-
公开(公告)号:CN101197810A
公开(公告)日:2008-06-11
申请号:CN200610140393.1
申请日:2006-12-08
Applicant: 北京大学
Abstract: 本发明的目的在于提供一种实时检测蠕虫的方法,其包括如下步骤:侦听网络数据包并对其进行处理的步骤,在该步骤中对收集的数据包按照TCP/IP协议模型进行分层与分类,并建立记录各主机发送数据包情况的设备发包统计信息表;判定是否是ARP请求数据包的步骤,如果是则更新设备发包统计信息表,如果不是则判定是否是IP新建连接;判定是否是IP新建连接的步骤,如果不是则返回到侦听网络数据包并对其进行处理的步骤,如果是则更新设备发包统计信息表;判断该设备是否是可疑设备的步骤,根据设备发包统计信息表的内容判定是否是感染蠕虫的可疑设备,如果是对其进行标记,如果不是则返回到侦听网络数据包并对其进行处理的步骤。
-
公开(公告)号:CN101197809B
公开(公告)日:2010-09-08
申请号:CN200610140392.7
申请日:2006-12-08
Applicant: 北京大学
Abstract: 本发明的目的在于提供一种阻断蠕虫传播的方法,该方法包括:监听网络数据的步骤,在该步骤中监听二层网络冲突域所有数据包;判断目的MAC地址是否是蠕虫机的步骤,在该步骤中判定监听到的数据包的目的MAC地址是否是被标志为蠕虫的主机;判定是否是正常主机的ARP广播包的步骤,如果在判断目的MAC地址是否是蠕虫机的步骤中判定为非蠕虫机,则进一步判定该数据包是否是ARP广播包;向蠕虫机发送伪装ARP应答包的步骤,如果在判断目的MAC地址是否是蠕虫机的步骤中判定为蠕虫机,则向该蠕虫机发送伪装ARP应答包,如果在判定是否是正常主机的ARP广播包的步骤中判定为ARP广播包,则依次向已确认存在的所有蠕虫机发送伪装成该正常主机的ARP应答包。
-
公开(公告)号:CN101202744A
公开(公告)日:2008-06-18
申请号:CN200610165290.0
申请日:2006-12-15
Applicant: 北京大学
Abstract: 本发明的目的在于提供一种检测蠕虫的装置,包括:侦听网络数据包并对其进行处理的步骤,该步骤对收集的数据包按照TCP/IP协议模型进行分层与分类,并建立记录各主机发送数据包情况的设备发包统计信息表;判定是否是ARP请求数据包的步骤,如果是则更新所述设备发包统计信息表,如果不是则判定是否是IP新建连接;判定是否是IP新建连接的步骤,如果不是则返回到侦听网络数据包并对其进行处理的步骤,如果是新建连接则更新所述设备发包统计信息表;判断发送该数据包的设备是否是可疑设备的步骤,根据所述设备发包统计信息表的内容判定是否是感染蠕虫的可疑设备,如果是感染蠕虫的设备对其进行标记,如果不是则返回到侦听网络数据包并对其进行处理的步骤。
-
公开(公告)号:CN101197809A
公开(公告)日:2008-06-11
申请号:CN200610140392.7
申请日:2006-12-08
Applicant: 北京大学
Abstract: 本发明的目的在于提供一种阻断蠕虫传播的方法,该方法包括:监听网络数据的步骤,在该步骤中监听二层网络冲突域所有数据包;判断目的MAC地址是否是蠕虫机的步骤,在该步骤中判定监听到的数据包的目的MAC地址是否是被标志为蠕虫的主机;判定是否是正常主机的ARP广播包的步骤,如果在判断目的MAC地址是否是蠕虫机的步骤中判定为非蠕虫机,则进一步判定该数据包是否是ARP广播包;向蠕虫机发送伪装ARP应答包的步骤,如果在判断目的MAC地址是否是蠕虫机的步骤中判定为蠕虫机,则向该蠕虫机发送伪装ARP应答包,如果在判定是否是正常主机的ARP广播包的步骤中判定为ARP广播包,则依次向已确认存在的所有蠕虫机发送伪装成该正常主机的ARP应答包。
-
-
-
Search Results
4
records
(took 0.016 seconds)
