專利名稱:病毒檢測的方法及系統(tǒng)的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及通卩言領(lǐng)域��,具體而言,涉及一種病毒4企測的方法及 系統(tǒng)�。
背景技術(shù):
手機(jī)病毒主要通過發(fā)送彩信,電子郵件���,瀏覽網(wǎng)站���,下載鈴聲 和藍(lán)牙或紅外的方式傳播。主要通過下載文件方式傳播��,多媒體業(yè)
務(wù)中心(Multi Media Service Center,簡稱為MMSC )方式傳才番的病 毒比較少�����。使用普通手機(jī)基本不會感染病毒���。智能手才幾采用了 Symbian或Windows Mobile系統(tǒng)等操作系統(tǒng)���,具備下載、安裝和運 行軟件的功能����,比較容易被感染病毒。手機(jī)病毒危害主要表現(xiàn)為 導(dǎo)致用戶手機(jī)死機(jī)、關(guān)機(jī)�����、資料被刪����,甚至向外發(fā)送短信�����、彩信���、 EMAIL,向外撥打電話等����,導(dǎo)致用戶經(jīng)濟(jì)損失�����。同時也會竊取用戶 資料�。
深度包4企測(Deep Packet Inspection,簡稱為DPI)中,所謂"深 度"是和普通的報文分析層次相比較而言的�,"普通報文檢測"僅分析 IP包的層4以下的內(nèi)容,包4舌源:地址、目的;也址��、源端口��、目的端 口以及協(xié)議類型��,而DPI除了對前面的層次分析外��,還增加了應(yīng)用 層分析���,識別各種應(yīng)用及其內(nèi)容��。
DPI技術(shù)的關(guān)鍵是高效的識別出網(wǎng)絡(luò)上的各種應(yīng)用�����。普通報文 才企測是通過端口號來識別應(yīng)用類型的�。針對相關(guān)#支術(shù)中對手才幾病毒的才企測速度比4交4氐�����、而JU企測過程 比較復(fù)雜的問題����,目前尚未提出有效的解決方案����。
發(fā)明內(nèi)容
針對相關(guān)技術(shù)中對手機(jī)病毒的檢測速度比較低���、而且檢測過程 比較復(fù)雜的問題而提出本發(fā)明���,為此,本發(fā)明的主要目的在于提供 一種病毒檢測的方法及系統(tǒng)��,以解決上述問題�。
為了實現(xiàn)上述目的�����,根據(jù)本發(fā)明的一個方面���,提供了一種病毒 才企測的方����、法�����。
根據(jù)本發(fā)明的病毒檢測的方法包括通過深度包檢測芯片經(jīng)由 病毒規(guī)則庫檢測用戶數(shù)據(jù),并根據(jù)病毒規(guī)則庫判斷用戶數(shù)據(jù)是否感 染病毒��;如果確定用戶凝:據(jù)感染病毒����,則對用戶凝:據(jù)進(jìn)4亍攔截。
優(yōu)選;也�����,在對用戶數(shù)據(jù)進(jìn)4亍攔截之前�����,上述方法還包4舌通知 用戶以使用戶確認(rèn)是否接收用戶數(shù)據(jù)�;如果用戶確認(rèn)不接收用戶數(shù) 據(jù),則通過短信確i人并進(jìn)4于攔截���。
優(yōu)選地���,通知用戶以使用戶確認(rèn)是否接收用戶數(shù)據(jù)包括經(jīng)由 短信方式通知用戶。
優(yōu)選地�,在用戶確認(rèn)是否接收用戶數(shù)據(jù)之后,上述方法還包括 如果用戶確認(rèn)接收用戶數(shù)據(jù)���,則不攔截用戶數(shù)據(jù)����。
