CN103093147A - 一种识别信息的方法和电子装置 - Google Patents
一种识别信息的方法和电子装置 Download PDFInfo
- Publication number
- CN103093147A CN103093147A CN2011103420557A CN201110342055A CN103093147A CN 103093147 A CN103093147 A CN 103093147A CN 2011103420557 A CN2011103420557 A CN 2011103420557A CN 201110342055 A CN201110342055 A CN 201110342055A CN 103093147 A CN103093147 A CN 103093147A
- Authority
- CN
- China
- Prior art keywords
- rule
- sub
- state node
- current sub
- virus
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Abstract
本发明提供一种识别信息的方法和电子装置,方法包括:将一非确定规则拆分为至少一个子规则,每一个子规则是一字符串,所述字符串中的字符连续且不包含通配符;为所述非确定规则构建一状态机,所述状态机中包括多个状态节点;在每一个所述子规则的结束字符所对应的状态节点上设置有一个命中开关;一当前子规则与一病毒特征码匹配成功时,开启所述当前子规则的所述命中开关,允许所述当前子规则后面的子规则继续与所述病毒特征码进行后续的匹配;当所有所述子规则均匹配成功时,认定所述非确定规则与所述病毒特征码匹配成功,且认定包含所述病毒特征码的信息为病毒信息。
Description
技术领域
本发明涉及电子安全技术,特别是指一种识别信息的方法和电子装置。
背景技术
多模式匹配(Multiple Pattern Matching)是计算机科学领域的基本问题,用于快速判断某一数据块中是否包含规则集中的某一或某些规则,广泛应用于文本处理、网络内容分析、入侵检测、信息检索、数据挖掘等领域。解决并行多模式匹配问题的经典方法之一,是基于有限状态机的方法。Aho-Corasick自动机方法(简称AC自动机)1975年产生于贝尔实验室,该方法应用有限自动机巧妙地将字符比较转化为了状态转移。该方法的基本思想如下:在预处理阶段,AC自动机建立三个函数:转向函数goto,失效函数failure和输出函数output,由此构造了一个树型有限自动机。在搜索查找阶段,交叉使用这三个函数扫描文本,定位出关键字在文本中的所有出现位置。
现有技术中,AC自动机的一个匹配规则包括至少一个子规则,在具体的搜索过程中,当用AC自动机匹配成功一个子规则后,按子规则标识查找匹配状态表,获得子规则所属匹配规则的子规则总数和最近匹配的子规则顺序号,比较子规则顺序号和最近匹配的子规则顺序号,如果子规则顺序号比最近匹配的子规则顺序号大1,则根据该子规则顺序号和子规则总数判断所述子规则是否是最后一个子规则,如果是,则搜索对象与匹配规则相匹配,如果不是,则更新匹配状态表中最近匹配子规则顺序号为当前匹配的这一子规则的顺序号。
在处理诸如11*22*33*44的匹配字符串时,无法检测出11 22 33 22 44这样逻辑上复合匹配字符串的字段;同时,当遇到11 11 22 33 44 33 44时也仅仅能判断出字段11 11 22 33 44命中了一次11*22*33*44,而实际上此字段命中了四次匹配字符串,分别为11 11 22 33 44,11 22 33 44,11 11 22 33 44 33 44和11 22 33 44 33 44。
另外,虽然支持普通通配符*,但不支持特殊通配符?。如果用户想查找11和22之间有任意一个字符的字符串,如果用通配符表示则为11?22,此时,只有诸如11u22这样的字符串才满足要求,而11uu22这样的字符串并不满足要求。
并且,搜索方法占用内存过大或搜索速度过慢;现在公开的方法,很难达到单线程Gb/s的处理速度,这样很难应用于存在大量数据交互的移动通信网络。多模式匹配方法搜索速度相对较快,搜索速度与需要查找的内容长度、个数无关,但一般存在着占用内存过大的问题。
现有技术中对于病毒的行为分析技术中,针对电子装置病毒的防御大多数都侧重于用户侧,采用在电子装置上安装专门的电子装置病毒查杀软件对电子装置病毒进行防御,从电子装置病毒的行为分析来说,现有还没有专门的技术专利分析具体的实现方法。在电子装置终端处安装查杀软件进行病毒防御的方法存在两个局限:电子装置病毒库需要随时更新,如不更新,则无法防御新的电子装置病毒;对病毒的查杀依赖于客户端软件的安装情况。最容易受感染的用户往往是对电子装置病毒了解较少的用户,他们往往很少,或者根本意识不到电子装置病毒的存在,也不会专门在电子装置上安装专业的软件进行查杀,导致病毒一直发作而不被察觉。
发明人发现现有技术存在如下问题:现有的病毒分析方法中,如果子规则顺序号比最近匹配的子规则顺序号大1,则根据该子规则顺序号和子规则总数判断所述子规则是否是最后一个子规则,如果是,则搜索对象与匹配规则相匹配,如果不是,则更新匹配状态表中最近匹配子规则顺序号为当前匹配的这一子规则的顺序号,因此这会造成匹配过程中出现回退操作,这一回退操作会造成无法检测出某一些比较特殊的病毒特征码:以及不支持或不完全支持通配符匹配。
而且,厂商都局限于在终端上安装杀毒软件,根据病毒特征码搜索电子装置病毒,用户需及时更新自己电子装置上的病毒特征库才能及时对病毒进行查杀。
大部分购买了智能机但对智能机认知不够的用户才是最容易感染病毒的高危人群,依靠在终端上安装杀毒软件进行杀毒的方法显然是无效的,这将影响到他们的使用体验。
发明内容
本发明要解决的技术问题是提供一种识别信息的方法和电子装置,用于解决现有技术中:如果子规则顺序号比最近匹配的子规则顺序号大1,则根据该子规则顺序号和子规则总数判断所述子规则是否是最后一个子规则,如果是,则搜索对象与匹配规则相匹配,如果不是,则更新匹配状态表中最近匹配子规则顺序号为当前匹配的这一子规则的顺序号,因此这会造成匹配过程中出现回退操作,这一回退操作会造成无法检测出某一些比较特殊的病毒特征码;以及不支持或不完全支持通配符匹配的缺陷。
为解决上述技术问题,本发明的实施例提供一种识别信息的方法,包括:将一非确定规则拆分为至少一个子规则,每一个子规则是一字符串,所述字符串中的字符连续且不包含通配符;为所述非确定规则构建一状态机,所述状态机中包括多个状态节点;在每一个所述子规则的结束字符所对应的状态节点上设置有一个命中开关;一当前子规则与一病毒特征码匹配成功时,开启所述当前子规则的所述命中开关,允许所述当前子规则后面的子规则继续与所述病毒特征码进行后续的匹配;当所有所述子规则均匹配成功时,认定所述非确定规则与所述病毒特征码匹配成功,且认定包含所述病毒特征码的信息为病毒信息。
