| 发明名称 | 一种基于网络数据流的网络病毒检测方法及装置 | ||
| 摘要 | 本发明公开了在TCP/IP网络中的一种基于网络数据流的网络病毒检测方法及装置,对网络病毒根据宿主文件类型进行分类,根据不同描述方式对网络病毒特征进行分片,对特定个数的网络数据包重组成网络数据流,使分类和分片后的网络病毒特征和网络数据流进行匹配,检测网络数据流中隐含的网络病毒,并在匹配过程中扫描网页文件格式特征,以检测嵌入网络病毒。利用本发明,可以对网络数据流和网络病毒特征进行两次匹配,并能检测嵌入网络病毒;这样可以高效和准确地检测在TCP/IP网络中传播的网络病毒,使网络用户免受通过网络传播的网络病毒攻击,为网络用户提供一个安全的网络环境。 | ||
| 申请公布号 | CN101547126B | 申请公布日期 | 2011.10.12 |
| 申请号 | CN200810102849.4 | 申请日期 | 2008.03.27 |
| 申请人 | 北京启明星辰信息技术股份有限公司 | 发明人 | 华东明;肖小剑;邓炜;周涛 |
| 分类号 | H04L12/26(2006.01)I;H04L29/06(2006.01)I;H04L12/56(2006.01)I | 主分类号 | H04L12/26(2006.01)I |
| 代理机构 | 北京市商泰律师事务所 11255 | 代理人 | 毛燕生 |
| 主权项 | 一种基于网络数据流的网络病毒检测方法,其特征在于包括以下步骤:A、根据不同宿主文件类型对网络病毒进行分类;B、根据不同描述方式对网络病毒进行分片;C、针对不同网页文件类型获取不同网页文件格式特征;D、对特定个数的网络数据包重组成网络数据流;E、根据不同类别的病毒特征库、病毒特征片段、网页文件格式特征和网络数据流,使网络数据流和网络病毒特征进行匹配,检测出网络数据流中隐含的网络病毒;所述步骤B包括:根据网络病毒特征描述方式的不同,对于非正则表达式描述的网络病毒特征,随机并按顺序地从中抽取两片,对于正则表达式描述的网络病毒特征,从所有正则描述符前随机抽取一个片段,将该片后剩余部分作为一个片段;所述两个网络病毒特征片段中第一个病毒特征片段包括:病毒名称、病毒描述方式、文件偏移量、病毒特征偏移量、病毒特征码和所述两个病毒特征片段中第二个病毒特征片段的指针;所述第二个病毒片段包括:病毒特征偏移量和病毒特征码;所述步骤E包括:E1、根据不同文件类型,挂接不同类别的网络病毒特征库,使用多模式匹配算法,使所有网络病毒第一个片段扫描网络数据流进行匹配; E2、当E1匹配成功,且相应病毒是由非正则表达式描述时,计算出第二片病毒在网络数据流中的位置并从该位置使用单模式匹配算法扫描网络数据流进行匹配;E3、当E1匹配成功,且相应病毒是由正则表达式描述时,使用正则表达式算法和插入有第一个病毒片段后面的剩余病毒特征的自动机扫描网络数据流进行匹配;E4、如果E2或E3匹配成功,进行有病毒响应。 | ||
| 地址 | 100094 北京市海淀区东北旺西路8号中关村软件园21号启明星辰大厦 | ||