CN102905269A - 一种手机病毒的检测方法和装置 - Google Patents
一种手机病毒的检测方法和装置 Download PDFInfo
- Publication number
- CN102905269A CN102905269A CN2011102103136A CN201110210313A CN102905269A CN 102905269 A CN102905269 A CN 102905269A CN 2011102103136 A CN2011102103136 A CN 2011102103136A CN 201110210313 A CN201110210313 A CN 201110210313A CN 102905269 A CN102905269 A CN 102905269A
- Authority
- CN
- China
- Prior art keywords
- session
- packet
- mobile phone
- virus
- virus scan
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/145—Countermeasures against malicious traffic the attack involving the propagation of malware through the network, e.g. viruses, trojans or worms
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/562—Static detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0281—Proxies
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/12—Detection or prevention of fraud
- H04W12/128—Anti-malware arrangements, e.g. protection against SMS fraud or mobile malware
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Signal Processing (AREA)
- Computer Networks & Wireless Communication (AREA)
- Computing Systems (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Virology (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
本发明公开了一种手机病毒的检测方法和装置,该方法包括:对获取的会话的数据包中一会话的前M个数据包进行病毒扫描,其中M大于等于1且小于N,其中N为该会话的所有数据包的总数;当所述前M个数据包中不包含可疑病毒时,则确定该会话中不包含手机病毒。采用本发明的病毒检测方法,能够满足高流量下的手机病毒的检测需求,满足高速处理的要求。
Description
技术领域
本发明涉及信息安全领域,特别是一种手机病毒的检测方法和装置。
背景技术
随着手机的发展,许多以智能手机为目标的病毒在智能手机中传播。如果手机病毒成功地感染智能手机,它能够通过MMS传播到其它智能手机上,因此能够在短时间内感染许多智能手机。另一方面,某些手机病毒主动连接到部署在网络中的一些恶意控制服务器,该恶意控制服务器能够提供控制命令或预设攻击目标以供病毒下载。某些病毒发送欺骗SMS或MMS给其他智能手机,该欺骗SMS或MMS可以诱使用户从网络上的一些服务器下载病毒。有些手机病毒的目的是秘密窃取用户信息或使用账单服务,而用户并不知道其智能手机已被感染手机病毒。另一方面,由于在智能手机中安装防病毒软件非常不方便,因此用户即使已经知道其智能手机工作不正常,也很难在智能手机上安装防病毒软件。
大多数手机病毒通过移动网络例如MMS、WAP、HTTP等传播,因此手机病毒检测系统可以布置在网络中的某些位置(例如:Gn接口、Gi、WAP网关和MMSC)以监控病毒袭击。然而,移动接口的网络速度通常是千兆比特,基于会话重组的传统的检测技术,需要对整个会话进行重组并扫描病毒,无法满足高流量的病毒检测。
Snort是基于开源网络的入侵检测系统,能够在IP网络上进行实时流量分析和报文日志。Snort进行协议分析、内容搜索和内容匹配。Snort也可以用于检测探测和攻击,包括但不限于:操作系统指纹尝试、通用网关接口、缓冲区溢出、服务器消息阻挡探测和端口扫描。早期版本的Snort根据攻击特征信息基于单包扫描网络流量,只需要进行无状态协议处理。但早期版本的Snort无法重组会话并进行病毒扫描。
因此,现有的基于会话重组的病毒检测技术无法适应高流量的病毒检测。
发明内容
有鉴于此,本发明提出了一种手机病毒的检测方法,能够满足高流量下手机病毒的检测需求,满足高速处理的要求。本发明还提供一种手机病毒的检测装置。
因此,根据本发明一实施例,提供了一种手机病毒的检测方法,包括:
对获取的会话的数据包中一会话的前M个数据包进行病毒扫描,其中M大于等于1且小于N,其中N为该会话的所有数据包的总数;
当所述前M个数据包中不包含可疑病毒时,则确定该会话中不包含手机病毒。
从上述方案中可以看出,由于本发明实施例的检测方法仅对一会话的前M个数据包进行检测,当前M个数据包中不包含可疑病毒时,无需对整个会话进行病毒扫描,因此提高了手机病毒的检测速度,能够满足高流量下实时检测的需求,满足高速处理的要求。
优选地,所述对获取的会话的数据包中一会话的前M个数据包进行病毒扫描,包括:使用指针索引对获取的会话的数据包中一会话的前M个数据包按顺序进行病毒扫描,所述顺序为自该会话的第一个数据包到该会话的第M个数据包。
