一种病毒检测方法及系统的制作方法
【专利摘要】本发明公开了一种病毒检测方法及系统,该方法包括:创建病毒特征库,所述病毒特征库中的病毒特征和病毒信息按照如下关系记录:一个病毒信息包含一个或多个病毒特征,每个病毒特征对应一个或多个病毒信息;将采集到的网络数据包重组解析后,采用多模式匹配算法与所述病毒特征库中的病毒特征进行匹配,当匹配到一条病毒特征时,结合已匹配到的病毒特征,判断是否可以组成一条或多条完整的病毒信息,如果可以,则病毒信息匹配成功,否则,等待下次匹配到新的病毒特征后继续判断。本发明可以处理一条病毒含有多条病毒特征的情况,适合在高速网络中使用;通过本发明的这种病毒信息和病毒特征的存储方式,可以快速匹配到病毒,能够更高效地检测出病毒。
【专利说明】一种病毒检测方法及系统
【技术领域】
[0001]本发明涉及通信领域,具体涉及一种病毒检测方法及系统。
【背景技术】
[0002]如今,网络技术的飞速发展使得互联网络在国民经济生产和人们日常生活中所发挥的作用越来越重要,与此同时,入侵计算机网络和计算机系统等攻击行为不可避免地变得越来越多,而且动用的手段也越来越复杂和智能。鉴于此,网络安全问题越来越受到各个国家和学者们的高度重视,也逐渐成为了各科研院所和机构的研究热点。
[0003]网络安全是一门涉及计算机、通信以及数学等各领域的综合学科。最初为了防范各种网络威胁,传统的网络安全技术以防护为主,如应用较多的防火墙、身份认证以及数据加密等静态安全防护技术。但是,当今的发展趋势是网络规模迅速扩大化,同时网络病毒明显呈现复杂化的倾向,传统的安全技术越来越难以满足需求,此时入侵检测技术适时出现了。
[0004]常见的检测病毒的方法有三种:
[0005](I)终端制造商平台安全措施。有些病毒就是利用终端操作系统的漏洞进行攻击,所以终端制造商应该努力完善操作系统的内核代码,堵塞安全漏洞。该方法需要大量的人力和物力来填补手机操作系统的漏洞,而且开发周期长,产生效果比较慢。除此之外,因为开发者会不停地发布大量的操作系统补丁,这样会使用户的操作系统运行越来越慢,用户体验会下降很多。
[0006](2)运营商的安全措施。运营商在核心网关或者在其旁路对病毒检测是非常重要和便捷的途径。运营商可以通过在网关处安装防火墙或者对其旁路进行病毒监测,对经过网关的所有数据包进行检测,防止病毒的扩散。
[0007](3)用户的安全措施。用户为了自己的切身利益,自身要积极的防范病毒。用户应该使用正版操作系统、安装合适的杀毒软件、要谨慎下载软件等措施来防范病毒。该方法可以有效的防范病毒,但是其缺点也很明显,主要有两点:第一杀毒软件会占大量的系统资源,导致终端运行效率变慢;第二,该方法需要用户的参与,防范病毒的效果取决于用户。
[0008]针对以上三方面的防范措施,运营商在网络侧进行病毒检测,有见效快,对终端平台无要求,只需要在规则库中添加新的病毒特征就可以有效的防范新出现的病毒,而且不用大量的普通用户参与,是非常好的防范病毒的方法。运营商可以在网络入侵检测系统的架构上实现该病毒检测的方案,及时检测出网络中的病毒,有效防范病毒的传播。
[0009]近年来随着入侵检测技术的进步,入侵检测系统(Intrus1n detect1n system,简称为IDS)得到了长足的发展。目前,入侵检测系统的主流算法为多模式匹配算法,因为多模式匹配算法扫描一遍文本串就可以处理多个模式的匹配,在规则数量很大时检测效率很高,多模式匹配算法的时间复杂度较低,大量的研究人员开始专研多模式匹配算法,提出了很多种多模式匹配算法。但是,当前的多模式匹配算法,匹配结果只是告诉人们匹配上哪条病毒特征,而对于一条病毒含有多条病毒特征的情况下,并不能告诉人们是否匹配成功某条病毒。