所述的方法中,每一个所述状态节点中存放一个顺序号,所述顺序号表示该状态节点在所述状态机中的位置。
所述的方法中,所述病毒特征码中至少包括两个特征码;所述一当前子规则与一病毒特征码匹配成功,具体包括:所述当前子规则与所述病毒特征码中的任一特征码匹配成功。
所述的方法中,所述通配符包括普通通配符和特殊通配符;当所述病毒特征码携带了第一数量个特殊通配符时,允许所述当前子规则后面的子规则继续与所述病毒特征码进行后续的匹配包括:当一第二子规则被命中时,以所述第二子规则的首字符的位置减去所述当前子规则的首字符在所述状态机中记录的原信息命中位置,再减去所述当前子规则的长度得到一个位移差,该位移差为所述第一数量时认定所述第二子规则匹配成功;其中,所述第二子规则是所述当前子规则后面的且紧邻所述当前子规则的一个子规则。
所述的方法中,存在一终状态节点列表,存放所述非确定规则中各个子规则的类型,其中:第一类型表示匹配到达该子规则的终状态节点时,还需要与后续的子规则进行匹配,第二类型表示匹配到达该子规则的终状态节点时,所述非确定规则匹配成功;当所述非确定规则包括至少两个子规则时,最后一个子规则为第二类型,其余子规则为第一类型,当所述非确定规则只包括一个当前子规则时,所述当前子规则为第二类型,并在所述终状态节点列表的对应的记录里面添加一匹配终结标识。
所述的方法中,所述终状态节点列表中还包括:下一子规则的终状态节点的位置;当所述当前子规则为第一类型时,在所述终状态节点列表中更新所述当前子规则对应的记录,更新后的所述记录记载一第二子规则的终状态节点的位置;当所述当前子规则为第二类型时,在所述终状态节点列表中所述当前子规则对应的记录里面添加所述匹配终结标识。
所述的方法中,还包括:对病毒的动态行为进行监控,包括监控:操作时间,电子装置短信/彩信发送量,数据流量,短信,以及频繁开关机;当出现异常时,执行检测病毒特征码的操作。
一种电子装置,包括:规则拆分单元,用于将一非确定规则拆分为至少一个子规则,每一个子规则是一字符串,所述字符串中的字符连续且不包含通配符;状态机构建单元,用于为所述非确定规则构建一状态机,所述状态机中包括多个状态节点;命中开关单元,用于在每一个所述子规则的结束字符所对应的状态节点上设置有一个命中开关;匹配单元,用于一个当前子规则与一病毒特征码匹配成功时,通知所述命中开关单元开启所述当前子规则的所述命中开关,允许所述当前子规则后面的子规则继续与所述病毒特征码进行匹配;当所有所述子规则均匹配成功时,认定所述非确定规则与所述病毒特征码匹配成功,且认定包含所述病毒特征码的信息为病毒信息。
所述的电子装置,所述匹配单元,还用于在一个当前子规则与一病毒特征码匹配成功的过程中,将所述当前子规则与所述病毒特征码中的任一特征码匹配,且匹配成功。
所述的电子装置,匹配单元还包括:特殊通配符匹配模块,用于当所述病毒特征码携带了第一数量个特殊通配符时,允许所述当前子规则后面的子规则继续与所述病毒特征码进行后续的匹配包括:当一第二子规则被命中时,以所述第二子规则的首字符的位置减去所述当前子规则的首字符在所述状态机中记录的原信息命中位置,再减去所述当前子规则的长度得到一个位移差,该位移差为第一数量时认定所述第二子规则匹配成功;其中,所述第二子规则是所述当前子规则后面的且紧邻所述当前子规则的一个子规则;所述通配符包括普通通配符和特殊通配符。
所述的电子装置,还包括:终状态节点列表管理单元,用于存放一终状态节点列表,表中存放所述非确定规则中各个子规则的类型,其中:第一类型表示匹配到达该子规则的终状态节点时,还需要与后续的子规则进行匹配,第二类型表示匹配到达该子规则的终状态节点时,所述非确定规则匹配成功;当所述非确定规则包括至少两个子规则时,最后一个子规则为第二类型,其余子规则为第一类型,当所述非确定规则只包括一个当前子规则时,所述当前子规则为第二类型,并在所述终状态节点列表的对应的记录里面添加一匹配终结标识。
所述的电子装置,终状态节点列表更新单元,所述终状态节点列表中还包括:下一子规则的终状态节点的位置;用于当所述当前子规则为第一类型时,在所述终状态节点列表中更新所述当前子规则对应的记录,更新后的所述记录记载所述第二子规则的终状态节点的位置;当所述当前子规则为第二类型时,在所述终状态节点列表中所述当前子规则对应的记录里面添加所述匹配终结标识。
本发明技术方案的有益效果如下:不必再执行现有技术中,如果子规则顺序号比最近匹配的子规则顺序号大1,则根据该子规则顺序号和子规则总数判断所述子规则是否是最后一个子规则,如果是,则搜索对象与匹配规则相匹配,如果不是,则更新匹配状态表中最近匹配子规则顺序号为当前匹配的这一子规则的顺序号,因此匹配过程中不再会出现回退操作。如此,对状态机的构建进行了进一步的限定,将包含通配符的非确定规则分为多个前后关联的子规则,顺位上处于后面的子规则的匹配状态取决于它之前的子规则是否匹配,减少每次查找前需要清空命中次数带来的时间消耗,减少不必要的内存占用。
附图说明
图1为本发明实施例AC自动机的工作原理示意图;
图2为本发明实施例一种识别信息的方法流程示意图;
图3为本发明实施例终状态节点列表结构示意图;
图4为本发明实施例构建状态机流程示意图;
图5为本发明实施例根据分割子规则的通配符的类型判断是否匹配成功流程示意图;
图6为本发明实施例判断已扫描过的病毒特征码是否包含某一个或者多个新的子规则流程示意图;
图7为本发明实施例动态扫描病毒特征码的方法流程示意图;
图8为本发明实施例电子装置结构示意图。
具体实施方式
为使本发明要解决的技术问题、技术方案和优点更加清楚,下面将结合附图及具体实施例进行详细描述。
为帮助本领域技术人员理解本发明实施例提供的技术方案,首先描述AC自动机的工作原理,AC自动机的两个特点是:一是扫描文本时完全不需要回溯,二是时间复杂度为O(n),换言之,时间复杂度与关键字的数目和长度无关。
如图1所示,AC自动机用于状态转移,规则集是用于多模式匹配的匹配规则的集合,规则集为{she,he,hers,his},其中的匹配规则分别是she,he,hers,his。图1中有三种类型的状态节点:初始状态节点、普通状态节点和终状态节点,每个匹配规则都可以由一条从初始状态节点0出发的路径进行标识,该路径的终点为终状态节点;规则集中,匹配规则she由初始状态节点0到状态节点5的路径进行标识,状态节点5为终状态节点;匹配规则he由初始状态节点0到终状态节点2的路径进行标识;hers由初始状态节点0到终状态节点9的路径进行标识;his由初始状态节点0到终状态节点7的路径进行标识。相比于现有的模式匹配方法,AC自动机是经典而且非常优秀的。
