專利名稱:一種手機(jī)病毒的檢測方法和裝置的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及信息安全領(lǐng)域����,特別是一種手機(jī)病毒的檢測方法和裝置�����。
背景技術(shù):
隨著手機(jī)的發(fā)展��,許多以智能手機(jī)為目標(biāo)的病毒在智能手機(jī)中傳播����。如果手機(jī)病毒成功地感染智能手機(jī),它能夠通過麗S傳播到其它智能手機(jī)上���,因此能夠在短時間內(nèi)感染許多智能手機(jī)���。另一方面,某些手機(jī)病毒主動連接到部署在網(wǎng)絡(luò)中的一些惡意控制服務(wù)器���,該惡意控制服務(wù)器能夠提供控制命令或預(yù)設(shè)攻擊目標(biāo)以供病毒下載�。某些病毒發(fā)送欺騙SMS或麗S給其他智能手機(jī),該欺騙SMS或麗S可以誘使用戶從網(wǎng)絡(luò)上的一些服務(wù)器下載病毒����。有些手機(jī)病毒的目的是秘密竊取用戶信息或使用賬單服務(wù),而用戶并不知道其智能手機(jī)已被感染手機(jī)病毒���。另一方面�����,由于在智能手機(jī)中安裝防病毒軟件非常不方便���,因此用戶即使已經(jīng)知道其智能手機(jī)工作不正常,也很難在智能手機(jī)上安裝防病毒軟件����。`大多數(shù)手機(jī)病毒通過移動網(wǎng)絡(luò)例如MMS、WAP�����、HTTP等傳播�����,因此手機(jī)病毒檢測系統(tǒng)可以布置在網(wǎng)絡(luò)中的某些位置(例如Gn接口、Gi���、WAP網(wǎng)關(guān)和MMSC)以監(jiān)控病毒襲擊�����。然而,移動接口的網(wǎng)絡(luò)速度通常是千兆比特����,基于會話重組的傳統(tǒng)的檢測技術(shù),需要對整個會話進(jìn)行重組并掃描病毒����,無法滿足高流量的病毒檢測。Snort是基于開源網(wǎng)絡(luò)的入侵檢測系統(tǒng)����,能夠在IP網(wǎng)絡(luò)上進(jìn)行實(shí)時流量分析和報文日志。Snort進(jìn)行協(xié)議分析�����、內(nèi)容搜索和內(nèi)容匹配。Snort也可以用于檢測探測和攻擊�����,包括但不限于操作系統(tǒng)指紋嘗試���、通用網(wǎng)關(guān)接口���、緩沖區(qū)溢出、服務(wù)器消息阻擋探測和端口掃描�。早期版本的Snort根據(jù)攻擊特征信息基于單包掃描網(wǎng)絡(luò)流量,只需要進(jìn)行無狀態(tài)協(xié)議處理��。但早期版本的Snort無法重組會話并進(jìn)行病毒掃描��。因此���,現(xiàn)有的基于會話重組的病毒檢測技術(shù)無法適應(yīng)高流量的病毒檢測��。
發(fā)明內(nèi)容
有鑒于此���,本發(fā)明提出了一種手機(jī)病毒的檢測方法,能夠滿足高流量下手機(jī)病毒的檢測需求,滿足高速處理的要求�����。本發(fā)明還提供一種手機(jī)病毒的檢測裝置����。因此,根據(jù)本發(fā)明一實(shí)施例���,提供了一種手機(jī)病毒的檢測方法�����,包括對獲取的會話的數(shù)據(jù)包中一會話的前M個數(shù)據(jù)包進(jìn)行病毒掃描,其中M大于等于I且小于N,其中N為該會話的所有數(shù)據(jù)包的總數(shù)����;當(dāng)所述前M個數(shù)據(jù)包中不包含可疑病毒時,則確定該會話中不包含手機(jī)病毒�����。從上述方案中可以看出�����,由于本發(fā)明實(shí)施例的檢測方法僅對一會話的前M個數(shù)據(jù)包進(jìn)行檢測,當(dāng)前M個數(shù)據(jù)包中不包含可疑病毒時���,無需對整個會話進(jìn)行病毒掃描����,因此提高了手機(jī)病毒的檢測速度���,能夠滿足高流量下實(shí)時檢測的需求�����,滿足高速處理的要求�。優(yōu)選地����,所述對獲取的會話的數(shù)據(jù)包中一會話的前M個數(shù)據(jù)包進(jìn)行病毒掃描,包括使用指針?biāo)饕龑Λ@取的會話的數(shù)據(jù)包中一會話的前M個數(shù)據(jù)包按順序進(jìn)行病毒掃描���,所述順序為自該會話的第一個數(shù)據(jù)包到該會話的第M個數(shù)據(jù)包�����。
這樣�,當(dāng)會話的數(shù)據(jù)包是亂序時,并不需要在內(nèi)存中進(jìn)行會話重組�,只是使用指針順序掃描該會話的數(shù)據(jù)包即可實(shí)現(xiàn)對該會話的前M個數(shù)據(jù)包進(jìn)行病毒掃描,節(jié)省了內(nèi)存空間�,并改善了檢測的性能。優(yōu)選地��,對獲取的會話的數(shù)據(jù)包中一會話的前M個數(shù)據(jù)包進(jìn)行病毒掃描�,包括采用預(yù)處理病毒庫對獲取的會話的數(shù)據(jù)包中一會話的前M個數(shù)據(jù)包進(jìn)行病毒掃描,其中所述預(yù)處理病毒庫用于存儲片段手機(jī)病毒特征���,所述片段手機(jī)病毒特征適用于查找一會話的前M個數(shù)據(jù)包中包含的手機(jī)病毒���。這樣,即可采用預(yù)處理病毒庫對該會話的前M個數(shù)據(jù)包進(jìn)行病毒掃描�,檢查出前M個數(shù)據(jù)包是否包含可疑病毒。