这样,当会话的数据包是乱序时,并不需要在内存中进行会话重组,只是使用指针顺序扫描该会话的数据包即可实现对该会话的前M个数据包进行病毒扫描,节省了内存空间,并改善了检测的性能。
优选地,对获取的会话的数据包中一会话的前M个数据包进行病毒扫描,包括:采用预处理病毒库对获取的会话的数据包中一会话的前M个数据包进行病毒扫描,其中所述预处理病毒库用于存储片段手机病毒特征,所述片段手机病毒特征适用于查找一会话的前M个数据包中包含的手机病毒。这样,即可采用预处理病毒库对该会话的前M个数据包进行病毒扫描,检查出前M个数据包是否包含可疑病毒。
优选地,在所述对获取的会话的数据包中一会话的前M个数据包进行病毒扫描之前,所述方法进一步包括:对获取的会话的数据包中该会话的第一个数据包进行检查,判断该会话是否是文件下载会话,如果否,则确定该会话中不包含手机病毒,如果是,则执行所述对获取的会话的数据包中该会话的前M个数据包进行病毒扫描的步骤。这样,即可根据该会话的第一个数据包实现对非文件下载会话不进行病毒扫描,使得病毒检测的处理更加高速。
优选地,在所述对获取的会话的数据包中一会话的前M个数据包进行病毒扫描之前,所述方法进一步包括:对获取的会话的数据包中该会话的前M个数据包进行模式检查,判断该会话是否属于白名单中的会话,如果是,则确定该会话中不包含手机病毒,如果否,则执行所述对获取的会话的数据包中该会话的前M个数据包进行病毒扫描的步骤。这样,只对会话的前M个数据包进行模式检查,当确定会话属于白名单时,对该会话的前M个数据包不进行病毒扫描,只有在该会话不属于白名单时,才对该会话的前M个数据包进行病毒扫描,使得病毒扫描更加迅速。
优选地,所述对获取的会话的数据包中一会话的前M个数据包进行病毒扫描,包括:获取并缓存会话的数据包;对所述缓存的会话的数据包中一会话的前M个数据包进行重组;对重组后的该会话的前M个数据包进行病毒扫描。
这样,可以在缓存过程中,实现对会话的前M个数据包进行病毒扫描,能够满足实时且高速处理的要求。
优选地,所述方法进一步包括:当所述前M个数据包中包含可疑病毒时,对该会话的剩余数据包进行病毒扫描,以判断该会话中是否包含手机病毒。这样,只有当前M个数据包中包含可疑病毒时,才继续对该会话的剩余数据包进行病毒扫描。
本发明的实施例还提供了一种手机病毒的检测装置,所述检测装置包括:
预处理引擎,用于对获取的会话的数据包中一会话的前M个数据包进行病毒扫描,其中M大于等于1且小于N,其中N为该会话的所有数据包的总数;
病毒分析模块,用于根据所述预处理引擎的扫描结果,当所述前M个数据包中不包含可疑病毒时,确定该会话中不包含手机病毒。
采用该检测装置,只需对会话的前M个数据包进行病毒扫描,当所述前M个数据包中不包含可疑病毒时,无需对该会话的剩余数据包进行病毒扫描。因此,需要扫描的数据包大大减少,检测装置的性能将大大提高,满足高速处理的要求。
优选地,所述检测装置进一步包括:预处理病毒库,用于存储片段手机病毒特征,所述片段手机病毒特征适用于查找一会话的前M个数据包中包含的手机病毒;所述预处理引擎,具体用于采用所述预处理病毒库对获取的会话的数据包中一会话的前M个数据包进行病毒扫描。这样,可以使用预处理数据库对该会话的前M个数据包进行病毒扫描,加快了病毒的扫描速度,进一步提高了检测装置的性能。
优选地,所述预处理引擎包括:预判断模块和病毒扫描模块,所述预判断模块用于对获取的会话的数据包中一会话的第一个数据包进行检查,判断该会话是否是文件下载会话,如果否,则通知所述病毒分析模块该会话不是文件下载会话,如果是,则通知所述病毒扫描模块对获取的会话的数据包中该会话的前M个数据包进行病毒扫描;所述病毒分析模块用于根据所述预处理引擎的通知确定该会话中不包含手机病毒。
这样,预判断模块通过检查会话的第一个数据包即可实现对非文件下载会话不进行病毒扫描,使得病毒检测的处理更加高速。
优选地,所述预处理引擎包括:模式检查模块和病毒扫描模块,所述模式检查模块用于对获取的会话的数据包中一会话的前M个数据包进行模式检查,判断该会话是否属于白名单中的会话,如果是,则通知所述病毒分析模块该会话属于白名单中的会话,如果否,则通知所述病毒扫描模块对获取的会话的数据包中该会话的前M个数据包进行病毒扫描;所述病毒分析模块用于根据所述预处理引擎的通知确定该会话中不包含手机病毒。
这样,模式检查模块对该会话的前M个数据包进行模式检查,当会话属于白名单时,对该会话的前M个数据包不进行病毒扫描,使得病毒扫描更加迅速,进一步提高检测装置的性能。
本发明的一种实施方式中,所述预处理引擎包括:缓存模块,用于缓存获取的会话的数据包;重组模块,用于对所述缓存模块缓存的会话的数据包中一会话的前M个数据包进行重组;病毒扫描模块,用于对所述重组模块重组后的该会话的前M个数据包进行病毒扫描。
优选地,所述病毒分析模块进一步用于根据所述预处理引擎的扫描结果,当所述前M个数据包中包含可疑病毒时,对该会话的剩余数据包进行病毒扫描,以判断该会话中是否包含的手机病毒。
这样,当该会话的前M个数据包中包含可疑病毒时,能够继续对该会话的剩余数据包进行病毒扫描,以检测该会话中包含的手机病毒。
附图说明
下面将通过参照附图详细描述本发明的优选实施例,使本领域的普通技术人员更清楚本发明的上述及其它特征和优点,附图中:
图1示意性地示出了本发明的一个应用场景。
图2a为本发明一实施例提供的手机病毒的检测方法的流程图。
图2b为本发明另一实施例提供的手机病毒的检测方法的流程图。
图3为本发明具体实施例提供的手机病毒的检测方法的流程图。
图4a为本发明一实施例提供的手机病毒的检测装置的结构示意图。
图4b为本发明另一实施例提供的手机病毒的检测装置的结构示意图。
其中,附图标号如下:
图2a中:S201-S204步骤流程
图2b中:S201a-S204步骤流程
图3中:S301-S307步骤流程
41预处理引擎 42病毒分析模块 43预处理病毒库
44病毒库 45告警模块 411缓存模块
412病毒扫描模块 413模式检查模块 414预判断模块
