P2P蠕虫检测的方法和装置.pdf

资源描述

《P2P蠕虫检测的方法和装置.pdf》由会员分享，可在线阅读，更多相关《P2P蠕虫检测的方法和装置.pdf（15页珍藏版）》请在专利查询网上搜索。

1、(10)申请公布号 CN 104038475 A (43)申请公布日 2014.09.10 C N 1 0 4 0 3 8 4 7 5 A (21)申请号 201410196557.7 (22)申请日 2014.05.09 H04L 29/06(2006.01) G06F 17/30(2006.01) H04L 12/26(2006.01) H04L 29/08(2006.01) (71)申请人深圳市深信服电子科技有限公司地址 518052 广东省深圳市南山区麒麟路1 号科技创业服务中心410-413室 (72)发明人郑权 (74)专利代理机构深圳市世纪恒程知识产权代理事务所 44287 。

2、代理人胡海国 (54) 发明名称 P2P蠕虫检测的方法和装置 (57) 摘要本发明公开了一种P2P蠕虫检测的方法，该方法包括：分析P2P蠕虫的特征，根据P2P蠕虫的相关信息构建蠕虫特征库；扫描P2P网络中主机的端口是否开启，若是，则根据蠕虫特征库中相应的P2P蠕虫的相关信息，向主机发送P2P蠕虫对应的请求消息；接收到主机返回的应答消息后，解析该应答消息的内容，根据蠕虫特征库中的相关信息确定主机是否感染P2P蠕虫。本发明还公开了一种P2P蠕虫检测的装置。本发明采用主动探测的检测方式，可以有效的避免现有的基于对数据包进行过滤和状态检测的方法的缺点，从而能够有效地防御已知P2。

3、P蠕虫，并且提高了内网系统的安全性。 (51)Int.Cl. 权利要求书2页说明书6页附图6页 (19)中华人民共和国国家知识产权局 (12)发明专利申请权利要求书2页说明书6页附图6页 (10)申请公布号 CN 104038475 A CN 104038475 A 1/2页 2 1.一种P2P蠕虫检测的方法，其特征在于，包括以下步骤：分析P2P蠕虫的特征，根据P2P蠕虫的相关信息构建蠕虫特征库；扫描P2P网络中主机的端口是否开启，若是，则根据所述蠕虫特征库中相应的P2P蠕虫的相关信息，向所述主机发送所述P2P蠕虫对应的请求消息；接收到所述主机返回的应答消息后，解析该应答消。

4、息的内容，根据所述蠕虫特征库中的相关信息确定所述主机是否感染所述P2P蠕虫。 2.如权利要求1所述的P2P蠕虫检测的方法，其特征在于，所述P2P蠕虫的相关信息包括蠕虫名称、蠕虫采用协议、蠕虫的端口、请求消息内容和应答消息内容。 3.如权利要求2所述的P2P蠕虫检测的方法，其特征在于，所述根据所述蠕虫特征库中相应的P2P蠕虫的相关信息，向所述主机发送所述P2P蠕虫对应的请求消息的步骤包括：当P2P网络中主机的端口开启时，比对该端口与所述蠕虫特征库中的P2P蠕虫的端口是否一致；在所述主机的端口与P2P蠕虫的端口一致时，在所述蠕虫特征库中查找该P2P蠕虫的端口对应的P2P蠕虫的请求消息。

5、内容；根据所述请求消息内容，向所述主机发送对应的请求消息。 4.如权利要求3所述的P2P蠕虫检测的方法，其特征在于，在所述扫描P2P网络中主机的端口是否开启的步骤之前，还包括：设定扫描时间，用于根据所述扫描时间定时扫描P2P网络中主机的端口。 5.如权利要求1至4中任一项所述的P2P蠕虫检测的方法，其特征在于，在所述接收到所述主机返回的应答消息后，解析该应答消息的内容，根据所述蠕虫特征库中的相关信息确定所述主机是否感染所述P2P蠕虫的步骤之后，还包括：当确定所述主机感染所述P2P蠕虫后，隔离所述主机并报警。 6.一种P2P蠕虫检测的装置，其特征在于，包括：构建模块，用于分析P2P。

