專利名稱:病毒檢測方法、裝置和網(wǎng)關(guān)設(shè)備的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及通信技術(shù)領(lǐng)域,尤其涉及一種病毒檢測方法、裝置和網(wǎng)關(guān)設(shè)備。
背景技術(shù):
隨著網(wǎng)絡(luò)的迅速發(fā)展,越來越多的電腦病毒通過網(wǎng)絡(luò)進行傳播。對于這些病毒,尤 其是近幾年流行的網(wǎng)絡(luò)蠕蟲病毒,必須在網(wǎng)關(guān)處進行病毒掃描并過濾掉病毒,才能有效阻 止病毒進入內(nèi)網(wǎng)傳播。由此網(wǎng)關(guān)防病毒已經(jīng)成為未來防病毒體系中的重要舉措之一。
目前在網(wǎng)關(guān)處進行病毒掃描的文件一般是基于以下應(yīng)用協(xié)議HTTP、 FTP、 SMTP、 P0P3或IMAP等?,F(xiàn)有的網(wǎng)關(guān)防病毒的方法一般是首先提取文件,然后將文件提交給病毒 掃描引擎進行掃描,而在提取某個待檢測文件時,需要緩存待檢測的整個文件,然后遍歷病 毒特征庫中所有的病毒特征。 發(fā)明人發(fā)現(xiàn),由于需要緩存整個文件,并遍歷數(shù)量龐大的病毒特征,由此導(dǎo)致現(xiàn)有 網(wǎng)關(guān)防病毒方法的掃描性能低,為提高掃描性能,現(xiàn)有技術(shù)提供了硬件加速技術(shù),通過該硬 件加速技術(shù)可以提高網(wǎng)關(guān)防病毒方法的掃描性能,但是硬件加速技術(shù)的成本較高。
發(fā)明內(nèi)容
本發(fā)明實施例提供一種病毒檢測方法、裝置和網(wǎng)關(guān)設(shè)備,用以提高網(wǎng)關(guān)防病毒方 法的掃描性能,且成本較低。 本發(fā)明實施例提供一種病毒檢測方法,該方法包括 獲取應(yīng)用協(xié)議的待檢測屬性信息,其中所述應(yīng)用協(xié)議用于承載待檢測文件;
根據(jù)所述待檢測屬性信息,在當前的屬性信息庫中進行查找以判斷所述待檢測文 件是否為病毒文件;所述屬性信息庫包括可疑屬性信息庫或可信屬性信息庫;其中,所述 可疑屬性信息庫中包括多個可疑屬性信息,所述可疑屬性信息為用于承載病毒文件的應(yīng)用 協(xié)議的屬性信息;所述可信屬性信息庫中包括多個可信屬性信息,所述可信屬性信息為用 于承載安全文件的應(yīng)用協(xié)議的屬性信息; 當所述屬性信息庫為可疑屬性信息庫時,若在所述可疑屬性信息庫中查找到與所 述待檢測屬性信息相同的可疑屬性信息,則判斷所述應(yīng)用協(xié)議承載的所述待檢測文件為病 毒文件; 當所述屬性信息庫為可信屬性信息庫時,若在所述可信屬性信息庫中查找到與所 述待檢測屬性信息相同的可信屬性信息,則判斷所述應(yīng)用協(xié)議承載的所述待檢測文件為安 全文件。 本發(fā)明實施例提供一種病毒檢測裝置,該裝置包括 第一獲取模塊,用于獲取應(yīng)用協(xié)議的待檢測屬性信息,其中所述應(yīng)用協(xié)議用于承 載待檢測文件; 第一查找模塊,用于根據(jù)所述第一獲取模塊獲取的所述待檢測屬性信息,在當前 的屬性信息庫中進行查找以判斷所述待檢測文件是否為病毒文件;所述屬性信息庫包括可疑屬性信息庫或可信屬性信息庫;其中,所述可疑屬性信息庫中包括多個可疑屬性信息,所 述可疑屬性信息為用于承載病毒庫中的病毒文件的應(yīng)用協(xié)議的屬性信息;所述可信屬性信 息庫中包括多個可信屬性信息,所述可信屬性信息為用于承載安全文件的應(yīng)用協(xié)議的屬性 信息; 第一判斷模塊,用于當所述屬性信息庫為可疑屬性信息庫時,若所述第一查找模 塊在所述可疑屬性信息庫中查找到與所述待檢測屬性信息相同的可疑屬性信息,則判斷所 述應(yīng)用協(xié)議承載的所述待檢測文件為病毒文件; 所述第一判斷模塊還用于當所述屬性信息庫為可信屬性信息庫時,若所述第一查 找模塊在所述可信屬性信息庫中查找到與所述待檢測屬性信息相同的可信屬性信息,則判 斷所述應(yīng)用協(xié)議承載的所述待檢測文件為安全文件。 本發(fā)明實施例還提供一種網(wǎng)關(guān)設(shè)備,該網(wǎng)關(guān)設(shè)備包括本發(fā)明實施例提供的任一病 毒檢測裝置。 本發(fā)明實施例的病毒檢測方法、裝置和網(wǎng)關(guān)設(shè)備,先獲取承載待檢測文件的應(yīng)用 協(xié)議的待檢測屬性信息,根據(jù)所述待檢測屬性信息,在當前的屬性信息庫中進行查找以判 斷所述待檢測文件是否為病毒文件,所述屬性信息庫包括可疑屬性信息庫或可信屬性信息 庫,當在所述可疑屬性信息庫中查找到與所述待檢測屬性信息相同的可疑屬性信息時,判 斷所述應(yīng)用協(xié)議承載的所述待檢測文件為病毒文件;當在所述可信屬性信息庫中查找到與 所述待檢測屬性信息相同的可信屬性信息時,判斷所述待檢測文件為安全文件;由此避免 了對每個待檢測文件都要根據(jù)病毒庫進行病毒掃描,提高了網(wǎng)關(guān)防病毒方法的掃描性能, 且成本較低。
為了更清楚地說明本發(fā)明實施例中的技術(shù)方案,下面將對實施例描述中所需要使 用的附圖作一簡單地介紹。 圖1為本發(fā)明病毒檢測方法實施例一的流程圖;
