本发明专利技术公开了一种手机病毒的检测方法和装置,该方法包括:对获取的会话的数据包中一会话的前M个数据包进行病毒扫描,其中M大于等于1且小于N,其中N为该会话的所有数据包的总数;当所述前M个数据包中不包含可疑病毒时,则确定该会话中不包含手机病毒。采用本发明专利技术的病毒检测方法,能够满足高流量下的手机病毒的检测需求,满足高速处理的要求。
【技术实现步骤摘要】
一种手机病毒的检测方法和装置
本专利技术涉及信息安全领域,特别是一种手机病毒的检测方法和装置。
技术介绍
随着手机的发展,许多以智能手机为目标的病毒在智能手机中传播。如果手机病毒成功地感染智能手机,它能够通过MMS传播到其它智能手机上,因此能够在短时间内感染许多智能手机。另一方面,某些手机病毒主动连接到部署在网络中的一些恶意控制服务器,该恶意控制服务器能够提供控制命令或预设攻击目标以供病毒下载。某些病毒发送欺骗SMS或MMS给其他智能手机,该欺骗SMS或MMS可以诱使用户从网络上的一些服务器下载病毒。有些手机病毒的目的是秘密窃取用户信息或使用账单服务,而用户并不知道其智能手机已被感染手机病毒。另一方面,由于在智能手机中安装防病毒软件非常不方便,因此用户即使已经知道其智能手机工作不正常,也很难在智能手机上安装防病毒软件。大多数手机病毒通过移动网络例如MMS、WAP、HTTP等传播,因此手机病毒检测系统可以布置在网络中的某些位置(例如:Gn接口、Gi、WAP网关和MMSC)以监控病毒袭击。然而,移动接口的网络速度通常是千兆比特,基于会话重组的传统的检测技术,需要对整个会话进行重组并扫描病毒,无法满足高流量的病毒检测。Snort是基于开源网络的入侵检测系统,能够在IP网络上进行实时流量分析和报文日志。Snort进行协议分析、内容搜索和内容匹配。Snort也可以用于检测探测和攻击,包括但不限于:操作系统指纹尝试、通用网关接口、缓冲区溢出、服务器消息阻挡探测和端口扫描。早期版本的Snort根据攻击特征信息基于单包扫描网络流量,只需要进行无状态协议处理。但早期版本的Snort无法重组会话并进行病毒扫描。因此,现有的基于会话重组的病毒检测技术无法适应高流量的病毒检测。
技术实现思路
有鉴于此,本专利技术提出了一种手机病毒的检测方法,能够满足高流量下手机病毒的检测需求,满足高速处理的要求。本专利技术还提供一种手机病毒的检测装置。因此,根据本专利技术一实施例,提供了一种手机病毒的检测方法,包括:对获取的会话的数据包中一会话的前M个数据包进行病毒扫描,其中M大于等于1且小于N,其中N为该会话的所有数据包的总数;当所述前M个数据包中不包含可疑病毒时,则确定该会话中不包含手机病毒。从上述方案中可以看出,由于本专利技术实施例的检测方法仅对一会话的前M个数据包进行检测,当前M个数据包中不包含可疑病毒时,无需对整个会话进行病毒扫描,因此提高了手机病毒的检测速度,能够满足高流量下实时检测的需求,满足高速处理的要求。优选地,所述对获取的会话的数据包中一会话的前M个数据包进行病毒扫描,包括:使用指针索引对获取的会话的数据包中一会话的前M个数据包按顺序进行病毒扫描,所述顺序为自该会话的第一个数据包到该会话的第M个数据包。这样,当会话的数据包是乱序时,并不需要在内存中进行会话重组,只是使用指针顺序扫描该会话的数据包即可实现对该会话的前M个数据包进行病毒扫描,节省了内存空间,并改善了检测的性能。优选地,对获取的会话的数据包中一会话的前M个数据包进行病毒扫描,包括:采用预处理病毒库对获取的会话的数据包中一会话的前M个数据包进行病毒扫描,其中所述预处理病毒库用于存储片段手机病毒特征,所述片段手机病毒特征适用于查找一会话的前M个数据包中包含的手机病毒。这样,即可采用预处理病毒库对该会话的前M个数据包进行病毒扫描,检查出前M个数据包是否包含可疑病毒。优选地,在所述对获取的会话的数据包中一会话的前M个数据包进行病毒扫描之前,所述方法进一步包括:对获取的会话的数据包中该会话的第一个数据包进行检查,判断该会话是否是文件下载会话,如果否,则确定该会话中不包含手机病毒,如果是,则执行所述对获取的会话的数据包中该会话的前M个数据包进行病毒扫描的步骤。这样,即可根据该会话的第一个数据包实现对非文件下载会话不进行病毒扫描,使得病毒检测的处理更加高速。优选地,在所述对获取的会话的数据包中一会话的前M个数据包进行病毒扫描之前,所述方法进一步包括:对获取的会话的数据包中该会话的前M个数据包进行模式检查,判断该会话是否属于白名单中的会话,如果是,则确定该会话中不包含手机病毒,如果否,则执行所述对获取的会话的数据包中该会话的前M个数据包进行病毒扫描的步骤。这样,只对会话的前M个数据包进行模式检查,当确定会话属于白名单时,对该会话的前M个数据包不进行病毒扫描,只有在该会话不属于白名单时,才对该会话的前M个数据包进行病毒扫描,使得病毒扫描更加迅速。优选地,所述对获取的会话的数据包中一会话的前M个数据包进行病毒扫描,包括:获取并缓存会话的数据包;对所述缓存的会话的数据包中一会话的前M个数据包进行重组;对重组后的该会话的前M个数据包进行病毒扫描。这样,可以在缓存过程中,实现对会话的前M个数据包进行病毒扫描,能够满足实时且高速处理的要求。