專利名稱:一種面向IPv4和IPv6的網絡病毒檢測方法及系統(tǒng)的制作方法
技術領域:
本發(fā)明涉及網絡安全檢測管理領域��,特別涉及一種面向IPv4和IPv6的網絡病毒檢測方法及系統(tǒng)��。
背景技術:
隨著互聯網的迅猛發(fā)展����,由于IP網絡環(huán)境的開放性以及IPv4在設計師缺乏對安全問題的周詳考慮����,傳統(tǒng)的IPv4暴露出越來越多的缺點,目前IP網絡安全形勢嚴峻���。病毒的泛濫�����,惡意代碼攻擊�����,黑客攻擊使得整個網絡越來越不安全��,為此IEIF提出了新的互聯網地址解決方案IPv6����,經過幾年的發(fā)展,IPv6技術已經日漸成熟�����,稱為下一代互聯網的標準����。作為下一代網絡層協議標準���,IPv6勢必在今后得到廣泛的推廣和應用��,在這種情況下���,如何實現面向IPv6的安全技術成為當前的問題。
發(fā)明內容
·
本發(fā)明提供一種面向IPv4和IPv6的網絡病毒檢測方法及系統(tǒng)�,有效決絕了現行IPv4向IPv6遷移過程中網絡安全難以監(jiān)控的問題。一種面向IPv4和IPv6的網絡病毒檢測方法�,包括:
捕獲網絡數據包��;
進行網絡層協議識別����,判斷數據包IP地址協議�,若數據包使用IPv4協議,則進行IPv4網絡層協議識別��,若數據包使用IPv6協議��,則進行IPv6網絡層協議識別���;
根據數據包所使用的協議類型進行IP協議解碼�,獲取數據包的TCP四元組�����,若數據包使用IPv4協議����,則使用IPv4IP層解碼,若數據包使用IPv6協議��,則使用IPv6IP層解碼���;所述的TCP四元組為數據包的源地址����、目的地址、源端口及目的端口�����。將具有相同TCP四元組的數據包重組�����,使離散的數據包匯聚成數據流��;
對各數據流的應用層協議進行識別��,識別出發(fā)生文件傳輸行為的應用層協議��;
根據應用層協議識別結果�����,將數據流中數據包順序重新排列��,還原為文件的正確排列順序���;
對數據流進行協議解析�,根據協議棧����,判斷數據流所使用的協議類型,若為IPv4協議�,則使用IPv4協議解析,若為IPv6協議�,則使用IPv6協議解析;
根據協議解析結果����,對包含文件傳輸行為的數據流還原為文件,對非文件傳輸行為的數據流不進行處理�����;
根據數據包的內容類型�,將數據包發(fā)送到預設的對應檢測引擎進行網絡病毒檢測,并生成檢測報告���;
將檢測報告發(fā)送給外部處理程序�����。所述的方法中����,所述的網絡層協議識別至少包括TCP/IP、ARP和RARP協議的識別����。所述的方法中,所述數據包的內容類型至少包括:文件和非文件內容的數據流���。
一種面向IPv4和IPv6的網絡病毒檢測系統(tǒng)��,包括:
捕包模塊�����,用于捕獲網絡數據包�����;
網絡層識別模塊�,用于進行網絡層協議識別�����,判斷數據包IP地址協議�,若數據包使用IPv4協議,則進行IPv4網絡層協議識別�����,若數據包使用IPv6協議�����,則進行IPv6網絡層協議識別�;
IP層識別模塊,用于根據數據包所使用的協議類型進行IP協議解碼����,獲取數據包的TCP四元組,若數據包使用IPv4協議����,則使用IPv4IP層解碼,若數據包使用IPv6協議�,則使用IPv6IP層解碼;
流匯聚模塊�����,用于將具有相同TCP四元組的數據包重組,使離散的數據包匯聚成數據
流���;
應用協議識別模塊�����,用于對各數據流的應用層協議進行識別��,識別出發(fā)生文件傳輸行為的應用層協議�;
