[发明专利]抗特征压界的数据包检测方法及装置

说明书

技术领域

本发明涉及网络安全检测领域，特别涉及一种抗特征压界的数据包检测方法及装置。

背景技术

网络安全检测领域中，特征码检测是目前主流的恶意代码检测技术，通过从以往恶意代码中提取的具有普适性的特征码来检测可疑代码，以达到初步判断该可疑代码是否属于恶意代码。特征码检测技术在检测数据包过程中，可能遇到的问题是单一特征码被包含在多个数据包中，导致检测不出该特征码，从而将一段恶意代码误判为安全代码，发生误判。

发明内容

本发明提供了一种抗特征压界的数据包检测方法及装置，解决了传统单一特征码被包含在多个数据包中，从而发生误判的情况。

一种抗特征压界的数据包检测方法，包括：

将传统特征码拆分，形成特征码组；

将特征码组中的特征与排序后的数据包内容顺序匹配，若任一特征匹配成功，则确定数据包为恶意数据包，否则为安全数据包。

所述的方法中，所述的特征码组中特征码按照传统特征码顺序排列。

一种抗特征压界的数据包检测装置，包括：

存储模块，用于存储将传统特征码拆分，形成的特征码组；

匹配模块，用于将特征码组中的特征与排序后的数据包内容顺序匹配，若任一特征匹配成功，则确定数据包为恶意数据包，否则为安全数据包。

所述的装置中，所述的特征码组中特征码按照传统特征码顺序排列。

本发明提供一种抗特征压界的数据包检测方法及装置，在传统特征码检测技术基础上，将传统特征码拆分，形成特征码组，将特征码组中的特征与排序后的数据包内容顺序匹配，若任一特征匹配成功，则确定数据包为恶意数据包，否则为安全数据包。以特征码组来检测数据包，有效避免了因传统单一特征码在一个数据包中出界的情况，增加数据包中疑似恶意代码与特征码匹配的几率。

附图说明

为了更清楚地说明本发明或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明中记载的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1为抗特征压界的数据包检测方法流程图；

图2为抗特征压界的数据包检测装置结构图；

图3为传统数据包检测技术示意图；

图4为抗特征压界的数据包检测技术示意图。

具体实施方式

为了使本技术领域的人员更好地理解本发明实施例中的技术方案，并使本发明的上述目的、特征和优点能够更加明显易懂，下面结合附图对本发明中技术方案作进一步详细的说明。

本发明提供了一种抗特征压界的数据包检测方法及装置，解决了传统单一特征码被包含在多个数据包中，从而发生误判的情况。

一种抗特征压界的数据包检测方法，如图1所示，包括：

S101：将传统特征码拆分，形成特征码组；

S102：将特征码组中的特征与排序后的数据包内容顺序匹配，若任一特征匹配成功，则确定数据包为恶意数据包，否则为安全数据包。

所述的方法中，所述的特征码组中特征码按照传统特征码顺序排列。

一种抗特征压界的数据包检测装置，如图2所示，包括：

存储模块201，用于存储将传统特征码拆分，形成的特征码组；

匹配模块202，用于将特征码组中的特征与排序后的数据包内容顺序匹配，若任一特征匹配成功，则确定数据包为恶意数据包，否则为安全数据包。

所述的装置中，所述的特征码组中特征码按照传统特征码顺序排列。

数据包的特征码检测过程是在数据包顺序重新排列后进行的，为说明本发明的技术方案，以两个特征码为一组的特征码组来说明抗特征压界的数据包检测技术，但不限于其他特征码组的方式。

如图3所示，为传统数据包检测技术示意图：传统特征码可能被包含在连续的多个数据包中，因此根据已有的传统特征码检测技术来匹配网络数据包时，如果传统特征码301分别被包含在数据包a302、数据包b303中，则在检测时由于无法检测出完整的传统特征码301，得出该系列数据包中不含特征码的结果。这种特征码在不同数据包中的情况，称为特征压界。