专利名称:计算机病毒检测方法及装置的制作方法
技术领域:
本发明涉及计算机领域,尤其涉及一种计算机病毒检测方法及装置。
背景技术:
计算机病毒(Computer Virus)是编制者在计算机程序中插入的破坏计算机功能或者破坏数据,影响计算机使用并且能够自我复制的一组计算机指令或者程序代码。与医学上的“病毒”不同,计算机病毒不是天然存在的,是某些人利用计算机软件和硬件所固有的脆弱性编制的一组指令集或程序代码。它能通过某种途径潜伏在计算机的存储介质(或程序)里,当达到某种条件时即被激活,通过修改其他程序的方法将自己的精确拷贝或者可能演化的形式放入其他程序中,从而感染其他程序,对计算机资源进行破坏。目前,有一类以密码猜解为攻击手段的计算机病毒,运行之后,病毒会将自己复制到计算机系统目录下,通过使用密码词典,逐个尝试使用词典中的密码访问其他计算机。即它会尝试猜解网络中其他计算机的管理员密码,一旦猜解成功便向这些计算机发送病毒文件,病毒以特定昵称登录指定的互联网中继聊天(Internet Relay Chat,简称IRC)频道接受黑客的远程控制,黑客可以操纵中毒计算机并发动攻击。目前,常用的病毒检测方法包括特征代码法、行为监测法等。特征代码法是检测已知病毒的最简单、开销最小的方法。它的实现是采集已知病毒样本,建立病毒数据库。当病毒检测开始时,打开被检测文件,在文件中搜索,检查文件中是否含有病毒数据库中的病毒特征代码。如果发现被检测文件中存在病毒特征代码,由于特征代码与病毒一一对应,便可以断定,被查文件中患有何种病毒。行为监测法,即利用病毒的特有行为特征来监测病毒的方法。通过对病毒多年的观察、研究,有一些行为是病毒的共同行为,而且比较特殊。在正常程序中,这些行为比较罕见。当程序运行时,监视其行为,如果发现了病毒行为,立即报警。但是,上述病毒检测方法是泛化的解决方法,此类病毒检测方法对于以密码猜解为攻击手段的计算机病毒难以检测。
发明内容
本发明一实施例提供一种计算机病毒检测方法及装置,能够准确检测出以密码猜解为攻击手段的计算机病毒。一方面,提供一种计算机病毒检测方法,包括记录密码错误事件,所述密码错误事件包括客户端标识、进程标识和时间标识;统计预设时间内同一客户端同一进程密码错误事件次数;判断所述预设时间内同一客户端同一进程密码错误事件次数是否超出预设阀值;若所述预设时间内同一客户端同一进程密码错误事件次数超出预设阀值,则确定所述进程为计算机病毒源。结合第一方面的第一实施方式中,所述记录密码错误事件包括接收第一客户端上报的密码错误事件;记录所述第一客户端上报的密码错误事件。
结合第一方面或第一方面第一实施方式的第二实施方式中,所述密码错误事件包括第二客户端向第一客户端反馈的所述第一客户端一进程访问所述第二客户端所使用的密码为错误密码以及所述第一客户端标识、所述进程标识和密码错误发生时间的时间标识。第二方面,提供一种计算机病毒检测服务器,包括记录模块,用于记录密码错误事件,所述密码错误事件包括客户端标识、进程标识和时间标识;统计模块,用于根据所述记录模块记录的密码错误事件,统计预设时间内同一客户端同一进程密码错误事件次数;判断模块,用于判断所述预设时间内同一客户端同一进程密码错误事件次数是否超出预设阀值;处理模块,用于在所述判断模块确定所述预设时间内同一客户端同一进程密码错误事件次数超出预设阀值时,确定所述进程为计算机病毒源。第三方面,提供一种计算机病毒检测客户端,包括接收模块,用于接收密码错误事件,所述密码错误事件包括进程标识和时间标识;记录模块,用于记录所述密码错误事件;统计模块,用于根据所述记录模块记录的密码错误事件统计预设时间内同一进程密码 错误事件次数;判断模块,用于判断所述预设时间内同一进程密码错误事件次数是否超出预设阀值;处理模块,用于在所述判断模块确定所述预设时间内同一进程密码错误事件次数超出预设阀值时,确定所述进程为计算机病毒源。第四方面,还提供一种计算机病毒检测客户端,包括接收单元,用于接收第二客户端返回的密码错误事件,所述密码错误事件包括第一客户端标识、进程标识和时间标识;发送单元,用于将所述密码错误事件发送给事件记录服务器,以使所述事件记录服务器根据同一客户端同一进程密码错误事件次数处理所述进程。本发明实施例的计算机病毒检测方法通过对同一进程预设时间内的密码错误事件进行统计,若同一进程预设时间内的密码错误事件次数超出正常值,则认为该进程为病毒源进程,该方法能够显著提高以密码为攻击手段的计算病毒检测准确率,同时,该检测方法计算复杂度低,仅以时间、进程为维度,检测标准简单,易于维护和优化。
