一種可切換的非完整流和完整流檢測方法及系統(tǒng)的制作方法
【專利摘要】本發(fā)明公開了一種可切換的非完整流和完整流檢測方法及系統(tǒng)，首先，獲取網(wǎng)絡(luò)數(shù)據(jù)流前部預(yù)設(shè)數(shù)量的數(shù)據(jù)包并進(jìn)行還原，然后對還原出的部分?jǐn)?shù)據(jù)進(jìn)行病毒的檢測；繼續(xù)獲取所述數(shù)據(jù)流的數(shù)據(jù)包，如果數(shù)據(jù)包接收失敗或者所述數(shù)據(jù)流的數(shù)據(jù)包已經(jīng)接收完成，則對所接收的所有數(shù)據(jù)包進(jìn)行還原并進(jìn)行病毒檢測。從而，既可以在無法獲取完整流時(shí)進(jìn)行非完整流檢測，又可以在非完整流檢測失敗或者需要時(shí)進(jìn)行完整流檢測，既減少了系統(tǒng)占用，提高了檢測效率，也保證了檢出率。
【專利說明】一種可切換的非完整流和完整流檢測方法及系統(tǒng)
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及計(jì)算機(jī)網(wǎng)絡(luò)安全【技術(shù)領(lǐng)域】，尤其涉及一種可切換的非完整流和完整流檢測方法及系統(tǒng)。
【背景技術(shù)】
[0002]目前，反病毒引擎是通過獲取網(wǎng)絡(luò)數(shù)據(jù)包，將網(wǎng)絡(luò)數(shù)據(jù)包還原完整后，對文件進(jìn)行病毒特征碼檢測。由于網(wǎng)絡(luò)上傳輸?shù)臄?shù)據(jù)包有一定幾率會(huì)丟失,并且可能同一個(gè)數(shù)據(jù)流來自于不同的數(shù)據(jù)源，都會(huì)導(dǎo)致無法獲取全部數(shù)據(jù)包，從而不能將文件還原完整。
[0003]而且，有些惡意代碼的特征在數(shù)據(jù)流的起始部分就已經(jīng)開始體現(xiàn)，并能夠正確檢測，如果在這種情況下依然還原完整數(shù)據(jù)流再進(jìn)行檢測的話，不僅浪費(fèi)系統(tǒng)資源，而且影響檢測效率。同時(shí)，如果只是對數(shù)據(jù)流的起始部分進(jìn)行檢測，可能存在起始部分中不包含可用于檢測的特征片段，這樣影響了檢出率。

【發(fā)明內(nèi)容】

[0004]針對上述技術(shù)問題，本發(fā)明提供了一種可切換的非完整流和完整流檢測方法及系統(tǒng)，該方法首先基于獲取的數(shù)據(jù)流的首部分?jǐn)?shù)據(jù)進(jìn)行非完整流檢測，并基于檢測結(jié)果判定是否需要進(jìn)行完整流檢測，從而提高了檢測效率，減少了對系統(tǒng)的占用。
[0005]本發(fā)明采用如下方法來實(shí)現(xiàn):一種可切換的非完整流和完整流檢測方法，包括:
獲取網(wǎng)絡(luò)數(shù)據(jù)流前部預(yù)設(shè)數(shù)量的數(shù)據(jù)包并進(jìn)行還原，然后對還原出的部分?jǐn)?shù)據(jù)進(jìn)行病
毒的檢測；
繼續(xù)獲取所述數(shù)據(jù)流的數(shù)據(jù)包，如果數(shù)據(jù)包接收失敗或者所述數(shù)據(jù)流的數(shù)據(jù)包已經(jīng)接收完成，則對所接收的所有數(shù)據(jù)包進(jìn)行還原并進(jìn)行病毒檢測。
[0006]方法中，所述獲取網(wǎng)絡(luò)數(shù)據(jù)流前部預(yù)設(shè)數(shù)量的數(shù)據(jù)包并進(jìn)行還原，然后對還原出的部分?jǐn)?shù)據(jù)進(jìn)行病毒的檢測包括，如果檢測出惡意代碼則結(jié)束檢測，否則繼續(xù)獲取所述數(shù)據(jù)流的數(shù)據(jù)包，如果數(shù)據(jù)包接收失敗或者所述數(shù)據(jù)流的數(shù)據(jù)包已經(jīng)接收完成，則對所接收的數(shù)據(jù)包進(jìn)行還原并進(jìn)行病毒檢測。