優(yōu)選地����,在所述對獲取的會話的數(shù)據(jù)包中一會話的前M個數(shù)據(jù)包進(jìn)行病毒掃描之前���,所述方法進(jìn)一步包括對獲取的會話的數(shù)據(jù)包中該會話的第一個數(shù)據(jù)包進(jìn)行檢查�����,判斷該會話是否是文件下載會話���,如果否�,則確定該會話中不包含手機(jī)病毒��,如果是����,則執(zhí)行所述對獲取的會話的數(shù)據(jù)包中該會話的前M個數(shù)據(jù)包進(jìn)行病毒掃描的步驟。這樣����,即可根據(jù)該會話的第一個數(shù)據(jù)包實(shí)現(xiàn)對非文件下載會話不進(jìn)行病毒掃描,使得病毒檢測的處理更加高速���。 優(yōu)選地����,在所述對獲取的會話的數(shù)據(jù)包中一會話的前M個數(shù)據(jù)包進(jìn)行病毒掃描之前�����,所述方法進(jìn)一步包括對獲取的會話的數(shù)據(jù)包中該會話的前M個數(shù)據(jù)包進(jìn)行模式檢查,判斷該會話是否屬于白名單中的會話����,如果是,則確定該會話中不包含手機(jī)病毒�,如果否,則執(zhí)行所述對獲取的會話的數(shù)據(jù)包中該會話的前M個數(shù)據(jù)包進(jìn)行病毒掃描的步驟���。這樣��,只對會話的前M個數(shù)據(jù)包進(jìn)行模式檢查���,當(dāng)確定會話屬于白名單時,對該會話的前M個數(shù)據(jù)包不進(jìn)行病毒掃描�����,只有在該會話不屬于白名單時����,才對該會話的前M個數(shù)據(jù)包進(jìn)行病毒掃描,使得病毒掃描更加迅速��。優(yōu)選地��,所述對獲取的會話的數(shù)據(jù)包中一會話的前M個數(shù)據(jù)包進(jìn)行病毒掃描��,包括獲取并緩存會話的數(shù)據(jù)包����;對所述緩存的會話的數(shù)據(jù)包中一會話的前M個數(shù)據(jù)包進(jìn)行重組;對重組后的該會話的前M個數(shù)據(jù)包進(jìn)行病毒掃描����。這樣,可以在緩存過程中����,實(shí)現(xiàn)對會話的前M個數(shù)據(jù)包進(jìn)行病毒掃描,能夠滿足實(shí)時且高速處理的要求��。優(yōu)選地���,所述方法進(jìn)一步包括當(dāng)所述前M個數(shù)據(jù)包中包含可疑病毒時�,對該會話的剩余數(shù)據(jù)包進(jìn)行病毒掃描�����,以判斷該會話中是否包含手機(jī)病毒�����。這樣,只有當(dāng)前M個數(shù)據(jù)包中包含可疑病毒時�,才繼續(xù)對該會話的剩余數(shù)據(jù)包進(jìn)行病毒掃描。本發(fā)明的實(shí)施例還提供了一種手機(jī)病毒的檢測裝置���,所述檢測裝置包括預(yù)處理引擎�,用于對獲取的會話的數(shù)據(jù)包中一會話的前M個數(shù)據(jù)包進(jìn)行病毒掃描���,其中M大于等于I且小于N����,其中N為該會話的所有數(shù)據(jù)包的總數(shù)�;病毒分析模塊,用于根據(jù)所述預(yù)處理引擎的掃描結(jié)果�����,當(dāng)所述前M個數(shù)據(jù)包中不包含可疑病毒時��,確定該會話中不包含手機(jī)病毒����。采用該檢測裝置�����,只需對會話的前M個數(shù)據(jù)包進(jìn)行病毒掃描,當(dāng)所述前M個數(shù)據(jù)包中不包含可疑病毒時����,無需對該會話的剩余數(shù)據(jù)包進(jìn)行病毒掃描。因此�����,需要掃描的數(shù)據(jù)包大大減少���,檢測裝置的性能將大大提高���,滿足高速處理的要求。優(yōu)選地���,所述檢測裝置進(jìn)一步包括預(yù)處理病毒庫���,用于存儲片段手機(jī)病毒特征,所述片段手機(jī)病毒特征適用于查找一會話的前M個數(shù)據(jù)包中包含的手機(jī)病毒���;所述預(yù)處理引擎���,具體用于采用所述預(yù)處理病毒庫對獲取的會話的數(shù)據(jù)包中一會話的前M個數(shù)據(jù)包進(jìn)行病毒掃描��。這樣�����,可以使用預(yù)處理數(shù)據(jù)庫對該會話的前M個數(shù)據(jù)包進(jìn)行病毒掃描�����,加快了病毒的掃描速度��,進(jìn)一步提高了檢測裝置的性能��。優(yōu)選地��,所述預(yù)處理引擎包括預(yù)判斷模塊和病毒掃描模塊����,所述預(yù)判斷模塊用于對獲取的會話的數(shù)據(jù)包中一會話的第一個數(shù)據(jù)包進(jìn)行檢查���,判斷該會話是否是文件下載會話���,如果否����,則通知所述病毒分析模塊該會話不是文件下載會話���,如果是,則通知所述病毒掃描模塊對獲取的會話的數(shù)據(jù)包中該會話的前M個數(shù)據(jù)包進(jìn)行病毒掃描��;所述病毒分析模塊用于根據(jù)所述預(yù)處理引擎的通知確定該會話中不包含手機(jī)病毒���。這樣�����,預(yù)判斷模塊通過檢查會話的第一個數(shù)據(jù)包即可實(shí)現(xiàn)對非文件下載會話不進(jìn)行病毒掃描�,使得病毒檢測的處理更加高速��。優(yōu)選地�,所述預(yù)處理引擎包括模式檢查模塊和病毒掃描模塊,所述模式檢查模塊用于對獲取的會話的數(shù)據(jù)包中一會話的前M個數(shù)據(jù)包進(jìn)行模式檢查�����,判斷該會話是否屬于白名單中的會話,如果是�,則通知所述病毒分析模塊該會話屬于白名單中的會話,如果否�, 則通知所述病毒掃描模塊對獲取的會話的數(shù)據(jù)包中該會話的前M個數(shù)據(jù)包進(jìn)行病毒掃描;所述病毒分析模塊用于根據(jù)所述預(yù)處理引擎的通知確定該會話中不包含手機(jī)病毒���。