一種病毒檢測方法及系統(tǒng)的制作方法
【專利摘要】本發(fā)明公開了一種病毒檢測方法及系統(tǒng)�,該方法包括:創(chuàng)建病毒特征庫�����,所述病毒特征庫中的病毒特征和病毒信息按照如下關系記錄:一個病毒信息包含一個或多個病毒特征�����,每個病毒特征對應一個或多個病毒信息����;將采集到的網(wǎng)絡數(shù)據(jù)包重組解析后�����,采用多模式匹配算法與所述病毒特征庫中的病毒特征進行匹配���,當匹配到一條病毒特征時�,結合已匹配到的病毒特征���,判斷是否可以組成一條或多條完整的病毒信息�����,如果可以�,則病毒信息匹配成功,否則���,等待下次匹配到新的病毒特征后繼續(xù)判斷����。本發(fā)明可以處理一條病毒含有多條病毒特征的情況��,適合在高速網(wǎng)絡中使用��;通過本發(fā)明的這種病毒信息和病毒特征的存儲方式���,可以快速匹配到病毒�,能夠更高效地檢測出病毒���。
【專利說明】一種病毒檢測方法及系統(tǒng)
【技術領域】
[0001]本發(fā)明涉及通信領域��,具體涉及一種病毒檢測方法及系統(tǒng)。
【背景技術】
[0002]如今�,網(wǎng)絡技術的飛速發(fā)展使得互聯(lián)網(wǎng)絡在國民經濟生產和人們日常生活中所發(fā)揮的作用越來越重要,與此同時���,入侵計算機網(wǎng)絡和計算機系統(tǒng)等攻擊行為不可避免地變得越來越多�,而且動用的手段也越來越復雜和智能。鑒于此�����,網(wǎng)絡安全問題越來越受到各個國家和學者們的高度重視����,也逐漸成為了各科研院所和機構的研究熱點。
[0003]網(wǎng)絡安全是一門涉及計算機��、通信以及數(shù)學等各領域的綜合學科�。最初為了防范各種網(wǎng)絡威脅,傳統(tǒng)的網(wǎng)絡安全技術以防護為主�����,如應用較多的防火墻���、身份認證以及數(shù)據(jù)加密等靜態(tài)安全防護技術����。但是�����,當今的發(fā)展趨勢是網(wǎng)絡規(guī)模迅速擴大化,同時網(wǎng)絡病毒明顯呈現(xiàn)復雜化的傾向�����,傳統(tǒng)的安全技術越來越難以滿足需求��,此時入侵檢測技術適時出現(xiàn)了���。
[0004]常見的檢測病毒的方法有三種:
[0005](I)終端制造商平臺安全措施�����。有些病毒就是利用終端操作系統(tǒng)的漏洞進行攻擊���,所以終端制造商應該努力完善操作系統(tǒng)的內核代碼,堵塞安全漏洞�����。該方法需要大量的人力和物力來填補手機操作系統(tǒng)的漏洞����,而且開發(fā)周期長,產生效果比較慢�。除此之外,因為開發(fā)者會不停地發(fā)布大量的操作系統(tǒng)補丁�,這樣會使用戶的操作系統(tǒng)運行越來越慢,用戶體驗會下降很多�。
[0006](2)運營商的安全措施。運營商在核心網(wǎng)關或者在其旁路對病毒檢測是非常重要和便捷的途徑�����。運營商可以通過在網(wǎng)關處安裝防火墻或者對其旁路進行病毒監(jiān)測���,對經過網(wǎng)關的所有數(shù)據(jù)包進行檢測��,防止病毒的擴散��。
[0007](3)用戶的安全措施��。用戶為了自己的切身利益�����,自身要積極的防范病毒���。用戶應該使用正版操作系統(tǒng)�、安裝合適的殺毒軟件��、要謹慎下載軟件等措施來防范病毒���。該方法可以有效的防范病毒��,但是其缺點也很明顯�,主要有兩點:第一殺毒軟件會占大量的系統(tǒng)資源�,導致終端運行效率變慢;第二��,該方法需要用戶的參與����,防范病毒的效果取決于用戶。
[0008]針對以上三方面的防范措施���,運營商在網(wǎng)絡側進行病毒檢測��,有見效快�����,對終端平臺無要求���,只需要在規(guī)則庫中添加新的病毒特征就可以有效的防范新出現(xiàn)的病毒��,而且不用大量的普通用戶參與,是非常好的防范病毒的方法���。運營商可以在網(wǎng)絡入侵檢測系統(tǒng)的架構上實現(xiàn)該病毒檢測的方案��,及時檢測出網(wǎng)絡中的病毒��,有效防范病毒的傳播���。
