CN103580948A - 一种基于结构性文件索引信息的网络检测方法及装置 - Google Patents
一种基于结构性文件索引信息的网络检测方法及装置 Download PDFInfo
- Publication number
- CN103580948A CN103580948A CN201210577827.XA CN201210577827A CN103580948A CN 103580948 A CN103580948 A CN 103580948A CN 201210577827 A CN201210577827 A CN 201210577827A CN 103580948 A CN103580948 A CN 103580948A
- Authority
- CN
- China
- Prior art keywords
- index information
- packet
- file
- file index
- structural
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Abstract
本发明公开了一种基于结构性文件索引信息的网络检测方法及系统,所述方法首先获取网络数据包,并获取数据包中的文件索引信息,通过文件索引信息中的文件名列表信息,判断是否包含有威胁的文件格式,如果包含,则标记数据流处置数据包表示为还原数据包,否则判断文件索引信息是否完整,如果完整,则标记数据流处置数据包标识为不还原数据包,如果不完整,则继续获取下一数据包的文件索引信息进行判断。本发明的方法主要针对压缩数据包或索引文件信息在数据包头部的结构性文件。对于不存在威胁的压缩包类文件系统将不进行还原,降低了系统资源的占用,增加了检测速度。
Description
技术领域
本发明涉及计算机网络安全技术领域,特别涉及一种基于结构性文件索引信息的网络检测方法及装置。
背景技术
现有的网络检测技术,一般基于流和包的检测。其中网络病毒传统的流检测方法是,解析网络数据包,将相关网络数据包还原成完整的文件,在进行检测。网络上传输文件多为结构性文件,例如压缩包类型文件,传统方法通常是将还原的结构性文件进行解压、扫描,从而判定此网络数据流的威胁性。
而在现实工作中,并非所有的数据流都含有威胁文件,对所有的数据流信息都进行还原并检测,会给系统带来极大的负担。因此如果结构性文件中存储的文件不是威胁格式文件,则没有必要对结构性文件进行还原、解压和检测。传统方法不仅浪费系统资源又拖慢系统的检测速度。
发明内容
本发明提供了一种基于结构性文件索引信息的网络检测方法,仅针对含有威胁文件格式的数据流进行还原,解决了传统方法还原全部数据流,影响检测速度的问题。
一种基于结构性文件索引信息的网络检测方法,包括:
步骤1:获取网络数据流中的数据包;
步骤2:判断所述数据包是否为结构性文件,如果是,则执行步骤3,否则直接还原数据包;
步骤3:提取数据包的文件索引信息;
步骤4:判断所述文件索引信息中是否包含存在威胁的格式后缀名,如果存在,则标记数据流处置数据包为还原数据包,否则执行步骤5;
步骤5:判断所述文件索引信息是否完整,如果是,则执行步骤6,否则执行步骤7;
步骤6:标记数据流处置数据包为不还原数据包;
步骤7:获取数据流中的下一个数据包,返回步骤3。
所述的方法中,所述的结构性文件是指rar压缩包文件、gzip压缩包文件或其他文件索引信息在头部的文件。
所述的方法中,所述存在威胁的后缀格式至少包括:com、exe或bat。
所述的方法中,判断所述文件索引信息是否完整方式为:判断文件索引信息中是否存在结束标志。
一种基于结构性文件索引信息的网络检测装置,包括:
数据包获取模块,用于获取网络数据流中的数据包;
判断模块,用于判断所述数据包是否为结构性文件,如果是,则将数据包发送至信息提取模块,否则直接还原数据包;
信息提取模块,用于提取数据包的文件索引信息,并判断文件索引信息的完整性;
判断标记模块,用于判断所述文件索引信息中是否包含存在威胁的格式后缀名,如果存在,则标记数据流处置数据包为还原数据包,如果不存在,且文件索引信息完整,则标记数据流处置数据包为不还原数据包,如果不存在,且文件索引信息不完整,则获取数据流中的下一个数据包,返回信息提取模块。
所述的装置中,所述的结构性文件是指rar压缩包文件、gzip压缩包文件或其他文件索引信息在头部的文件。
所述的装置中,所述存在威胁的后缀格式至少包括:com、exe或bat。
所述的装置中,判断所述文件索引信息是否完整方式为:判断文件索引信息中是否存在结束标志。
本发明的方法,通过分析结构性文件的索引信息,判断是否需要对数据包进行还原,若文件索引信息中包含的文件名后缀为有威胁的格式,则还原数据包,如果不包含,则不对这个数据包进行还原、解包和检测。本发明的方法,只检测具有潜在性威胁的数据,降低了系统的资源占用,增加了检测速度,进而为网络检测分担了一部分压力。
本发明公开了一种基于结构性文件索引信息的网络检测方法及系统,所述方法首先获取网络数据包,并获取数据包中的文件索引信息,通过文件索引信息中的文件名列表信息,判断是否包含有威胁的文件格式,如果包含,则标记数据流处置数据包表示为还原数据包,否则判断文件索引信息是否完整,如果完整,则标记数据流处置数据包标识为不还原数据包,如果不完整,则继续获取下一数据包的文件索引信息进行判断。本发明的方法主要针对压缩数据包或索引文件信息在数据包头部的结构性文件。对于不存在威胁的压缩包类文件系统将不进行还原,降低了系统资源的占用,增加了检测速度。
