專利名稱:抗特征壓界的數(shù)據(jù)包檢測方法及裝置的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及網(wǎng)絡(luò)安全檢測領(lǐng)域,特別涉及一種抗特征壓界的數(shù)據(jù)包檢測方法及裝置。
背景技術(shù):
網(wǎng)絡(luò)安全檢測領(lǐng)域中,特征碼檢測是目前主流的惡意代碼檢測技術(shù),通過從以往惡意代碼中提取的具有普適性的特征碼來檢測可疑代碼,以達(dá)到初步判斷該可疑代碼是否屬于惡意代碼。特征碼檢測技術(shù)在檢測數(shù)據(jù)包過程中,可能遇到的問題是單一特征碼被包含在多個(gè)數(shù)據(jù)包中,導(dǎo)致檢測不出該特征碼,從而將一段惡意代碼誤判為安全代碼,發(fā)生誤判
發(fā)明內(nèi)容
本發(fā)明提供了一種抗特征壓界的數(shù)據(jù)包檢測方法及裝置,解決了傳統(tǒng)單一特征碼被包含在多個(gè)數(shù)據(jù)包中,從而發(fā)生誤判的情況。一種抗特征壓界的數(shù)據(jù)包檢測方法,包括
將傳統(tǒng)特征碼拆分,形成特征碼組;
將特征碼組中的特征與排序后的數(shù)據(jù)包內(nèi)容順序匹配,若任一特征匹配成功,則確定數(shù)據(jù)包為惡意數(shù)據(jù)包,否則為安全數(shù)據(jù)包。所述的方法中,所述的特征碼組中特征碼按照傳統(tǒng)特征碼順序排列。一種抗特征壓界的數(shù)據(jù)包檢測裝置,包括
存儲(chǔ)模塊,用于存儲(chǔ)將傳統(tǒng)特征碼拆分,形成的特征碼組;
匹配模塊,用于將特征碼組中的特征與排序后的數(shù)據(jù)包內(nèi)容順序匹配,若任一特征匹配成功,則確定數(shù)據(jù)包為惡意數(shù)據(jù)包,否則為安全數(shù)據(jù)包。所述的裝置中,所述的特征碼組中特征碼按照傳統(tǒng)特征碼順序排列。本發(fā)明提供一種抗特征壓界的數(shù)據(jù)包檢測方法及裝置,在傳統(tǒng)特征碼檢測技術(shù)基礎(chǔ)上,將傳統(tǒng)特征碼拆分,形成特征碼組,將特征碼組中的特征與排序后的數(shù)據(jù)包內(nèi)容順序匹配,若任一特征匹配成功,則確定數(shù)據(jù)包為惡意數(shù)據(jù)包,否則為安全數(shù)據(jù)包。以特征碼組來檢測數(shù)據(jù)包,有效避免了因傳統(tǒng)單一特征碼在一個(gè)數(shù)據(jù)包中出界的情況,增加數(shù)據(jù)包中疑似惡意代碼與特征碼匹配的幾率。
為了更清楚地說明本發(fā)明或現(xiàn)有技術(shù)中的技術(shù)方案,下面將對實(shí)施例或現(xiàn)有技術(shù)描述中所需要使用的附圖作簡單地介紹,顯而易見地,下面描述中的附圖僅僅是本發(fā)明中記載的一些實(shí)施例,對于本領(lǐng)域普通技術(shù)人員來講,在不付出創(chuàng)造性勞動(dòng)的前提下,還可以根據(jù)這些附圖獲得其他的附圖。圖I為抗特征壓界的數(shù)據(jù)包檢測方法流程圖;圖2為抗特征壓界的數(shù)據(jù)包檢測裝置結(jié)構(gòu) 圖3為傳統(tǒng)數(shù)據(jù)包檢測技術(shù)示意 圖4為抗特征壓界的數(shù)據(jù)包檢測技術(shù)示意圖。
具體實(shí)施例方式為了使本技術(shù)領(lǐng)域的人員更好地理解本發(fā)明實(shí)施例中的技術(shù)方案,并使本發(fā)明的上述目的、特征和優(yōu)點(diǎn)能夠更加明顯易懂,下面結(jié)合附圖對本發(fā)明中技術(shù)方案作進(jìn)一步詳細(xì)的說明。本發(fā)明提供了一種抗特征壓界的數(shù)據(jù)包檢測方法及裝置,解決了傳統(tǒng)單一特征碼被包含在多個(gè)數(shù)據(jù)包中,從而發(fā)生誤判的情況。
一種抗特征壓界的數(shù)據(jù)包檢測方法,如圖I所示,包括
5101:將傳統(tǒng)特征碼拆分,形成特征碼組;
5102:將特征碼組中的特征與排序后的數(shù)據(jù)包內(nèi)容順序匹配,若任一特征匹配成功,則確定數(shù)據(jù)包為惡意數(shù)據(jù)包,否則為安全數(shù)據(jù)包。所述的方法中,所述的特征碼組中特征碼按照傳統(tǒng)特征碼順序排列。一種抗特征壓界的數(shù)據(jù)包檢測裝置,如圖2所示,包括
存儲(chǔ)模塊201,用于存儲(chǔ)將傳統(tǒng)特征碼拆分,形成的特征碼組;