流還原模塊�,用于根據應用層協議識別結果,將數據流中數據包順序重新排列�,還原為文件的正確排列順序;
協議解析模塊���,用于對數據流進行協議解析�����,根據協議棧��,判斷數據流所使用協議類型�����,若為IPv4協議���,則使用IPv4協議解析,若為IPv6協議��,則使用IPv6協議解析�����;
文件還原模塊���,用于根據協議解析結果��,對包含文件傳輸行為的數據流還原為文件��,對非文件傳輸行為的數據流不 進行處理��;
檢測引擎模塊��,用于根據數據包的內容類型�����,將數據包發(fā)送到預設的對應檢測引擎進行網絡病毒檢測����,并生成檢測報告;
響應接口模塊��,用于將檢測報告發(fā)送給外部處理程序�����。所述的系統(tǒng)中�����,所述的網絡層識別模塊對網絡層協議的識別至少包括TCP/IP���、ARP和RARP協議的識別��。所述的系統(tǒng)中�����,所述數據包的內容類型至少包括:文件和非文件內容的數據流���。本發(fā)明可以根據數據傳輸所使用的IP地址解析協議的不同�����,分別進行協議解析����,能夠有效監(jiān)控網內的網絡安全威脅事件���,提供面向監(jiān)控全網的安全態(tài)勢報告。本發(fā)明提供一種面向IPv4和IPv6的網絡病毒檢測方法及系統(tǒng)��,方法包括:捕獲網絡數據包�����;對使用IPv4協議或IPv6協議的數據包分別進行網絡層和IP層協議識別�;將具有相同TCP四元組的數據包重組;對數據流的應用層協議識別�����,將數據流中數據包順序重新排列���,還原為文件的正確排列順序��;對使用IPv4協議或IPv6協議的數據流進行協議解析��,跟據協議解析結果�,將包含文件傳輸行為的數據流還原為文件;將數據流發(fā)送到檢測引擎進行網絡病毒檢測����,并生成檢測報告;將檢測報告提供給外部處理程序�。本發(fā)明還提供了一種面向IPv4和IPv6的網絡病毒檢測系統(tǒng),通過本發(fā)明的方法及系統(tǒng)�,有效解決了現行IPv4向IPv6遷移過程中網絡安全難以監(jiān)控的問題,及時有效預防威脅蔓延�。
為了更清楚地說明本發(fā)明或現有技術中的技術方案,下面將對實施例或現有技術描述中所需要使用的附圖作簡單地介紹�,顯而易見地,下面描述中的附圖僅僅是本發(fā)明中記載的一些實施例��,對于本領域普通技術人員來講�,在不付出創(chuàng)造性勞動的前提下,還可以根據這些附圖獲得其他的附圖�����。圖1為一種面向IPv4和IPv6的網絡病毒檢測方法流程 圖2為一種面向IPv4和IPv6的網絡病毒檢測系統(tǒng)結構示意圖����。
具體實施例方式為了使本技術領域的人員更好地理解本發(fā)明實施例中的技術方案����,并使本發(fā)明的上述目的�����、特征和優(yōu)點能夠更加明顯易懂�,下面結合附圖對本發(fā)明中技術方案作進一步詳細的說明。本發(fā)明提供一種面向IPv4和IPv6的網絡病毒檢測方法及系統(tǒng)�,有效決絕了現行IPv4向IPv6遷移過程中網絡安全難以監(jiān)控的問題���。一種面向IPv4和IPv6的網絡病毒檢 測方法�,包括:
5101:捕獲網絡數據包��;
實現捕獲網絡數據包功能可以使用PCAP (packet capture library,抓包庫)捕包�����、零拷貝技術捕包��,以及專用網卡捕包等方式�,使用Pcap方式捕包�����,則系統(tǒng)的適應性比較好�����,但性能不高���;使用零拷貝技術捕包,具有較高的性能��;使用專用網卡捕包�,具有很高性能和穩(wěn)定性;本系統(tǒng)是通過修改網卡的驅動�����,將網絡數據以DMA的方式直接寫入到用戶空間�����,實現零拷貝獲取網絡數據��;
