

用于确定所述拷贝的数据分组的分组协议的装置。

11.如权利要求10所述的设备，还包括：

用于在废物收集器接收那些被确定为属于第一组一个或多个特殊协议的拷贝的数据分组的装置；以及

用于在文件扫描单元接收和分析那些被确定为属于第二组一个或多个特殊协议的拷贝的数据分组的装置。

12.如权利要求11所述的设备，还包括：

用于通过病毒分析器单元确定那些在所述文件扫描单元接收的拷贝的数据分组是否受所检测的计算机病毒或计算机蠕虫感染的装置；

用于将那些被确定为不受感染的分组转发到所述废物收集器的装置；

用于分析受感染的拷贝的数据分组的装置；以及

用于基于所述分析生成病毒报告的装置。

Images