匹配模塊202,用于將特征碼組中的特征與排序后的數(shù)據(jù)包內(nèi)容順序匹配,若任一特征匹配成功,則確定數(shù)據(jù)包為惡意數(shù)據(jù)包,否則為安全數(shù)據(jù)包。所述的裝置中,所述的特征碼組中特征碼按照傳統(tǒng)特征碼順序排列。數(shù)據(jù)包的特征碼檢測過程是在數(shù)據(jù)包順序重新排列后進(jìn)行的,為說明本發(fā)明的技術(shù)方案,以兩個(gè)特征碼為一組的特征碼組來說明抗特征壓界的數(shù)據(jù)包檢測技術(shù),但不限于其他特征碼組的方式。如圖3所示,為傳統(tǒng)數(shù)據(jù)包檢測技術(shù)示意圖傳統(tǒng)特征碼可能被包含在連續(xù)的多個(gè)數(shù)據(jù)包中,因此根據(jù)已有的傳統(tǒng)特征碼檢測技術(shù)來匹配網(wǎng)絡(luò)數(shù)據(jù)包時(shí),如果傳統(tǒng)特征碼301分別被包含在數(shù)據(jù)包a302、數(shù)據(jù)包b303中,則在檢測時(shí)由于無法檢測出完整的傳統(tǒng)特征碼301,得出該系列數(shù)據(jù)包中不含特征碼的結(jié)果。這種特征碼在不同數(shù)據(jù)包中的情況,稱為特征壓界。如圖4所示,為本發(fā)明抗特征壓界的數(shù)據(jù)包檢測技術(shù)示意圖將上述傳統(tǒng)特征碼301拆分,形成特征碼組,包含特征碼a401和特征碼b402 ;將特征碼組中的特征與排序后的數(shù)據(jù)包內(nèi)容順序匹配,即將特征碼a401與數(shù)據(jù)包a403匹配,由于產(chǎn)生特征壓界情況,因此在數(shù)據(jù)包a403中無法檢測到特征碼a401,但數(shù)據(jù)包b404中則一定包含特征碼b402,因此判斷數(shù)據(jù)包為惡意數(shù)據(jù)包。本發(fā)明提供一種抗特征壓界的數(shù)據(jù)包檢測方法及裝置,在傳統(tǒng)特征碼檢測技術(shù)基礎(chǔ)上,將傳統(tǒng)特征碼拆分,形成特征碼組,將特征碼組中的特征與排序后的數(shù)據(jù)包內(nèi)容順序匹配,若任一特征匹配成功,則確定數(shù)據(jù)包為惡意數(shù)據(jù)包,否則為安全數(shù)據(jù)包。以特征碼組來檢測數(shù)據(jù)包,有效避免了因傳統(tǒng)單一特征碼在一個(gè)數(shù)據(jù)包中出界的情況,增加數(shù)據(jù)包中疑似惡意代碼與特征碼匹配的幾率。本發(fā)明中所述的將傳統(tǒng)特征碼拆分,形成特征碼組,是將傳統(tǒng)特征碼分段,因此每段特征碼之間是連續(xù)的,因此其他能夠表明相同形式的特征碼提取方式,如連續(xù)獲取特征碼等,皆在本專利保護(hù)范圍內(nèi)。雖然通過實(shí)施例描繪了本發(fā)明,本領(lǐng)域普通技術(shù)人員知道,本發(fā)明有許多變形和 變化而不脫離本發(fā)明的精神,希望所附的權(quán)利要求包括這些變形和變化而不脫離本發(fā)明的精神。
權(quán)利要求
1.一種抗特征壓界的數(shù)據(jù)包檢測方法,其特征在于,包括 將傳統(tǒng)特征碼拆分,形成特征碼組; 將特征碼組中的特征與排序后的數(shù)據(jù)包內(nèi)容順序匹配,若任一特征匹配成功,則確定數(shù)據(jù)包為惡意數(shù)據(jù)包,否則為安全數(shù)據(jù)包。
2.如權(quán)利要求I所述的方法,其特征在于,所述的特征碼組中特征碼按照傳統(tǒng)特征碼順序排列。
3.一種抗特征壓界的數(shù)據(jù)包檢測裝置,其特征在于,包括 存儲(chǔ)模塊,用于存儲(chǔ)將傳統(tǒng)特征碼拆分,形成的特征碼組; 匹配模塊,用于將特征碼組中的特征與排序后的數(shù)據(jù)包內(nèi)容順序匹配,若任一特征匹配成功,則確定數(shù)據(jù)包為惡意數(shù)據(jù)包,否則為安全數(shù)據(jù)包。
4.如權(quán)利要求3所述的裝置,其特征在于,所述的特征碼組中特征碼按照傳統(tǒng)特征碼順序排列。
全文摘要
本發(fā)明提供一種抗特征壓界的數(shù)據(jù)包檢測方法及裝置,在傳統(tǒng)特征碼檢測技術(shù)基礎(chǔ)上,將傳統(tǒng)特征碼拆分,形成特征碼組,將特征碼組中的特征與排序后的數(shù)據(jù)包內(nèi)容順序匹配,若任一特征匹配成功,則確定數(shù)據(jù)包為惡意數(shù)據(jù)包,否則為安全數(shù)據(jù)包。以特征碼組來檢測數(shù)據(jù)包,有效避免了因傳統(tǒng)單一特征碼在一個(gè)數(shù)據(jù)包中出界的情況,增加數(shù)據(jù)包中疑似惡意代碼與特征碼匹配的幾率。
文檔編號H04L12/26GK102790704SQ20111038710
公開日2012年11月21日 申請日期2011年11月29日 優(yōu)先權(quán)日2011年11月29日
發(fā)明者劉靜, 肖新光, 邱勇良 申請人:北京安天電子設(shè)備有限公司