418重组模块
具体实施方式
为使本发明的目的、技术方案和优点更加清楚,以下举实施例对本发明进一步详细说明。
图1示意性地示出了本发明的一个应用场景。本发明的检测方法可以应用于与移动终端之间的通信,例如可以应用在GPRS(General Packet Radio Service,通用分组无线业务)网络的Gn接口或Gi接口,或者其他的手机病毒经过的路径。应用本发明的检测方法的检测装置可以部署在Gn接口或Gi接口,或者其他的手机病毒经过的路径,以执行该检测方法。如图1所示,该检测方法可以应用在Gn接口,即在SGSN(Service GPRSSupporting Node,GPRS服务支持节点)和GGSN(Gateway GPRS Support Node,GPRS网关支持节点)之间的接口之间实施本发明的方法。
如图2a所示,为本发明实施例提供的手机病毒的检测方法的流程图,具体包括:
S201、对获取的会话的数据包中一会话的前M个数据包进行病毒扫描,其中M大于等于1且小于N,其中N为该会话的所有数据包的总数;
其中,获取的会话的数据包可以具体是接收的会话的数据包或捕获的会话的数据包;
其中,当该会话的数据包是正常序列时,可以直接对该会话的前M个数据包进行病毒扫描;当该会话的数据包是乱序时,可以将该会话的前M个数据包放入内存中重组,对重组后的该会话的前M个数据包进行病毒扫描。
当会话的数据包乱序时,由于上述重组过程需要内存拷贝,为了节省内存空间,改善检测装置的性能,提高病毒检测速度,在对该会话的前M个数据包进行病毒扫描时,可以使用零拷贝技术。则所述对获取的会话的数据包中一会话的前M个数据包进行病毒扫描,包括:使用指针索引对获取的会话的数据包中一会话的前M个数据包按顺序进行病毒扫描,所述顺序为自该会话的第一个数据包到该会话的第M个数据包。
这样,在进行病毒扫描时,并不会需要将数据包拷贝到内存中进行重组,只是使用指针根据一会话的数据包的序号对该会话的前M个数据包依次进行病毒扫描,也就是说,使用指针索引自该会话的第一个数据包依次扫描到该会话的第M个数据包。这种方法尤其适用于获取的会话的数据包是乱序的情况,大大节省了内存空间,改善检测装置的性能,提高病毒检测速度。
其中,对一会话的前M个数据包进行病毒扫描,可以使用病毒库对该会话的前M个数据包进行病毒扫描,也可以使用预处理病毒库对该会话的前M个数据包进行病毒扫描,以确定该前M个数据包中是否包含可疑病毒。其中,病毒库用于存储手机病毒特征,手机病毒特征用于查找一会话中包含的手机病毒,而预处理病毒库用于存储片段手机病毒特征,该片段手机病毒特征用于查找一会话的前M个数据包中包含的手机病毒。
由于病毒库中存储的手机病毒特征可以包括手机病毒位置和手机病毒代码,例如第XX字节对应XX代码,因此对病毒扫描时,需要将会话的数据包与病毒库中存储的手机病毒特征,进行位置和病毒代码的匹配,以确定是否包含可疑病毒。具体地,将会话的某一位置对应的数据与病毒库中该位置对应的病毒代码进行匹配,以确定该位置的数据是否是可疑病毒。例如:将会话的第n个字节的数据与病毒库中位置为第n个字节的病毒代码进行匹配,以确定是否包含可疑病毒。因此预处理病毒库中存储的片段手机病毒特征可以是片段会话(例如会话的前M个数据包)的数据包对应的位置以及每个位置对应的病毒代码。而病毒库存储的手机病毒特征可以是完整的会话的数据包对应的位置以及每个位置对应的病毒代码。数据包对应的位置例如可以为第XX字节。
当然,进行病毒扫描时,可以如上所述,使用具体的病毒库,当然也可以使用现有的其他病毒扫描手段。
其中,M可以根据需要调整,具体地可以根据安全策略和/或对该前M个数据包进行扫描所使用的病毒库的配置。
S202、判断前M个数据包中是否包含可疑病毒,如果是,则执行步骤S203,如果否,则执行步骤S204;
S203、对该会话的剩余数据包进行病毒扫描,以判断该会话中是否包含手机病毒;
对该会话的剩余数据包进行病毒扫描,可以具体为:对该会话的剩余数据包进行重组,并对重组后的剩余数据包进行病毒扫描,判断该会话中是否包含手机病毒。
当然,为节省内存空间,对该会话的剩余数据包进行病毒扫描时也可以采用零拷贝技术。也就是说,使用指针索引对该会话的剩余数据包按顺序进行病毒扫描。
由于在前述步骤中已经对会话的前M个数据包进行了病毒扫描,在该步骤中只需对该会话的剩余数据包进行病毒扫描。并且,在病毒扫描时,可以使用病毒库进行病毒扫描,当然也可以使用现有的其他病毒扫描手段。
S204、确定该会话中不包含手机病毒。
确定该会话中不包含手机病毒,无需对该会话的剩余数据包进行病毒扫描。
其中,在步骤S201之前,还可以包括:对获取的会话的数据包中该会话的第一个数据包进行检查,判断该会话是否是文件下载会话,如果是,则执行步骤S201,如果否,则执行步骤S204。这样,当通过该会话的第一个数据包确定该会话不是文件下载会话时,直接确定该会话中不包含手机病毒,不必对该会话的其他数据包进行病毒扫描,进一步提高了手机病毒的检测速度,满足高速处理的要求。
其中,在步骤S201之前,还可以包括:对获取的会话的数据包中该会话的前M个数据包进行模式检查,判断该会话是否属于白名单中的会话,如果是,直接执行步骤S204,如果否,执行步骤S201。利用模式检查判断该会话是否属于白名单中的会话时,例如可以检查该会话的前M个数据包的域名、关键字、数据包后缀等,当然也可以采用其他方法。对该会话的前M个数据包进行模式检查时,也可以对该前M个数据包重组,并进行模式检查;或者直接使用指针索引,对该前M个数据包进行模式检查。这样,就可以通过对该会话的前M个数据包进行初步检查,当确定该会话属于白名单中的会话时,直接确定该会话不包含手机病毒,进一步提高了手机病毒的检测速度,满足高速处理的要求。
上述在步骤S201之前进行的两种检查,可以单独执行,也可以同时执行。当同时执行时,首先对该会话的第一个数据包进行检查,当确定该会话是文件下载会话时,再对该会话的前M个数据包进行模式检查。这样,可以通过两种检查结合,进一步提高手机病毒检测速度,且提高检测的准确性。
