[发明专利]一种基于用户流量特性的防病毒网关处理加速策略

权利要求书

1.一种基于用户流量特性的防病毒网关处理加速方法，其特征在于，包含三个部分：第一部分的功能是学习用户行为并统计，生成策略条件；第二部分的功能是根据生成的策略条件过滤报文；第三部分的功能是对过滤出的网络报文针对性还原文件并扫描处理；

所述第一部分具体包括：

步骤1.1：学习并记录用户行为；

对进入网关的流量进行解析，提取报文的五元组、文件名、病毒信息、url和邮件主题信息，并保存该信息到本地；

步骤1.2：统计分析用户行为生成策略信息；

统计分析一周内未检测出病毒的ip，生成ip白名单列表；

统计分析产生病毒的文件名的top10，提取文件名关键字生成文件名关键字黑名单；

统计分析用户常用的协议，生成协议列表；

步骤1.3：根据对应协议提取生成对应的策略列表：

步骤1.4：循环执行，根据学习到的用户行为实时更新黑白名单列表，并更新协议列表；

所述第二部分具体步骤如下：

步骤2.1：检查协议列表是否有更新；

步骤2.1.1：默认启动所有协议，包括http，ftp，pop3，smtp，smb和nfs，当协议列表http、ftp、pop3、smtp、smb和nfs中的一种或多种更新时，重设文件还原规则；若用户自己主动修改配置时，重设文件还原规则配置；如协议列表没有更新，则直接进入步骤2.2；只设置协议不关心文件类型file-type和other-type，或者默认按照设置协议将所有类型的文件按照1:1全量采样还原；设置完毕以json格式记录；

步骤2.1.2：读取配置，获取完整json格式并解析，提取协议和文件类型，以及对应的sample值写入内存；通过以json标准格式可以对应添加一个或多个协议，默认情况添加所有协议和文件类型，按照1:1还原；

步骤2.1.3：动态加载文件规则；

步骤2.2：提取报文中的文件名，如没有提取到直接进入下一步，否则用提取的文件名去匹配文件名关键字黑名单，如不能匹配直接进入下一步，否则进入第三部分的处理步骤；

步骤2.3：提取网络报文中url，如未提取到直接进入下一步，否则用提取到的url去匹配url黑名单，如不能匹配直接进入下一步，否则进入第三部分的处理步骤；

步骤2.4：提取网络报文中的邮件主题，如未提取到直接进入下一步，否则用提取到的邮件主题去匹配邮件主题关键字黑名单；如不能匹配直接进入下一步；否则进入第三部分的处理步骤；

提取网络报文的sip与ip白名单匹配，如不在白名单内，直接进入所述第三部分的处理步骤，否则放过直接转发处理；

所述第三部分对过滤出的网络报文针对性还原文件并扫描处理；具体如下：

步骤3.1：还原经过前部分过滤的报文为本地临时文件，并扣留最后一个包；

步骤3.2：病毒引擎扫描还原出的临时文件，如检测正常直接转发，如检测出病毒的文件直接阻断释放网络带宽，同时对本地病毒文件进行隔离或查杀处理，释放服务器空间。

2.根据权利要求1所述的基于用户流量特性的防病毒网关处理加速方法，其特征在于，所述重设文件还原规则包括重设还原协议protocol、重设文件类型file-type和other-type以及对应的采样值sample；其中file-type为用户关心的文件类型，而other-type为除file-type以外的所有文件类型。

3.根据权利要求2所述的基于用户流量特性的防病毒网关处理加速方法，其特征在于，所述file-type为预设置的文件类型，多个时用“，”隔开；sample为采样值；根据策略以及用户需求灵活添加指定文件类型和对应的采样值。

4.根据权利要求1所述的基于用户流量特性的防病毒网关处理加速方法，其特征在于，sample取值全部为可配置，根据网络情况和用户选择设置合适的数据。

5.根据权利要求2所述的基于用户流量特性的防病毒网关处理加速方法，其特征在于，protocol为协议列表中更新获取的协议，包含http，ftp，smtp，pop3，smb，nfs一种或者几种；file-type为想要还原的文件类型，多个时用“，”隔开；sample为采样值，本字段不设置默认按照所有类型文件，1:1采样还原；other-type为除上面配置的file-type文件类型以外的文件类型，无需配置类型只需添加sample字段即可。