附图说明
为了更清楚地说明本发明或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明中记载的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为一种基于结构性文件索引信息的网络检测方法流程图;
图2为一种基于结构性文件索引信息的网络检测装置结构示意图。
具体实施方式
为了使本技术领域的人员更好地理解本发明实施例中的技术方案,并使本发明的上述目的、特征和优点能够更加明显易懂,下面结合附图对本发明中技术方案作进一步详细的说明。
本发明提供了一种基于结构性文件索引信息的网络检测方法,仅针对含有威胁文件格式的数据流进行还原,解决了传统方法还原全部数据流,影响检测速度的问题。
一种基于结构性文件索引信息的网络检测方法,如图1所示,包括:
S101:获取网络数据流中的数据包;
S102:判断所述数据包是否为结构性文件,如果是,则执行S103,否则直接还原数据包;
S103:提取数据包的文件索引信息;
S104:判断所述文件索引信息中是否包含存在威胁的格式后缀名,如果存在,则标记数据流处置数据包为还原数据包,否则执行S105;
S105:判断所述文件索引信息是否完整,如果是,则执行S106,否则执行S107;对于一些较大的文件索引信息,可能不仅存在于一个压缩包中,因此需要获取与之关联的下一个数据包中的文件索引信息。
S106:标记数据流处置数据包为不还原数据包;
S107:获取数据流中的下一个数据包,返回S103。
所述的方法中,所述的结构性文件,可以是压缩包文件,如rar压缩包文件,gzip压缩包文件或其他文件索引信息在头部的文件。
所述的方法中,所述存在威胁的后缀格式至少包括:com、exe或bat。所说的存在威胁的后缀格式,一般为可执行文件,或其他已知可能带有威胁的文件后缀名。对于不能够直接执行的文件格式,由于其降低了用户直接点击运行的风险,也可视为无威胁,暂不进行检测。
所述的方法中,判断所述文件索引信息是否完整方式为:判断文件索引信息中是否存在结束标志。
一种基于结构性文件索引信息的网络检测装置,如图2所示,包括:
数据包获取模块201,用于获取网络数据流中的数据包;
判断模块202,用于判断所述数据包是否为结构性文件,如果是,则将数据包发送至信息提取模块,否则直接还原数据包;
信息提取模块203,用于提取数据包的文件索引信息,并判断文件索引信息的完整性;
判断标记模块204,用于判断所述文件索引信息中是否包含存在威胁的格式后缀名,如果存在,则标记数据流处置数据包为还原数据包,如果不存在,且文件索引信息完整,则标记数据流处置数据包为不还原数据包,如果不存在,且文件索引信息不完整,则获取数据流中的下一个数据包,返回信息提取模块。
所述的装置中,所述的结构性文件是指rar压缩包文件、gzip压缩包文件或其他文件索引信息在头部的文件。
所述的装置中,所述存在威胁的后缀格式至少包括:com、exe或bat。
所述的装置中,判断所述文件索引信息是否完整方式为:判断文件索引信息中是否存在结束标志。
本发明的方法,通过分析结构性文件的索引信息,判断是否需要对数据包进行还原,若文件索引信息中包含的文件名后缀为有威胁的格式,则还原数据包,如果不包含,则不对这个数据包进行还原、解包和检测。本发明的方法,只检测具有潜在性威胁的数据,降低了系统的资源占用,增加了检测速度,进而为网络检测分担了一部分压力。
本发明公开了一种基于结构性文件索引信息的网络检测方法及系统,所述方法首先获取网络数据包,并获取数据包中的文件索引信息,通过文件索引信息中的文件名列表信息,判断是否包含有威胁的文件格式,如果包含,则标记数据流处置数据包表示为还原数据包,否则判断文件索引信息是否完整,如果完整,则标记数据流处置数据包标识为不还原数据包,如果不完整,则继续获取下一数据包的文件索引信息进行判断。本发明的方法主要针对压缩数据包或索引文件信息在数据包头部的结构性文件。对于不存在威胁的压缩包类文件系统将不进行还原,降低了系统资源的占用,增加了检测速度。
本说明书中的各个实施例均采用递进的方式描述,各个实施例之间相同相似的部分互相参见即可,每个实施例重点说明的都是与其他实施例的不同之处。尤其,对于系统实施例而言,由于其基本相似于方法实施例,所以描述的比较简单,相关之处参见方法实施例的部分说明即可。
虽然通过实施例描绘了本发明,本领域普通技术人员知道,本发明有许多变形和变化而不脱离本发明的精神,希望所附的权利要求包括这些变形和变化而不脱离本发明的精神。
Claims (8)
1.一种基于结构性文件索引信息的网络检测方法,其特征在于,包括:
步骤1:获取网络数据流中的数据包;
步骤2:判断所述数据包是否为结构性文件,如果是,则执行步骤3,否则直接还原数据包;
步骤3:提取数据包的文件索引信息;
步骤4:判断所述文件索引信息中是否包含存在威胁的格式后缀名,如果存在,则标记数据流处置数据包为还原数据包,否则执行步骤5;
步骤5:判断所述文件索引信息是否完整,如果是,则执行步骤6,否则执行步骤7;
步骤6:标记数据流处置数据包为不还原数据包;
步骤7:获取数据流中的下一个数据包,返回步骤3。
2.如权利要求1所述的方法,其特征在于,所述的结构性文件是指rar压缩包文件、gzip压缩包文件或其他文件索引信息在头部的文件。