其中,步骤S201可以具体包括:获取并缓存会话的数据包;对所述缓存的会话的数据包中一会话的前M个数据包进行重组;对重组后的该会话的前M个数据包进行病毒扫描。这样,就可以在缓存会话数据包的过程中,实现对会话的前M个数据包进行病毒扫描,使得能够满足实时且高速处理的要求。
如图2b所示,为本发明另一实施例提供的手机病毒的检测方法,其中,在步骤S201之前,还包括:S201a、获取会话的数据包;S201b、缓存获取到的所述会话的数据包。
其中,在步骤S201a中获取来自手机、其他移动终端或网络设备的会话的数据包或传输到手机、其他移动终端或网络设备的会话的数据包。网络设备例如为SGSN、GGSN等。
步骤S201a、S201b之后继续执行步骤S201-S204。S201-S204的详细过程在这里不再重复。
其中,当网络非常理想时,获取的会话的数据包是正常序列,则当获取到前M个数据包后,即可对缓存的前M个数据包直接进行病毒扫描。
但网络可能不会如此理想,当获取的会话的数据包是乱序时,则需要在获取到的数据包(也就是缓存的数据包)中已经包含该会话的前M个数据包时,才可能对该前M个数据包重组并进行病毒扫描。例如:假设获取的前M-1个数据包是正常序列,但该会话的第M个数据包可能在获取到第M+K个数据包的时刻才获取到,因此当获取到第M+K个数据包时,才可能对该会话的前M个数据包重组并进行病毒扫描。
当获取的数据包乱序时,也可以使用指针索引对缓存的该会话的前M个数据包按顺序进行病毒扫描,该顺序为自该会话的第一个数据包到该会话的第M个数据包。
通过上述步骤S201a-S204,可以实现对一会话的数据包进行手机病毒检测,满足高速且实时处理的要求。
其中优选地,在步骤S201b和步骤S201之间还可以包括:当步骤S201b中缓存到该会话的第一个数据包时,检查该第一个数据包,判断所述会话是否是文件下载会话,如果是,则继续获取并缓存会话的数据包,并执行步骤S201,如果否,则直接执行步骤S204,这样,可以及时地检查会话的第一个数据包,当该会话的第一个数据包不是文件下载会话时,直接确定该会话不包含手机病毒,进一步提高了手机病毒的检测速度,满足实时以及高速处理的要求。
其中,在步骤S201b和步骤S201之间,还可以包括:当步骤S201b中缓存到该会话的前M个数据包后,对缓存的会话的数据包中该会话的前M个数据包进行模式检查,判断所述会话是否属于白名单中的会话,如果是,则直接执行步骤S204,如果否,则继续获取并缓存会话的数据包,并执行步骤S201。这样,可以在缓存的过程中,及时地对该会话的前M个数据包进行模式检查,进一步提高手机病毒的检测速度,满足实时以及高速处理的要求。
上述方法实施例中描述的方法可以是由位于手机病毒经过的路径的检测装置或网络设备执行,以检测手机病毒。
下面以一个具体的实施例详细说明本发明的方法,在如图3所示,为本发明具体实施例提供的手机病毒的检测方法的流程图,具体包括:
S301、接收GTP(GPRS Tunnel Protocol,通用无线分组业务隧道协议)数据的会话的数据包;
S302、缓存所述会话的数据包,并当缓存到该会话的第一个数据包时,对该第一个数据包进行检查,判断该会话是否是文件下载会话,如果是,执行步骤S303,如果否,执行步骤S307;
其中,判断该第一个数据包是否是文件下载会话,可以根据该第一数据包中携带的会话标识、会话协议等判断。
如果不是文件下载会话,则该会话不可能含有手机病毒文件,因此直接确定该会话是正常会话,不进行病毒检测。
S303、继续缓存该会话的数据包;
当该会话是文件下载会话时,会继续缓存接收到的该会话的数据包;
S304、对缓存的该会话的数据包中该会话的前M个数据包进行模式检查,判断该会话是否属于白名单中的会话,如果是,则执行步骤S307,如果否,则执行步骤S305;
其中,M大于等于1且小于N,N为该会话的所有数据包的总数;
S305、对缓存的该会话的数据包中该会话的前M个数据包进行病毒扫描,判断该会话的前M个数据包中是否包含可疑病毒,如果是,执行步骤S306,如果否,执行步骤S307。
其中,对该会话的前M个数据包进行病毒扫描,参见步骤S201的描述,这里不再赘述。
S306、对该会话的剩余数据包进行病毒扫描,以判断该会话中是否包含手机病毒。
S307、停止病毒检测。
采用本发明实施例的方法,在大多数情况下,由于对会话进行了预处理,即只扫描该会话前M个数据包,使得在基于会话重组进行手机病毒检测时,大大减少需要重组的数据,因此需要和整个病毒库扫描的数据将大大减少,能够满足高流量下实时检测的需求。
如图4a所示,为本发明一实施例提供的手机病毒的检测装置的结构图,该检测装置具体包括:
预处理引擎41,用于对获取的会话的数据包中一会话的前M个数据包进行病毒扫描,其中M大于等于1且小于N,其中N为该会话的所有数据包的总数;
其中,对获取的会话的数据包中一会话的前M个数据包进行病毒扫描的方法,可以对获取的会话的数据包中一会话的前M个数据包重组,并对重组后的该会话的前M个数据包进行病毒扫描,或者使用指针索引对获取的会话的数据包中一会话的前M个数据包按顺序进行病毒扫描,所述顺序为自该会话的第一个数据包到该会话的第M个数据包。具体方法可以参见步骤S201的描述,这里不再详细描述。
病毒分析模块42,用于根据所述预处理引擎41的扫描结果,当所述前M个数据包中不包含可疑病毒时,确定该会话中不包含手机病毒。
其中,所述病毒分析模块42,还用于根据所述预处理引擎41的扫描结果,当所述前M个数据包中包含可疑病毒时,对该会话的剩余数据包进行病毒扫描,以判断该会话中是否包含手机病毒。
优选地,该检测装置进一步包括:预处理病毒库43,用于存储片段手机病毒特征,该片段手机病毒特征适用于查找一会话的前M个数据包中包含的手机病毒;则预处理引擎41,具体用于采用预处理病毒库43对获取的会话的数据包中一会话的前M个数据包进行病毒扫描。
其中,预处理引擎41可以包括病毒扫描模块412,病毒扫描模块412用于对获取的会话的数据包中该会话的前M个数据包进行病毒扫描。