为了更清楚地说明本发明实施例的技术方案,下面将对本发明实施例中所需要使用的附图作简单地介绍,显而易见地,下面所描述的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。图I是本发明一实施例的计算机病毒检测方法示意流程图;图2是本发明另一实施例的计算机病毒检测方法示意流程图;图3是本发明一又实施例的计算机病毒检测方法示意流程图;图4A是本发明一实施例的计算机病毒检测服务器示意结构框图;图4B是本发明一另实施例的计算机病毒检测服务器示意结构框图;图5A是本发明一实施例的计算机病毒检测客户端示意结构框图;图5B是本发明另一实施例的计算机病毒检测客户端示意结构框图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。图I是本发明一实施例的计算机病毒检测方法示意流程图,如图I所示,本发明一实施例的计算机病毒检测方法包括101、记录密码错误事件,该密码错误事件包括客户端标识、进程标识和时间标识;可选的,事件记录服务器在记录密码错误事件之前,还接收第一客户端发送的密码错误事件。
具体的,第一客户端设置有监控装置,可以监控第一客户端的所有进程与其他客户端的连接,当第一客户端的某个进程尝试使用某个密码访问第二客户端时,第二客户端根据该进程使用的密码对该进程的访问进行鉴权,一旦该进程使用的密码与第二客户端预置的密码不一致,则向第一客户端反馈密码错误事件,该密码错误事件还包括第一客户端标识、该进程的进程标识以及密码错误事件发生的时间,第一客户端在收到第二客户端反馈的密码错误事件后,可以根据网络协议中的密码验证约定,确认该密码错误事件是第二客户端在密码验证后返回的密码错误事件,并将该密码错误事件上报给事件记录服务器,事件记录服务器将第一客户端上报的密码错误事件进行记录。可选的,也可以由第二客户端直接向事件记录服务器上报密码错误事件。102、统计预设时间内同一客户端同一进程密码错误事件次数。具体的,通过网管系统可以事先设置统计的时间范围,例如可以将统计时间范围设置为I分钟内。事件记录服务器根据预设的时间范围统计该时间范围内同一客户端中同一进程密码错误事件次数。需要注意的是,为提高检测精度,该时间范围可以更短,但该时间范围在本发明中不做限制。可选的,事件记录服务器根据密码错误事件中的进程标识、客户端标识和时间标识,对预设时间内,客户端标识同一且进程标识同一的密码错误事件累加,得到该进程预设时间范围内密码错误事件次数。103、判断该预设时间内同一客户端同一进程密码错误事件次数是否超出预设阀值;具体的,可以通过网管系统设置事件记录服务器判断密码错误事件次数的阀值,比如设置为200次。事件记录服务器根据该预设的阀值判断预设时间内同一客户端同一进程的密码错误事件是否超出该预设阀值。即同一客户端同一进程密码错误事件次数大于预设阀值即为超出预设阀值,小于或等于即为不超出预设阀值。需要注意的是,为提高检查精度,该预设阀值可以根据检测效果实时更新,本发明实施例中不对预设阀值作限定。104、若预设时间内同一客户端同一进程密码错误事件次数超出预设阀值,则确定该进程为计算机病毒源。事件记录服务器在判断预设时间内同一进程密码错误事件超出预设阀值,则确定该进程为计算机病毒源。可选的,事件记录服务器可以将该进程标识以及该进程所在客户端标识返回给该进程所在客户端,该进程所在客户端显示该病毒源进程,提示用户。如上所述的计算机病毒检测方法,通过对同一进程预设时间内的密码错误事件进行统计,若同一进程预设时间内的密码错误事件次数超出正常值,则认为该进程为病毒源进程,该方法能够显著提高以密码为攻击手段的计算病毒检测准确率,实际测试中,使用该检测方法检测知名计算机蠕虫病毒Conficker,准确率不低于95%。同时,该检测方法计算复杂度低,仅以时间、进程为维度,检测标准简单,易于维护和优化。