這樣����,模式檢查模塊對該會話的前M個數(shù)據(jù)包進(jìn)行模式檢查����,當(dāng)會話屬于白名單時,對該會話的前M個數(shù)據(jù)包不進(jìn)行病毒掃描�����,使得病毒掃描更加迅速�����,進(jìn)一步提高檢測裝置的性能����。本發(fā)明的一種實(shí)施方式中��,所述預(yù)處理引擎包括緩存模塊�,用于緩存獲取的會話的數(shù)據(jù)包��;重組模塊���,用于對所述緩存模塊緩存的會話的數(shù)據(jù)包中一會話的前M個數(shù)據(jù)包進(jìn)行重組�����;病毒掃描模塊,用于對所述重組模塊重組后的該會話的前M個數(shù)據(jù)包進(jìn)行病毒掃描����。優(yōu)選地,所述病毒分析模塊進(jìn)一步用于根據(jù)所述預(yù)處理引擎的掃描結(jié)果��,當(dāng)所述前M個數(shù)據(jù)包中包含可疑病毒時�����,對該會話的剩余數(shù)據(jù)包進(jìn)行病毒掃描����,以判斷該會話中是否包含的手機(jī)病毒��。這樣�����,當(dāng)該會話的前M個數(shù)據(jù)包中包含可疑病毒時�����,能夠繼續(xù)對該會話的剩余數(shù)據(jù)包進(jìn)行病毒掃描����,以檢測該會話中包含的手機(jī)病毒���。
下面將通過參照附圖詳細(xì)描述本發(fā)明的優(yōu)選實(shí)施例�,使本領(lǐng)域的普通技術(shù)人員更清楚本發(fā)明的上述及其它特征和優(yōu)點(diǎn)��,附圖中圖I示意性地示出了本發(fā)明的一個應(yīng)用場景����。圖2a為本發(fā)明一實(shí)施例提供的手機(jī)病毒的檢測方法的流程圖。圖2b為本發(fā)明另一實(shí)施例提供的手機(jī)病毒的檢測方法的流程圖���。圖3為本發(fā)明具體實(shí)施例提供的手機(jī)病毒的檢測方法的流程圖����。圖4a為本發(fā)明一實(shí)施例提供的手機(jī)病毒的檢測裝置的結(jié)構(gòu)示意圖。圖4b為本發(fā)明另一實(shí)施例提供的手機(jī)病毒的檢測裝置的結(jié)構(gòu)示意圖��。其中�,附圖標(biāo)號如下圖2a中S201_S204步驟流程
圖2b 中S201a_S204 步驟流程圖3中S301_S307步驟流程41預(yù)處理引擎42病毒分析模塊43預(yù)處理病毒庫44病毒庫45告警模塊411緩存模塊412病毒掃描模塊 413模式檢查模塊414預(yù)判斷模塊418重組模塊
具體實(shí)施例方式為使本發(fā)明的目的、技術(shù)方案和優(yōu)點(diǎn)更加清楚����,以下舉實(shí)施例對本發(fā)明進(jìn)一步詳細(xì)說明?���!DI示意性地示出了本發(fā)明的一個應(yīng)用場景����。本發(fā)明的檢測方法可以應(yīng)用于與移動終端之間的通信,例如可以應(yīng)用在GPRS (General Packet Radio Service,通用分組無線業(yè)務(wù))網(wǎng)絡(luò)的Gn接口或Gi接口�����,或者其他的手機(jī)病毒經(jīng)過的路徑��。應(yīng)用本發(fā)明的檢測方法的檢測裝置可以部署在Gn接口或Gi接口,或者其他的手機(jī)病毒經(jīng)過的路徑��,以執(zhí)行該檢測方法���。如圖I所示���,該檢測方法可以應(yīng)用在Gn接口,即在SGSN(Service GPRS SupportingNode, GPRS 服務(wù)支持節(jié)點(diǎn))和 GGSN(Gateway GPRS Support Node, GPRS 網(wǎng)關(guān)支持節(jié)點(diǎn))之間的接口之間實(shí)施本發(fā)明的方法�����。如圖2a所示�,為本發(fā)明實(shí)施例提供的手機(jī)病毒的檢測方法的流程圖,具體包括S201����、對獲取的會話的數(shù)據(jù)包中一會話的前M個數(shù)據(jù)包進(jìn)行病毒掃描,其中M大于等于I且小于N,其中N為該會話的所有數(shù)據(jù)包的總數(shù)����;其中,獲取的會話的數(shù)據(jù)包可以具體是接收的會話的數(shù)據(jù)包或捕獲的會話的數(shù)據(jù)包�;其中,當(dāng)該會話的數(shù)據(jù)包是正常序列時��,可以直接對該會話的前M個數(shù)據(jù)包進(jìn)行病毒掃描;當(dāng)該會話的數(shù)據(jù)包是亂序時��,可以將該會話的前M個數(shù)據(jù)包放入內(nèi)存中重組���,對重組后的該會話的前M個數(shù)據(jù)包進(jìn)行病毒掃描���。當(dāng)會話的數(shù)據(jù)包亂序時,由于上述重組過程需要內(nèi)存拷貝�,為了節(jié)省內(nèi)存空間,改善檢測裝置的性能��,提高病毒檢測速度�����,在對該會話的前M個數(shù)據(jù)包進(jìn)行病毒掃描時�,可以使用零拷貝技術(shù)。則所述對獲取的會話的數(shù)據(jù)包中一會話的前M個數(shù)據(jù)包進(jìn)行病毒掃描���,包括使用指針?biāo)饕龑Λ@取的會話的數(shù)據(jù)包中一會話的前M個數(shù)據(jù)包按順序進(jìn)行病毒掃描,所述順序為自該會話的第一個數(shù)據(jù)包到該會話的第M個數(shù)據(jù)包��。這樣��,在進(jìn)行病毒掃描時,并不會需要將數(shù)據(jù)包拷貝到內(nèi)存中進(jìn)行重組���,只是使用指針根據(jù)一會話的數(shù)據(jù)包的序號對該會話的前M個數(shù)據(jù)包依次進(jìn)行病毒掃描����,也就是說����,使用指針?biāo)饕栽摃挼牡谝粋€數(shù)據(jù)包依次掃描到該會話的第M個數(shù)據(jù)包。