一种服务器病毒处理的方法、装置、设备及可读介质与流程

1.本领域涉及计算机领域，并且更具体地涉及一种服务器病毒处理的方法、装置、设备及可读介质。


背景技术：

2.计算机系统病毒检测一般指通过一些诊断软件来判读一个系统或一个存储介质是否有毒的方法。随着计算机网络的发展，越来越多的病毒通过网络传播，对用户造成了巨大的损失。病毒危害极大，难于防范，针对其的检测成为一个新兴的热点。
3.蜜罐技术本实际上是一种对攻击方进行欺骗的防御技术，通过布置一些作为诱饵的系统、网络服务等，诱使攻击方对诱饵进行攻击，进而可以对攻击方的行为进行抓取和分析，了解攻击方使用的工具与方法，推测攻击方的意图和动机，能够让被攻击方清楚的了解所面对的安全威胁，并通过技术等手段来增强实际系统和网络服务的安全防护能力。蜜罐是故意让黑客攻击的目标，引诱黑客前来攻击。当攻击者入侵后，我们就可以知道攻击方是如何得逞的，随时了解针对系统发动的最新的攻击和漏洞。还可以通过监听黑客之间的联系，收集黑客所用的各种工具，并且掌握攻击方的真实意图。根据蜜罐的交互程度可将其分为低交互蜜罐和高交互蜜罐。高交互蜜罐通常基于真实的应用环境来构建，能提供真实的服务。高交互蜜罐可用来获取大量的信息，能够捕获攻击者多种操作行为，从而具备发现新的攻击方式和漏洞利用方法的能力。由于高交互蜜罐给攻击者提供了一个相对真实的应用环境，因此风险较大。低交互蜜罐通常只提供少量的交互功能，蜜罐在特定端口监听连接并记录数据包，可以用来实现端口扫描和暴力破解的检测。低交互蜜罐结构简单，易于安装部署，由于模拟程度低功能较少，收集信息有限但风险也较低。
4.不管是采用何种类型的蜜罐技术，一旦被攻破就会导致整个系统崩溃，传统蜜罐技术依附于被保护系统和网络，一旦系统被攻破，无法自救。


技术实现要素：

5.有鉴于此，本发明实施例的目的在于提出一种服务器病毒处理的方法、装置、设备及可读介质，通过使用本发明的技术方案，能够有效解决蜜罐技术中无法察觉系统被病毒攻破而无法自救的问题，减少了病毒使数据加密，无法恢复数据，被勒索的风险。
6.基于上述目的，本发明的实施例的一个方面提供了一种服务器病毒处理的方法，包括以下步骤：
7.在蜜罐系统所在的服务器上设置监控软件，并将监控软件监控到的异常操作行为发送到在服务器外部独立设置的策略模块；
8.策略模块对接收到的异常操作行为进行分析并判断异常操作行为是否为预设类型的病毒造成；
9.响应于异常操作行为是预设类型的病毒造成，向每个服务器外部独立设置的执行模块发送指令；
10.执行模块根据指令在每个对应的服务器中生成预设的病毒待访问的类型的磁盘以使预设的病毒进行访问并通过执行模块进行报警。
11.根据本发明的一个实施例，策略模块对接收到的异常操作行为进行分析并判断异常操作行为是否为预设类型的病毒造成包括：
12.判断接收到的异常操作行为是否为循环扫描磁盘文件，对文件类型分类，创建新的加密文件，并删除原始文件；
13.响应于异常操作行为是循环扫描磁盘文件，对文件类型分类，创建新的加密文件，并删除原始文件，则判断异常操作行为是预设类型的病毒造成的。
14.根据本发明的一个实施例，预设类型的病毒为勒索病毒。
15.根据本发明的一个实施例，响应于异常操作行为是预设类型的病毒造成，向每个服务器外部独立设置的执行模块发送指令包括：
16.响应于异常操作行为是勒索病毒造成的，策略模块将分析得到的勒索病毒待访问的文件类型和访问顺序发送到每个执行模块中；
17.策略模块将在每个服务器中创建磁盘的指令发送到每个执行模块中。
18.根据本发明的一个实施例，执行模块根据指令在每个对应的服务器中生成预设的病毒待访问的类型的磁盘以使预设的病毒进行访问并通过执行模块进行报警包括：
19.执行模块根据勒索病毒访问顺序在对应的服务器中依次创建磁盘，并在磁盘中生成若干勒索病毒待访问的文件类型。
20.根据本发明的一个实施例，勒索病毒待访问的文件类型包括图片、文档、音频和视频。
21.根据本发明的一个实施例，执行模块根据指令在每个对应的服务器中生成预设的病毒待访问的类型的磁盘以使预设的病毒进行访问并通过执行模块进行报警包括：
22.执行模块将报警信息通过网络发送到管理员移动设备和电子邮箱，并在服务器的显示装置上显示报警信息。
