[发明专利]网络数据的安全检测方法和安全检测服务器

说明书

技术领域

本发明涉及互联网安全领域，特别是涉及一种网络数据的安全检测方法和安全检测服务器。

背景技术

恶意程序是一个概括性的术语，指任何故意创建用来执行未经授权并通常是有害行为的软件程序。计算机病毒、后门程序、键盘记录器、密码盗取者、Word和Excel宏病毒、引导区病毒、脚本病毒（batch,windows shell,java等）、木马、犯罪软件、间谍软件和广告软件等等，都是一些可以称之为恶意程序的例子。

传统的恶意程序防杀主要依赖于特征库匹配或者行为分析。特征库匹配的识别方式为：病毒查杀引擎读取本地文件并与特征库中的所有特征码“关键词”进行匹配，如果发现文件程序代码被命中，就可以判定该文件程序为恶意程序。行为分析的识别方式为：程序的行为作为判断恶意程序的依据，其中衍生出在本地使用特征库、在本地设置行为阈值以及在本地启发式杀毒的方式来判别、拦截恶意程序的行为。

本地主动防御很容易对恶意程序造成免杀，例如，通过对恶意程序加壳或修改该恶意程序的特征码即可以避开本地主动防御的特征库防杀模式；通过针对恶意程序的行为，减少或替换恶意程序执行的相关行为从而避免触发行为阈值防杀模式的启动上限。另外，本地主动防御还是要依赖于本地数据库的及时更新。

基于以上问题，一些公司提出了“云查杀技术”，即将为数众多的客户端电脑当成一个病毒采集器，由他们将日常遭遇到的可疑文件上传至服务器端，这样服务器便能通过对上传样本进行分析，实现新病毒的快速响应。

然而，目前的“云查杀技术”也仅仅能够将下载下来的文件进行扫描处理，而对于那些需要耗费大量网络资源下载的病毒或者木马文件则需要下载命令执行完毕后才有可能发现并删除。而对于正在网络中正在传输的内容来说却是无能为力。

发明内容

鉴于上述问题，提出了本发明以便提供一种克服上述问题或者至少部分地解决上述问题的网络数据的安全检测服务器和相应的网络数据的安全检测方法。

基于本发明的一个目的，提供了一种网络数据的安全检测方法。该网络数据的安全检测方法包括：抓取网络中传输的数据包；对数据包进行组包以还原传输控制协议TCP连接数据，识别TCP连接数据使用的应用层协议；使用与应用层协议对应的安全扫描模块对TCP连接数据进行安全扫描。

可选地，抓取网络中传输的数据包包括：利用交换机的网络旁路复制网络中传输的数据包并送入安全检测服务器的网卡。

可选地，对数据包进行组包以还原传输控制协议TCP连接数据包括：将数据包写入缓存文件；对写入缓存文件的数据包进行重组，还原为TCP连接数据。

可选地，对写入缓存文件的数据包进行重组包括：解析数据包中TCP报头中的序号和确认序号；按照序号和确认序号对数据包按照TCP的传输顺序进行排序。

可选地，识别TCP连接数据使用的应用层协议包括：按照重组后的数据包的数据特征和端口特征判断数据包使用的应用层协议。

可选地，数据包使用的应用层协议包括：文件传输协议FTP、简单邮件传输协议SMTP、邮局协议的第3个版本POP3、超文本传输协议HTTP、简单网络管理协议SNMP、网络新闻传输协议NNTP、域名系统DNS解析请求。

可选地，使用与应用层协议对应的安全扫描模块对TCP连接数据进行安全扫描之后还包括：从TCP连接数据中提取出文件，并对文件进行云安全分析和动态行为安全分析。

可选地，对文件进行云安全分析包括：计算文件的散列值，并将散列值与云安全服务器中的散列值危险列表比对；和/或提取文件的统一资源定位符URL，并将URL与云安全服务器中的URL危险列表比对。

可选地，将URL与云安全服务器中的URL危险列表比对包括：提取URL对应的网址密文；将网址密文与云安全服务器数据库中存储的密文进行匹配，数据库中存储的密文包括被标记为恶意网址的密文；若网址密文与云安全服务器数据库中存储的密文存在匹配，确定URL存在恶意内容。

可选地，对文件进行动态行为安全分析包括：根据文件的类型确定对应的虚拟检测环境；在虚拟检测环境下运行或打开文件，并监控虚拟检测环境的运行状态，生成运行状态日志；对运行状态日志进行分析，得到文件的动态行为安全分析结果。

可选地，对运行状态日志进行分析包括：对运行状态日志中文件触发的各项操作操作行为按照预先设置的权重进行加权累加；判断加权累加值是否大于预设值，若是，确定文件为恶意文件。