這種方法尤其適用于獲取的會話的數(shù)據(jù)包是亂序的情況��,大大節(jié)省了內(nèi)存空間���,改善檢測裝置的性能�����,提高病毒檢測速度����。其中,對一會話的前M個數(shù)據(jù)包進(jìn)行病毒掃描,可以使用病毒庫對該會話的前M個數(shù)據(jù)包進(jìn)行病毒掃描��,也可以使用預(yù)處理病毒庫對該會話的前M個數(shù)據(jù)包進(jìn)行病毒掃描��,以確定該前M個數(shù)據(jù)包中是否包含可疑病毒。其中�,病毒庫用于存儲手機(jī)病毒特征,手機(jī)病毒特征用于查找一會話中包含的手機(jī)病毒�,而預(yù)處理病毒庫用于存儲片段手機(jī)病毒特征,該片段手機(jī)病毒特征用于查找一會話的前M個數(shù)據(jù)包中包含的手機(jī)病毒��。由于病毒庫中存儲的手機(jī)病毒特征可以包括手機(jī)病毒位置和手機(jī)病毒代碼��,例如第XX字節(jié)對應(yīng)XX代碼�,因此對病毒掃描時,需要將會話的數(shù)據(jù)包與病毒庫中存儲的手機(jī)病毒特征����,進(jìn)行位置和病毒代碼的匹配,以確定是否包含可疑病毒�。具體地,將會話的某一位置對應(yīng)的數(shù)據(jù)與病毒庫中該位置對應(yīng)的病毒代碼進(jìn)行匹配��,以確定該位置的數(shù)據(jù)是否是可疑病毒���。例如將會話的第η個字節(jié)的數(shù)據(jù)與病毒庫中位置為第η個字節(jié)的病毒代碼進(jìn)行匹配�,以確定是否包含可疑病毒��。因此預(yù)處理病毒庫中存儲的片段手機(jī)病毒特征可以是片段會話(例如會話的前M個數(shù)據(jù)包)的數(shù)據(jù)包對應(yīng)的位置以及每個位置對應(yīng)的病毒代碼�。而病毒庫存儲的手機(jī)病毒特征可以是完整的會話的數(shù)據(jù)包對應(yīng)的位置以及每個位置對應(yīng)的病毒代碼。數(shù)據(jù)包對應(yīng)的位置例如可以為第XX字節(jié)��。
當(dāng)然�,進(jìn)行病毒掃描時,可以如上所述���,使用具體的病毒庫����,當(dāng)然也可以使用現(xiàn)有的其他病毒掃描手段�����。其中����,M可以根據(jù)需要調(diào)整,具體地可以根據(jù)安全策略和/或?qū)υ撉癕個數(shù)據(jù)包進(jìn)行掃描所使用的病毒庫的配置�����。S202�����、判斷前M個數(shù)據(jù)包中是否包含可疑病毒,如果是����,則執(zhí)行步驟S203,如果否�����,則執(zhí)行步驟S204 ���;S203���、對該會話的剩余數(shù)據(jù)包進(jìn)行病毒掃描,以判斷該會話中是否包含手機(jī)病毒�;對該會話的剩余數(shù)據(jù)包進(jìn)行病毒掃描,可以具體為對該會話的剩余數(shù)據(jù)包進(jìn)行重組��,并對重組后的剩余數(shù)據(jù)包進(jìn)行病毒掃描�����,判斷該會話中是否包含手機(jī)病毒。當(dāng)然,為節(jié)省內(nèi)存空間�����,對該會話的剩余數(shù)據(jù)包進(jìn)行病毒掃描時也可以采用零拷貝技術(shù)����。也就是說���,使用指針?biāo)饕龑υ摃挼氖S鄶?shù)據(jù)包按順序進(jìn)行病毒掃描��。由于在前述步驟中已經(jīng)對會話的前M個數(shù)據(jù)包進(jìn)行了病毒掃描�����,在該步驟中只需對該會話的剩余數(shù)據(jù)包進(jìn)行病毒掃描����。并且����,在病毒掃描時,可以使用病毒庫進(jìn)行病毒掃描�����,當(dāng)然也可以使用現(xiàn)有的其他病毒掃描手段。S204��、確定該會話中不包含手機(jī)病毒�。確定該會話中不包含手機(jī)病毒,無需對該會話的剩余數(shù)據(jù)包進(jìn)行病毒掃描。其中�����,在步驟S201之前�����,還可以包括對獲取的會話的數(shù)據(jù)包中該會話的第一個數(shù)據(jù)包進(jìn)行檢查����,判斷該會話是否是文件下載會話,如果是����,則執(zhí)行步驟S201,如果否���,則執(zhí)行步驟S204��。這樣����,當(dāng)通過該會話的第一個數(shù)據(jù)包確定該會話不是文件下載會話時,直接確定該會話中不包含手機(jī)病毒�����,不必對該會話的其他數(shù)據(jù)包進(jìn)行病毒掃描�,進(jìn)一步提高了手機(jī)病毒的檢測速度����,滿足高速處理的要求。其中���,在步驟S201之前�����,還可以包括對獲取的會話的數(shù)據(jù)包中該會話的前M個數(shù)據(jù)包進(jìn)行模式檢查����,判斷該會話是否屬于白名單中的會話����,如果是�����,直接執(zhí)行步驟S204���,如果否,執(zhí)行步驟S201���。利用模式檢查判斷該會話是否屬于白名單中的會話時���,例如可以檢查該會話的前M個數(shù)據(jù)包的域名、關(guān)鍵字����、數(shù)據(jù)包后綴等,當(dāng)然也可以采用其他方法�。對該會話的前M個數(shù)據(jù)包進(jìn)行模式檢查時,也可以對該前M個數(shù)據(jù)包重組��,并進(jìn)行模式檢查�;或者直接使用指針?biāo)饕瑢υ撉癕個數(shù)據(jù)包進(jìn)行模式檢查���。