【发明内容】
[0010]本发明需要解决的技术问题是提供一种病毒检测方法及系统,处理一条病毒含有多条病毒特征的情况,能够更高效地检测出病毒。
[0011]为了解决上述技术问题,本发明提供了一种病毒检测方法,应用于网络侧,包括:
[0012]创建病毒特征库,所述病毒特征库中的病毒特征和病毒信息按照如下关系记录:一个病毒信息包含一个或多个病毒特征,每个病毒特征对应一个或多个病毒信息;
[0013]将采集到的网络数据包重组解析后,采用多模式匹配算法与所述病毒特征库中的病毒特征进行匹配,当匹配到一条病毒特征时,结合已匹配到的病毒特征,判断是否可以组成一条或多条完整的病毒信息,如果可以,则病毒信息匹配成功,否则,等待下次匹配到新的病毒特征后继续判断。
[0014]进一步地,所述创建病毒特征库,所述病毒特征库中的病毒特征和病毒信息按照如下关系记录,包括:
[0015]采用两个结构体来记录病毒特征和病毒信息,所述病毒特征的结构体包括四个域,分别用于表示病毒特征的唯一标识、病毒特征的特征值、指向所有包含此条病毒特征的病毒信息的指针以及指向下一个病毒特征结点的指针;所述病毒信息的结构体包括3个域,分别用于表示病毒的唯一标识、病毒包含的病毒特征数和指向下一个病毒信息结点的指针;
[0016]其中,每个病毒特征会形成一个病毒特征结点,每个病毒信息会形成一个病毒信息结点。
[0017]进一步地,当匹配到一条病毒特征时,所述方法还包括:
[0018]判断该病毒特征是否已被保存过,如果已被保存过,则不保存该匹配到的病毒特征,如果没有被保存过,则保存该匹配到的病毒特征。
[0019]进一步地,在病毒信息匹配成功后,所述方法还包括:
[0020]将匹配到的病毒信息以及该病毒信息对应的网络数据包上的时间戳和用户的标识保存;
[0021]根据所述网络数据包上的时间戳和用户的标识对一段时间内匹配到的病毒信息进行统计分析,展示一段时间内所述用户中毒的统计结果,所述统计结果包括:所述用户中毒的病毒信息、中毒次数和病毒类型。
[0022]进一步地,所述方法还包括:
[0023]当出现新的病毒时,对病毒特征库中的病毒特征和病毒信息进行更新。
[0024]为了解决上述技术问题,本发明还提供了一种病毒检测系统,应用于网络侧,包括:
[0025]流量采集模块,用于从网关采集网络数据包;
[0026]病毒特征库创建与维护模块,用于创建病毒特征库,所述病毒特征库中的病毒特征和病毒信息按照如下关系记录:一个病毒信息包含一个或多个病毒特征,每个病毒特征对应一个或多个病毒信息;
[0027]病毒匹配模块,用于将采集到的网络数据包重组解析后,采用多模式匹配算法与所述病毒特征库中的病毒特征进行匹配,当匹配到一条病毒特征时,结合已匹配到的病毒特征,判断是否可以组成一条或多条完整的病毒信息,如果可以,则病毒信息匹配成功,否则保存该匹配到的病毒特征,等待下次匹配到新的病毒特征后继续判断。
[0028]进一步地,所述病毒特征库创建与维护模块,用于创建病毒特征库,所述病毒特征库中的病毒特征和病毒信息按照如下关系记录,包括:
[0029]采用两个结构体来记录病毒特征和病毒信息,所述病毒特征的结构体包括四个域,分别用于表示病毒特征的唯一标识、病毒特征的特征值、指向所有包含此条病毒特征的病毒信息的指针以及指向下一个病毒特征结点的指针;所述病毒信息的结构体包括3个域,分别用于表示病毒的唯一标识、病毒包含的病毒特征数和指向下一个病毒信息结点的指针;
