[发明专利]一种基于网络数据包检测恶意代码的方法和系统有效
| 申请号: | 201110452032.1 | 申请日: | 2011-12-30 |
| 公开(公告)号: | CN102769607A | 公开(公告)日: | 2012-11-07 |
| 发明(设计)人: | 肖新光;李柏松;孟雅静;崔成 | 申请(专利权)人: | 北京安天电子设备有限公司 |
| 主分类号: | H04L29/06 | 分类号: | H04L29/06;H04L12/26 |
| 代理公司: | 暂无信息 | 代理人: | 暂无信息 |
| 地址: | 100084 北京市海*** | 国省代码: | 北京;11 |
| 权利要求书: | 查看更多 | 说明书: | 查看更多 |
| 摘要: | |||
| 搜索关键词: | 一种 基于 网络 数据包 检测 恶意代码 方法 系统 | ||
1.一种基于网络数据包检测恶意代码的方法,其特征在于,包括:
步骤a、在实际要监控的网络环境中,捕获网络连接中的数据包;
步骤b、利用已知的恶意代码的计算规则,对所捕获的当前数据包中部分或者全部的数据或者数据格式进行计算,生成动态检测规则;
步骤c、继续捕获网络连接中的数据包,将与所述当前数据包时序相邻的数据包作为待检测数据包,用所述动态检测规则和与待检测数据包中部分或者全部的数据或者数据格式进行匹配,如果匹配成功则判断存在恶意代码,否则返回步骤b继续监控。
2.如权利要求1所述的基于网络数据包检测恶意代码的方法,其特征在于,步骤b还包括:使用过滤条件对当前数据包进行过滤,利用已知的恶意代码的计算规则对符合过滤条件的所述当前数据包中部分或者全部的数据或者数据格式进行计算,生成动态检测规则。
3.如权利要求2所述的基于网络数据包检测恶意代码的方法,其特征在于,所述过滤条件包括:IP地址、端口、协议类型、数据包的大小。
4.如权利要求2所述的基于网络数据包检测恶意代码的方法,其特征在于,所述过滤条件还包括:预先提取的恶意代码的通信数据包中相同的数据或者数据格式。
5.如权利要求1所述的基于网络数据包检测恶意代码的方法,其特征在于,步骤c还包括:继续捕获网络连接中的数据包,将与所述当前数据包通讯方向相反、时序相邻的数据包作为待检测数据包,用所述动态检测规则和与待检测数据包中部分或者全部的数据或者数据格式进行匹配,如果匹配成功则判断存在恶意代码,否则返回步骤b继续监控。
6.如权利要求1或5所述的基于网络数据包检测恶意代码的方法,其特征在于,记录所述当前数据包的获取时间并设置时间间隔,继续捕获网络连接中的数据包时对于超过所述时间间隔所捕获到的数据包不作为待检测数据包。
7.一种基于网络数据包检测恶意代码的系统,其特征在于,包括:
捕获模块,用于在实际要监控的网络环境中,捕获网络连接中的数据包;
动态规则模块,用于利用已知的恶意代码的计算规则,对所捕获的当前数据包中部分或者全部的数据或者数据格式进行计算,生成动态检测规则;
匹配模块,用于将捕获到的与所述当前数据包时序相邻的数据包或者与所述当前数据包通讯方向相反、时序相邻的数据包作为待检测数据包,用所述动态检测规则和与待检测数据包中部分或者全部的数据或者数据格式进行匹配,如果匹配成功则判断存在恶意代码,否则继续监控。
8.如权利要求7所述的基于网络数据包检测恶意代码的系统,其特征在于,还包括过滤模块,用于设置过滤条件,所述过滤条件包括:IP地址、端口、协议类型、数据包的大小以及预先提取的恶意代码的通信数据包中相同的数据或者数据格式。
9.如权利要求7所述的基于网络数据包检测恶意代码的系统,其特征在于,匹配模块具体还用于记录所述当前数据包的获取时间并设置时间间隔,对于超过所述时间间隔所捕获到的数据包不作为待检测数据包。
该专利技术资料仅供研究查看技术是否侵权等信息,商用须获得专利权人授权。该专利全部权利属于北京安天电子设备有限公司,未经北京安天电子设备有限公司许可,擅自商用是侵权行为。如果您想购买此专利、获得商业授权和技术合作,请联系【客服】
本文链接:http://www.vipzhuanli.com/pat/books/201110452032.1/1.html,转载请声明来源钻瓜专利网。
