技術領域

本發明涉及網絡安全檢測管理領域，特別涉及一種面向IPv4和IPv6的網絡病毒檢測方法及系統。

背景技術

隨著互聯網的迅猛發展，由于IP網絡環境的開放性以及IPv4在設計師缺乏對安全問題的周詳考慮，傳統的IPv4暴露出越來越多的缺點，目前IP網絡安全形勢嚴峻。病毒的泛濫，惡意代碼攻擊，黑客攻擊使得整個網絡越來越不安全，為此IEIF提出了新的互聯網地址解決方案IPv6，經過幾年的發展，IPv6技術已經日漸成熟，稱為下一代互聯網的標準。

作為下一代網絡層協議標準，IPv6勢必在今后得到廣泛的推廣和應用，在這種情況下，如何實現面向IPv6的安全技術成為當前的問題。

發明內容

本發明提供一種面向IPv4和IPv6的網絡病毒檢測方法及系統，有效決絕了現行IPv4向IPv6遷移過程中網絡安全難以監控的問題。

一種面向IPv4和IPv6的網絡病毒檢測方法，包括：

捕獲網絡數據包；

進行網絡層協議識別，判斷數據包IP地址協議，若數據包使用IPv4協議，則進行IPv4網絡層協議識別，若數據包使用IPv6協議，則進行IPv6網絡層協議識別；

根據數據包所使用的協議類型進行IP協議解碼，獲取數據包的TCP四元組，若數據包使用IPv4協議，則使用IPv4IP層解碼，若數據包使用IPv6協議，則使用IPv6IP層解碼；所述的TCP四元組為數據包的源地址、目的地址、源端口及目的端口。

將具有相同TCP四元組的數據包重組，使離散的數據包匯聚成數據流；

對各數據流的應用層協議進行識別，識別出發生文件傳輸行為的應用層協議；

根據應用層協議識別結果，將數據流中數據包順序重新排列，還原為文件的正確排列順序；

對數據流進行協議解析，根據協議棧，判斷數據流所使用的協議類型，若為IPv4協議，則使用IPv4協議解析，若為IPv6協議，則使用IPv6協議解析；

根據協議解析結果，對包含文件傳輸行為的數據流還原為文件，對非文件傳輸行為的數據流不進行處理；

根據數據包的內容類型，將數據包發送到預設的對應檢測引擎進行網絡病毒檢測，并生成檢測報告；

將檢測報告發送給外部處理程序。

所述的方法中，所述的網絡層協議識別至少包括TCP/IP、ARP和RARP協議的識別。

所述的方法中，所述數據包的內容類型至少包括：文件和非文件內容的數據流。

一種面向IPv4和IPv6的網絡病毒檢測系統，包括：

捕包模塊，用于捕獲網絡數據包；

網絡層識別模塊，用于進行網絡層協議識別，判斷數據包IP地址協議，若數據包使用IPv4協議，則進行IPv4網絡層協議識別，若數據包使用IPv6協議，則進行IPv6網絡層協議識別；

IP層識別模塊，用于根據數據包所使用的協議類型進行IP協議解碼，獲取數據包的TCP四元組，若數據包使用IPv4協議，則使用IPv4IP層解碼，若數據包使用IPv6協議，則使用IPv6IP層解碼；

流匯聚模塊，用于將具有相同TCP四元組的數據包重組，使離散的數據包匯聚成數據流；

應用協議識別模塊，用于對各數據流的應用層協議進行識別，識別出發生文件傳輸行為的應用層協議；

流還原模塊，用于根據應用層協議識別結果，將數據流中數據包順序重新排列，還原為文件的正確排列順序；

協議解析模塊，用于對數據流進行協議解析，根據協議棧，判斷數據流所使用協議類型，若為IPv4協議，則使用IPv4協議解析，若為IPv6協議，則使用IPv6協議解析；

文件還原模塊，用于根據協議解析結果，對包含文件傳輸行為的數據流還原為文件，對非文件傳輸行為的數據流不進行處理；

檢測引擎模塊，用于根據數據包的內容類型，將數據包發送到預設的對應檢測引擎進行網絡病毒檢測，并生成檢測報告；

響應接口模塊，用于將檢測報告發送給外部處理程序。

所述的系統中，所述的網絡層識別模塊對網絡層協議的識別至少包括TCP/IP、ARP和RARP協議的識別。

所述的系統中，所述數據包的內容類型至少包括：文件和非文件內容的數據流。

本發明可以根據數據傳輸所使用的IP地址解析協議的不同，分別進行協議解析，能夠有效監控網內的網絡安全威脅事件，提供面向監控全網的安全態勢報告。