6、蠕虫的特征，根据P2P蠕虫的相关信息构建蠕虫特征库；扫描模块，用于扫描P2P网络中主机的端口是否开启；发送模块，用于在P2P网络中主机的端口开启时，根据所述蠕虫特征库中相应的P2P蠕虫的相关信息，向所述主机发送所述P2P蠕虫对应的请求消息；确定模块，用于接收到所述主机返回的应答消息后，解析该应答消息的内容，根据所述蠕虫特征库中的相关信息确定所述主机是否感染所述P2P蠕虫。 7.如权利要求6所述的P2P蠕虫检测的装置，其特征在于，所述P2P蠕虫的相关信息包括蠕虫名称、蠕虫采用协议、蠕虫的端口、请求消息内容和应答消息内容。 8.如权利要求7所述的P2P蠕虫检测的装置，其特征在于，所述发。

7、送模块包括：比对单元，用于当P2P网络中主机的端口开启时，比对该端口与所述蠕虫特征库中的 P2P蠕虫的端口是否一致；查找单元，用于在所述主机的端口与P2P蠕虫的端口一致时，在所述蠕虫特征库中查找该P2P蠕虫的端口对应的P2P蠕虫的请求消息内容；发送单元，用于根据所述请求消息内容，向所述主机发送对应的请求消息。 9.如权利要求8所述的P2P蠕虫检测的装置，其特征在于，还包括：设定模块，用于设定扫描时间，用于根据所述扫描时间定时扫描P2P网络中主机的端权利要求书CN 104038475 A 2/2页 3 口。 10.如权利要求6至9中任一项所述的P2P蠕虫检测的装置，其特征在于。

8、，还包括：隔离及报警模块，用于当确定所述主机感染所述P2P蠕虫后，隔离所述主机并报警。权利要求书CN 104038475 A 1/6页 4 P2P 蠕虫检测的方法和装置技术领域 0001 本发明涉及互联网技术领域，尤其涉及P2P蠕虫检测的方法和装置。背景技术 0002 随着P2P(Peer to Peer，对等计算)软件的普及，P2P蠕虫已成为P2P网络安全的主要威胁之一，当P2P蠕虫成功感染P2P网络中的某台主机后，它会借助P2P网络，并利用 P2P网络其他主机中的安全漏洞、P2P网络文件共享功能、资源共享等方式迅速隐蔽的向其他主机传播蠕虫，由于P2P网络设计的原因，在提。

9、高资源共享速度的同时，也加快了蠕虫的传播速度，使得P2P蠕虫能够在短时间内感染大片主机并同时构造一个巨大的僵尸网络，对现有网络造成了极大的安全威胁。针对P2P蠕虫的危害，目前的防火墙技术主要是通过对数据包内容进行过滤以及状态的检测来检测网络中的主机是否感染P2P蠕虫，这两种技术存在以下几种缺陷： 0003 1、由于P2P蠕虫在内网传播，流量不经过防火墙，因而在这种情况下，防火墙就形同虚设； 0004 2、由于P2P蠕虫和正常的P2P软件所采用的是相同的技术，使得P2P蠕虫和正常的P2P软件的难以区分； 0005 3、P2P蠕虫往往都会对文件自身和通信内容采用加密和混淆技术，从而导致。