23.本发明的实施例的另一个方面，还提供了一种服务器病毒处理的装置，装置包括：
24.监控模块，监控模块配置为在蜜罐系统所在的服务器上设置监控软件，并将监控软件监控到的异常操作行为发送到在服务器外部独立设置的策略模块；
25.策略模块，策略模块配置为对接收到的异常操作行为进行分析并判断异常操作行为是否为预设类型的病毒造成；
26.发送模块，发送模块配置为响应于异常操作行为是预设类型的病毒造成，向每个服务器外部独立设置的执行模块发送指令；
27.执行模块，执行模块配置为执行模块根据指令在每个对应的服务器中生成预设的病毒待访问的类型的磁盘以使预设的病毒进行访问并通过执行模块进行报警。
28.本发明的实施例的另一个方面，还提供了一种计算机设备，该计算机设备包括：
29.至少一个处理器；以及
30.存储器，存储器存储有可在处理器上运行的计算机指令，指令由处理器执行时实现上述任意一项方法的步骤。
31.本发明的实施例的另一个方面，还提供了一种计算机可读存储介质，计算机可读存储介质存储有计算机程序，计算机程序被处理器执行时实现上述任意一项方法的步骤。
32.本发明具有以下有益技术效果：本发明实施例提供的服务器病毒处理的方法，通过在蜜罐系统所在的服务器上设置监控软件，并将监控软件监控到的异常操作行为发送到在服务器外部独立设置的策略模块；策略模块对接收到的异常操作行为进行分析并判断异常操作行为是否为预设类型的病毒造成；响应于异常操作行为是预设类型的病毒造成，向每个服务器外部独立设置的执行模块发送指令；执行模块根据指令在每个对应的服务器中生成预设的病毒待访问的类型的磁盘以使预设的病毒进行访问并通过执行模块进行报警的技术方案，能够有效解决蜜罐技术中无法察觉系统被病毒攻破而无法自救的问题，减少了病毒使数据加密，无法恢复数据，被勒索的风险。
附图说明
33.为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的实施例。
34.图1为根据本发明一个实施例的服务器病毒处理的方法的示意性流程图；
35.图2为根据本发明一个实施例的服务器病毒处理的装置的示意图；
36.图3为根据本发明一个实施例的计算机设备的示意图；
37.图4为根据本发明一个实施例的计算机可读存储介质的示意图。
具体实施方式
38.为使本发明的目的、技术方案和优点更加清楚明白，以下结合具体实施例，并参照附图，对本发明实施例进一步详细说明。
39.基于上述目的，本发明的实施例的第一个方面，提出了一种服务器病毒处理的方法的一个实施例。图1示出的是该方法的示意性流程图。
40.如图1中所示，该方法可以包括以下步骤：
41.s1在蜜罐系统所在的服务器上设置监控软件，并将监控软件监控到的异常操作行为发送到在服务器外部独立设置的策略模块。
42.在现有蜜罐系统的基础上设置监控软件，该监控运行在蜜罐系统所在服务器之上，负责监视蜜罐系统的每个操作，针对病毒常见操作，进行检测，发现可疑操作行为发送行为信息到策略模块。该策略模块是设置在服务器外部的硬件装置，独立于各个服务器，该硬件装置可以使用芯片编程实现。
43.s2策略模块对接收到的异常操作行为进行分析并判断异常操作行为是否为预设类型的病毒造成。
44.预设类型的病毒为勒索病毒，策略模块对接收到的异常操作行为进行分析以判断蜜罐系统是否受到了勒索病毒的攻击，如果异常操作行为符合勒索病毒行为的特征，即异常操作行为为循环扫描磁盘文件，对文件类型分类，创建新的加密文件，删除原始文件，则判断异常操作行为是勒索病毒造成的，即蜜罐系统以及其他服务器可能会受到勒索病毒的攻击。策略模块还会对收集到的勒索病毒的信息进行分析，分析出该勒索病毒攻击的意图(访问文件类型)和攻击的位置、顺序等信息。
45.s3响应于异常操作行为是预设类型的病毒造成，向每个服务器外部独立设置的执行模块发送指令。
46.执行模块是在服务器外部设置的，独立于各个服务器，可以采用芯片编程实现，执行模块可以与策略模块和服务器进行通信，如果判定了异常操作行为是勒索病毒造成的，则策略模块将分析得到的勒索病毒待访问的文件类型和访问顺序发送到每个执行模块中，策略模块将在每个服务器中创建磁盘的指令发送到每个执行模块中。
