技術領域

本發明涉及通信領域，具體涉及一種病毒檢測方法及系統。

背景技術

如今，網絡技術的飛速發展使得互聯網絡在國民經濟生產和人們日常生活中所發揮的作用越來越重要，與此同時，入侵計算機網絡和計算機系統等攻擊行為不可避免地變得越來越多，而且動用的手段也越來越復雜和智能。鑒于此，網絡安全問題越來越受到各個國家和學者們的高度重視,也逐漸成為了各科研院所和機構的研究熱點。

網絡安全是一門涉及計算機、通信以及數學等各領域的綜合學科。最初為了防范各種網絡威脅，傳統的網絡安全技術以防護為主,如應用較多的防火墻、身份認證以及數據加密等靜態安全防護技術。但是，當今的發展趨勢是網絡規模迅速擴大化，同時網絡病毒明顯呈現復雜化的傾向，傳統的安全技術越來越難以滿足需求，此時入侵檢測技術適時出現了。

常見的檢測病毒的方法有三種：

(1)終端制造商平臺安全措施。有些病毒就是利用終端操作系統的漏洞進行攻擊，所以終端制造商應該努力完善操作系統的內核代碼，堵塞安全漏洞。該方法需要大量的人力和物力來填補手機操作系統的漏洞，而且開發周期長，產生效果比較慢。除此之外，因為開發者會不停地發布大量的操作系統補丁，這樣會使用戶的操作系統運行越來越慢，用戶體驗會下降很多。

(2)運營商的安全措施。運營商在核心網關或者在其旁路對病毒檢測是非常重要和便捷的途徑。運營商可以通過在網關處安裝防火墻或者對其旁路進行病毒監測，對經過網關的所有數據包進行檢測，防止病毒的擴散。

(3)用戶的安全措施。用戶為了自己的切身利益，自身要積極的防范病毒。用戶應該使用正版操作系統、安裝合適的殺毒軟件、要謹慎下載軟件等措施來防范病毒。該方法可以有效的防范病毒，但是其缺點也很明顯，主要有兩點：第一殺毒軟件會占大量的系統資源，導致終端運行效率變慢；第二，該方法需要用戶的參與，防范病毒的效果取決于用戶。

針對以上三方面的防范措施，運營商在網絡側進行病毒檢測，有見效快，對終端平臺無要求，只需要在規則庫中添加新的病毒特征就可以有效的防范新出現的病毒，而且不用大量的普通用戶參與，是非常好的防范病毒的方法。運營商可以在網絡入侵檢測系統的架構上實現該病毒檢測的方案，及時檢測出網絡中的病毒，有效防范病毒的傳播。

近年來隨著入侵檢測技術的進步,入侵檢測系統(Intrusion?detection?system，簡稱為IDS)得到了長足的發展。目前，入侵檢測系統的主流算法為多模式匹配算法，因為多模式匹配算法掃描一遍文本串就可以處理多個模式的匹配，在規則數量很大時檢測效率很高，多模式匹配算法的時間復雜度較低，大量的研究人員開始專研多模式匹配算法，提出了很多種多模式匹配算法。但是，當前的多模式匹配算法，匹配結果只是告訴人們匹配上哪條病毒特征，而對于一條病毒含有多條病毒特征的情況下，并不能告訴人們是否匹配成功某條病毒。

發明內容

本發明需要解決的技術問題是提供一種病毒檢測方法及系統，處理一條病毒含有多條病毒特征的情況，能夠更高效地檢測出病毒。

為了解決上述技術問題，本發明提供了一種病毒檢測方法，應用于網絡側，包括：

創建病毒特征庫，所述病毒特征庫中的病毒特征和病毒信息按照如下關系記錄：一個病毒信息包含一個或多個病毒特征，每個病毒特征對應一個或多個病毒信息；

將采集到的網絡數據包重組解析后，采用多模式匹配算法與所述病毒特征庫中的病毒特征進行匹配，當匹配到一條病毒特征時，結合已匹配到的病毒特征，判斷是否可以組成一條或多條完整的病毒信息，如果可以，則病毒信息匹配成功，否則，等待下次匹配到新的病毒特征后繼續判斷。

進一步地，所述創建病毒特征庫，所述病毒特征庫中的病毒特征和病毒信息按照如下關系記錄，包括：

采用兩個結構體來記錄病毒特征和病毒信息，所述病毒特征的結構體包括四個域，分別用于表示病毒特征的唯一標識、病毒特征的特征值、指向所有包含此條病毒特征的病毒信息的指針以及指向下一個病毒特征結點的指針；所述病毒信息的結構體包括3個域，分別用于表示病毒的唯一標識、病毒包含的病毒特征數和指向下一個病毒信息結點的指針；

其中，每個病毒特征會形成一個病毒特征結點，每個病毒信息會形成一個病毒信息結點。

進一步地，當匹配到一條病毒特征時，所述方法還包括：

判斷該病毒特征是否已被保存過，如果已被保存過，則不保存該匹配到的病毒特征，如果沒有被保存過，則保存該匹配到的病毒特征。

進一步地，在病毒信息匹配成功后，所述方法還包括：