[0009]近年來隨著入侵檢測技術的進步,入侵檢測系統(tǒng)(Intrus1n detect1n system,簡稱為IDS)得到了長足的發(fā)展���。目前�,入侵檢測系統(tǒng)的主流算法為多模式匹配算法�����,因為多模式匹配算法掃描一遍文本串就可以處理多個模式的匹配����,在規(guī)則數(shù)量很大時檢測效率很高��,多模式匹配算法的時間復雜度較低���,大量的研究人員開始專研多模式匹配算法,提出了很多種多模式匹配算法�。但是,當前的多模式匹配算法��,匹配結果只是告訴人們匹配上哪條病毒特征���,而對于一條病毒含有多條病毒特征的情況下���,并不能告訴人們是否匹配成功某條病毒。
【發(fā)明內容】
[0010]本發(fā)明需要解決的技術問題是提供一種病毒檢測方法及系統(tǒng)���,處理一條病毒含有多條病毒特征的情況�����,能夠更高效地檢測出病毒�。
[0011]為了解決上述技術問題����,本發(fā)明提供了一種病毒檢測方法�����,應用于網(wǎng)絡側�����,包括:
[0012]創(chuàng)建病毒特征庫,所述病毒特征庫中的病毒特征和病毒信息按照如下關系記錄:一個病毒信息包含一個或多個病毒特征�����,每個病毒特征對應一個或多個病毒信息���;
[0013]將采集到的網(wǎng)絡數(shù)據(jù)包重組解析后��,采用多模式匹配算法與所述病毒特征庫中的病毒特征進行匹配�,當匹配到一條病毒特征時�,結合已匹配到的病毒特征,判斷是否可以組成一條或多條完整的病毒信息���,如果可以�,則病毒信息匹配成功�,否則�����,等待下次匹配到新的病毒特征后繼續(xù)判斷���。
[0014]進一步地,所述創(chuàng)建病毒特征庫��,所述病毒特征庫中的病毒特征和病毒信息按照如下關系記錄��,包括:
[0015]采用兩個結構體來記錄病毒特征和病毒信息����,所述病毒特征的結構體包括四個域,分別用于表示病毒特征的唯一標識��、病毒特征的特征值�����、指向所有包含此條病毒特征的病毒信息的指針以及指向下一個病毒特征結點的指針���;所述病毒信息的結構體包括3個域���,分別用于表示病毒的唯一標識����、病毒包含的病毒特征數(shù)和指向下一個病毒信息結點的指針�;
[0016]其中,每個病毒特征會形成一個病毒特征結點�����,每個病毒信息會形成一個病毒信息結點����。
[0017]進一步地����,當匹配到一條病毒特征時,所述方法還包括:
[0018]判斷該病毒特征是否已被保存過��,如果已被保存過��,則不保存該匹配到的病毒特征�,如果沒有被保存過,則保存該匹配到的病毒特征�����。
[0019]進一步地,在病毒信息匹配成功后����,所述方法還包括:
[0020]將匹配到的病毒信息以及該病毒信息對應的網(wǎng)絡數(shù)據(jù)包上的時間戳和用戶的標識保存;
[0021]根據(jù)所述網(wǎng)絡數(shù)據(jù)包上的時間戳和用戶的標識對一段時間內匹配到的病毒信息進行統(tǒng)計分析���,展示一段時間內所述用戶中毒的統(tǒng)計結果��,所述統(tǒng)計結果包括:所述用戶中毒的病毒信息��、中毒次數(shù)和病毒類型���。
[0022]進一步地,所述方法還包括:
[0023]當出現(xiàn)新的病毒時,對病毒特征庫中的病毒特征和病毒信息進行更新��。
[0024]為了解決上述技術問題�,本發(fā)明還提供了一種病毒檢測系統(tǒng),應用于網(wǎng)絡側����,包括:
[0025]流量采集模塊,用于從網(wǎng)關采集網(wǎng)絡數(shù)據(jù)包�����;
