專(zhuān)利名稱(chēng)：安全網(wǎng)關(guān)的病毒檢測(cè)方法及裝置的制作方法
技術(shù)領(lǐng)域：
本發(fā)明涉及通信領(lǐng)域，具體而言，涉及一種安全網(wǎng)關(guān)的病毒檢測(cè)方法及裝置。
背景技術(shù)：
伴隨著網(wǎng)絡(luò)和網(wǎng)民數(shù)量的持續(xù)增多，網(wǎng)絡(luò)的帶寬快速增大，為網(wǎng)絡(luò)應(yīng)用創(chuàng)造了良好的環(huán)境，繼傳統(tǒng)超文本傳輸協(xié)議(Hypertext Transfer Protocol,簡(jiǎn)稱(chēng)為HTTP)、電子郵件(Email)之后，網(wǎng)絡(luò)視頻會(huì)議、虛擬專(zhuān)用網(wǎng)絡(luò)(Virtual Private Network,簡(jiǎn)稱(chēng)為VPN)企業(yè)私網(wǎng)、點(diǎn)對(duì)點(diǎn)(Peer to Peer，簡(jiǎn)稱(chēng)為P2P)視頻、即時(shí)聊天、WEB 2. O、電子商務(wù)各種應(yīng)用也隨之興起。伴隨著網(wǎng)絡(luò)規(guī)模的擴(kuò)張，伴隨著我們對(duì)網(wǎng)絡(luò)依賴(lài)性的增強(qiáng)，網(wǎng)絡(luò)威脅也日益增大，在這些威脅中，以應(yīng)用為目標(biāo)或載體的威脅日益增多。在這種情況下，安全網(wǎng)關(guān)應(yīng)運(yùn)而生了。安全網(wǎng)關(guān)是指設(shè)置在不同網(wǎng)絡(luò)或網(wǎng)絡(luò)安全域之間的一系列部件的組合的統(tǒng)稱(chēng)。它 可以通過(guò)監(jiān)測(cè)、限制、更改跨越安全網(wǎng)關(guān)的數(shù)據(jù)流，盡可能的對(duì)外部屏蔽網(wǎng)絡(luò)內(nèi)部的信息、結(jié)構(gòu)和運(yùn)行狀況，并通過(guò)檢測(cè)阻斷威脅，以及網(wǎng)路數(shù)據(jù)加密等手段來(lái)實(shí)現(xiàn)網(wǎng)絡(luò)和信息的安全。安全網(wǎng)關(guān)防病毒主要針對(duì)HTTP/HTTPS、文件傳輸協(xié)議(File Transfer Protocol,簡(jiǎn)稱(chēng)為FTP)、簡(jiǎn)單郵件傳輸協(xié)議(Simple Mail Transfer Protocol，簡(jiǎn)稱(chēng)為SMTP)、郵局協(xié)議的第3個(gè)版本(Post Office Protocol 3，簡(jiǎn)稱(chēng)為POP3)等協(xié)議流量進(jìn)行雙向的過(guò)濾掃描，來(lái)達(dá)到對(duì)企業(yè)內(nèi)網(wǎng)用戶(hù)和服務(wù)器的保護(hù)，并防止內(nèi)網(wǎng)已感染病毒的客戶(hù)端和服務(wù)器對(duì)外擴(kuò)散病毒。同時(shí)對(duì)于企業(yè)而言，找尋性能和檢測(cè)率、漏判之間的平衡，將成為企業(yè)防病毒成敗的關(guān)鍵。為了提升病毒檢測(cè)的性能，目前主流解決方案主要有兩種一種是串流掃描技術(shù)。串流掃描方案由于優(yōu)先考慮用戶(hù)的網(wǎng)絡(luò)使用體驗(yàn)，不得不簡(jiǎn)化病毒掃描流程，對(duì)一些較復(fù)雜的文件不能進(jìn)行深入的檢測(cè)，會(huì)造成病毒的漏判；另外當(dāng)網(wǎng)絡(luò)流量較大時(shí)，很多掃描不能在文件傳輸之前完成，這就造成實(shí)際上的病毒掃描功能失效。另一種是借助專(zhuān)用集成電路(Application SpecificIntegrated Circuit,簡(jiǎn)稱(chēng)為ASIC)加速卡將由代理緩存下來(lái)的整個(gè)文件做深度內(nèi)容掃描檢測(cè)與特征匹配，該方案一定程度上提升了掃描性能問(wèn)題和病毒檢測(cè)率。