優(yōu)選地,對用戶數(shù)據(jù)進(jìn)行攔截包括如果用戶數(shù)據(jù)為彩信�����、電 子郵件或短信�����,則不將用戶數(shù)據(jù)發(fā)給用戶���;如果用戶數(shù)據(jù)為網(wǎng)站, 貝寸禁止i方問網(wǎng)^占����。優(yōu)選地,對用戶數(shù)據(jù)進(jìn)行拄截包括用戶終端下載殺毒軟件以更新本地殺毒軟件��。
優(yōu)選地�,通過深度包檢測芯片經(jīng)由病毒規(guī)則庫檢測用戶數(shù)據(jù)包括將用戶數(shù)據(jù)分流到不同的深度包檢測芯片中以使每個深度包檢測芯片并行進(jìn)4亍病毒4企測。
優(yōu)選地�����,將用戶數(shù)據(jù)分發(fā)到不同的深度包檢測芯片中包括同一個創(chuàng)建包數(shù)據(jù)協(xié)議激活過程的用戶數(shù)據(jù)分流到同 一個深度包4企測芯片中。
為了實現(xiàn)上述目的����,根據(jù)本發(fā)明的另一方面,提供了一種病毒沖企測的系纟充�����。
該系統(tǒng)包括優(yōu)選地��,才全測才莫塊�����,用于通過深度包檢測芯片經(jīng)由病毒規(guī)則庫檢測用戶數(shù)據(jù)�;判斷模塊,用于根據(jù)病毒規(guī)則庫判斷用戶數(shù)據(jù)是否感染病毒���;攔截模塊�����,用于對用戶數(shù)據(jù)進(jìn)行攔截����。
優(yōu)選地,上述系統(tǒng)還包括通知才莫塊����,通知用戶以使用戶確認(rèn)是否接收用戶數(shù)據(jù)。
通過本發(fā)明�����,采用通過深度包檢測芯片經(jīng)由病毒身見則庫4企測用戶數(shù)據(jù)����,并根據(jù)病毒規(guī)則庫判斷用戶數(shù)據(jù)是否感染病毒;如果確定用戶凄t據(jù)感染病毒��,則對用戶凄t據(jù)進(jìn)行攔截的方法����,解決了相關(guān)才支術(shù)中對手機(jī)病毒的檢測速度比較低�����、而且檢測過程比較復(fù)雜的問題�����,進(jìn)而達(dá)到了提高病毒檢測效率的效果。
此處所說明的附圖用來提供對本發(fā)明的進(jìn)一步理解�,構(gòu)成本申請的一部分,本發(fā)明的示意性實施例及其說明用于解釋本發(fā)明���,并
不構(gòu)成對本發(fā)明的不當(dāng)限定��。在附圖中
圖1是根據(jù)本發(fā)明實施例的DPI在網(wǎng)絡(luò)中的示意圖2是根據(jù)本發(fā)明實施例的病毒4企測的方法的流程圖3是才艮據(jù)本發(fā)明實施例的數(shù)據(jù)流向示意圖4是根據(jù)本發(fā)明實施例的病毒^r測的方法的優(yōu)選的流程圖5是才艮據(jù)本發(fā)明實施例的病毒4企測的系統(tǒng)的示意圖�����。
具體實施方式
功能和克述
考慮到相關(guān)技術(shù)中對手機(jī)病毒的檢測速度比較低���、而且檢測過程比較復(fù)雜,本發(fā)明實施例提供了一種病毒檢測的方法及系統(tǒng)����。該方法包括通過深度包檢測芯片經(jīng)由病毒規(guī)則庫沖全測用戶數(shù)據(jù),并才艮據(jù)病毒井見則庫判斷用戶數(shù)據(jù)是否感染病毒�;如果確定用戶數(shù)據(jù)感
染病毒,則對用戶凄t據(jù)進(jìn)行攔截�。
優(yōu)選地,才艮據(jù)本發(fā)明實施例的通過GN 4妄口4企測手機(jī)病毒的方法可以包括如下步艱《
病毒檢測采用病毒規(guī)則庫,通過DPI搜索手機(jī)病毒���。對所有的用戶數(shù)據(jù)送到DPI芯片進(jìn)行檢測�,DPI芯片根據(jù)病毒庫來判斷數(shù)據(jù)是否感染病毒��。攔截確定用戶數(shù)據(jù)含有病毒后����,則對數(shù)據(jù)進(jìn)行攔截。若彩信���、EMAIL�、短信時�����,不發(fā)全會手才幾���。若網(wǎng)站有病毒�����,則禁止訪問這個網(wǎng)站。