[0007]方法中，所述獲取網(wǎng)絡(luò)數(shù)據(jù)流前部預(yù)設(shè)數(shù)量的數(shù)據(jù)包并進(jìn)行還原，然后對還原的部分?jǐn)?shù)據(jù)進(jìn)行病毒的檢測包括:如果未檢測出惡意代碼，則進(jìn)一步提取所述還原出的部分?jǐn)?shù)據(jù)特征，如果所述特征同時(shí)存在于正常文件和惡意代碼文件中，則繼續(xù)獲取所述數(shù)據(jù)流的數(shù)據(jù)包，如果數(shù)據(jù)包接收失敗或者所述數(shù)據(jù)流的數(shù)據(jù)包已經(jīng)接收完成，則對所接收的所有數(shù)據(jù)包進(jìn)行還原并進(jìn)行病毒檢測。
[0008]上述方法中，所述獲取網(wǎng)絡(luò)數(shù)據(jù)流前部預(yù)設(shè)數(shù)量的數(shù)據(jù)包并進(jìn)行還原包括:還原前部預(yù)設(shè)數(shù)量的數(shù)據(jù)包得到的數(shù)據(jù)長度不超過指定長度。
[0009]上述方法中，如果所述數(shù)據(jù)流的全部數(shù)據(jù)包數(shù)量少于所述網(wǎng)絡(luò)數(shù)據(jù)流前部預(yù)設(shè)數(shù)量，則還原所述數(shù)據(jù)流的全部數(shù)據(jù)包并進(jìn)行病毒檢測。
[0010]—種可切換的非完整流和完整流檢測系統(tǒng)，包括: 非完整流檢測模塊，獲取網(wǎng)絡(luò)數(shù)據(jù)流前部預(yù)設(shè)數(shù)量的數(shù)據(jù)包并進(jìn)行還原，然后對還原出的部分?jǐn)?shù)據(jù)進(jìn)行病毒的檢測；
完整流檢測模塊，繼續(xù)獲取所述數(shù)據(jù)流的數(shù)據(jù)包，如果數(shù)據(jù)包接收失敗或者所述數(shù)據(jù)流的數(shù)據(jù)包已經(jīng)接收完成，則對所接收的所有數(shù)據(jù)包進(jìn)行還原并進(jìn)行病毒檢測。
[0011]系統(tǒng)中，所述獲取網(wǎng)絡(luò)數(shù)據(jù)流前部預(yù)設(shè)數(shù)量的數(shù)據(jù)包并進(jìn)行還原，然后對還原出的部分?jǐn)?shù)據(jù)進(jìn)行病毒的檢測包括，如果檢測出惡意代碼則結(jié)束檢測，否則繼續(xù)獲取所述數(shù)據(jù)流的數(shù)據(jù)包，如果數(shù)據(jù)包接收失敗或者所述數(shù)據(jù)流的數(shù)據(jù)包已經(jīng)接收完成，則對所接收的數(shù)據(jù)包進(jìn)行還原并進(jìn)行病毒檢測。
[0012]系統(tǒng)中，所述獲取網(wǎng)絡(luò)數(shù)據(jù)流前部預(yù)設(shè)數(shù)量的數(shù)據(jù)包并進(jìn)行還原，然后對還原的部分?jǐn)?shù)據(jù)進(jìn)行病毒的檢測包括:如果未檢測出惡意代碼，則進(jìn)一步提取所述還原出的部分?jǐn)?shù)據(jù)特征，如果所述特征同時(shí)存在于正常文件和惡意代碼文件中，則繼續(xù)獲取所述數(shù)據(jù)流的數(shù)據(jù)包，如果數(shù)據(jù)包接收失敗或者所述數(shù)據(jù)流的數(shù)據(jù)包已經(jīng)接收完成，則對所接收的所有數(shù)據(jù)包進(jìn)行還原并進(jìn)行病毒檢測。
