專利名稱:一種基于有序包的迭代式病毒檢測(cè)方法
技術(shù)領(lǐng)域:
本發(fā)明涉及網(wǎng)絡(luò)安全技術(shù)領(lǐng)域��,特別是涉及一種基于有序包的迭代式病毒檢測(cè)方 法���。
背景技術(shù):
隨著互聯(lián)網(wǎng)的發(fā)展和普及�,通過網(wǎng)絡(luò)進(jìn)行病毒傳播的比例正逐步攀升����,伴隨它而 來的是越來越突出的信息安全問題。目前的檢測(cè)手段大致分為兩種基于包的檢測(cè)和基于 流的檢測(cè)�����?�;诎臋z測(cè)不足之處對(duì)特征碼的質(zhì)量有較高的需求(例如特征碼的長(zhǎng)度不 能過長(zhǎng)����,而特征碼復(fù)雜度在一定程度上又依賴于特征碼的長(zhǎng)度);由于沒有保存包與包之 間的上下文關(guān)系而無法對(duì)傳輸?shù)奈募M(jìn)行格式識(shí)別以及格式處理�����,而格式識(shí)別及處理恰恰 是保證精確檢測(cè)的手段之一��;對(duì)于特征跨越在兩個(gè)包或多個(gè)包之間的情況較難處理��?���;诹鞯臋z測(cè)不足之處需要還原出具體的文件�����,因此內(nèi)存資源占用極大����;還原 文件影響了檢測(cè)效率�����。
發(fā)明內(nèi)容
針對(duì)以上不足����,本發(fā)明要解決的問題是提供一種病毒檢測(cè)方法,該方法可以在資 源占用較小的情況下�,兼顧了檢測(cè)的精確度和效率。為了解決上述技術(shù)的問題���,本發(fā)明提供了一種病毒檢測(cè)方法���,包括a、分配緩沖區(qū)�����;b、檢測(cè)包數(shù)據(jù)�;c��、釋放緩沖區(qū)���。進(jìn)一步的��,步驟a中�����,分配緩沖區(qū)并將緩沖區(qū)地址返回給調(diào)用者�����,緩沖區(qū)用來保存 在檢測(cè)過程中產(chǎn)生的中間狀態(tài)數(shù)據(jù)�。步驟b中���,檢測(cè)包數(shù)據(jù)�����,在檢測(cè)過程中要確保傳入的包是有序的���。進(jìn)一步的�,結(jié)合上一次保存的中間結(jié)果及當(dāng)前檢測(cè)結(jié)果得出判定結(jié)果步驟b具體包括bl�����、讀取上一次保存的中間狀態(tài)�;b2、檢測(cè)本次給出的包數(shù)據(jù)��,并將當(dāng)前檢測(cè)的中間狀態(tài)結(jié)果進(jìn)行保存����;b3、根據(jù)上一次的中間狀態(tài)及當(dāng)前檢測(cè)結(jié)果得出判定�����;進(jìn)一步的���,步驟b2具體包括檢查上一次保存的中間狀態(tài)數(shù)據(jù)�,判定是否根據(jù)上一次的中間狀態(tài)確定待檢測(cè)數(shù) 據(jù)的范圍����,如果無法確定檢測(cè)范圍則檢測(cè)整個(gè)包數(shù)據(jù)�����,結(jié)合上一次的中間狀態(tài)及本次檢測(cè) 結(jié)果保存當(dāng)前狀態(tài)��。步驟c中�����,在尾包檢測(cè)完成之后釋放緩沖區(qū)。本發(fā)明在基本上不損失檢測(cè)效率的情況下�,減少了資源占用,提高了檢測(cè)的精確度����。由于只需保留部分中間狀態(tài)及檢測(cè)結(jié)果,無需緩沖全部數(shù)據(jù)����,相比較流檢測(cè)而言減少了 資源占用。因?yàn)楸A糁虚g狀態(tài)避免了單包檢測(cè)中無法獲取包與包之間的上下文關(guān)系���,提高 了檢測(cè)的精確度����。