47.s4执行模块根据指令在每个对应的服务器中生成预设的病毒待访问的类型的磁盘以使预设的病毒进行访问并通过执行模块进行报警。
48.执行模块接收到指令信息后会在执行模块所连接的服务器中创建模拟磁盘，并且在该磁盘中放置大量的勒索病毒想要访问的文件类型，例如，指令中的信息表示勒索病毒的访问顺序为d盘、c盘，想要访问的文件类型为图片，则执行模块优先在d盘中创建虚拟磁盘，并在该虚拟磁盘中放置足够多的图片诱导勒索病毒访问该磁盘，然后在c盘中创建同样的磁盘，因此，当勒索病毒攻击到该服务器时，攻击到d盘的虚拟磁盘，并对虚拟磁盘中的图片进行篡改，由于虚拟磁盘中设置了足够多的图片，勒索病毒会在该虚拟磁盘中循环，可以保证d盘中的文件的安全。另外，还需要执行模块进行报警，需要人工干预来清除病毒。
49.通过本发明的技术方案，能够有效解决蜜罐技术中无法察觉系统被病毒攻破而无法自救的问题，减少了病毒使数据加密，无法恢复数据，被勒索的风险。
50.在本发明的一个优选实施例中，策略模块对接收到的异常操作行为进行分析并判断异常操作行为是否为预设类型的病毒造成包括：
51.判断接收到的异常操作行为是否为循环扫描磁盘文件，对文件类型分类，创建新的加密文件，并删除原始文件；
52.响应于异常操作行为是循环扫描磁盘文件，对文件类型分类，创建新的加密文件，并删除原始文件，则判断异常操作行为是预设类型的病毒造成的。预设类型的病毒为勒索病毒，其他类型的病毒也可以根据其行为特征进行判断。
53.在本发明的一个优选实施例中，预设类型的病毒为勒索病毒。其他类型的病毒也可以根据其特性设置相应的诱导方法。
54.在本发明的一个优选实施例中，响应于异常操作行为是预设类型的病毒造成，向每个服务器外部独立设置的执行模块发送指令包括：
55.响应于异常操作行为是勒索病毒造成的，策略模块将分析得到的勒索病毒待访问的文件类型和访问顺序发送到每个执行模块中；
56.策略模块将在每个服务器中创建磁盘的指令发送到每个执行模块中。
57.在本发明的一个优选实施例中，执行模块根据指令在每个对应的服务器中生成预设的病毒待访问的类型的磁盘以使预设的病毒进行访问并通过执行模块进行报警包括：
58.执行模块根据勒索病毒访问顺序在对应的服务器中依次创建磁盘，并在磁盘中生成若干勒索病毒想访问的文件类型。例如，指令中的信息表示勒索病毒的访问顺序为d盘、c盘，想要访问的文件类型为图片，则执行模块优先在d盘中创建虚拟磁盘，并在该虚拟磁盘中放置足够多的图片诱导勒索病毒访问该磁盘，然后在c盘中创建同样的磁盘，因此，当勒索病毒攻击到该服务器时，攻击到d盘的虚拟磁盘，并对虚拟磁盘中的图片进行篡改，由于虚拟磁盘中设置了足够多的图片，勒索病毒会在该虚拟磁盘中循环，可以保证d盘中的文件
的安全。
59.在本发明的一个优选实施例中，勒索病毒待访问的文件类型包括图片、文档、音频和视频。
60.在本发明的一个优选实施例中，执行模块根据指令在每个对应的服务器中生成预设的病毒待访问的类型的磁盘以使预设的病毒进行访问并通过执行模块进行报警包括：
61.执行模块将报警信息通过网络发送到管理员移动设备和电子邮箱，并在服务器的显示装置上显示报警信息。
62.通过本发明的技术方案，能够有效解决蜜罐技术中无法察觉系统被病毒攻破而无法自救的问题，减少了病毒使数据加密，无法恢复数据，被勒索的风险。
63.需要说明的是，本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程，可以通过计算机程序来指令相关硬件来完成，上述的程序可存储于计算机可读取存储介质中，该程序在执行时，可包括如上述各方法的实施例的流程。其中存储介质可为磁碟、光盘、只读存储器(read
‑
only memory，rom)或随机存取存储器(random access memory，ram)等。上述计算机程序的实施例，可以达到与之对应的前述任意方法实施例相同或者相类似的效果。
64.此外，根据本发明实施例公开的方法还可以被实现为由cpu执行的计算机程序，该计算机程序可以存储在计算机可读存储介质中。在该计算机程序被cpu执行时，执行本发明实施例公开的方法中限定的上述功能。