5102:進行網絡層協議識別,判斷數據包IP地址協議��,若數據包使用IPv4協議�����,則執(zhí)行S103����,若數據包使用IPv6協議,則執(zhí)行S104 ����;
5103:進行IPv4網絡層協議識別,并執(zhí)行S105 ����;
5104:進行IPv6網絡層協議識別��,并執(zhí)行S106 ����;
5105:使用IPv4IP層解碼,對數據包的IP協議解碼����,獲取數據包的TCP四元組���;
5106:使用IPv6IP層解碼,對數據包的IP協議解碼���,獲取數據包的TCP四元組���; 所述的TCP四元組為數據包的源地址、目的地址����、源端口及目的端口。S107:將具有相同TCP四元組的數據包重組����,使離散的數據包匯聚成數據流;
5108:對各數據流的應用層協議進行識別�,識別出發(fā)生文件傳輸行為的應用層協議;完成對各種可能發(fā)生文件傳輸的協議的識別�;
5109:根據應用層協議識別結果,將數據流中數據包順序重新排列�,還原為文件的正確排列順序;通過數據流中數據包的重新排列�����,將數據流重組為一個正確的、沒有冗余數據的數據流��;
5110:對數據流進行協議解析�����,根據協議棧����,判斷數據流所使用的協議類型,若為IPv4協議����,則執(zhí)行S111,若為IPv6協議����,則執(zhí)行SI 12 ;
5111:使用IPv4協議解析�����;
SI 12:使用IPv6協議解析��;
SI 13:根據協議解析結果�,對包含文件傳輸行為的數據流還原為文件,對非文件傳輸行為的數據流不作處理��;
S114:根據數據包的內容類型�����,將數據包發(fā)送到預設的對應檢測引擎進行網絡病毒檢測,并生成檢測報告���;
S115:將檢測報告發(fā)送給外部處理程序�。
所述的方法中�,所述的網絡層協議識別至少包括TCP/IP、ARP和RARP等協議的識別�����。所述的方法中����,所述數據包的內容類型至少包括:文件和非文件內容的數據流。本方法采用多檢測引擎的工作模式�����,針對不同類型的數據采用合適的檢測引擎,從而達到對網絡病毒的高效檢測�����,如行為檢測引擎直接對數據包進行檢測��,得到檢測結果��;HTTP的請求數據包�����,調用URL檢測引擎進行檢測�����,得到可疑URL記錄�����;對于不完整的文件�,等待還原的字節(jié)大小滿足要求之后,調用非完整數據流引擎���,送入非完整數據流檢測引擎進行檢測等�����。一種面向IPv4和IPv6的網絡病毒檢測系統(tǒng)��,包括:
捕包模塊201���,用于捕獲網絡數據包;
網絡層識別模塊202���,用于進行網絡層協議識別��,判斷數據包IP地址協議�,若數據包使用IPv4協議����,則進行IPv4網絡層協議識別,若數據包使用IPv6協議����,則進行IPv6網絡層協議識別;
IP層識別模塊203�,用于根據數據包所使用的協議類型進行IP協議解碼,獲取數據包的TCP四元組�����,若數據包使用IPv4協議,則使用IPV4IP層解碼��,若數據包使用IPv6協議����,則使用IPv6IP層解碼;
流匯聚模塊204�����,用于將具有相同TCP四元組的數據包重組��,使離散的數據包匯聚成數據流�;
應用協議識別模塊205,用于對數據流的應用層協議進行識別�����,識別出發(fā)生文件傳輸行為的應用層協議�����;
流還原模塊206��,用 于根據應用層協議識別結果,將數據流中數據包順序重新排列����,還原為文件的正確排列順序����;