在一个具体的实施例中,AC自动机将一个含有通配符的匹配规则分解成多个子规则,并逐个检查各个子规则是否按顺序匹配成功,部分解决了AC自动机处理含有通配符的非确定的匹配规则(简称:非确定规则)所面临的问题,能够很好的处理334566*99000这样的匹配规则;但在匹配较复杂的搜索对象-病毒特征码时存在问题,若有一非确定的匹配规则为:11*22*33*44,病毒特征码为11#$*(#22#*(33#(#*22#*(44,按照上述方法无法检出匹配的结果,因为匹配过程中遇到状态22第二次出现时,匹配状态表中的最近匹配的子规则顺序号将被从原来的3更新为2,然后,当44被命中时,由于最近匹配子规则为2而非3,不会判定匹配规则被命中。而且,上述方法并不支持所有的通配符,比如无法支持特殊通配符?-即不支持包含任意的单个字符的匹配规则。当匹配规则为:11?22,即11+任意一个字符+22时,无法找到对应的搜索对象。
本发明实施例中,与基于终端或者服务器端的电子装置病毒防御方法的着眼点不同,更加侧重于从运营商侧对电子装置病毒进行防御;提供了匹配规则包含通配符?和*的多模式匹配方法,采用改进的AC自动机对包含有通配符的非确定规则进行匹配;同时对病毒检测不仅仅依赖于病毒特征码,还对病毒行为进行分析。
现有技术中,如果子规则顺序号比最近匹配的子规则顺序号大1,则根据该子规则顺序号和子规则总数判断所述子规则是否是最后一个子规则,如果是,则搜索对象与匹配规则相匹配,如果不是,则更新匹配状态表中最近匹配子规则顺序号为当前匹配的这一子规则的顺序号。
本发明实施例提供一种识别信息的方法,如图2所示,包括:
步骤201,将一非确定规则拆分为至少一个子规则,每一个子规则是一字符串,所述字符串中的字符连续且不包含通配符;
步骤202,为所述非确定规则构建一状态机,所述状态机中包括多个状态节点;
步骤203,在每一个所述子规则的结束字符所对应的状态节点上设置有一个命中开关;
步骤204,当一个当前子规则与一病毒特征码匹配成功时,开启所述当前子规则的所述命中开关,允许所述当前子规则后面的子规则继续与所述病毒特征码进行匹配;当所有所述子规则均匹配成功时,认定所述非确定规则与所述病毒特征码匹配成功,且认定包含所述病毒特征码的信息为病毒信息。
应用所提供的技术方案,由于不必执行现有技术中采用的判断,而是采用了命中开关控制匹配的过程,因此匹配过程中不再会出现回退操作;并且,进一步限定了如何构建状态机,将包含通配符的非确定规则分为多个前后关联的子规则,顺序上处于后面的子规则的匹配状态取决于它之前的子规则是否匹配,减少每次查找前需要清空命中次数带来的时间消耗,减少了不必要的内存占用。
一个状态节点中存放一个顺序号,所述顺序号表示该状态节点在所述状态机中的位置。
在一个优选实施例中,步骤204中,一个当前子规则与一病毒特征码匹配成功是指,一个当前子规则与一病毒特征码中的任一特征码匹配成功;其中,病毒特征码中可以包括两个或者两个以上的特征码。
在一个优选实施例中,采用状态表指针数组代替状态数组,减少了内存寻址的时间消耗,命中次数使用数组存储,减少每次查找前需要清空命中次数带来的时间消耗;匹配过程使用的是指针而不需要复制字符串的操作,解决了匹配列表占用内存过大的问题,此外,生成状态表时采用Hash Map预先计算实际状态的数量值,使用该数量值而不是最大状态数量,减少不必要的内存占用。
在一个应用场景中,有一非确定规则11*22*33*44,病毒特征码为11#$*(#22#*(33#(#*22#*(44,*表示普通通配符,包括:
步骤1,将非确定规则拆分为若干个子规则:
子规则1:11;
子规则2:22;
子规则3:33;
子规则4:44。
步骤2,为一非确定规则构建一状态机,状态机中,一个状态节点中存放一个顺序号,所述顺序号表示该状态节点在所述状态机中的位置;两个状态节点之间的连接线处存放各个子规则的字符。
步骤3,在每一个子规则的结束字符所对应的状态节点上设置有一个命中开关,默认处于关闭。
步骤4,当当前子规则11与病毒特征码11#$*(#22#*(33#(#*22#*(44中的11匹配成功时,开启当前子规则对应的所述命中开关;
步骤5,将病毒特征码11#$*(#22#*(33#(#*22#*(44中的第一个特征码11后面的各个特征码22、33、22、44依次与第二子规则22进行匹配,当匹配成功时,开启状态机中第二子规则对应的命中开关;其中,第二子规则是紧临所述当前子规则之后的一个子规则。
步骤6,将病毒特征码中第二子规则后面的特征码33、22、44依次与第三子规则33进行匹配,当匹配成功时,开启第三子规则对应的所述命中开关。
步骤7,将病毒特征码中第三子规则后面的特征码22、44依次与第四子规则44进行匹配;当匹配成功时,由于第四子规则44是最后一个子规则,因此认定病毒特征码11#$*(#22#*(33#(#*22#*(44与所述非确定规则相匹配。
通配符包括:普通通配符*,特殊通配符?。
在一个优选实施例中,当需要对携带了一个特殊通配符的病毒特征码进行匹配时,记录当前子规则的首字符的位置;允许所述当前子规则后面的子规则继续与所述病毒特征码进行后续的匹配包括:当第二子规则命中时,以第二子规则的首字符的位置减去所述当前子规则的首字符的位置,再减去所述当前子规则的长度得到一个位移差,位移差不为1时,判定病毒特征码不被命中。
在一个应用场景中,非确定规则为11?22,那么,当前子规则为11,第二子规则为22,当前子规则的首字符是第一个1,第二子规则的首字符是第一个2,被搜索的病毒特征码11xx22,匹配过程包括:
步骤a,当搜索到第一个x时,当前子规则已被命中。
步骤b,搜索到最后一个2时,虽然第二子规则被命中,但是第二子规则的首字符的位置减去当前子规则的首字符的位置,再减去当前子规则的长度2之后,得到的位移差为2。
步骤c,位移差并不是1,因此判定病毒特征码11xx22并不满足非确定规则11?22。
在一个优选实施例中,子规则是一个包含通配符的非确定规则中的子集,该子规则为第一类型,或者子规则是一个不包含通配符的非确定规则,该子规则为第二类型;
如图3所示,存在一终状态节点列表,存放所述非确定规则中各个子规则的类型,其中:
第一类型表示匹配过程到达该子规则的终状态节点时,还需要与后续的子规则进行匹配,第二类型表示匹配到达该子规则的终状态节点时,所述非确定规则匹配成功;
当非确定规则包括至少两个子规则时,最后一个子规则为第二类型,其余子规则为第一类型,当非确定规则只包括一个当前子规则时,当前子规则为第二类型,并在所述终状态节点列表的对应的记录里面添加一匹配终结标识。
