[发明专利]一种反病毒文件检测方法、装置及网络设备

说明书

技术领域

本发明涉及计算机技术领域，尤其涉及一种反病毒文件检测方法、装置及网络设备。

背景技术

随着计算机技术的发展，人们越来越依赖计算机的同时，更加关注网络信息的安全，而防火墙正是保证网络信息安全的重要堡垒，防火墙（firewall）是一项协助确保信息安全的设备，会依照特定的规则，允许或是限制传输的数据通过，防火墙位于受保护网络和互联网之间或者位于受保护网络和终端之间，通过在防火墙的内部部署反病毒（Anti-Virus，AV）文件检测功能，可在文件流经防火墙时对所述文件进行反病毒检测，使病毒文件在进入受保护网络之前即被干预处理，达到维护网络信息安全的目的。

现有的反病毒文件检测方法中一般在防火墙内设置统一的病毒检测策略，对于所有的数据、文件均执行相同的检测策略，检测方式单一，并在进行反病毒文件检测时，对于其中一些数据、文件的检测会造成额外的系统资源占用，并且可能导致网络时延增大。

发明内容

本发明实施例提供一种反病毒文件检测方法，用以解决对网络所传输的数据进行反病毒文件检测时网络时延较大的技术问题。

第一方面，本发明实施例提供一种反病毒文件检测方法，包括：

接收数据包；

判断所述数据包所属数据流承载的第一文件是否为可移植可执行文件类型；

若为可移植可执行文件类型，则按照预置的第一检测规则，对所述数据包的载荷内容进行反病毒文件检测，得到第一检出结果；

若第一检出结果指示所述数据包的载荷内容符合病毒文件的特征，则将所述数据包告警或者阻断；

若第一检出结果指示所述数据包的载荷内容符合正常文件的特征，则传输所述数据包；

若第一检出结果指示未知或继续检测，则缓存所述数据包的载荷内容以及所述数据流的后续数据包的载荷内容，得到完整的第一文件，按照预置的第二检测规则对所述完整的第一文件进行反病毒文件检测，得到第二检出结果。

结合第一方面，在第一方面的第一种可能的实现方式中，所述缓存所述数据包的载荷内容，包括：

检测缓存资源占用量是否超过缓存阈值；

若超过缓存阈值，释放当前已缓存的部分第一文件所占用的存储资源；

若释放当前已缓存的部分第一文件所占用的存储资源后，所述缓存资源占用量仍超过缓存阈值，则对新接收到的数据包，按照所述第一检测规则，对所述新接收到的数据包的载荷内容进行反病毒文件检测，所述新接收到的数据包为所述数据流的后续数据包，或者用以承载第二文件的数据流中的数据包；

若未超过缓存阈值，则缓存所述数据包的载荷内容。

结合第一方面，或者第一方面的第一种可能的实现方式，在第一方面的第二种可能的实现方式中，所述得到第二检出结果，包括：

若第二检出结果指示所述第一文件为病毒文件，则释放所述第一文件所占用的存储资源，并发送告警；

若第二检出结果指示所述第一文件为正常文件，则传输所述第一文件后释放所述第一文件占用的存储资源。

结合第一方面的第一种可能的实现方式，或者第一方面的第二种可能的实现方式，在第一方面的第三种可能的实现方式中，所述若第二检出结果指示所述第一文件为病毒文件，则释放所述第一文件所占用的存储资源之前，还包括：

获取并保存承载所述第一文件的数据流中的各数据包的特征标识。

结合第一方面的第一种可能的实现方式，或者第一方面的第二种可能的实现方式，或者第一方面的第三种可能的实现方式，在第一方面的第四种可能的实现方式中，若为非可移植可执行文件类型，所述方法还包括：

缓存承载所述第一文件的数据流的后续数据包的载荷内容，得到完整的第一文件，按照预置的第三检测规则对所述完整的第一文件进行反病毒文件检测，得到第三检出结果。

结合第一方面的第四中可能的实现方式，在第一方面的第五种可能的实现方式中，所述得到第三检出结果，包括：

若第三检出结果指示所述完整的第一文件为病毒文件，释放所述第一文件所占用的存储资源，并发送告警，或者阻断所述完整的第一文件；

若第三检出结果指示所述完整的第一文件为正常文件，则传输所述完整的第一文件后释放所述完整的第一文件占用的存储资源。

第二方面，本发明提供一种反病毒文件检测装置，包括：接收模块、判断模块、第一执行模块，

接收模块，用于接收数据包；

判断模块，用于所述接收模块接收数据包后，判断所述数据包所属数据流承载的第一文件是否为可移植可执行文件类型；