10、防火墙无法识别。 0006 上述内容仅用于辅助理解本发明的技术方案，并不代表承认上述内容是现有技术。发明内容 0007 本发明的主要目的在于提供P2P蠕虫检测的方法和装置，旨在有效地防御已知 P2P蠕虫，提高内网系统的安全性。 0008 为实现上述目的，本发明提供的一种P2P蠕虫检测的方法，包括以下步骤： 0009 分析P2P蠕虫的特征，根据P2P蠕虫的相关信息构建蠕虫特征库； 0010 扫描P2P网络中主机的端口是否开启，若是，则根据所述蠕虫特征库中相应的P2P 蠕虫的相关信息，向所述主机发送所述P2P蠕虫对应的请求消息； 0011 接收到所述主机返回的应答消息后，解析该应答消息的内容。

11、，根据所述蠕虫特征库中的相关信息确定所述主机是否感染所述P2P蠕虫。 0012 优选地，所述P2P蠕虫的相关信息包括蠕虫名称、蠕虫采用协议、蠕虫的端口、请求消息内容和应答消息内容。 0013 优选地，所述根据所述蠕虫特征库中相应的P2P蠕虫的相关信息，向所述主机发送所述P2P蠕虫对应的请求消息的步骤包括： 0014 当P2P网络中主机的端口开启时，比对该端口与所述蠕虫特征库中的P2P蠕虫的端口是否一致；说明书CN 104038475 A 2/6页 5 0015 在所述主机的端口与P2P蠕虫的端口一致时，在所述蠕虫特征库中查找该P2P蠕虫的端口对应的P2P蠕虫的请求消息内容； 0。

12、016 根据所述请求消息内容，向所述主机发送对应的请求消息。 0017 优选地，在所述扫描P2P网络中主机的端口是否开启的步骤之前，还包括： 0018 设定扫描时间，用于根据所述扫描时间定时扫描P2P网络中主机的端口。 0019 优选地，在所述接收到所述主机返回的应答消息后，解析该应答消息的内容，根据所述蠕虫特征库中的相关信息确定所述主机是否感染所述P2P蠕虫的步骤之后，还包括： 0020 当确定所述主机感染所述P2P蠕虫后，隔离所述主机并报警。 0021 本发明进一步提供一种P2P蠕虫检测的装置，包括： 0022 构建模块，用于分析P2P蠕虫的特征，根据P2P蠕虫的相关信息构建蠕虫特征库；。

13、 0023 扫描模块，用于扫描P2P网络中主机的端口是否开启； 0024 发送模块，用于在P2P网络中主机的端口开启时，根据所述蠕虫特征库中相应的 P2P蠕虫的相关信息，向所述主机发送所述P2P蠕虫对应的请求消息； 0025 确定模块，用于接收到所述主机返回的应答消息后，解析该应答消息的内容，根据所述蠕虫特征库中的相关信息确定所述主机是否感染所述P2P蠕虫。 0026 优选地，所述P2P蠕虫的相关信息包括蠕虫名称、蠕虫采用协议、蠕虫的端口、请求消息内容和应答消息内容。 0027 优选地，所述发送模块包括： 0028 比对单元，用于当P2P网络中主机的端口开启时，比对该端口与所述蠕虫特征库。

14、中的P2P蠕虫的端口是否一致； 0029 查找单元，用于在所述主机的端口与P2P蠕虫的端口一致时，在所述蠕虫特征库中查找该P2P蠕虫的端口对应的P2P蠕虫的请求消息内容； 0030 发送单元，用于根据所述请求消息内容，向所述主机发送对应的请求消息。 0031 优选地，P2P蠕虫检测的装置还包括： 0032 设定模块，用于设定扫描时间，用于根据所述扫描时间定时扫描P2P网络中主机的端口。 0033 优选地，P2P蠕虫检测的装置还包括： 0034 隔离及报警模块，用于当确定所述主机感染所述P2P蠕虫后，隔离所述主机并报警。 0035 本发明通过分析P2P蠕虫的特征，根据P2P蠕虫的相关信息构。