圖2為本發(fā)明病毒檢測方法實施例二的流程圖;
圖3為本發(fā)明病毒檢測方法實施例三的流程圖;
圖4為本發(fā)明病毒檢測方法實施例四的流程圖;
圖5為本發(fā)明病毒檢測方法實施例五的流程圖;
圖6為本發(fā)明病毒檢測裝置實施例一的結(jié)構(gòu)示意圖;
圖7為本發(fā)明病毒檢測裝置實施例二的結(jié)構(gòu)示意圖。
具體實施例方式
為使本發(fā)明實施例的目的、技術(shù)方案和優(yōu)點更加清楚,下面將結(jié)合本發(fā)明實施例 中的附圖,對本發(fā)明實施例中的技術(shù)方案進行清楚、完整地描述,顯然,所描述的實施例是 本發(fā)明一部分實施例,而不是全部的實施例?;诒景l(fā)明中的實施例,本領(lǐng)域普通技術(shù)人員 在沒有作出創(chuàng)造性勞動前提下所獲得的所有其他實施例,都屬于本發(fā)明保護的范圍。
為便于說明,下面介紹本發(fā)明的具體實施例。
圖1為本發(fā)明病毒檢測方法實施例一的流程圖,如圖1所示,該方法包括
6
步驟101、獲取應(yīng)用協(xié)議的待檢測屬性信息。
其中,所述應(yīng)用協(xié)議用于承載待檢測文件。 步驟102、根據(jù)所述待檢測屬性信息,在當前的屬性信息庫中進行查找以判斷所述 待檢測文件是否為病毒文件。 其中,所述屬性信息庫包括可疑屬性信息庫或可信屬性信息庫;所述可疑屬性信 息庫中包括多個可疑屬性信息,所述可疑屬性信息為用于承載病毒文件的應(yīng)用協(xié)議的屬性 信息,所述可信屬性信息庫中包括多個可信屬性信息,所述可信屬性信息為用于承載安全 文件的應(yīng)用協(xié)議的屬性信息。 步驟103、當所述屬性信息庫為可疑屬性信息庫時,若在所述可疑屬性信息庫中查 找到與所述待檢測屬性信息相同的可疑屬性信息,則判斷所述應(yīng)用協(xié)議承載的待檢測文件 為病毒文件;當所述屬性信息庫為可信屬性信息庫時,若在所述可信屬性信息庫中查找到 與所述待檢測屬性信息相同的可信屬性信息,則判斷所述應(yīng)用協(xié)議承載的待檢測文件為安 全文件。 本發(fā)明實施例的病毒檢測方法,先獲取承載待檢測文件的應(yīng)用協(xié)議的待檢測屬性
信息,根據(jù)所述待檢測屬性信息,在當前的屬性信息庫中進行查找以判斷所述待檢測文件
是否為病毒文件,所述屬性信息庫包括可疑屬性信息庫或可信屬性信息庫,當在所述可疑
屬性信息庫中查找到與所述待檢測屬性信息相同的可疑屬性信息時,判斷所述應(yīng)用協(xié)議承
載的所述待檢測文件為病毒文件;當在所述可信屬性信息庫中查找到與所述待檢測屬性信
息相同的可信屬性信息時,判斷所述待檢測文件為安全文件;由此避免了對每個待檢測文
件都要根據(jù)病毒庫進行病毒掃描,提高了網(wǎng)關(guān)防病毒方法的掃描性能,且成本較低。 本發(fā)明實施例中,由于屬性信息庫包括可疑屬性信息庫或可信屬性信息庫,步驟
103可以分為兩種情況,分別為 情況一、當所述屬性信息庫為可疑屬性信息庫時的情況;
情況二、當所述屬性信息庫為可信屬性信息庫時的情況。
下面介紹情況一對應(yīng)的具體實施例,如下 圖2為本發(fā)明病毒檢測方法實施例二的流程圖,本實施例是屬性信息庫為可疑屬 性信息庫的情況,如圖2所示,該方法包括 步驟201、獲取應(yīng)用協(xié)議的待檢測屬性信息;其中,該應(yīng)用協(xié)議用于承載待檢測文 件。 當接收到一個承載有待檢測文件的應(yīng)用協(xié)議后,先提取該應(yīng)用協(xié)議的屬性信息。 其中該應(yīng)用協(xié)議的屬性信息因應(yīng)用協(xié)議的不同而不同;例如對于P0P3協(xié)議,屬性信息可 以是郵件的發(fā)件人、郵件主題、附件名、發(fā)件人源IP等,對于HTTP協(xié)議,屬性信息可以是網(wǎng) 頁的目的IP、URL等,對于FTP協(xié)議,屬性信息可以是傳輸文件名、FTP服務(wù)器的IP地址等。
步驟202、根據(jù)待檢測屬性信息,在當前的可疑屬性信息庫中進行查找;可疑屬性 信息庫中包括多個可疑屬性信息,可疑屬性信息為用于承載病毒庫中的病毒文件的應(yīng)用協(xié) 議的屬性信息。 可疑屬性信息庫是預(yù)先設(shè)置的,設(shè)置的過程可以為對于承載有以前通過病毒庫 掃描檢測到的病毒文件的多個應(yīng)用協(xié)議,提取這些應(yīng)用協(xié)議的屬性信息作為可疑屬性信 息,然后由這些可疑屬性信息建立可疑屬性信息庫。其中,在根據(jù)多個可疑屬性信息建立可疑屬性信息庫時,可以使用多種算法,例如,可以使用哈希(Hash)算法,計算出每個可疑屬 性信息的Hash鍵值,根據(jù)該Hash鍵值生成索引表,并根據(jù)索引表將多個可疑屬性信息放在 相應(yīng)的節(jié)點,形成可疑屬性信息庫。 根據(jù)步驟201中獲取的待檢測屬性信息,在可疑屬性信息庫中進行查找,其中,當 該可疑屬性信息庫是通過Hash算法建立時,就可以根據(jù)Hash算法得到待檢測屬性信息的 Hash鍵值,然后根據(jù)該Hash鍵值,通過索引表在該可疑屬性信息庫中相應(yīng)的節(jié)點進行查 找。 