但是隨著企業(yè)、用戶(hù)接入帶寬的不斷提升和應(yīng)用的不斷增多，通過(guò)安全網(wǎng)關(guān)的網(wǎng)絡(luò)流量也不斷增大，應(yīng)用在安全網(wǎng)關(guān)中現(xiàn)有的串流掃描技術(shù)和上述深度掃描技術(shù)在面對(duì)不斷增加的網(wǎng)絡(luò)流量已經(jīng)顯得力不從心；同時(shí)，雖然現(xiàn)在安全網(wǎng)關(guān)中較多的使用上述深度掃描技術(shù)，但該技術(shù)需要先將整個(gè)文件存儲(chǔ)在緩存中，再對(duì)整個(gè)文件內(nèi)容做深度內(nèi)容掃描檢測(cè)與特征匹配，且要等整個(gè)文件檢測(cè)完成之后，才能進(jìn)行下一次病毒檢測(cè)，然而在文件的前部已經(jīng)檢測(cè)到病毒的情況下，已經(jīng)可以判定該整個(gè)文件存在病毒，因此對(duì)該文件的后續(xù)部分的掃描是沒(méi)有必要的，這種處理方式，隨著單個(gè)文件的增大，病毒檢測(cè)的效率將變得低下。針對(duì)相關(guān)技術(shù)中安全網(wǎng)關(guān)在防病毒過(guò)程中檢測(cè)病毒的效率低的問(wèn)題，目前尚未提出有效的解決方案。

發(fā)明內(nèi)容
本發(fā)明提供了一種安全網(wǎng)關(guān)的病毒檢測(cè)方法及裝置，以至少解決相關(guān)技術(shù)中安全網(wǎng)關(guān)在防病毒過(guò)程中檢測(cè)病毒的效率低的問(wèn)題。根據(jù)本發(fā)明的一個(gè)方面，提供了一種安全網(wǎng)關(guān)的病毒檢測(cè)方法，該方法包括對(duì)接收的文件按照預(yù)定大小的文件塊分別進(jìn)行病毒檢測(cè)；當(dāng)檢測(cè)到上述文件的文件塊中有文件塊攜帶病毒時(shí)，進(jìn)行提示。優(yōu)選地，對(duì)接收的文件按照預(yù)定大小的文件塊分別進(jìn)行病毒檢測(cè)包括對(duì)上述文件的文件塊分別進(jìn)行哈希HASH處理；對(duì)處理后的文件塊分別進(jìn)行病毒檢測(cè)。優(yōu)選地，對(duì)接收的文件 按照預(yù)定大小的文件塊分別進(jìn)行病毒檢測(cè)包括判斷文件的大小是否大于預(yù)定大?。蝗绻募拇笮〈笥陬A(yù)定大小，對(duì)該文件按照預(yù)定大小的文件塊分別進(jìn)行病毒檢測(cè)；如果文件的大小不大于預(yù)定大小，上述方法還包括直接對(duì)該文件進(jìn)行病毒檢測(cè)。優(yōu)選地，在對(duì)接收的文件按照預(yù)定大小的文件塊分別進(jìn)行病毒檢測(cè)之后，上述方法還包括將檢測(cè)結(jié)果存儲(chǔ)到安全網(wǎng)關(guān)的緩沖區(qū)中。優(yōu)選地，上述檢測(cè)結(jié)果包括關(guān)鍵詞及其對(duì)應(yīng)的值，其中，上述關(guān)鍵詞包括進(jìn)行HASH處理后的文件的統(tǒng)一資源定位符(Uniform Resource Locator,簡(jiǎn)稱(chēng)為URL)和進(jìn)行HASH處理后的文件的預(yù)定大小的文件塊的內(nèi)容；上述對(duì)應(yīng)的值包括病毒檢測(cè)的結(jié)果和檢測(cè)時(shí)間。優(yōu)選地，在對(duì)接收的文件按照預(yù)定大小的文件塊分別進(jìn)行病毒檢測(cè)之前，上述方法還包括查找緩沖區(qū)中存儲(chǔ)的檢測(cè)結(jié)果當(dāng)上述文件的內(nèi)容與緩沖區(qū)中的檢測(cè)結(jié)果中的文件內(nèi)容匹配時(shí)，以緩沖區(qū)中對(duì)應(yīng)的檢測(cè)結(jié)果進(jìn)行提示。優(yōu)選地，在將檢測(cè)結(jié)果存儲(chǔ)到安全網(wǎng)關(guān)的緩沖區(qū)中之后，上述方法還包括按照預(yù)定時(shí)間清理緩沖區(qū)中的檢測(cè)結(jié)果。優(yōu)選地，進(jìn)行提示包括更改HTTP回應(yīng)，返回錯(cuò)誤提示碼。