[0030]其中,每个病毒特征会形成一个病毒特征结点,每个病毒信息会形成一个病毒信息结点。
[0031]进一步地,还包括与所述病毒匹配模块相连的存储模块,其中:
[0032]所述存储模块,用于当匹配到一条病毒特征时,判断该病毒特征是否已被保存过,如果是,则不保存该匹配到的病毒特征,否则保存该匹配到的病毒特征。
[0033]进一步地,还包括与所述存储模块相连的统计模块,与统计模块相连的展示模块,其中:
[0034]所述病毒匹配模块,还用于在病毒信息匹配成功后,将匹配到的病毒信息以及该病毒信息对应的网络数据包上的时间戳和用户的标识发送至存储模块;
[0035]所述存储模块,还用于将匹配到的病毒信息以及该病毒信息对应的网络数据包上的时间戳和用户的标识保存;
[0036]所述统计模块,用于根据所述网络数据包上的时间戳和用户的标识对一段时间内匹配到的病毒信息进行统计分析,并将统计结果发送至展示平台,所述统计结果包括:所述用户中毒的病毒信息、中毒次数和病毒类型;
[0037]所述展示平台,用于向管理员展示一段时间内所述用户中毒的统计结果。
[0038]进一步地,所述病毒特征库创建与维护模块,还用于当出现新的病毒时,对病毒特征库中的病毒特征和病毒信息进行更新。
[0039]与现有技术相比,本发明实施例提供的病毒检测方法及系统,可以处理一条病毒含有多条病毒特征的情况,适合在高速网络中使用;通过本实施例提出的这种病毒信息和病毒特征的存储方式,可以快速匹配到病毒,能够更高效地检测出病毒。
【专利附图】
【附图说明】
[0040]图1是实施例中病毒检测方法的流程图;
[0041]图2是一个应用示例中病毒特征及病毒信息存储的结构图;
[0042]图3是实施例中病毒检测系统的结构图。
【具体实施方式】
[0043]为使本发明的目的、技术方案和优点更加清楚明白,下文中将结合附图对本发明的实施例进行详细说明。需要说明的是,在不冲突的情况下,本申请中的实施例及实施例中的特征可以相互任意组合。
[0044]实施例:
[0045]如图1所示,本实施例提供了一种病毒检测方法,应用于网络侧,包括预处理阶段和匹配阶段,预处理阶段是创建病毒特征库,将病毒特征库中的病毒特征和病毒信息以一种新的数据结构存储记录,匹配阶段则是将从网关采集到的数据包与该预处理阶段创建的病毒特征库中的病毒特征进行匹配,具体包括以下步骤:
[0046]SlOl:创建病毒特征库,所述病毒特征库中的病毒特征和病毒信息重新按照如下关系记录:一个病毒信息包含一个或多个病毒特征,每个病毒特征对应一个或多个病毒信息;
[0047]本实施例中,病毒信息就是指病毒的名称,代表一个病毒;
[0048]其中,作为一种优选的方式,创建病毒特征库,所述病毒特征库中的病毒特征和病毒信息按照如下关系记录可以具体包括:
[0049]采用两个结构体来记录病毒特征和病毒信息,所述病毒特征的结构体包括四个域,分别用于表示病毒特征的唯一标识、病毒特征的特征值、指向所有包含此条病毒特征的病毒信息的指针以及指向下一个病毒特征结点的指针;所述病毒信息的结构体包括3个域,分别用于表示病毒的唯一标识、病毒包含的病毒特征数和指向下一个病毒信息结点的指针。
[0050]其中,每个病毒特征会形成一个病毒特征结点,每个病毒信息会形成一个病毒信息结点。