通知用戶攔截用戶感染病毒的數(shù)據(jù)后,通過短信方式通過手機(jī)用戶����,用戶確認(rèn)方式是否接受,若用戶不接受攔截�,則不攔截。若需要攔截�����,則通過短信確認(rèn)���。并短信發(fā)送聯(lián)接方式下載殺毒軟件以更新本地的殺毒壽欠件�。
需要說明的是����,在不沖突的情況下,本申請中的實施例及實施例中的特征可以相互組合���。下面將參考附圖并結(jié)合實施例來詳細(xì)i兌明本發(fā)明���。
方法實施例
根據(jù)本發(fā)明的實施例,提供了 一種病毒檢測的方法�。
圖2是根據(jù)本發(fā)明實施例的病毒檢測的方法的流程如圖2所示,該方法包括如下的步驟S202至步驟S204:
步驟S202,通過深度包檢測芯片經(jīng)由病毒規(guī)則庫才全測用戶數(shù)據(jù)����,并4艮據(jù)病毒失見則庫判斷用戶凝:據(jù)是否感染病毒;
步驟S204��,如果確定用戶數(shù)據(jù)感染病毒���,則對用戶數(shù)據(jù)進(jìn)行攔截�。
手機(jī)都有內(nèi)存和CPU���,但內(nèi)存和CPU資源有限���。為了實時檢測大流量的網(wǎng)絡(luò)數(shù)據(jù),必須充分利用內(nèi)存和CPU資源���,則^是出一種DPI技術(shù)來提高病毒^r測速度����。DPI深度包檢測技術(shù)是一種基于應(yīng)用層數(shù)據(jù)的病毒檢測技術(shù)����。當(dāng)IP凄史據(jù)包��、傳l俞控制協(xié)議(Transfer Control Protocol,簡稱為TCP )或用戶數(shù)據(jù)協(xié)議(User Date Protocol,簡稱為UDP )數(shù)據(jù)流通過基于DPI々支術(shù)的系統(tǒng)時����,DPI能快速�����、準(zhǔn)確地檢測出病毒����。對所有手才幾數(shù)據(jù)進(jìn)行病毒^r測����,但只對4受4又用戶的數(shù)據(jù)進(jìn)4亍攔截。則這種用戶不能發(fā)送病毒數(shù)據(jù)和接收病毒數(shù)據(jù)���,從而幫助運營商提高網(wǎng)絡(luò)和業(yè)務(wù)質(zhì)量���,提升用戶滿意度。
本發(fā)明提出了 一種基于DPI的手機(jī)病毒檢測方法��,用于實現(xiàn)對移動數(shù)據(jù)進(jìn)行實時病毒檢測�。本發(fā)明實施提供的解決思路是數(shù)據(jù)分流模塊將數(shù)據(jù)進(jìn)行分流到DPI芯片中����,每個DPI芯片對數(shù)據(jù)進(jìn)行病毒4企測�����,若4企測到病毒��,則返回病毒編號���。若-殳有發(fā)J見病毒�,則不用llr出才全測結(jié)果�。同 一個創(chuàng)建凄史據(jù)包協(xié)議(Packet Data Protocol ,簡稱為PDP )激活過程的數(shù)據(jù)必須分流到同 一個DPI芯片中�����,從而準(zhǔn)確定位到有病毒數(shù)據(jù)的用戶����。對檢測到有病毒的用戶進(jìn)行短信通知。若該用戶是授權(quán)欄截用戶����,則進(jìn)行數(shù)據(jù)欄截�����。
圖1是4艮據(jù)本發(fā)明實施例的DPI在網(wǎng)絡(luò)中的示意圖�����。