根據(jù)本發(fā)明的另一個(gè)方面，提供了一種安全網(wǎng)關(guān)的病毒檢測(cè)裝置，該裝置包括檢測(cè)模塊，用于對(duì)接收的文件按照預(yù)定大小的文件塊分別進(jìn)行病毒檢測(cè)；提示模塊，用于當(dāng)檢測(cè)到上述文件的文件塊中有文件塊攜帶病毒時(shí)，進(jìn)行提示。優(yōu)選地，檢測(cè)模塊包括處理單元，用于對(duì)文件的文件塊分別進(jìn)行哈希HASH處理；檢測(cè)單元，用于對(duì)處理后的文件塊分別進(jìn)行病毒檢測(cè)。通過(guò)本發(fā)明，對(duì)接收的文件按照預(yù)定大小的文件塊分別進(jìn)行病毒檢測(cè)；當(dāng)檢測(cè)到上述文件的文件塊中有文件塊攜帶病毒時(shí)，進(jìn)行提示，解決了相關(guān)技術(shù)中安全網(wǎng)關(guān)在防病毒過(guò)程中檢測(cè)病毒的效率低的問(wèn)題，進(jìn)而提高了檢測(cè)病毒的效率。


此處所說(shuō)明的附圖用來(lái)提供對(duì)本發(fā)明的進(jìn)一步理解，構(gòu)成本申請(qǐng)的一部分，本發(fā)明的示意性實(shí)施例及其說(shuō)明用于解釋本發(fā)明，并不構(gòu)成對(duì)本發(fā)明的不當(dāng)限定。在附圖中圖I是根據(jù)本發(fā)明實(shí)施例的安全網(wǎng)關(guān)的病毒檢測(cè)方法的流程圖2是根據(jù)本發(fā)明實(shí)施例的安全網(wǎng)關(guān)的病毒檢測(cè)裝置的結(jié)構(gòu)框圖；圖3是根據(jù)本發(fā)明優(yōu)選實(shí)施例的安全網(wǎng)關(guān)的病毒檢測(cè)裝置的結(jié)構(gòu)框圖一；圖4是根據(jù)本發(fā)明優(yōu)選實(shí)施例的安全網(wǎng)關(guān)的病毒檢測(cè)裝置的結(jié)構(gòu)框圖二 ；圖5是根據(jù)本發(fā)明優(yōu)選實(shí)施例的安全網(wǎng)關(guān)的病毒檢測(cè)方法的流程圖。
具體實(shí)施例方式需要說(shuō)明的是，在不沖突的情況下，本申請(qǐng)中的實(shí)施例及實(shí)施例中的特征可以相互組合。下面將參考附圖并結(jié)合實(shí)施例來(lái)詳細(xì)說(shuō)明本發(fā)明。本發(fā)明實(shí)施例提供了一種安全網(wǎng)關(guān)的病毒檢測(cè)方法，圖I是根據(jù)本發(fā)明實(shí)施例的安全網(wǎng)關(guān)的病毒檢測(cè)方法的流程圖，如圖I所示，包括如下的步驟
步驟S102，對(duì)接收的文件按照預(yù)定大小的文件塊分別進(jìn)行病毒檢測(cè)；步驟S104，當(dāng)檢測(cè)到文件的文件塊中有文件塊攜帶病毒時(shí)，進(jìn)行提示。通過(guò)上述步驟，對(duì)接收的文件按照預(yù)定大小的文件塊分別進(jìn)行病毒檢測(cè)；當(dāng)檢測(cè)到上述文件的文件塊中有文件塊攜帶病毒時(shí)，進(jìn)行提示，解決了相關(guān)技術(shù)中安全網(wǎng)關(guān)在防病毒過(guò)程中檢測(cè)病毒的效率低的問(wèn)題，進(jìn)而提高了檢測(cè)病毒的效率。在一個(gè)優(yōu)選的實(shí)施方式中，對(duì)在步驟S102中的病毒檢測(cè)可以采用HASH處理的方式，即對(duì)文件塊分別進(jìn)行HASH處理；對(duì)處理后的文件塊分別進(jìn)行病毒檢測(cè)。該方法通過(guò)先對(duì)預(yù)定大小的文件塊進(jìn)行HASH處理，得到一個(gè)固定長(zhǎng)度的HASH值，然后將上述HASH值與病毒的特征碼進(jìn)行匹配，一般地，文件經(jīng)HASH處理后的長(zhǎng)度較小，對(duì)較小長(zhǎng)度的文件進(jìn)行病毒檢測(cè)，發(fā)現(xiàn)病毒則及時(shí)提示，從而大大提高了檢測(cè)病毒的效率。