協議解析模塊207,用于對數據流進行協議解析����,根據協議棧,判斷數據流所使用的協議類型�����,若為IPv4協議�����,則使用IPv4協議解析���,若為IPv6協議��,則使用IPv6協議解析���;文件還原模塊208�����,用于根據協議解析結果���,對包含文件傳輸行為的數據流還原為文件,對非文件傳輸行為的數據流不作處理�����;
檢測引擎模塊209����,用于根據數據包的內容類型,將數據包發(fā)送到預設的對應檢測引擎進行網絡病毒檢測���,并生成檢測報告�����;
響應接口模塊210���,用于將檢測報告發(fā)送給外部處理程序����;為后續(xù)外部程序提供處理接口。所述的系統(tǒng)中�,所述的網絡層識別模塊對網絡層協議的識別至少包括TCP/IP、ARP和RARP協議的識別�。所述的系統(tǒng)中,所述數據包的內容類型至少包括:文件和非文件內容的數據流����。本發(fā)明可以根據數據傳輸所使用的IP地址解析協議的不同�,分別進行協議解析,能夠有效監(jiān)控網內的網絡安全威脅事件���,提供面向監(jiān)控全網的安全態(tài)勢報告��。本發(fā)明提供一種面向IPv4和IPv6的網絡病毒檢測方法及系統(tǒng)�����,方法包括:捕獲網絡數據包��;對使用IPv4協議或IPv6協議的數據包分別進行網絡層和IP層協議識別��;將具有相同TCP四元組的數據包重組�;對數據流的應用層協議識別,將數據流中數據包順序重新排列��,還原為文件的正確排列順序�;對使用IPv4協議或IPv6協議的數據流進行協議解析,跟據協議解析結果�����,將包含文件傳輸行為的數據流還原為文件��;將數據流發(fā)送到檢測引擎進行網絡病毒檢測�����,并生成檢測報告����;將檢測報告提供給外部處理程序。本發(fā)明還提供了一種面向IPv4和IPv6的網絡病毒檢測系統(tǒng)����,通過本發(fā)明的方法及系統(tǒng),有效解決了現行IPv4向IPv6遷移過程中網絡安全難以監(jiān)控的問題��,及時有效預防威脅蔓延。本說明書中的各個實施例均采用遞進的方式描述�,各個實施例之間相同相似的部分互相參見即可,每個實施例重點說明的都是與其他實施例的不同之處���。尤其�,對于系統(tǒng)實施例而言���,由于其基本相似于方法實施例��,所以描述的比較簡單���,相關之處參見方法實施例的部分說明即可����。雖然通過實施例描繪了本發(fā)明,本領域普通技術人員知道����,本發(fā)明有許多變形和變化而不脫離本發(fā)明的精神,希望所附的權利要求包括這些變形和變化而不脫離本發(fā)明的精神���。`
權利要求
1.一種面向IPv4和IPv6的網絡病毒檢測方法���,其特征在于�����,包括: 捕獲網絡數據包��; 進行網絡層協議識別�����,判斷數據包IP地址協議�,若數據包使用IPv4協議�����,則進行IPv4網絡層協議識別�,若數據包使用IPv6協議,則進行IPv6網絡層協議識別��; 根據數據包所使用的協議類型進行IP協議解碼��,獲取數據包的TCP四元組�,若數據包使用IPv4協議,則使用IPv4IP層解碼��,若數據包使用IPv6協議,則使用IPv6IP層解碼�����;將具有相同TCP四元組的數據包重組��,使離散的數據包匯聚成數據流�����; 對各數據流的應用層協議進行識別�,識別出發(fā)生文件傳輸行為的應用層協議; 根據應用層協議識別結果�,將數據流中數據包順序重新排列,還原為數據包的正確排列順序��; 對數據流進行協議解析�����,根據協議棧�����,判斷數據流所使用的協議類型�,若為IPv4協議,則使用IPv4協議解析�����,若為IPv6協議��,則使用IPv6協議解析����; 根據協議解析結果,對包含文件傳輸行為的數據流還原為文件��,對非文件傳輸行為的數據流不作處理���; 根據數據包的內容類型����,將數據包發(fā)送到預設的對應檢測引擎進行網絡病毒檢測�����,并生成檢測報告�����; 將檢測報告發(fā)送給外部處理程序。
