【技术实现步骤摘要】
本申请涉及网络安全,尤其涉及一种文件识别方法及装置。
技术介绍
1、在实际的应用场景中,结合smb(server message block,服务信息块)协议的断点续传机制,当传输文件时,传输过程中的文件一般被分割成多个块,并分别传输。当传输中断时,下一次传输将从上一次传输中断的位置开始继续传输,而不是重新从头开始传输整个文件。smb断点续传功能就导致dim(deep inspection management,深度检测引擎)检测引擎难以检测和重组传输的文件,原因在于dim检测引擎不能仅仅依靠http头数据进行重组,此时如果文件内容包含病毒威胁等,防火墙就无法阻断病毒,导致内网安全存在隐患。
2、面对smb协议的病毒和攻击,常见方法是封堵smb协议的端口以增强网络安全性,即,在防火墙上配置相关安全策略,封堵smb协议相关端口(如tcp的端口445和udp的端口137-139),以禁止smb协议的流量通过。但是该方法中,封堵smb协议的端口可能影响到一些合法的网络应用或者设备使用smb协议,如文件共享、资源访问等等受限。
3、因此,如何对基于smb协议的断点续传的文件进行准确地识别是值得考虑的技术问题之一。
技术实现思路
1、有鉴于此,本申请提供一种文件识别方法及装置,用以对基于smb协议的断点续传的文件进行准确地识别。
2、具体地,本申请是通过如下技术方案实现的:
3、根据本申请的第一方面,提供一种文件识别方法,应用于网络安全设备中,
4、接收目标文件的第一数据包;
5、当所述目标文件存在断点续传时,若已识别出所述目标文件采用了支持断点续传的smb协议,则基于所述目标文件的文件名称和设定标识,计算所述目标文件的文件标识符,所述设定标识为第一数据包的ip地址、所述第一数据包对应的vrf路由标识或所述网络安全设备的设备标识;
6、利用所述文件标识符匹配设定规则表,所述设定规则表包括已执行文件识别的文件的文件标识符与执行动作之间的对应关系;
7、若匹配成功,则根据匹配的文件标识符对应的执行动作处理所述第一数据包;
8、若未匹配成功,则利用所述smb协议对应的安全策略对所述第一数据包和内存中存取的之前接收到的所述目标文件的其他数据包进行病毒识别处理;并根据识别结果处理所述第一数据包。
9、根据本申请的第二方面,提供一种文件识别装置,设置于网络安全设备中,所述装置,包括:
10、接收模块,用于接收目标文件的第一数据包;
11、计算模块,用于当所述目标文件存在断点续传时,若已识别出所述目标文件采用了支持断点续传的smb协议,则基于所述目标文件的文件名称和设定标识,计算所述目标文件的文件标识符,所述设定标识为第一数据包的ip地址、所述第一数据包对应的vrf路由标识或所述网络安全设备的设备标识;
12、匹配模块,用于利用所述文件标识符匹配设定规则表,所述设定规则表包括已执行文件识别的文件的文件标识符与执行动作之间的对应关系;
13、处理模块,用于若所述匹配模块匹配成功,则根据匹配的文件标识符对应的执行动作处理所述第一数据包;
14、病毒识别模块,用于若所述匹配模块未匹配成功,则利用所述smb协议对应的安全策略对所述第一数据包和内存中存取的之前接收到的所述目标文件的其他数据包进行病毒识别处理;并根据识别结果处理所述第一数据包。
15、根据本申请的第三方面,提供一种电子设备,包括处理器和机器可读存储介质,机器可读存储介质存储有能够被处理器执行的计算机程序,处理器被计算机程序促使执行本申请实施例第一方面所提供的方法。
16、根据本申请的第四方面,提供一种机器可读存储介质,机器可读存储介质存储有计算机程序,在被处理器调用和执行时,计算机程序促使处理器执行本申请实施例第一方面所提供的方法。
17、本申请实施例的有益效果:
18、本申请实施例提供的文件识别方法及装置中,网络安全设备在接收到目标文件的第一数据包后,当所述目标文件存在断点续传时,若已识别出所述目标文件采用了支持断点续传的smb协议,则基于所述目标文件的文件名称和设定标识,计算所述目标文件的文件标识符,所述设定标识为第一数据包的ip地址、所述第一数据包对应的vrf路由标识或所述网络安全设备的设备标识;利用所述文件标识符匹配设定规则表,所述设定规则表包括已执行文件识别的文件的文件标识符与执行动作之间的对应关系;若匹配成功,则根据匹配的文件标识符对应的执行动作处理所述第一数据包;若未匹配成功,则利用所述smb协议对应的安全策略对所述第一数据包和内存中存取的之前接收到的所述目标文件的其他数据包进行病毒识别处理;并根据识别结果处理所述第一数据包。这样,即使当前目标文件存在断点续传时,网络安全设备通过维护上述设定规则表,也能识别出目标文件中断传输之后的数据包是否存在安全威胁,从而提升了基于smb协议的文件的文件识别准确性。
本文档来自技高网...【技术保护点】
1.一种文件识别方法,其特征在于,应用于网络安全设备中,所述方法,包括:
2.根据权利要求1所述的方法,其特征在于,在若已识别出所述目标文件采用了支持断点续传的SMB协议之前,所述方法,还包括:
3.根据权利要求2所述的方法,其特征在于,还包括:
4.根据权利要求1所述的方法,其特征在于,还包括:
5.根据权利要求1或3所述的方法,其特征在于,在利用所述SMB协议对应的安全策略对所述第一数据包和内存中存取的之前接收到的所述目标文件的其他数据包进行病毒识别处理之后,或者,在利用SMB协议对应的安全策略对所述重组数据包进行病毒识别处理之后,所述方法,还包括:
6.根据权利要求1所述的方法,其特征在于,还包括:
7.一种文件识别装置,其特征在于,设置于网络安全设备中,所述装置,包括:
8.根据权利要求7所述的装置,其特征在于,还包括:
9.根据权利要求8所述的装置,其特征在于,还包括:
10.根据权利要求7所述的装置,其特征在于,还包括:
【技术特征摘要】
1.一种文件识别方法,其特征在于,应用于网络安全设备中,所述方法,包括:
2.根据权利要求1所述的方法,其特征在于,在若已识别出所述目标文件采用了支持断点续传的smb协议之前,所述方法,还包括:
3.根据权利要求2所述的方法,其特征在于,还包括:
4.根据权利要求1所述的方法,其特征在于,还包括:
5.根据权利要求1或3所述的方法,其特征在于,在利用所述smb协议对应的安全策略对所述第一数据包和内存中存取的之前接收到的所述目...
【专利技术属性】
技术研发人员:朱永利,
申请(专利权)人:新华三信息安全技术有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。