通過在該可疑屬性信息庫中進行查找,使得查找速度遠遠快于現(xiàn)有的遍歷病毒庫 中所有病毒特征的速度。 步驟203、若在可疑屬性信息庫中查找到與待檢測屬性信息相同的可疑屬性信息, 則判斷該應(yīng)用協(xié)議承載的待檢測文件為病毒文件。 當在可疑屬性信息庫中查找到與待檢測屬性信息相同的可疑屬性信息時,則表示 該應(yīng)用協(xié)議是不安全的,也就是表示該應(yīng)用協(xié)議承載的待檢測文件為病毒文件。當判斷該 應(yīng)用協(xié)議不安全以后,可以阻斷該應(yīng)用協(xié)議或者進行告警。 本實施例提供的病毒檢測方法,先獲取承載待檢測文件的應(yīng)用協(xié)議的待檢測屬性 信息,然后在可疑屬性信息庫中進行查找,當在可疑屬性信息庫中查找到與待檢測屬性信 息相同的可疑屬性信息時,判斷該應(yīng)用協(xié)議承載的待檢測文件為病毒文件,由此避免了對 每個待檢測文件都要根據(jù)病毒庫進行病毒掃描,提高了網(wǎng)關(guān)防病毒方法的掃描性能,且成 本較低。 圖3為本發(fā)明病毒檢測方法實施例三的流程圖,本實施例是在方法實施例二的基 礎(chǔ)上進一步的詳細說明,如圖3所示,該方法包括 步驟301、獲取應(yīng)用協(xié)議的待檢測屬性信息;其中,該應(yīng)用協(xié)議用于承載待檢測文 件。 本實施例以通過P0P3協(xié)議發(fā)送郵件傳播病毒的情況為例,說明在該情況下網(wǎng)關(guān) 進行病毒檢測的方法。在本實施例中,基于應(yīng)用協(xié)議P0P3,發(fā)件人A給收件人E發(fā)送了一封 帶有附件C的郵件,該附件C的附件名為D,該應(yīng)用協(xié)議P0P3承載的待檢測文件為附件C, 該應(yīng)用協(xié)議P0P3的待檢測屬性信息可以為發(fā)件人A、郵件主題、附件名D、發(fā)件人的源IP
地址等。 當接收到該郵件時,先提取P0P3的待檢測屬性信息,即發(fā)件人A、郵件主題、附件 名D、發(fā)件人的源IP地址等。 步驟302、根據(jù)待檢測屬性信息,在當前的可疑屬性信息庫中進行查找;可疑屬性 信息庫中包括多個可疑屬性信息,可疑屬性信息為用于承載病毒庫中的病毒文件的應(yīng)用協(xié) 議的屬性信息。 根據(jù)該待檢測屬性信息,在可疑屬性信息庫中進行查找,若在可疑屬性信息庫中 查找到與待檢測屬性信息相同的可疑屬性信息,則執(zhí)行步驟303 ;若在可疑屬性信息庫中 未查找到與待檢測屬性信息相同的可疑屬性信息,則執(zhí)行步驟304。其中,病毒通常都是有 時效性的,即某個應(yīng)用協(xié)議通常都是在一定的時間范圍內(nèi)攜帶有病毒,由此,為了避免該可 疑屬性信息庫的容量太大,并且為了避免在包含過多可疑屬性信息的可疑屬性信息庫中進 行查詢,可以為每個可疑屬性信息設(shè)置有效期,即在該有效期內(nèi),認為該屬性信息是可疑屬性信息,當超出該有效期后,就認為該屬性信息不是可疑屬性信息。有效期的長短可以根據(jù) 經(jīng)驗設(shè)置。由此本實施例還可以包括若可疑屬性信息庫中的可疑屬性信息的保留時間超 過預(yù)置的有效期,則從可疑屬性信息庫中刪除該可疑屬性信息;也就是當可疑屬性信息在 可疑屬性信息庫中儲存的時間超過該可疑屬性信息的有效期時,該可疑屬性信息被從可疑 屬性信息庫中刪除。 此外,本實施例還可以包括以下步驟每間隔一定的預(yù)設(shè)時間或當系統(tǒng)空閑時,根 據(jù)病毒庫對可疑屬性信息對應(yīng)的應(yīng)用協(xié)議承載的待檢測文件進行病毒掃描;若經(jīng)過病毒掃 描后的待檢測文件為安全文件,則刪除用于承載待檢測文件的應(yīng)用協(xié)議的可疑屬性信息; 若經(jīng)過病毒掃描后的待檢測文件為病毒文件,則刷新用于承載待檢測文件的應(yīng)用協(xié)議的可 疑屬性信息的有效期。上述步驟具體可以為每間隔一定的時間或者當系統(tǒng)空閑時,根據(jù)病 毒庫,對可疑屬性信息對應(yīng)的應(yīng)用協(xié)議所承載的附件進行病毒檢測;當檢測到附件為安全 文件時,則將承載該附件對應(yīng)的可疑屬性信息從可疑屬性信息庫中刪除;當檢測到附件為 病毒文件時,則刷新該附件的對應(yīng)的可疑屬性信息的有效期,即延長該可疑屬性信息的有 效期。 步驟303、若在可疑屬性信息庫中查找到與待檢測屬性信息相同的可疑屬性信息, 則判斷該應(yīng)用協(xié)議承載的待檢測文件為病毒文件。 當在可疑屬性信息庫中查找到與該待檢測屬性信息相同的可疑屬性信息時,則判 斷出該郵件攜帶的附件為病毒。 步驟304、若在可疑屬性信息庫中未查找到與待檢測屬性信息相同的可疑屬性信 息,則根據(jù)病毒庫對待檢測文件進行病毒掃描。 當在可疑屬性信息庫中沒有查找到與該待檢測屬性信息相同的可疑屬性信息時, 則對該郵件攜帶的附件進行病毒掃描,該病毒掃描的過程為將附件進行文件還原,然后遍 歷病毒庫中的所有病毒,以對還原后的文件進行病毒掃描;該病毒掃描的過程中可能需要 對文件進行解壓、脫殼等。 步驟305、若經(jīng)過病毒掃描后的待檢測文件為病毒,則將用于承載待檢測文件的應(yīng) 用協(xié)議的屬性信息作為可疑屬性信息添加到可疑屬性信息庫中。 