下面以客户端A进程A. Pa为例,对本发明实施例的计算机病毒检测方法做进一步说明。图2是本发明另一实施例的计算机病毒检测方法示意流程图,如图2所示,该计算机病毒检测方法包括 201、客户端A进程A. Pa使用第一密码访问客户端B ;可选的,该第一密码可以为A. Pa随机从密码库中选取的密码。202、客户端B根据该第一密码对进程A. Pa鉴权,鉴权失败,向客户端A返回密码错误事件。具体的,客户端B可以事先与客户端A约定访问密码,如果客户端A进程A. Pa用于访问客户端B的密码与事先约定的密码不一致,则客户端B向客户端A返回密码错误事件,告知客户端A,进程A. Pa访问客户端B所使用的密码为错误密码。203、客户端A记录该密码错误事件以及该密码错误事件发生的时间和进程A. Pa标识。可选的,客户端A也可将该密码错误事件上报给事件记录服务器,由事件记录服务器记录该密码错误事件。204、客户端A统计预设时间内进程A. Pa密码错误事件次数;具体的,可以预先在客户端A设置统计的时间范围,例如可以将统计时间范围设置为I分钟内。客户端A根据预设的时间范围统计该时间范围内同一进程密码错误事件次数。需要注意的是,为提高检测精度,该时间范围可以更短,但该时间范围在本发明中不做限制。205、客户端A判断该预设时间内进程A. Pa密码错误事件次数是否超出预设阀值;具体的,可以事先设置客户端A判断密码错误事件次数的阀值,比如设置为200次。客户端A根据该预设的阀值判断预设时间内同一进程的密码错误事件是否超出该预设阀值。即同一进程密码错误事件次数大于预设阀值即为超出预设阀值,小于或等于即为不超出预设阀值。需要注意的是,为提高检查精度,该预设阀值可以根据检测效果实时更新,本发明实施例中不对预设阀值作限定。206、若该预设时间内同一进程密码错误事件次数超出该预设阀值,则客户端A确定该进程A. Pa为计算机病毒源。
可选的,客户端A在判断预设时间内同一进程密码错误事件超出预设阀值,确定该进程A. Pa为计算机病毒源后,可以通过显示装置显示该病毒源进程A. Pa,以提示用户。如上所述的计算机病毒检测方法,通过对同一进程预设时间内的密码错误事件进行统计,若同一进程预设时间内的密码错误事件次数超出正常值,则认为该进程为病毒源进程,该方法能够显著提高以密码为攻击手段的计算病毒检测准确率,实际测试中,使用该检测方法检测知名计算机蠕虫病毒Conficker,准确率不低于95%。同时,该检测方法计算复杂度低,仅以时间、进程为维度,检测标准简单,易于维护和优化。图3是本发明一又实施例的计算机病毒检测方法示意流程图,如图3所示,该计算机病毒检测方法包括301、接收密码错误事件,该密码错误事件包括客户端标识、进程标识和时间标识;
具体的,事件记录服务器接收第二客户端发送的密码错误事件,当第一客户端某进程使用某密码访问第二客户端,第二客户端根据该密码对该进程进行鉴权,若该进程使用的密码非为第一客户端与第二客户端事先约定的访问密码,则向事件记录服务器返回密码错误事件,告知事件记录服务器第一客户端该进程访问第二客户端所使用的密码为错误密码,该密码错误事件中还携带第一客户端标识、该进程标识以及该密码错误事件发生的时间。302、记录该密码错误事件;具体的,事件记录服务器记录第二客户端上报的密码错误事件、第一客户端标识、该进程标识以及该密码错误事件发生的时间。303、统计预设时间内同一进程密码错误事件次数;具体的,通过网管系统可以事先设置统计的时间范围,例如可以将统计时间范围设置为I分钟内。事件记录服务器根据预设的时间范围统计该时间范围内同一进程密码错误事件次数。304、判断该预设时间内同一客户端同一进程密码错误事件次数是否超出预设阀值;具体的,可以通过网管系统设置事件记录服务器判断密码错误事件次数的阀值,比如设置为200次。事件记录服务器根据该预设的阀值判断预设时间内同一客户端同一进程的密码错误事件是否超出该预设阀值。即同一客户端同一进程密码错误事件次数大于预设阀值即为超出预设阀值,小于或等于即为不超出预设阀值。305、若所述预设时间范围内同一客户端同一进程密码错误事件次数超出预设阀值,则确定该进程为计算机病毒源。可选的,事件记录服务器在判断预设时间内同一客户端同一进程密码错误事件超出预设阀值,则确定该进程为计算机病毒源并将该进程标识以及该进程所在第一客户端标识返回给该进程所在第一客户端,该进程所在第一客户端显示该进程,以提示用户该进程为病毒源进程。可选的,事件记录服务器也可将该进程标识以及该进程所在第一客户端标识返回给第二客户端,由第二客户端显示该病毒源进程和第一客户端标识,以提示用户第一客户端有病毒源尝试攻击第二客户端。