终状态节点列表中还包括选项:下一子规则的终状态节点的位置;当所述当前子规则为第一类型时,在所述终状态节点列表中更新所述当前子规则对应的记录,更新后的所述记录记载所述第二子规则的终状态节点的位置;
当所述当前子规则为第二类型时,在所述终状态节点列表中所述当前子规则对应的记录里面添加所述匹配终结标识。
在一个应用场景中,如图4所示,包括:
步骤401,确定了一个匹配规则的规则集合;
步骤402,对于集合中的任意一个规则,判断该规则是否是一个不包含通配符的原始的非确定规则,如果是,转步骤406,否则转步骤403。
步骤403,在终状态节点列表中更新前一子规则的选项-下一子规则的终状态节点的位置。
步骤404,判断是否是一个非确定规则的最后一个子规则,如果是,转步骤406,否则转步骤405。
步骤405,在终状态节点列表中添加属于本非确定规则的记录,一条记录对应了非确定规则的一个子规则。
步骤406,根据非确定规则构建一状态机;或者,根据该些个子规则构建状态机的一部分;结束。
应用上述实施例中提供的技术方案,对状态机的构建进行了进一步的限定,将包含通配符的非确定规则分为多个前后关联的子规则,顺序上处于后面的子规则的匹配状态取决于它之前的子规则是否匹配;由于记录了前后两个命中的子规则的位移差,因此不仅支持普通通配符,而且支持特殊通配符通配符,极大方便了对病毒特征码和信令有效载荷中的有效字段的查找。
在一个优选实施例中,如图5所示,在构建状态机时,根据分割子规则的是普通通配符还是特殊通配符来判断是否匹配成功;记录一个子规则所属的非确定规则中是根据什么通配符进行分割的,包括:
步骤a,读入一个子规则开始进行匹配操作。
步骤b,需要确定分割该子规则的通配符是普通通配符*还是特殊通配符?,如果是普通通配符转步骤c,否则转步骤d。
步骤c,分割子规则的是普通通配符*,不需要检测该子规则与前一个子规则之间的位移差。
步骤d,分割子规则的通配符是特殊通配符?,需要判断前后两个子规则的位移差是否等于分隔这两个子规则之间特殊通配符的个数。
如果分割生成的子规则是由包含通配符的非确定规则产生的,在构建状态机时,属于同一个非确定规则的各个子规则按照在非确定规则中的顺序,每一个子规则的命中与否首先取决于它前面的那个子规则是否命中;即,在每一个子规则的结束字符所对应的状态节点上设置有一个命中开关,这一个命中开关的开启和关闭状态具体可以存放在终状态节点列表中与该子规则对应的位置处,由于终状态节点列表中,总是在前一个子规则对应的记录中记载了当前这一子规则的结束字符的位置,因此可以通过终状态节点列表准确找到当前的子规则的结束字符的位置。
在一个优选实施例中,如图6所示,读取搜索对象,采用状态机对搜索对象进行匹配,判断搜索对象中已扫描过的病毒特征码是否包含某一个或者多个新的子规则,具体包括:
步骤601,读取搜索对象。
步骤602,产生的状态机对搜索对象判断是否已经扫描完成,如果是,转步骤610,否则转步骤603。
步骤603,判断已扫描过的病毒特征码是否包含某一个或者多个新的子规则,如果是,转步骤604,否则转步骤601。
步骤604,遍历终状态节点列表;终状态节点终状态节点列表记录了各个子规则的下一子规则的终状态节点的位置,因此,终状态节点列表中也必定记录了非确定规则的最后一个子规则N的终状态节点的位置。
为方便实现技术方案,可以针对每一个非确定规则制定一个终状态节点列表;也可以将若干个终状态节点列表编辑在一起形成一个大终状态节点列表。
步骤605,如果发现这一命中的子规则应当是某一个终状态节点列表中对应的非确定规则的最后一个子规则,转步骤606,否则转步骤607;
主要是在终状态节点列表中寻找到匹配终结标识。
步骤606,该非确定规则被命中,输出该非确定规则;再转步骤601。
步骤607,遍历终状态节点列表中的属性项-下一子规则的终状态节点的位置。
步骤608,开启与下一子规则之间的命中开关,命中开关此时从默认的关闭状态转为开启状态。
步骤609,更新下一子规则的属性项-上一次命中的位移差,即本次命中的字段位置。再转步骤601。
步骤610,结束扫描。
实施例中,支持特殊通配符?和普通通配符*,且不会因在命中第三规则后和命中第四规则之前再次命中第二规则而出现状态回退,以至于错误地判断第四规则未被匹配,因而避免了漏判;并且优化了状态机的初始化和状态还原,使内存占用大幅降低,搜索速度加快。
在搜索速度上,本申请技术方案与几种现在流行的多模式匹配方法进行了对比测试,测试样本中,关键词样本:常用关键词库中的296个关键词,包括政治、淫秽、违反法规等几大类,并且为了提高命中加入了部分高命中词,如“服务器”、“社会”等,共3.6KB大小;为了更好地对比检测结果,以下选用的关键词中统一未包含通配符,但此并不影响速度对比,本技术方案的速度只和搜索样本长度相关,和关键词样本数无关。
数据样本:为更真实地反映网络中的状况,从IDC服务器托管商的各站点内容中随机选取了20480个20KB左右的文本文件作为待检测样本,共400多M。
测试次数:测5次,结果取平均值;
测试的环境和结果如下:
测试环境:
| 操作系统 | Windows 2008 Server标准版 |
| CPU | Intel T4400 |
| 内存 | 2G DDRII |
测试结果:
可以看出,本方案中提出的搜索方法比以搜索速度著称的经典AC状态机的速度快60%以上,极大地提高了搜索病毒的速度。
在一个应用场景中,预先对所有的病毒特征库进行加载编译,生成各种状态节点,每个状态节点或者代表一种病毒被识别,或者代表针对通配符而言某种开关被打开或关闭,当传入待分析数据作为搜索对象时,扫描一次搜索对象即可得出各状态节点的命中情况,随即得到病毒扫描结果。
支持快速搜索和详细搜索两种模式:在快速搜索模式下,一旦发现命中病毒则返回命中结果;在详细搜索模式下,扫描完所有内容才返回详细结果,遍历各状态节点,如果代表病毒的状态节点的命中次数大于1,则表示此种病毒被发现。每进行一次详细搜索都需要对各状态节点的信息进行复原,可以采用Hash树进行快速复原,时间复杂度是遍历方法的1/N,N为病毒特征码编译后产生的状态节点个数。两种模式下如果没有病毒被命中则都返回0。
详细搜索过程包括:搜索引擎初始化、病毒查找和状态还原。
搜索引擎的初始化包括:病毒特征码的添加与病毒特征码的编译。病毒特征码的添加包括:调用一个函数将病毒名、特征码和特征码长度加入,当加入多个病毒特征码时,循环调用此函数即可;当所有的特征码都已添加到栈中后,进行病毒特征码的编译:先将所有的病毒特征码都加入到状态表中,然后构建状态表,其中,需要对所有的病毒特征码进行处理,如果匹配规则包含通配符,则从通配符处分割成多个子规则,排序较后的子规则的命中依赖于它之前的子规则是否已经命中。