[0013]上述系統(tǒng)中，所述獲取網(wǎng)絡(luò)數(shù)據(jù)流前部預(yù)設(shè)數(shù)量的數(shù)據(jù)包并進(jìn)行還原包括:還原前部預(yù)設(shè)數(shù)量的數(shù)據(jù)包得到的數(shù)據(jù)長度不超過指定長度。
[0014]上述系統(tǒng)中，如果所述數(shù)據(jù)流的全部數(shù)據(jù)包數(shù)量少于所述網(wǎng)絡(luò)數(shù)據(jù)流前部預(yù)設(shè)數(shù)量，則還原所述數(shù)據(jù)流的全部數(shù)據(jù)包并進(jìn)行病毒檢測。
[0015]綜上所述，本發(fā)明提供了一種可切換的非完整流和完整流檢測方法及系統(tǒng)，首先獲取待檢測數(shù)據(jù)流的預(yù)設(shè)數(shù)量的數(shù)據(jù)包并還原，對于還原的數(shù)據(jù)進(jìn)行病毒檢測；同時(shí)，可以繼續(xù)獲取所述數(shù)據(jù)流的數(shù)據(jù)包，對接收的所有數(shù)據(jù)包進(jìn)行還原并進(jìn)行病毒檢測。從而既提高了檢測效率，由保證了檢出率。
【專利附圖】

【附圖說明】
[0016]為了更清楚地說明本發(fā)明的技術(shù)方案，下面將對實(shí)施例中所需要使用的附圖作簡單地介紹，顯而易見地，下面描述中的附圖僅僅是本發(fā)明中記載的一些實(shí)施例，對于本領(lǐng)域普通技術(shù)人員來講，在不付出創(chuàng)造性勞動(dòng)的前提下，還可以根據(jù)這些附圖獲得其他的附圖。
[0017]圖1為本發(fā)明提供的一種可切換的非完整流和完整流檢測方法流程圖；
圖2為本發(fā)明提供的一種可切換的非完整流和完整流檢測系統(tǒng)結(jié)構(gòu)圖。
【具體實(shí)施方式】
[0018]本發(fā)明給出了一種可切換的非完整流和完整流檢測方法及系統(tǒng)，為了使本【技術(shù)領(lǐng)域】的人員更好地理解本發(fā)明實(shí)施例中的技術(shù)方案，并使本發(fā)明的上述目的、特征和優(yōu)點(diǎn)能夠更加明顯易懂，下面結(jié)合附圖對本發(fā)明中技術(shù)方案作進(jìn)一步詳細(xì)的說明:
本發(fā)明首先提供了一種可切換的非完整流和完整流檢測方法，如圖1所示，包括:
SlOl獲取網(wǎng)絡(luò)數(shù)據(jù)流前部預(yù)設(shè)數(shù)量的數(shù)據(jù)包并進(jìn)行還原，然后對還原出的部分?jǐn)?shù)據(jù)進(jìn)行病毒的檢測；
S102繼續(xù)獲取所述數(shù)據(jù)流的數(shù)據(jù)包，如果數(shù)據(jù)包接收失敗或者所述數(shù)據(jù)流的數(shù)據(jù)包已經(jīng)接收完成，則對所接收的所有數(shù)據(jù)包進(jìn)行還原并進(jìn)行病毒檢測。
[0019]優(yōu)選地，所述獲取網(wǎng)絡(luò)數(shù)據(jù)流前部預(yù)設(shè)數(shù)量的數(shù)據(jù)包并進(jìn)行還原，然后對還原出的部分?jǐn)?shù)據(jù)進(jìn)行病毒的檢測包括，如果檢測出惡意代碼則結(jié)束檢測，否則繼續(xù)獲取所述數(shù)據(jù)流的數(shù)據(jù)包，如果數(shù)據(jù)包接收失敗或者所述數(shù)據(jù)流的數(shù)據(jù)包已經(jīng)接收完成，則對所接收的數(shù)據(jù)包進(jìn)行還原并進(jìn)行病毒檢測。