15、建蠕虫特征库，并扫描P2P网络中主机的端口是否开启；当主机的端口开启时，根据蠕虫特征库中相应的P2P 蠕虫的相关信息，向主机发送P2P蠕虫对应的请求消息，接收到主机返回的应答消息后，解析该应答消息的内容，根据蠕虫特征库中的相关信息确定主机是否感染P2P蠕虫。采用主动探测的检测方式，可以有效的避免现有的基于对数据包进行过滤和状态检测的方法的缺点，从而能够有效地防御已知P2P蠕虫，并且提高了内网系统的安全性。附图说明 0036 图1为本发明P2P蠕虫检测的方法第一实施例的流程示意图； 0037 图2为图1中发送P2P蠕虫对应的请求消息的步骤的细化流程示意图；说明书CN 104038。

16、475 A 3/6页 6 0038 图3为本发明P2P蠕虫检测的方法第二实施例的流程示意图； 0039 图4为本发明P2P蠕虫检测的方法第三实施例的流程示意图； 0040 图5为本发明P2P蠕虫检测的装置第一实施例的功能模块示意图； 0041 图6为图5中发送模块的功能模块示意图； 0042 图7为本发明P2P蠕虫检测的装置第二实施例的功能模块示意图； 0043 图8为本发明P2P蠕虫检测的装置第三实施例的功能模块示意图。 0044 本发明目的的实现、功能特点及优点将结合实施例，参照附图做进一步说明。具体实施方式 0045 应当理解，此处所描述的具体实施例仅仅用以解释本发明，并不用于限定本发。

17、明。 0046 本发明提供一种P2P蠕虫检测的方法。 0047 参照图1，图1为本发明P2P蠕虫检测的方法第一实施例的流程示意图。 0048 在一实施例中，该P2P蠕虫检测的方法包括： 0049 步骤S10，分析P2P蠕虫的特征，根据P2P蠕虫的相关信息构建蠕虫特征库； 0050 本实施例所提供的P2P蠕虫检测的方法，通过模拟P2P蠕虫的行为，对指定网段的内网主机进行P2P蠕虫检测。首先，分析各种P2P蠕虫的特征，获取P2P蠕虫的相关信息，并根据这些相关信息构建一蠕虫特征库。构成该蠕虫特征库的P2P蠕虫的相关信息包括蠕虫名称、蠕虫采用协议、蠕虫的端口、请求消息内容和应答消息内容；其中，蠕。

18、虫名称即 P2P蠕虫的名称；蠕虫采用协议通常为TCP协议或UDP协议；蠕虫的端口可以为固定端口，也可以为非固定端口，即使用算法生成的协商端口；大部分P2P蠕虫的请求消息和应答消息都会采用固定的消息结构，请求消息和应答消息的结构通常可以抽象为指令和指令内容或peerlist表，需要根据不同的P2P蠕虫编写不同的指令和指令内容，实现上可以采用字符串和正则表达式相结合的方式来表达消息。将相应的P2P蠕虫的相关信息对应的填在蠕虫特征库中，即形成蠕虫特征库。 0051 步骤S20，扫描P2P网络中主机的端口是否开启； 0052 步骤S21，当P2P网络中主机的端口开启时，根据蠕虫特征库中相应的。

19、P2P蠕虫的相关信息，向主机发送P2P蠕虫对应的请求消息； 0053 构建了蠕虫特征库后，利用防火墙扫描用户指定网段的内网主机的端口，判断这些主机的端口是否开启，如有主机的端口开启，则表明该主机有感染P2P蠕虫的可能性，此时，根据该主机的端口，在蠕虫特征库中确定相应的P2P蠕虫，并根据该P2P蠕虫的相关信息中的请求消息内容，向主机发送与该P2P蠕虫对应的请求消息。 0054 步骤S30，接收到主机返回的应答消息后，解析该应答消息的内容，根据蠕虫特征库中的相关信息确定主机是否感染P2P蠕虫。 0055 在发送了P2P蠕虫对应的请求消息后，如接收到主机返回的应答消息，解析该应答消息的内。