在進行病毒掃描后,若發(fā)現(xiàn)該附件為病毒,還可以阻斷該郵件的發(fā)送或者進行告 警,并且將該屬性信息作為可疑屬性信息添加到可疑屬性信息庫。當該發(fā)件人欲以同樣的 郵件傳播病毒時,網(wǎng)關(guān)通過查詢可疑屬性信息庫就可以發(fā)現(xiàn)該郵件承載有病毒,從而無需 再對該郵件的附件進行病毒掃描,就可及時阻斷該郵件或進行告警。在進行病毒掃描后,判 讀該附件為安全文件,則放行該郵件。 本實施例提供的病毒檢測方法,先獲取承載待檢測文件的應(yīng)用協(xié)議的待檢測屬性 信息,然后在可疑屬性信息庫中進行查找,當在可疑屬性信息庫中查找到與待檢測屬性信 息相同的可疑屬性信息時,判斷該應(yīng)用協(xié)議承載的待檢測文件為病毒文件,由此避免了對 每個待檢測文件都要根據(jù)病毒庫進行病毒掃描,提高了網(wǎng)關(guān)防病毒方法的掃描性能,且成 本較低。 下面介紹情況二對應(yīng)的具體實施例,如下 圖4為本發(fā)明病毒檢測方法實施例四的流程圖,本實施例是屬性信息庫為可信屬 性信息庫的情況,如圖4所示,該方法包括
步驟401、獲取應(yīng)用協(xié)議的待檢測屬性信息;其中,該應(yīng)用協(xié)議用于承載待檢測文 件。 當接收到一個承載有待檢測文件的應(yīng)用協(xié)議后,先提取該應(yīng)用協(xié)議的屬性信息。 其中該應(yīng)用協(xié)議的屬性信息因應(yīng)用協(xié)議的不同而不同;例如對于P0P3協(xié)議,屬性信息可 以是郵件的發(fā)件人、郵件主題、附件名、發(fā)件人源IP等,對于HTTP協(xié)議,屬性信息可以是網(wǎng) 頁的目的IP、URL等,對于FTP協(xié)議,屬性信息可以是傳輸文件名、FTP服務(wù)器的IP地址等。
步驟402、根據(jù)待檢測屬性信息,在當前的可信屬性信息庫中進行查找;可信屬性 信息庫中包括多個可信屬性信息。 可信屬性信息庫是預(yù)先設(shè)置的,設(shè)置的過程可以為對于承載有以前通過病毒庫
掃描檢測到的安全文件的多個應(yīng)用協(xié)議,提取這些應(yīng)用協(xié)議的屬性信息作為可信屬性信
息,然后由這些可信屬性信息建立可信屬性信息庫。有上述可信屬性信息庫的設(shè)置過程可
知,可信屬性信息對應(yīng)的應(yīng)用協(xié)議所承載的文件是非病毒文件,即該可信屬性信息對應(yīng)的
應(yīng)用協(xié)議是安全的。其中,在根據(jù)多個可信屬性信息建立可信屬性信息庫時,可以使用多種
算法,例如,可以使用Hash算法,具體參見本發(fā)明方法實施例一中的描述。 根據(jù)步驟401中獲取的待檢測屬性信息,在可信屬性信息庫中進行查找,其中,當
該可信屬性信息庫是通過Hash算法建立時,就可以根據(jù)Hash算法得到待檢測屬性信息的
Hash鍵值,然后根據(jù)該Hash鍵值,通過索引表到在該可信屬性信息庫中相應(yīng)的節(jié)點進行查
找,此處查找的速度遠遠快于現(xiàn)有的遍歷病毒庫中所有病毒特征的速度。 步驟403、若在可信屬性信息庫中查找到與待檢測屬性信息相同的可信屬性信息,
則判斷待檢測文件為安全文件。 當在可信屬性信息庫中查找到與待檢測屬性信息相同的可信屬性信息時,則表示 該應(yīng)用協(xié)議是安全的,也就是表示該應(yīng)用協(xié)議承載的待檢測文件為安全文件。當判斷該應(yīng) 用協(xié)議安全以后,可以直接訪問該應(yīng)用協(xié)議,而無需根據(jù)病毒庫對該應(yīng)用協(xié)議所承載的文 件進行病毒掃描,由此大大提高了病毒檢測的速度。 本實施例提供的病毒檢測方法,先獲取承載待檢測文件的應(yīng)用協(xié)議的待檢測屬性 信息,然后在可信屬性信息庫中進行查找,當在可信屬性信息庫中查找到與待檢測屬性信 息相同的可信屬性信息時,判斷該應(yīng)用協(xié)議承載的待檢測文件為安全文件,從而無需對該 待檢測文件進行病毒掃描,由此避免了對每個待檢測文件都要根據(jù)病毒庫進行病毒掃描, 提高了網(wǎng)關(guān)防病毒方法的掃描性能,且成本較低。 圖5為本發(fā)明病毒檢測方法實施例五的流程圖,本實施例是在方法實施例四的基 礎(chǔ)上進一步的詳細說明,如圖5所示,該方法包括 步驟501、獲取應(yīng)用協(xié)議的待檢測屬性信息;其中,該應(yīng)用協(xié)議用于承載待檢測文 件。 本實施例以對可信任網(wǎng)站進行快速過濾的情況為例,說明在該情況下網(wǎng)關(guān)進行病 毒檢測的方法。在本實施例中,基于應(yīng)用協(xié)議HTTP,用戶訪問某個網(wǎng)站。該應(yīng)用協(xié)議HTTP 承載的待檢測文件為網(wǎng)站中的頁面內(nèi)容(該頁面內(nèi)容包括靜態(tài)和動態(tài)的內(nèi)容),該應(yīng)用協(xié) 議HTTP的待檢測屬性信息可以為該網(wǎng)站的URL、服務(wù)器的IP地址等。
當接收到欲瀏覽該網(wǎng)站的請求時,先提取HTTP的待檢測屬性信息,即該網(wǎng)站的 URL、服務(wù)器的IP地址等。