优选地,预处理引擎41,还包括:
预判断模块414,用于对获取的会话的数据包中该会话的第一个数据包进行检查,判断该会话是否是文件下载会话,如果否,则通知病毒分析模块42该会话不是文件下载会话,所述病毒分析模块42根据该通知确定该会话中不包含手机病毒,如果是,则通知病毒扫描模块412对获取的会话的数据包中该会话的前M个数据包进行病毒扫描。
本发明的一个实施例中,预处理引擎可以包括:缓存模块411、重组模块418和病毒扫描模块412。其中,缓存模块411,用于缓存获取的会话的数据包;重组模块418,用于对缓存模块411缓存的会话的数据包中一会话的前M个数据包进行重组;病毒扫描模块412,用于对重组模块418重组后的该会话的前M个数据包进行病毒扫描。
其中,病毒扫描模块412可以使用预处理病毒库43对该会话的前M个数据包进行病毒扫描,以确定该会话的前M个数据包中是否包含可疑病毒。当然,也可以采用其他病毒扫描手段对该会话的前M个数据包进行病毒扫描。
当预处理引擎中包括缓存模块411和病毒扫描模块412时,则预判断模块414连接在缓存模块411和病毒扫描模块412之间,且同时连接病毒分析模块42。
优选地,该检测装置还包括病毒库44,连接病毒分析模块42,则病毒分析模块42可以利用病毒库44对该会话的剩余数据包进行病毒扫描,以判断该会话中是否包含手机病毒。
优选地,该检测装置还包括告警模块45,则病毒分析模块42在检测到该会话中包含手机病毒之后,可以将检测结果传输给告警模块45。
如图4b所示,为本发明的另一实施例提供的手机病毒的检测装置的结构图,与图4a的装置的实施例的不同仅在于,采用模式检查模块413替代预判断模块414,则预处理引擎41,包括:模式检查模块413和病毒扫描模块412。模式检查模块413,用于对获取的会话的数据包中一会话的前M个数据包进行模式检查,判断该会话是否属于白名单中的会话,如果是,则通知病毒分析模块42该会话属于白名单中的会话,病毒分析模块42根据该通知确定该会话中不包含手机病毒,如果否,则通知病毒扫描模块412对获取的会话的数据包中该会话的前M个数据包进行病毒扫描。
当然,预处理引擎41中也可以同时包括上述预判断模块414和模式检查模块413。
采用该实施例的检测装置,只需对会话的前M个数据包进行病毒检查,然后决定是否对会话的剩余部分进行病毒检查。因此需要和整个病毒库扫描的数据将大大减少,检测装置的性能将大大提升,满足高速处理的要求。
本发明公开了一种手机病毒的检测方法和装置,该方法包括:对获取的会话的数据包中一会话的前M个数据包进行病毒扫描,其中M大于等于1且小于N,其中N为该会话的所有数据包的总数;当所述前M个数据包中不包含可疑病毒时,则确定该会话中不包含手机病毒。采用本发明的病毒检测方法,能够满足高流量下的手机病毒检测的需求,满足高速处理的要求。
以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (13)
1.一种手机病毒的检测方法,所述方法包括:
对获取的会话的数据包中一会话的前M个数据包进行病毒扫描,其中M大于等于1且小于N,其中N为该会话的所有数据包的总数(S201);
当所述前M个数据包中不包含可疑病毒时,则确定该会话中不包含手机病毒(S202、S204)。
2.如权利要求1所述的方法,其中,所述对获取的会话的数据包中一会话的前M个数据包进行病毒扫描,包括:
使用指针索引对获取的会话的数据包中一会话的前M个数据包按顺序进行病毒扫描,所述顺序为自该会话的第一个数据包到该会话的第M个数据包。
3.如权利要求1所述的方法,其中,所述对获取的会话的数据包中一会话的前M个数据包进行病毒扫描,包括:
采用预处理病毒库对获取的会话的数据包中一会话的前M个数据包进行病毒扫描,其中所述预处理病毒库用于存储片段手机病毒特征,所述片段手机病毒特征适用于查找一会话的前M个数据包中包含的手机病毒。
4.如权利要求1所述的方法,其中,在所述对获取的会话的数据包中一会话的前M个数据包进行病毒扫描之前,所述方法进一步包括:
对获取的会话的数据包中该会话的第一个数据包进行检查,判断该会话是否是文件下载会话,如果否,则确定该会话中不包含手机病毒,如果是,则执行所述对获取的会话的数据包中该会话的前M个数据包进行病毒扫描的步骤。
5.如权利要求1至4中任一项所述的方法,其中,在所述对获取的会话的数据包中一会话的前M个数据包进行病毒扫描之前,所述方法进一步包括:
对获取的会话的数据包中该会话的前M个数据包进行模式检查,判断该会话是否属于白名单中的会话,如果是,则确定该会话中不包含手机病毒,如果否,则执行所述对获取的会话的数据包中该会话的前M个数据包进行病毒扫描的步骤。
6.如权利要求1至4中任一项所述的方法,其中,所述对获取的会话的数据包中一会话的前M个数据包进行病毒扫描,包括:
获取并缓存会话的数据包;
对所述缓存的会话的数据包中一会话的前M个数据包进行重组;
对重组后的该会话的前M个数据包进行病毒扫描。
7.如权利要求1至4中任一项所述的方法,其中,所述方法进一步包括:
当所述前M个数据包中包含可疑病毒时,对该会话的剩余数据包进行病毒扫描,以判断该会话中是否包含手机病毒(S202、S203)。
8.一种手机病毒的检测装置,所述检测装置包括:
预处理引擎(41),用于对获取的会话的数据包中一会话的前M个数据包进行病毒扫描,其中M大于等于1且小于N,其中N为该会话的所有数据包的总数;
病毒分析模块(42),用于根据所述预处理引擎(41)的扫描结果,当所述前M个数据包中不包含可疑病毒时,确定该会话中不包含手机病毒。
9.如权利要求8所述的检测装置,其中,
所述检测装置进一步包括:预处理病毒库(43),用于存储片段手机病毒特征,所述片段手机病毒特征适用于查找一会话的前M个数据包中包含的手机病毒;
所述预处理引擎(41),具体用于采用所述预处理病毒库(43)对获取的会话的数据包中一会话的前M个数据包进行病毒扫描。
10.如权利要求8所述的检测装置,其中,