优选地,所述方法进一步包括:当所述前M个数据包中包含可疑病毒时,对该会话的剩余数据包进行病毒扫描,以判断该会话中是否包含手机病毒。这样,只有当前M个数据包中包含可疑病毒时,才继续对该会话的剩余数据包进行病毒扫描。本专利技术的实施例还提供了一种手机病毒的检测装置,所述检测装置包括:预处理引擎,用于对获取的会话的数据包中一会话的前M个数据包进行病毒扫描,其中M大于等于1且小于N,其中N为该会话的所有数据包的总数;病毒分析模块,用于根据所述预处理引擎的扫描结果,当所述前M个数据包中不包含可疑病毒时,确定该会话中不包含手机病毒。采用该检测装置,只需对会话的前M个数据包进行病毒扫描,当所述前M个数据包中不包含可疑病毒时,无需对该会话的剩余数据包进行病毒扫描。因此,需要扫描的数据包大大减少,检测装置的性能将大大提高,满足高速处理的要求。优选地,所述检测装置进一步包括:预处理病毒库,用于存储片段手机病毒特征,所述片段手机病毒特征适用于查找一会话的前M个数据包中包含的手机病毒;所述预处理引擎,具体用于采用所述预处理病毒库对获取的会话的数据包中一会话的前M个数据包进行病毒扫描。这样,可以使用预处理数据库对该会话的前M个数据包进行病毒扫描,加快了病毒的扫描速度,进一步提高了检测装置的性能。优选地,所述预处理引擎包括:预判断模块和病毒扫描模块,所述预判断模块用于对获取的会话的数据包中一会话的第一个数据包进行检查,判断该会话是否是文件下载会话,如果否,则通知所述病毒分析模块该会话不是文件下载会话,如果是,则通知所述病毒扫描模块对获取的会话的数据包中该会话的前M个数据包进行病毒扫描;所述病毒分析模块用于根据所述预处理引擎的通知确定该会话中不包含手机病毒。这样,预判断模块通过检查会话的第一个数据包即可实现对非文件下载会话不进行病毒扫描,使得病毒检测的处理更加高速。优选地,所述预处理引擎包括:模式检查模块和病毒扫描模块,所述模式检查模块用于对获取的会话的数据包中一会话的前M个数据包进行模式检查,判断该会话是否属于白名单中的会话,如果是,则通知所述病毒分析模块该会话属于白名单中的会话,如果否,则通知所述病毒扫描模块对获取的会话的数据包中该会话的前M个数据包进行病毒扫描;所述病毒分析模块用于根据所述预处理引擎的通知确定该会话中不包含手机病毒。这样,模式检查模块对该会话的前M个数据包进行模式检查,当会本文档来自技高网...
【技术保护点】
一种手机病毒的检测方法,所述方法包括:对获取的会话的数据包中一会话的前M个数据包进行病毒扫描,其中M大于等于1且小于N,其中N为该会话的所有数据包的总数(S201);当所述前M个数据包中不包含可疑病毒时,则确定该会话中不包含手机病毒(S202、S204)。
【技术特征摘要】
1.一种手机病毒的检测方法,所述方法包括:对获取的会话的数据包中一会话的前M个数据包进行病毒扫描,其中M大于等于1且小于N,其中N为该会话的所有数据包的总数(S201);当所述前M个数据包中不包含可疑病毒时,则确定该会话中不包含手机病毒(S202、S204);其中,在所述对获取的会话的数据包中一会话的前M个数据包进行病毒扫描之前,所述方法进一步包括:对获取的会话的数据包中该会话的前M个数据包进行模式检查,判断该会话是否属于白名单中的会话,如果是,则确定该会话中不包含手机病毒,如果否,则执行所述对获取的会话的数据包中该会话的前M个数据包进行病毒扫描的步骤。2.如权利要求1所述的方法,其中,所述对获取的会话的数据包中一会话的前M个数据包进行病毒扫描,包括:使用指针索引对获取的会话的数据包中一会话的前M个数据包按顺序进行病毒扫描,所述顺序为自该会话的第一个数据包到该会话的第M个数据包。3.如权利要求1所述的方法,其中,所述对获取的会话的数据包中一会话的前M个数据包进行病毒扫描,包括:采用预处理病毒库对获取的会话的数据包中一会话的前M个数据包进行病毒扫描,其中所述预处理病毒库用于存储片段手机病毒特征,所述片段手机病毒特征适用于查找一会话的前M个数据包中包含的手机病毒。4.如权利要求1所述的方法,其中,在所述对获取的会话的数据包中一会话的前M个数据包进行病毒扫描之前,所述方法进一步包括:对获取的会话的数据包中该会话的第一个数据包进行检查,判断该会话是否是文件下载会话,如果否,则确定该会话中不包含手机病毒,如果是,则执行所述对获取的会话的数据包中该会话的前M个数据包进行病毒扫描的步骤。5.如权利要求1至4中任一项所述的方法,其中,所述对获取的会话的数据包中一会话的前M个数据包进行病毒扫描,包括:获取并缓存会话的数据包;对所述缓存的会话的数据包中一会话的前M个数据包进行重组;对重组后的该会话的前M个数据包进行病毒扫描。6.如权利要求1至4中任一项所述的方法,其中,所述方法进一步包括:当所述前M个数据包中包含可疑病毒时,对该会话的剩余数据包进行病毒扫描,以判断该会话中是否包含手机病毒(S202、S203)。7.一种手机病毒的检测装置,所述检测装置包括:预处理引擎(41),用于对获取的会话的数据包中一会话的前M个数据包进行病毒...
【专利技术属性】
技术研发人员:郭代飞,郭涛,隋爱芬,
申请(专利权)人:西门子公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。