步驟502、根據(jù)待檢測屬性信息,在當前的可信屬性信息庫中進行查找;可信屬性 信息庫中包括多個可信屬性信息。 根據(jù)該待檢測屬性信息,在可信屬性信息庫中進行查找,若在可信屬性信息庫中 查找到與待檢測屬性信息相同的可信屬性信息,則執(zhí)行步驟503 ;若在可信屬性信息庫中 未查找到與待檢測屬性信息相同的可信屬性信息,則執(zhí)行步驟504。其中,一個網(wǎng)站是否安 全通常都是有時效性的,即當在某個時刻確認一個網(wǎng)站為安全網(wǎng)站時,通常只能表示該網(wǎng) 站在一定的時間范圍內(nèi)是安全的。由此,可以為每個可信屬性信息設(shè)置有效期,即在該有效 期內(nèi),認為該屬性信息是可信屬性信息,當超出該有效期后,就認為該屬性信息不是可信屬 性信息。有效期的長短可以根據(jù)經(jīng)驗設(shè)置。由此本實施例還可以包括若可信屬性信息庫 中的可信屬性信息的保留時間超過預(yù)置的有效期,則從可信屬性信息庫中刪除該可信屬性 信息;也就是當可信屬性信息在可信屬性信息庫中儲存的時間超過該可信屬性信息的有效 期時,該可信屬性信息被從可信屬性信息庫中刪除。 此外,本實施例還可以包括以下步驟每間隔一定的預(yù)設(shè)時間或當系統(tǒng)空閑時,根 據(jù)病毒庫對可信屬性信息對應(yīng)的應(yīng)用協(xié)議承載的待檢測文件進行病毒掃描;若經(jīng)過病毒掃 描后的待檢測文件為病毒文件,則刪除用于承載待檢測文件的應(yīng)用協(xié)議的可信屬性信息; 若經(jīng)過病毒掃描后的待檢測文件為安全文件,則刷新用于承載待檢測文件的應(yīng)用協(xié)議的可 信屬性信息的有效期。上述步驟具體可以為每間隔一定的時間或者當系統(tǒng)空閑時,根據(jù)病 毒庫,對可信屬性信息對應(yīng)的網(wǎng)站所承載的頁面內(nèi)容進行病毒檢測;當檢測到頁面內(nèi)容為 病毒文件時,則將承載該頁面內(nèi)容對應(yīng)的可信屬性信息從可信屬性信息庫中刪除;當檢測 到頁面內(nèi)容為安全文件時,則刷新該頁面內(nèi)容的對應(yīng)的可信屬性信息的有效期,即延長該 可信屬性信息的有效期。 步驟503、若在可信屬性信息庫中查找到與待檢測屬性信息相同的可信屬性信息, 則判斷待檢測文件為安全文件。 當在可信屬性信息庫中查找到與該待檢測屬性信息相同的可信屬性信息時,則判 斷出該網(wǎng)站中的頁面內(nèi)容為安全文件。 步驟504、若在可信屬性信息庫中未查找到與待檢測屬性信息相同的可信屬性信 息,則根據(jù)病毒庫對待檢測文件進行病毒掃描。 當在可信屬性信息庫中沒有查找到與該待檢測屬性信息相同的可信屬性信息時, 則對該網(wǎng)站中的頁面內(nèi)容進行病毒掃描,該病毒掃描的過程為將頁面內(nèi)容進行文件還原, 然后遍歷病毒庫中的所有病毒,以對還原后的文件進行病毒掃描;該病毒掃描的過程中可 能需要對文件進行解壓、脫殼等。 步驟505、若經(jīng)過病毒掃描后的待檢測文件為安全文件,則將用于承載待檢測文件 的應(yīng)用協(xié)議的屬性信息作為可信屬性信息添加到可信屬性信息庫中。 在進行病毒掃描后,若發(fā)現(xiàn)該文件為安全文件,則放行對該網(wǎng)站的瀏覽,并且將該 屬性信息作為可信屬性信息添加到可信屬性信息庫。當用戶欲再次瀏覽該網(wǎng)站時,網(wǎng)關(guān)通 過查詢可信屬性信息庫就可以判斷出該網(wǎng)站為安全網(wǎng)站,從而無需再對該網(wǎng)站中的頁面內(nèi) 容進行病毒掃描,就可以放行對該網(wǎng)站的瀏覽。在進行病毒掃描后,判斷該文件為病毒文件 時,阻斷對該網(wǎng)站的瀏覽或者進行告警。 進一步的,為了避免可信屬性信息庫的儲存量過大,并且為了保證在可信屬性信息庫中的查詢速度,可以不把所有沒有病毒的屬性信息都添加到可信屬性數(shù)據(jù)庫中,而是
只將訪問比較頻繁的網(wǎng)站對應(yīng)的屬性信息添加到可信屬性數(shù)據(jù)庫中,具體可以為 若經(jīng)過病毒掃描后的頁面內(nèi)容為安全文件,則統(tǒng)計用于承載該頁面內(nèi)容的網(wǎng)站的
訪問次數(shù);當該訪問次數(shù)大于預(yù)設(shè)第一閾值時,將該網(wǎng)站對應(yīng)的屬性信息作為可信屬性信
息添加到可信屬性信息庫中。 本實施例提供的病毒檢測方法,先獲取承載待檢測文件的應(yīng)用協(xié)議的待檢測屬性 信息,然后在可信屬性信息庫中進行查找,當在可信屬性信息庫中查找到與待檢測屬性信 息相同的可信屬性信息時,判斷該應(yīng)用協(xié)議承載的待檢測文件為安全文件,從而無需對該 待檢測文件進行病毒掃描,由此避免了對每個待檢測文件都要根據(jù)病毒庫進行病毒掃描, 提高了網(wǎng)關(guān)防病毒方法的掃描性能,且成本較低。 本領(lǐng)域普通技術(shù)人員可以理解實現(xiàn)上述方法實施例的全部或部分步驟可以通過 程序指令相關(guān)的硬件來完成,前述的程序可以存儲于一計算機可讀取存儲介質(zhì)中,該程序 在執(zhí)行時,執(zhí)行包括上述方法實施例的步驟;而前述的存儲介質(zhì)包括R0M、 RAM、磁碟或者 光盤等各種可以存儲程序代碼的介質(zhì)。 