[0051]在一个应用示例中,如图2所述,设计了一种数据结构,可以有效的区分存储病毒特征信息和病毒信息,同时要尽量保证不要出现数据冗余的情况。在本应用示例中,采用结构体“patternNode”来记录病毒特征,它包括了四个域:“id”, “pattern”, “patinfo”和“next”。其中,“id”唯一标识了某个病毒特征,是病毒特征的唯一标识,pattern”是具体的特征值,这里都是十六进制的字符串,如图2中的“0x24”;“patinfo”是个指针,指向了所有包含此条病毒特征的病毒信息;“next”是个指针,指向了下一个病毒特征的结点。在本应用示例中,采用结构体“patinfo”来表示病毒信息,它包括三个域:“virus_id”,“patterncount”和“next”,其中,“virus_id”唯一标识了某个病毒,是病毒的唯一标识;“patterncount”表示了这个病毒包含有多少个病毒特征,“next”是个指针,指向了下一个病毒信息的结点。
[0052]在预处理阶段,每一个病毒特征都会形成一个“patternNode”病毒特征结点,这些结点连接起来构建成一个链表“patternList”。
[0053]如图2所示,有两个病毒特征,“0x24”和“0x65”,包含0x24病毒特征的病毒有virus_id为100和105两个病毒。
[0054]这样的存储方式的好处有:1)在预处理阶段,要生成病毒特征树,这样只需遍历病毒特征结点即可,较为方便。2)在匹配阶段,如果匹配成功某个病毒特征,只需向下遍历关联该病毒特征的病毒信息结点即可,方便快捷。3)该存储方式无冗余数据,最大限度的节省了内存空间。
[0055]S102:遍历所述病毒特征库中的病毒特征,根据现有的模式匹配算法建立病毒特征树;
[0056]其中,建立病毒特征树的方式为现有技术,例如,AC-BM算法(Aho-Corasick-Boyer-Moore,顾名思义,是AC算法与BM算法的结合),该算法建立了一棵模式树,其包含了所有的模式串(即本实施例中的病毒特征库中的所有病毒特征),接着参照坏字符移动规则和好前缀移动规则来对目标串匹配,利用上述病毒特征树来进行多模式匹配。
[0057]S103:将采集到的网络数据包重组解析后,采用多模式匹配算法与所述病毒特征库中的病毒特征进行匹配;
[0058]其中,将采集到的网络数据包重组解析,包括:
[0059]从网关处采集所有流经网关的网络数据包,对前面采集到的网络数据包进行过滤,然后对数据包进行解析,重组分片包,然后,对重组之后的数据包进行病毒检测。所述网络数据包中携带有时间戳以及用户的标识(例如源IP地址和目的IP地址),可以用来后续病毒统计分析,得出相应用户的中毒统计结果。
[0060]其中,采用多模式匹配算法与所述病毒特征库中的病毒特征进行匹配,即将采集到的网络数据包重组解析后,利用步骤S102中建立的所述病毒特征树实现多模式匹配算法,将数据包进行病毒特征匹配。
[0061]S104:当匹配到一条病毒特征时,结合已匹配到的病毒特征,判断是否可以组成一条或多条完整的病毒信息,如果可以,则执行步骤S105 ;否则,执行步骤S106 ;
[0062]本实施例中,优选地,多模式匹配算法可以为AC-BM(Aho-Corasick-Boyer-Moore)算法,采用AC-BM算法先进行病毒特征的匹配。本实施例针对一个病毒包含多条病毒特征的情况,因此,本实施例判断是否匹配到完整的病毒信息的策略就是,当匹配到的多条病毒特征可以组成一个病毒信息(即该病毒信息包含的多条病毒特征都被匹配到)时,则认为成功匹配到一个病毒信息(即一个病毒),结合已匹配到的多条病毒特征,可以匹配到一条或多条病毒信息。
[0063]其中,当匹配到一条病毒特征时,所述方法还包括:
[0064]判断该病毒特征是否已被保存过,如果是,则不保存该匹配到的病毒特征,否则保存该匹配到的病毒特征。也就是说,不会重复保存病毒特征。