[0020]優(yōu)選地，所述獲取網(wǎng)絡(luò)數(shù)據(jù)流前部預(yù)設(shè)數(shù)量的數(shù)據(jù)包并進(jìn)行還原，然后對還原的部分?jǐn)?shù)據(jù)進(jìn)行病毒的檢測包括:如果未檢測出惡意代碼，則進(jìn)一步提取所述還原出的部分?jǐn)?shù)據(jù)特征，如果所述特征同時(shí)存在于正常文件和惡意代碼文件中，則繼續(xù)獲取所述數(shù)據(jù)流的數(shù)據(jù)包，如果數(shù)據(jù)包接收失敗或者所述數(shù)據(jù)流的數(shù)據(jù)包已經(jīng)接收完成，則對所接收的所有數(shù)據(jù)包進(jìn)行還原并進(jìn)行病毒檢測。
[0021]更為優(yōu)選地，所述獲取網(wǎng)絡(luò)數(shù)據(jù)流前部預(yù)設(shè)數(shù)量的數(shù)據(jù)包并進(jìn)行還原包括:還原前部預(yù)設(shè)數(shù)量的數(shù)據(jù)包得到的數(shù)據(jù)長度不超過指定長度。
[0022]更為優(yōu)選地，如果所述數(shù)據(jù)流的全部數(shù)據(jù)包數(shù)量少于所述網(wǎng)絡(luò)數(shù)據(jù)流前部預(yù)設(shè)數(shù)量，則還原所述數(shù)據(jù)流的全部數(shù)據(jù)包并進(jìn)行病毒檢測。
[0023]本發(fā)明還提供了一種可切換的非完整流和完整流檢測系統(tǒng)，如圖2所示，包括: 非完整流檢測模塊201，獲取網(wǎng)絡(luò)數(shù)據(jù)流前部預(yù)設(shè)數(shù)量的數(shù)據(jù)包并進(jìn)行還原，然后對還
原出的部分?jǐn)?shù)據(jù)進(jìn)行病毒的檢測；
完整流檢測模塊202，繼續(xù)獲取所述數(shù)據(jù)流的數(shù)據(jù)包，如果數(shù)據(jù)包接收失敗或者所述數(shù)據(jù)流的數(shù)據(jù)包已經(jīng)接收完成，則對所接收的所有數(shù)據(jù)包進(jìn)行還原并進(jìn)行病毒檢測。
[0024]優(yōu)選地，所述獲取網(wǎng)絡(luò)數(shù)據(jù)流前部預(yù)設(shè)數(shù)量的數(shù)據(jù)包并進(jìn)行還原，然后對還原出的部分?jǐn)?shù)據(jù)進(jìn)行病毒的檢測包括，如果檢測出惡意代碼則結(jié)束檢測，否則繼續(xù)獲取所述數(shù)據(jù)流的數(shù)據(jù)包，如果數(shù)據(jù)包接收失敗或者所述數(shù)據(jù)流的數(shù)據(jù)包已經(jīng)接收完成，則對所接收的數(shù)據(jù)包進(jìn)行還原并進(jìn)行病毒檢測。
[0025]優(yōu)選地，所述獲取網(wǎng)絡(luò)數(shù)據(jù)流前部預(yù)設(shè)數(shù)量的數(shù)據(jù)包并進(jìn)行還原，然后對還原的部分?jǐn)?shù)據(jù)進(jìn)行病毒的檢測包括:如果未檢測出惡意代碼，則進(jìn)一步提取所述還原出的部分?jǐn)?shù)據(jù)特征，如果所述特征同時(shí)存在于正常文件和惡意代碼文件中，則繼續(xù)獲取所述數(shù)據(jù)流的數(shù)據(jù)包，如果數(shù)據(jù)包接收失敗或者所述數(shù)據(jù)流的數(shù)據(jù)包已經(jīng)接收完成，則對所接收的所有數(shù)據(jù)包進(jìn)行還原并進(jìn)行病毒檢測。
[0026]更為優(yōu)選地，所述獲取網(wǎng)絡(luò)數(shù)據(jù)流前部預(yù)設(shè)數(shù)量的數(shù)據(jù)包并進(jìn)行還原包括:還原前部預(yù)設(shè)數(shù)量的數(shù)據(jù)包得到的數(shù)據(jù)長度不超過指定長度。