DPI4企測4妄入有兩種方式, 一種并聯(lián)4妻入�����,另一種為串聯(lián)4妻入�。如圖1所示,本發(fā)明中采用了串聯(lián)接入方式�,可以實現(xiàn)數(shù)據(jù)攔截。具體地�,DPI芯片可以與網(wǎng)關(guān)通用分組無線業(yè)務(wù)支持節(jié)點(GatewayGeneral Packet Radio Service Supporting Node, 簡 一爾為GGSN )以及月艮務(wù)通用分纟且無線業(yè)務(wù)支4掌節(jié)點(Serving General packet radioservice support node,簡牙爾為SGSN)串聯(lián)連才妾。
圖3是根據(jù)本發(fā)明實施例的數(shù)據(jù)流向示意圖�。
如圖3所示,本發(fā)明主要包括數(shù)據(jù)采集����、數(shù)據(jù)分流策略、DPI芯片病毒4企測����、獲取病毒4企測結(jié)果4部分�����。數(shù)據(jù)采集才莫塊主要用于采集數(shù)據(jù)���。數(shù)據(jù)分流策略是對采集的數(shù)據(jù)根據(jù)分流策略將分流到各
DPI處理芯片中,各DPI芯片并行處理���,從而提高病毒檢測速度�。DPI芯片病毒4企測才莫塊才艮據(jù)病毒規(guī)則庫進(jìn)行病毒4僉測�。獲取病毒才企測結(jié)果才莫塊主要用于獲取感染病毒的用戶和病毒名稱。
圖4是根據(jù)本發(fā)明實施例的病毒檢測的方法的優(yōu)選的流程圖�。
如圖4所示,具體處理步驟如下
步驟S401,對文本正則表達(dá)式規(guī)則庫進(jìn)行編譯�����,將其轉(zhuǎn)換成DPI芯片可識別才各式的凝:據(jù)�����。
步驟S402, DPI單板初始化DPI芯片���,確保DPI芯片能正常工作����。DPI芯片正常運4亍后,力��。栽步驟S401編譯的頭見則庫��。力口載頭見則庫成功之后���,DPI單板才能對lt據(jù)4艮文進(jìn)行協(xié)i義解碼。
步驟S403,采集GN接口數(shù)據(jù)��。
步驟S404��,將數(shù)據(jù)#4居分流策略分發(fā)到不同的DPI芯片中��,每個DPI芯片并4亍進(jìn)4亍病毒檢測�����。
步驟S405 �����,若是GN接口信令面的建立PDP請求(CREATE PDPREQUEST )和建立PDP應(yīng)答(CREATE PDP RESPONSE )數(shù)據(jù),則進(jìn)4亍合成事4牛��,并獲取用戶沖目關(guān)4言息��,即msisdn�、 imsi、 userip等����。并獲取關(guān)4建字key, key主要由SGSN服務(wù)通用分組無線業(yè)務(wù)支撐節(jié)點(Serving General packet radio service support node, 簡稱為SGSN )用于凄ti居的IP i也址(Address for user traffic ),凄史據(jù)隧道端點標(biāo)識(Tunnel Endpoint Identifier data,簡稱為TEID DATA )組成�����。
步驟S406��,若是消息是T-PDU中的����,那么才艮據(jù)目的IP,隧道端點標(biāo)識(Tunnel Endpoint Identifier,簡稱為TEID)組成特4^M直�����,根據(jù)特征值在GN的TDR事件中查找,如果能找到���,再進(jìn)行病毒才企測�����。轉(zhuǎn)步驟S407,否則轉(zhuǎn)步驟S403�。
步驟S407���,是其它數(shù)據(jù)�����,轉(zhuǎn)步驟S403��。
步驟S408�,將數(shù)據(jù)按照順序提交給DPI模塊�����,DPI芯片調(diào)用解碼函數(shù)����,再根據(jù)正則表達(dá)式規(guī)則庫進(jìn)行病毒檢測。采用多個DPI芯片并行�����。每一個DPI芯片病毒才企測速度比軟件病毒檢測速度快10倍以上��。