這樣���,就可以通過對該會話的前M個數(shù)據(jù)包進(jìn)行初步檢查�����,當(dāng)確定該會話屬于白名單中的會話時�����,直接確定該會話不包含手機(jī)病毒���,進(jìn)一步提高了手機(jī)病毒的檢測速度�,滿足高速處理的要求。上述在步驟S201之前進(jìn)行的兩種檢查��,可以單獨(dú)執(zhí)行��,也可以同時執(zhí)行����。當(dāng)同時執(zhí)行時,首先對該會話的第一個數(shù)據(jù)包進(jìn)行檢查�,當(dāng)確定該會話是文件下載會話時,再對該會話的前M個數(shù)據(jù)包進(jìn)行模式檢查�。這樣�,可以通過兩種檢查結(jié)合��,進(jìn)一步提高手機(jī)病毒檢測速度�,且提高檢測的準(zhǔn)確性。其中�,步驟S201可以具體包括獲取并緩存會話的數(shù)據(jù)包;對所述緩存的會話的數(shù)據(jù)包中一會話 的前M個數(shù)據(jù)包進(jìn)行重組��;對重組后的該會話的前M個數(shù)據(jù)包進(jìn)行病毒掃描�����。這樣��,就可以在緩存會話數(shù)據(jù)包的過程中�,實(shí)現(xiàn)對會話的前M個數(shù)據(jù)包進(jìn)行病毒掃描,使得能夠滿足實(shí)時且高速處理的要求�����。如圖2b所示���,為本發(fā)明另一實(shí)施例提供的手機(jī)病毒的檢測方法�,其中,在步驟S201之前����,還包括S201a、獲取會話的數(shù)據(jù)包�����;S201b�����、緩存獲取到的所述會話的數(shù)據(jù)包����。其中,在步驟S201a中獲取來自手機(jī)����、其他移動終端或網(wǎng)絡(luò)設(shè)備的會話的數(shù)據(jù)包或傳輸?shù)绞謾C(jī)���、其他移動終端或網(wǎng)絡(luò)設(shè)備的會話的數(shù)據(jù)包����。網(wǎng)絡(luò)設(shè)備例如為SGSN�、GGSN等�。步驟S201a���、S201b之后繼續(xù)執(zhí)行步驟S201-S204�����。S201-S204的詳細(xì)過程在這里不再重復(fù)�。其中�,當(dāng)網(wǎng)絡(luò)非常理想時,獲取的會話的數(shù)據(jù)包是正常序列�����,則當(dāng)獲取到前M個數(shù)據(jù)包后��,即可對緩存的前M個數(shù)據(jù)包直接進(jìn)行病毒掃描�。但網(wǎng)絡(luò)可能不會如此理想,當(dāng)獲取的會話的數(shù)據(jù)包是亂序時�,則需要在獲取到的數(shù)據(jù)包(也就是緩存的數(shù)據(jù)包)中已經(jīng)包含該會話的前M個數(shù)據(jù)包時,才可能對該前M個數(shù)據(jù)包重組并進(jìn)行病毒掃描�。例如假設(shè)獲取的前M-I個數(shù)據(jù)包是正常序列,但該會話的第M個數(shù)據(jù)包可能在獲取到第M+K個數(shù)據(jù)包的時刻才獲取到�,因此當(dāng)獲取到第M+K個數(shù)據(jù)包時,才可能對該會話的前M個數(shù)據(jù)包重組并進(jìn)行病毒掃描。當(dāng)獲取的數(shù)據(jù)包亂序時���,也可以使用指針?biāo)饕龑彺娴脑摃挼那癕個數(shù)據(jù)包按順序進(jìn)行病毒掃描�,該順序為自該會話的第一個數(shù)據(jù)包到該會話的第M個數(shù)據(jù)包�����。通過上述步驟S201a_S204����,可以實(shí)現(xiàn)對一會話的數(shù)據(jù)包進(jìn)行手機(jī)病毒檢測,滿足高速且實(shí)時處理的要求����。其中優(yōu)選地,在步驟S201b和步驟S201之間還可以包括當(dāng)步驟S201b中緩存到該會話的第一個數(shù)據(jù)包時��,檢查該第一個數(shù)據(jù)包�,判斷所述會話是否是文件下載會話,如果是��,則繼續(xù)獲取并緩存會話的數(shù)據(jù)包�����,并執(zhí)行步驟S201�,如果否,則直接執(zhí)行步驟S204���,這樣��,可以及時地檢查會話的第一個數(shù)據(jù)包����,當(dāng)該會話的第一個數(shù)據(jù)包不是文件下載會話時����,直接確定該會話不包含手機(jī)病毒,進(jìn)一步提高了手機(jī)病毒的檢測速度�,滿足實(shí)時以及高速處理的要求。其中�,在步驟S201b和步驟S201之間,還可以包括當(dāng)步驟S201b中緩存到該會話的前M個數(shù)據(jù)包后���,對緩存的會話的數(shù)據(jù)包中該會話的前M個數(shù)據(jù)包進(jìn)行模式檢查�����,判斷所述會話是否屬于白名單中的會話����,如果是,則直接執(zhí)行步驟S204�,如果否,則繼續(xù)獲取并緩存會話的數(shù)據(jù)包�����,并執(zhí)行步驟S201���。這樣����,可以在緩存的過程中���,及時地對該會話的前M個數(shù)據(jù)包進(jìn)行模式檢查���,進(jìn)一步提高手機(jī)病毒的檢測速度,滿足實(shí)時以及高速處理的要求��。上述方法實(shí)施例中描述的方法可以是由位于手機(jī)病毒經(jīng)過的路徑的檢測裝置或網(wǎng)絡(luò)設(shè)備執(zhí)行���,以檢測手機(jī)病毒�。