[0026]病毒特征庫創(chuàng)建與維護模塊,用于創(chuàng)建病毒特征庫����,所述病毒特征庫中的病毒特征和病毒信息按照如下關系記錄:一個病毒信息包含一個或多個病毒特征,每個病毒特征對應一個或多個病毒信息���;
[0027]病毒匹配模塊�,用于將采集到的網(wǎng)絡數(shù)據(jù)包重組解析后�����,采用多模式匹配算法與所述病毒特征庫中的病毒特征進行匹配��,當匹配到一條病毒特征時�����,結合已匹配到的病毒特征���,判斷是否可以組成一條或多條完整的病毒信息,如果可以�����,則病毒信息匹配成功,否則保存該匹配到的病毒特征�����,等待下次匹配到新的病毒特征后繼續(xù)判斷�����。
[0028]進一步地��,所述病毒特征庫創(chuàng)建與維護模塊����,用于創(chuàng)建病毒特征庫,所述病毒特征庫中的病毒特征和病毒信息按照如下關系記錄�,包括:
[0029]采用兩個結構體來記錄病毒特征和病毒信息,所述病毒特征的結構體包括四個域��,分別用于表示病毒特征的唯一標識����、病毒特征的特征值、指向所有包含此條病毒特征的病毒信息的指針以及指向下一個病毒特征結點的指針��;所述病毒信息的結構體包括3個域,分別用于表示病毒的唯一標識����、病毒包含的病毒特征數(shù)和指向下一個病毒信息結點的指針;
[0030]其中����,每個病毒特征會形成一個病毒特征結點,每個病毒信息會形成一個病毒信息結點���。
[0031]進一步地�����,還包括與所述病毒匹配模塊相連的存儲模塊��,其中:
[0032]所述存儲模塊��,用于當匹配到一條病毒特征時�����,判斷該病毒特征是否已被保存過,如果是���,則不保存該匹配到的病毒特征�,否則保存該匹配到的病毒特征。
[0033]進一步地�����,還包括與所述存儲模塊相連的統(tǒng)計模塊���,與統(tǒng)計模塊相連的展示模塊����,其中:
[0034]所述病毒匹配模塊��,還用于在病毒信息匹配成功后�,將匹配到的病毒信息以及該病毒信息對應的網(wǎng)絡數(shù)據(jù)包上的時間戳和用戶的標識發(fā)送至存儲模塊;
[0035]所述存儲模塊�,還用于將匹配到的病毒信息以及該病毒信息對應的網(wǎng)絡數(shù)據(jù)包上的時間戳和用戶的標識保存;
[0036]所述統(tǒng)計模塊����,用于根據(jù)所述網(wǎng)絡數(shù)據(jù)包上的時間戳和用戶的標識對一段時間內匹配到的病毒信息進行統(tǒng)計分析,并將統(tǒng)計結果發(fā)送至展示平臺����,所述統(tǒng)計結果包括:所述用戶中毒的病毒信息�����、中毒次數(shù)和病毒類型���;
[0037]所述展示平臺,用于向管理員展示一段時間內所述用戶中毒的統(tǒng)計結果�����。
[0038]進一步地��,所述病毒特征庫創(chuàng)建與維護模塊���,還用于當出現(xiàn)新的病毒時��,對病毒特征庫中的病毒特征和病毒信息進行更新�。
[0039]與現(xiàn)有技術相比��,本發(fā)明實施例提供的病毒檢測方法及系統(tǒng)�����,可以處理一條病毒含有多條病毒特征的情況,適合在高速網(wǎng)絡中使用��;通過本實施例提出的這種病毒信息和病毒特征的存儲方式�,可以快速匹配到病毒����,能夠更高效地檢測出病毒。
【專利附圖】
【附圖說明】
[0040]圖1是實施例中病毒檢測方法的流程圖�;
[0041]圖2是一個應用示例中病毒特征及病毒信息存儲的結構圖;
[0042]圖3是實施例中病毒檢測系統(tǒng)的結構圖����。
【具體實施方式】
[0043]為使本發(fā)明的目的、技術方案和優(yōu)點更加清楚明白�����,下文中將結合附圖對本發(fā)明的實施例進行詳細說明�����。需要說明的是��,在不沖突的情況下���,本申請中的實施例及實施例中的特征可以相互任意組合��。
[0044]實施例:
