CN103546448A - 一种基于格式解析的网络病毒检测方法及*** - Google Patents
一种基于格式解析的网络病毒检测方法及*** Download PDFInfo
- Publication number
- CN103546448A CN103546448A CN201210559313.1A CN201210559313A CN103546448A CN 103546448 A CN103546448 A CN 103546448A CN 201210559313 A CN201210559313 A CN 201210559313A CN 103546448 A CN103546448 A CN 103546448A
- Authority
- CN
- China
- Prior art keywords
- file format
- judge
- file
- data flow
- nontoxic
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种基于格式解析的网络病毒检测方法及***,从网络中获取数据包;根据所述数据包中提取的数据判断所述数据包所属数据流传输的文件格式,如果判断所述文件格式为无毒文件格式,则对所述数据流中的所有数据包不予检测;如果判断所述文件格式为有毒文件格式或者不可识别格式,则按照安全策略进行检测,利用该方法可以提高网络病毒检测速度,减少***资源占用。
Description
技术领域
本发明涉及网络安全技术领域,尤其涉及一种基于格式解析的网络病毒检测方法及***。
背景技术
传统反病毒检测引擎的工作原理是,首先基于获取的网络数据包进行解析,将所属数据流的网络数据包还原成完整文件,随后将按照文件类型将所述文件分为执行文件与文本文件,分别基于以上文件进行病毒特征码库的匹配式检测。这样的反病毒检测引擎存在以下缺点:
一方面,在Internet中进行端到端的数据传递时,如果数据量很大,通常需要将数据分片成一个一个网络数据包,因此在接收端需要对分片后的数据进行重组获得完整的数据内容,而网络的延时、拥塞和数据本身的传输方式都可能导致分片的乱序,或者有的分片无法获取,不能完整还原文件。
另一方面,传统的反病毒检测引擎是将所有格式的文件都进行了还原,此时,将不可能携带病毒的格式的文件也进行了还原,从而导致严重浪费***资源,并且拖慢了检测速度,如果被还原的文件很大时,这种影响就更加明显了。
发明内容
针对上述技术问题,本发明提供了一种基于格式解析的网络病毒检测方法及***,该方法通过文件格式识别技术与网络病毒检测技术相结合的方式,对于识别为无毒文件格式的数据包进行放行,从而提升病毒检测速度。
本发明采用如下方法来实现:一种基于格式解析的网络病毒检测方法,包括:
从网络中获取数据包;
根据所述数据包中提取的数据判断所述数据包所属数据流传输的文件格式,如果判断所述文件格式为无毒文件格式,则对所述数据流中的所有数据包不予检测;
如果判断所述文件格式为有毒文件格式或者不可识别格式,则按照安全策略进行检测;
所述无毒文件格式是指安全策略中的不包含威胁的文件格式;
所述有毒文件格式是指安全策略中的包含威胁的文件格式。
方法中如果判断所述文件格式为有毒文件格式或者不可识别格式,则按照安全策略进行检测包括,如果判断所述文件格式为有毒文件格式,则将所述数据流所传输的文件进行还原,然后对所还原的文件进行检测。
方法中如果判断所述文件格式为有毒文件格式或者不可识别格式,则按照安全策略进行检测包括,如果判断所述文件格式为不可识别格式,则将所述数据流所传输的文件进行还原,然后对所还原的文件进行检测。
方法还包括,如果判断所述文件格式为无毒文件格式,则对所述数据流中的所有数据包不予检测,并构建数据流标识,标记所述数据流为无毒,并将标记结果存入***缓存。
进一步地,根据所述数据包中提取的数据判断所述数据包所属数据流传输的文件格式之前还包括,根据所述数据流标识查询***缓存,若标记结果为无毒,则对所述数据流的所有数据包不予检测。
一种基于格式解析的网络病毒检测***,包括:
数据包获取模块,从网络中获取数据包;
处置模块,根据所述数据包中提取的数据判断所述数据包所属数据流传输的文件格式,如果判断所述文件格式为无毒文件格式,则对所述数据流中的所有数据包不予检测;
如果判断所述文件格式为有毒文件格式或者不可识别格式,则按照安全策略进行检测;
所述无毒文件格式是指安全策略中的不包含威胁的文件格式;
所述有毒文件格式是指安全策略中的包含威胁的文件格式。
处置模块中所述如果判断所述文件格式为有毒文件格式或者不可识别格式,则按照安全策略进行检测包括,如果判断所述文件格式为有毒文件格式,则将所述数据流所传输的文件进行还原,然后对所还原的文件进行检测。
处置模块中所述如果判断所述文件格式为有毒文件格式或者不可识别格式,则按照安全策略进行检测包括,如果判断所述文件格式为不可识别格式,则将所述数据流所传输的文件进行还原,然后对所还原的文件进行检测。
处置模块中还包括,如果判断所述文件格式为无毒文件格式,则对所述数据流中的所有数据包不予检测,并构建数据流标识,标记所述数据流为无毒,并将标记结果存入***缓存。
进一步地,根据所述数据包中提取的数据判断所述数据包所属数据流传输的文件格式之前还包括,根据所述数据流标识查询***缓存,若标记结果为无毒,则对所述数据流的所有数据包不予检测。
