一种网络病毒的检测方法与流程

本发明属于网络安全技术领域，特别是涉及一种网络病毒的检测方法。

背景技术：

现有的p2p网络病毒检测中多采用特征码的的检测方式；此方式相对于其他的检测方式如基于随机扫描或基于流量异常等检测方法具有较多的优势，但基于病毒特征码的检测方法无法适应p2p网络传输的特点；易出现漏检的情况，可靠性较差；同时，检测的准确率较低。

技术实现要素：

本发明的目的在于提供一种网络病毒的检测方法，通过对数据分片进行完整匹配和部分匹配；将成功部分匹配的数据分片进行重组后再进行完整匹配和部分匹配；通过多重匹配的方式，解决了现有基于病毒特征码的检测方法易导致漏检的问题；同时提高了检测的准确率。

为解决上述技术问题，本发明是通过以下技术方案实现的：

本发明为一种网络病毒的检测方法，包括以下步骤：

步骤一：获得病毒特征片段集合；将所有完整的病毒特征码等长分为两段，并将这些病毒特征码片段组成病毒特征片段集合；

步骤二：完整匹配检测；将数据分片与步骤一中的病毒特征码片段进行匹配检测；若数据分片与病毒特征码片完整匹配，则进行步骤三；若不匹配则进行步骤四；

步骤三：特征码长度检测；当被检测出的数据分片中的特征码长度不大于数据分片的长度时，则判定检出病毒；反之则将数据分片进行缓存；

步骤四：部分匹配测试；将数据分片与步骤一中的病毒特征码片段进行匹配检测；若数据分片与病毒特征码片部分匹配失败，则判定此数据分片中无病毒；反之则将此数据分片进行缓存；

步骤五：重组数据分片检测；检测是否存在缓冲数据分片，若有则将步骤三或步骤四中进行缓存的数据分片进行重组后重复步骤二至步骤五，直至数据分片检查完毕。

进一步地，所述步骤一中当一个完整的病毒特征码长度为奇数个字节时，则去除中间一个字节后将前后两段作为病毒特征码片段加入到病毒特征片段集合中。

进一步地，所述步骤二和步骤四中的匹配算法为ac-bm匹配算法。

进一步地，所述步骤五中只将缓存数据分片和与之相连的下一个数据分片进行重组。

本发明具有以下有益效果：

本发明将所有完整的病毒特征码等长分为两段，采用这种方式得到的特征码片段在与数据分片匹配时不会使算法漏掉真实含有病毒的文件数据；同时采用完整匹配和部分匹配的多重匹配方式，有效的提高了对p2p网络病毒检测的准确率和时效性。

当然，实施本发明的任一产品并不一定需要同时达到以上所述的所有优点。

附图说明

为了更清楚地说明本发明实施例的技术方案，下面将对实施例描述所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1为本发明的一种网络病毒的检测方法的流程示意图。

具体实施方式

下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其它实施例，都属于本发明保护的范围。

请参阅图1所示，本发明为一种网络病毒的检测方法，包括以下步骤：

步骤一：获得病毒特征片段集合；将所有完整的病毒特征码等长分为两段，并将这些病毒特征码片段组成病毒特征片段集合；当一个完整的病毒特征码长度为奇数个字节时，则去除中间一个字节后将前后两段作为病毒特征码片段加入到病毒特征片段集合中。采用这种方式得到的特征码片段在与数据分片匹配时不会使算法漏掉真实含有病毒的文件数据

步骤二：完整匹配检测；将数据分片与步骤一中的病毒特征码片段进行匹配检测；若数据分片与病毒特征码片完整匹配，则进行步骤三；若不匹配则进行步骤四；

步骤三：特征码长度检测；当被检测出的数据分片中的特征码长度不大于数据分片的长度时，则判定检出病毒；反之则将数据分片进行缓存；

步骤四：部分匹配测试；将数据分片与步骤一中的病毒特征码片段进行匹配检测；若数据分片与病毒特征码片部分匹配失败，则判定此数据分片中无病毒；反之则将此数据分片进行缓存；

由于p2p网络进行数据传输时将数据分割成若干数据分片，因此文件中的病毒也被随机的分割在数据分片中；则有可能出现当病毒特征码长度不大于数据分片长度时，病毒特征码被完整的包含在一个数据分片中；或病毒特征码长度不大于数据分片长度，但病毒特征码被分割在相邻的两片数据分片中；以及当病毒特征码长度大于数据分片长度，则病毒特征码必定分布与两块或相邻的多块数据分片中；因此，常规的基于特征码检测方法无法检测出后两种情况；因此采用完整匹配和部分匹配的方法，且完成匹配后需要进行特征码长度数据分片的长度确认；因而有效的提高了检测的准确性，减少漏检。

步骤五：重组数据分片检测；检测是否存在缓冲数据分片，若有则将步骤三或步骤四中进行缓存的数据分片和与之相连的下一个数据分片进行重组后重复步骤二至步骤五，直至数据分片检查完毕；检测节点基于p2p对等端构建，当部分匹配成功后可以利用p2p对等端文件传输过程维护的节点及数据分布信息向p2p网络中优先请求与已缓存的数据相邻的其他数据分片进行重组，从而提高病毒检测效率；

步骤五完成后返回步骤二，是一个循环过程，在步骤二开始前需进行缓存数据分片确认，若存在等待的缓存数据分片，则先进行数据重组，再进行匹配检测；特征码检测只是检测出疑似含有病毒的数据分片，需要通过重组，依靠特征码与数据分片或重组得到的数据块的完整匹配来判断数据分片中是否含有病毒，只有当完整匹配后且数据分片长度或重组后的数据块长度不小于所对应的特征码长度，才判定传输文件中含有病毒；从而有效的提高了病毒检测的准确率，可靠性。

其中，步骤二和步骤四中的匹配算法为ac-bm匹配算法。

在本说明书的描述中，参考术语“一个实施例”、“示例”、“具体示例”等的描述意指结合该实施例或示例描述的具体特征、结构、材料或者特点包含于本发明的至少一个实施例或示例中。在本说明书中，对上述术语的示意性表述不一定指的是相同的实施例或示例。而且，描述的具体特征、结构、材料或者特点可以在任何的一个或多个实施例或示例中以合适的方式结合。

以上公开的本发明优选实施例只是用于帮助阐述本发明。优选实施例并没有详尽叙述所有的细节，也不限制该发明仅为所述的具体实施方式。显然，根据本说明书的内容，可作很多的修改和变化。本说明书选取并具体描述这些实施例，是为了更好地解释本发明的原理和实际应用，从而使所属技术领域技术人员能很好地理解和利用本发明。本发明仅受权利要求书及其全部范围和等效物的限制。

技术特征：

技术总结
本发明公开了一种网络病毒的检测方法，涉及网络安全技术领域。包括步骤一：获得病毒特征片段集合；步骤二：完整匹配检测；步骤三：特征码长度检测；步骤四：部分匹配测试和步骤五：重组数据分片检测。本发明通过对数据分片进行完整匹配和部分匹配；将成功部分匹配的数据分片进行重组后再进行完整匹配和部分匹配；通过多重匹配的方式，解决了现有基于病毒特征码的检测方法易导致漏检的问题；同时提高了检测的准确率。

技术研发人员：胡翔
受保护的技术使用者：安徽云融信息技术有限公司
技术研发日：2018.11.21
技术公布日：2019.03.29