[发明专利]一种基于结构性文件索引信息的网络检测方法及装置

说明书

技术领域

本发明涉及计算机网络安全技术领域，特别涉及一种基于结构性文件索引信息的网络检测方法及装置。

背景技术

现有的网络检测技术，一般基于流和包的检测。其中网络病毒传统的流检测方法是，解析网络数据包，将相关网络数据包还原成完整的文件，在进行检测。网络上传输文件多为结构性文件，例如压缩包类型文件，传统方法通常是将还原的结构性文件进行解压、扫描，从而判定此网络数据流的威胁性。

而在现实工作中，并非所有的数据流都含有威胁文件，对所有的数据流信息都进行还原并检测，会给系统带来极大的负担。因此如果结构性文件中存储的文件不是威胁格式文件，则没有必要对结构性文件进行还原、解压和检测。传统方法不仅浪费系统资源又拖慢系统的检测速度。

发明内容

本发明提供了一种基于结构性文件索引信息的网络检测方法，仅针对含有威胁文件格式的数据流进行还原，解决了传统方法还原全部数据流，影响检测速度的问题。

一种基于结构性文件索引信息的网络检测方法，包括：

步骤1：获取网络数据流中的数据包；

步骤2：判断所述数据包是否为结构性文件，如果是，则执行步骤3，否则直接还原数据包；

步骤3：提取数据包的文件索引信息；

步骤4：判断所述文件索引信息中是否包含存在威胁的格式后缀名，如果存在，则标记数据流处置数据包为还原数据包，否则执行步骤5；

步骤5：判断所述文件索引信息是否完整，如果是，则执行步骤6，否则执行步骤7；

步骤6：标记数据流处置数据包为不还原数据包；

步骤7：获取数据流中的下一个数据包，返回步骤3。

所述的方法中，所述的结构性文件是指rar压缩包文件、gzip压缩包文件或其他文件索引信息在头部的文件。

所述的方法中，所述存在威胁的后缀格式至少包括：com、exe或bat。

所述的方法中，判断所述文件索引信息是否完整方式为：判断文件索引信息中是否存在结束标志。

一种基于结构性文件索引信息的网络检测装置，包括：

数据包获取模块，用于获取网络数据流中的数据包；

判断模块，用于判断所述数据包是否为结构性文件，如果是，则将数据包发送至信息提取模块，否则直接还原数据包；

信息提取模块，用于提取数据包的文件索引信息，并判断文件索引信息的完整性；

判断标记模块，用于判断所述文件索引信息中是否包含存在威胁的格式后缀名，如果存在，则标记数据流处置数据包为还原数据包，如果不存在，且文件索引信息完整，则标记数据流处置数据包为不还原数据包，如果不存在，且文件索引信息不完整，则获取数据流中的下一个数据包，返回信息提取模块。

所述的装置中，所述的结构性文件是指rar压缩包文件、gzip压缩包文件或其他文件索引信息在头部的文件。

所述的装置中，所述存在威胁的后缀格式至少包括：com、exe或bat。

所述的装置中，判断所述文件索引信息是否完整方式为：判断文件索引信息中是否存在结束标志。

本发明的方法，通过分析结构性文件的索引信息，判断是否需要对数据包进行还原，若文件索引信息中包含的文件名后缀为有威胁的格式，则还原数据包，如果不包含，则不对这个数据包进行还原、解包和检测。本发明的方法，只检测具有潜在性威胁的数据，降低了系统的资源占用，增加了检测速度，进而为网络检测分担了一部分压力。

本发明公开了一种基于结构性文件索引信息的网络检测方法及系统，所述方法首先获取网络数据包，并获取数据包中的文件索引信息，通过文件索引信息中的文件名列表信息，判断是否包含有威胁的文件格式，如果包含，则标记数据流处置数据包表示为还原数据包，否则判断文件索引信息是否完整，如果完整，则标记数据流处置数据包标识为不还原数据包，如果不完整，则继续获取下一数据包的文件索引信息进行判断。本发明的方法主要针对压缩数据包或索引文件信息在数据包头部的结构性文件。对于不存在威胁的压缩包类文件系统将不进行还原，降低了系统资源的占用，增加了检测速度。

附图说明

为了更清楚地说明本发明或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明中记载的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1为一种基于结构性文件索引信息的网络检测方法流程图；