20、容，并根据蠕虫特征库中P2P蠕虫对应的应答消息内容进行匹配，以确定该主机是否感染了P2P蠕虫；当然，如未接收到主机返回的应答消息，则表明该主机未感染P2P 蠕虫。 0056 本实施例通过分析P2P蠕虫的特征，根据P2P蠕虫的相关信息构建蠕虫特征库，并扫描P2P网络中主机的端口是否开启；当主机的端口开启时，根据蠕虫特征库中相应的P2P 说明书CN 104038475 A 4/6页 7 蠕虫的相关信息，向主机发送P2P蠕虫对应的请求消息，接收到主机返回的应答消息后，解析该应答消息的内容，根据蠕虫特征库中的相关信息确定主机是否感染P2P蠕虫。采用主动探测的检测方式，可以有效的避免现有的基。

21、于对数据包进行过滤和状态检测的方法的缺点，从而能够有效地防御已知P2P蠕虫，并且提高了内网系统的安全性。 0057 参照图2，图2为图1中发送P2P蠕虫对应的请求消息的步骤的细化流程示意图。 0058 在上述实施例中，步骤S21包括： 0059 步骤S211，当P2P网络中主机的端口开启时，比对该端口与蠕虫特征库中的P2P蠕虫的端口是否一致； 0060 步骤S212，在主机的端口与P2P蠕虫的端口一致时，在蠕虫特征库中查找该P2P蠕虫的端口对应的P2P蠕虫的请求消息内容； 0061 步骤S213，根据请求消息内容，向主机发送对应的请求消息。 0062 在扫描到P2P网络中在主机的端口开启。

22、时，比对该端口与蠕虫特征库中的P2P蠕虫的端口是否一致，如主机的端口与P2P蠕虫的端口一致，则表明该主机有可能感染了该 P2P蠕虫；然后根据该P2P蠕虫的端口，在蠕虫特征库中查找该P2P蠕虫的端口所对应的 P2P蠕虫，并获得相应的请求消息内容，根据该请求消息内容向主机发送对应的请求消息，以根据是否接收到主机的应答消息，判断该主机是否感染了该P2P蠕虫。 0063 当P2P网络中主机的端口开启时，在蠕虫特征库中查找与该主机的端口对应的 P2P蠕虫的请求消息内容，并根据该请求消息内容，向主机发送对应的请求消息，从而为有效地防御已知P2P蠕虫提供了有力的前提保证。 0064 参照图3，图3为本。

23、发明P2P蠕虫检测的方法第二实施例的流程示意图。 0065 基于本发明P2P蠕虫检测的方法第一实施例，在步骤S20之前，该方法还包括： 0066 步骤S40，设定扫描时间，用于根据扫描时间定时扫描P2P网络中主机的端口。 0067 本实施例中，在利用防火墙扫描主机的端口之前，设定扫描时间，以便于防火墙根据该扫描时间定时对P2P网络中主机的端口进行扫描。该扫描时间为防火墙定时扫描主机端口的间隔时间，即每间隔扫描时间的时间长度，利用防火墙对P2P网络中指定网段的主机进行一次扫描。 0068 在利用防火墙扫描主机的端口之前，设定扫描时间，以便防火墙每间隔扫描时间的时间长度对P2P网络中指定网。

24、段的主机进行一次扫描，进一步为有效地防御已知P2P蠕虫提供了基础。 0069 参照图4，图4为本发明P2P蠕虫检测的方法第三实施例的流程示意图。 0070 基于本发明P2P蠕虫检测的方法第一和第二实施例，在执行步骤S30之后，该方法还包括： 0071 步骤S50，当确定主机感染P2P蠕虫后，隔离主机并报警。 0072 当接收到主机的应答消息，并且对该应答消息的内容解析后与蠕虫数据库中的相应的P2P蠕虫的应答消息内容匹配，从而确定该主机感染了P2P蠕虫后，对该主机进行隔离并报警，以防止该主机通过P2P网络中其他主机的安全漏洞、P2P网络文件共享功能、资源共享等方式迅速地向其他主机传播P。