所述预处理引擎(41)包括:预判断模块(414)和病毒扫描模块(412),所述预判断模块(414)用于对获取的会话的数据包中一会话的第一个数据包进行检查,判断该会话是否是文件下载会话,如果否,则通知所述病毒分析模块(42)该会话不是文件下载会话,如果是,则通知所述病毒扫描模块(412)对获取的会话的数据包中该会话的前M个数据包进行病毒扫描;
所述病毒分析模块(42)用于根据所述预处理引擎(41)的通知确定该会话中不包含手机病毒。
11.如权利要求8所述的检测装置,其中,
所述预处理引擎(41)包括:模式检查模块(413)和病毒扫描模块(412),所述模式检查模块(413)用于对获取的会话的数据包中一会话的前M个数据包进行模式检查,判断该会话是否属于白名单中的会话,如果是,则通知所述病毒分析模块(42)该会话属于白名单中的会话,如果否,则通知所述病毒扫描模块(412)对获取的会话的数据包中该会话的前M个数据包进行病毒扫描;
所述病毒分析模块(42)用于根据所述预处理引擎(41)的通知确定该会话中不包含手机病毒。
12.如权利要求8所述的检测装置,其中,所述预处理引擎(41)包括:
缓存模块(411),用于缓存获取的会话的数据包;
重组模块(418),用于对所述缓存模块(411)缓存的会话的数据包中一会话的前M个数据包进行重组;
病毒扫描模块(412),用于对所述重组模块(418)重组后的该会话的前M个数据包进行病毒扫描。
13.如权利要求8至12中任一项所述的检测装置,其中,所述病毒分析模块(42)进一步用于根据所述预处理引擎(41)的扫描结果,当所述前M个数据包中包含可疑病毒时,对该会话的剩余数据包进行病毒扫描,以判断该会话中是否包含手机病毒。
Priority Applications (3)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201110210313.6A CN102905269B (zh) | 2011-07-26 | 2011-07-26 | 一种手机病毒的检测方法和装置 |
PCT/EP2012/064009 WO2013014033A1 (en) | 2011-07-26 | 2012-07-17 | Method and device for detecting mobile phone virus |
TW101126540A TW201316198A (zh) | 2011-07-26 | 2012-07-24 | 一種手機病毒的檢測方法和裝置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201110210313.6A CN102905269B (zh) | 2011-07-26 | 2011-07-26 | 一种手机病毒的检测方法和装置 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN102905269A true CN102905269A (zh) | 2013-01-30 |
CN102905269B CN102905269B (zh) | 2017-06-13 |
Family
ID=46548442
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201110210313.6A Expired - Fee Related CN102905269B (zh) | 2011-07-26 | 2011-07-26 | 一种手机病毒的检测方法和装置 |
Country Status (3)
Country | Link |
---|---|
CN (1) | CN102905269B (zh) |
TW (1) | TW201316198A (zh) |
WO (1) | WO2013014033A1 (zh) |
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103442360A (zh) * | 2013-09-09 | 2013-12-11 | 北京网秦天下科技有限公司 | 移动应用的安全性检测方法及移动终端 |
CN104778411A (zh) * | 2015-04-22 | 2015-07-15 | 百度在线网络技术(北京)有限公司 | 病毒扫描方法和病毒扫描装置 |
CN107209836A (zh) * | 2015-01-30 | 2017-09-26 | 国际商业机器公司 | 文件完整性保护 |
Families Citing this family (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US9954873B2 (en) | 2015-09-30 | 2018-04-24 | The Mitre Corporation | Mobile device-based intrusion prevention system |
JP6493201B2 (ja) * | 2015-12-28 | 2019-04-03 | 株式会社ナカヨ | 内線設定変更機能を有するゲートウェイ装置 |
Citations (9)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
GB426971A (en) * | 1933-11-07 | 1935-04-12 | Sidney Samuel Warshawer | Improvements in or connected with latches and locks |
WO2002019639A1 (en) * | 2000-08-29 | 2002-03-07 | Netrake Corporation | Content processor |