综上所述,本发明提供了一种基于格式解析的网络病毒检测方法及***,从网络中获取数据包,利用所述数据包中提取的数据判断所述数据包所属数据流传输的文件格式,如果判断所述文件格式为无毒文件格式,则对所述数据流中的所有数据包不予检测,利用该方法可以提高网络病毒检测速度,减少***资源占用,避免将无毒文件格式的文件进行还原并检测,从而提高了病毒检测速度,并节省了***资源。
附图说明
为了更清楚地说明本发明的技术方案,下面将对实施例中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明中记载的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明提供的基于格式解析的网络病毒检测方法流程图;
图2为本发明提供的基于格式解析的网络病毒检测***结构图。
具体实施方式
本发明给出了一种基于格式解析的网络病毒检测方法及***,为了使本技术领域的人员更好地理解本发明实施例中的技术方案,并使本发明的上述目的、特征和优点能够更加明显易懂,下面结合附图对本发明中技术方案作进一步详细的说明:
本发明首先提供了一种基于格式解析的网络病毒检测方法,给出实施例1,如图1所示,包括:
S101从网络中获取数据包;
S102根据所述数据包中提取的数据判断所述数据包所属数据流传输的文件格式,如果判断所述文件格式为无毒文件格式,则对所述数据流中的所有数据包不予检测;
如果判断所述文件格式为有毒文件格式或者不可识别格式,则按照安全策略进行检测;
所述无毒文件格式是指安全策略中的不包含威胁的文件格式;
所述有毒文件格式是指安全策略中的包含威胁的文件格式。
优选地,如果判断所述文件格式为有毒文件格式或者不可识别格式,则按照安全策略进行检测可以包括,如果判断所述文件格式为有毒文件格式,则将所述数据流所传输的文件进行还原,然后对所还原的文件进行检测。
优选地,如果判断所述文件格式为有毒文件格式或者不可识别格式,则按照安全策略进行检测可以包括,如果判断所述文件格式为不可识别格式,则将所述数据流所传输的文件进行还原,然后对所还原的文件进行检测。
优选地,方法中还包括,如果判断所述文件格式为无毒文件格式,则对所述数据流中的所有数据包不予检测,并构建数据流标识,标记所述数据流为无毒,并将标记结果存入***缓存。
更为优选地,根据所述数据包中提取的数据判断所述数据包所属数据流传输的文件格式之前还包括,根据所述数据流标识查询***缓存,若标记结果为无毒,则对所述数据流的所有数据包不予检测。
本发明还提供了一种基于格式解析的网络病毒检测***,如图2所示,包括:
数据包获取模块201,用于从网络中获取数据包;
处置模块202,用于根据所述数据包中提取的数据判断所述数据包所属数据流传输的文件格式,如果判断所述文件格式为无毒文件格式,则对所述数据流中的所有数据包不予检测;
如果判断所述文件格式为有毒文件格式或者不可识别格式,则按照安全策略进行检测;
所述无毒文件格式是指安全策略中的不包含威胁的文件格式;
所述有毒文件格式是指安全策略中的包含威胁的文件格式。
优选地,***中如果判断所述文件格式为有毒文件格式或者不可识别格式,则按照安全策略进行检测包括,如果判断所述文件格式为有毒文件格式,则将所述数据流所传输的文件进行还原,然后对所还原的文件进行检测。
优选地,***中如果判断所述文件格式为有毒文件格式或者不可识别格式,则按照安全策略进行检测包括,如果判断所述文件格式为不可识别格式,则将所述数据流所传输的文件进行还原,然后对所还原的文件进行检测。
优选地,***处置模块中还包括,如果判断所述文件格式为无毒文件格式,则对所述数据流中的所有数据包不予检测,并构建数据流标识,标记所述数据流为无毒,并将标记结果存入***缓存。
进一步地,根据所述数据包中提取的数据判断所述数据包所属数据流传输的文件格式之前还包括,根据所述数据流标识查询***缓存,若标记结果为无毒,则对所述数据流的所有数据包不予检测。
如上所述,本发明给出了一种基于格式解析的网络病毒检测方法及***,其与传统方法的区别在于,传统检测方法需要将数据包还原成完整文件,然后对文件进行网络病毒检测,确定所述数据流是否存在威胁;本发明提供的方法,是基于文件格式识别技术,针对数据包进行文件格式解析,若判定所属数据流传输的文件格式为无毒文件格式,则放行所属数据流的所有数据包,不予检测。本发明提供的方法及***不仅可以完成网络病毒检测,并且可以提高网络病毒检测速度,降低***对资源的占用,并且可以取得更精确的检测结果。
以上实施例用以说明而非限制本发明的技术方案。不脱离本发明精神和范围的任何修改或局部替换,均应涵盖在本发明的权利要求范围当中。
Claims (10)
1.一种基于格式解析的网络病毒检测方法,其特征在于,
从网络中获取数据包;
根据所述数据包中提取的数据判断所述数据包所属数据流传输的文件格式,如果判断所述文件格式为无毒文件格式,则对所述数据流中的所有数据包不予检测;
如果判断所述文件格式为有毒文件格式或者不可识别格式,则按照安全策略进行检测;
所述无毒文件格式是指安全策略中的不包含威胁的文件格式;
所述有毒文件格式是指安全策略中的包含威胁的文件格式。
2.如权利要求1所述的方法,其特征在于,所述如果判断所述文件格式为有毒文件格式或者不可识别格式,则按照安全策略进行检测包括,如果判断所述文件格式为有毒文件格式,则将所述数据流所传输的文件进行还原,然后对所还原的文件进行检测。
