一种反病毒文件检测方法、装置及网络设备制造方法及图纸

本发明专利技术实施例公开了一种反病毒文件检测方法、装置及网络设备，该方法包括：接收数据包，判断所述数据包所属数据流承载的第一文件是否为可移植可执行文件类型，若为可移植可执行文件类型，则按照预置的第一检测规则，对所述数据包的载荷内容进行反病毒文件检测，得到第一检出结果，并对第一检出结果进行相应处理。本发明专利技术实施例提供的反病毒文件检测方法，可有效降低网络所传输的数据进行反病毒文件检测时网络时延，提高反病毒检测性能。

【技术实现步骤摘要】

本专利技术涉及计算机
，尤其涉及一种反病毒文件检测方法、装置及网络设备。
技术介绍
随着计算机技术的发展，人们越来越依赖计算机的同时，更加关注网络信息的安全，而防火墙正是保证网络信息安全的重要堡垒，防火墙（firewall）是一项协助确保信息安全的设备，会依照特定的规则，允许或是限制传输的数据通过，防火墙位于受保护网络和互联网之间或者位于受保护网络和终端之间，通过在防火墙的内部部署反病毒（Anti-Virus，AV）文件检测功能，可在文件流经防火墙时对所述文件进行反病毒检测，使病毒文件在进入受保护网络之前即被干预处理，达到维护网络信息安全的目的。现有的反病毒文件检测方法中一般在防火墙内设置统一的病毒检测策略，对于所有的数据、文件均执行相同的检测策略，检测方式单一，并在进行反病毒文件检测时，对于其中一些数据、文件的检测会造成额外的系统资源占用，并且可能导致网络时延增大。
技术实现思路
本专利技术实施例提供一种反病毒文件检测方法，用以解决对网络所传输的数据进行反病毒文件检测时网络时延较大的技术问题。第一方面，本专利技术实施例提供一种反病毒文件检测方法，包括：接收数据包；判断所述数据包所属数据流承载的第一文件是否为可移植可执行文件类型；若为可移植可执行文件类型，则按照预置的第一检测规则，对所述数据包的载荷内容进行反病毒文件检测，得到第一检出结果；若第一检出结果指示所述数据包的载荷内容符合病毒文件的特征，则将所述数据包告警或者阻断；若第一检出结果指示所述数据包的载荷内容符合正常文件的特征，则传输所述数据包；若第一检出结果指示未知或继续检测，则缓存所述数据包的载荷内容以及所述数据流的后续数据包的载荷内容，得到完整的第一文件，按照预置的第二检测规则对所述完整的第一文件进行反病毒文件检测，得到第二检出结果。结合第一方面，在第一方面的第一种可能的实现方式中，所述缓存所述数据包的载荷内容，包括：检测缓存资源占用量是否超过缓存阈值；若超过缓存阈值，释放当前已缓存的部分第一文件所占用的存储资源；若释放当前已缓存的部分第一文件所占用的存储资源后，所述缓存资源占用量仍超过缓存阈值，则对新接收到的数据包，按照所述第一检测规则，对所述新接收到的数据包的载荷内容进行反病毒文件检测，所述新接收到的数据包为所述数据流的后续数据包，或者用以承载第二文件的数据流中的数据包；若未超过缓存阈值，则缓存所述数据包的载荷内容。结合第一方面，或者第一方面的第一种可能的实现方式，在第一方面的第二种可能的实现方式中，所述得到第二检出结果，包括：若第二检出结果指示所述第一文件为病毒文件，则释放所述第一文件所占用的存储资源，并发送告警；若第二检出结果指示所述第一文件为正常文件，则传输所述第一文件后释放所述第一文件占用的存储资源。结合第一方面的第一种可能的实现方式，或者第一方面的第二种可能的实现方式，在第一方面的第三种可能的实现方式中，所述若第二检出结果指示所述第一文件为病毒文件，则释放所述第一文件所占用的存储资源之前，还包括：获取并保存承载所述第一文件的数据流中的各数据包的特征标识。