本发明专利技术提供一种检测引擎装置、防火墙、检测网络传输文件的方法及装置,方法包括根据下载客户端与网络侧之间的交互消息获取种子文件以及下载地址;所述种子文件中包括下载数据包的分段信息,所述下载地址为所述下载数据包的各分段数据所在的服务器地址;根据所述下载地址,从至少两个数据通道中获取所述下载数据包的各分段数据及所述各分段数据的索引;根据所述各分段数据的索引及所述分段信息,将获取的所述各分段数据还原为完整的数据包;对所述完整的数据包进行安全检测。
【技术实现步骤摘要】
本专利技术涉及网络技术,尤其涉及一种检测引擎装置、防火墙、检测网络传输文件的方法及装置。
技术介绍
为了计算机系统的安全起见,通常需要对网络传输文件进行安全检测。网络中文件的传输需要承载在一种应用协议之上。目前,常用的应用协议为HTTP、FTP.1MAP.STMP等,当采用这些协议传输一个文件时,该文件的所有数据包将按照文件的起始顺序在同一数据通道上进行传输,并按照文件的起始顺序进入文件安全检测模块,进行安全检测。文件安全检测模块进行安全检测时,对该文件的所有数据包按照文件的先后顺序,查找威胁特征。当找到该文件上的全部威胁特征时,认定该文件为病毒威胁文件,执行阻断动作,并产生日志。但是,现有的文件安全检测方法无法对基于点到点(Peer to Peer,P2P)协议传输的文件进行安全检测。
技术实现思路
本专利技术实施例提供一种检测引擎装置、防火墙、检测网络传输文件的方法及装置,用于实现对基于点到点协议传输的文件进行安全检测。第一个方面,本专利技术实施例提供一种检测网络传输文件的方法,包括:根据下载客户端与网络侧之间的交互消息获取种子文件以及下载地址;所述种子文件中包括下载数据包的分段信息,所述下载地址为所述下载数据包的各分段数据所在的服务器地址;根据所述下载地址,从至少两个数据通道中获取所述下载数据包的各分段数据及所述各分段数据的索引;根据所述各分段数据的索引及所述分段信息,将获取的所述各分段数据还原为完整的数据包; 对所述完整的数据包进行安全检测。第二个方面,本专利技术实施例提供一种检测网络传输文件的装置,包括:种子获取模块,用于根据下载客户端与网络侧之间的交互消息获取种子文件以及下载地址;所述种子文件中包括下载数据包的分段信息,所述下载地址为所述下载数据包的各分段数据所在的服务器地址;分段数据获取模块,用于根据所述下载地址,从至少两个数据通道中获取所述下载数据包的各分段数据及所述各分段数据的索引;数据还原模块,用于根据所述各分段数据的索引及所述分段信息,将获取的所述各分段数据还原为完整的数据包;文件威胁检测模块,用于对所述完整的数据包进行安全检测。第三个方面,本专利技术实施例提供一种检测引擎装置,包括协议识别模块、通道关联模块、存储模块及上述检测网络传输文件的装置;所述协议识别模块用于识别应用层协议,所述通道关联模块用于当所述协议识别模块识别出来的应用层协议为点到点协议时,将下载客户端与网络侧之间的控制通道及数据通道相关联,以使所述检测网络传输文件的装置从至少两个数据通道中获取下载数据包的各分段数据及所述各分段数据的索引;所述存储模块用于存储所述检测网络传输文件的装置获取的下载数据包的各分段数据及所述各分段数据的索引。第四个方面,本专利技术实施例提供一种防火墙设备,包括上述检测网络传输文件的装置。第五个方面,本专利技术实施例提供一种防火墙设备,包括上述检测引擎装置。通过上述技术方案,检测引擎装置、防火墙、检测网络传输文件的方法及装置,将多个数据通道传输的数据进行还原,然后对还原的文件进行安全检测,实现了对基于点到点协议传输的文件进行安全检测。附图说明图1为本专利技术实施例提供的一种检测网络传输文件的方法的流程图;图2为本专利技术实施例提供的检测网络传输文件的方法的应用示意图;图3为本专利技术实施例提供的检测网络传输文件的方法中防火墙在下载客户端与Tracker站点交互过程中的操作示意图;图4为本专利技术实施例提供的检测网络传输文件的方法中数据通道中的文件传输示意图;图5为本专利技术实施例提供的检测网络传输文件的方法中对最后一个分段数据的处理示意图;图6为本专利技术实施例提供的检测网络传输文件的方法中断点续传的示意图;图7为本专利技术实施例提供的一种检测网络传输文件的装置的结构示意图;图8为本专利技术实施例提供的一种检测引擎装置的结构示意图;图9为本专利技术实施例提供的另一种检测引擎装置的结构示意图;图10为本专利技术实施例提供的一种防火墙设备的结构示意图;图11为本专利技术实施例提供的一种防火墙设备的结构示意图。具体实施例方式图1为本专利技术实施例提供的一种检测网络传输文件的方法的流程图。如图1所示,该方法包括:步骤11、根据下载客户端与网络侧之间的交互消息获取种子文件以及下载地址;该种子文件中包括下载数据包的分段信息,该下载地址为该下载数据包的各分段数据所在的服务器地址。例如,防火墙、检测引擎或者是单独设置的一个检测装置根据下载客户端与网络侧之间的交互消息获取种子文件以及下载地址。其中,防火墙为下载客户端安装的安全软件。下面均以防火墙为例对检测网络传输文件的方法进行说明,当然,检测引擎或单独设置的检测装置的操作与防火墙相同,因此,不再重复说明。种子文件是记载下载数据包的存放位置、大小、下载服务器的地址、发布者的地址等数据的一个索引文件。