25、2P蠕虫，从而造成安全威胁。 0073 本发明进一步提供了一种P2P蠕虫检测的装置。 0074 参照图5，图5为本发明P2P蠕虫检测的装置第一实施例的功能模块示意图。说明书CN 104038475 A 5/6页 8 0075 在一实施例中，P2P蠕虫检测的装置包括： 0076 构建模块10，用于分析P2P蠕虫的特征，根据P2P蠕虫的相关信息构建蠕虫特征库； 0077 扫描模块20，用于扫描P2P网络中主机的端口是否开启； 0078 发送模块21，用于在P2P网络中主机的端口开启时，根据蠕虫特征库中相应的P2P 蠕虫的相关信息，向主机发送P2P蠕虫对应的请求消息； 0079 确定模块30。

26、，用于接收到主机返回的应答消息后，解析该应答消息的内容，根据蠕虫特征库中的相关信息确定主机是否感染P2P蠕虫。 0080 本实施例所提供的P2P蠕虫检测的方法，通过模拟P2P蠕虫的行为，对指定网段的内网主机进行P2P蠕虫检测。首先，构建模块10分析各种P2P蠕虫的特征，获取P2P蠕虫的相关信息，并根据这些相关信息构建一蠕虫特征库。构成该蠕虫特征库的P2P蠕虫的相关信息包括蠕虫名称、蠕虫采用协议、蠕虫的端口、请求消息内容和应答消息内容；其中，蠕虫名称即P2P蠕虫的名称；蠕虫采用协议通常为TCP协议或UDP协议；蠕虫的端口可以为固定端口，也可以为非固定端口，即使用算法生成的协商端口；大。

27、部分P2P蠕虫的请求消息和应答消息都会采用固定的消息结构，请求消息和应答消息的结构通常可以抽象为指令和指令内容或peerlist表，需要根据不同的P2P蠕虫编写不同的指令和指令内容，实现上可以采用字符串和正则表达式相结合的方式来表达消息。将相应的P2P蠕虫的相关信息对应的填在蠕虫特征库中，即形成蠕虫特征库。 0081 构建了蠕虫特征库后，扫描模块20利用防火墙扫描用户指定网段的内网主机的端口，判断这些主机的端口是否开启，如有主机的端口开启，则表明该主机有感染P2P蠕虫的可能性，此时，根据该主机的端口，在蠕虫特征库中确定相应的P2P蠕虫，发送模块21根据该P2P蠕虫的相关信息中的请。

28、求消息内容，向主机发送与该P2P蠕虫对应的请求消息。 0082 在发送了P2P蠕虫对应的请求消息后，如接收到主机返回的应答消息，确定模块 30解析该应答消息的内容，并根据蠕虫特征库中P2P蠕虫对应的应答消息内容进行匹配，以确定该主机是否感染了P2P蠕虫；当然，如未接收到主机返回的应答消息，则表明该主机未感染P2P蠕虫。 0083 本实施例通过分析P2P蠕虫的特征，根据P2P蠕虫的相关信息构建蠕虫特征库，并扫描P2P网络中主机的端口是否开启；当主机的端口开启时，根据蠕虫特征库中相应的P2P 蠕虫的相关信息，向主机发送P2P蠕虫对应的请求消息，接收到主机返回的应答消息后，解析该应答消息的内。