[0045]如圖1所示��,本實施例提供了一種病毒檢測方法��,應用于網(wǎng)絡側�����,包括預處理階段和匹配階段��,預處理階段是創(chuàng)建病毒特征庫��,將病毒特征庫中的病毒特征和病毒信息以一種新的數(shù)據(jù)結構存儲記錄�,匹配階段則是將從網(wǎng)關采集到的數(shù)據(jù)包與該預處理階段創(chuàng)建的病毒特征庫中的病毒特征進行匹配,具體包括以下步驟:
[0046]SlOl:創(chuàng)建病毒特征庫��,所述病毒特征庫中的病毒特征和病毒信息重新按照如下關系記錄:一個病毒信息包含一個或多個病毒特征��,每個病毒特征對應一個或多個病毒信息�;
[0047]本實施例中,病毒信息就是指病毒的名稱���,代表一個病毒�;
[0048]其中,作為一種優(yōu)選的方式�,創(chuàng)建病毒特征庫,所述病毒特征庫中的病毒特征和病毒信息按照如下關系記錄可以具體包括:
[0049]采用兩個結構體來記錄病毒特征和病毒信息�,所述病毒特征的結構體包括四個域,分別用于表示病毒特征的唯一標識����、病毒特征的特征值���、指向所有包含此條病毒特征的病毒信息的指針以及指向下一個病毒特征結點的指針�����;所述病毒信息的結構體包括3個域�����,分別用于表示病毒的唯一標識�、病毒包含的病毒特征數(shù)和指向下一個病毒信息結點的指針�����。
[0050]其中���,每個病毒特征會形成一個病毒特征結點����,每個病毒信息會形成一個病毒信息結點。
[0051]在一個應用示例中��,如圖2所述�����,設計了一種數(shù)據(jù)結構�,可以有效的區(qū)分存儲病毒特征信息和病毒信息,同時要盡量保證不要出現(xiàn)數(shù)據(jù)冗余的情況���。在本應用示例中�����,采用結構體“patternNode”來記錄病毒特征,它包括了四個域:“id”, “pattern”, “patinfo”和“next”��。其中�,“id”唯一標識了某個病毒特征��,是病毒特征的唯一標識,pattern”是具體的特征值��,這里都是十六進制的字符串,如圖2中的“0x24”�����;“patinfo”是個指針���,指向了所有包含此條病毒特征的病毒信息����;“next”是個指針�,指向了下一個病毒特征的結點�����。在本應用示例中�����,采用結構體“patinfo”來表示病毒信息�,它包括三個域:“virus_id”,“patterncount”和“next”����,其中�����,“virus_id”唯一標識了某個病毒�,是病毒的唯一標識���;“patterncount”表示了這個病毒包含有多少個病毒特征���,“next”是個指針,指向了下一個病毒信息的結點�����。
[0052]在預處理階段����,每一個病毒特征都會形成一個“patternNode”病毒特征結點,這些結點連接起來構建成一個鏈表“patternList”�。
[0053]如圖2所示,有兩個病毒特征���,“0x24”和“0x65”��,包含0x24病毒特征的病毒有virus_id為100和105兩個病毒��。
[0054]這樣的存儲方式的好處有:1)在預處理階段�����,要生成病毒特征樹����,這樣只需遍歷病毒特征結點即可,較為方便��。2)在匹配階段���,如果匹配成功某個病毒特征�,只需向下遍歷關聯(lián)該病毒特征的病毒信息結點即可��,方便快捷����。3)該存儲方式無冗余數(shù)據(jù)���,最大限度的節(jié)省了內存空間���。
[0055]S102:遍歷所述病毒特征庫中的病毒特征���,根據(jù)現(xiàn)有的模式匹配算法建立病毒特征樹;
[0056]其中���,建立病毒特征樹的方式為現(xiàn)有技術�,例如�,AC-BM算法(Aho-Corasick-Boyer-Moore,顧名思義,是AC算法與BM算法的結合),該算法建立了一棵模式樹,其包含了所有的模式串(即本實施例中的病毒特征庫中的所有病毒特征)�����,接著參照壞字符移動規(guī)則和好前綴移動規(guī)則來對目標串匹配�����,利用上述病毒特征樹來進行多模式匹配���。
