- 1、本文档共27页,可阅读全部内容。
- 2、原创力文档(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
- 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载。
- 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
(19)中华人民共和国国家知识产权局
(12)发明专利说明书
(10)申请公布号CN101547126A
(43)申请公布日2009.09.30
(21)申请号CN200810102849.4
(22)申请日2008.03.27
(71)申请人北京启明星辰信息技术股份有限公司
地址100094北京市海淀区东北旺西路8号中关村软件园21号启明星辰大厦
(72)发明人华东明肖小剑邓炜周涛
(74)专利代理机构北京市商泰律师事务所
代理人毛燕生
(51)Int.CI
H04L12/26
H04L29/06
H04L12/56
权利要求说明书说明书幅图
(54)发明名称
一种基于网络数据流的网络病毒检
测方法及装置
(57)摘要
本发明公开了在TCP/IP网络中的
一种基于网络数据流的网络病毒检测方法
及装置,对网络病毒根据宿主文件类型进
行分类,根据不同描述方式对网络病毒特
征进行分片,对特定个数的网络数据包重
组成网络数据流,使分类和分片后的网络
病毒特征和网络数据流进行匹配,检测网
络数据流中隐含的网络病毒,并在匹配过
程中扫描网页文件格式特征,以检测嵌入
网络病毒。利用本发明,可以对网络数据
流和网络病毒特征进行两次匹配,并能检
测嵌入网络病毒;这样可以高效和准确地
检测在TCP/IP网络中传播的网络病毒,使
网络用户免受通过网络传播的网络病毒攻
击,为网络用户提供一个安全的网络环
境。
法律状态
法律状态公告日法律状态信息法律状态
权利要求说明书
1、一种基于网络数据流的网络病毒检测方法,其特征在于包括以下步骤:
A、根据不同宿主文件类型对网络病毒进行分类;
B、根据不同描述方式对网络病毒进行分片;
C、针对不同网页文件类型获取不同网页文件格式特征;
D、对特定个数的网络数据包重组成网络数据流;
E、根据不同类别的病毒特征库、病毒特征片段、网页文件格式特征和网络数据流,
使网络数据流和网络病毒特征进行匹配,检测出网络数据流中隐含的网络病毒。
2、根据权利要求1所述的一种基于网络数据流的网络病毒检测方法,其特征在于,
所述步骤A包括:
A1、读取网络病毒信息库;
A2、解密病毒信息;
A3、解析病毒信息;
所述网络病毒信息包括:病毒名称、病毒类型、文件偏移量和病毒特征。
A4、根据网络病毒宿主文件格式类型的不同,将网络病毒分为PE病毒、宏病毒、
脚本病毒、图片病毒和其它病毒。
3、根据权利要求1所述的一种基于网络数据流的网络病毒检测方法,其特征在于,
所述步骤B包括:
根据网络病毒特征描述方式的不同,对于非正则表达式描述的网络病毒特征,随机
并按顺序地从中抽取两片,对于正则表达式描述的网络病毒特征,从所有正则描述
符前随机抽取一个片段,将该片后剩余部分作为一个片段;
所述两个网络病毒特征片段中第一个病毒特征片段包括:病毒名称、病毒描述方式、
文件偏移量、病毒特征偏移量、病毒特征码和所述两个病毒特征片段中第二个病毒
特征片段的指针;
所述第二个病毒片段包括:病毒特征偏移量和病毒特征码。
4、根据权利要求1所述的一种基于网络数据流的网络病毒检测方法,其特征在于,
所述步骤C包括:
C1、从网页文件格式特征库中读取网页文件格式特征信息;
C2、解析网页文件格式特征信息;
C3、将网页文件格式特征插入到网络病毒特征数据结构中,以检测嵌入到PE和文
档格式文件中的脚本病毒。
5、根据权利要求1所述的一种基于网络数据流的网络病毒检测方法,其特征在于,
所述步骤D包括:
将数据包按顺序存储到缓存中,包计数器加1;
包计数器值大于等于发送端包个数窗口值或包计数器值是否小于发送端包个数窗口
值且时间差值是大于等于时间窗值时,上传数据包,包计数器=0,初始时间=0。
6、根据权利要求1所述的一种
文档评论(0)