其中，預(yù)定大小可以是64Kbyte、32Kbyte、16Kbyte等，其中，選擇32Kbyte，病毒檢測(cè)效率的提高比較顯著。實(shí)際應(yīng)用中，可以根據(jù)實(shí)際需要選擇合適的大小，此處并不做限定。上述預(yù)定大小的文件塊可以是文件中的一個(gè)部分，該部分可以依賴(lài)于文件的其他部分而存在，例如，整個(gè)文件或者報(bào)文中的一定長(zhǎng)度的二進(jìn)制編碼，該部分也可以獨(dú)立于文件的其他部分而存在，例如，文件中的一個(gè)或者多個(gè)報(bào)文，在此處并不做限定。需要說(shuō)明的是，上述HASH處理方式僅僅是一種優(yōu)選的處理方式，還可以采用其他的可以將文件處理為固定長(zhǎng)度的處理方式對(duì)文件塊進(jìn)行病毒檢測(cè)，無(wú)論是哪種處理方式，由于其均是對(duì)文件塊進(jìn)行檢測(cè)，因此，均能夠解決技術(shù)問(wèn)題。在一個(gè)優(yōu)選的實(shí)施方式中，可以先判斷接收的文件的大小是否大于預(yù)定大小，再根據(jù)判斷結(jié)果進(jìn)行病毒檢測(cè)，本優(yōu)選實(shí)施方式可以通過(guò)以下步驟實(shí)現(xiàn)判斷文件的大小是否大于預(yù)定大??；如果文件的大小大于預(yù)定大小，對(duì)該文件按照預(yù)定大小的文件塊分別進(jìn)行病毒檢測(cè)；如果文件的大小不大于預(yù)定大小，上述方法還包括直接對(duì)該文件進(jìn)行病毒檢測(cè)。本優(yōu)選實(shí)施方式能夠根據(jù)文件的大小靈活處理，增加了系統(tǒng)的實(shí)用性。在一個(gè)優(yōu)選實(shí)施方式中，可以將病毒檢測(cè)結(jié)果存儲(chǔ)起來(lái)，方便用戶(hù)后續(xù)查看或使用，本優(yōu)選實(shí)施方式可以通過(guò)以下步驟實(shí)現(xiàn)在對(duì)接收的文件按照預(yù)定大小的文件塊分別進(jìn)行病毒檢測(cè)之后，將檢測(cè)結(jié)果存儲(chǔ)到安全網(wǎng)關(guān)的緩沖區(qū)中。需要說(shuō)明的是，該檢測(cè)結(jié)果可以是檢測(cè)出有病毒的文件的檢測(cè)結(jié)果，也可以是檢測(cè)出沒(méi)有病毒的文件的檢測(cè)結(jié)果，也可以是二者檢測(cè)結(jié)果的總和，此處并沒(méi)有限制該檢測(cè)結(jié)果的內(nèi)容。較優(yōu)地，檢測(cè)結(jié)果可以包括關(guān)鍵詞及其對(duì)應(yīng)的值，其中，關(guān)鍵詞包括進(jìn)行HASH處理后的文件的URL和進(jìn)行HASH處理后的文件的預(yù)定大小的文件塊的內(nèi)容；對(duì)應(yīng)的值包括病毒檢測(cè)的結(jié)果和檢測(cè)時(shí)間。本優(yōu)選實(shí)施方式提供了一種檢測(cè)結(jié)果的具體的保存形式，其中使用URL或者上述文件塊內(nèi)容的HASH值保存病毒檢測(cè)結(jié)果，通過(guò)匹配這些HASH值，能夠使查找對(duì)應(yīng)的檢測(cè)結(jié)果的效率更高。當(dāng)然，也可以采用其它的保存形式，例如，保存文件塊的內(nèi)容及其對(duì)應(yīng)的病毒檢測(cè)結(jié)果，保存文件塊的內(nèi)容、對(duì)應(yīng)的病毒檢測(cè)結(jié)果和檢測(cè)時(shí)間，或者，文件的URL和對(duì)應(yīng)的病毒檢測(cè)結(jié)果等。無(wú)論采用怎樣的保存形式，只要便于用戶(hù)查看檢測(cè)結(jié)果即可。在緩沖區(qū)中保存有病毒檢測(cè)結(jié)果的情況下，在對(duì)接收的文件按照預(yù)定大小的文件塊分別進(jìn)行病毒檢測(cè)之前，上述方法還可以包括查找緩沖區(qū)中存儲(chǔ)的檢測(cè)結(jié)果，當(dāng)文件的內(nèi)容與緩沖區(qū)中的檢測(cè)結(jié)果中的文件內(nèi)容匹配時(shí)，以緩沖區(qū)中對(duì)應(yīng)的檢測(cè)結(jié)果進(jìn)行提示。