圖6為本發(fā)明病毒檢測裝置實施例一的結(jié)構(gòu)示意圖,如圖6所示,該裝置包括第 一獲取模塊61、第一查找模塊63和第一判斷模塊65。 第一獲取模塊61用于獲取應(yīng)用協(xié)議的待檢測屬性信息,其中所述應(yīng)用協(xié)議用于 承載待檢測文件。 第一查找模塊63用于根據(jù)第一獲取模塊61獲取的所述待檢測屬性信息,在當前 的屬性信息庫中進行查找以判斷所述待檢測文件是否為病毒文件;所述屬性信息庫包括可 疑屬性信息庫或可信屬性信息庫;其中,所述可疑屬性信息庫中包括多個可疑屬性信息,所 述可疑屬性信息為用于承載病毒庫中的病毒文件的應(yīng)用協(xié)議的屬性信息;所述可信屬性信 息庫中包括多個可信屬性信息,所述可信屬性信息為用于承載安全文件的應(yīng)用協(xié)議的屬性 信息。 第一判斷模塊65用于當所述屬性信息庫為可疑屬性信息庫時,若第一查找模塊 63在所述可疑屬性信息庫中查找到與所述待檢測屬性信息相同的可疑屬性信息,則判斷所 述應(yīng)用協(xié)議承載的所述待檢測文件為病毒文件。 第一判斷模塊65還用于當所述屬性信息庫為可信屬性信息庫時,若第一查找模 塊63在所述可信屬性信息庫中查找到與所述待檢測屬性信息相同的可信屬性信息,則判 斷所述應(yīng)用協(xié)議承載的所述待檢測文件為安全文件。 本實施例中各個模塊的工作原理和工作流程參見本發(fā)明方法實施例一至方法實 施例三中的描述,在此不再贅述。 本實施例提供的病毒檢測裝置,先獲取承載待檢測文件的應(yīng)用協(xié)議的待檢測屬性 信息,然后在可疑屬性信息庫中進行查找,當在可疑屬性信息庫中查找到與待檢測屬性信 息相同的可疑屬性信息時,判斷該應(yīng)用協(xié)議承載的待檢測文件為病毒文件,由此避免了對 每個待檢測文件都要根據(jù)病毒庫進行病毒掃描,提高了網(wǎng)關(guān)防病毒方法的掃描性能,且成 本較低。 圖7為本發(fā)明病毒檢測裝置實施例二的結(jié)構(gòu)示意圖,如圖7所示,在裝置實施例一 的基礎(chǔ)上,該裝置還包括第一病毒掃描模塊71、第一添加模塊73、第一刪除模塊75、第二
12病毒掃描模塊77、第二刪除模塊79和第二刷新模塊70。 第一病毒掃描模塊71用于當所述屬性信息庫為可疑屬性信息庫時,若第一查找 模塊63在所述可疑屬性信息庫中未查找到與所述待檢測屬性信息相同的可疑屬性信息, 則根據(jù)病毒庫對所述待檢測文件進行病毒掃描。 第一病毒掃描模塊71還用于當所述屬性信息庫為可信屬性信息庫時,若第一查 找模塊63在所述可信屬性信息庫中未查找到與所述待檢測屬性信息相同的可信屬性信 息,則根據(jù)病毒庫對所述待檢測文件進行病毒掃描。 第一添加模塊73用于當所述屬性信息庫為可疑屬性信息庫時,若經(jīng)過所述第一 病毒掃描模塊71掃描后的所述待檢測文件為病毒文件,則將用于承載所述待檢測文件的 應(yīng)用協(xié)議的屬性信息作為可疑屬性信息添加到所述可疑屬性信息庫中。
第一添加模塊73還用于當所述屬性信息庫為可信屬性信息庫時,若經(jīng)過第一病 毒掃描模塊71掃描后的所述待檢測文件為安全文件,則將用于承載所述待檢測文件的應(yīng) 用協(xié)議的屬性信息作為可信屬性信息添加到所述可信屬性信息庫中。 第一刪除模塊75用于若所述屬性信息庫中的屬性信息的保留時間超過預(yù)置的有 效期,則從所述屬性信息庫中刪除所述屬性信息。 第二病毒掃描模塊77用于按照預(yù)設(shè)的時間間隔,根據(jù)病毒庫對所述屬性信息對 應(yīng)的應(yīng)用協(xié)議承載的待檢測文件進行病毒掃描。 第二刪除模塊79用于當所述屬性信息庫為可疑屬性信息庫時,若經(jīng)過所述第二 病毒掃描模塊77掃描后的所述待檢測文件為安全文件,則刪除用于承載所述待檢測文件 的應(yīng)用協(xié)議的所述可疑屬性信息。 第二刪除模塊79還用于當所述屬性信息庫為可信屬性信息庫時,若經(jīng)過第二病 毒掃描模塊77掃描后的所述待檢測文件為病毒文件,則刪除用于承載所述待檢測文件的 應(yīng)用協(xié)議的所述可信屬性信息。 第二刷新模塊70用于當所述屬性信息庫為可疑屬性信息庫時,若經(jīng)過第二病毒 掃描模塊77掃描后的所述待檢測文件為病毒文件,則刷新用于承載所述待檢測文件的應(yīng) 用協(xié)議的所述可疑屬性信息的有效期。 第二刷新模塊70還用于當所述屬性信息庫為可信屬性信息庫時,若經(jīng)過第二病 毒掃描模塊77掃描后的所述待檢測文件為安全文件,則刷新用于承載所述待檢測文件的 應(yīng)用協(xié)議的所述可信屬性信息的有效期。 其中,當屬性信息庫為可信屬性信息庫時,第一添加模塊73可以包括統(tǒng)計單元 和添加單元。 統(tǒng)計單元用于若經(jīng)過第一病毒掃描模塊71進行病毒掃描后的待檢測文件為安全 文件,統(tǒng)計用于承載待檢測文件的應(yīng)用協(xié)議的訪問次數(shù)。 添加單元用于將訪問次數(shù)大于預(yù)設(shè)第一閾值的應(yīng)用協(xié)議的屬性信息,作為可信屬 性信息添加到可信屬性信息庫中。 本實施例中各個模塊的工作原理和工作流程參見本發(fā)明方法實施例一 、方法實施 例四和方法實施例五中的描述,在此不再贅述。 