[发明专利]一种未知病毒检测方法

说明书

技术领域

本发明涉及网络数据的未知病毒的检测技术，适用于非单向流量网络，病毒快速变化的情况下及时发现特定类型的未知病毒。

背景技术

当前的计算机应用环境大多离不开网络，而且广大网民花费大量时间在互联网上冲浪。由于普通计算机使用用户不具备专业的网络安全知识，缺乏对自身的保护，无法识别来自网络的威胁。

病毒编写者和传播者正是利用这一情况，通过简单更改文件扩展名来欺骗计算机的资源管理器和浏览器，让其误以为更改文件扩展名后的病毒是其他无害文件，从而诱骗用户下载执行；同时，通过快速发布病毒的方式，逃避杀毒软件的查杀。

通过上述的手段，导致大量计算机用户感染病毒，同时当前的杀毒软件更新的速度无法跟上当前病毒的更新速度，无法有效面对此类威胁。

为了解析方便，大部分类型的文件一般都有相对固定的文件头格式，这样我们可以通过分析文件头内容，就能识别大多数的文件格式；在计算机上存储时，一般使用文件扩展名来标识文件类型，这样计算机的资源管理器可以不需解析文件内容仅通过文件名中的文件扩展名来快速识别其文件类型。

在网络常见的FTP和HTTP协议中，通常使用下述的通讯流程来访问网络文件：用户计算机中的客户端向服务器发送URL请求，请求中包含文件所在的目录和文件名；服务器接收到请求后，将对应的文件反馈给客户端。用户在客户端所在的计算机上浏览、执行。

发明内容

本发明针对文件格式化存储的特点和网络文件传输的特点，通过捕获同一连接的双向网络流量，分别提取客户端向服务器发送请求中的文件扩展名，和分析服务器向客户端应答数据中的文件头内容：对比两者的文件类型是否相匹配。如果匹配，认为正常；否则认为异常，可以发送报警，甚至可以采取进一步的分析手段确认威胁的具体类型。这样可以在常规反病毒软件无法有效应对未知病毒的情况下，阻断这类利用伪装传播病毒的途径。

具体而言，本发明提供了一种未知病毒检测方法，包括：

S01：分析的已知文件类型的样本文件；

S02：提取各种文件类型的文件头特征；

S03：建立文件头特征和文件扩展名的对应关系表；

以上操作为预先操作，然后下面步骤才是本发明的检测方法：

S04：捕获网络数据包；

S05：对捕获的数据报文进行协议解码，分离出FTP和HTTP协议数据报文，之后针对两种协议分别进行处理；

S06：分析数据报文的传输方向，发现传输方向为服务器向客户端传送数据，则进入S10；

S07：分离出发送URL的请求数据报文；

S08：协议解码，提取请求中的URL中包含的文件名；

S09：判断文件名是否包含有效扩展名，如果没有包含，则进入S15，结束当前连接的检测；否则记录文件扩展名，并进入S04，获取当前连接的下一个包；

S10：检查是否当前连接已经关联了有效文件扩展名，如果没有关联到有效文件扩展名，则进入S04，获取当前连接的下一个包；

S11：协议解码，定位响应数据中文件内容起始的位置；

S12：针对文件起始内容进行搜索，检查是否能与已知文件头特征相匹配，如果不能，则进入S15，结束当前连接的检测；

S13：根据文件头特征对应的文件类型，从文件扩展名——文件头特征映射表中查找对应文件扩展名，保存为扩展名集合2；

S14：比较扩展名1和扩展名集合2中各个扩展名，如果有任何一个都不一致，则报告发现未知威胁进入；

S15：结束当前连接的检测。

本发明的有益效果是：本发明针对文件格式化存储的特点和网络文件传输的特点，通过捕获同一连接的双向网络流量，分别提取客户端向服务器发送请求中的文件扩展名，和分析服务器向客户端应答数据中的文件头内容：对比两者的文件类型是否相匹配。如果匹配，认为正常；否则认为异常。这样在常规反病毒软件无法检测最新病毒时，能够有效对抗病毒更改扩展名的伪装，阻止潜在的威胁。。

附图说明

为了更清楚地说明本发明或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明中记载的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1为本发明建立文件扩展名列表的方法流程图；

图2为本发明未知病毒检测方法流程图。

具体实施方式