[0057]S103:將采集到的網(wǎng)絡數(shù)據(jù)包重組解析后��,采用多模式匹配算法與所述病毒特征庫中的病毒特征進行匹配����;
[0058]其中����,將采集到的網(wǎng)絡數(shù)據(jù)包重組解析���,包括:
[0059]從網(wǎng)關處采集所有流經網(wǎng)關的網(wǎng)絡數(shù)據(jù)包,對前面采集到的網(wǎng)絡數(shù)據(jù)包進行過濾��,然后對數(shù)據(jù)包進行解析��,重組分片包�,然后,對重組之后的數(shù)據(jù)包進行病毒檢測��。所述網(wǎng)絡數(shù)據(jù)包中攜帶有時間戳以及用戶的標識(例如源IP地址和目的IP地址)����,可以用來后續(xù)病毒統(tǒng)計分析,得出相應用戶的中毒統(tǒng)計結果��。
[0060]其中�,采用多模式匹配算法與所述病毒特征庫中的病毒特征進行匹配���,即將采集到的網(wǎng)絡數(shù)據(jù)包重組解析后���,利用步驟S102中建立的所述病毒特征樹實現(xiàn)多模式匹配算法����,將數(shù)據(jù)包進行病毒特征匹配�。
[0061]S104:當匹配到一條病毒特征時,結合已匹配到的病毒特征����,判斷是否可以組成一條或多條完整的病毒信息,如果可以����,則執(zhí)行步驟S105 ;否則,執(zhí)行步驟S106 �����;
[0062]本實施例中����,優(yōu)選地,多模式匹配算法可以為AC-BM(Aho-Corasick-Boyer-Moore)算法�����,采用AC-BM算法先進行病毒特征的匹配。本實施例針對一個病毒包含多條病毒特征的情況�,因此,本實施例判斷是否匹配到完整的病毒信息的策略就是�,當匹配到的多條病毒特征可以組成一個病毒信息(即該病毒信息包含的多條病毒特征都被匹配到)時,則認為成功匹配到一個病毒信息(即一個病毒)���,結合已匹配到的多條病毒特征�����,可以匹配到一條或多條病毒信息���。
[0063]其中,當匹配到一條病毒特征時��,所述方法還包括:
[0064]判斷該病毒特征是否已被保存過��,如果是�,則不保存該匹配到的病毒特征,否則保存該匹配到的病毒特征�。也就是說,不會重復保存病毒特征�。
[0065]S105:病毒信息匹配成功��,保存所述病毒信息以及該病毒信息對應的網(wǎng)絡數(shù)據(jù)包上的時間戳和用戶的標識;
[0066]S106:等待下次匹配到新的病毒特征后繼續(xù)判斷����,返回步驟S104 ;
[0067]此外�,作為一種優(yōu)選的方式,還可以將匹配到的病毒信息進行統(tǒng)計��,以對用戶中毒的情況進行分析�,所述方法還包括:
[0068]S107:根據(jù)所述網(wǎng)絡數(shù)據(jù)包上的時間戳和用戶的標識對一段時間內匹配到的病毒信息進行統(tǒng)計分析,展示一段時間內所述用戶中毒的統(tǒng)計結果����,所述統(tǒng)計結果包括:各個用戶中毒的病毒信息、中毒次數(shù)和病毒類型���。
[0069]例如���,可以對一段時間內匹配到的病毒信息進行分類,統(tǒng)計各個病毒中毒的次數(shù)����;根據(jù)用戶的標識,統(tǒng)計各個用戶一段時間內中毒的情況����,比如:中毒的病毒信息�����、中毒次數(shù)和病毒類型����。這樣�,可以根據(jù)統(tǒng)計結果,采取有效措施防范病毒��。
[0070]此外���,作為一種優(yōu)選的方式��,所述方法還包括:
[0071]當出現(xiàn)新的病毒時�,對病毒特征庫中的病毒特征和病毒信息進行更新�。
[0072]如圖3所示,本實施例提供了一種病毒檢測系統(tǒng)���,應用于網(wǎng)絡側�����,包括:
[0073]流量采集模塊�����,用于從網(wǎng)關采集網(wǎng)絡數(shù)據(jù)包�;