3.如权利要求1所述的方法,其特征在于,所述如果判断所述文件格式为有毒文件格式或者不可识别格式,则按照安全策略进行检测包括,如果判断所述文件格式为不可识别格式,则将所述数据流所传输的文件进行还原,然后对所还原的文件进行检测。
4.如权利要求1所述的方法,其特征在于,还包括,如果判断所述文件格式为无毒文件格式,则对所述数据流中的所有数据包不予检测,并构建数据流标识,标记所述数据流为无毒,并将标记结果存入***缓存。
5.如权利要求4所述的方法,其特征在于,根据所述数据包中提取的数据判断所述数据包所属数据流传输的文件格式之前还包括,根据所述数据流标识查询***缓存,若标记结果为无毒,则对所述数据流的所有数据包不予检测。
6.一种基于格式解析的网络病毒检测***,其特征在于,
数据包获取模块,从网络中获取数据包;
处置模块,根据所述数据包中提取的数据判断所述数据包所属数据流传输的文件格式,如果判断所述文件格式为无毒文件格式,则对所述数据流中的所有数据包不予检测;
如果判断所述文件格式为有毒文件格式或者不可识别格式,则按照安全策略进行检测;
所述无毒文件格式是指安全策略中的不包含威胁的文件格式;
所述有毒文件格式是指安全策略中的包含威胁的文件格式。
7.如权利要求6所述的***,其特征在于,处置模块中所述如果判断所述文件格式为有毒文件格式或者不可识别格式,则按照安全策略进行检测包括,如果判断所述文件格式为有毒文件格式,则将所述数据流所传输的文件进行还原,然后对所还原的文件进行检测。
8.如权利要求6所述的***,其特征在于,处置模块中所述如果判断所述文件格式为有毒文件格式或者不可识别格式,则按照安全策略进行检测包括,如果判断所述文件格式为不可识别格式,则将所述数据流所传输的文件进行还原,然后对所还原的文件进行检测。
9.如权利要求6所述的***,其特征在于,还包括,如果判断所述文件格式为无毒文件格式,则对所述数据流中的所有数据包不予检测,并构建数据流标识,标记所述数据流为无毒,并将标记结果存入***缓存。
10.如权利要求9所述的***,其特征在于,根据所述数据包中提取的数据判断所述数据包所属数据流传输的文件格式之前还包括,根据所述数据流标识查询***缓存,若标记结果为无毒,则对所述数据流的所有数据包不予检测。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201210559313.1A CN103546448A (zh) | 2012-12-21 | 2012-12-21 | 一种基于格式解析的网络病毒检测方法及*** |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201210559313.1A CN103546448A (zh) | 2012-12-21 | 2012-12-21 | 一种基于格式解析的网络病毒检测方法及*** |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN103546448A true CN103546448A (zh) | 2014-01-29 |
Family
ID=49969502
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201210559313.1A Pending CN103546448A (zh) | 2012-12-21 | 2012-12-21 | 一种基于格式解析的网络病毒检测方法及*** |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN103546448A (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107368740A (zh) * | 2016-05-12 | 2017-11-21 | 中国科学院软件研究所 | 一种针对数据文件中可执行代码的检测方法及*** |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1375775A (zh) * | 2001-03-16 | 2002-10-23 | 联想(北京)有限公司 | 网关级计算机网络病毒防范的方法及其装置 |
| CN101252576A (zh) * | 2008-03-13 | 2008-08-27 | 苏州爱迪比科技有限公司 | 利用dfa在网关处进行基于网络流的病毒检测方法 |
| CN101547126A (zh) * | 2008-03-27 | 2009-09-30 | 北京启明星辰信息技术股份有限公司 | 一种基于网络数据流的网络病毒检测方法及装置 |
| CN102663286A (zh) * | 2012-03-21 | 2012-09-12 | 奇智软件(北京)有限公司 | 一种病毒apk的识别方法及装置 |
-
2012
- 2012-12-21 CN CN201210559313.1A patent/CN103546448A/zh active Pending
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1375775A (zh) * | 2001-03-16 | 2002-10-23 | 联想(北京)有限公司 | 网关级计算机网络病毒防范的方法及其装置 |
