《抗特征压界的数据包检测方法及装置.pdf》由会员分享,可在线阅读,更多相关《抗特征压界的数据包检测方法及装置.pdf(6页完整版)》请在专利查询网上搜索。
1、(10)申请公布号 CN 102790704 A (43)申请公布日 2012.11.21 C N 1 0 2 7 9 0 7 0 4 A *CN102790704A* (21)申请号 201110387101.5 (22)申请日 2011.11.29 H04L 12/26(2006.01) H04L 12/56(2006.01) H04L 29/06(2006.01) (71)申请人北京安天电子设备有限公司 地址 100084 北京市海淀区农大南路1号硅 谷亮城2B-521 (72)发明人肖新光 刘静 邱勇良 (54) 发明名称 抗特征压界的数据包检测方法及装置 (57) 摘要 本发明提供一。
2、种抗特征压界的数据包检测方 法及装置,在传统特征码检测技术基础上,将传统 特征码拆分,形成特征码组,将特征码组中的特征 与排序后的数据包内容顺序匹配,若任一特征匹 配成功,则确定数据包为恶意数据包,否则为安全 数据包。以特征码组来检测数据包,有效避免了因 传统单一特征码在一个数据包中出界的情况,增 加数据包中疑似恶意代码与特征码匹配的几率。 (51)Int.Cl. 权利要求书1页 说明书3页 附图1页 (19)中华人民共和国国家知识产权局 (12)发明专利申请 权利要求书 1 页 说明书 3 页 附图 1 页 1/1页 2 1.一种抗特征压界的数据包检测方法,其特征在于,包括: 将传统特征码拆。
3、分,形成特征码组; 将特征码组中的特征与排序后的数据包内容顺序匹配,若任一特征匹配成功,则确定 数据包为恶意数据包,否则为安全数据包。 2.如权利要求1所述的方法,其特征在于,所述的特征码组中特征码按照传统特征码 顺序排列。 3.一种抗特征压界的数据包检测装置,其特征在于,包括: 存储模块,用于存储将传统特征码拆分,形成的特征码组; 匹配模块,用于将特征码组中的特征与排序后的数据包内容顺序匹配,若任一特征匹 配成功,则确定数据包为恶意数据包,否则为安全数据包。 4.如权利要求3所述的装置,其特征在于,所述的特征码组中特征码按照传统特征码 顺序排列。 权 利 要 求 书CN 102790704 。
4、A 1/3页 3 抗特征压界的数据包检测方法及装置 技术领域 0001 本发明涉及网络安全检测领域,特别涉及一种抗特征压界的数据包检测方法及装 置。 背景技术 0002 网络安全检测领域中,特征码检测是目前主流的恶意代码检测技术,通过从以往 恶意代码中提取的具有普适性的特征码来检测可疑代码,以达到初步判断该可疑代码是否 属于恶意代码。特征码检测技术在检测数据包过程中,可能遇到的问题是单一特征码被包 含在多个数据包中,导致检测不出该特征码,从而将一段恶意代码误判为安全代码,发生误 判。 发明内容 0003 本发明提供了一种抗特征压界的数据包检测方法及装置,解决了传统单一特征码 被包含在多个数据包。
5、中,从而发生误判的情况。 0004 一种抗特征压界的数据包检测方法,包括: 将传统特征码拆分,形成特征码组; 将特征码组中的特征与排序后的数据包内容顺序匹配,若任一特征匹配成功,则确定 数据包为恶意数据包,否则为安全数据包。 0005 所述的方法中,所述的特征码组中特征码按照传统特征码顺序排列。 0006 一种抗特征压界的数据包检测装置,包括: 存储模块,用于存储将传统特征码拆分,形成的特征码组; 匹配模块,用于将特征码组中的特征与排序后的数据包内容顺序匹配,若任一特征匹 配成功,则确定数据包为恶意数据包,否则为安全数据包。 0007 所述的装置中,所述的特征码组中特征码按照传统特征码顺序排列。