29、容，根据蠕虫特征库中的相关信息确定主机是否感染P2P蠕虫。采用主动探测的检测方式，可以有效的避免现有的基于对数据包进行过滤和状态检测的方法的缺点，从而能够有效地防御已知P2P蠕虫，并且提高了内网系统的安全性。 0084 参照图6，图6为图5中发送模块的功能模块示意图。 0085 在上述实施例中，发送模块21包括： 0086 比对单元211，用于当P2P网络中主机的端口开启时，比对该端口与蠕虫特征库中的P2P蠕虫的端口是否一致； 0087 查找单元212，用于在主机的端口与P2P蠕虫的端口一致时，在蠕虫特征库中查找该P2P蠕虫的端口对应的P2P蠕虫的请求消息内容； 0088 发送单元21。

30、3，用于根据请求消息内容，向主机发送对应的请求消息。说明书CN 104038475 A 6/6页 9 0089 在扫描到P2P网络中在主机的端口开启时，通过比对单元211比对该端口与蠕虫特征库中的P2P蠕虫的端口是否一致，如主机的端口与P2P蠕虫的端口一致，则表明该主机有可能感染了该P2P蠕虫；然后查找单元212根据该P2P蠕虫的端口，在蠕虫特征库中查找该P2P蠕虫的端口所对应的P2P蠕虫，并获得相应的请求消息内容，发送单元213根据该请求消息内容向主机发送对应的请求消息，以根据是否接收到主机的应答消息，判断该主机是否感染了该P2P蠕虫。 0090 当P2P网络中主机的端口开启。

31、时，在蠕虫特征库中查找与该主机的端口对应的 P2P蠕虫的请求消息内容，并根据该请求消息内容，向主机发送对应的请求消息，从而为有效地防御已知P2P蠕虫提供了有力的前提保证。 0091 参照图7，图7为本发明P2P蠕虫检测的装置第二实施例的功能模块示意图。 0092 基于本发明P2P蠕虫检测的装置第一实施例，该装置还包括： 0093 设定模块40，用于设定扫描时间，用于根据扫描时间定时扫描P2P网络中主机的端口。 0094 本实施例中，在利用防火墙扫描主机的端口之前，通过设定模块40设定扫描时间，以便于防火墙根据该扫描时间定时对P2P网络中主机的端口进行扫描。该扫描时间为防火墙定时扫描主机。

32、端口的间隔时间，即每间隔扫描时间的时间长度，利用防火墙对P2P 网络中指定网段的主机进行一次扫描。 0095 在利用防火墙扫描主机的端口之前，设定扫描时间，以便防火墙每间隔扫描时间的时间长度对P2P网络中指定网段的主机进行一次扫描，进一步为有效地防御已知P2P蠕虫提供了基础。 0096 参照图8，图8为本发明P2P蠕虫检测的装置第三实施例的功能模块示意图。 0097 基于本发明P2P蠕虫检测的装置第一、第二实施例，该装置还包括： 0098 隔离及报警模块50，用于当确定主机感染P2P蠕虫后，隔离主机并报警。 0099 当接收到主机的应答消息，并且对该应答消息的内容解析后与蠕虫数据库中的相。

33、应的P2P蠕虫的应答消息内容匹配，从而确定该主机感染了P2P蠕虫后，隔离及报警模块50 对该主机进行隔离并报警，以防止该主机通过P2P网络中其他主机的安全漏洞、P2P网络文件共享功能、资源共享等方式迅速地向其他主机传播P2P蠕虫，从而造成安全威胁。 0100 以上仅为本发明的优选实施例，并非因此限制本发明的专利范围，凡是利用本发明说明书及附图内容所作的等效结构或等效流程变换，或直接或间接运用在其他相关的技术领域，均同理包括在本发明的专利保护范围内。说明书CN 104038475 A 1/6页 10 图1 说明书附图CN 104038475 A 10 2/6页 11 图2 说明书附图CN 104038475 A 11 3/6页 12 图3 说明书附图CN 104038475 A 12 4/6页 13 图4 说明书附图CN 104038475 A 13 5/6页 14 图5 图6 图7 说明书附图CN 104038475 A 14 6/6页 15 图8 说明书附图CN 104038475 A 15 。

展开阅读全文