本優(yōu)選實(shí)施方式在對(duì)文件或者文件塊進(jìn)行病毒檢測(cè)前，先查找緩沖區(qū)中是 否存在與該文件或文件塊內(nèi)容相同的文件或文件塊的檢測(cè)結(jié)果，如果存在，則可以直接使用該檢測(cè)結(jié)果進(jìn)行提示，從而能夠減少系統(tǒng)開(kāi)銷(xiāo)，同時(shí)提高檢測(cè)效率。較優(yōu)地，如果緩沖區(qū)中存儲(chǔ)的檢測(cè)結(jié)果是檢測(cè)出有病毒的文件的檢測(cè)結(jié)果，則對(duì)匹配該檢測(cè)結(jié)果的文件或者文件塊，使用對(duì)應(yīng)的檢測(cè)結(jié)果進(jìn)行提示；如果緩沖區(qū)中存儲(chǔ)的檢測(cè)結(jié)果是檢測(cè)出沒(méi)有病毒的文件的檢測(cè)結(jié)果，則對(duì)匹配該檢測(cè)結(jié)果的文件或者文件塊可以不再進(jìn)行病毒檢測(cè)，也可以不再進(jìn)行提示；如果存儲(chǔ)的檢測(cè)結(jié)果是所有的文件或者文件塊的檢測(cè)結(jié)果，則可以結(jié)合前述的兩種情況靈活處理。在將檢測(cè)結(jié)果存儲(chǔ)到安全網(wǎng)關(guān)的緩沖區(qū)中之后，上述方法還可以包括按照預(yù)定時(shí)間清理緩沖區(qū)中的檢測(cè)結(jié)果。通過(guò)定期清理緩沖區(qū)中保存的過(guò)舊的或者失效的檢測(cè)結(jié)果，能夠節(jié)省緩沖區(qū)的空間，提高緩沖區(qū)的吞吐能力。較優(yōu)地，可以根據(jù)檢測(cè)時(shí)間，將預(yù)定時(shí)間段之前的檢測(cè)結(jié)果刪除，也可以在預(yù)定時(shí)間之后，將所有的檢測(cè)結(jié)果刪除。還有其他的觸發(fā)清理緩沖區(qū)中的檢測(cè)結(jié)果的方式，比如按照檢測(cè)結(jié)果所占用的緩沖區(qū)的大小，將較舊的、且超出預(yù)定緩沖區(qū)大小的數(shù)據(jù)刪除。在上述步驟中，檢測(cè)到病毒時(shí)，進(jìn)行提示的方式可以是更改HTTP回應(yīng)，返回錯(cuò)誤提示碼。在檢測(cè)出某個(gè)文件或者文件塊存在病毒時(shí)，將阻止該文件或者文件塊對(duì)應(yīng)的文件通過(guò)安全網(wǎng)關(guān)，同時(shí)，更改HTTP的回應(yīng)，調(diào)用提示模塊，向用戶(hù)返回存在病毒的錯(cuò)誤提示碼，從而達(dá)到了防病毒的功能并實(shí)現(xiàn)了與用戶(hù)的交互，提升了用戶(hù)的體驗(yàn)，提高了報(bào)告病毒的實(shí)時(shí)性。需要說(shuō)明的是，在HTTP協(xié)議流量中使用的是HTTP回應(yīng)，而在FTP、SMTP、P0P3或者其他協(xié)議中也可以使用相對(duì)應(yīng)的其他回應(yīng)，此處并不做限定。本發(fā)明實(shí)施例還提供了一種安全網(wǎng)關(guān)的病毒檢測(cè)裝置，該裝置可以用于實(shí)現(xiàn)上述安全網(wǎng)關(guān)的病毒檢測(cè)方法。圖2是根據(jù)本發(fā)明實(shí)施例的安全網(wǎng)關(guān)的病毒檢測(cè)裝置的結(jié)構(gòu)框圖，如圖2所示，該裝置包括第一檢測(cè)模塊202和提示模塊204，其中，第一檢測(cè)模塊202，用于對(duì)接收的文件按照預(yù)定大小的文件塊分別進(jìn)行病毒檢測(cè)；提示模塊204，耦合至第一檢測(cè)模塊202，用于當(dāng)檢測(cè)到文件的文件塊中有文件塊攜帶病毒時(shí)，進(jìn)行提示。通過(guò)上述裝置，采用第一檢測(cè)模塊202對(duì)接收的文件按照預(yù)定大小的文件塊分別進(jìn)行病毒檢測(cè)；當(dāng)檢測(cè)到上述文件的文件塊中有文件塊攜帶病毒時(shí)，由提示模塊204進(jìn)行提示，解決了相關(guān)技術(shù)中安全網(wǎng)關(guān)在防病毒過(guò)程中檢測(cè)病毒的效率低的問(wèn)題，提高了檢測(cè)病毒的效率。