图4A是本发明一实施例的计算机病毒检测服务器示意结构框图,如图4A所示,该计算机病毒检测服务器包括接收模块401用于接收第一客户端上报的密码错误事件;记录模块402用于记录接收模块401接收的密码错误事件,所述密码错误事件包括客户端标识、进程标识和时间标识;统计模块403用于根据所述记录模块402记录的密码错误事件,统计预设时间内同一进程密码错误事件次数;判断模块404用于判断所述预设时间内同一客户端同一进程密码错误事件次数是否超出预设阀值;处理模块405用于在所述判断模块404确定所述预设时间内同一客户端同一进程密码错误事件次数超出预设阀值时,确定所述进程为计算机病毒源; 可选的,该服务器还包括发送模块406用于在处理模块405确定所述进程为计算机病毒源时,将所述进程标识发送给第一客户端予以显示。需要注意的是,该计算机病毒检测服务器可以执行如图I或图3所说明的事件记录服务器的功能。图4B是本发明一另实施例的计算机病毒检测服务器示意结构框图,如图4B所示,该计算机病毒检测服务器包括处理器501、存储器502、通信接口 504和总线503,所述处理器501、存储器502和通信接口 504之间通过所述总线503连接并完成相互间的通信。处理器501可能为单核或多核中央处理单兀(Central Processing Unit, CPU),或者为特定集成电路(Application Specific Integrated Circuit,简称ASIC),或者为被配置成实施本发明实施例的一个或多个集成电路。存储器502可以为高速RAM存储器,也可以为非易失性存储器(non-volatilememory),例如至少一个磁盘存储器。存储器502用于存放程序505。具体的,程序505中可以包括程序代码,所述程序代码包括计算机操作指令。处理器501运行程序505以参与执行如图I或3描述的计算机病毒检测方法。具体的,本发明实施例的计算机病毒服务器可参与执行如图I-图3所描述的实施例例,此处不再赘述。图5A是本发明一实施例的计算机病毒检测客户端示意结构框图,如图5所示,该计算机病毒检测客户端包括接收模块601,用于接收密码错误事件,所述密码错误事件包括进程标识和时间标识;记录模块602,用于记录接收模块601接收的密码错误事件;统计模块603,用于根据记录模块602记录的密码错误事件统计预设时间内同一进程密码错误事件次数;判断模块604,用于根据所述记录模块记录的密码错误事件统计预设时间内同一进程密码错误事件次数;处理模块605,用于在所述判断模块确定所述预设时间内同一进程密码错误事件次数超出预设阀值时,确定所述进程为计算机病毒源并通过显示模块予以显示;可选的,该客户端还可以包括显示模块606,用于显示该计算机病毒源进程以提示用户。可选的,在本发明另一实施例的计算机病毒检测客户端中可以仅包括接收单元和发送单元,其中接收单元用于接收第二客户端返回的密码错误事件,所述密码错误事件包括第一客户端标识、进程标识和时间标识,该发送单元用于将所述密码错误事件发送给事件记录服务器,以使所述事件记录服务器根据同一客户端同一进程密码错误事件次数处理所述进程。需要注意的是,本发明实施例的计算机病毒检测客户端可用于执行如图2所说明的客户端A的功能,此处不再赘述。 图5B是本发明另一实施例的计算机病毒检测客户端示意结构框图,如图5B所示,该客户端包括处理器701、存储器702、通信接口 704和总线703,所述处理器701、存储器702和
