[发明专利]网络数据的安全检测方法和安全检测服务器

摘要

本发明提供了一种网络数据的安全检测方法和安全检测服务器。其中，网络数据的安全检测方法包括抓取网络中传输的数据包；对数据包进行组包以还原传输控制协议TCP连接数据，识别TCP连接数据使用的应用层协议；使用与应用层协议对应的安全扫描模块对TCP连接数据进行安全扫描。利用本发明的技术方案，抓取数据包并进行组包后，根据数据包对应的应用层协议进行数据的安全监测，在重组的应用层协议的数据基础上进行协议分析，针对性强，可以快速有效地识别网络攻击，提高了网络安全性。

主权项

一种网络数据的安全检测方法，包括：抓取网络中传输的数据包；对所述数据包进行组包以还原传输控制协议TCP连接数据，识别所述TCP连接数据使用的应用层协议；使用与所述应用层协议对应的安全扫描模块对所述TCP连接数据进行安全扫描，其包括使用文件传输协议FTP扫描模块、简单邮件传输协议SMTP扫描模块、邮局协议的第3个版本POP3扫描模块、超文本传输协议HTTP扫描模块、简单网络管理协议SNMP扫描模块、网络新闻传输协议NNTP扫描模块、域名系统DNS解析请求扫描模块对各自对应的数据包进行安全扫描；从所述TCP连接数据中提取出文件，根据所述文件的类型确定对应的虚拟检测环境；在所述虚拟检测环境下运行或打开所述文件，并监控所述虚拟检测环境的运行状态，生成运行状态日志，所述运行状态日志中记录有所述虚拟检测环境的内存变化情况、注册表修改情况、进程变化情况、网络连接情况；对所述运行状态日志进行分析，得到所述文件的动态行为安全分析结果；对所述运行状态日志进行分析包括：对所述运行状态日志中所述文件触发的各项操作行为按照预先设置的权重进行加权累加；判断加权累加值是否大于预设值，若是，确定所述文件为恶意文件。