步驟S409,從DPI模塊獲取處理結(jié)果���,轉(zhuǎn)換成自己需要格式����??梢酝ㄟ^升級規(guī)則庫來升級病毒庫。若有病毒��,則輸出對應(yīng)病毒的ID號����,獲得病毒名稱。根據(jù)關(guān)聯(lián)的GN的事務(wù)詳細(xì)記錄(TransactionDetailed Records,簡稱��、為TDR)中獲取手才幾號���。
步駛《S410,通知用戶用戶感染病毒的凄t據(jù)后����,通過短信方式通過手才幾用戶,并短信方式發(fā)送病殺毒軟件升級包的聯(lián)4妄���。用戶可以下載升級殺毒軟件�����,下次出現(xiàn)這樣的病毒不再進(jìn)行欄截��,這樣的病毒由手4幾本身的病毒庫來處理�����。
步驟S411,攔截確定用戶數(shù)據(jù)含有病毒后����,且是授權(quán)用戶����,則數(shù)據(jù)進(jìn)行攔截�,否則不進(jìn)行欄截。
在本發(fā)明實施例中��,需要將數(shù)據(jù)發(fā)送到DPI芯片中,本發(fā)明實施例采用DPI檢測技術(shù)�����,結(jié)合GGSN數(shù)據(jù)網(wǎng)監(jiān)測系統(tǒng)特點���,DPI單板串聯(lián)到現(xiàn)網(wǎng)中�����,本發(fā)明解決了 DPI實時病毒檢測功能�����,從而幫助運營商提高網(wǎng)絡(luò)和業(yè)務(wù)質(zhì)量���,提升用戶滿意度。
從以上的描述中����,可以看出,本發(fā)明實現(xiàn)了如下技術(shù)效果提高病毒檢測速度�,以及幫助運營商提高網(wǎng)絡(luò)和業(yè)務(wù)質(zhì)量,提升用戶滿意度�。裝置實施例
才艮據(jù)本發(fā)明的實施例�����,提供了 一種病毒才企測的系統(tǒng)�。
圖5是才艮據(jù)本發(fā)明實施例的病毒4企測的系統(tǒng)的示意圖����。
才艮據(jù)本發(fā)明實施例的系統(tǒng)可以用于實現(xiàn)上述病毒4企測的方法。
如圖5所示���,該系統(tǒng)包括檢測模塊501��、判斷沖莫塊503�����、攔截模塊505和通知模塊507����。
檢測模塊501,用于通過深度包檢測芯片經(jīng)由病毒規(guī)則庫4企測用戶數(shù)據(jù)��;判斷模塊503,用于根據(jù)病毒規(guī)則庫判斷用戶數(shù)據(jù)是否感染病毒���;攔截模塊505�����,用于對用戶數(shù)據(jù)進(jìn)行攔截�;通知模塊507�,用于通知用戶以使用戶確認(rèn)是否4妄收用戶數(shù)據(jù)。
優(yōu)選地��,該系統(tǒng)還可以包括數(shù)據(jù)采集��、數(shù)據(jù)分流�����、DPI芯片病毒^企測�����、獲取病毒4企測結(jié)果4部分�����。數(shù)據(jù)分流一莫塊#4居分流策略將數(shù)據(jù)分發(fā)到多到DPI芯片中��,各DPI芯片并行處理�,從而提高病毒檢測速度���。
以上所述僅為本發(fā)明的優(yōu)選實施例而已,并不用于限制本發(fā)明����,對于本領(lǐng)域的技術(shù)人員來說,本發(fā)明可以有各種更改和變化����。凡在本發(fā)明的精神和原則之內(nèi),所作的任何修改����、等同替換、改進(jìn)等���,均應(yīng)包含在本發(fā)明的保護(hù)范圍之內(nèi)����。
權(quán)利要求
1.一種病毒檢測的方法����,其特征在于,包括通過深度包檢測芯片經(jīng)由病毒規(guī)則庫檢測用戶數(shù)據(jù),并根據(jù)所述病毒規(guī)則庫判斷所述用戶數(shù)據(jù)是否感染病毒���;如果確定所述用戶數(shù)據(jù)感染病毒�,則對所述用戶數(shù)據(jù)進(jìn)行攔截���。