[0027]更為優(yōu)選地，如果所述數(shù)據(jù)流的全部數(shù)據(jù)包數(shù)量少于所述網(wǎng)絡(luò)數(shù)據(jù)流前部預(yù)設(shè)數(shù)量，則還原所述數(shù)據(jù)流的全部數(shù)據(jù)包并進(jìn)行病毒檢測。
[0028]如上所述，本發(fā)明給出了一種可切換的非完整流和完整流檢測方法及系統(tǒng)，其與傳統(tǒng)方法的區(qū)別在于，對于傳統(tǒng)方法來說，盡力獲取待檢測數(shù)據(jù)流的所有數(shù)據(jù)包，進(jìn)行文件還原，對所述文件進(jìn)行惡意代碼檢測。當(dāng)遇到無法獲取所有數(shù)據(jù)包，或者基于預(yù)設(shè)數(shù)量的數(shù)據(jù)包進(jìn)行還原后的數(shù)據(jù)就可以進(jìn)行準(zhǔn)確判別時(shí)，傳統(tǒng)方法存在很多不足；本發(fā)明所述的方法，首先，獲取預(yù)設(shè)數(shù)量的數(shù)據(jù)包，還原后進(jìn)行檢測，如果檢測出惡意代碼則結(jié)束，從而使得檢測速率提聞，系統(tǒng)占用減小。
[0029]以上實(shí)施例用以說明而非限制本發(fā)明的技術(shù)方案。不脫離本發(fā)明精神和范圍的任何修改或局部替換，均應(yīng)涵蓋在本發(fā)明的權(quán)利要求范圍當(dāng)中。
【權(quán)利要求】
1.一種可切換的非完整流和完整流檢測方法，其特征在于，包括: 獲取網(wǎng)絡(luò)數(shù)據(jù)流前部預(yù)設(shè)數(shù)量的數(shù)據(jù)包并進(jìn)行還原，然后對還原出的部分?jǐn)?shù)據(jù)進(jìn)行病毒的檢測； 繼續(xù)獲取所述數(shù)據(jù)流的數(shù)據(jù)包，如果數(shù)據(jù)包接收失敗或者所述數(shù)據(jù)流的數(shù)據(jù)包已經(jīng)接收完成，則對所接收的所有數(shù)據(jù)包進(jìn)行還原并進(jìn)行病毒檢測。
2.如權(quán)利要求1所述的方法，其特征在于，所述獲取網(wǎng)絡(luò)數(shù)據(jù)流前部預(yù)設(shè)數(shù)量的數(shù)據(jù)包并進(jìn)行還原，然后對還原出的部分?jǐn)?shù)據(jù)進(jìn)行病毒的檢測包括，如果檢測出惡意代碼則結(jié)束檢測，否則繼續(xù)獲取所述數(shù)據(jù)流的數(shù)據(jù)包，如果數(shù)據(jù)包接收失敗或者所述數(shù)據(jù)流的數(shù)據(jù)包已經(jīng)接收完成，則對所接收的數(shù)據(jù)包進(jìn)行還原并進(jìn)行病毒檢測。
3.如權(quán)利要求1所述的方法，其特征在于，所述獲取網(wǎng)絡(luò)數(shù)據(jù)流前部預(yù)設(shè)數(shù)量的數(shù)據(jù)包并進(jìn)行還原，然后對還原的部分?jǐn)?shù)據(jù)進(jìn)行病毒的檢測包括:如果未檢測出惡意代碼，則進(jìn)一步提取所述還原出的部分?jǐn)?shù)據(jù)特征，如果所述特征同時(shí)存在于正常文件和惡意代碼文件中，則繼續(xù)獲取所述數(shù)據(jù)流的數(shù)據(jù)包，如果數(shù)據(jù)包接收失敗或者所述數(shù)據(jù)流的數(shù)據(jù)包已經(jīng)接收完成，則對所接收的所有數(shù)據(jù)包進(jìn)行還原并進(jìn)行病毒檢測。
4.如權(quán)利要求1或2或3所述的方法，其特征在于，所述獲取網(wǎng)絡(luò)數(shù)據(jù)流前部預(yù)設(shè)數(shù)量的數(shù)據(jù)包并進(jìn)行還原包括:還原前部預(yù)設(shè)數(shù)量的數(shù)據(jù)包得到的數(shù)據(jù)長度不超過指定長度。
