技術領域

本發明涉及計算機網絡安全技術領域，特別涉及一種基于結構性文件索引信息的網絡檢測方法及裝置。

背景技術

現有的網絡檢測技術，一般基于流和包的檢測。其中網絡病毒傳統的流檢測方法是，解析網絡數據包，將相關網絡數據包還原成完整的文件，在進行檢測。網絡上傳輸文件多為結構性文件，例如壓縮包類型文件，傳統方法通常是將還原的結構性文件進行解壓、掃描，從而判定此網絡數據流的威脅性。

而在現實工作中，并非所有的數據流都含有威脅文件，對所有的數據流信息都進行還原并檢測，會給系統帶來極大的負擔。因此如果結構性文件中存儲的文件不是威脅格式文件，則沒有必要對結構性文件進行還原、解壓和檢測。傳統方法不僅浪費系統資源又拖慢系統的檢測速度。

發明內容

本發明提供了一種基于結構性文件索引信息的網絡檢測方法，僅針對含有威脅文件格式的數據流進行還原，解決了傳統方法還原全部數據流，影響檢測速度的問題。

一種基于結構性文件索引信息的網絡檢測方法，包括：

步驟1：獲取網絡數據流中的數據包；

步驟2：判斷所述數據包是否為結構性文件，如果是，則執行步驟3，否則直接還原數據包；

步驟3：提取數據包的文件索引信息；

步驟4：判斷所述文件索引信息中是否包含存在威脅的格式后綴名，如果存在，則標記數據流處置數據包為還原數據包，否則執行步驟5；

步驟5：判斷所述文件索引信息是否完整，如果是，則執行步驟6，否則執行步驟7；

步驟6：標記數據流處置數據包為不還原數據包；

步驟7：獲取數據流中的下一個數據包，返回步驟3。

所述的方法中，所述的結構性文件是指rar壓縮包文件、gzip壓縮包文件或其他文件索引信息在頭部的文件。

所述的方法中，所述存在威脅的后綴格式至少包括：com、exe或bat。

所述的方法中，判斷所述文件索引信息是否完整方式為：判斷文件索引信息中是否存在結束標志。

一種基于結構性文件索引信息的網絡檢測裝置，包括：

數據包獲取模塊，用于獲取網絡數據流中的數據包；

判斷模塊，用于判斷所述數據包是否為結構性文件，如果是，則將數據包發送至信息提取模塊，否則直接還原數據包；

信息提取模塊，用于提取數據包的文件索引信息，并判斷文件索引信息的完整性；

判斷標記模塊，用于判斷所述文件索引信息中是否包含存在威脅的格式后綴名，如果存在，則標記數據流處置數據包為還原數據包，如果不存在，且文件索引信息完整，則標記數據流處置數據包為不還原數據包，如果不存在，且文件索引信息不完整，則獲取數據流中的下一個數據包，返回信息提取模塊。

所述的裝置中，所述的結構性文件是指rar壓縮包文件、gzip壓縮包文件或其他文件索引信息在頭部的文件。

所述的裝置中，所述存在威脅的后綴格式至少包括：com、exe或bat。

所述的裝置中，判斷所述文件索引信息是否完整方式為：判斷文件索引信息中是否存在結束標志。

本發明的方法，通過分析結構性文件的索引信息，判斷是否需要對數據包進行還原，若文件索引信息中包含的文件名后綴為有威脅的格式，則還原數據包，如果不包含，則不對這個數據包進行還原、解包和檢測。本發明的方法，只檢測具有潛在性威脅的數據，降低了系統的資源占用，增加了檢測速度，進而為網絡檢測分擔了一部分壓力。

本發明公開了一種基于結構性文件索引信息的網絡檢測方法及系統，所述方法首先獲取網絡數據包，并獲取數據包中的文件索引信息，通過文件索引信息中的文件名列表信息，判斷是否包含有威脅的文件格式，如果包含，則標記數據流處置數據包表示為還原數據包，否則判斷文件索引信息是否完整，如果完整，則標記數據流處置數據包標識為不還原數據包，如果不完整，則繼續獲取下一數據包的文件索引信息進行判斷。本發明的方法主要針對壓縮數據包或索引文件信息在數據包頭部的結構性文件。對于不存在威脅的壓縮包類文件系統將不進行還原，降低了系統資源的占用，增加了檢測速度。

附圖說明

為了更清楚地說明本發明或現有技術中的技術方案，下面將對實施例或現有技術描述中所需要使用的附圖作簡單地介紹，顯而易見地，下面描述中的附圖僅僅是本發明中記載的一些實施例，對于本領域普通技術人員來講，在不付出創造性勞動的前提下，還可以根據這些附圖獲得其他的附圖。

圖1為一種基于結構性文件索引信息的網絡檢測方法流程圖；