2.对于已知蠕虫的检测
网威网络病毒检测系统为了适应对蠕虫各个阶段的不同行为的检测,使用编译技术,创建了网威的脚本语言NPDCL(网威检测控制语言),结合虚拟机技术,创建了解释执行NPDCL语言的虚拟机。
通过整个NPDCL脚本来控制整个VDS的检测过程。打破了传统的单一的发现符合某条规则就进行事件报警的机制,提高安全事件的关联分析功能。从而可以对一个蠕虫的各个阶段的不同行为进行关联分析,并且根据蠕虫的多个行为特征进行判断,而不是简单的针对某个存在漏洞的服务进行特征匹配。同时具有丰富的行为特征库,可以对目前流行的病毒,如振荡波,冲积波等病毒以及多种变种进行检测。
以“振荡波的b变种”检测为例,其检测流程图下。
 |
| 振荡波检测流程 |
在以上的检测步骤中都会产生相关的报警,从而采取相应的措施,防止蠕虫的进一步传播。