2. 根據(jù)權(quán)利要求1所述的方法,其特征在于����,在對所述用戶數(shù)據(jù) 進(jìn)行攔截之前,所述方法還包括通知所述用戶以使所述用戶確認(rèn)是否接收所述用戶數(shù)據(jù)��;如果所述用戶確i人不4妄收所述用戶凄t據(jù)�����,則通過短信確i人 并進(jìn)行攔截�����。
3. 根據(jù)權(quán)利要求2所述的方法��,其特征在于�,通知用戶以使所述 用戶確認(rèn)是否4妻收所述用戶數(shù)據(jù)包括經(jīng)由短/f言方式通少、口所述用戶��。
4. 根據(jù)權(quán)利要求2所述的方法,其特征在于��,在所述用戶確認(rèn)是 否4妻收所述用戶凝:據(jù)之后�,所述方法還包括如果所述用戶確i人,接收所述用戶凝:據(jù)�,則不攔截所述用戶 數(shù)據(jù)。
5. 根據(jù)權(quán)利要求1所述的方法����,其特征在于,對所述用戶數(shù)據(jù)進(jìn) 行攔截包括如果所述用戶lt據(jù)為彩信����、電子郵件或短信,則不將所述 用戶數(shù)據(jù)發(fā)給用戶��;如果所述用戶凝:據(jù)為網(wǎng)站�����,則禁止訪問所述網(wǎng)站�。
6. 4艮據(jù)4又利要求1所述的方法,其特征在于���,對所述用戶數(shù)據(jù)進(jìn) 行攔截包括用戶終端下載殺毒軟件以更新本地殺毒軟件���。
7. 根據(jù)權(quán)利要求1所述的方法�,其特征在于����,通過深度包檢測芯 片經(jīng)由病毒規(guī)則庫檢測用戶數(shù)據(jù)包括將所述用戶數(shù)據(jù)分流到不同的深度包檢測芯片中以使每 個所述深度包檢測芯片并行進(jìn)行病毒檢測。
8. 才艮據(jù)4又利要求7所述的方法�,其特征在于�����,將所述用戶數(shù)據(jù)分 發(fā)到不同的深度包檢測芯片中包括同 一個創(chuàng)建包數(shù)據(jù)協(xié)議激活過程的所述用戶數(shù)據(jù)分流到 同 一個深度包檢測芯片中�。
9. 一種病毒才企測的系統(tǒng),其特征在于����,包括才企測才莫塊,用于通過深度包才全測芯片經(jīng)由病毒失見則庫才全測 用戶凄史據(jù)����;判斷模塊,用于根據(jù)所述病毒規(guī)則庫判斷所述用戶數(shù)據(jù)是 否感染病毒����;攔截^^莫塊��,用于對所述用戶數(shù)據(jù)進(jìn)行攔截��。
10. 根據(jù)權(quán)利要求9所述的系統(tǒng)�,其特征在于��,所述系統(tǒng)還包括通知才莫塊���,通知用戶以使所述用戶確認(rèn)是否接收所述用戶 數(shù)據(jù)�。
全文摘要
本發(fā)明公開了一種病毒檢測的方法及系統(tǒng)�,該方法包括通過深度包檢測芯片經(jīng)由病毒規(guī)則庫檢測用戶數(shù)據(jù),并根據(jù)病毒規(guī)則庫判斷用戶數(shù)據(jù)是否感染病毒��;如果確定用戶數(shù)據(jù)感染病毒���,則對用戶數(shù)據(jù)進(jìn)行攔截�����。通過本發(fā)明���,解決了相關(guān)技術(shù)中對手機(jī)病毒的檢測速度比較低�、而且檢測過程比較復(fù)雜的問題���,進(jìn)而達(dá)到了提高病毒檢測效率的效果�����。
文檔編號H04W12/12GK101674584SQ20091017167
公開日2010年3月17日 申請日期2009年9月3日 優(yōu)先權(quán)日2009年9月3日
發(fā)明者謝銀祥 申請人:中興通訊股份有限公司