[发明专利]一种面向IPv4和IPv6的网络病毒检测方法及系统

说明书

技术领域

本发明涉及网络安全检测管理领域，特别涉及一种面向IPv4和IPv6的网络病毒检测方法及系统。

背景技术

随着互联网的迅猛发展，由于IP网络环境的开放性以及IPv4在设计师缺乏对安全问题的周详考虑，传统的IPv4暴露出越来越多的缺点，目前IP网络安全形势严峻。病毒的泛滥，恶意代码攻击，黑客攻击使得整个网络越来越不安全，为此IEIF提出了新的互联网地址解决方案IPv6，经过几年的发展，IPv6技术已经日渐成熟，称为下一代互联网的标准。

作为下一代网络层协议标准，IPv6势必在今后得到广泛的推广和应用，在这种情况下，如何实现面向IPv6的安全技术成为当前的问题。

发明内容

本发明提供一种面向IPv4和IPv6的网络病毒检测方法及系统，有效决绝了现行IPv4向IPv6迁移过程中网络安全难以监控的问题。

一种面向IPv4和IPv6的网络病毒检测方法，包括：

捕获网络数据包；

进行网络层协议识别，判断数据包IP地址协议，若数据包使用IPv4协议，则进行IPv4网络层协议识别，若数据包使用IPv6协议，则进行IPv6网络层协议识别；

根据数据包所使用的协议类型进行IP协议解码，获取数据包的TCP四元组，若数据包使用IPv4协议，则使用IPv4IP层解码，若数据包使用IPv6协议，则使用IPv6IP层解码；所述的TCP四元组为数据包的源地址、目的地址、源端口及目的端口。

将具有相同TCP四元组的数据包重组，使离散的数据包汇聚成数据流；

对各数据流的应用层协议进行识别，识别出发生文件传输行为的应用层协议；

根据应用层协议识别结果，将数据流中数据包顺序重新排列，还原为文件的正确排列顺序；

对数据流进行协议解析，根据协议栈，判断数据流所使用的协议类型，若为IPv4协议，则使用IPv4协议解析，若为IPv6协议，则使用IPv6协议解析；

根据协议解析结果，对包含文件传输行为的数据流还原为文件，对非文件传输行为的数据流不进行处理；

根据数据包的内容类型，将数据包发送到预设的对应检测引擎进行网络病毒检测，并生成检测报告；

将检测报告发送给外部处理程序。

所述的方法中，所述的网络层协议识别至少包括TCP/IP、ARP和RARP协议的识别。

所述的方法中，所述数据包的内容类型至少包括：文件和非文件内容的数据流。

一种面向IPv4和IPv6的网络病毒检测系统，包括：

捕包模块，用于捕获网络数据包；

网络层识别模块，用于进行网络层协议识别，判断数据包IP地址协议，若数据包使用IPv4协议，则进行IPv4网络层协议识别，若数据包使用IPv6协议，则进行IPv6网络层协议识别；

IP层识别模块，用于根据数据包所使用的协议类型进行IP协议解码，获取数据包的TCP四元组，若数据包使用IPv4协议，则使用IPv4IP层解码，若数据包使用IPv6协议，则使用IPv6IP层解码；

流汇聚模块，用于将具有相同TCP四元组的数据包重组，使离散的数据包汇聚成数据流；

应用协议识别模块，用于对各数据流的应用层协议进行识别，识别出发生文件传输行为的应用层协议；

流还原模块，用于根据应用层协议识别结果，将数据流中数据包顺序重新排列，还原为文件的正确排列顺序；

协议解析模块，用于对数据流进行协议解析，根据协议栈，判断数据流所使用协议类型，若为IPv4协议，则使用IPv4协议解析，若为IPv6协议，则使用IPv6协议解析；

文件还原模块，用于根据协议解析结果，对包含文件传输行为的数据流还原为文件，对非文件传输行为的数据流不进行处理；

检测引擎模块，用于根据数据包的内容类型，将数据包发送到预设的对应检测引擎进行网络病毒检测，并生成检测报告；

响应接口模块，用于将检测报告发送给外部处理程序。

所述的系统中，所述的网络层识别模块对网络层协议的识别至少包括TCP/IP、ARP和RARP协议的识别。

所述的系统中，所述数据包的内容类型至少包括：文件和非文件内容的数据流。

本发明可以根据数据传输所使用的IP地址解析协议的不同，分别进行协议解析，能够有效监控网内的网络安全威胁事件，提供面向监控全网的安全态势报告。