圖1為本發(fā)明所述的基于有序包的迭代式病毒檢測(cè)方法的具體實(shí)施流程圖;圖2為本發(fā)明的應(yīng)用實(shí)例的流程圖����。
具體實(shí)施例方式下面將結(jié)合附圖及實(shí)施例對(duì)本發(fā)明的技術(shù)方案進(jìn)行更詳細(xì)的說明。在本發(fā)明中利用了在一組有序包中�,包之間具有關(guān)聯(lián)性(即有序)這一特點(diǎn),設(shè)備 首先確保包的有序性���,然后可以在此基礎(chǔ)上進(jìn)行檢測(cè)處理��。本發(fā)明的基于有序包的迭代式病毒檢測(cè)方法如圖1所示����,步驟如下A�、如果是傳入的數(shù)據(jù)是首包,則分配緩沖區(qū)用來保存中間狀態(tài)及檢測(cè)結(jié)果B��、解析上一次保存的中間狀態(tài)����,獲得文件格式、待檢測(cè)的位置�����、已檢測(cè)的長(zhǎng)度、上 一次的檢測(cè)結(jié)果等所述的中間狀態(tài)數(shù)據(jù)包括但不限于文件格式��、待檢測(cè)的位置���、已檢測(cè)的長(zhǎng)度��、上一 次的檢測(cè)結(jié)果等以及其它與檢測(cè)相關(guān)的數(shù)據(jù)C���、根據(jù)上一次保存的中間狀態(tài)進(jìn)行檢測(cè)�����,根據(jù)當(dāng)前檢測(cè)結(jié)果及上一次的中間狀態(tài) 合并給出檢測(cè)結(jié)果D��、保存當(dāng)前的中間狀態(tài)數(shù)據(jù)���,將當(dāng)前的檢測(cè)的中間狀態(tài)結(jié)果與上一次保存的中間 狀態(tài)合并保存��,用于下次迭代檢測(cè)使用E��、返回檢測(cè)結(jié)果及中間狀態(tài)數(shù)據(jù)�����,如果檢測(cè)結(jié)果確定為病毒則無需進(jìn)行迭代檢測(cè)F����、如果傳入的數(shù)據(jù)是尾包,則結(jié)束檢測(cè)���,釋放緩沖區(qū)����。下面用本發(fā)明的一應(yīng)用實(shí)例進(jìn)一步加以說明���。假定傳入的數(shù)據(jù)包為有序的����,傳輸?shù)奈募镻E文件����,待檢測(cè)的位置為代碼節(jié),應(yīng) 用實(shí)例的具體實(shí)施步驟如圖2所示�����,包括步驟201、獲取包數(shù)據(jù)�,得到當(dāng)前傳輸?shù)陌鼣?shù)據(jù)內(nèi)容。步驟202����、獲取上一次保存的中間狀態(tài),所述的中間狀態(tài)數(shù)據(jù)包括但不限于文件格 式�����、待檢測(cè)的位置��、已檢測(cè)的長(zhǎng)度��、上一次的檢測(cè)結(jié)果等�,以及其它與檢測(cè)相關(guān)的數(shù)據(jù)�。步驟203、解析中間狀態(tài)數(shù)據(jù)及包數(shù)據(jù)并對(duì)包數(shù)據(jù)進(jìn)行檢測(cè)�,解析中間狀態(tài)數(shù)據(jù), 利用上一次的中間狀態(tài)數(shù)據(jù)進(jìn)行檢測(cè)�。比如通過解析上一次的中間狀態(tài)獲得代碼節(jié)的位置、代碼節(jié)的大小以及通過目前 已檢測(cè)的長(zhǎng)度判定是否需要續(xù)繼檢測(cè)等����。步驟204����、根據(jù)上一次的中間結(jié)果及當(dāng)前檢測(cè)結(jié)果判定是否為病毒���。根據(jù)判定結(jié)果 確定下一步操作�,如果是病毒則返回到步驟205�,否則返回到步驟206繼續(xù)進(jìn)行迭代檢測(cè)。步驟205��、返回檢測(cè)結(jié)果���。步驟206�、保存當(dāng)前的狀態(tài)數(shù)據(jù)���,用于下一次的迭代檢測(cè)����,返回到步驟201直到檢 測(cè)到尾包���。