[0065]S105:病毒信息匹配成功,保存所述病毒信息以及该病毒信息对应的网络数据包上的时间戳和用户的标识;
[0066]S106:等待下次匹配到新的病毒特征后继续判断,返回步骤S104 ;
[0067]此外,作为一种优选的方式,还可以将匹配到的病毒信息进行统计,以对用户中毒的情况进行分析,所述方法还包括:
[0068]S107:根据所述网络数据包上的时间戳和用户的标识对一段时间内匹配到的病毒信息进行统计分析,展示一段时间内所述用户中毒的统计结果,所述统计结果包括:各个用户中毒的病毒信息、中毒次数和病毒类型。
[0069]例如,可以对一段时间内匹配到的病毒信息进行分类,统计各个病毒中毒的次数;根据用户的标识,统计各个用户一段时间内中毒的情况,比如:中毒的病毒信息、中毒次数和病毒类型。这样,可以根据统计结果,采取有效措施防范病毒。
[0070]此外,作为一种优选的方式,所述方法还包括:
[0071]当出现新的病毒时,对病毒特征库中的病毒特征和病毒信息进行更新。
[0072]如图3所示,本实施例提供了一种病毒检测系统,应用于网络侧,包括:
[0073]流量采集模块,用于从网关采集网络数据包;
[0074]病毒特征库创建与维护模块,用于创建病毒特征库,所述病毒特征库中的病毒特征和病毒信息按照如下关系记录:一个病毒信息包含一个或多个病毒特征,每个病毒特征对应一个或多个病毒信息;病毒信息就是病毒的名称,一个病毒信息就是指一个病毒;
[0075]病毒匹配模块,用于将采集到的网络数据包解析重整后,采用多模式匹配算法与所述病毒特征库中的病毒特征进行匹配,当匹配到一条病毒特征时,结合已匹配到的病毒特征,判断是否可以组成一条或多条完整的病毒信息,如果可以,则病毒信息匹配成功,否则保存该匹配到的病毒特征,等待下次匹配到新的病毒特征后继续判断。
[0076]本实施例针对一个病毒包含多条病毒特征的情况,因此,本实施例判断是否匹配到一条病毒信息的策略就是,当匹配到的多条病毒特征可以组成一条病毒信息(即该病毒信息包含的多条病毒特征都被匹配到)时,则认为成功匹配到一条病毒信息(即一个病毒),结合已匹配到的多条病毒特征,可以匹配到一条或多条病毒信息。
[0077]所述病毒特征库创建与维护模块,用于创建病毒特征库,所述病毒特征库中的病毒特征和病毒信息按照如下关系记录,包括:
[0078]采用两个结构体来记录病毒特征和病毒信息,所述病毒特征的结构体包括四个域,分别用于表示病毒特征的唯一标识、病毒特征的特征值、指向所有包含此条病毒特征的病毒信息的指针以及指向下一个病毒特征结点的指针;所述病毒信息的结构体包括3个域,分别用于表示病毒的唯一标识、病毒包含的病毒特征数和指向下一个病毒信息结点的指针;
[0079]其中,每个病毒特征会形成一个病毒特征结点,每个病毒信息会形成一个病毒信息结点。
[0080]病毒特征库创建与维护模块的这种存储结构具体匹配速度快、无冗余数据和节省内存空间的优点。
[0081]其中,所述病毒匹配模块,还用于遍历所述病毒特征库中的病毒特征,根据现有的模式匹配算法建立病毒特征树;以利用该病毒特征树来进行多模式匹配。
[0082]所述病毒匹配模块,用于将采集到的网络数据包解析重整后,采用多模式匹配算法与所述病毒特征库中的病毒特征进行匹配,包括:
[0083]将采集到的网络数据包重组解析后,利用所述病毒特征树实现多模式匹配算法,将数据包进行病毒特征匹配。
[0084]其中,所述病毒匹配模块,用于将采集到的网络数据包重组解析,包括:
