[发明专利]恶意文件检测方法、装置、存储介质及防火墙

权利要求书

1.一种恶意文件检测方法，其特征在于，所述恶意文件检测方法包括以下步骤：

在终端设备向服务器传输文件数据的情况下，放通所述文件数据至所述服务器，及将所述文件数据存储至预设缓存中；

在接收到结束控制信息的情况下，将所述预设缓存中的文件数据进行杀毒检测，获得杀毒结果；

在所述杀毒结果为所述文件数据为恶意文件的情况下，根据预设策略对所述服务器中的文件数据进行处理。

2.如权利要求1所述的恶意文件检测方法，其特征在于，所述结束控制信息包括：结束状态码信息或所述终端设备与所述服务器之间的数据连接正常关闭信息。

3.如权利要求2所述的恶意文件检测方法，其特征在于，所述在所述杀毒结果为所述文件数据为恶意文件的情况下，根据预设策略对所述服务器中的文件数据进行处理，具体包括：

在所述杀毒结果为所述文件数据为恶意文件的情况下，根据预设策略判断是否对所述服务器中的文件数据进行阻断连接；

若对所述服务器中的文件数据进行阻断连接，则判断所述文件数据是否包含上传标记；

在所述文件数据包含上传标记的情况下，生成删除指令，传输所述删除指令至所述服务器，以使所述服务器根据所述删除指令对所述文件数据进行删除处理。

4.如权利要求3所述的恶意文件检测方法，其特征在于，所述在所述杀毒结果为所述文件数据为恶意文件的情况下，根据预设策略判断是否对所述服务器中的文件数据进行阻断连接之后，所述恶意文件检测方法还包括：

若不对所述文件数据进行阻断连接，则放通所述文件数据。

5.如权利要求1～4中任一项所述的恶意文件检测方法，其特征在于，所述在终端设备通过文件传输协议控制通道向服务器传输文件数据的情况下，放通所述文件数据至所述服务器，并将所述文件数据存储至预设缓存中之前，所述恶意文件检测方法还包括：

对文件传输协议控制通道中的数据流进行解析，并根据解析获得的数据，判断终端设备是否向服务器传输文件数据。

6.如权利要求5所述的恶意文件检测方法，其特征在于，所述对文件传输协议控制通道中的数据流进行解析，并根据解析获得的数据，判断终端设备是否向服务器传输文件数据，具体包括：

对文件传输协议控制通道中的数据流进行解析；

在解析到终端设备到服务器方向的上传数据流的情况下，解析所述上传数据流中是否存在上传控制命令；

在解析到所述数据流中存在所述上传控制命令的情况下，判断所述上传数据流中是否有文件传输协议初始化标记；

若有所述文件传输协议初始化标记，则认定数据连接建立完成，基于数据连接终端设备向服务器传输文件数据。

7.如权利要求6所述的恶意文件检测方法，其特征在于，所述对文件传输协议控制通道中的数据流进行解析之后，所述恶意文件检测方法还包括：

在解析到服务器到终端设备方向的响应数据流的情况下，判断所述响应数据流是否为数据连接数据；

若所述响应数据流是所述数据连接数据，则判断所述数据连接数据是否为数据连接的握手数据包；

在所述数据连接数据是数据连接的握手数据包的情况下,判断所述响应数据流是否有等待数据标记；

若有所述等待数据标记，则认定数据连接建立完成，基于数据连接终端设备向服务器传输文件数据。

8.一种恶意文件检测装置，其特征在于，所述恶意文件检测装置包括：

传输模块，用于在终端设备向服务器传输文件数据的情况下，放通所述文件数据至所述服务器，及将所述文件数据存储至预设缓存中；

杀毒检测模块，用于在接收到结束控制信息的情况下，将所述预设缓存中的文件数据进行杀毒检测，获得杀毒结果；

处理模块，用于在所述杀毒结果为所述文件数据为恶意文件的情况下，根据预设策略对所述服务器中的文件数据进行处理。