US20030009690A1 (en) * | 2001-06-29 | 2003-01-09 | Grupe Robert R. | Intelligent network scanning system and method |
GB2421142A (en) * | 2004-12-09 | 2006-06-14 | Agilent Technologies Inc | Detecting malicious traffic in a communications network |
US20070006293A1 (en) * | 2005-06-30 | 2007-01-04 | Santosh Balakrishnan | Multi-pattern packet content inspection mechanisms employing tagged values |
US20070266436A1 (en) * | 2006-05-11 | 2007-11-15 | Eacceleration Corporation | Accelerated data scanning |
CN101119373A (zh) * | 2007-09-04 | 2008-02-06 | 北京大学 | 一种网关级流式病毒扫描方法及其系统 |
CN101304426A (zh) * | 2008-07-10 | 2008-11-12 | 腾讯科技(深圳)有限公司 | 一种可疑文件的识别上报方法和装置 |
US7835361B1 (en) * | 2004-10-13 | 2010-11-16 | Sonicwall, Inc. | Method and apparatus for identifying data patterns in a file |
-
2011
- 2011-07-26 CN CN201110210313.6A patent/CN102905269B/zh not_active Expired - Fee Related
-
2012
- 2012-07-17 WO PCT/EP2012/064009 patent/WO2013014033A1/en active Application Filing
- 2012-07-24 TW TW101126540A patent/TW201316198A/zh unknown
Patent Citations (9)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
GB426971A (en) * | 1933-11-07 | 1935-04-12 | Sidney Samuel Warshawer | Improvements in or connected with latches and locks |
WO2002019639A1 (en) * | 2000-08-29 | 2002-03-07 | Netrake Corporation | Content processor |
US20030009690A1 (en) * | 2001-06-29 | 2003-01-09 | Grupe Robert R. | Intelligent network scanning system and method |
US7835361B1 (en) * | 2004-10-13 | 2010-11-16 | Sonicwall, Inc. | Method and apparatus for identifying data patterns in a file |
GB2421142A (en) * | 2004-12-09 | 2006-06-14 | Agilent Technologies Inc | Detecting malicious traffic in a communications network |
US20070006293A1 (en) * | 2005-06-30 | 2007-01-04 | Santosh Balakrishnan | Multi-pattern packet content inspection mechanisms employing tagged values |
US20070266436A1 (en) * | 2006-05-11 | 2007-11-15 | Eacceleration Corporation | Accelerated data scanning |
CN101119373A (zh) * | 2007-09-04 | 2008-02-06 | 北京大学 | 一种网关级流式病毒扫描方法及其系统 |
CN101304426A (zh) * | 2008-07-10 | 2008-11-12 | 腾讯科技(深圳)有限公司 | 一种可疑文件的识别上报方法和装置 |
Non-Patent Citations (1)
Title |
---|
LOTHAR BRAUN等: "Packet Sampling for Worm and Botnet Detection in TCP Connections", 《IEEE NETWORK OPERATIONS AND MANAGEMENT SYMPOSIUM(NOMS)》, 19 April 2010 (2010-04-19) * |
Cited By (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103442360A (zh) * | 2013-09-09 | 2013-12-11 | 北京网秦天下科技有限公司 | 移动应用的安全性检测方法及移动终端 |
CN107209836A (zh) * | 2015-01-30 | 2017-09-26 | 国际商业机器公司 | 文件完整性保护 |
CN107209836B (zh) * | 2015-01-30 | 2020-06-09 | 国际商业机器公司 | 用于更新文件的方法和系统 |