[0085]从网关处采集所有流经网关的网络数据包,对前面采集到的网络数据包进行过滤,然后对数据包进行解析,重组分片包,然后,对重组之后的数据包进行病毒检测。所述网络数据包中携带有时间戳以及用户的标识(例如源IP地址和目的IP地址),可以用来后续病毒统计分析,得出相应用户的中毒统计结果。
[0086]本实施例的系统还包括与病毒匹配模块相连的存储模块和统计模块、与统计模块相连的展示模块,其中:
[0087]所述存储模块,用于当匹配到一条病毒特征时,判断该病毒特征是否已被保存过,如果是,则不保存该匹配到的病毒特征,否则保存该匹配到的病毒特征。
[0088]所述病毒匹配模块,还用于在病毒信息匹配成功后,将匹配到的病毒信息以及该病毒信息对应的网络数据包上的时间戳和用户的标识发送至存储模块;
[0089]所述存储模块,还用于将匹配到的病毒信息以及该病毒信息对应的网络数据包上的时间戳和用户的标识保存;
[0090]所述统计模块,用于根据所述网络数据包上的时间戳和用户的标识对一段时间内匹配到的病毒信息进行统计分析,并将统计结果发送至展示平台;
[0091]所述统计结果包括:所述用户中毒的病毒信息、中毒次数和病毒类型。
[0092]所述展示平台,用于向管理员展示一段时间内所述用户中毒的统计结果。
[0093]作为一种优选的方式,所述病毒预处理模块,还用于当出现新的病毒时,对病毒特征库中的病毒特征和病毒信息进行更新。
[0094]从上述实施例可以看出,相对于现有技术,上述实施例中提供的病毒检测方法及系统,可以处理一条病毒含有多条病毒特征的情况,适合在高速网络中使用;通过本实施例提出的这种病毒信息和病毒特征的存储方式,可以快速匹配到病毒,能够更高效地检测出病毒。
[0095]本领域普通技术人员可以理解上述方法中的全部或部分步骤可通过程序来指令相关硬件完成,所述程序可以存储于计算机可读存储介质中,如只读存储器、磁盘或光盘等。可选地,上述实施例的全部或部分步骤也可以使用一个或多个集成电路来实现。相应地,上述实施例中的各模块/单元可以采用硬件的形式实现,也可以采用软件功能模块的形式实现。本发明不限制于任何特定形式的硬件和软件的结合。
[0096]以上所述仅为本发明的优选实施例而已,并非用于限定本发明的保护范围。根据本发明的
【发明内容】
,还可有其他多种实施例,在不背离本发明精神及其实质的情况下,熟悉本领域的技术人员当可根据本发明作出各种相应的改变和变形,凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
【权利要求】
1.一种病毒检测方法,应用于网络侧,包括: 创建病毒特征库,所述病毒特征库中的病毒特征和病毒信息按照如下关系记录:一个病毒信息包含一个或多个病毒特征,每个病毒特征对应一个或多个病毒信息; 将采集到的网络数据包重组解析后,采用多模式匹配算法与所述病毒特征库中的病毒特征进行匹配,当匹配到一条病毒特征时,结合已匹配到的病毒特征,判断是否可以组成一条或多条完整的病毒信息,如果可以,则病毒信息匹配成功,否则,等待下次匹配到新的病毒特征后继续判断。
2.如权利要求1所述的方法,其特征在于: 所述创建病毒特征库,所述病毒特征库中的病毒特征和病毒信息按照如下关系记录,包括:采用两个结构体来记录病毒特征和病毒信息,所述病毒特征的结构体包括四个域,分别用于表示病毒特征的唯一标识、病毒特征的特征值、指向所有包含此条病毒特征的病毒信息的指针以及指向下一个病毒特征结点的指针;所述病毒信息的结构体包括3个域,分别用于表示病毒的唯一标识、病毒包含的病毒特征数和指向下一个病毒信息结点的指针;其中,每个病毒特征会形成一个病毒特征结点,每个病毒信息会形成一个病毒信息结点。