圖3是根據(jù)本發(fā)明優(yōu)選實(shí)施例的安全網(wǎng)關(guān)的病毒檢測(cè)裝置的結(jié)構(gòu)框圖一，如圖3所示，上述第一檢測(cè)模塊202可以包括處理單元2022，用于對(duì)文件的文件塊分別進(jìn)行HASH處理；第一檢測(cè)單元2024，耦合至處理單元2022，用于對(duì)處理后的文件塊分別進(jìn)行病毒檢測(cè)。如圖4所示，第一檢測(cè)模塊202包括判斷單元2026，用于判斷文件的大小是否大于預(yù)定大?。坏诙z測(cè)單元2028，耦合至判斷單元2026，用于在文件的大小大于預(yù)定大小的情況下，對(duì)該文件按照預(yù)定大小的文件塊分別進(jìn)行病毒檢測(cè)；上述裝置還包括第二檢測(cè)模塊206，耦合至第一檢測(cè)模塊202，用于在文件的大小不大于預(yù)定大小的情況下，直接對(duì)該文件進(jìn)行病毒檢測(cè)。在實(shí)施過(guò)程中，上述裝置還可以包括存儲(chǔ)模塊208，耦合至第一檢測(cè)模塊202和提示模塊204之間，用于將檢測(cè)結(jié)果存儲(chǔ)到安全網(wǎng)關(guān)的緩沖區(qū)中。檢測(cè)結(jié)果可以包括關(guān)鍵詞及其對(duì)應(yīng)的值，其中，關(guān)鍵詞包括進(jìn)行HASH處理后的文件的URL和進(jìn)行HASH處理后的文件的預(yù)定大小的文件塊的內(nèi)容；對(duì)應(yīng)的值包括病毒檢 測(cè)的結(jié)果和檢測(cè)時(shí)間。為了進(jìn)一步提升病毒檢測(cè)的效率，上述裝置還可以包括查找模塊210，耦合至第一檢測(cè)模塊202和提示模塊204，用于查找緩沖區(qū)中存儲(chǔ)的檢測(cè)結(jié)果，在這種情況下，提示模塊204，用于在文件的內(nèi)容與緩沖區(qū)中的檢測(cè)結(jié)果中的文件內(nèi)容匹配的情況下，以緩沖區(qū)中對(duì)應(yīng)的檢測(cè)結(jié)果進(jìn)行提示。較優(yōu)地，上述裝置還可以包括清理模塊212，耦合至提示模塊204，用于按照預(yù)定時(shí)間清理緩沖區(qū)中的檢測(cè)結(jié)果。在實(shí)施過(guò)程中，提示模塊204進(jìn)行提示的方式可以包括更改HTTP回應(yīng)，返回錯(cuò)誤提示碼。需要說(shuō)明的是，裝置實(shí)施例中描述的安全網(wǎng)關(guān)的病毒檢測(cè)裝置對(duì)應(yīng)于上述的方法實(shí)施例，其具體的實(shí)現(xiàn)過(guò)程在方法實(shí)施例中已經(jīng)進(jìn)行過(guò)詳細(xì)說(shuō)明，在此不再贅述。為了使本發(fā)明的技術(shù)方案和實(shí)現(xiàn)方法更加清楚，下面將結(jié)合優(yōu)選的實(shí)施例對(duì)其實(shí)現(xiàn)過(guò)程進(jìn)行詳細(xì)描述。圖5是根據(jù)本發(fā)明優(yōu)選實(shí)施例的安全網(wǎng)關(guān)的病毒檢測(cè)方法的流程圖，如圖5所示，該方法是一種安全網(wǎng)關(guān)對(duì)HTTP協(xié)議的流量進(jìn)行病毒檢測(cè)的方法，其中，通過(guò)查詢(xún)文件的文件頭中的信息，可以將文件按照大小分類(lèi)處理。該方法包括如下的步驟步驟S502,判斷通過(guò)安全網(wǎng)關(guān)的文件是否大于預(yù)定大小32Kbyte,如果是,進(jìn)入步驟S504，否則進(jìn)入步驟S506 ；步驟S504，在未收到文件的前32Kbyte內(nèi)容之前，將內(nèi)容緩存在緩沖區(qū)中不進(jìn)行掃描，也不進(jìn)行發(fā)送；當(dāng)收到文件的前32Kbyte內(nèi)容后，首先對(duì)這32Kbyte內(nèi)容進(jìn)行HASH處理，得到一個(gè)128bit的HASH值；步驟S506，對(duì)整個(gè)文件進(jìn)行HASH處理，得到一個(gè)128bit的HASH值；步驟S508，掃描病毒前，先根據(jù)上述32Kbyte內(nèi)容或整個(gè)文件的128bit的HASH值，查找緩沖區(qū)中的掃描結(jié)果，如果存在上述文件的掃描結(jié)果，則直接進(jìn)入步驟S512，否則進(jìn)入步驟S510 ；步驟S510，掃描病毒，且每次掃描病毒后緩存掃描結(jié)果。