病毒查找:当搜索引擎编译完成后,调用查找函数,将搜索对象及其长度(单位Byte)作为函数的参量带入,即可获得搜索对象在匹配规则集中的命中情况。如果没有匹配返回指针为NULL,否则返回一个指向被命中的匹配规则所属结构的指针,其中包含了命中信息。
状态还原:当搜索完成后,需要对状态进行还原,方便下一次的查找。
通过病毒特征码检测病毒的优势在于:通过在有效载荷中搜索非确定规则(病毒代码串)的方式确定是否包含有病毒特征码,扫描速度较快,在病毒特征库较全的情况下病毒检出率也较高,在病毒被下载到电子装置中的第一时间便可以提示告警,并且具有检出某些变种病毒的能力。
检测病毒的技术方案包含以下两个部分:
1,以病毒码、新型搜索算法为基础的病毒分析机制
病毒检测系统由移动终端病毒特征码管理功能,病毒搜索和识别功能,以及信令分析功能三部分构成。病毒检测系统对信令中的有效载荷进行分析,通过病毒特征码库来识别已知移动终端病毒,基于多模式匹配的搜索算法经过算法优化后可支持通配符运算,设置较少的病毒特征码即可识别出各种变种病毒。
2,以病毒行为分析为基础的异常行为分析机制
异常行为分析是指针对病毒表现出来的特征进行归纳总结,对非法行为定义一系列的规则,并对无线网中的信令按照规则进行分析,如果某种行为符合了非法行为的规则,则判定为非法,并将行为提交给管理员。这是因为,现在病毒、木马等非法程序为了避开杀毒软件的查杀,都会对非法程序进行加密、变型、加壳等处理,或者编写新的病毒和木马程序,在病毒特征码未更新的情况下,静态的扫描很难对新病毒进行检测,因此,有必要采用一种全新的动态扫描病毒特征码的方法。以下实施例提供异常行为分析的方法:异常行为分析是针对病毒表现出来的特征进行归纳,对非法的异常行为定义一系列的行为规则,并对无线网中应用到的信令按照行为规则进行分析。
在一个优选实施例中,如图7所示,包括:
步骤701,采集应用到的各种信令。对于其中的有效载荷转步骤702进行后续处理,或者,对于其中的信令数据转步骤705进行后续处理。
步骤702,从移动通信网数据的有效载荷入手,获取传输中的内容和用户行为数据。转步骤703处理病毒特征码,同时,转步骤704对异常行为的信息进行处理。异常行为的信息包括:
A,异常的操作时间,病毒经常选择难以发觉的时段进行违规操作,如凌晨或电子装置锁屏时发送短信,且部分表现为有规律的群发。
B,异常的电子装置短信/彩信发送量,当发送短信/彩信的频率超出人力可达的范围时,此移动终端的号码需受到关注,有可能是群发器,也可能是正常用户受到了病毒的影响。
C,异常流量,病毒的异常行为时常伴随着流量的异常,对流量的检测也可以分辨出一些病毒行为。
D,异常短信,普通用户一般不会批量或长时间持续发送带下载链接的短信,彩信,通过对短信/彩信内容的分析,可以判定异常行为。
E,频繁开关机,部分病毒,如骷髅病毒会导致电子装置频繁开关机。
步骤703,识别病毒特征码。
步骤704,识别异常行为,如果某种行为符合了非法的行为规则,则判定为非法,并提交该行为进行分析。
步骤705,对信令数据进行处理,将相关的信令放入数据库。
步骤706,在数据库中存放信令,异常行为的信息,病毒特征码等。
步骤707,将分检出来的异常行为反映到用户管理界面,方便管理员对异常行为进行分析和处理。
步骤708,对从数据库中取出异常行为进行分析。与传统的按照病毒特征码扫描的方式不同,异常行为分析是对病毒动态行为进行监控和筛选,将某些在正常情况下比较罕见或者发生概率比较小的行为在经过验证后作为非法的异常行为,并以此作为判定非法程序的依据,不再依赖病毒特征库,在新型病毒出现的同时也能发现与之对应的行为,可用来检测未知病毒。
获取移动通信网的有效载荷,对传输的数据和用户行为进行分析,以期达到对电子装置病毒的防御,与现有的基于终端或者服务器端的电子装置病毒防御方法的着眼点不同,本发明实施例更侧重于从运营商侧对病毒进行防御。
综上所述,本发明实施例提供了更加精准和快速的搜索算法,完全支持特殊通配符?和普通通配符*,且不会因在命中第N+1规则后和命中第N+2规则之前再次命中第N规则而状态回退,错误地判断第N+2规则未被匹配,导致漏判;同时,优化了算法的初始化和状态还原方法,单线程即可满足对接近2Gb/s带宽流量的数据进行病毒搜索,使内存占用大幅降低,搜索速度加快。本发明实施例不拘于基于病毒特诊码的搜索方式,在对病毒特征码进行搜索的同时,还对病毒的行为进行总结,分析移动通信网中的信令,列出疑似中毒用户,使得杀毒不再完全依赖于在客户端安装杀毒功能,更不需要总是对电子装置上的杀毒功能进行升级;与传统的按照病毒特征码扫描的方式不同,异常行为分析是对病毒动态行为进行监控和筛选,将某些在正常情况下比较罕见或者发生概率比较小的行为在经过验证后作为异常行为,并以此作为判定非法程序的依据,这样做的有益效果是不依赖于病毒特征库,在新型病毒出现的同时也能发现与之对应的行为,可用来检测未知病毒,从而能够更全面的查检病毒;而且,检测病毒的技术部署在移动通信网内部的服务器上,不存在占用电子装置终端资源过高的弊端,支持各种类型的电子装置终端。
本发明实施例提供一种电子装置,如图8所示,包括:
规则拆分单元801,用于将一非确定规则拆分为至少一个子规则,每一个子规则是一字符串,所述字符串中的字符连续且不包含通配符;
状态机构建单元802,用于为所述非确定规则构建一状态机,所述状态机中包括多个状态节点;
命中开关单元803,用于在每一个所述子规则的结束字符所对应的状态节点上设置有一个命中开关;
匹配单元804,用于当一个当前子规则与一病毒特征码匹配成功时,开启所述当前子规则的所述命中开关,允许所述当前子规则后面的子规则继续与所述病毒特征码进行匹配;当所有所述子规则均匹配成功时,认定所述非确定规则与所述病毒特征码匹配成功,且认定包含所述病毒特征码的信息为病毒信息。
应用所提供的技术方案,不必再执行现有技术中,如果子规则顺序号比最近匹配的子规则顺序号大1,则根据该子规则顺序号和子规则总数判断所述子规则是否是最后一个子规则,如果是,则搜索对象与匹配规则相匹配,如果不是,则更新匹配状态表中最近匹配子规则顺序号为当前匹配的这一子规则的顺序号,因此匹配过程中不再会出现回退操作。如此,对状态机的构建进行了进一步的限定,将包含通配符的非确定规则分为多个前后关联的子规则,顺位上处于后面的子规则的匹配状态取决于它之前的子规则是否匹配,减少每次查找前需要清空命中次数带来的时间消耗,减少不必要的内存占用。
一个状态节点中存放一个顺序号,所述顺序号表示该状态节点在所述状态机中的位置。
在一个优选实施例中,一个当前子规则与一病毒特征码匹配成功是指,一个当前子规则与一病毒特征码中的任一特征码匹配成功;其中,病毒特征码中可以包括两个或者两个以上的特征码。
