[发明专利]一种多态蠕虫自动检测方法无效
| 申请号: | 201010600168.8 | 申请日: | 2010-12-22 |
| 公开(公告)号: | CN102111308A | 公开(公告)日: | 2011-06-29 |
| 发明(设计)人: | 黄勇;张小松;鲍厚兵;刘飞 | 申请(专利权)人: | 成都天融信网络安全技术有限公司 |
| 主分类号: | H04L12/26 | 分类号: | H04L12/26;H04L29/06 |
| 代理公司: | 暂无信息 | 代理人: | 暂无信息 |
| 地址: | 610000 四川省成都市*** | 国省代码: | 四川;51 |
| 权利要求书: | 查看更多 | 说明书: | 查看更多 |
| 摘要: | 本发明公开了一种多态蠕虫自检测方法,包括以下步骤:①捕获整个进出网络的数据包;②对所捕获的数据包按照响应的协议进行分析并提数据包中的负载,然后利用各种协议的层次和标准对数据包负载进行解码、重组和命令解析处理;③对步骤②处理后的含有负载的数据包进行过滤处理;④判断步骤③中处理得到的数据包中是否含有Nop Sled来判断数据包是否为蠕虫数据包:对应一段长度为n的字节串,从每个位置开始反汇编后的指令串都是有效的,则认为含有Nop Sled,判断该该数据包为蠕虫数据包;⑤对检测到的蠕虫数据包进行响应。 | ||
| 搜索关键词: | 一种 蠕虫 自动检测 方法 | ||
【主权项】:
一种多态蠕虫自检测方法,包括以下步骤:①捕获整个进出网络的数据包;②对所捕获的数据包按照响应的协议进行分析并提数据包中的负载,然后利用各种协议的层次和标准对数据包负载进行解码、重组和命令解析处理;③对步骤②处理后的含有负载的数据包进行过滤处理:a、如果数据包负载本身能够和已知的某种恶意代码的特征码相匹配,直接对其进行阻断和报警处理;b、利用多态蠕虫数据包关键代码中不能含有空字符的原理,在数据包负载中运用模式匹配算法查找两个空字符之间的距离,如果该距离小于给定的阈值,该处不可能为蠕虫的关键代码,从而无须继续对该处进行判断,对数据包负载中每个距离大于给定的阈值的字节串,进入步骤④处理;④判断步骤③中处理得到的数据包中是否含有Nop Sled来判断数据包是否为蠕虫数据包:对应一段长度为n的字节串,从每个位置开始反汇编后的指令串都是有效的,则认为含有Nop Sled,判断该该数据包为蠕虫数据包;⑤对检测到的蠕虫数据包进行响应:提取出数据包中的源IP地址、源端口号,目的IP地址信息,并在防火墙中添加规则过滤源IP地址主机发出的该源端口号的数据包,同时也过滤目的IP地址主机发出的该端口的数据包。
下载完整专利技术内容需要扣除积分,VIP会员可以免费下载。
该专利技术资料仅供研究查看技术是否侵权等信息,商用须获得专利权人授权。该专利全部权利属于成都天融信网络安全技术有限公司,未经成都天融信网络安全技术有限公司许可,擅自商用是侵权行为。如果您想购买此专利、获得商业授权和技术合作,请联系【客服】
本文链接:http://www.vipzhuanli.com/patent/201010600168.8/,转载请声明来源钻瓜专利网。