该种子文件中还包括下载数包包含的文件数量、文件名称、文件顺序及该下载数据包的分段信息等。一个下载数据包中可能包含多个文件。下载数据包的各分段数据所在的服务器与下载客户端对等,因此可以称为对等服务器或对等客户端。例如,防火墙从下载客户端与下载服务器的交互消息中获取种子文件的标识;该防火墙根据该标识获取种子文件。防火墙还可从下载客户端与下载服务器的交互消息中获取对等客户端的IP地址和端口等数据通道信息。该对等客户端一般至少有两个,每个对等客户端上均有上述下载数据包的部分分段数据。下载客户端与每个对等客户端之间均通过一个数据通道进行交互,从各个对等客户端下载上述下载数据包的各分段数据,因此,下载客户端下载数据包的数据通道相应地也至少有两个。假设某个种子文件记载的下载数据包有5个分段数据:A、B、C、D和E,对等客户端有3个:a、b和C,对等客户端a上保存了该下载数据包的分段数据C,对等客户端b上保存了该下载数据包的分段数据A和E,对等客户端c上保存了该下载数据包的分段数据B和D。那么下载客户端通过与下载服务器交互获得能够获得对等客户端a、b和c的IP地址和端口,即获得3个数据通道的信息。并且,交互过程中,下载客户端需要给下载服务器提供种子文件的标识,下载服务器才能根据种子文件的标识将相应的下载地址发送给下载客户端。因此,在下载客户端与下载服务器的交互过程中,防火墙不仅能获取到种子文件的标识,还能得到相应的下载地址。之后,下载客户端根据获得的数据通道信息从对等客户端a下载该下载数据包的分段数据C,从对等客户端b下载该下载数据包的分段数据A和E,从对等客户端c下载该下载数据包的分段数据B和D。步骤12、根据上述下载地址,从至少两个数据通道中获取上述下载数据包的各分段数据及该各分段数据的索引。例如,上述防火墙根据上述下载地址,从至少两个数据通道中获取上述下载数据包的各分段数据及该各分段数据的索引。例如,由于上述步骤11中,防火墙已获得数据通道信息,因此,当上述下载客户端从上述对等客户端下载数据包的各分段数据时,防火墙就能从相应的数据通道获取传输的分段数据,并复制缓存,以能够还原为完整的数据包。并且,为了起到安全控制作用,防火墙可根据种子文件中的分段信息对下载数据包的最后一个分段数据进行截获,不让该最后一个分段数据传输到下载客户端,除非该下载数据包为安全数据,才将最后一个分段数据发送给下载客户端。步骤13、根据上述各分段数据的索引及上述分段本文档来自技高网...
【技术保护点】
一种检测网络传输文件的方法,其特征在于,包括:根据下载客户端与网络侧之间的交互消息获取种子文件以及下载地址;所述种子文件中包括下载数据包的分段信息,所述下载地址为所述下载数据包的各分段数据所在的服务器地址;根据所述下载地址,从至少两个数据通道中获取所述下载数据包的各分段数据及所述各分段数据的索引;根据所述各分段数据的索引及所述分段信息,将获取的所述各分段数据还原为完整的数据包;对所述完整的数据包进行安全检测。
【技术特征摘要】
1.一种检测网络传输文件的方法,其特征在于,包括: 根据下载客户端与网络侧之间的交互消息获取种子文件以及下载地址;所述种子文件中包括下载数据包的分段信息,所述下载地址为所述下载数据包的各分段数据所在的服务器地址; 根据所述下载地址,从至少两个数据通道中获取所述下载数据包的各分段数据及所述各分段数据的索引; 根据所述各分段数据的索引及所述分段信息,将获取的所述各分段数据还原为完整的数据包; 对所述完整的数据包进行安全检测。2.根据权利要求1所述方 法,其特征在于,根据下载客户端与网络侧之间的交互消息获取种子文件,包括: 从下载客户端与下载服务器的交互消息中获取种子文件的标识; 根据所述标识获取种子文件。3.根据权利要求1或2所述方法,其特征在于,根据所述下载地址,从至少两个数据通道中获取所述下载数据包的各分段数据及所述各分段数据的索引之前,还包括: 根据所述种子文件建立文件检测信息表,所述文件检测信息表包括所述下载数据包的下载位图表。4.根据权利要求3所述方法,其特征在于,根据所述各分段数据的索引及所述分段信息,将获取的所述各分段数据还原为完整的数据包,包括: 根据所述各分段数据的索引、所述分段信息及所述下载位图表,将获取的所述各分段数据还原为完整的数据包。5.根据权利要求1或2所述方法,其特征在于,从至少两个数据通道中获取所述下载数据包的各分段数据,包括: 从所述至少两个数据通道中截获所述下载数据包的最后一个分段数据。6.根据权利要求5所述方法,其特征在于,对所述完整的数据包进行安全检测之后,还包括: 断开所述至少两个数据通道,或者将所述最后一个分段数据发送给所述下载客户端。7.一种检测网络传输文件的装置,其特征在于,包括: 种子获取模块,用于根据下载客户端与网络侧之间的交互消息获取种子文件以及下载地址;所述种子文件中包括下载数据包的分段信息,所述下载地址为所述下载数据包的各分段数据所在的服务器地址; 分段数据获取模块,用于根据所述下载地址,从至少两个数据通道中获取所述下载数据包的各分段数据及所述各分段数据的索引; 数据还原...
【专利技术属性】
技术研发人员:蒋武,张日华,于博,
申请(专利权)人:华为技术有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。