结合第一方面的第一种可能的实现方式，或者第一方面的第二种可能的实现方式，或者第一方面的第三种可能的实现方式，在第一方面的第四种可能的实现方式中，若为非可移植可执行文件类型，所述方法还包括：缓存承载所述第一文件的数据流的后续数据包的载荷内容，得到完整的第一文件，按照预置的第三检测规则对所述完整的第一文件进行反病毒文件检测，得到第三检出结果。结合第一方面的第四中可能的实现方式，在第一方面的第五种可能的实现方式中，所述得到第三检出结果，包括：若第三检出结果指示所述完整的第一文件为病毒文件，释放所述第一文件所占用的存储资源，并发送告警，或者阻断所述完整的第一文件；若第三检出结果指示所述完整的第一文件为正常文件，则传输所述完整的第一文件后释放所述完整的第一文件占用的存储资源。第二方面，本专利技术提供一种反病毒文件检测装置，包括：接收模块、判断模块、第一执行模块，接收模块，用于接收数据包；判断模块，用于所述接收模块接收数据包后，判断所述数据包所属数据流承载的第一文件是否为可移植可执行文件类型；第一执行模块，用于所述接收模块接收数据包后，判断模块判断所述数据包所属数据流承载的第一文件为可移植可执行文件类型时，按照预置的第一检测规则，对所述数据包的载荷内容进行反病毒文件检测，得到第一检出结果；其中，所述第一执行模块包括：第一处理单元，用于若第一检出结果指示所述数据包的载荷内容符合病毒文件的特征，则将所述数据包告警或者阻断；第二处理单元，用于若第一检出结果指示所述数据包的载荷内容符合正常文件的特征，则传输所述数据包；第三处理单元，用于若第一检出结果指示未知或继续检测，则缓存所述数据包的载荷内容及所述数据流的后续数据包的载荷内容，得到完整的第一文件，按照预置的第二检测规则对所述完整的第一文件进行反病毒文件检测，得到第二检出结果。结合第二方面，在第二方面的第一种可能的实现方式中，所述第三处理单元包括：缓存检测子单元，用于检测缓存资源占用量是否超过缓存阈值；释放子单元，用于所述检测子单元检测到缓存资源占用量超过缓存阈值时，释放当前已缓存的部分第一文件资源所占用的存储资源，若释放当前已缓存的部分第一文件所占用的存储资源后，所述缓存资源占用量仍超过缓存阈值，则对于新接收到的数据包，按照所述第一检测规则，对所述新接收到的数据包的载荷内容进行反病毒文件检测，所述新接收到的数据包为所述数据流的后续数据包，或者用以承载第二文件的数据流中的数据包；缓存子单元，用于所述检测子单元检测到缓存资源占用量未超过缓存阈值时，缓存所述数据包的载荷内容，得到完整的第一文件；病毒检测子单元，用于按照预置的第二检测规则对所述缓存子单元得到的所述完整的第一文件进行反病毒文件检测，得到第二检出结果。结合第二方面，或者第二方面的第一种可能的实现方式，在第二方面的第二种可能的实现方式中，所述第一执行模块还包括：第四处理单元，用于若第二检出结果指示所述第一文件为病毒文件，则释放所述第一文件所占用的存储资源，并发送告警；第五处理单元，用于若第二检出结果指示所述第一文件为正常文件，则传输所述第一文件后释放所述第一文件占用的存储资源。结合第二方面的第一种可能的实现本文档来自技高网...

【技术保护点】
一种反病毒文件检测方法，其特征在于，包括：接收数据包；判断所述数据包所属数据流承载的第一文件是否为可移植可执行文件类型；若为可移植可执行文件类型，则按照预置的第一检测规则，对所述数据包的载荷内容进行反病毒文件检测，得到第一检出结果；若第一检出结果指示所述数据包的载荷内容符合病毒文件的特征，则将所述数据包告警或者阻断；若第一检出结果指示所述数据包的载荷内容符合正常文件的特征，则传输所述数据包；若第一检出结果指示未知或继续检测，则缓存所述数据包的载荷内容以及所述数据流的后续数据包的载荷内容，得到完整的第一文件，按照预置的第二检测规则对所述完整的第一文件进行反病毒文件检测，得到第二检出结果。