S卩，存儲(chǔ)Key-Value對(duì)在緩沖區(qū)中，其中，Key=HASH (URL，前32Kbyte文件內(nèi)容)；Value=(掃毒結(jié)果，掃描時(shí)間)；步驟S512，當(dāng)掃描的32Kbyte內(nèi)容存在病毒時(shí)，跳過(guò)該文件剩余部分的掃描；步驟S514，更改HTTP回應(yīng)，提示錯(cuò)誤提示碼，通知用戶(hù)；步驟S516，定時(shí)清理緩沖區(qū)中老化的掃描結(jié)果。上述步驟利用緩存技術(shù)，提升了安全網(wǎng)關(guān)病毒檢測(cè)警告的實(shí)時(shí)性及處理病毒的能力。利用32Kbyte緩存可以在發(fā)現(xiàn)病毒的早期就提示用戶(hù)，而不是等到用戶(hù)收到最后一個(gè)報(bào)文(或者文件塊)才發(fā)出警告，同時(shí)，上述步驟還可以大大提高在互聯(lián)網(wǎng)出口處重復(fù)的URL訪問(wèn)時(shí)，掃描病毒的速度。需要說(shuō)明的是，在附圖的流程圖示出的步驟可以在諸如一組計(jì)算機(jī)可執(zhí)行指令的計(jì)算機(jī)系統(tǒng)中執(zhí)行，并且，雖然在流程圖中示出了邏輯順序，但是在某些情況下，可以以不同于此處的順序執(zhí)行所示出或描述的步驟。 綜上所述，根據(jù)本發(fā)明的上述實(shí)施例，安全網(wǎng)關(guān)對(duì)接收的文件按照預(yù)定大小的文件塊分別進(jìn)行病毒檢測(cè)；當(dāng)檢測(cè)到上述文件的文件塊中有文件塊攜帶病毒時(shí)，立即拒絕上述文件通過(guò)安全網(wǎng)關(guān)，并進(jìn)行提示，解決了相關(guān)技術(shù)中安全網(wǎng)關(guān)在防病毒過(guò)程中檢測(cè)病毒的效率低的問(wèn)題，進(jìn)而提高了檢測(cè)病毒的效率。顯然，本領(lǐng)域的技術(shù)人員應(yīng)該明白，上述的本發(fā)明的各模塊或各步驟可以用通用的計(jì)算裝置來(lái)實(shí)現(xiàn)，它們可以集中在單個(gè)的計(jì)算裝置上，或者分布在多個(gè)計(jì)算裝置所組成的網(wǎng)絡(luò)上，可選地，它們可以用計(jì)算裝置可執(zhí)行的程序代碼來(lái)實(shí)現(xiàn)，從而，可以將它們存儲(chǔ)在存儲(chǔ)裝置中由計(jì)算裝置來(lái)執(zhí)行，或者將它們分別制作成各個(gè)集成電路模塊，或者將它們中的多個(gè)模塊或步驟制作成單個(gè)集成電路模塊來(lái)實(shí)現(xiàn)。這樣，本發(fā)明不限制于任何特定的硬件和軟件結(jié)合。以上所述僅為本發(fā)明的優(yōu)選實(shí)施例而已，并不用于限制本發(fā)明，對(duì)于本領(lǐng)域的技術(shù)人員來(lái)說(shuō)，本發(fā)明可以有各種更改和變化。凡在本發(fā)明的精神和原則之內(nèi)，所作的任何修改、等同替換、改進(jìn)等，均應(yīng)包含在本發(fā)明的保護(hù)范圍之內(nèi)。
權(quán)利要求
1.一種安全網(wǎng)關(guān)的病毒檢測(cè)方法，其特征在于包括 對(duì)接收的文件按照預(yù)定大小的文件塊分別進(jìn)行病毒檢測(cè)； 當(dāng)檢測(cè)到所述文件的文件塊中有文件塊攜帶病毒時(shí)，進(jìn)行提示。
2.根據(jù)權(quán)利要求I所述的方法，其特征在于，對(duì)接收的文件按照預(yù)定大小的文件塊分別進(jìn)行病毒檢測(cè)包括 對(duì)所述文件的文件塊分別進(jìn)行哈希HASH處理； 對(duì)處理后的文件塊分別進(jìn)行病毒檢測(cè)。