[0074]病毒特征庫創(chuàng)建與維護模塊���,用于創(chuàng)建病毒特征庫�����,所述病毒特征庫中的病毒特征和病毒信息按照如下關系記錄:一個病毒信息包含一個或多個病毒特征�,每個病毒特征對應一個或多個病毒信息����;病毒信息就是病毒的名稱,一個病毒信息就是指一個病毒���;
[0075]病毒匹配模塊�����,用于將采集到的網(wǎng)絡數(shù)據(jù)包解析重整后����,采用多模式匹配算法與所述病毒特征庫中的病毒特征進行匹配,當匹配到一條病毒特征時�,結合已匹配到的病毒特征,判斷是否可以組成一條或多條完整的病毒信息����,如果可以,則病毒信息匹配成功���,否則保存該匹配到的病毒特征�,等待下次匹配到新的病毒特征后繼續(xù)判斷��。
[0076]本實施例針對一個病毒包含多條病毒特征的情況�,因此,本實施例判斷是否匹配到一條病毒信息的策略就是�����,當匹配到的多條病毒特征可以組成一條病毒信息(即該病毒信息包含的多條病毒特征都被匹配到)時��,則認為成功匹配到一條病毒信息(即一個病毒)��,結合已匹配到的多條病毒特征�,可以匹配到一條或多條病毒信息��。
[0077]所述病毒特征庫創(chuàng)建與維護模塊�,用于創(chuàng)建病毒特征庫���,所述病毒特征庫中的病毒特征和病毒信息按照如下關系記錄�����,包括:
[0078]采用兩個結構體來記錄病毒特征和病毒信息,所述病毒特征的結構體包括四個域��,分別用于表示病毒特征的唯一標識��、病毒特征的特征值��、指向所有包含此條病毒特征的病毒信息的指針以及指向下一個病毒特征結點的指針����;所述病毒信息的結構體包括3個域,分別用于表示病毒的唯一標識����、病毒包含的病毒特征數(shù)和指向下一個病毒信息結點的指針;
[0079]其中���,每個病毒特征會形成一個病毒特征結點��,每個病毒信息會形成一個病毒信息結點��。
[0080]病毒特征庫創(chuàng)建與維護模塊的這種存儲結構具體匹配速度快��、無冗余數(shù)據(jù)和節(jié)省內存空間的優(yōu)點�。
[0081]其中,所述病毒匹配模塊�����,還用于遍歷所述病毒特征庫中的病毒特征��,根據(jù)現(xiàn)有的模式匹配算法建立病毒特征樹����;以利用該病毒特征樹來進行多模式匹配。
[0082]所述病毒匹配模塊����,用于將采集到的網(wǎng)絡數(shù)據(jù)包解析重整后,采用多模式匹配算法與所述病毒特征庫中的病毒特征進行匹配��,包括:
[0083]將采集到的網(wǎng)絡數(shù)據(jù)包重組解析后��,利用所述病毒特征樹實現(xiàn)多模式匹配算法,將數(shù)據(jù)包進行病毒特征匹配�。
[0084]其中,所述病毒匹配模塊��,用于將采集到的網(wǎng)絡數(shù)據(jù)包重組解析���,包括:
[0085]從網(wǎng)關處采集所有流經網(wǎng)關的網(wǎng)絡數(shù)據(jù)包����,對前面采集到的網(wǎng)絡數(shù)據(jù)包進行過濾����,然后對數(shù)據(jù)包進行解析����,重組分片包,然后���,對重組之后的數(shù)據(jù)包進行病毒檢測���。所述網(wǎng)絡數(shù)據(jù)包中攜帶有時間戳以及用戶的標識(例如源IP地址和目的IP地址),可以用來后續(xù)病毒統(tǒng)計分析�,得出相應用戶的中毒統(tǒng)計結果��。
[0086]本實施例的系統(tǒng)還包括與病毒匹配模塊相連的存儲模塊和統(tǒng)計模塊�、與統(tǒng)計模塊相連的展示模塊��,其中:
[0087]所述存儲模塊�,用于當匹配到一條病毒特征時,判斷該病毒特征是否已被保存過����,如果是,則不保存該匹配到的病毒特征����,否則保存該匹配到的病毒特征。
[0088]所述病毒匹配模塊�,還用于在病毒信息匹配成功后,將匹配到的病毒信息以及該病毒信息對應的網(wǎng)絡數(shù)據(jù)包上的時間戳和用戶的標識發(fā)送至存儲模塊�;
[0089]所述存儲模塊,還用于將匹配到的病毒信息以及該病毒信息對應的網(wǎng)絡數(shù)據(jù)包上的時間戳和用戶的標識保存��;