當(dāng)然���,本發(fā)明還可有其他多種實(shí)施例��,在不背離本發(fā)明精神及其實(shí)質(zhì)的情況下�����,熟 悉本領(lǐng)域的技術(shù)人員當(dāng)可根據(jù)本發(fā)明作出各種相應(yīng)的改變和變形���,但這些相應(yīng)的改變和變 形都應(yīng)屬于本發(fā)明所附的權(quán)利要求的保護(hù)范圍。
權(quán)利要求
一種基于有序包的迭代式病毒檢測(cè)方法����,其特征在于,a����、分配緩沖區(qū);b����、檢測(cè)包數(shù)據(jù);c�����、釋放緩沖區(qū)�����。
2.如權(quán)利要求1所述的基于有序包的迭代式病毒檢測(cè)方法�,其特征在于步驟a中,分 配緩沖區(qū)并將緩沖區(qū)地址返回給調(diào)用者�,緩沖區(qū)用來保存在檢測(cè)過程中產(chǎn)生的中間狀態(tài)數(shù) 據(jù);
3.如權(quán)利要求1所述的基于有序包的迭代式病毒檢測(cè)方法�,其特征在于步驟b中,在 檢測(cè)過程中要確保傳入的包是有序的�����;
4.如權(quán)利要求3所述的基于有序包的迭代式病毒檢測(cè)方法����,其特征在于,結(jié)合上一次 保存的中間結(jié)果及當(dāng)前檢測(cè)結(jié)果得出判定結(jié)果��;步驟b具體包括b 1���、讀取上一次保存的中間狀態(tài)����;b2����、檢測(cè)本次給出的包數(shù)據(jù)��,并將當(dāng)前檢測(cè)的中間狀態(tài)結(jié)果進(jìn)行保存����;b3����、根據(jù)上一次的中間狀態(tài)及當(dāng)前檢測(cè)結(jié)果得出判定;
5.如權(quán)利要求4所述的基于有序包的迭代式病毒檢測(cè)方法���,其特征在于��,步驟b2具體 包括檢查上一次保存的中間狀態(tài)數(shù)據(jù)��,判定是否根據(jù)上一次的中間狀態(tài)確定待檢測(cè)數(shù)據(jù)的 范圍�����,如果無法確定檢測(cè)范圍則檢測(cè)整個(gè)包數(shù)據(jù)���,結(jié)合上一次的中間狀態(tài)及本次檢測(cè)結(jié)果 保存當(dāng)前狀態(tài)。
6.如權(quán)利要求1所述的基于有序包的迭代式病毒檢測(cè)方法��,其特征在于步驟c中����,在 尾包檢測(cè)完成之后釋放緩沖區(qū)。
全文摘要
本發(fā)明公開了一種基于有序包的迭代式病毒檢測(cè)方法����。該方法包括分配緩中區(qū),并將緩沖區(qū)地址返回給調(diào)用者���;檢測(cè)包數(shù)據(jù)�����,并在檢測(cè)過程中要確保傳入的包是有序的�����;釋放緩沖區(qū)���。本發(fā)明在基本上不損失檢測(cè)效率的情況下,減少了資源占用�,提高了檢測(cè)的精確度。
文檔編號(hào)H04L12/26GK101873326SQ20101020820
公開日2010年10月27日 申請(qǐng)日期2010年6月24日 優(yōu)先權(quán)日2010年6月24日
發(fā)明者張栗偉, 童志明 申請(qǐng)人:北京安天電子設(shè)備有限公司