下面以一個具體的實(shí)施例詳細(xì)說明本發(fā)明的方法��,在如圖3所示�,為本發(fā)明具體實(shí)施例提供的手機(jī)病毒的檢測方法的流程圖,具體包括S301�、接收GTP(GPRS Tunnel Protocol,通用無線分組業(yè)務(wù)隧道協(xié)議)數(shù)據(jù)的會話的數(shù)據(jù)包�;S302、緩存所述會話的數(shù)據(jù)包��,并當(dāng)緩存到該會話的第一個數(shù)據(jù)包時��,對該第一個數(shù)據(jù)包進(jìn)行檢查��,判斷該會話是否是文件下載會話��,如果是���,執(zhí)行步驟S303���,如果否,執(zhí)行步驟 S307 ��;其中��,判斷該第一個數(shù)據(jù)包是否是文件下載會話,可以根據(jù)該第一數(shù)據(jù)包中攜帶的會話標(biāo)識�����、會話協(xié)議等判斷�����。如果不是文件下載會話��,則該會話不可能含有手機(jī)病毒文件�,因此直接確定該會話是正常會話,不進(jìn)行病毒檢測�����?���!?br>
S303、繼續(xù)緩存該會話的數(shù)據(jù)包��;當(dāng)該會話是文件下載會話時�,會繼續(xù)緩存接收到的該會話的數(shù)據(jù)包;S304���、對緩存的該會話的數(shù)據(jù)包中該會話的前M個數(shù)據(jù)包進(jìn)行模式檢查�,判斷該會話是否屬于白名單中的會話,如果是����,則執(zhí)行步驟S307����,如果否,則執(zhí)行步驟S305 ����;其中,M大于等于I且小于N��,N為該會話的所有數(shù)據(jù)包的總數(shù)���;S305���、對緩存的該會話的數(shù)據(jù)包中該會話的前M個數(shù)據(jù)包進(jìn)行病毒掃描,判斷該會話的前M個數(shù)據(jù)包中是否包含可疑病毒�����,如果是,執(zhí)行步驟S306���,如果否��,執(zhí)行步驟S307�����。其中��,對該會話的前M個數(shù)據(jù)包進(jìn)行病毒掃描��,參見步驟S201的描述���,這里不再贅述。S306�����、對該會話的剩余數(shù)據(jù)包進(jìn)行病毒掃描��,以判斷該會話中是否包含手機(jī)病毒���。S307��、停止病毒檢測���。采用本發(fā)明實(shí)施例的方法�,在大多數(shù)情況下����,由于對會話進(jìn)行了預(yù)處理����,即只掃描該會話前M個數(shù)據(jù)包,使得在基于會話重組進(jìn)行手機(jī)病毒檢測時�,大大減少需要重組的數(shù)據(jù),因此需要和整個病毒庫掃描的數(shù)據(jù)將大大減少��,能夠滿足高流量下實(shí)時檢測的需求�。如圖4a所示,為本發(fā)明一實(shí)施例提供的手機(jī)病毒的檢測裝置的結(jié)構(gòu)圖�����,該檢測裝置具體包括預(yù)處理引擎41����,用于對獲取的會話的數(shù)據(jù)包中一會話的前M個數(shù)據(jù)包進(jìn)行病毒掃描��,其中M大于等于I且小于N�,其中N為該會話的所有數(shù)據(jù)包的總數(shù)����;其中,對獲取的會話的數(shù)據(jù)包中一會話的前M個數(shù)據(jù)包進(jìn)行病毒掃描的方法���,可以對獲取的會話的數(shù)據(jù)包中一會話的前M個數(shù)據(jù)包重組,并對重組后的該會話的前M個數(shù)據(jù)包進(jìn)行病毒掃描�,或者使用指針?biāo)饕龑Λ@取的會話的數(shù)據(jù)包中一會話的前M個數(shù)據(jù)包按順序進(jìn)行病毒掃描�,所述順序為自該會話的第一個數(shù)據(jù)包到該會話的第M個數(shù)據(jù)包。具體方法可以參見步驟S201的描述���,這里不再詳細(xì)描述�。病毒分析模塊42��,用于根據(jù)所述預(yù)處理引擎41的掃描結(jié)果���,當(dāng)所述前M個數(shù)據(jù)包中不包含可疑病毒時����,確定該會話中不包含手機(jī)病毒。其中��,所述病毒分析模塊42�,還用于根據(jù)所述預(yù)處理引擎41的掃描結(jié)果,當(dāng)所述前M個數(shù)據(jù)包中包含可疑病毒時����,對該會話的剩余數(shù)據(jù)包進(jìn)行病毒掃描,以判斷該會話中是否包含手機(jī)病毒���。
優(yōu)選地�,該檢測裝置進(jìn)一步包括預(yù)處理病毒庫43��,用于存儲片段手機(jī)病毒特征����,該片段手機(jī)病毒特征適用于查找一會話的前M個數(shù)據(jù)包中包含的手機(jī)病毒��;則預(yù)處理引擎41��,具體用于采用預(yù)處理病毒庫43對獲取的會話的數(shù)據(jù)包中一會話的前M個數(shù)據(jù)包進(jìn)行病毒掃描��。其中���,預(yù)處理引擎41可以包括病毒掃描模塊412���,病毒掃描模塊412用于對獲取的會話的數(shù)據(jù)包中該會話的前M個數(shù)據(jù)包進(jìn)行病毒掃描�����。優(yōu)選地���,預(yù)處理引擎41,還包括預(yù)判斷模塊414���,用于對獲取的會話的數(shù)據(jù)包中該會話的第一個數(shù)據(jù)包進(jìn)行檢查�,判斷該會話是否是文件下載會話�����,如果否����,則通知病毒分析模塊42該會話不是文件下載會話,所述病毒分析模塊42根據(jù)該通知確定該會話中不包含手機(jī)病毒���,如果是�,則通知病毒掃描模塊412對獲取的會話的數(shù)據(jù)包中該會話的前M個數(shù)據(jù)包進(jìn)行病毒掃描。 本發(fā)明的一個實(shí)施例中�,預(yù)處理引擎可以包括緩存模塊411、重組模塊418和病毒掃描模塊412�。