[0090]所述統(tǒng)計模塊��,用于根據(jù)所述網(wǎng)絡數(shù)據(jù)包上的時間戳和用戶的標識對一段時間內匹配到的病毒信息進行統(tǒng)計分析�,并將統(tǒng)計結果發(fā)送至展示平臺;
[0091]所述統(tǒng)計結果包括:所述用戶中毒的病毒信息、中毒次數(shù)和病毒類型����。
[0092]所述展示平臺,用于向管理員展示一段時間內所述用戶中毒的統(tǒng)計結果��。
[0093]作為一種優(yōu)選的方式�,所述病毒預處理模塊,還用于當出現(xiàn)新的病毒時���,對病毒特征庫中的病毒特征和病毒信息進行更新�。
[0094]從上述實施例可以看出�����,相對于現(xiàn)有技術�,上述實施例中提供的病毒檢測方法及系統(tǒng)��,可以處理一條病毒含有多條病毒特征的情況��,適合在高速網(wǎng)絡中使用�;通過本實施例提出的這種病毒信息和病毒特征的存儲方式,可以快速匹配到病毒����,能夠更高效地檢測出病毒���。
[0095]本領域普通技術人員可以理解上述方法中的全部或部分步驟可通過程序來指令相關硬件完成,所述程序可以存儲于計算機可讀存儲介質中���,如只讀存儲器�、磁盤或光盤等���?�?蛇x地�,上述實施例的全部或部分步驟也可以使用一個或多個集成電路來實現(xiàn)�����。相應地����,上述實施例中的各模塊/單元可以采用硬件的形式實現(xiàn),也可以采用軟件功能模塊的形式實現(xiàn)�。本發(fā)明不限制于任何特定形式的硬件和軟件的結合。
[0096]以上所述僅為本發(fā)明的優(yōu)選實施例而已��,并非用于限定本發(fā)明的保護范圍。根據(jù)本發(fā)明的
【發(fā)明內容】
�,還可有其他多種實施例,在不背離本發(fā)明精神及其實質的情況下����,熟悉本領域的技術人員當可根據(jù)本發(fā)明作出各種相應的改變和變形,凡在本發(fā)明的精神和原則之內��,所作的任何修改�、等同替換、改進等�����,均應包含在本發(fā)明的保護范圍之內��。
【權利要求】
1.一種病毒檢測方法�����,應用于網(wǎng)絡側��,包括: 創(chuàng)建病毒特征庫���,所述病毒特征庫中的病毒特征和病毒信息按照如下關系記錄:一個病毒信息包含一個或多個病毒特征,每個病毒特征對應一個或多個病毒信息; 將采集到的網(wǎng)絡數(shù)據(jù)包重組解析后���,采用多模式匹配算法與所述病毒特征庫中的病毒特征進行匹配�,當匹配到一條病毒特征時��,結合已匹配到的病毒特征�,判斷是否可以組成一條或多條完整的病毒信息,如果可以�����,則病毒信息匹配成功�����,否則����,等待下次匹配到新的病毒特征后繼續(xù)判斷。
2.如權利要求1所述的方法���,其特征在于: 所述創(chuàng)建病毒特征庫�����,所述病毒特征庫中的病毒特征和病毒信息按照如下關系記錄��,包括:采用兩個結構體來記錄病毒特征和病毒信息����,所述病毒特征的結構體包括四個域,分別用于表示病毒特征的唯一標識����、病毒特征的特征值、指向所有包含此條病毒特征的病毒信息的指針以及指向下一個病毒特征結點的指針�;所述病毒信息的結構體包括3個域,分別用于表示病毒的唯一標識�、病毒包含的病毒特征數(shù)和指向下一個病毒信息結點的指針;其中�,每個病毒特征會形成一個病毒特征結點,每個病毒信息會形成一個病毒信息結點����。
3.如權利要求1所述的方法,其特征在于: 當匹配到一條病毒特征時�,所述方法還包括: 判斷該病毒特征是否已被保存過,如果已被保存過��,則不保存該匹配到的病毒特征�,如果沒有被保存過,則保存該匹配到的病毒特征���。