6、。 0008 本发明提供一种抗特征压界的数据包检测方法及装置,在传统特征码检测技术基 础上,将传统特征码拆分,形成特征码组,将特征码组中的特征与排序后的数据包内容顺序 匹配,若任一特征匹配成功,则确定数据包为恶意数据包,否则为安全数据包。以特征码组 来检测数据包,有效避免了因传统单一特征码在一个数据包中出界的情况,增加数据包中 疑似恶意代码与特征码匹配的几率。 附图说明 0009 为了更清楚地说明本发明或现有技术中的技术方案,下面将对实施例或现有技术 描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明中 记载的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动。
7、的前提下,还可以 根据这些附图获得其他的附图。 0010 图1为抗特征压界的数据包检测方法流程图; 说 明 书CN 102790704 A 2/3页 4 图2为抗特征压界的数据包检测装置结构图; 图3为传统数据包检测技术示意图; 图4为抗特征压界的数据包检测技术示意图。 具体实施方式 0011 为了使本技术领域的人员更好地理解本发明实施例中的技术方案,并使本发明的 上述目的、特征和优点能够更加明显易懂,下面结合附图对本发明中技术方案作进一步详 细的说明。 0012 本发明提供了一种抗特征压界的数据包检测方法及装置,解决了传统单一特征码 被包含在多个数据包中,从而发生误判的情况。 0013 一种。
8、抗特征压界的数据包检测方法,如图1所示,包括: S101:将传统特征码拆分,形成特征码组; S102:将特征码组中的特征与排序后的数据包内容顺序匹配,若任一特征匹配成功,则 确定数据包为恶意数据包,否则为安全数据包。 0014 所述的方法中,所述的特征码组中特征码按照传统特征码顺序排列。 0015 一种抗特征压界的数据包检测装置,如图2所示,包括: 存储模块201,用于存储将传统特征码拆分,形成的特征码组; 匹配模块202,用于将特征码组中的特征与排序后的数据包内容顺序匹配,若任一特征 匹配成功,则确定数据包为恶意数据包,否则为安全数据包。 0016 所述的装置中,所述的特征码组中特征码按照传。
9、统特征码顺序排列。 0017 数据包的特征码检测过程是在数据包顺序重新排列后进行的,为说明本发明的技 术方案,以两个特征码为一组的特征码组来说明抗特征压界的数据包检测技术,但不限于 其他特征码组的方式。 0018 如图3所示,为传统数据包检测技术示意图:传统特征码可能被包含在连续的多 个数据包中,因此根据已有的传统特征码检测技术来匹配网络数据包时,如果传统特征码 301分别被包含在数据包a302、数据包b303中,则在检测时由于无法检测出完整的传统特 征码301,得出该系列数据包中不含特征码的结果。这种特征码在不同数据包中的情况,称 为特征压界。 0019 如图4所示,为本发明抗特征压界的数据。
10、包检测技术示意图:将上述传统特征码 301拆分,形成特征码组,包含特征码a401和特征码b402;将特征码组中的特征与排序后的 数据包内容顺序匹配,即将特征码a401与数据包a403匹配,由于产生特征压界情况,因此 在数据包a403中无法检测到特征码a401,但数据包b404中则一定包含特征码b402,因此 判断数据包为恶意数据包。 0020 本发明提供一种抗特征压界的数据包检测方法及装置,在传统特征码检测技术基 础上,将传统特征码拆分,形成特征码组,将特征码组中的特征与排序后的数据包内容顺序 匹配,若任一特征匹配成功,则确定数据包为恶意数据包,否则为安全数据包。以特征码组 来检测数据包,有效。
11、避免了因传统单一特征码在一个数据包中出界的情况,增加数据包中 疑似恶意代码与特征码匹配的几率。 0021 本发明中所述的将传统特征码拆分,形成特征码组,是将传统特征码分段,因此每 说 明 书CN 102790704 A 3/3页 5 段特征码之间是连续的,因此其他能够表明相同形式的特征码提取方式,如连续获取特征 码等,皆在本专利保护范围内。 0022 虽然通过实施例描绘了本发明,本领域普通技术人员知道,本发明有许多变形和 变化而不脱离本发明的精神,希望所附的权利要求包括这些变形和变化而不脱离本发明的 精神。 说 明 书CN 102790704 A 1/1页 6 图1 图2 图3 图4 说 明 书 附 图CN 102790704 A 。