CN104243486B - 一种病毒检测方法及系统 - Google Patents
一种病毒检测方法及系统 Download PDFInfo
- Publication number
- CN104243486B CN104243486B CN201410508765.6A CN201410508765A CN104243486B CN 104243486 B CN104243486 B CN 104243486B CN 201410508765 A CN201410508765 A CN 201410508765A CN 104243486 B CN104243486 B CN 104243486B
- Authority
- CN
- China
- Prior art keywords
- virus
- characteristic
- info
- virus characteristic
- storehouse
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 241000700605 Viruses Species 0.000 title claims abstract description 458
- 238000000034 method Methods 0.000 title claims abstract description 32
- 230000003612 virological effect Effects 0.000 claims description 26
- 231100000572 poisoning Toxicity 0.000 claims description 16
- 230000000607 poisoning effect Effects 0.000 claims description 16
- 238000001514 detection method Methods 0.000 claims description 12
- 238000012423 maintenance Methods 0.000 claims description 9
- 238000007619 statistical method Methods 0.000 claims description 8
- 201000010099 disease Diseases 0.000 claims description 7
- 208000037265 diseases, disorders, signs and symptoms Diseases 0.000 claims description 7
- 230000008359 toxicosis Effects 0.000 claims description 7
- 235000013399 edible fruits Nutrition 0.000 claims 1
- 238000003745 diagnosis Methods 0.000 description 5
- 238000005516 engineering process Methods 0.000 description 4
- 230000008901 benefit Effects 0.000 description 3
- 241000353621 Eilat virus Species 0.000 description 2
- 230000002155 anti-virotic effect Effects 0.000 description 2
- 238000004891 communication Methods 0.000 description 2
- 238000011161 development Methods 0.000 description 2
- 230000000694 effects Effects 0.000 description 2
- 239000012634 fragment Substances 0.000 description 2
- 230000033001 locomotion Effects 0.000 description 2
- 238000013459 approach Methods 0.000 description 1
- 238000010276 construction Methods 0.000 description 1
- 230000007423 decrease Effects 0.000 description 1
- 238000009792 diffusion process Methods 0.000 description 1
- 230000006870 function Effects 0.000 description 1
- 238000009434 installation Methods 0.000 description 1
- 230000009545 invasion Effects 0.000 description 1
- 238000004519 manufacturing process Methods 0.000 description 1
- 239000000463 material Substances 0.000 description 1
- 230000007246 mechanism Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000008520 organization Effects 0.000 description 1
- 239000002574 poison Substances 0.000 description 1
- 231100000614 poison Toxicity 0.000 description 1
- 238000012545 processing Methods 0.000 description 1
- 238000011160 research Methods 0.000 description 1
- 230000003068 static effect Effects 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种病毒检测方法及系统,该方法包括:创建病毒特征库,所述病毒特征库中的病毒特征和病毒信息按照如下关系记录:一个病毒信息包含一个或多个病毒特征,每个病毒特征对应一个或多个病毒信息;将采集到的网络数据包重组解析后,采用多模式匹配算法与所述病毒特征库中的病毒特征进行匹配,当匹配到一条病毒特征时,结合已匹配到的病毒特征,判断是否可以组成一条或多条完整的病毒信息,如果可以,则病毒信息匹配成功,否则,等待下次匹配到新的病毒特征后继续判断。本发明可以处理一条病毒含有多条病毒特征的情况,适合在高速网络中使用;通过本发明的这种病毒信息和病毒特征的存储方式,可以快速匹配到病毒,能够更高效地检测出病毒。
Description
技术领域
本发明涉及通信领域,具体涉及一种病毒检测方法及系统。
背景技术
如今,网络技术的飞速发展使得互联网络在国民经济生产和人们日常生活中所发挥的作用越来越重要,与此同时,入侵计算机网络和计算机系统等攻击行为不可避免地变得越来越多,而且动用的手段也越来越复杂和智能。鉴于此,网络安全问题越来越受到各个国家和学者们的高度重视,也逐渐成为了各科研院所和机构的研究热点。
网络安全是一门涉及计算机、通信以及数学等各领域的综合学科。最初为了防范各种网络威胁,传统的网络安全技术以防护为主,如应用较多的防火墙、身份认证以及数据加密等静态安全防护技术。但是,当今的发展趋势是网络规模迅速扩大化,同时网络病毒明显呈现复杂化的倾向,传统的安全技术越来越难以满足需求,此时入侵检测技术适时出现了。
常见的检测病毒的方法有三种:
(1)终端制造商平台安全措施。有些病毒就是利用终端操作系统的漏洞进行攻击,所以终端制造商应该努力完善操作系统的内核代码,堵塞安全漏洞。该方法需要大量的人力和物力来填补手机操作系统的漏洞,而且开发周期长,产生效果比较慢。除此之外,因为开发者会不停地发布大量的操作系统补丁,这样会使用户的操作系统运行越来越慢,用户体验会下降很多。
(2)运营商的安全措施。运营商在核心网关或者在其旁路对病毒检测是非常重要和便捷的途径。运营商可以通过在网关处安装防火墙或者对其旁路进行病毒监测,对经过网关的所有数据包进行检测,防止病毒的扩散。
(3)用户的安全措施。用户为了自己的切身利益,自身要积极的防范病毒。用户应该使用正版操作系统、安装合适的杀毒软件、要谨慎下载软件等措施来防范病毒。该方法可以有效的防范病毒,但是其缺点也很明显,主要有两点:第一杀毒软件会占大量的系统资源,导致终端运行效率变慢;第二,该方法需要用户的参与,防范病毒的效果取决于用户。
针对以上三方面的防范措施,运营商在网络侧进行病毒检测,有见效快,对终端平台无要求,只需要在规则库中添加新的病毒特征就可以有效的防范新出现的病毒,而且不用大量的普通用户参与,是非常好的防范病毒的方法。运营商可以在网络入侵检测系统的架构上实现该病毒检测的方案,及时检测出网络中的病毒,有效防范病毒的传播。
近年来随着入侵检测技术的进步,入侵检测系统(Intrusion detection system,简称为IDS)得到了长足的发展。目前,入侵检测系统的主流算法为多模式匹配算法,因为多模式匹配算法扫描一遍文本串就可以处理多个模式的匹配,在规则数量很大时检测效率很高,多模式匹配算法的时间复杂度较低,大量的研究人员开始专研多模式匹配算法,提出了很多种多模式匹配算法。但是,当前的多模式匹配算法,匹配结果只是告诉人们匹配上哪条病毒特征,而对于一条病毒含有多条病毒特征的情况下,并不能告诉人们是否匹配成功某条病毒。
发明内容
本发明需要解决的技术问题是提供一种病毒检测方法及系统,处理一条病毒含有多条病毒特征的情况,能够更高效地检测出病毒。
为了解决上述技术问题,本发明提供了一种病毒检测方法,应用于网络侧,包括:
创建病毒特征库,所述病毒特征库中的病毒特征和病毒信息按照如下关系记录:一个病毒信息包含一个或多个病毒特征,每个病毒特征对应一个或多个病毒信息;
将采集到的网络数据包重组解析后,采用多模式匹配算法与所述病毒特征库中的病毒特征进行匹配,当匹配到一条病毒特征时,结合已匹配到的病毒特征,判断是否可以组成一条或多条完整的病毒信息,如果可以,则病毒信息匹配成功,否则,等待下次匹配到新的病毒特征后继续判断。
进一步地,所述创建病毒特征库,所述病毒特征库中的病毒特征和病毒信息按照如下关系记录,包括:
采用两个结构体来记录病毒特征和病毒信息,所述病毒特征的结构体包括四个域,分别用于表示病毒特征的唯一标识、病毒特征的特征值、指向所有包含此条病毒特征的病毒信息的指针以及指向下一个病毒特征结点的指针;所述病毒信息的结构体包括3个域,分别用于表示病毒的唯一标识、病毒包含的病毒特征数和指向下一个病毒信息结点的指针;
其中,每个病毒特征会形成一个病毒特征结点,每个病毒信息会形成一个病毒信息结点。
进一步地,当匹配到一条病毒特征时,所述方法还包括:
判断该病毒特征是否已被保存过,如果已被保存过,则不保存该匹配到的病毒特征,如果没有被保存过,则保存该匹配到的病毒特征。
进一步地,在病毒信息匹配成功后,所述方法还包括:
将匹配到的病毒信息以及该病毒信息对应的网络数据包上的时间戳和用户的标识保存;
根据所述网络数据包上的时间戳和用户的标识对一段时间内匹配到的病毒信息进行统计分析,展示一段时间内所述用户中毒的统计结果,所述统计结果包括:所述用户中毒的病毒信息、中毒次数和病毒类型。
进一步地,所述方法还包括:
当出现新的病毒时,对病毒特征库中的病毒特征和病毒信息进行更新。
为了解决上述技术问题,本发明还提供了一种病毒检测系统,应用于网络侧,包括:
流量采集模块,用于从网关采集网络数据包;
病毒特征库创建与维护模块,用于创建病毒特征库,所述病毒特征库中的病毒特征和病毒信息按照如下关系记录:一个病毒信息包含一个或多个病毒特征,每个病毒特征对应一个或多个病毒信息;
病毒匹配模块,用于将采集到的网络数据包重组解析后,采用多模式匹配算法与所述病毒特征库中的病毒特征进行匹配,当匹配到一条病毒特征时,结合已匹配到的病毒特征,判断是否可以组成一条或多条完整的病毒信息,如果可以,则病毒信息匹配成功,否则保存该匹配到的病毒特征,等待下次匹配到新的病毒特征后继续判断。
进一步地,所述病毒特征库创建与维护模块,用于创建病毒特征库,所述病毒特征库中的病毒特征和病毒信息按照如下关系记录,包括:
采用两个结构体来记录病毒特征和病毒信息,所述病毒特征的结构体包括四个域,分别用于表示病毒特征的唯一标识、病毒特征的特征值、指向所有包含此条病毒特征的病毒信息的指针以及指向下一个病毒特征结点的指针;所述病毒信息的结构体包括3个域,分别用于表示病毒的唯一标识、病毒包含的病毒特征数和指向下一个病毒信息结点的指针;
其中,每个病毒特征会形成一个病毒特征结点,每个病毒信息会形成一个病毒信息结点。
进一步地,还包括与所述病毒匹配模块相连的存储模块,其中:
所述存储模块,用于当匹配到一条病毒特征时,判断该病毒特征是否已被保存过,如果是,则不保存该匹配到的病毒特征,否则保存该匹配到的病毒特征。
进一步地,还包括与所述存储模块相连的统计模块,与统计模块相连的展示平台,其中:
所述病毒匹配模块,还用于在病毒信息匹配成功后,将匹配到的病毒信息以及该病毒信息对应的网络数据包上的时间戳和用户的标识发送至存储模块;
所述存储模块,还用于将匹配到的病毒信息以及该病毒信息对应的网络数据包上的时间戳和用户的标识保存;
所述统计模块,用于根据所述网络数据包上的时间戳和用户的标识对一段时间内匹配到的病毒信息进行统计分析,并将统计结果发送至展示平台,所述统计结果包括:所述用户中毒的病毒信息、中毒次数和病毒类型;
所述展示平台,用于向管理员展示一段时间内所述用户中毒的统计结果。
进一步地,所述病毒特征库创建与维护模块,还用于当出现新的病毒时,对病毒特征库中的病毒特征和病毒信息进行更新。
与现有技术相比,本发明实施例提供的病毒检测方法及系统,可以处理一条病毒含有多条病毒特征的情况,适合在高速网络中使用;通过本实施例提出的这种病毒信息和病毒特征的存储方式,可以快速匹配到病毒,能够更高效地检测出病毒。
附图说明
图1是实施例中病毒检测方法的流程图;
图2是一个应用示例中病毒特征及病毒信息存储的结构图;
图3是实施例中病毒检测系统的结构图。
具体实施方式
为使本发明的目的、技术方案和优点更加清楚明白,下文中将结合附图对本发明的实施例进行详细说明。需要说明的是,在不冲突的情况下,本申请中的实施例及实施例中的特征可以相互任意组合。
实施例:
如图1所示,本实施例提供了一种病毒检测方法,应用于网络侧,包括预处理阶段和匹配阶段,预处理阶段是创建病毒特征库,将病毒特征库中的病毒特征和病毒信息以一种新的数据结构存储记录,匹配阶段则是将从网关采集到的数据包与该预处理阶段创建的病毒特征库中的病毒特征进行匹配,具体包括以下步骤:
S101:创建病毒特征库,所述病毒特征库中的病毒特征和病毒信息重新按照如下关系记录:一个病毒信息包含一个或多个病毒特征,每个病毒特征对应一个或多个病毒信息;
本实施例中,病毒信息就是指病毒的名称,代表一个病毒;
其中,作为一种优选的方式,创建病毒特征库,所述病毒特征库中的病毒特征和病毒信息按照如下关系记录可以具体包括:
采用两个结构体来记录病毒特征和病毒信息,所述病毒特征的结构体包括四个域,分别用于表示病毒特征的唯一标识、病毒特征的特征值、指向所有包含此条病毒特征的病毒信息的指针以及指向下一个病毒特征结点的指针;所述病毒信息的结构体包括3个域,分别用于表示病毒的唯一标识、病毒包含的病毒特征数和指向下一个病毒信息结点的指针。
其中,每个病毒特征会形成一个病毒特征结点,每个病毒信息会形成一个病毒信息结点。
在一个应用示例中,如图2所述,设计了一种数据结构,可以有效的区分存储病毒特征信息和病毒信息,同时要尽量保证不要出现数据冗余的情况。在本应用示例中,采用结构体“patternNode”来记录病毒特征,它包括了四个域:“id”,“pattern”,“patinfo”和“next”。其中,“id”唯一标识了某个病毒特征,是病毒特征的唯一标识;“pattern”是具体的特征值,这里都是十六进制的字符串,如图2中的“0x24”;“patinfo”是个指针,指向了所有包含此条病毒特征的病毒信息;“next”是个指针,指向了下一个病毒特征的结点。在本应用示例中,采用结构体“patInfo”来表示病毒信息,它包括三个域:“virus_id”,“patterncount”和“next”,其中,“virus_id”唯一标识了某个病毒,是病毒的唯一标识;“patterncount”表示了这个病毒包含有多少个病毒特征,“next”是个指针,指向了下一个病毒信息的结点。
在预处理阶段,每一个病毒特征都会形成一个“patternNode”病毒特征结点,这些结点连接起来构建成一个链表“patternList”。
如图2所示,有两个病毒特征,“0x24”和“0x65”,包含0x24病毒特征的病毒有virus_id为100和105两个病毒。
这样的存储方式的好处有:1)在预处理阶段,要生成病毒特征树,这样只需遍历病毒特征结点即可,较为方便。2)在匹配阶段,如果匹配成功某个病毒特征,只需向下遍历关联该病毒特征的病毒信息结点即可,方便快捷。3)该存储方式无冗余数据,最大限度的节省了内存空间。
S102:遍历所述病毒特征库中的病毒特征,根据现有的模式匹配算法建立病毒特征树;
其中,建立病毒特征树的方式为现有技术,例如,AC-BM算法(Aho-Corasick-Boyer-Moore,顾名思义,是AC算法与BM算法的结合),该算法建立了一棵模式树,其包含了所有的模式串(即本实施例中的病毒特征库中的所有病毒特征),接着参照坏字符移动规则和好前缀移动规则来对目标串匹配,利用上述病毒特征树来进行多模式匹配。
S103:将采集到的网络数据包重组解析后,采用多模式匹配算法与所述病毒特征库中的病毒特征进行匹配;
其中,将采集到的网络数据包重组解析,包括:
从网关处采集所有流经网关的网络数据包,对前面采集到的网络数据包进行过滤,然后对数据包进行解析,重组分片包,然后,对重组之后的数据包进行病毒检测。所述网络数据包中携带有时间戳以及用户的标识(例如源IP地址和目的IP地址),可以用来后续病毒统计分析,得出相应用户的中毒统计结果。
其中,采用多模式匹配算法与所述病毒特征库中的病毒特征进行匹配,即将采集到的网络数据包重组解析后,利用步骤S102中建立的所述病毒特征树实现多模式匹配算法,将数据包进行病毒特征匹配。
S104:当匹配到一条病毒特征时,结合已匹配到的病毒特征,判断是否可以组成一条或多条完整的病毒信息,如果可以,则执行步骤S105;否则,执行步骤S106;
本实施例中,优选地,多模式匹配算法可以为AC-BM(Aho-Corasick-Boyer-Moore)算法,采用AC-BM算法先进行病毒特征的匹配。本实施例针对一个病毒包含多条病毒特征的情况,因此,本实施例判断是否匹配到完整的病毒信息的策略就是,当匹配到的多条病毒特征可以组成一个病毒信息(即该病毒信息包含的多条病毒特征都被匹配到)时,则认为成功匹配到一个病毒信息(即一个病毒),结合已匹配到的多条病毒特征,可以匹配到一条或多条病毒信息。
其中,当匹配到一条病毒特征时,所述方法还包括:
判断该病毒特征是否已被保存过,如果是,则不保存该匹配到的病毒特征,否则保存该匹配到的病毒特征。也就是说,不会重复保存病毒特征。
S105:病毒信息匹配成功,保存所述病毒信息以及该病毒信息对应的网络数据包上的时间戳和用户的标识;
S106:等待下次匹配到新的病毒特征后继续判断,返回步骤S104;
此外,作为一种优选的方式,还可以将匹配到的病毒信息进行统计,以对用户中毒的情况进行分析,所述方法还包括:
S107:根据所述网络数据包上的时间戳和用户的标识对一段时间内匹配到的病毒信息进行统计分析,展示一段时间内所述用户中毒的统计结果,所述统计结果包括:各个用户中毒的病毒信息、中毒次数和病毒类型。
例如,可以对一段时间内匹配到的病毒信息进行分类,统计各个病毒中毒的次数;根据用户的标识,统计各个用户一段时间内中毒的情况,比如:中毒的病毒信息、中毒次数和病毒类型。这样,可以根据统计结果,采取有效措施防范病毒。
此外,作为一种优选的方式,所述方法还包括:
当出现新的病毒时,对病毒特征库中的病毒特征和病毒信息进行更新。
如图3所示,本实施例提供了一种病毒检测系统,应用于网络侧,包括:
流量采集模块,用于从网关采集网络数据包;
病毒特征库创建与维护模块,用于创建病毒特征库,所述病毒特征库中的病毒特征和病毒信息按照如下关系记录:一个病毒信息包含一个或多个病毒特征,每个病毒特征对应一个或多个病毒信息;病毒信息就是病毒的名称,一个病毒信息就是指一个病毒;
病毒匹配模块,用于将采集到的网络数据包解析重整后,采用多模式匹配算法与所述病毒特征库中的病毒特征进行匹配,当匹配到一条病毒特征时,结合已匹配到的病毒特征,判断是否可以组成一条或多条完整的病毒信息,如果可以,则病毒信息匹配成功,否则保存该匹配到的病毒特征,等待下次匹配到新的病毒特征后继续判断。
本实施例针对一个病毒包含多条病毒特征的情况,因此,本实施例判断是否匹配到一条病毒信息的策略就是,当匹配到的多条病毒特征可以组成一条病毒信息(即该病毒信息包含的多条病毒特征都被匹配到)时,则认为成功匹配到一条病毒信息(即一个病毒),结合已匹配到的多条病毒特征,可以匹配到一条或多条病毒信息。
所述病毒特征库创建与维护模块,用于创建病毒特征库,所述病毒特征库中的病毒特征和病毒信息按照如下关系记录,包括:
采用两个结构体来记录病毒特征和病毒信息,所述病毒特征的结构体包括四个域,分别用于表示病毒特征的唯一标识、病毒特征的特征值、指向所有包含此条病毒特征的病毒信息的指针以及指向下一个病毒特征结点的指针;所述病毒信息的结构体包括3个域,分别用于表示病毒的唯一标识、病毒包含的病毒特征数和指向下一个病毒信息结点的指针;
其中,每个病毒特征会形成一个病毒特征结点,每个病毒信息会形成一个病毒信息结点。
病毒特征库创建与维护模块的这种存储结构具体匹配速度快、无冗余数据和节省内存空间的优点。
其中,所述病毒匹配模块,还用于遍历所述病毒特征库中的病毒特征,根据现有的模式匹配算法建立病毒特征树;以利用该病毒特征树来进行多模式匹配。
所述病毒匹配模块,用于将采集到的网络数据包解析重整后,采用多模式匹配算法与所述病毒特征库中的病毒特征进行匹配,包括:
将采集到的网络数据包重组解析后,利用所述病毒特征树实现多模式匹配算法,将数据包进行病毒特征匹配。
其中,所述病毒匹配模块,用于将采集到的网络数据包重组解析,包括:
从网关处采集所有流经网关的网络数据包,对前面采集到的网络数据包进行过滤,然后对数据包进行解析,重组分片包,然后,对重组之后的数据包进行病毒检测。所述网络数据包中携带有时间戳以及用户的标识(例如源IP地址和目的IP地址),可以用来后续病毒统计分析,得出相应用户的中毒统计结果。
本实施例的系统还包括与病毒匹配模块相连的存储模块和统计模块、与统计模块相连的展示平台,其中:
所述存储模块,用于当匹配到一条病毒特征时,判断该病毒特征是否已被保存过,如果是,则不保存该匹配到的病毒特征,否则保存该匹配到的病毒特征。
所述病毒匹配模块,还用于在病毒信息匹配成功后,将匹配到的病毒信息以及该病毒信息对应的网络数据包上的时间戳和用户的标识发送至存储模块;
所述存储模块,还用于将匹配到的病毒信息以及该病毒信息对应的网络数据包上的时间戳和用户的标识保存;
所述统计模块,用于根据所述网络数据包上的时间戳和用户的标识对一段时间内匹配到的病毒信息进行统计分析,并将统计结果发送至展示平台;
所述统计结果包括:所述用户中毒的病毒信息、中毒次数和病毒类型。
所述展示平台,用于向管理员展示一段时间内所述用户中毒的统计结果。
作为一种优选的方式,所述病毒预处理模块,还用于当出现新的病毒时,对病毒特征库中的病毒特征和病毒信息进行更新。
从上述实施例可以看出,相对于现有技术,上述实施例中提供的病毒检测方法及系统,可以处理一条病毒含有多条病毒特征的情况,适合在高速网络中使用;通过本实施例提出的这种病毒信息和病毒特征的存储方式,可以快速匹配到病毒,能够更高效地检测出病毒。
本领域普通技术人员可以理解上述方法中的全部或部分步骤可通过程序来指令相关硬件完成,所述程序可以存储于计算机可读存储介质中,如只读存储器、磁盘或光盘等。可选地,上述实施例的全部或部分步骤也可以使用一个或多个集成电路来实现。相应地,上述实施例中的各模块/单元可以采用硬件的形式实现,也可以采用软件功能模块的形式实现。本发明不限制于任何特定形式的硬件和软件的结合。
以上所述仅为本发明的优选实施例而已,并非用于限定本发明的保护范围。根据本发明的发明内容,还可有其他多种实施例,在不背离本发明精神及其实质的情况下,熟悉本领域的技术人员当可根据本发明作出各种相应的改变和变形,凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (8)
1.一种病毒检测方法,应用于网络侧,包括:
创建病毒特征库,所述病毒特征库中的病毒特征和病毒信息按照如下关系记录:一个病毒信息包含一个或多个病毒特征,每个病毒特征对应一个或多个病毒信息;
将采集到的网络数据包重组解析后,采用多模式匹配算法与所述病毒特征库中的病毒特征进行匹配,当匹配到一条病毒特征时,结合已匹配到的病毒特征,判断是否可以组成一条或多条完整的病毒信息,如果可以,则病毒信息匹配成功,否则,等待下次匹配到新的病毒特征后继续判断;
其中,所述创建病毒特征库,所述病毒特征库中的病毒特征和病毒信息按照如下关系记录,包括:
采用两个结构体来记录病毒特征和病毒信息,所述病毒特征的结构体包括四个域,分别用于表示病毒特征的唯一标识、病毒特征的特征值、指向所有包含此条病毒特征的病毒信息的指针以及指向下一个病毒特征结点的指针;所述病毒信息的结构体包括3个域,分别用于表示病毒的唯一标识、病毒包含的病毒特征数和指向下一个病毒信息结点的指针;
其中,每个病毒特征会形成一个病毒特征结点,每个病毒信息会形成一个病毒信息结点。
2.如权利要求1所述的方法,其特征在于:
当匹配到一条病毒特征时,所述方法还包括:
判断该病毒特征是否已被保存过,如果已被保存过,则不保存该匹配到的病毒特征,如果没有被保存过,则保存该匹配到的病毒特征。
3.如权利要求1所述的方法,其特征在于:
在病毒信息匹配成功后,所述方法还包括:
将匹配到的病毒信息以及该病毒信息对应的网络数据包上的时间戳和用户的标识保存;
根据所述网络数据包上的时间戳和用户的标识对一段时间内匹配到的病毒信息进行统计分析,展示一段时间内所述用户中毒的统计结果,所述统计结果包括:所述用户中毒的病毒信息、中毒次数和病毒类型。
4.如权利要求1所述的方法,其特征在于:所述方法还包括:
当出现新的病毒时,对病毒特征库中的病毒特征和病毒信息进行更新。
5.一种病毒检测系统,应用于网络侧,包括:
流量采集模块,用于从网关采集网络数据包;
病毒特征库创建与维护模块,用于创建病毒特征库,所述病毒特征库中的病毒特征和病毒信息按照如下关系记录:一个病毒信息包含一个或多个病毒特征,每个病毒特征对应一个或多个病毒信息;
病毒匹配模块,用于将采集到的网络数据包重组解析后,采用多模式匹配算法与所述病毒特征库中的病毒特征进行匹配,当匹配到一条病毒特征时,结合已匹配到的病毒特征,判断是否可以组成一条或多条完整的病毒信息,如果可以,则病毒信息匹配成功,否则保存该匹配到的病毒特征,等待下次匹配到新的病毒特征后继续判断;
其中,所述病毒特征库创建与维护模块,用于创建病毒特征库,所述病毒特征库中的病毒特征和病毒信息按照如下关系记录,包括:
采用两个结构体来记录病毒特征和病毒信息,所述病毒特征的结构体包括四个域,分别用于表示病毒特征的唯一标识、病毒特征的特征值、指向所有包含此条病毒特征的病毒信息的指针以及指向下一个病毒特征结点的指针;所述病毒信息的结构体包括3个域,分别用于表示病毒的唯一标识、病毒包含的病毒特征数和指向下一个病毒信息结点的指针;
其中,每个病毒特征会形成一个病毒特征结点,每个病毒信息会形成一个病毒信息结点。
6.如权利要求5所述的系统,其特征在于:还包括与所述病毒匹配模块相连的存储模块,其中:
所述存储模块,用于当匹配到一条病毒特征时,判断该病毒特征是否已被保存过,如果是,则不保存该匹配到的病毒特征,否则保存该匹配到的病毒特征。
7.如权利要求6所述的系统,其特征在于:还包括与所述存储模块相连的统计模块,与统计模块相连的展示平台,其中:
所述病毒匹配模块,还用于在病毒信息匹配成功后,将匹配到的病毒信息以及该病毒信息对应的网络数据包上的时间戳和用户的标识发送至存储模块;
所述存储模块,还用于将匹配到的病毒信息以及该病毒信息对应的网络数据包上的时间戳和用户的标识保存;
所述统计模块,用于根据所述网络数据包上的时间戳和用户的标识对一段时间内匹配到的病毒信息进行统计分析,并将统计结果发送至展示平台,所述统计结果包括:所述用户中毒的病毒信息、中毒次数和病毒类型;
所述展示平台,用于向管理员展示一段时间内所述用户中毒的统计结果。
8.如权利要求6所述的系统,其特征在于:
所述病毒特征库创建与维护模块,还用于当出现新的病毒时,对病毒特征库中的病毒特征和病毒信息进行更新。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410508765.6A CN104243486B (zh) | 2014-09-28 | 2014-09-28 | 一种病毒检测方法及系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410508765.6A CN104243486B (zh) | 2014-09-28 | 2014-09-28 | 一种病毒检测方法及系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN104243486A CN104243486A (zh) | 2014-12-24 |
| CN104243486B true CN104243486B (zh) | 2018-03-23 |
Family
ID=52230835
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201410508765.6A Active CN104243486B (zh) | 2014-09-28 | 2014-09-28 | 一种病毒检测方法及系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN104243486B (zh) |
Families Citing this family (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105939314A (zh) * | 2015-09-21 | 2016-09-14 | 杭州迪普科技有限公司 | 网络防护方法和装置 |
| RU2617654C2 (ru) * | 2015-09-30 | 2017-04-25 | Акционерное общество "Лаборатория Касперского" | Система и способ формирования набора антивирусных записей, используемых для обнаружения вредоносных файлов на компьютере пользователя |
| CN108712433A (zh) * | 2018-05-25 | 2018-10-26 | 南京森林警察学院 | 一种网络安全检测方法和系统 |
| CN108710793A (zh) * | 2018-05-25 | 2018-10-26 | 马鞍山市润启新材料科技有限公司 | 一种计算机网络防护方法及系统 |
| CN109063476A (zh) * | 2018-07-13 | 2018-12-21 | 江苏慧学堂系统工程有限公司 | 一种保证信息安全的计算机系统 |
| CN109194613B (zh) * | 2018-07-27 | 2021-02-23 | 新华三信息安全技术有限公司 | 一种数据包检测方法和装置 |
| CN109547433A (zh) * | 2018-11-21 | 2019-03-29 | 安徽云融信息技术有限公司 | 一种网络病毒的检测方法 |
| CN109302420A (zh) * | 2018-11-22 | 2019-02-01 | 杭州安恒信息技术股份有限公司 | 网络数据安全传输方法、系统以及电子设备 |
| CN109829304B (zh) * | 2018-12-29 | 2021-04-13 | 奇安信科技集团股份有限公司 | 一种病毒检测方法及装置 |
| CN109933990B (zh) * | 2019-03-12 | 2020-12-29 | 国网新疆电力有限公司电力科学研究院 | 基于多模式匹配的安全漏洞发现方法、装置及电子设备 |
| CN110990648A (zh) * | 2019-11-29 | 2020-04-10 | 珠海豹趣科技有限公司 | 一种病毒查询方法、服务器及计算机可读存储介质 |
| CN112671801B (zh) * | 2021-01-12 | 2022-10-28 | 哈尔滨财富通科技发展有限公司 | 一种网络安全检测方法和系统 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101547126A (zh) * | 2008-03-27 | 2009-09-30 | 北京启明星辰信息技术股份有限公司 | 一种基于网络数据流的网络病毒检测方法及装置 |
| CN103093147A (zh) * | 2011-11-02 | 2013-05-08 | 中国移动通信集团广东有限公司 | 一种识别信息的方法和电子装置 |
| CN104036187A (zh) * | 2013-03-04 | 2014-09-10 | 阿里巴巴集团控股有限公司 | 计算机病毒类型确定方法及其系统 |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8429749B2 (en) * | 2007-03-27 | 2013-04-23 | National Institute Of Advanced Industrial Science And Technology | Packet data comparator as well as virus filter, virus checker and network system using the same |
-
2014
- 2014-09-28 CN CN201410508765.6A patent/CN104243486B/zh active Active
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101547126A (zh) * | 2008-03-27 | 2009-09-30 | 北京启明星辰信息技术股份有限公司 | 一种基于网络数据流的网络病毒检测方法及装置 |
| CN103093147A (zh) * | 2011-11-02 | 2013-05-08 | 中国移动通信集团广东有限公司 | 一种识别信息的方法和电子装置 |
| CN104036187A (zh) * | 2013-03-04 | 2014-09-10 | 阿里巴巴集团控股有限公司 | 计算机病毒类型确定方法及其系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN104243486A (zh) | 2014-12-24 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN104243486B (zh) | 一种病毒检测方法及系统 | |
| Gopinath et al. | A comprehensive survey on deep learning based malware detection techniques | |
| Wu et al. | Twitter spam detection: Survey of new approaches and comparative study | |
| US10956566B2 (en) | Multi-point causality tracking in cyber incident reasoning | |
| Narudin et al. | Evaluation of machine learning classifiers for mobile malware detection | |
| Schmidt et al. | Static analysis of executables for collaborative malware detection on android | |
| Corona et al. | Adversarial attacks against intrusion detection systems: Taxonomy, solutions and open issues | |
| US11354412B1 (en) | Web shell classifier training | |
| US11941054B2 (en) | Iterative constraint solving in abstract graph matching for cyber incident reasoning | |
| US9792433B2 (en) | Method and device for detecting malicious code in an intelligent terminal | |
| CN103428196B (zh) | 一种基于url白名单的web应用入侵检测方法 | |
| Wang et al. | Jsdc: A hybrid approach for javascript malware detection and classification | |
| CN105074717A (zh) | 在网络环境中的恶意脚本语言代码的检测 | |
| CN110650117B (zh) | 跨站攻击防护方法、装置、设备及存储介质 | |
| KR101190261B1 (ko) | 하이브리드 인터액션 클라이언트 허니팟 시스템 및 그 운용방법 | |
| WO2018066221A1 (ja) | 分類装置、分類方法及び分類プログラム | |
| CN103746992A (zh) | 基于逆向的入侵检测系统及其方法 | |
| Wang et al. | TextDroid: Semantics-based detection of mobile malware using network flows | |
| Gyamfi et al. | Survey of mobile malware analysis, detection techniques and tool | |
| JP5656266B2 (ja) | ブラックリスト抽出装置、抽出方法および抽出プログラム | |
| Suthar et al. | A signature-based botnet (emotet) detection mechanism | |
| Bird et al. | Actions speak louder than words: Semi-supervised learning for browser fingerprinting detection | |
| JP6527111B2 (ja) | 解析装置、解析方法および解析プログラム | |
| Mei et al. | CTScopy: hunting cyber threats within enterprise via provenance graph-based analysis | |
| Wang et al. | Using malware for software-defined networking–based smart home security management through a taint checking approach |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |