[发明专利]一种基于用户流量特性的防病毒网关处理加速策略

说明书

本发明提供一种基于用户流量特性的防病毒网关处理加速策略，针对性还原和扫描文件的网关处理加速策略，包含三个部分：第一部分的功能是学习用户行为并统计，生成策略条件；第二部分的功能是根据生成的策略条件过滤报文；第三部分的功能是对过滤出的网络报文针对性还原文件并扫描处理；其中，学习用户行为，实时分析记录流量五元组、病毒文件关键字、url等统计信息生成黑白名单和协议列表，根据一种或多种协议重设文件还原规则进行数据包的第一次过滤，根据黑白名单进行第二次过滤，最后还原筛选出的数据包文件并对其扫描，这样不但节省了存储空间和服务器开销，而且保证了网关服务器的性能。本发明在提高防毒网关的病毒扫描效率，守护内网安全上尤为重要。

技术领域

本发明涉及互联网领域，具体涉及一种基于用户流量特性的防病毒网关处理加速策略。

背景技术

近年来病毒正在通过更多的传播方式进入企业内部，除了利用传统的EMAIL传播方式以外，WEB浏览、FTP下载等都已成为病毒传播的主要手段，再加之终端系统不时的报出新的系统漏洞，让本就不怎么安全的网络更加岌岌可危，防毒网关作为一种用于在内网和外网之间构造保护屏障的设备，用以保护网络内进出数据的安全。防毒网关能够检测进出网络内部的数据，对http，ftp，smtp，pop3、smb和nfs等协议的数据进行病毒扫描，一旦发现病毒就会采取相应的手段进行隔离、查杀或阻断，在防毒方面起到了非常大的作用。目前国内外防毒产品还无法做到对数据包进行病毒检测，所以各大厂商在网关处都只能采用将数据包还原成文件的方式进行病毒处理。

当前处理方式的缺点是：

1)网络流量较大，传输的协议较多，那么对于海量的文件要还原对系统来说也意味着较大系统空间和性能挑战；

2)网络传输中多数文件都是正常的、没有病毒的文件，而对于这种文件的无论是还原、检测，还是对还原出来的原始文件的处理，都存在着资源的无效消耗，也影响着网关本身的性能。

发明内容

本发明的目的是提供一种学习用户行为，根据用户流量特征来过滤网络数据包，针对性还原和扫描文件的网关处理加速策略。

具体包括学习用户行为，实时分析记录流量五元组、病毒文件关键字、url等统计信息生成黑白名单和协议列表，根据协议列表重设文件还原规则进行数据包的第一次过滤，根据黑白名单进行第二次过滤，最后还原筛选出的数据包文件并对其扫描，这样不但节省了存储空间和服务器开销，而且保证了网关服务器的性能。本发明在提高防毒网关的病毒扫描效率，守护内网安全上尤为重要。

实现本发明目的的技术方案是：从用户流量特征出发的防毒网关处理加速策略，包含三个部分：第一部分的功能是学习用户行为并统计，生成策略条件；第二部分的功能是根据生成的策略条件过滤报文；第三部分的功能是对过滤出的网络报文针对性还原文件并扫描处理。

所述第一部分具体包括：

步骤1.1：学习并记录用户行为；

对进入的网关的流量进行解析，提取报文的五元组、文件名、病毒信息、url和邮件主题等信息，并保存该信息到本地；

步骤1.2：统计分析用户行为生成策略信息；

统计分析一周内未检测出病毒的ip，如内网ip等，生成ip白名单列表；

统计分析产生病毒的文件名的top10，提取文件名关键字生成文件名关键字黑名单；

统计分析用户常用的协议，生成协议列表；

步骤1.3：根据对应协议提取生成对应的策略列表：

http协议：统计分析未知的url和产生过病毒的ulr，生成url黑名单列表；

pop3/smtp：统计分析邮件主题产生过病毒的top10，提取邮件主题关键字生成黑名单列表。