3.根據(jù)權(quán)利要求I或2所述的方法，其特征在于， 對(duì)接收的文件按照預(yù)定大小的文件塊分別進(jìn)行病毒檢測(cè)包括 判斷所述文件的大小是否大于所述預(yù)定大?。? 如果所述文件的大小大于所述預(yù)定大小，對(duì)所述文件按照預(yù)定大小的文件塊分別進(jìn)行病毒檢測(cè)； 如果所述文件的大小不大于所述預(yù)定大小，所述方法還包括直接對(duì)所述文件進(jìn)行病毒檢測(cè)。
4.根據(jù)權(quán)利要求I所述的方法，其特征在于，在對(duì)接收的文件按照預(yù)定大小的文件塊分別進(jìn)行病毒檢測(cè)之后，所述方法還包括 將檢測(cè)結(jié)果存儲(chǔ)到安全網(wǎng)關(guān)的緩沖區(qū)中。
5.根據(jù)權(quán)利要求4所述的方法，其特征在于，所述檢測(cè)結(jié)果包括關(guān)鍵詞及其對(duì)應(yīng)的值，其中，所述關(guān)鍵詞包括進(jìn)行HASH處理后的所述文件的統(tǒng)一資源定位符URL和進(jìn)行HASH處理后的所述文件的預(yù)定大小的文件塊的內(nèi)容；所述對(duì)應(yīng)的值包括病毒檢測(cè)的結(jié)果和檢測(cè)時(shí)間。
6.根據(jù)權(quán)利要求4所述的方法，其特征在于，在對(duì)接收的文件按照預(yù)定大小的文件塊分別進(jìn)行病毒檢測(cè)之前，所述方法還包括 查找所述緩沖區(qū)中存儲(chǔ)的所述檢測(cè)結(jié)果 當(dāng)所述文件的內(nèi)容與所述緩沖區(qū)中的檢測(cè)結(jié)果中的文件內(nèi)容匹配時(shí)，以所述緩沖區(qū)中對(duì)應(yīng)的檢測(cè)結(jié)果進(jìn)行提示。
7.根據(jù)權(quán)利要求4所述的方法，其特征在于，在將檢測(cè)結(jié)果存儲(chǔ)到安全網(wǎng)關(guān)的緩沖區(qū)中之后，所述方法還包括按照預(yù)定時(shí)間清理所述緩沖區(qū)中的檢測(cè)結(jié)果。
8.根據(jù)權(quán)利要求I或2所述的方法，其特征在于，進(jìn)行提示包括 更改HTTP回應(yīng)，返回錯(cuò)誤提示碼。
9.一種安全網(wǎng)關(guān)的病毒檢測(cè)裝置，其特征在于包括 檢測(cè)模塊，用于對(duì)接收的文件按照預(yù)定大小的文件塊分別進(jìn)行病毒檢測(cè)； 提示模塊，用于當(dāng)檢測(cè)到所述文件的文件塊中有文件塊攜帶病毒時(shí)，進(jìn)行提示。
10.根據(jù)權(quán)利要求9所述的裝置，其特征在于，所述檢測(cè)模塊包括 處理單元，用于對(duì)所述文件的文件塊分別進(jìn)行哈希HASH處理； 檢測(cè)單元，用于對(duì)處理后的文件塊分別進(jìn)行病毒檢測(cè)。
全文摘要
本發(fā)明公開(kāi)了一種安全網(wǎng)關(guān)的病毒檢測(cè)方法及裝置，該方法包括對(duì)接收的文件按照預(yù)定大小的文件塊分別進(jìn)行病毒檢測(cè)；當(dāng)檢測(cè)到上述文件的文件塊中有文件塊攜帶病毒時(shí)，進(jìn)行提示。通過(guò)本發(fā)明，按照預(yù)定大小的文件塊對(duì)文件進(jìn)行病毒檢測(cè)，解決了相關(guān)技術(shù)中安全網(wǎng)關(guān)在防病毒過(guò)程中檢測(cè)病毒的效率較低的問(wèn)題，提高了檢測(cè)病毒的效率。
文檔編號(hào)H04L29/06GK102970294SQ201210477408
公開(kāi)日2013年3月13日 申請(qǐng)日期2012年11月21日 優(yōu)先權(quán)日2012年11月21日
發(fā)明者姚翼雄, 胡松, 劉慎增 申請(qǐng)人:網(wǎng)神信息技術(shù)(北京)股份有限公司, 網(wǎng)神科技(北京)有限公司