3.如权利要求1所述的方法,其特征在于: 当匹配到一条病毒特征时,所述方法还包括: 判断该病毒特征是否已被保存过,如果已被保存过,则不保存该匹配到的病毒特征,如果没有被保存过,则保存该匹配到的病毒特征。
4.如权利要求1所述的方法,其特征在于: 在病毒信息匹配成功后,所述方法还包括: 将匹配到的病毒信息以及该病毒信息对应的网络数据包上的时间戳和用户的标识保存; 根据所述网络数据包上的时间戳和用户的标识对一段时间内匹配到的病毒信息进行统计分析,展示一段时间内所述用户中毒的统计结果,所述统计结果包括:所述用户中毒的病毒信息、中毒次数和病毒类型。
5.如权利要求1所述的方法,其特征在于:所述方法还包括: 当出现新的病毒时,对病毒特征库中的病毒特征和病毒信息进行更新。
6.—种病毒检测系统,应用于网络侧,包括: 流量采集模块,用于从网关采集网络数据包; 病毒特征库创建与维护模块,用于创建病毒特征库,所述病毒特征库中的病毒特征和病毒信息按照如下关系记录:一个病毒信息包含一个或多个病毒特征,每个病毒特征对应一个或多个病毒信息; 病毒匹配模块,用于将采集到的网络数据包重组解析后,采用多模式匹配算法与所述病毒特征库中的病毒特征进行匹配,当匹配到一条病毒特征时,结合已匹配到的病毒特征,判断是否可以组成一条或多条完整的病毒信息,如果可以,则病毒信息匹配成功,否则保存该匹配到的病毒特征,等待下次匹配到新的病毒特征后继续判断。
7.如权利要求6所述的系统,其特征在于: 所述病毒特征库创建与维护模块,用于创建病毒特征库,所述病毒特征库中的病毒特征和病毒信息按照如下关系记录,包括: 采用两个结构体来记录病毒特征和病毒信息,所述病毒特征的结构体包括四个域,分别用于表示病毒特征的唯一标识、病毒特征的特征值、指向所有包含此条病毒特征的病毒信息的指针以及指向下一个病毒特征结点的指针;所述病毒信息的结构体包括3个域,分别用于表示病毒的唯一标识、病毒包含的病毒特征数和指向下一个病毒信息结点的指针; 其中,每个病毒特征会形成一个病毒特征结点,每个病毒信息会形成一个病毒信息结点。
8.如权利要求6所述的系统,其特征在于:还包括与所述病毒匹配模块相连的存储模块,其中: 所述存储模块,用于当匹配到一条病毒特征时,判断该病毒特征是否已被保存过,如果是,则不保存该匹配到的病毒特征,否则保存该匹配到的病毒特征。
9.如权利要求8所述的系统,其特征在于:还包括与所述存储模块相连的统计模块,与统计模块相连的展示模块,其中: 所述病毒匹配模块,还用于在病毒信息匹配成功后,将匹配到的病毒信息以及该病毒信息对应的网络数据包上的时间戳和用户的标识发送至存储模块; 所述存储模块,还用于将匹配到的病毒信息以及该病毒信息对应的网络数据包上的时间戳和用户的标识保存; 所述统计模块,用于根据所述网络数据包上的时间戳和用户的标识对一段时间内匹配到的病毒信息进行统计分析,并将统计结果发送至展示平台,所述统计结果包括:所述用户中毒的病毒信息、中毒次数和病毒类型; 所述展示平台,用于向管理员展示一段时间内所述用户中毒的统计结果。
10.如权利要求6所述的系统,其特征在于: 所述病毒特征库创建与维护模块,还用于当出现新的病毒时,对病毒特征库中的病毒特征和病毒信息进行更新。
【文档编号】G06F21/56GK104243486SQ201410508765
【公开日】2014年12月24日 申请日期:2014年9月28日 优先权日:2014年9月28日
【发明者】李伟杰, 张云勇, 周巍 申请人:中国联合网络通信集团有限公司