通信接口 704之间通过所述总线703连接并完成相互间的通信。处理器701可能为单核或多核中央处理单兀(Central Processing Unit, CPU),或者为特定集成电路(Application Specific Integrated Circuit,简称ASIC),或者为被配置成实施本发明实施例的一个或多个集成电路。存储器702可以为高速RAM存储器,也可以为非易失性存储器(non-volatilememory),例如至少一个磁盘存储器。存储器702用于存放程序707。具体的,程序707中可以包括程序代码,所述程序代码包括计算机操作指令。处理器701运行程序705以参与执行如图2描述的计算机病毒检测方法。具体的,本发明实施例的计算机病毒服务器可参与执行如图2所描述的实施例例,此处不再赘述。如上所述的计算机病毒检测客户端和服务器,通过对同一进程预设时间内的密码错误事件进行统计,若同一进程预设时间内的密码错误事件次数超出正常值,则认为该进程为病毒源进程,该方法能够显著提高以密码为攻击手段的计算病毒检测准确率,实际测试中,使用该检测方法检测知名计算机螺虫病毒Conficker,准确率不低于95%。同时,该检测方法计算复杂度低,仅以时间、进程为维度,检测标准简单,易于维护和优化。本领域普通技术人员可以意识到,结合本文中所公开的实施例描述的各示例的单元及算法步骤,能够以电子硬件、计算机软件或者二者的结合来实现,为了清楚地说明硬件和软件的可互换性,在上述说明中已经按照功能一般性地描述了各示例的组成及步骤。这些功能究竟以硬件还是软件方式来执行,取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能,但是这种实现不应认为超出本发明的范围。所属领域的技术人员可以清楚地了解到,为了描述的方便和简洁,上述描述的系统、装置和单元的具体工作过程,可以参考前述方法实施例中的对应过程,在此不再赘述。在本申请所提供的几个实施例中,应该理解到,所揭露的系统、装置和方法,可以通过其它的方式实现。例如,以上所描述的装置实施例仅仅是示意性的,例如,所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另外,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口、装置或单元的间接耦合或通信连接,也可以是电的,机械的或其它的形式连接。所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本发明实施例方案的目的。另外,在本发明各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以是两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现,也可以采用软件功能单元的形式实现。所述集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用 时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分,或者该技术方案的全部或部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括U盘、移动硬盘、只读存储器(ROM,Read-OnlyMemory)、随机存取存储器(RAM, Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。以上所述,仅为本发明的具体实施方式
,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到各种等效的修改或替换,这些修改或替换都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应以权利要求的保护范围为准。
权利要求
1.一种计算机病毒检测方法,其特征在于,包括 记录密码错误事件,所述密码错误事件包括客户端标识、进程标识和时间标识; 统计预设时间内同一客户端同一进程密码错误事件次数; 判断所述预设时间内同一客户端同一进程密码错误事件次数是否超出预设阀值; 若所述预设时间内同一客户端同一进程密码错误事件次数超出预设阀值,则确定所述进程为计算机病毒源。
2.如权利要求I所述的方法,其特征在于,所述记录密码错误事件包括 接收第一客户端上报的密码错误事件; 记录所述第一客户端上报的密码错误事件。