2.如權利要求1所述的方法���,其特征在于��,所述的網絡層協議識別至少包括TCP/IP���、ARP和RARP協議的識別。
3.如權利要求1所述的方法�����,其特征在于�����,所述數據包的內容類型至少包括:文件和非文件內容的數據流�����。
4.一種面向IPv4和IPv6的網絡病毒檢測系統(tǒng)��,其特征在于����,包括: 捕包模塊,用于捕獲網絡數據包�; 網絡層識別模塊,用于進行網絡層協議識別�,判斷數據包IP地址協議,若數據包使用IPv4協議���,則進行IPv4網絡層協議識別����,若數據包使用IPv6協議���,則進行IPv6網絡層協議識別�����; IP層識別模塊��,用于根據數據包所使用的協議類型進行IP協議解碼���,獲取數據包的TCP四元組,若數據包使用IPv4協議����,則使用IPv4IP層解碼���,若數據包使用IPv6協議,則使用IPv6IP層解碼�; 流匯聚模塊,用于將具有相同TCP四元組的數據包重組�,使離散的數據包匯聚成數據流; 應用協議識別模塊�,用于對各數據流的應用層協議進行識別,識別出發(fā)生文件傳輸行為的應用層協議�����; 流還原模塊����,用于根據應用層協議識別結果,將數據流中數據包順序重新排列��,還原為數據包的正確排列順序����; 協議解析模塊 ,用于對數據流進行協議解析��,根據協議棧,判斷數據流所使用的協議類型��,若為IPv4協議���,則使用IPv4協議解析,若為IPv6協議���,則使用IPv6協議解析�; 文件還原模塊�����,用于根據協議解析結果��,對包含文件傳輸行為的數據流還原為文件�,對非文件傳輸行為的數據流不進行處理;檢測引擎模塊��,用于根據數據包的內容類型��,將數據包發(fā)送到預設的對應檢測引擎進行網絡病毒檢測�����,并生成檢測報告; 響應接口模塊��,用于將檢測報告發(fā)送給外部處理程序����。
5.如權利要求4所述的系統(tǒng),其特征在于��,所述的網絡層識別模塊對網絡層協議的識別至少包括TCP/IP�����、ARP和RARP協議的識別���。
6.如權利要求4所述的系統(tǒng)����,其特征在于����,所述數據包的內容類型至少包括:文件和非文件內容的數據 流。
全文摘要
本發(fā)明提供一種面向IPv4和IPv6的網絡病毒檢測方法及系統(tǒng)��,方法包括捕獲網絡數據包��;對使用IPv4協議或IPv6協議的數據包分別進行網絡層和IP層協議識別;將具有相同TCP四元組的數據包重組����;對數據流的應用層協議識別,將數據流中數據包順序重新排列����,還原為文件的正確排列順序��;對使用IPv4協議或IPv6協議的數據流進行協議解析����,跟據協議解析結果,將包含文件傳輸行為的數據流還原為文件�;將數據流發(fā)送到檢測引擎進行網絡病毒檢測,并生成檢測報告����;將檢測報告提供給外部處理程序。本發(fā)明還提供了一種面向IPv4和IPv6的網絡病毒檢測系統(tǒng)����,通過本發(fā)明的方法及系統(tǒng),有效解決了現行IPv4向IPv6遷移過程中網絡安全難以監(jiān)控的問題����。
文檔編號H04L12/26GK103248606SQ20121002266
公開日2013年8月14日 申請日期2012年2月2日 優(yōu)先權日2012年2月2日
發(fā)明者邱勇良, 劉靜 申請人:哈爾濱安天科技股份有限公司