本實施例提供的病毒檢測裝置,先獲取承載待檢測文件的應(yīng)用協(xié)議的待檢測屬性 信息,然后在可信屬性信息庫中進行查找,當在可信屬性信息庫中查找到與待檢測屬性信息相同的可信屬性信息時,判斷該應(yīng)用協(xié)議承載的待檢測文件為安全文件,從而無需對該 待檢測文件進行病毒掃描,由此避免了對每個待檢測文件都要根據(jù)病毒庫進行病毒掃描, 提高了網(wǎng)關(guān)防病毒方法的掃描性能,且成本較低。 本發(fā)明實施例還提供了一種網(wǎng)關(guān)設(shè)備,該網(wǎng)關(guān)設(shè)備包括上述任一裝置實施例提供 的病毒檢測裝置。該病毒檢測裝置的工作原理、工作流程和技術(shù)效果參見本發(fā)明各方法實 施例中的描述,在此不再贅述。 最后應(yīng)說明的是以上實施例僅用以說明本發(fā)明的技術(shù)方案,而非對其限制;盡 管參照前述實施例對本發(fā)明進行了詳細的說明,本領(lǐng)域的普通技術(shù)人員應(yīng)當理解其依然 可以對前述各實施例所記載的技術(shù)方案進行修改,或者對其中部分技術(shù)特征進行等同替 換;而這些修改或者替換,并不使相應(yīng)技術(shù)方案的本質(zhì)脫離本發(fā)明各實施例技術(shù)方案的精 神和范圍。
權(quán)利要求
一種病毒檢測方法,其特征在于,包括獲取應(yīng)用協(xié)議的待檢測屬性信息,其中所述應(yīng)用協(xié)議用于承載待檢測文件;根據(jù)所述待檢測屬性信息,在當前的屬性信息庫中進行查找以判斷所述待檢測文件是否為病毒文件;所述屬性信息庫包括可疑屬性信息庫或可信屬性信息庫;其中,所述可疑屬性信息庫中包括多個可疑屬性信息,所述可疑屬性信息為用于承載病毒文件的應(yīng)用協(xié)議的屬性信息;所述可信屬性信息庫中包括多個可信屬性信息,所述可信屬性信息為用于承載安全文件的應(yīng)用協(xié)議的屬性信息;當所述屬性信息庫為可疑屬性信息庫時,若在所述可疑屬性信息庫中查找到與所述待檢測屬性信息相同的可疑屬性信息,則判斷所述應(yīng)用協(xié)議承載的所述待檢測文件為病毒文件;當所述屬性信息庫為可信屬性信息庫時,若在所述可信屬性信息庫中查找到與所述待檢測屬性信息相同的可信屬性信息,則判斷所述應(yīng)用協(xié)議承載的所述待檢測文件為安全文件。
2. 根據(jù)權(quán)利要求1所述的病毒檢測方法,其特征在于,還包括當所述屬性信息庫為可疑屬性信息庫時,若在所述可疑屬性信息庫中未查找到與所述 待檢測屬性信息相同的可疑屬性信息,則根據(jù)病毒庫對所述待檢測文件進行病毒掃描;若 經(jīng)過病毒掃描后的所述待檢測文件為病毒文件,則將用于承載所述待檢測文件的應(yīng)用協(xié)議 的屬性信息作為可疑屬性信息添加到所述可疑屬性信息庫中;當所述屬性信息庫為可信屬性信息庫時,若在所述可信屬性信息庫中未查找到與所述 待檢測屬性信息相同的可信屬性信息,則根據(jù)病毒庫對所述待檢測文件進行病毒掃描;若 經(jīng)過病毒掃描后的所述待檢測文件為安全文件,則將用于承載所述待檢測文件的應(yīng)用協(xié)議 的屬性信息作為可信屬性信息添加到所述可信屬性信息庫中。
3. 根據(jù)權(quán)利要求1或2所述的病毒檢測方法,其特征在于,還包括 若所述屬性信息庫中的屬性信息的保留時間超過預(yù)置的有效期,則從所述屬性信息庫中刪除所述屬性信息;或者,按照預(yù)設(shè)的時間間隔,根據(jù)病毒庫對所述屬性信息對應(yīng)的應(yīng)用協(xié)議承載的待檢測文件 進行病毒掃描;當所述屬性信息庫為可疑屬性信息庫時,若經(jīng)過病毒掃描后的所述待檢測文件為安全 文件,則刪除用于承載所述待檢測文件的應(yīng)用協(xié)議的所述可疑屬性信息;若經(jīng)過病毒掃描 后的所述待檢測文件為病毒文件,則刷新用于承載所述待檢測文件的應(yīng)用協(xié)議的所述可疑 屬性信息的有效期;當所述屬性信息庫為可信屬性信息庫時,若經(jīng)過病毒掃描后的所述待檢測文件為病毒 文件,則刪除用于承載所述待檢測文件的應(yīng)用協(xié)議的所述可信屬性信息;若經(jīng)過病毒掃描 后的所述待檢測文件為安全文件,則刷新用于承載所述待檢測文件的應(yīng)用協(xié)議的所述可信 屬性信息的有效期。
4. 根據(jù)權(quán)利要求2所述的病毒檢測方法,其特征在于,當所述屬性信息庫為可信屬性 信息庫時,所述若經(jīng)過病毒掃描后的所述待檢測文件為安全文件,則將用于承載所述待檢 測文件的應(yīng)用協(xié)議的屬性信息作為可信屬性信息添加到所述可信屬性信息庫中,包括若經(jīng)過病毒掃描后的所述待檢測文件為安全文件,統(tǒng)計用于承載所述待檢測文件的應(yīng)用協(xié)議的訪問次數(shù);將所述訪問次數(shù)大于預(yù)設(shè)第一閾值的所述應(yīng)用協(xié)議的屬性信息,作為可信屬性信息添 加到所述可信屬性信息庫中。