5.如權(quán)利要求1或2或3所述的方法，其特征在于，如果所述數(shù)據(jù)流的全部數(shù)據(jù)包數(shù)量少于所述網(wǎng)絡(luò)數(shù)據(jù)流前部預(yù)設(shè)數(shù)量，則還原所述數(shù)據(jù)流的全部數(shù)據(jù)包并進(jìn)行病毒檢測。
6.—種可切換的非完整流和完整流檢測系統(tǒng)，其特征在于，包括: 非完整流檢測模塊，獲取網(wǎng)絡(luò)數(shù)據(jù)流前部預(yù)設(shè)數(shù)量的數(shù)據(jù)包并進(jìn)行還原，然后對還原出的部分?jǐn)?shù)據(jù)進(jìn)行病毒的檢測； 完整流檢測模塊，繼續(xù)獲取所述數(shù)據(jù)流的數(shù)據(jù)包，如果數(shù)據(jù)包接收失敗或者所述數(shù)據(jù)流的數(shù)據(jù)包已經(jīng)接收完成，則對所接收的所有數(shù)據(jù)包進(jìn)行還原并進(jìn)行病毒檢測。
7.如權(quán)利要求6所述的系統(tǒng)，其特征在于，所述獲取網(wǎng)絡(luò)數(shù)據(jù)流前部預(yù)設(shè)數(shù)量的數(shù)據(jù)包并進(jìn)行還原，然后對還原出的部分?jǐn)?shù)據(jù)進(jìn)行病毒的檢測包括，如果檢測出惡意代碼則結(jié)束檢測，否則繼續(xù)獲取所述數(shù)據(jù)流的數(shù)據(jù)包，如果數(shù)據(jù)包接收失敗或者所述數(shù)據(jù)流的數(shù)據(jù)包已經(jīng)接收完成，則對所接收的數(shù)據(jù)包進(jìn)行還原并進(jìn)行病毒檢測。
8.如權(quán)利要求6所述的系統(tǒng)，其特征在于，所述獲取網(wǎng)絡(luò)數(shù)據(jù)流前部預(yù)設(shè)數(shù)量的數(shù)據(jù)包并進(jìn)行還原，然后對還原的部分?jǐn)?shù)據(jù)進(jìn)行病毒的檢測包括:如果未檢測出惡意代碼，則進(jìn)一步提取所述還原出的部分?jǐn)?shù)據(jù)特征，如果所述特征同時(shí)存在于正常文件和惡意代碼文件中，則繼續(xù)獲取所述數(shù)據(jù)流的數(shù)據(jù)包，如果數(shù)據(jù)包接收失敗或者所述數(shù)據(jù)流的數(shù)據(jù)包已經(jīng)接收完成，則對所接收的所有數(shù)據(jù)包進(jìn)行還原并進(jìn)行病毒檢測。
9.如權(quán)利要求6或7或8所述的系統(tǒng)，其特征在于，所述獲取網(wǎng)絡(luò)數(shù)據(jù)流前部預(yù)設(shè)數(shù)量的數(shù)據(jù)包并進(jìn)行還原包括:還原前部預(yù)設(shè)數(shù)量的數(shù)據(jù)包得到的數(shù)據(jù)長度不超過指定長度。
10.如權(quán)利要求6或7或8所述的系統(tǒng)，其特征在于，如果所述數(shù)據(jù)流的全部數(shù)據(jù)包數(shù)量少于所述網(wǎng)絡(luò)數(shù)據(jù)流前部預(yù)設(shè)數(shù)量，則還原所述數(shù)據(jù)流的全部數(shù)據(jù)包并進(jìn)行病毒檢測。
【文檔編號】H04L29/06GK103580949SQ201210578030
【公開日】2014年2月12日 申請日期:2012年12月27日 優(yōu)先權(quán)日:2012年12月27日
【發(fā)明者】肖新光, 李石磊, 童志明 申請人:哈爾濱安天科技股份有限公司