【技术实现步骤摘要】
一种大数据中恶意代码检测及处理方法及系统
本专利技术涉及移动终端恶意代码的检测及处理领域,具体涉及一种大数据中恶意代码检测及处理方法及系统。
技术介绍
一般来说,大数据中的恶意代码主要通过两个阶段来实现其恶意目的,第一个阶段是传播和感染阶段,通过内置到山寨客户端中和挂载到下载站及第三方论坛等手段,将植入了恶意代码的程序传播到客户端中进行潜伏;第二个阶段是发作阶段,感染了恶意代码的客户端主动连接恶意控制服务器,获取指令并按照指令执行恶意行为。感染阶段虽然下载事件相对较少,不会对网络造成太大影响,但其有两方面的主要危害。一方面,恶意代码的下载传播可能客户端感染其他病毒,进而导致发送大量垃圾短信、彩信,占用正常带宽流量,对运营商的正常服务造成影响。另一方面,恶意代码的下载传播,会致使客户端话费损失,进而增加用户对运营商的投诉。当恶意代码感染一定量用户以后,便会进入爆发阶段,通过控制服务器获取指令并执行恶意操作。恶意程序发作会产生大量的垃圾流量、恶意短信、彩信,给运营商网络服务造成一定压力,也给用户带来巨大损失,导致投诉猛增。目前市场上缺少快速、有效的发现网络中的恶意代码,对恶意代码感染源头精准定位,及快速及时更新病毒特征库的方法及系统。无法满足用户对网络高性能、高可靠、高容量的要求,用户移动通讯服务体验差。
技术实现思路
本专利技术要解决的技术问题在于针对上述问题,提供一种大数据中恶意代码检测及处理方法及系统。本专利技术的技术方案为:一种大数据中恶意代码检测及处理...
【技术保护点】
1.一种大数据中恶意代码检测及处理方法,其特征在于,包括以下步骤:/n网络数据捕获:采用分光或端口镜像的方法多网卡捕获网络中的数据;/n数据的汇聚及解析:将捕获的数据进行流汇聚处理,并采用多引擎串行工作的方法对汇聚后的数据进行解析,对解析后的数据进行再汇聚处理;/n提取特征数据并与病毒特征库进行扫描对比:扫描再汇聚后的数据,通过签名检测的方式记录数据的URI信息,通过对病毒文件特征码与数据文件的比对,对数据进行检测,对不同类型的数据进行分类,通过多引擎的串行工作,并提取特征数据,根据数据类型分别与相应类型的病毒特征库进行特征的扫描对比,确定恶意代码检测情况;/n对恶意事件及可疑数据样本处理:当检测到恶意事件发生时,记录数据样本的URI信息,同时向客户端发送恶意事件处置页面并对客户端的恶意流量进行阻断;对于可疑的数据样本,记录数据样本的URI信息,并进行缓存处理,再由人工评判后,更新相应的病毒特征库。/n
【技术特征摘要】
1.一种大数据中恶意代码检测及处理方法,其特征在于,包括以下步骤:
网络数据捕获:采用分光或端口镜像的方法多网卡捕获网络中的数据;
数据的汇聚及解析:将捕获的数据进行流汇聚处理,并采用多引擎串行工作的方法对汇聚后的数据进行解析,对解析后的数据进行再汇聚处理;
提取特征数据并与病毒特征库进行扫描对比:扫描再汇聚后的数据,通过签名检测的方式记录数据的URI信息,通过对病毒文件特征码与数据文件的比对,对数据进行检测,对不同类型的数据进行分类,通过多引擎的串行工作,并提取特征数据,根据数据类型分别与相应类型的病毒特征库进行特征的扫描对比,确定恶意代码检测情况;
对恶意事件及可疑数据样本处理:当检测到恶意事件发生时,记录数据样本的URI信息,同时向客户端发送恶意事件处置页面并对客户端的恶意流量进行阻断;对于可疑的数据样本,记录数据样本的URI信息,并进行缓存处理,再由人工评判后,更新相应的病毒特征库。
2.根据权利要求1所述的一种大数据中恶意代码检测及处理方法,其特征在于,在对数据进行解析时,采用HTTP、STMP/POP、FTP、SMB、P2P、WAP、彩信、IP、GTP和GRE引擎串行的方式,对数据进行识别及协议解析。
3.根据权利要求1所述的一种大数据中恶意代码检测及处理方法,其特征在于,在进行特征对比时,病毒特征库分为PE分支、APK分支、SIS分支和J2ME分支。
4.根据权利要求1所述的一种大数据中恶意代码检测及处理方法,其特征在于,向客户端发送的恶意事件处置页面是用户提供的病毒专杀页面或推送的病毒抓杀页面。
5.一种大数据中恶意代码检测及处理系统,其特征在于,包括:
MVDS监控探头,部署在PCF与PSDN之间,获取实时流量数据,进行协议解析以及对恶性事件进行判定,记录并实时上传...
【专利技术属性】
技术研发人员:门嘉平,
申请(专利权)人:北京国联天成信息技术有限公司,
类型:发明
国别省市:北京;11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。