65.基于上述目的，本发明的实施例的第二个方面，提出了一种服务器病毒处理的装置，如图2所示，装置200包括：
66.监控模块201，监控模块201配置为在蜜罐系统所在的服务器上设置监控软件，并将监控软件监控到的异常操作行为发送到在服务器外部独立设置的策略模块；
67.策略模块202，策略模块202配置为对接收到的异常操作行为进行分析并判断异常操作行为是否为预设类型的病毒造成；
68.发送模块203，发送模块203配置为响应于异常操作行为是预设类型的病毒造成，向每个服务器外部独立设置的执行模块发送指令；
69.执行模块204，执行模块204配置为执行模块根据指令在每个对应的服务器中生成预设的病毒待访问的类型的磁盘以使预设的病毒进行访问并通过执行模块进行报警。
70.在本发明的一个优选实施例中，策略模块还配置为：
71.判断接收到的异常操作行为是否为循环扫描磁盘文件，对文件类型分类，创建新的加密文件，并删除原始文件；
72.响应于异常操作行为是循环扫描磁盘文件，对文件类型分类，创建新的加密文件，并删除原始文件，则判断异常操作行为是预设类型的病毒造成的。
73.在本发明的一个优选实施例中，预设类型的病毒为勒索病毒。
74.在本发明的一个优选实施例中，发送模块还配置为：
75.响应于异常操作行为是勒索病毒造成的，策略模块将分析得到的勒索病毒待访问的文件类型和访问顺序发送到每个执行模块中；
76.策略模块将在每个服务器中创建磁盘的指令发送到每个执行模块中。
77.在本发明的一个优选实施例中，执行模块还配置为：
78.执行模块根据勒索病毒访问顺序在对应的服务器中依次创建磁盘，并在磁盘中生成若干勒索病毒待访问的文件类型。
79.在本发明的一个优选实施例中，勒索病毒待访问的文件类型包括图片、文档、音频和视频。
80.在本发明的一个优选实施例中，执行模块还配置为：
81.执行模块将报警信息通过网络发送到管理员移动设备和电子邮箱，并在服务器的显示装置上显示报警信息。
82.基于上述目的，本发明实施例的第三个方面，提出了一种计算机设备。图3示出的是本发明提供的计算机设备的实施例的示意图。如图3所示，本发明实施例包括如下装置：至少一个处理器s21；以及存储器s22，存储器s22存储有可在处理器上运行的计算机指令s23，指令由处理器执行时实现以下方法：
83.在蜜罐系统所在的服务器上设置监控软件，并将监控软件监控到的异常操作行为发送到在服务器外部独立设置的策略模块；
84.策略模块对接收到的异常操作行为进行分析并判断异常操作行为是否为预设类型的病毒造成；
85.响应于异常操作行为是预设类型的病毒造成，向每个服务器外部独立设置的执行模块发送指令；
86.执行模块根据指令在每个对应的服务器中生成预设的病毒待访问的类型的磁盘以使预设的病毒进行访问并通过执行模块进行报警。
87.在本发明的一个优选实施例中，策略模块对接收到的异常操作行为进行分析并判断异常操作行为是否为预设类型的病毒造成包括：
88.判断接收到的异常操作行为是否为循环扫描磁盘文件，对文件类型分类，创建新的加密文件，并删除原始文件；
89.响应于异常操作行为是循环扫描磁盘文件，对文件类型分类，创建新的加密文件，并删除原始文件，则判断异常操作行为是预设类型的病毒造成的。
90.在本发明的一个优选实施例中，预设类型的病毒为勒索病毒。
91.在本发明的一个优选实施例中，响应于异常操作行为是预设类型的病毒造成，向每个服务器外部独立设置的执行模块发送指令包括：
92.响应于异常操作行为是勒索病毒造成的，策略模块将分析得到的勒索病毒待访问的文件类型和访问顺序发送到每个执行模块中；
93.策略模块将在每个服务器中创建磁盘的指令发送到每个执行模块中。
94.在本发明的一个优选实施例中，执行模块根据指令在每个对应的服务器中生成预设的病毒待访问的类型的磁盘以使预设的病毒进行访问并通过执行模块进行报警包括：
95.执行模块根据勒索病毒访问顺序在对应的服务器中依次创建磁盘，并在磁盘中生成若干勒索病毒待访问的文件类型。
96.在本发明的一个优选实施例中，勒索病毒待访问的文件类型包括图片、文档、音频和视频。