其中,緩存模塊411�,用于緩存獲取的會話的數(shù)據(jù)包;重組模塊418�����,用于對緩存模塊411緩存的會話的數(shù)據(jù)包中一會話的前M個數(shù)據(jù)包進(jìn)行重組�;病毒掃描模塊412,用于對重組模塊418重組后的該會話的前M個數(shù)據(jù)包進(jìn)行病毒掃描�����。其中�����,病毒掃描模塊412可以使用預(yù)處理病毒庫43對該會話的前M個數(shù)據(jù)包進(jìn)行病毒掃描��,以確定該會話的前M個數(shù)據(jù)包中是否包含可疑病毒�。當(dāng)然����,也可以采用其他病毒掃描手段對該會話的前M個數(shù)據(jù)包進(jìn)行病毒掃描�����。當(dāng)預(yù)處理引擎中包括緩存模塊411和病毒掃描模塊412時�����,則預(yù)判斷模塊414連接在緩存模塊411和病毒掃描模塊412之間�����,且同時連接病毒分析模塊42�����。優(yōu)選地��,該檢測裝置還包括病毒庫44�����,連接病毒分析模塊42����,則病毒分析模塊42可以利用病毒庫44對該會話的剩余數(shù)據(jù)包進(jìn)行病毒掃描,以判斷該會話中是否包含手機(jī)病毒�����。優(yōu)選地����,該檢測裝置還包括告警模塊45,則病毒分析模塊42在檢測到該會話中包含手機(jī)病毒之后��,可以將檢測結(jié)果傳輸給告警模塊45���。如圖4b所示�,為本發(fā)明的另一實(shí)施例提供的手機(jī)病毒的檢測裝置的結(jié)構(gòu)圖���,與圖4a的裝置的實(shí)施例的不同僅在于�����,采用模式檢查模塊413替代預(yù)判斷模塊414�,則預(yù)處理引擎41,包括模式檢查模塊413和病毒掃描模塊412�����。模式檢查模塊413,用于對獲取的會話的數(shù)據(jù)包中一會話的前M個數(shù)據(jù)包進(jìn)行模式檢查�����,判斷該會話是否屬于白名單中的會話��,如果是�����,則通知病毒分析模塊42該會話屬于白名單中的會話���,病毒分析模塊42根據(jù)該通知確定該會話中不包含手機(jī)病毒�,如果否���,則通知病毒掃描模塊412對獲取的會話的數(shù)據(jù)包中該會話的前M個數(shù)據(jù)包進(jìn)行病毒掃描�。當(dāng)然�,預(yù)處理引擎41中也可以同時包括上述預(yù)判斷模塊414和模式檢查模塊413。采用該實(shí)施例的檢測裝置��,只需對會話的前M個數(shù)據(jù)包進(jìn)行病毒檢查�,然后決定是否對會話的剩余部分進(jìn)行病毒檢查。因此需要和整個病毒庫掃描的數(shù)據(jù)將大大減少����,檢測裝置的性能將大大提升���,滿足高速處理的要求。本發(fā)明公開了一種手機(jī)病毒的檢測方法和裝置��,該方法包括對獲取的會話的數(shù)據(jù)包中一會話的前M個數(shù)據(jù)包進(jìn)行病毒掃描,其中M大于等于I且小于N,其中N為該會話的所有數(shù)據(jù)包的總數(shù)�;當(dāng)所述前M個數(shù)據(jù)包中不包含可疑病毒時,則確定該會話中不包含手機(jī)病毒�����。采用本發(fā)明的病毒檢測方法��,能夠滿足高流量下的手機(jī)病毒檢測的需求�����,滿足高速處理的要求�。以上所述僅為本發(fā)明的較佳實(shí)施例而已,并不用以限制本發(fā)明�,凡在本發(fā)明的精 神和原則之內(nèi),所作的任何修改�、等同替換、改進(jìn)等,均應(yīng)包含在本發(fā)明的保護(hù)范圍之內(nèi)�����。
權(quán)利要求
1.一種手機(jī)病毒的檢測方法���,所述方法包括 對獲取的會話的數(shù)據(jù)包中一會話的前M個數(shù)據(jù)包進(jìn)行病毒掃描,其中M大于等于I且小于N,其中N為該會話的所有數(shù)據(jù)包的總數(shù)(S201)����; 當(dāng)所述前M個數(shù)據(jù)包中不包含可疑病毒時,則確定該會話中不包含手機(jī)病毒(S202�����、S204)����。
2.如權(quán)利要求I所述的方法,其中����,所述對獲取的會話的數(shù)據(jù)包中一會話的前M個數(shù)據(jù)包進(jìn)行病毒掃描,包括 使用指針?biāo)饕龑Λ@取的會話的數(shù)據(jù)包中一會話的前M個數(shù)據(jù)包按順序進(jìn)行病毒掃描�����,所述順序為自該會話的第一個數(shù)據(jù)包到該會話的第M個數(shù)據(jù)包。
3.如權(quán)利要求I所述的方法�����,其中����,所述對獲取的會話的數(shù)據(jù)包中一會話的前M個數(shù)據(jù)包進(jìn)行病毒掃描,包括 采用預(yù)處理病毒庫對獲取的會話的數(shù)據(jù)包中一會話的前M個數(shù)據(jù)包進(jìn)行病毒掃描�,其中所述預(yù)處理病毒庫用于存儲片段手機(jī)病毒特征,所述片段手機(jī)病毒特征適用于查找一會話的前M個數(shù)據(jù)包中包含的手機(jī)病毒�。
4.如權(quán)利要求I所述的方法,其中�,在所述對獲取的會話的數(shù)據(jù)包中一會話的前M個數(shù)據(jù)包進(jìn)行病毒掃描之前,所述方法進(jìn)一步包括 對獲取的會話的數(shù)據(jù)包中該會話的第一個數(shù)據(jù)包進(jìn)行檢查��,判斷該會話是否是文件下載會話��,如果否����,則確定該會話中不包含手機(jī)病毒,如果是��,則執(zhí)行所述對獲取的會話的數(shù)據(jù)包中該會話的前M個數(shù)據(jù)包進(jìn)行病毒掃描的步驟。