在一个优选实施例中,电子装置中,匹配单元804,还用于在一个当前子规则与一病毒特征码匹配成功的过程中,将所述当前子规则与所述病毒特征码中的任一特征码匹配,且匹配成功。
匹配单元804还包括:特殊通配符匹配模块,用于当所述病毒特征码携带了第一数量个特殊通配符时,允许所述当前子规则后面的子规则继续与所述病毒特征码进行后续的匹配包括:
当一第二子规则被命中时,以所述第二子规则的首字符的位置减去所述当前子规则的首字符在所述状态机中的位置,再减去所述当前子规则的长度得到一个位移差,位移差为第一数量时认定所述第二子规则匹配成功;其中,所述通配符包括普通通配符和特殊通配符。
电子装置中还包括:
终状态节点列表管理单元,用于存放一终状态节点列表,表中存放所述非确定规则中各个子规则的类型,其中:
第一类型表示匹配到达该子规则的终状态节点时,还需要与后续的子规则进行匹配,
第二类型表示匹配到达该子规则的终状态节点时,所述非确定规则匹配成功;
当所述非确定规则包括至少两个子规则时,最后一个子规则为第二类型,其余子规则为第一类型,
当所述非确定规则只包括一个当前子规则时,所述当前子规则为第二类型,并在所述终状态节点列表的对应的记录里面添加一匹配终结标识。
终状态节点列表更新单元,所述终状态节点列表中还包括:下一子规则的终状态节点的位置;用于当所述当前子规则为第一类型时,在所述终状态节点列表中更新所述当前子规则对应的记录,更新后的所述记录记载所述第二子规则的终状态节点的位置;
当所述当前子规则为第二类型时,在所述终状态节点列表中所述当前子规则对应的记录里面添加所述匹配终结标识。
监控单元,用于监控:操作时间,电子装置短信/彩信发送量,数据流量,短信,以及频繁开机关机;
当出现异常时,产生检测病毒特征码的信号,通知对应的单元模块执行检测病毒特征码的操作。
现有技术中,如果子规则顺序号比最近匹配的子规则顺序号大1,则根据该子规则顺序号和子规则总数判断所述子规则是否是最后一个子规则,如果是,则搜索对象与匹配规则相匹配,如果不是,则更新匹配状态表中最近匹配子规则顺序号为当前匹配的这一子规则的顺序号,应用所提供的技术方案,由于不必执行上述的判断,而是采用了命中开关控制匹配的过程,因此匹配过程中不再会出现回退操作;并且,进一步限定了如何构建状态机,将包含通配符的非确定规则分为多个前后关联的子规则,顺序上处于后面的子规则的匹配状态取决于它之前的子规则是否匹配,减少每次查找前需要清空命中次数带来的时间消耗,减少了不必要的内存占用。
在优选实施例中,采用状态表指针数组代替状态数组,减少了内存寻址的时间,命中次数使用数组存储,减少每次查找前需要清空命中次数带来的时间消耗;由于匹配过程使用指针而不需要复制字符串的操作,优化了匹配列表占用内存过大的问题;状态表生成时采用Hash Map预先计算实际状态的数量值,使用该数量值而不是最大状态数量,减少了内存占用。
不仅支持静态的病毒特征码搜索,而且支持静态地对协议中某些关键变量进行关键字检索,采用了全新的动态扫描病毒特征码的方法,对于各种异常行为进行监控、统计和分析,同时分析信令中的其它关键字段。因为病毒的传播总是依赖于某种特点的来源,病毒产生作用,也是有着某种规律:从固定的站点下载被感染文件,或是向某个服务提供商(SP)发送定制服务短信,或者发送的传播短信中包含某些关键字段,通过对协议中的某些字段的关键字进行检索,可以检测出感染了病毒的客户端,不依赖于病毒库即可做到对全网用户的病毒检测服务,即使出现新型病毒,也可以很快检测出来。
以上所述是本发明的优选实施方式,应当指出,对于本技术领域的普通技术人员来说,在不脱离本发明所述原理的前提下,还可以作出若干改进和润饰,这些改进和润饰也应视为本发明的保护范围。
Claims (12)
1.一种识别信息的方法,其特征在于,包括:
将一非确定规则拆分为至少一个子规则,每一个子规则是一字符串,所述字符串中的字符连续且不包含通配符;
为所述非确定规则构建一状态机,所述状态机中包括多个状态节点;
在每一个所述子规则的结束字符所对应的状态节点上设置有一个命中开关;
一当前子规则与一病毒特征码匹配成功时,开启所述当前子规则的所述命中开关,允许所述当前子规则后面的子规则继续与所述病毒特征码进行后续的匹配;
当所有所述子规则均匹配成功时,认定所述非确定规则与所述病毒特征码匹配成功,且认定包含所述病毒特征码的信息为病毒信息。
2.根据权利要求1所述的方法,其特征在于,每一个所述状态节点中存放一个顺序号,所述顺序号表示该状态节点在所述状态机中的位置。
3.根据权利要求1所述的方法,其特征在于,所述病毒特征码中至少包括两个特征码;所述一当前子规则与一病毒特征码匹配成功,具体包括:
所述当前子规则与所述病毒特征码中的任一特征码匹配成功。
4.根据权利要求2所述的方法,其特征在于,所述通配符包括普通通配符和特殊通配符;
当所述病毒特征码携带了第一数量个特殊通配符时,允许所述当前子规则后面的子规则继续与所述病毒特征码进行后续的匹配包括:
当一第二子规则被命中时,以所述第二子规则的首字符的位置减去所述当前子规则的首字符在所述状态机中记录的原信息命中位置,再减去所述当前子规则的长度得到一个位移差,该位移差为所述第一数量时认定所述第二子规则匹配成功;其中,所述第二子规则是所述当前子规则后面的且紧邻所述当前子规则的一个子规则。
5.根据权利要求1所述的方法,其特征在于,存在一终状态节点列表,存放所述非确定规则中各个子规则的类型,其中:
第一类型表示匹配到达该子规则的终状态节点时,还需要与后续的子规则进行匹配,
第二类型表示匹配到达该子规则的终状态节点时,所述非确定规则匹配成功;
当所述非确定规则包括至少两个子规则时,最后一个子规则为第二类型,其余子规则为第一类型,
当所述非确定规则只包括一个当前子规则时,所述当前子规则为第二类型,并在所述终状态节点列表的对应的记录里面添加一匹配终结标识。
6.根据权利要求5所述的方法,其特征在于,所述终状态节点列表中还包括:下一子规则的终状态节点的位置;
当所述当前子规则为第一类型时,在所述终状态节点列表中更新所述当前子规则对应的记录,更新后的所述记录记载一第二子规则的终状态节点的位置;
当所述当前子规则为第二类型时,在所述终状态节点列表中所述当前子规则对应的记录里面添加所述匹配终结标识。
7.根据权利要求1所述的方法,其特征在于,还包括:对病毒的动态行为进行监控,包括监控:
操作时间,
电子装置短信/彩信发送量,
数据流量,
短信,
以及频繁开关机;
当出现异常时,执行检测病毒特征码的操作。
8.一种电子装置,其特征在于,包括:
规则拆分单元,用于将一非确定规则拆分为至少一个子规则,每一个子规则是一字符串,所述字符串中的字符连续且不包含通配符;
状态机构建单元,用于为所述非确定规则构建一状态机,所述状态机中包括多个状态节点;
命中开关单元,用于在每一个所述子规则的结束字符所对应的状态节点上设置有一个命中开关;
匹配单元,用于一个当前子规则与一病毒特征码匹配成功时,通知所述命中开关单元开启所述当前子规则的所述命中开关,允许所述当前子规则后面的子规则继续与所述病毒特征码进行匹配;当所有所述子规则均匹配成功时,认定所述非确定规则与所述病毒特征码匹配成功,且认定包含所述病毒特征码的信息为病毒信息。
9.根据权利要求8所述的电子装置,其特征在于,
所述匹配单元,还用于在一个当前子规则与一病毒特征码匹配成功的过程中,将所述当前子规则与所述病毒特征码中的任一特征码匹配,且匹配成功。
10.根据权利要求9所述的电子装置,其特征在于,匹配单元还包括:
特殊通配符匹配模块,用于当所述病毒特征码携带了第一数量个特殊通配符时,允许所述当前子规则后面的子规则继续与所述病毒特征码进行后续的匹配包括:
当一第二子规则被命中时,以所述第二子规则的首字符的位置减去所述当前子规则的首字符在所述状态机中记录的原信息命中位置,再减去所述当前子规则的长度得到一个位移差,该位移差为第一数量时认定所述第二子规则匹配成功;其中,所述第二子规则是所述当前子规则后面的且紧邻所述当前子规则的一个子规则;所述通配符包括普通通配符和特殊通配符。
11.根据权利要求8所述的电子装置,其特征在于,还包括:
终状态节点列表管理单元,用于存放一终状态节点列表,表中存放所述非确定规则中各个子规则的类型,其中:
第一类型表示匹配到达该子规则的终状态节点时,还需要与后续的子规则进行匹配,
第二类型表示匹配到达该子规则的终状态节点时,所述非确定规则匹配成功;
当所述非确定规则包括至少两个子规则时,最后一个子规则为第二类型,其余子规则为第一类型,
当所述非确定规则只包括一个当前子规则时,所述当前子规则为第二类型,并在所述终状态节点列表的对应的记录里面添加一匹配终结标识。
12.根据权利要求11所述的电子装置,其特征在于,
终状态节点列表更新单元,所述终状态节点列表中还包括:下一子规则的终状态节点的位置;用于当所述当前子规则为第一类型时,在所述终状态节点列表中更新所述当前子规则对应的记录,更新后的所述记录记载所述第二子规则的终状态节点的位置;
当所述当前子规则为第二类型时,在所述终状态节点列表中所述当前子规则对应的记录里面添加所述匹配终结标识。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201110342055.7A CN103093147B (zh) | 2011-11-02 | 2011-11-02 | 一种识别信息的方法和电子装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201110342055.7A CN103093147B (zh) | 2011-11-02 | 2011-11-02 | 一种识别信息的方法和电子装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN103093147A true CN103093147A (zh) | 2013-05-08 |
| CN103093147B CN103093147B (zh) | 2016-08-10 |
Family
ID=48205703
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201110342055.7A Active CN103093147B (zh) | 2011-11-02 | 2011-11-02 | 一种识别信息的方法和电子装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN103093147B (zh) |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103593611A (zh) * | 2013-11-05 | 2014-02-19 | 安一恒通(北京)科技有限公司 | 一种快速识别病毒的方法和装置 |
| CN104243486A (zh) * | 2014-09-28 | 2014-12-24 | 中国联合网络通信集团有限公司 | 一种病毒检测方法及系统 |
| WO2016101552A1 (zh) * | 2014-12-25 | 2016-06-30 | 深圳市中兴微电子技术有限公司 | 报文检测方法及装置、存储介质 |
| CN107545071A (zh) * | 2017-09-21 | 2018-01-05 | 北京神州泰岳智能数据技术有限公司 | 一种字符串匹配的方法和装置 |
| CN112994931A (zh) * | 2021-02-05 | 2021-06-18 | 绿盟科技集团股份有限公司 | 一种规则匹配的方法及其设备 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2003077129A1 (en) * | 2002-03-13 | 2003-09-18 | Win Enterprise Co., Ltd. | Apparatus for protecting computer using functional character |
| CN101160923A (zh) * | 2005-04-20 | 2008-04-09 | 国际商业机器公司 | 模式检测的装置与方法 |
| CN101556619A (zh) * | 2009-05-04 | 2009-10-14 | 成都市华为赛门铁克科技有限公司 | 节点压缩方法及装置、以及多模匹配方法及装置 |
-
2011
- 2011-11-02 CN CN201110342055.7A patent/CN103093147B/zh active Active
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2003077129A1 (en) * | 2002-03-13 | 2003-09-18 | Win Enterprise Co., Ltd. | Apparatus for protecting computer using functional character |
| CN101160923A (zh) * | 2005-04-20 | 2008-04-09 | 国际商业机器公司 | 模式检测的装置与方法 |
| CN101556619A (zh) * | 2009-05-04 | 2009-10-14 | 成都市华为赛门铁克科技有限公司 | 节点压缩方法及装置、以及多模匹配方法及装置 |