3.如权利要求1所述的方法,其特征在于,所述存在威胁的后缀格式至少包括:com、exe或bat。
4.如权利要求1所述的方法,其特征在于,判断所述文件索引信息是否完整方式为:判断文件索引信息中是否存在结束标志。
5.一种基于结构性文件索引信息的网络检测装置,其特征在于,包括:
数据包获取模块,用于获取网络数据流中的数据包;
判断模块,用于判断所述数据包是否为结构性文件,如果是,则将数据包发送至信息提取模块,否则直接还原数据包;
信息提取模块,用于提取数据包的文件索引信息,并判断文件索引信息的完整性;
判断标记模块,用于判断所述文件索引信息中是否包含存在威胁的格式后缀名,如果存在,则标记数据流处置数据包为还原数据包,如果不存在,且文件索引信息完整,则标记数据流处置数据包为不还原数据包,如果不存在,且文件索引信息不完整,则获取数据流中的下一个数据包,返回信息提取模块。
6.如权利要求5所述的装置,其特征在于,所述的结构性文件是指rar压缩包文件、gzip压缩包文件或其他文件索引信息在头部的文件。
7.如权利要求5所述的装置,其特征在于,所述存在威胁的后缀格式至少包括:com、exe或bat。
8.如权利要求5所述的装置,其特征在于,判断所述文件索引信息是否完整方式为:判断文件索引信息中是否存在结束标志。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201210577827.XA CN103580948A (zh) | 2012-12-27 | 2012-12-27 | 一种基于结构性文件索引信息的网络检测方法及装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201210577827.XA CN103580948A (zh) | 2012-12-27 | 2012-12-27 | 一种基于结构性文件索引信息的网络检测方法及装置 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN103580948A true CN103580948A (zh) | 2014-02-12 |
Family
ID=50051926
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201210577827.XA Pending CN103580948A (zh) | 2012-12-27 | 2012-12-27 | 一种基于结构性文件索引信息的网络检测方法及装置 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN103580948A (zh) |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN106850507A (zh) * | 2015-12-04 | 2017-06-13 | 北京航空航天大学 | 基于http压缩数据流的有害代码检测方法和装置 |
CN109412981A (zh) * | 2018-11-09 | 2019-03-01 | 深圳市酷开网络科技有限公司 | 数据传输方法及其传输系统、数据还原方法及其还原系统 |
Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1375775A (zh) * | 2001-03-16 | 2002-10-23 | 联想(北京)有限公司 | 网关级计算机网络病毒防范的方法及其装置 |
CN1924866A (zh) * | 2006-09-28 | 2007-03-07 | 北京理工大学 | 基于统计特征的网页恶意脚本检测方法 |
CN101547126A (zh) * | 2008-03-27 | 2009-09-30 | 北京启明星辰信息技术股份有限公司 | 一种基于网络数据流的网络病毒检测方法及装置 |
CN101692267A (zh) * | 2009-09-15 | 2010-04-07 | 北京大学 | 一种大规模恶意网页检测方法及系统 |
US20100095380A1 (en) * | 2006-12-12 | 2010-04-15 | Fortinent, Inc. | Detection of undesired computer files in damaged archives |
CN102082792A (zh) * | 2010-12-31 | 2011-06-01 | 成都市华为赛门铁克科技有限公司 | 钓鱼网页检测方法及设备 |
-
2012
- 2012-12-27 CN CN201210577827.XA patent/CN103580948A/zh active Pending
Patent Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1375775A (zh) * | 2001-03-16 | 2002-10-23 | 联想(北京)有限公司 | 网关级计算机网络病毒防范的方法及其装置 |
CN1924866A (zh) * | 2006-09-28 | 2007-03-07 | 北京理工大学 | 基于统计特征的网页恶意脚本检测方法 |
US20100095380A1 (en) * | 2006-12-12 | 2010-04-15 | Fortinent, Inc. | Detection of undesired computer files in damaged archives |
CN101547126A (zh) * | 2008-03-27 | 2009-09-30 | 北京启明星辰信息技术股份有限公司 | 一种基于网络数据流的网络病毒检测方法及装置 |
CN101692267A (zh) * | 2009-09-15 | 2010-04-07 | 北京大学 | 一种大规模恶意网页检测方法及系统 |
CN102082792A (zh) * | 2010-12-31 | 2011-06-01 | 成都市华为赛门铁克科技有限公司 | 钓鱼网页检测方法及设备 |
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN106850507A (zh) * | 2015-12-04 | 2017-06-13 | 北京航空航天大学 | 基于http压缩数据流的有害代码检测方法和装置 |
CN106850507B (zh) * | 2015-12-04 | 2020-01-14 | 北京航空航天大学 | 基于http压缩数据流的有害代码检测方法和装置 |
CN109412981A (zh) * | 2018-11-09 | 2019-03-01 | 深圳市酷开网络科技有限公司 | 数据传输方法及其传输系统、数据还原方法及其还原系统 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP2002373063A5 (zh) | ||
EP3321821B1 (en) | Big data exchange method and device | |
WO2007070889A3 (en) | System and method for detection of data traffic on a network | |
WO2008019170A3 (en) | Network intrusion detection representing sensed network activity in graphical form | |
WO2010105246A3 (en) | Accessing resources based on capturing information from a rendered document | |
US20150052519A1 (en) | Hypervisor driven embedded endpoint security monitoring | |
CN102819723B (zh) | 一种恶意二维码检测方法和系统 | |
CN102819713A (zh) | 一种检测弹窗安全性的方法和系统 | |
EP2434390A3 (en) | Method of adding value to print data, a value-adding device, and a recording medium | |
CN103546449A (zh) | 一种基于附件格式的邮件病毒检测方法和装置 | |
CN102497297A (zh) | 基于多核多线程的深度报文检测技术的实现系统和方法 | |
CN104238819A (zh) | 移动终端中显示屏状态的检测方法及系统 | |
WO2008063850A3 (en) | System and methods for digital file management and authentication | |
CN103530918B (zh) | 一种基于物联网的银行款箱安全出入管理系统 | |
CN103580948A (zh) | 一种基于结构性文件索引信息的网络检测方法及装置 | |
CN103220343B (zh) | 大数据多系统转发方法 | |
CN103020157A (zh) | 一种跨物理隔离的高可靠性实时文件生成方法 | |
CN101562603B (zh) | 一种通过回显解析telnet协议的方法及系统 | |
CN105049437A (zh) | 一种网络应用层数据过滤方法 | |
CN102594871A (zh) | 一种数据封装方法、系统、适配器及物联网中间件 | |
CN106412240A (zh) | 一种企业通讯集中管理的来电弹屏系统及方法 | |
CN104270358B (zh) | 可信网络交易系统客户端监控器及其实现方法 | |
CN202995841U (zh) | 巡检系统 | |
CN102385507B (zh) | 用于自动生成布尔代数的多机信息处理方法及装置 | |
CN109799316A (zh) | 一种基于计算机网络的环境检测系统 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
WD01 | Invention patent application deemed withdrawn after publication | ||
WD01 | Invention patent application deemed withdrawn after publication |
Application publication date: 20140212 |