3.如权利要求I或2所述的方法,其特征在于,所述密码错误事件包括 第二客户端向第一客户端反馈的所述第一客户端一进程访问所述第二客户端所使用的密码为错误密码以及所述第一客户端标识、所述进程标识和密码错误发生时间的时间标识。
4.如权利要求3所述的方法,其特征在于,所述密码错误事件还包括所述第一客户端标识。
5.一种计算机病毒检测方法,其特征在于,包括 接收密码错误事件,所述密码错误事件包括进程标识和时间标识; 记录所述密码错误事件; 统计预设时间内同一进程密码错误事件次数; 判断所述预设时间内同一进程密码错误事件次数是否超出预设阀值; 若所述预设时间内同一进程密码错误事件次数超出预设阀值,则确定所述进程为计算机病毒源并予以显示。
6.如权利要求I所述的方法,其特征在于,所述接收密码错误事件包括 第一客户端接收第二客户端反馈的所述第一客户端一进程访问所述第二客户端所使用的密码为错误密码以及所述进程标识和密码错误发生时间的时间标识。
7.如权利要求6所述的方法,其特征在于,所述密码错误事件还包括所述第一客户端标识。
8.一种计算机病毒检测服务器,其特征在于,包括 记录模块,用于记录密码错误事件,所述密码错误事件包括客户端标识、进程标识和时间标识; 统计模块,用于根据所述记录模块记录的密码错误事件,统计预设时间内同一客户端同一进程密码错误事件次数; 判断模块,用于判断所述预设时间内同一客户端同一进程密码错误事件次数是否超出预设阀值; 处理模块,用于在所述判断模块确定所述预设时间内同一客户端同一进程密码错误事件次数超出预设阀值时,确定所述进程为计算机病毒源。
9.如权利要求8所述的服务器,其特征在于,还包括 接收模块,用于接收第一客户端上报的密码错误事件; 发送模块,用于在处理模块确定所述进程为计算机病毒源时,将所述进程标识发送给第一客户端予以显示。
10.如权利要求8或9所述的服务器,其特征在于,所述接收模块接收的密码错误事件包括 第二客户端向第一客户端反馈的所述第一客户端一进程访问所述第二客户端所使用的密码为错误密码 以及所述第一客户端标识、所述进程标识和密码错误发生时间的时间标识。
11.一种计算机病毒检测客户端,其特征在于,包括 接收模块,用于接收密码错误事件,所述密码错误事件包括进程标识和时间标识; 记录模块,用于记录所述密码错误事件; 统计模块,用于根据所述记录模块记录的密码错误事件统计预设时间内同一进程密码错误事件次数; 判断模块,用于判断所述预设时间内同一进程密码错误事件次数是否超出预设阀值; 处理模块,用于在所述判断模块确定所述预设时间内同一进程密码错误事件次数超出预设阀值时,确定所述进程为计算机病毒源。
12.如权利要求11所述的客户端,其特征在于,所述接收模块接收的密码错误事件包括所述客户端接收第二客户端反馈的所述客户端一进程访问所述第二客户端所使用的密码为错误密码以及所述进程标识和密码错误发生时间的时间标识。
13.如权利要求11所述的客户端,其特征在于,还包括 显示模块,用于将确定模块确定的病毒源进程予以显示。
14.一种计算机病毒检测客户端,其特征在于,包括 接收单元,用于接收第二客户端返回的密码错误事件,所述密码错误事件包括第一客户端标识、进程标识和时间标识; 发送单元,用于将所述密码错误事件发送给事件记录服务器,以使所述事件记录服务器根据同一客户端同一进程密码错误事件次数处理所述进程。
全文摘要
本发明实施例提供了一种计算机病毒检测方法及装置,其中方法包括记录密码错误事件,所述密码错误事件包括客户端标识、进程标识和时间标识;统计预设时间内同一客户端同一进程密码错误事件次数;判断所述预设时间内同一客户端同一进程密码错误事件次数是否超出预设阀值;若所述预设时间内同一客户端同一进程密码错误事件次数超出预设阀值,则确定所述进程为计算机病毒源。该方法能够显著提高以密码为攻击手段的计算病毒检测准确率,同时,该检测方法计算复杂度低,仅以时间、进程为维度,检测标准简单,易于维护和优化。
文档编号G06F21/56GK102968592SQ20121047852
公开日2013年3月13日 申请日期2012年11月22日 优先权日2012年11月22日
发明者杨鹏, 高献伟, 柳敬武 申请人:华为技术有限公司