97.在本发明的一个优选实施例中，执行模块根据指令在每个对应的服务器中生成预设的病毒待访问的类型的磁盘以使预设的病毒进行访问并通过执行模块进行报警包括：
98.执行模块将报警信息通过网络发送到管理员移动设备和电子邮箱，并在服务器的显示装置上显示报警信息。
99.基于上述目的，本发明实施例的第四个方面，提出了一种计算机可读存储介质。图4示出的是本发明提供的计算机可读存储介质的实施例的示意图。如图4所示，计算机可读存储介质s31存储有被处理器执行时执行如上方法的计算机程序s32。
100.此外，根据本发明实施例公开的方法还可以被实现为由处理器执行的计算机程序，该计算机程序可以存储在计算机可读存储介质中。在该计算机程序被处理器执行时，执行本发明实施例公开的方法中限定的上述功能。
101.此外，上述方法步骤以及系统单元也可以利用控制器以及用于存储使得控制器实现上述步骤或单元功能的计算机程序的计算机可读存储介质实现。
102.本领域技术人员还将明白的是，结合这里的公开所描述的各种示例性逻辑块、模块、电路和算法步骤可以被实现为电子硬件、计算机软件或两者的组合。为了清楚地说明硬件和软件的这种可互换性，已经就各种示意性组件、方块、模块、电路和步骤的功能对其进行了一般性的描述。这种功能是被实现为软件还是被实现为硬件取决于具体应用以及施加给整个系统的设计约束。本领域技术人员可以针对每种具体应用以各种方式来实现的功能，但是这种实现决定不应被解释为导致脱离本发明实施例公开的范围。
103.在一个或多个示例性设计中，功能可以在硬件、软件、固件或其任意组合中实现。如果在软件中实现，则可以将功能作为一个或多个指令或代码存储在计算机可读介质上或通过计算机可读介质来传送。计算机可读介质包括计算机存储介质和通信介质，该通信介质包括有助于将计算机程序从一个位置传送到另一个位置的任何介质。存储介质可以是能够被通用或专用计算机访问的任何可用介质。作为例子而非限制性的，该计算机可读介质可以包括ram、rom、eeprom、cd
‑
rom或其它光盘存储设备、磁盘存储设备或其它磁性存储设备，或者是可以用于携带或存储形式为指令或数据结构的所需程序代码并且能够被通用或专用计算机或者通用或专用处理器访问的任何其它介质。此外，任何连接都可以适当地称为计算机可读介质。例如，如果使用同轴线缆、光纤线缆、双绞线、数字用户线路(dsl)或诸如红外线、无线电和微波的无线技术来从网站、服务器或其它远程源发送软件，则上述同轴线缆、光纤线缆、双绞线、dsl或诸如红外线、无线电和微波的无线技术均包括在介质的定义。如这里所使用的，磁盘和光盘包括压缩盘(cd)、激光盘、光盘、数字多功能盘(dvd)、软盘、蓝光盘，其中磁盘通常磁性地再现数据，而光盘利用激光光学地再现数据。上述内容的组合也应当包括在计算机可读介质的范围内。
104.以上是本发明公开的示例性实施例，但是应当注意，在不背离权利要求限定的本发明实施例公开的范围的前提下，可以进行多种改变和修改。根据这里描述的公开实施例的方法权利要求的功能、步骤和/或动作不需以任何特定顺序执行。此外，尽管本发明实施例公开的元素可以以个体形式描述或要求，但除非明确限制为单数，也可以理解为多个。
105.应当理解的是，在本文中使用的，除非上下文清楚地支持例外情况，单数形式“一个”旨在也包括复数形式。还应当理解的是，在本文中使用的“和/或”是指包括一个或者一个以上相关联地列出的项目的任意和所有可能组合。
106.上述本发明实施例公开实施例序号仅仅为了描述，不代表实施例的优劣。
107.本领域普通技术人员可以理解实现上述实施例的全部或部分步骤可以通过硬件
来完成，也可以通过程序来指令相关的硬件完成，程序可以存储于一种计算机可读存储介质中，上述提到的存储介质可以是只读存储器，磁盘或光盘等。
108.所属领域的普通技术人员应当理解：以上任何实施例的讨论仅为示例性的，并非旨在暗示本发明实施例公开的范围(包括权利要求)被限于这些例子；在本发明实施例的思路下，以上实施例或者不同实施例中的技术特征之间也可以进行组合，并存在如上的本发明实施例的不同方面的许多其它变化，为了简明它们没有在细节中提供。因此，凡在本发明实施例的精神和原则之内，所做的任何省略、修改、等同替换、改进等，均应包含在本发明实施例的保护范围之内。