[发明专利]一种反病毒文件检测方法、装置及网络设备有效
| 申请号: | 201310403826.8 | 申请日: | 2013-09-06 |
| 公开(公告)号: | CN104424438B | 公开(公告)日: | 2018-03-16 |
| 发明(设计)人: | 陈志刚;张日华;蒋武 | 申请(专利权)人: | 华为技术有限公司 |
| 主分类号: | G06F21/56 | 分类号: | G06F21/56 |
| 代理公司: | 广州三环专利商标代理有限公司44202 | 代理人: | 郝传鑫,熊永强 |
| 地址: | 518129 广东*** | 国省代码: | 广东;44 |
| 权利要求书: | 查看更多 | 说明书: | 查看更多 |
| 摘要: | |||
| 搜索关键词: | 一种 病毒 文件 检测 方法 装置 网络设备 | ||
1.一种反病毒文件检测方法,其特征在于,包括:
接收数据包;
判断所述数据包所属数据流承载的第一文件是否为可移植可执行文件类型;
若为可移植可执行文件类型,则按照预置的第一检测规则,对所述数据包的载荷内容进行反病毒文件检测,得到第一检出结果,其中,所述第一检测规则包括利用文件片段的特征标识作为检测手段,所述特征标识包括:文件片段的哈希值和特征码;
若第一检出结果指示所述数据包的载荷内容符合病毒文件的特征,则将所述数据包告警或者阻断;
若第一检出结果指示所述数据包的载荷内容符合正常文件的特征,则传输所述数据包;
若第一检出结果指示未知或继续检测,则缓存所述数据包的载荷内容以及所述数据流的后续数据包的载荷内容,得到完整的第一文件,按照预置的第二检测规则对所述完整的第一文件进行反病毒文件检测,得到第二检出结果;
所述缓存所述数据包的载荷内容,包括:
检测缓存资源占用量是否超过缓存阈值;
若超过缓存阈值,释放当前已缓存的部分第一文件所占用的存储资源;
若释放当前已缓存的部分第一文件所占用的存储资源后,所述缓存资源占用量仍超过缓存阈值,则对新接收到的数据包,按照所述第一检测规则,对所述新接收到的数据包的载荷内容进行反病毒文件检测,所述新接收到的数据包为所述数据流的后续数据包,或者用以承载第二文件的数据流中的数据包;
若未超过缓存阈值,则缓存所述数据包的载荷内容。
2.如权利要求1所述的方法,其特征在于,所述得到第二检出结果,包括:
若第二检出结果指示所述第一文件为病毒文件,则释放所述第一文件所占用的存储资源,并发送告警;
若第二检出结果指示所述第一文件为正常文件,则传输所述第一文件后释放所述第一文件占用的存储资源。
3.如权利要求1或2所述的方法,其特征在于,所述若第二检出结果指示所述第一文件为病毒文件,则释放所述第一文件所占用的存储资源之前,还包括:
获取并保存承载所述第一文件的数据流中的各数据包的特征标识。
4.如权利要求1所述的方法,其特征在于,
若为非可移植可执行文件类型,所述方法还包括:
缓存承载所述第一文件的数据流的后续数据包的载荷内容,得到完整的第一文件,按照预置的第三检测规则对所述完整的第一文件进行反病毒文件检测,得到第三检出结果。
5.如权利要求4所述的方法,其特征在于,所述得到第三检出结果,包括:
若第三检出结果指示所述完整的第一文件为病毒文件,释放所述第一文件所占用的存储资源,并发送告警;
若第三检出结果指示所述完整的第一文件为正常文件,则传输所述完整的第一文件后释放所述第一文件占用的存储资源。
该专利技术资料仅供研究查看技术是否侵权等信息,商用须获得专利权人授权。该专利全部权利属于华为技术有限公司,未经华为技术有限公司许可,擅自商用是侵权行为。如果您想购买此专利、获得商业授权和技术合作,请联系【客服】
本文链接:http://www.vipzhuanli.com/pat/books/201310403826.8/1.html,转载请声明来源钻瓜专利网。
- 上一篇:一种小学常识课的辅助教学用具
- 下一篇:纳米氧化锌涂布远红外复合抗菌保健材料