4.如權利要求1所述的方法����,其特征在于: 在病毒信息匹配成功后��,所述方法還包括: 將匹配到的病毒信息以及該病毒信息對應的網(wǎng)絡數(shù)據(jù)包上的時間戳和用戶的標識保存�; 根據(jù)所述網(wǎng)絡數(shù)據(jù)包上的時間戳和用戶的標識對一段時間內匹配到的病毒信息進行統(tǒng)計分析,展示一段時間內所述用戶中毒的統(tǒng)計結果��,所述統(tǒng)計結果包括:所述用戶中毒的病毒信息�、中毒次數(shù)和病毒類型。
5.如權利要求1所述的方法�����,其特征在于:所述方法還包括: 當出現(xiàn)新的病毒時���,對病毒特征庫中的病毒特征和病毒信息進行更新����。
6.—種病毒檢測系統(tǒng),應用于網(wǎng)絡側,包括: 流量采集模塊���,用于從網(wǎng)關采集網(wǎng)絡數(shù)據(jù)包����; 病毒特征庫創(chuàng)建與維護模塊,用于創(chuàng)建病毒特征庫����,所述病毒特征庫中的病毒特征和病毒信息按照如下關系記錄:一個病毒信息包含一個或多個病毒特征,每個病毒特征對應一個或多個病毒信息�����; 病毒匹配模塊�����,用于將采集到的網(wǎng)絡數(shù)據(jù)包重組解析后�,采用多模式匹配算法與所述病毒特征庫中的病毒特征進行匹配,當匹配到一條病毒特征時��,結合已匹配到的病毒特征��,判斷是否可以組成一條或多條完整的病毒信息�����,如果可以,則病毒信息匹配成功����,否則保存該匹配到的病毒特征��,等待下次匹配到新的病毒特征后繼續(xù)判斷���。
7.如權利要求6所述的系統(tǒng)��,其特征在于: 所述病毒特征庫創(chuàng)建與維護模塊��,用于創(chuàng)建病毒特征庫�,所述病毒特征庫中的病毒特征和病毒信息按照如下關系記錄����,包括: 采用兩個結構體來記錄病毒特征和病毒信息,所述病毒特征的結構體包括四個域�,分別用于表示病毒特征的唯一標識、病毒特征的特征值����、指向所有包含此條病毒特征的病毒信息的指針以及指向下一個病毒特征結點的指針;所述病毒信息的結構體包括3個域,分別用于表示病毒的唯一標識��、病毒包含的病毒特征數(shù)和指向下一個病毒信息結點的指針���; 其中��,每個病毒特征會形成一個病毒特征結點�,每個病毒信息會形成一個病毒信息結點�。
8.如權利要求6所述的系統(tǒng),其特征在于:還包括與所述病毒匹配模塊相連的存儲模塊����,其中: 所述存儲模塊,用于當匹配到一條病毒特征時���,判斷該病毒特征是否已被保存過�����,如果是�,則不保存該匹配到的病毒特征�����,否則保存該匹配到的病毒特征。
9.如權利要求8所述的系統(tǒng)�,其特征在于:還包括與所述存儲模塊相連的統(tǒng)計模塊,與統(tǒng)計模塊相連的展示模塊����,其中: 所述病毒匹配模塊,還用于在病毒信息匹配成功后���,將匹配到的病毒信息以及該病毒信息對應的網(wǎng)絡數(shù)據(jù)包上的時間戳和用戶的標識發(fā)送至存儲模塊; 所述存儲模塊��,還用于將匹配到的病毒信息以及該病毒信息對應的網(wǎng)絡數(shù)據(jù)包上的時間戳和用戶的標識保存��; 所述統(tǒng)計模塊����,用于根據(jù)所述網(wǎng)絡數(shù)據(jù)包上的時間戳和用戶的標識對一段時間內匹配到的病毒信息進行統(tǒng)計分析,并將統(tǒng)計結果發(fā)送至展示平臺�,所述統(tǒng)計結果包括:所述用戶中毒的病毒信息、中毒次數(shù)和病毒類型���; 所述展示平臺����,用于向管理員展示一段時間內所述用戶中毒的統(tǒng)計結果。
10.如權利要求6所述的系統(tǒng)���,其特征在于: 所述病毒特征庫創(chuàng)建與維護模塊��,還用于當出現(xiàn)新的病毒時��,對病毒特征庫中的病毒特征和病毒信息進行更新���。
【文檔編號】G06F21/56GK104243486SQ201410508765
【公開日】2014年12月24日 申請日期:2014年9月28日 優(yōu)先權日:2014年9月28日
【發(fā)明者】李偉杰, 張云勇, 周巍 申請人:中國聯(lián)合網(wǎng)絡通信集團有限公司