5.如權(quán)利要求I至4中任一項所述的方法����,其中,在所述對獲取的會話的數(shù)據(jù)包中一會話的前M個數(shù)據(jù)包進(jìn)行病毒掃描之前��,所述方法進(jìn)一步包括 對獲取的會話的數(shù)據(jù)包中該會話的前M個數(shù)據(jù)包進(jìn)行模式檢查���,判斷該會話是否屬于白名單中的會話,如果是�����,則確定該會話中不包含手機(jī)病毒�,如果否,則執(zhí)行所述對獲取的會話的數(shù)據(jù)包中該會話的前M個數(shù)據(jù)包進(jìn)行病毒掃描的步驟�����。
6.如權(quán)利要求I至4中任一項所述的方法��,其中��,所述對獲取的會話的數(shù)據(jù)包中一會話的前M個數(shù)據(jù)包進(jìn)行病毒掃描,包括 獲取并緩存會話的數(shù)據(jù)包��; 對所述緩存的會話的數(shù)據(jù)包中一會話的前M個數(shù)據(jù)包進(jìn)行重組; 對重組后的該會話的前M個數(shù)據(jù)包進(jìn)行病毒掃描�。
7.如權(quán)利要求I至4中任一項所述的方法,其中�����,所述方法進(jìn)一步包括 當(dāng)所述前M個數(shù)據(jù)包中包含可疑病毒時�����,對該會話的剩余數(shù)據(jù)包進(jìn)行病毒掃描��,以判斷該會話中是否包含手機(jī)病毒(S202�、S203)。
8.一種手機(jī)病毒的檢測裝置����,所述檢測裝置包括 預(yù)處理引擎(41),用于對獲取的會話的數(shù)據(jù)包中一會話的前M個數(shù)據(jù)包進(jìn)行病毒掃描����,其中M大于等于I且小于N,其中N為該會話的所有數(shù)據(jù)包的總數(shù)���; 病毒分析模塊(42)����,用于根據(jù)所述預(yù)處理引擎(41)的掃描結(jié)果,當(dāng)所述前M個數(shù)據(jù)包中不包含可疑病毒時���,確定該會話中不包含手機(jī)病毒����。
9.如權(quán)利要求8所述的檢測裝置��,其中���, 所述檢測裝置進(jìn)一步包括預(yù)處理病毒庫(43),用于存儲片段手機(jī)病毒特征�,所述片段手機(jī)病毒特征適用于查找一會話的前M個數(shù)據(jù)包中包含的手機(jī)病毒; 所述預(yù)處理引擎(41)���,具體用于采用所述預(yù)處理病毒庫(43)對獲取的會話的數(shù)據(jù)包中一會話的前M個數(shù)據(jù)包進(jìn)行病毒掃描��。
10.如權(quán)利要求8所述的檢測裝置��,其中�����, 所述預(yù)處理引擎(41)包括預(yù)判斷模塊(414)和病毒掃描模塊(412)���,所述預(yù)判斷模塊(414)用于對獲取的會話的數(shù)據(jù)包中一會話的第一個數(shù)據(jù)包進(jìn)行檢查���,判斷該會話是否是文件下載會話,如果否����,則通知所述病毒分析模塊(42)該會話不是文件下載會話,如果是����,則通知所述病毒掃描模塊(412)對獲取的會話的數(shù)據(jù)包中該會話的前M個數(shù)據(jù)包進(jìn)行病毒掃描; 所述病毒分析模塊(42)用于根據(jù)所述預(yù)處理引擎(41)的通知確定該會話中不包含手機(jī)病毒。
11.如權(quán)利要求8所述的檢測裝置���,其中���, 所述預(yù)處理引擎(41)包括模式檢查模塊(413)和病毒掃描模塊(412),所述模式檢查模塊(413)用于對獲取的會話的數(shù)據(jù)包中一會話的前M個數(shù)據(jù)包進(jìn)行模式檢查���,判斷該會話是否屬于白名單中的會話���,如果是�����,則通知所述病毒分析模塊(42)該會話屬于白名單中的會話����,如果否��,則通知所述病毒掃描模塊(412)對獲取的會話的數(shù)據(jù)包中該會話的前M個數(shù)據(jù)包進(jìn)行病毒掃描��; 所述病毒分析模塊(42)用于根據(jù)所述預(yù)處理引擎(41)的通知確定該會話中不包含手機(jī)病毒�����。
12.如權(quán)利要求8所述的檢測裝置��,其中�,所述預(yù)處理引擎(41)包括 緩存模塊(411)��,用于緩存獲取的會話的數(shù)據(jù)包�����; 重組模塊(418)���,用于對所述緩存模塊(411)緩存的會話的數(shù)據(jù)包中一會話的前M個數(shù)據(jù)包進(jìn)行重組��; 病毒掃描模塊(412)����,用于對所述重組模塊(418)重組后的該會話的前M個數(shù)據(jù)包進(jìn)行病毒掃描。
13.如權(quán)利要求8至12中任一項所述的檢測裝置�����,其中����,所述病毒分析模塊(42)進(jìn)一步用于根據(jù)所述預(yù)處理引擎(41)的掃描結(jié)果,當(dāng)所述前M個數(shù)據(jù)包中包含可疑病毒時����,對該會話的剩余數(shù)據(jù)包進(jìn)行病毒掃描,以判斷該會話中是否包含手機(jī)病毒�。
全文摘要
本發(fā)明公開了一種手機(jī)病毒的檢測方法和裝置,該方法包括對獲取的會話的數(shù)據(jù)包中一會話的前M個數(shù)據(jù)包進(jìn)行病毒掃描���,其中M大于等于1且小于N���,其中N為該會話的所有數(shù)據(jù)包的總數(shù)���;當(dāng)所述前M個數(shù)據(jù)包中不包含可疑病毒時,則確定該會話中不包含手機(jī)病毒�。采用本發(fā)明的病毒檢測方法,能夠滿足高流量下的手機(jī)病毒的檢測需求����,滿足高速處理的要求。
文檔編號H04W12/12GK102905269SQ20111021031
公開日2013年1月30日 申請日期2011年7月26日 優(yōu)先權(quán)日2011年7月26日
發(fā)明者郭代飛, 郭濤, 隋愛芬 申請人:西門子公司