| CN101252576A (zh) * | 2008-03-13 | 2008-08-27 | 苏州爱迪比科技有限公司 | 利用dfa在网关处进行基于网络流的病毒检测方法 |
| CN101547126A (zh) * | 2008-03-27 | 2009-09-30 | 北京启明星辰信息技术股份有限公司 | 一种基于网络数据流的网络病毒检测方法及装置 |
| CN102663286A (zh) * | 2012-03-21 | 2012-09-12 | 奇智软件(北京)有限公司 | 一种病毒apk的识别方法及装置 |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107368740A (zh) * | 2016-05-12 | 2017-11-21 | 中国科学院软件研究所 | 一种针对数据文件中可执行代码的检测方法及*** |
| CN107368740B (zh) * | 2016-05-12 | 2020-10-27 | 中国科学院软件研究所 | 一种针对数据文件中可执行代码的检测方法及*** |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US9203734B2 (en) | Optimized bi-directional communication in an information centric network | |
| CN107968791B (zh) | 一种攻击报文的检测方法及装置 | |
| CN103856470B (zh) | 分布式拒绝服务攻击检测方法及检测装置 | |
| US9444828B2 (en) | Network intrusion detection apparatus and method using Perl compatible regular expressions-based pattern matching technique | |
| WO2013091435A1 (zh) | 文件类型识别方法及文件类型识别装置 | |
| CN104424438B (zh) | 一种反病毒文件检测方法、装置及网络设备 | |
| CN106330584B (zh) | 一种业务流的识别方法及识别装置 | |
| TW200643701A (en) | Computer-implemented method with real-time response mechanism for detecting viruses in data transfer on a stream basis | |
| US20170034195A1 (en) | Apparatus and method for detecting abnormal connection behavior based on analysis of network data | |
| WO2013091534A1 (zh) | 一种木马检测的方法及装置 | |
| CN110086811B (zh) | 一种恶意脚本检测方法及相关装置 | |
| KR100994746B1 (ko) | 패턴 매칭부를 이용한 유해 트래픽 탐지 방법 및 시스템 | |
| CN103425931B (zh) | 一种网页异常脚本检测方法及*** | |
| CN105407096A (zh) | 基于流管理的报文数据检测方法 | |
| KR101292873B1 (ko) | 네트워크 인터페이스 카드장치 및 상기 네트워크 인터페이스 카드장치를 이용한 트래픽 처리 방법 | |
| CN103209170A (zh) | 文件类型识别方法及识别*** | |
| CN103425930B (zh) | 一种在线实时脚本检测方法及*** | |
| CN101951330A (zh) | 双向联合检测的装置及方法 | |
| TW200726145A (en) | Terminal and related method for detecting malicious data for computer network | |
| WO2016201876A1 (zh) | 一种加密流量的业务识别方法、装置和计算机存储介质 | |
| CN103546448A (zh) | 一种基于格式解析的网络病毒检测方法及*** | |
| CN104243225A (zh) | 一种基于深度包检测的流量识别方法 | |
| US20170237751A1 (en) | Information processing apparatus, information processing method, and computer readable medium | |
| CN101815015A (zh) | 面向内容的网络流量快速安检引擎 | |
| CN107689967B (zh) | 一种DDoS攻击检测方法和装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20140129 |
|
| RJ01 | Rejection of invention patent application after publication |