[发明专利]一种网关级流式病毒扫描方法及其系统

说明书

技术领域

本发明涉及一种基于网关级流式病毒扫描方法及其系统，属于计算机网络和数据通信技术领域。

背景技术

随着病毒传播日益网络化，使得网关级病毒过滤越来越得到关注。网关级病毒过滤工具，使病毒能够在局域网入口处即得到查杀，尽早地限制了病毒的传播。然而，由于受到传统病毒检测方法的限制，大多数网关级病毒过滤工具都使用了文件式查杀方式，即先在外存或内存中将多个网络数据包重新整合成一个完整的文件，再进行病毒扫描。这种方法需要先在网关处缓存多个数据包，整合成文件扫描病毒后再次转发，因此会造成数据包的延时，降低网络性能。尤其对于实时性要求较高的应用，如Web服务，影响较大。

在网关处通过文件方式查杀病毒，除了影响实时性能，还会占用大量内存。在网络流量大的局域网中，若对所有的会话均进行缓存，并在查杀病毒后进行释放，将增加网关大量的内存开销，严重时甚至会影响网关运行的稳定性。另外，有些病毒出现在会话的开始，但文件式查杀方式却需要缓存会话的全部内容后才进行病毒扫描，不仅浪费了系统资源，也影响了查杀病毒的及时性。

另外，在网关处以文件方式查杀病毒，支持的协议也相对有限。由于全部数据都在网关处缓存，因此网关必须模拟实际的客户端与服务器通信，并在查杀病毒结束后，再次模拟服务器与实际的客户端建立连接并完成通信。对于一些复杂的应用协议，网关很难模拟整个通信过程，因此也很难得到完整的通信数据形成文件。

发明内容

本发明的目的在于提供一种新型网关级流式病毒扫描方法及其系统。

流式病毒扫描即不必等待网络的会话数据全部到来后还原成文件进行病毒扫描，而可以随着会话数据的传输，将数据流切分成数据单元进行连续的扫描，数据单元的接收、扫描、发送过程并行进行。

本发明采用如下技术方案实现本发明的目的：

一种新型网关级流式病毒扫描方法，其步骤为：

1)将会话数据包组织成数据单元队列；

2)判断数据单元内的数据类型是否支持流式扫描；

若不支持流式扫描，则进行文件式扫描；

若支持流式扫描，则进行下列步骤：

a)将数据单元分组进行病毒扫描；

b)判断扫描的数据单元是否安全，如果不安全则停止扫描并关闭与客户端的连接，退出实例进程；如果安全则发送该组数据；

c)判断会话是否结束，如果没有结束则保留该组数据的边界信息，利用上下文信息的表装置进行边界处理；其方法为：A)对支持流式扫描的会话数据分组复制到上下文信息的表装置的buffer缓冲区中，复制的起始地址为：buffer+offset+cur_buff_len；如果缓冲区中存有上一次扫描的边界数据，则新读入的数据紧跟在边界数据的后面，下一步的扫描操作可以将这两部分数据作为一个整体进行计算；B)将该组数据同时复制到上下文信息的表装置维护的数据单元队列bb中；C)将上下文信息的表装置的buffer中的数据通过病毒扫描装置的流式扫描接口传递给病毒扫描装置；

其中，所述上下文信息的表装置的数据结构关键域包括：buffer：其功能为基于流式扫描模式下，存储待扫描的数据，以及处理边界效应时需要存储的数据，数据类型为字符型数组；cur_buff_len：其功能为存储当前buffer中存储数据长度的值，数据类型为整型；offset：其功能为存储当前buffer中存储数据的起始位置距buffer首地址的偏移，数据类型为整型；tmpFile：其功能为基于文件扫描模式中，存储队列数据的临时文件，数据类型为文件指针；partcnt：其功能为流式扫描时，记录病毒扫描过程中，针对多模式病毒特征码已经匹配的子模式信息，以及它们的位置关系，数据类型为结构体链表；

d)重复步骤1)和2)，如果结束则退出实例进程。

所述边界信息为该组数据单元内，包含的病毒库最大病毒特征码长度的末尾数据。

所述边界信息包括记录该组数据中针对多模式病毒特征码已检测到的子模式的序号，以及各个子模式之间的位置关系。

所述流式扫描方法中利用上下文信息的表装置进行多模式病毒特征码匹配时处理边界问题的方法为：在partcnt中记录多模式病毒特征码序号，以及已经匹配的子模式信息，以供后续数据到来时继续进行匹配；如果扫描数据匹配了该多模式类型的病毒特征码中定义的全部子模式，且满足规定的位置关系，则认为当前数据被感染。

所述会话数据由多个数据单元队列构成，最后一个队列的最后一个数据单元中存有结束标志EOS。