US10902120B2 (en) | 2015-01-30 | 2021-01-26 | International Business Machines Corporation | File integrity preservation |
CN104778411A (zh) * | 2015-04-22 | 2015-07-15 | 百度在线网络技术(北京)有限公司 | 病毒扫描方法和病毒扫描装置 |
CN104778411B (zh) * | 2015-04-22 | 2017-10-27 | 百度在线网络技术(北京)有限公司 | 病毒扫描方法和病毒扫描装置 |
US10762207B2 (en) | 2015-04-22 | 2020-09-01 | Baidu Online Network Technology (Beijing) Co., Ltd. | Method and device for scanning virus |
Also Published As
Publication number | Publication date |
---|---|
TW201316198A (zh) | 2013-04-16 |
CN102905269B (zh) | 2017-06-13 |
WO2013014033A1 (en) | 2013-01-31 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US10200384B1 (en) | Distributed systems and methods for automatically detecting unknown bots and botnets | |
CN108965267B (zh) | 网络攻击处理方法、装置及车辆 | |
WO2015018303A1 (en) | Method and device for detecting distributed denial of service attack | |
EP2610767A1 (en) | Web page download time analysis | |
Chen et al. | Bookworm game: Automatic discovery of lte vulnerabilities through documentation analysis | |
EP2634989A1 (en) | Mobile terminal to detect network attack and method thereof | |
KR20060013491A (ko) | 어택 서명 생성 방법, 서명 생성 애플리케이션 적용 방법, 컴퓨터 판독 가능 기록 매체 및 어택 서명 생성 장치 | |
KR20070103774A (ko) | 통신 제어 장치 및 통신 제어 시스템 | |
CN102905269A (zh) | 一种手机病毒的检测方法和装置 | |
CN111314328A (zh) | 网络攻击防护方法、装置、存储介质及电子设备 | |
KR20080074271A (ko) | 휴대단말 악성코드 처리장치 및 그 처리 방법 | |
CN103368978A (zh) | 实现智能移动终端应用漏洞和通信安全检测的系统及方法 | |
CN109561051A (zh) | 内容分发网络安全检测方法及系统 | |
WO2011076984A1 (en) | Apparatus, method and computer-readable storage medium for determining application protocol elements as different types of lawful interception content | |
CN101287010A (zh) | 识别和验证消息协议类型的方法和装置 | |
CN107276979B (zh) | 一种自动检测终端设备内外网互联行为的方法 | |
CN112738807A (zh) | 发现有害goip设备的方法、装置、设备、及存储介质 | |
Shi et al. | The penetration testing framework for large-scale network based on network fingerprint | |
CN115499230A (zh) | 网络攻击检测方法和装置、设备及存储介质 | |
CN113765846B (zh) | 一种网络异常行为智能检测与响应方法、装置及电子设备 | |
Li et al. | TuDoor Attack: Systematically Exploring and Exploiting Logic Vulnerabilities in DNS Response Pre-processing with Malformed Packets | |
CN113765912A (zh) | 一种分布式防火墙装置及其检测方法 | |
CN115102781B (zh) | 网络攻击处理方法、装置、电子设备和介质 | |
CN115017502A (zh) | 一种流量处理方法、及防护系统 | |
CN102231874A (zh) | 一种短信处理方法、装置及系统 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant | ||
CF01 | Termination of patent right due to non-payment of annual fee | ||
CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20170613 Termination date: 20210726 |