5. —種病毒檢測裝置,其特征在于,包括第一獲取模塊,用于獲取應(yīng)用協(xié)議的待檢測屬性信息,其中所述應(yīng)用協(xié)議用于承載待 檢測文件;第一查找模塊,用于根據(jù)所述第一獲取模塊獲取的所述待檢測屬性信息,在當前的屬 性信息庫中進行查找以判斷所述待檢測文件是否為病毒文件,所述屬性信息庫包括可疑屬 性信息庫或可信屬性信息庫;其中,所述可疑屬性信息庫中包括多個可疑屬性信息,所述可 疑屬性信息為用于承載病毒庫中的病毒文件的應(yīng)用協(xié)議的屬性信息;所述可信屬性信息 庫中包括多個可信屬性信息,所述可信屬性信息為用于承載安全文件的應(yīng)用協(xié)議的屬性信 息;第一判斷模塊,用于當所述屬性信息庫為可疑屬性信息庫時,若所述第一查找模塊在 所述可疑屬性信息庫中查找到與所述待檢測屬性信息相同的可疑屬性信息,則判斷所述應(yīng) 用協(xié)議承載的所述待檢測文件為病毒文件;所述第一判斷模塊還用于當所述屬性信息庫為可信屬性信息庫時,若所述第一查找模 塊在所述可信屬性信息庫中查找到與所述待檢測屬性信息相同的可信屬性信息,則判斷所 述應(yīng)用協(xié)議承載的所述待檢測文件為安全文件。
6. 根據(jù)權(quán)利要求5所述的病毒檢測裝置,其特征在于,還包括第一病毒掃描模塊,用于當所述屬性信息庫為可疑屬性信息庫時,若所述第一查找模 塊在所述可疑屬性信息庫中未查找到與所述待檢測屬性信息相同的可疑屬性信息,則根據(jù) 病毒庫對所述待檢測文件進行病毒掃描;所述第一病毒掃描模塊還用于當所述屬性信息庫為可信屬性信息庫時,若所述第一查 找模塊在所述可信屬性信息庫中未查找到與所述待檢測屬性信息相同的可信屬性信息,則 根據(jù)病毒庫對所述待檢測文件進行病毒掃描;第一添加模塊,用于當所述屬性信息庫為可疑屬性信息庫時,若經(jīng)過所述第一病毒掃 描模塊掃描后的所述待檢測文件為病毒文件,則將用于承載所述待檢測文件的應(yīng)用協(xié)議的 屬性信息作為可疑屬性信息添加到所述可疑屬性信息庫中;所述第一添加模塊還用于當所述屬性信息庫為可信屬性信息庫時,若經(jīng)過所述第一病 毒掃描模塊掃描后的所述待檢測文件為安全文件,則將用于承載所述待檢測文件的應(yīng)用協(xié) 議的屬性信息作為可信屬性信息添加到所述可信屬性信息庫中。
7. 根據(jù)權(quán)利要求5或6所述的病毒檢測裝置,其特征在于,還包括 第一刪除模塊,用于若所述屬性信息庫中的屬性信息的保留時間超過預(yù)置的有效期,則從所述屬性信息庫中刪除所述屬性信息; 和/或,第二病毒掃描模塊,用于按照預(yù)設(shè)的時間間隔,根據(jù)病毒庫對所述屬性信息對應(yīng)的應(yīng) 用協(xié)議承載的待檢測文件進行病毒掃描;第二刪除模塊,用于當所述屬性信息庫為可疑屬性信息庫時,若經(jīng)過所述第二病毒掃 描模塊掃描后的所述待檢測文件為安全文件,則刪除用于承載所述待檢測文件的應(yīng)用協(xié)議的所述可疑屬性信息;所述第二刪除模塊還用于當所述屬性信息庫為可信屬性信息庫時,若經(jīng)過所述第二病 毒掃描模塊掃描后的所述待檢測文件為病毒文件,則刪除用于承載所述待檢測文件的應(yīng)用 協(xié)議的所述可信屬性信息;第二刷新模塊,用于當所述屬性信息庫為可疑屬性信息庫時,若經(jīng)過所述第二病毒掃 描模塊掃描后的所述待檢測文件為病毒文件,則刷新用于承載所述待檢測文件的應(yīng)用協(xié)議 的所述可疑屬性信息的有效期;所述第二刷新模塊還用于當所述屬性信息庫為可信屬性信息庫時,若經(jīng)過所述第二病 毒掃描模塊掃描后的所述待檢測文件為安全文件,則刷新用于承載所述待檢測文件的應(yīng)用 協(xié)議的所述可信屬性信息的有效期。
8. 根據(jù)權(quán)利要求6所述的病毒檢測裝置,其特征在于,當所述屬性信息庫為可信屬性 信息庫時,所述第一添加模塊包括統(tǒng)計單元,用于若經(jīng)過所述第一病毒掃描模塊掃描后的所述待檢測文件為安全文件, 統(tǒng)計用于承載所述待檢測文件的應(yīng)用協(xié)議的訪問次數(shù);添加單元,用于將所述訪問次數(shù)大于預(yù)設(shè)第一閾值的所述應(yīng)用協(xié)議的屬性信息,作為 可信屬性信息添加到所述可信屬性信息庫中。
9. 一種網(wǎng)關(guān)設(shè)備,該網(wǎng)關(guān)設(shè)備包括如權(quán)利要求5-8任一所述的病毒檢測裝置。
全文摘要
本發(fā)明實施例提供了一種病毒檢測方法、裝置和網(wǎng)關(guān)設(shè)備,該方法包括獲取用于承載待檢測文件的應(yīng)用協(xié)議的待檢測屬性信息,根據(jù)待檢測屬性信息,在當前的屬性信息庫中進行查找;屬性信息庫包括可疑屬性信息庫或可信屬性信息庫;當在可疑屬性信息庫中查找到與待檢測屬性信息相同的可疑屬性信息時,判斷待檢測文件為病毒文件;當在可信屬性信息庫中查找到與待檢測屬性信息相同的可信屬性信息時,判斷待檢測文件為安全文件。本發(fā)明實施例根據(jù)應(yīng)用協(xié)議的待檢測屬性信息,在當前的可疑屬性信息庫中進行查找以判斷待檢測文件是否為病毒文件,避免了對每個待檢測文件都要根據(jù)病毒庫進行病毒掃描,提高了網(wǎng)關(guān)防病毒方法的掃描性能,且成本較低。
文檔編號H04L12/26GK101795267SQ20091025893
公開日2010年8月4日 申請日期2009年12月30日 優(yōu)先權(quán)日2009年12月30日
發(fā)明者倪秀英 申請人:成都市華為賽門鐵克科技有限公司