【技术特征摘要】
1.一种反病毒文件检测方法，其特征在于，包括：
接收数据包；
判断所述数据包所属数据流承载的第一文件是否为可移植可执行文件类
型；
若为可移植可执行文件类型，则按照预置的第一检测规则，对所述数据包
的载荷内容进行反病毒文件检测，得到第一检出结果；
若第一检出结果指示所述数据包的载荷内容符合病毒文件的特征，则将所
述数据包告警或者阻断；
若第一检出结果指示所述数据包的载荷内容符合正常文件的特征，则传输
所述数据包；
若第一检出结果指示未知或继续检测，则缓存所述数据包的载荷内容以及
所述数据流的后续数据包的载荷内容，得到完整的第一文件，按照预置的第二
检测规则对所述完整的第一文件进行反病毒文件检测，得到第二检出结果。
2.如权利要求1所述的方法，其特征在于，所述缓存所述数据包的载荷内
容，包括：
检测缓存资源占用量是否超过缓存阈值；
若超过缓存阈值，释放当前已缓存的部分第一文件所占用的存储资源；
若释放当前已缓存的部分第一文件所占用的存储资源后，所述缓存资源占
用量仍超过缓存阈值，则对新接收到的数据包，按照所述第一检测规则，对所
述新接收到的数据包的载荷内容进行反病毒文件检测，所述新接收到的数据包
为所述数据流的后续数据包，或者用以承载第二文件的数据流中的数据包；
若未超过缓存阈值，则缓存所述数据包的载荷内容。
3.如权利要求1所述的方法，其特征在于，所述得到第二检出结果，包括：
若第二检出结果指示所述第一文件为病毒文件，则释放所述第一文件所占
用的存储资源，并发送告警；
若第二检出结果指示所述第一文件为正常文件，则传输所述第一文件后释

\t放所述第一文件占用的存储资源。
4.如权利要求1-3任一项所述的方法，其特征在于，所述若第二检出结果
指示所述第一文件为病毒文件，则释放所述第一文件所占用的存储资源之前，
还包括：
获取并保存承载所述第一文件的数据流中的各数据包的特征标识。
5.如权利要求1-4任一项所述的方法，其特征在于，
若为非可移植可执行文件类型，所述方法还包括：
缓存承载所述第一文件的数据流的后续数据包的载荷内容，得到完整的第
一文件，按照预置的第三检测规则对所述完整的第一文件进行反病毒文件检测，
得到第三检出结果。
6.如权利要求5所述的方法，其特征在于，所述得到第三检出结果，包括：
若第三检出结果指示所述完整的第一文件为病毒文件，释放所述第一文件
所占用的存储资源，并发送告警；
若第三检出结果指示所述完整的第一文件为正常文件，则传输所述完整的
第一文件后释放所述第一文件占用的存储资源。
7.一种反病毒文件检测装置，其特征在于，包括：接收模块、判断模块、
第一执行模块，
接收模块，用于接收数据包；
判断模块，用于判断所述接收模块接收的所述数据包所属数据流承载的第
一文件是否为可移植可执行文件类型；
第一执行模块，用于所述判断模块判断所述数据包所属数据流承载的第一
文件为可移植可执行文件类型时，按照预置的第一检测规则，对所述数据包的
载荷内容进行反病毒文件检测，得到第一检出结果；
其中，所述第一执行模块包括：
第一处理单元，用于若第一检出结果指示所述数据包的载荷内容符合病毒
文件的特征，则将所述数据包告警或者阻断；
第二处理单元，用于若第一检出结果指示所述数据包的载荷内容符合正常
文件的特征，则传输所述数据包；
第三处理单元，用于若第一检出结果指示未知或继续检测，则缓存所述数
据包的载...

【专利技术属性】
技术研发人员：陈志刚，张日华，蒋武，
申请(专利权)人：华为技术有限公司，
类型：发明
国别省市：广东;44