Cited By (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103593611A (zh) * | 2013-11-05 | 2014-02-19 | 安一恒通(北京)科技有限公司 | 一种快速识别病毒的方法和装置 |
| CN104243486A (zh) * | 2014-09-28 | 2014-12-24 | 中国联合网络通信集团有限公司 | 一种病毒检测方法及系统 |
| CN104243486B (zh) * | 2014-09-28 | 2018-03-23 | 中国联合网络通信集团有限公司 | 一种病毒检测方法及系统 |
| WO2016101552A1 (zh) * | 2014-12-25 | 2016-06-30 | 深圳市中兴微电子技术有限公司 | 报文检测方法及装置、存储介质 |
| CN105791124A (zh) * | 2014-12-25 | 2016-07-20 | 深圳市中兴微电子技术有限公司 | 报文检测方法及装置 |
| CN105791124B (zh) * | 2014-12-25 | 2019-04-30 | 深圳市中兴微电子技术有限公司 | 报文检测方法及装置 |
| CN107545071A (zh) * | 2017-09-21 | 2018-01-05 | 北京神州泰岳智能数据技术有限公司 | 一种字符串匹配的方法和装置 |
| CN107545071B (zh) * | 2017-09-21 | 2020-02-07 | 北京神州泰岳智能数据技术有限公司 | 一种字符串匹配的方法和装置 |
| CN112994931A (zh) * | 2021-02-05 | 2021-06-18 | 绿盟科技集团股份有限公司 | 一种规则匹配的方法及其设备 |
| CN112994931B (zh) * | 2021-02-05 | 2023-01-17 | 绿盟科技集团股份有限公司 | 一种规则匹配的方法及其设备 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN103093147B (zh) | 2016-08-10 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| Shafi’I et al. | A review on mobile SMS spam filtering techniques | |
| CN114679329B (zh) | 用于基于赝象对恶意软件自动分组的系统 | |
| CN107251037B (zh) | 黑名单生成装置、黑名单生成系统、黑名单生成方法和记录介质 | |
| CN107292170B (zh) | Sql注入攻击的检测方法及装置、系统 | |
| US7983900B2 (en) | Method, computer program and apparatus for analysing symbols in a computer system | |
| CN103685307A (zh) | 基于特征库检测钓鱼欺诈网页的方法及系统、客户端、服务器 | |
| Shahzad et al. | Detection of spyware by mining executable files | |
| CN109246064A (zh) | 安全访问控制、网络访问规则的生成方法、装置及设备 | |
| Shahzad et al. | Detecting scareware by mining variable length instruction sequences | |
| CN110113315A (zh) | 一种业务数据的处理方法及设备 | |
| JP2016033690A (ja) | 不正侵入検知装置、不正侵入検知方法、不正侵入検知プログラム及び記録媒体 | |
| CN103093147B (zh) | 一种识别信息的方法和电子装置 | |
| CN110135162A (zh) | Webshell后门识别方法、装置、设备及存储介质 | |
| CN108345793A (zh) | 一种软件检测特征的提取方法及装置 | |
| CN113067792A (zh) | 一种xss攻击识别方法、装置、设备及介质 | |
| Casolare et al. | On the resilience of shallow machine learning classification in image-based malware detection | |
| CN106528805A (zh) | 基于用户的移动互联网恶意程序url智能分析挖掘方法 | |
| US20240054210A1 (en) | Cyber threat information processing apparatus, cyber threat information processing method, and storage medium storing cyber threat information processing program | |
| Alosefer et al. | Predicting client-side attacks via behaviour analysis using honeypot data | |
| CN115906086A (zh) | 基于代码属性图的网页后门检测方法、系统及存储介质 | |
| Mohsin et al. | Intelligent security cycle: A rule based run time malicious code detection technique for SOAP messages | |
| Luh et al. | LLR-based sentiment analysis for kernel event sequences | |
| CN111191234A (zh) | 一种病毒信息检测的方法及装置 | |
| Patel et al. | AProctor-A practical on-device antidote for Android malware | |
| CN113992423B (zh) | 一种计算机网络防火墙的使用方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant |