CN109547433A - 一种网络病毒的检测方法 - Google Patents
一种网络病毒的检测方法 Download PDFInfo
- Publication number
- CN109547433A CN109547433A CN201811391895.0A CN201811391895A CN109547433A CN 109547433 A CN109547433 A CN 109547433A CN 201811391895 A CN201811391895 A CN 201811391895A CN 109547433 A CN109547433 A CN 109547433A
- Authority
- CN
- China
- Prior art keywords
- detection
- data fragmentation
- virus
- data
- virus characteristic
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/12—Applying verification of the received information
- H04L63/123—Applying verification of the received information received data contents, e.g. message integrity
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/10—Protocols in which an application is distributed across nodes in the network
- H04L67/104—Peer-to-peer [P2P] networks
- H04L67/1074—Peer-to-peer [P2P] networks for supporting data block transmission mechanisms
- H04L67/1078—Resource delivery mechanisms
- H04L67/108—Resource delivery mechanisms characterised by resources being split in blocks or fragments
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Measuring Or Testing Involving Enzymes Or Micro-Organisms (AREA)
Abstract
本发明公开了一种网络病毒的检测方法,涉及网络安全技术领域。包括步骤一:获得病毒特征片段集合;步骤二:完整匹配检测;步骤三:特征码长度检测;步骤四:部分匹配测试和步骤五:重组数据分片检测。本发明通过对数据分片进行完整匹配和部分匹配;将成功部分匹配的数据分片进行重组后再进行完整匹配和部分匹配;通过多重匹配的方式,解决了现有基于病毒特征码的检测方法易导致漏检的问题;同时提高了检测的准确率。
Description
技术领域
本发明属于网络安全技术领域,特别是涉及一种网络病毒的检测方法。
背景技术
现有的P2P网络病毒检测中多采用特征码的的检测方式;此方式相对于其他的检测方式如基于随机扫描或基于流量异常等检测方法具有较多的优势,但基于病毒特征码的检测方法无法适应P2P网络传输的特点;易出现漏检的情况,可靠性较差;同时,检测的准确率较低。
发明内容
本发明的目的在于提供一种网络病毒的检测方法,通过对数据分片进行完整匹配和部分匹配;将成功部分匹配的数据分片进行重组后再进行完整匹配和部分匹配;通过多重匹配的方式,解决了现有基于病毒特征码的检测方法易导致漏检的问题;同时提高了检测的准确率。
为解决上述技术问题,本发明是通过以下技术方案实现的:
本发明为一种网络病毒的检测方法,包括以下步骤:
步骤一:获得病毒特征片段集合;将所有完整的病毒特征码等长分为两段,并将这些病毒特征码片段组成病毒特征片段集合;
步骤二:完整匹配检测;将数据分片与步骤一中的病毒特征码片段进行匹配检测;若数据分片与病毒特征码片完整匹配,则进行步骤三;若不匹配则进行步骤四;
步骤三:特征码长度检测;当被检测出的数据分片中的特征码长度不大于数据分片的长度时,则判定检出病毒;反之则将数据分片进行缓存;
步骤四:部分匹配测试;将数据分片与步骤一中的病毒特征码片段进行匹配检测;若数据分片与病毒特征码片部分匹配失败,则判定此数据分片中无病毒;反之则将此数据分片进行缓存;
步骤五:重组数据分片检测;检测是否存在缓冲数据分片,若有则将步骤三或步骤四中进行缓存的数据分片进行重组后重复步骤二至步骤五,直至数据分片检查完毕。
进一步地,所述步骤一中当一个完整的病毒特征码长度为奇数个字节时,则去除中间一个字节后将前后两段作为病毒特征码片段加入到病毒特征片段集合中。
进一步地,所述步骤二和步骤四中的匹配算法为AC-BM匹配算法。
进一步地,所述步骤五中只将缓存数据分片和与之相连的下一个数据分片进行重组。
本发明具有以下有益效果:
本发明将所有完整的病毒特征码等长分为两段,采用这种方式得到的特征码片段在与数据分片匹配时不会使算法漏掉真实含有病毒的文件数据;同时采用完整匹配和部分匹配的多重匹配方式,有效的提高了对P2P网络病毒检测的准确率和时效性。
当然,实施本发明的任一产品并不一定需要同时达到以上所述的所有优点。
附图说明
为了更清楚地说明本发明实施例的技术方案,下面将对实施例描述所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明的一种网络病毒的检测方法的流程示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其它实施例,都属于本发明保护的范围。
请参阅图1所示,本发明为一种网络病毒的检测方法,包括以下步骤:
步骤一:获得病毒特征片段集合;将所有完整的病毒特征码等长分为两段,并将这些病毒特征码片段组成病毒特征片段集合;当一个完整的病毒特征码长度为奇数个字节时,则去除中间一个字节后将前后两段作为病毒特征码片段加入到病毒特征片段集合中。采用这种方式得到的特征码片段在与数据分片匹配时不会使算法漏掉真实含有病毒的文件数据
步骤二:完整匹配检测;将数据分片与步骤一中的病毒特征码片段进行匹配检测;若数据分片与病毒特征码片完整匹配,则进行步骤三;若不匹配则进行步骤四;
步骤三:特征码长度检测;当被检测出的数据分片中的特征码长度不大于数据分片的长度时,则判定检出病毒;反之则将数据分片进行缓存;
步骤四:部分匹配测试;将数据分片与步骤一中的病毒特征码片段进行匹配检测;若数据分片与病毒特征码片部分匹配失败,则判定此数据分片中无病毒;反之则将此数据分片进行缓存;
由于P2P网络进行数据传输时将数据分割成若干数据分片,因此文件中的病毒也被随机的分割在数据分片中;则有可能出现当病毒特征码长度不大于数据分片长度时,病毒特征码被完整的包含在一个数据分片中;或病毒特征码长度不大于数据分片长度,但病毒特征码被分割在相邻的两片数据分片中;以及当病毒特征码长度大于数据分片长度,则病毒特征码必定分布与两块或相邻的多块数据分片中;因此,常规的基于特征码检测方法无法检测出后两种情况;因此采用完整匹配和部分匹配的方法,且完成匹配后需要进行特征码长度数据分片的长度确认;因而有效的提高了检测的准确性,减少漏检。
步骤五:重组数据分片检测;检测是否存在缓冲数据分片,若有则将步骤三或步骤四中进行缓存的数据分片和与之相连的下一个数据分片进行重组后重复步骤二至步骤五,直至数据分片检查完毕;检测节点基于P2P对等端构建,当部分匹配成功后可以利用P2P对等端文件传输过程维护的节点及数据分布信息向P2P网络中优先请求与已缓存的数据相邻的其他数据分片进行重组,从而提高病毒检测效率;
步骤五完成后返回步骤二,是一个循环过程,在步骤二开始前需进行缓存数据分片确认,若存在等待的缓存数据分片,则先进行数据重组,再进行匹配检测;特征码检测只是检测出疑似含有病毒的数据分片,需要通过重组,依靠特征码与数据分片或重组得到的数据块的完整匹配来判断数据分片中是否含有病毒,只有当完整匹配后且数据分片长度或重组后的数据块长度不小于所对应的特征码长度,才判定传输文件中含有病毒;从而有效的提高了病毒检测的准确率,可靠性。
其中,步骤二和步骤四中的匹配算法为AC-BM匹配算法。
在本说明书的描述中,参考术语“一个实施例”、“示例”、“具体示例”等的描述意指结合该实施例或示例描述的具体特征、结构、材料或者特点包含于本发明的至少一个实施例或示例中。在本说明书中,对上述术语的示意性表述不一定指的是相同的实施例或示例。而且,描述的具体特征、结构、材料或者特点可以在任何的一个或多个实施例或示例中以合适的方式结合。
以上公开的本发明优选实施例只是用于帮助阐述本发明。优选实施例并没有详尽叙述所有的细节,也不限制该发明仅为所述的具体实施方式。显然,根据本说明书的内容,可作很多的修改和变化。本说明书选取并具体描述这些实施例,是为了更好地解释本发明的原理和实际应用,从而使所属技术领域技术人员能很好地理解和利用本发明。本发明仅受权利要求书及其全部范围和等效物的限制。
Claims (4)
1.一种网络病毒的检测方法,其特征在于,包括以下步骤:
步骤一:获得病毒特征片段集合;将所有完整的病毒特征码等长分为两段,并将这些病毒特征码片段组成病毒特征片段集合;
步骤二:完整匹配检测;将数据分片与步骤一中的病毒特征码片段进行匹配检测;若数据分片与病毒特征码片完整匹配,则进行步骤三;若不匹配则进行步骤四;
步骤三:特征码长度检测;当被检测出的数据分片中的特征码长度不大于数据分片的长度时,则判定检出病毒;反之则将数据分片进行缓存;
步骤四:部分匹配测试;将数据分片与步骤一中的病毒特征码片段进行匹配检测;若数据分片与病毒特征码片部分匹配失败,则判定此数据分片中无病毒;反之则将此数据分片进行缓存;
步骤五:重组数据分片检测;检测是否存在缓冲数据分片,若有则将步骤三或步骤四中进行缓存的数据分片进行重组后重复步骤二至步骤五,直至数据分片检查完毕。
2.根据权利要求1所述的一种网络病毒的检测方法,其特征在于,所述步骤一中当一个完整的病毒特征码长度为奇数个字节时,则去除中间一个字节后将前后两段作为病毒特征码片段加入到病毒特征片段集合中。
3.根据权利要求1所述的一种网络病毒的检测方法,其特征在于,所述步骤二和步骤四中的匹配算法为AC-BM匹配算法。
4.根据权利要求1所述的一种网络病毒的检测方法,其特征在于,所述步骤五中只将缓存数据分片和与之相连的下一个数据分片进行重组。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201811391895.0A CN109547433A (zh) | 2018-11-21 | 2018-11-21 | 一种网络病毒的检测方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201811391895.0A CN109547433A (zh) | 2018-11-21 | 2018-11-21 | 一种网络病毒的检测方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN109547433A true CN109547433A (zh) | 2019-03-29 |
Family
ID=65848744
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201811391895.0A Pending CN109547433A (zh) | 2018-11-21 | 2018-11-21 | 一种网络病毒的检测方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN109547433A (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN116738428A (zh) * | 2023-08-14 | 2023-09-12 | 苏州浪潮智能科技有限公司 | 一种文件动态病毒检测方法、装置、电子设备和存储介质 |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101547126A (zh) * | 2008-03-27 | 2009-09-30 | 北京启明星辰信息技术股份有限公司 | 一种基于网络数据流的网络病毒检测方法及装置 |
| CN104243486A (zh) * | 2014-09-28 | 2014-12-24 | 中国联合网络通信集团有限公司 | 一种病毒检测方法及系统 |
-
2018
- 2018-11-21 CN CN201811391895.0A patent/CN109547433A/zh active Pending
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101547126A (zh) * | 2008-03-27 | 2009-09-30 | 北京启明星辰信息技术股份有限公司 | 一种基于网络数据流的网络病毒检测方法及装置 |
| CN104243486A (zh) * | 2014-09-28 | 2014-12-24 | 中国联合网络通信集团有限公司 | 一种病毒检测方法及系统 |
Non-Patent Citations (1)
| Title |
|---|
| 欧阳显雅: "P2P网络中的病毒检测与防御研究", 《中国优秀硕士学位论文全文数据库信息科技辑(2014)》 * |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN116738428A (zh) * | 2023-08-14 | 2023-09-12 | 苏州浪潮智能科技有限公司 | 一种文件动态病毒检测方法、装置、电子设备和存储介质 |
| CN116738428B (zh) * | 2023-08-14 | 2023-11-10 | 苏州浪潮智能科技有限公司 | 一种文件动态病毒检测方法、装置、电子设备和存储介质 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US9009824B1 (en) | Methods and apparatus for detecting phishing attacks | |
| KR100809416B1 (ko) | 보안 시스템을 위한 최적 시그니처 자동 생성 장치 및 방법 | |
| US8990936B2 (en) | Method and device for detecting flood attacks | |
| Basnet et al. | Rule-based phishing attack detection | |
| Stokes et al. | WebCop: Locating Neighborhoods of Malware on the Web. | |
| US11522902B2 (en) | Reliability calculation apparatus, reliability calculation method and program | |
| US20070199054A1 (en) | Client side attack resistant phishing detection | |
| US20100077482A1 (en) | Method and system for scanning electronic data for predetermined data patterns | |
| CN107122221A (zh) | 用于正则表达式的编译器 | |
| CN103154884B (zh) | 模式检测 | |
| DE69912303D1 (de) | Antivirenbeschleuniger für computernetzwerke | |
| CN109257393A (zh) | 基于机器学习的xss攻击防御方法及装置 | |
| CN106789849B (zh) | Cc攻击识别方法、节点及系统 | |
| CN107508681A (zh) | 区块链密钥保护方法及装置 | |
| CN109413016B (zh) | 一种基于规则的报文检测方法和装置 | |
| CN106384048A (zh) | 一种威胁信息处理方法与装置 | |
| CN105407096B (zh) | 基于流管理的报文数据检测方法 | |
| CN106682506A (zh) | 一种病毒程序检测方法和终端 | |
| CN103248609A (zh) | 一种端到端的数据检测系统、装置和方法 | |
| CN109547433A (zh) | 一种网络病毒的检测方法 | |
| WO2021196463A1 (zh) | 一种区块链数据的同步方法、装置及电子设备、存储介质 | |
| CN101719906B (zh) | 一种基于蠕虫传播行为的蠕虫检测方法 | |
| CN106302859B (zh) | 一种dnssec否定应答的响应及处理方法 | |
| CN105119876A (zh) | 一种自动生成的域名的检测方法及系统 | |
| KR101404108B1 (ko) | 윈도우 실행파일 추출방법, 및 장치 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20190329 |