CN104424438A - 一种反病毒文件检测方法、装置及网络设备 - Google Patents
一种反病毒文件检测方法、装置及网络设备 Download PDFInfo
- Publication number
- CN104424438A CN104424438A CN201310403826.8A CN201310403826A CN104424438A CN 104424438 A CN104424438 A CN 104424438A CN 201310403826 A CN201310403826 A CN 201310403826A CN 104424438 A CN104424438 A CN 104424438A
- Authority
- CN
- China
- Prior art keywords
- file
- packet
- result
- payload content
- detection
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/06—Protocols specially adapted for file transfer, e.g. file transfer protocol [FTP]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明实施例公开了一种反病毒文件检测方法、装置及网络设备,该方法包括:接收数据包,判断所述数据包所属数据流承载的第一文件是否为可移植可执行文件类型,若为可移植可执行文件类型,则按照预置的第一检测规则,对所述数据包的载荷内容进行反病毒文件检测,得到第一检出结果,并对第一检出结果进行相应处理。本发明实施例提供的反病毒文件检测方法,可有效降低网络所传输的数据进行反病毒文件检测时网络时延,提高反病毒检测性能。
Description
技术领域
本发明涉及计算机技术领域,尤其涉及一种反病毒文件检测方法、装置及网络设备。
背景技术
随着计算机技术的发展,人们越来越依赖计算机的同时,更加关注网络信息的安全,而防火墙正是保证网络信息安全的重要堡垒,防火墙(firewall)是一项协助确保信息安全的设备,会依照特定的规则,允许或是限制传输的数据通过,防火墙位于受保护网络和互联网之间或者位于受保护网络和终端之间,通过在防火墙的内部部署反病毒(Anti-Virus,AV)文件检测功能,可在文件流经防火墙时对所述文件进行反病毒检测,使病毒文件在进入受保护网络之前即被干预处理,达到维护网络信息安全的目的。
现有的反病毒文件检测方法中一般在防火墙内设置统一的病毒检测策略,对于所有的数据、文件均执行相同的检测策略,检测方式单一,并在进行反病毒文件检测时,对于其中一些数据、文件的检测会造成额外的***资源占用,并且可能导致网络时延增大。
发明内容
本发明实施例提供一种反病毒文件检测方法,用以解决对网络所传输的数据进行反病毒文件检测时网络时延较大的技术问题。
第一方面,本发明实施例提供一种反病毒文件检测方法,包括:
接收数据包;
判断所述数据包所属数据流承载的第一文件是否为可移植可执行文件类型;
若为可移植可执行文件类型,则按照预置的第一检测规则,对所述数据包的载荷内容进行反病毒文件检测,得到第一检出结果;
若第一检出结果指示所述数据包的载荷内容符合病毒文件的特征,则将所述数据包告警或者阻断;
若第一检出结果指示所述数据包的载荷内容符合正常文件的特征,则传输所述数据包;
若第一检出结果指示未知或继续检测,则缓存所述数据包的载荷内容以及所述数据流的后续数据包的载荷内容,得到完整的第一文件,按照预置的第二检测规则对所述完整的第一文件进行反病毒文件检测,得到第二检出结果。
结合第一方面,在第一方面的第一种可能的实现方式中,所述缓存所述数据包的载荷内容,包括:
检测缓存资源占用量是否超过缓存阈值;
若超过缓存阈值,释放当前已缓存的部分第一文件所占用的存储资源;
若释放当前已缓存的部分第一文件所占用的存储资源后,所述缓存资源占用量仍超过缓存阈值,则对新接收到的数据包,按照所述第一检测规则,对所述新接收到的数据包的载荷内容进行反病毒文件检测,所述新接收到的数据包为所述数据流的后续数据包,或者用以承载第二文件的数据流中的数据包;
若未超过缓存阈值,则缓存所述数据包的载荷内容。
结合第一方面,或者第一方面的第一种可能的实现方式,在第一方面的第二种可能的实现方式中,所述得到第二检出结果,包括:
若第二检出结果指示所述第一文件为病毒文件,则释放所述第一文件所占用的存储资源,并发送告警;
若第二检出结果指示所述第一文件为正常文件,则传输所述第一文件后释放所述第一文件占用的存储资源。
结合第一方面的第一种可能的实现方式,或者第一方面的第二种可能的实现方式,在第一方面的第三种可能的实现方式中,所述若第二检出结果指示所述第一文件为病毒文件,则释放所述第一文件所占用的存储资源之前,还包括:
获取并保存承载所述第一文件的数据流中的各数据包的特征标识。
结合第一方面的第一种可能的实现方式,或者第一方面的第二种可能的实现方式,或者第一方面的第三种可能的实现方式,在第一方面的第四种可能的实现方式中,若为非可移植可执行文件类型,所述方法还包括:
缓存承载所述第一文件的数据流的后续数据包的载荷内容,得到完整的第一文件,按照预置的第三检测规则对所述完整的第一文件进行反病毒文件检测,得到第三检出结果。
结合第一方面的第四中可能的实现方式,在第一方面的第五种可能的实现方式中,所述得到第三检出结果,包括:
若第三检出结果指示所述完整的第一文件为病毒文件,释放所述第一文件所占用的存储资源,并发送告警,或者阻断所述完整的第一文件;
若第三检出结果指示所述完整的第一文件为正常文件,则传输所述完整的第一文件后释放所述完整的第一文件占用的存储资源。
第二方面,本发明提供一种反病毒文件检测装置,包括:接收模块、判断模块、第一执行模块,
接收模块,用于接收数据包;
判断模块,用于所述接收模块接收数据包后,判断所述数据包所属数据流承载的第一文件是否为可移植可执行文件类型;
第一执行模块,用于所述接收模块接收数据包后,判断模块判断所述数据包所属数据流承载的第一文件为可移植可执行文件类型时,按照预置的第一检测规则,对所述数据包的载荷内容进行反病毒文件检测,得到第一检出结果;
其中,所述第一执行模块包括:
第一处理单元,用于若第一检出结果指示所述数据包的载荷内容符合病毒文件的特征,则将所述数据包告警或者阻断;
第二处理单元,用于若第一检出结果指示所述数据包的载荷内容符合正常文件的特征,则传输所述数据包;
第三处理单元,用于若第一检出结果指示未知或继续检测,则缓存所述数据包的载荷内容及所述数据流的后续数据包的载荷内容,得到完整的第一文件,按照预置的第二检测规则对所述完整的第一文件进行反病毒文件检测,得到第二检出结果。
结合第二方面,在第二方面的第一种可能的实现方式中,所述第三处理单元包括:
缓存检测子单元,用于检测缓存资源占用量是否超过缓存阈值;
释放子单元,用于所述检测子单元检测到缓存资源占用量超过缓存阈值时,释放当前已缓存的部分第一文件资源所占用的存储资源,若释放当前已缓存的部分第一文件所占用的存储资源后,所述缓存资源占用量仍超过缓存阈值,则对于新接收到的数据包,按照所述第一检测规则,对所述新接收到的数据包的载荷内容进行反病毒文件检测,所述新接收到的数据包为所述数据流的后续数据包,或者用以承载第二文件的数据流中的数据包;
缓存子单元,用于所述检测子单元检测到缓存资源占用量未超过缓存阈值时,缓存所述数据包的载荷内容,得到完整的第一文件;
病毒检测子单元,用于按照预置的第二检测规则对所述缓存子单元得到的所述完整的第一文件进行反病毒文件检测,得到第二检出结果。
结合第二方面,或者第二方面的第一种可能的实现方式,在第二方面的第二种可能的实现方式中,所述第一执行模块还包括:
第四处理单元,用于若第二检出结果指示所述第一文件为病毒文件,则释放所述第一文件所占用的存储资源,并发送告警;
第五处理单元,用于若第二检出结果指示所述第一文件为正常文件,则传输所述第一文件后释放所述第一文件占用的存储资源。
结合第二方面的第一种可能的实现方式,或者第二方面的第二种可能的实现方式,在第二方面的第三种可能的实现方式中,所述第三处理单元还包括:
获取子单元,用于获取并保存承载所述第一文件的数据流中的各数据包的特征标识。
结合第二方面的第一种可能的实现方式,或者第二方面的第二种可能的实现方式,或者第二方面的第三种可能的实现方式,在第二方面的第四种可能的实现方式中所述装置还包括:第二执行模块,
第二执行模块,用于所述接收模块接收数据包后,判断模块判断所述数据包所属数据流承载的第一文件为非可移植可执行文件类型时,缓存承载所述第一文件的数据流的后续数据包的载荷内容,得到完整的第一文件,按照预置的第三检测规则对所述完整的第一文件进行反病毒文件检测,得到第三检出结果。
结合第二方面的第四中可能的实现方式,在第二方面的第五种可能的实现方式中,所述装置还包括:
第三执行模块,用于若第三检出结果指示所述完整的第一文件为病毒文件,释放所述第一文件所占用的存储资源,并发送告警,或者阻断所述完整的第一文件;
第四执行模块,用于若第三检出结果指示所述完整的第一文件为正常文件,则传输所述完整的第一文件后释放所述完整的第一文件占用的存储资源,。
第三方面,本发明实施例还提供一种网络设备,包括:网络接口、输出接口及处理器,其中,
所述网络接口,用于接收待检测数据包;
所述处理器,用于判断所述数据包所属数据流承载的第一文件是否为可移植可执行文件类型,若为可移植可执行文件类型,则按照预置的第一检测规则,对所述数据包的载荷内容进行反病毒文件检测,得到第一检出结果,
若第一检出结果指示所述数据包的载荷内容符合病毒文件的特征,则将所述数据包告警或者阻断;
若第一检出结果指示所述数据包的载荷内容符合正常文件的特征,则指示所述网络接口传输所述数据包;
若第一检出结果指示未知或继续检测,则缓存所述数据包的载荷内容以及所述数据流的后续数据包的载荷内容,得到完整的第一文件,按照预置的第二检测规则对所述完整的第一文件进行反病毒文件检测,得到第二检出结果;
所述输出接口,用于输出第一检出结果或第二检出结果。
本发明实施例提供的反病毒文件检测方法,先接收数据包,再判断所述数据包所属数据流承载的第一文件是否为可移植可执行文件类型,若为可移植可执行文件类型,则按照预置的第一检测规则,对所述数据包的载荷内容进行反病毒文件检测,得到第一检出结果,其中,若第一检出结果指示所述数据包的载荷内容符合病毒文件的特征,则将所述数据包告警或者阻断,若第一检出结果指示所述数据包的载荷内容符合正常文件的特征,则传输所述数据包,若第一检出结果指示未知或继续检测,则缓存所述数据包的载荷内容以及所述数据流的后续数据包的载荷内容,得到完整的第一文件,按照预置的第二检测规则对所述完整的第一文件进行反病毒文件检测,得到第二检出结果。由于无需缓存整个文件后再对已缓存的完整文件进行检测,因此可有效降低网络所传输的数据进行反病毒文件检测时网络时延,提高反病毒检测性能。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是本发明实施例应用场景示意图;
图2是本发明第一实施例反病毒文件检测方法流程图;
图3是本发明第二实施例反病毒文件检测方法流程图;
图4是本发明第三实施例反病毒文件检测方法流程图;
图5是本发明第四实施例反病毒文件检测方法流程图;
图6是本发明实施例反病毒文件检测装置结构示意图;
图7是本发明另一实施例反病毒文件检测装置结构示意图;
图8是本发明又一实施例反病毒文件检测装置结构示意图;
图9是本发明实施例网络设备结构示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
本发明实施例提供的反病毒文件检测方法的应用场景较为广泛,既可以应用于网络侧的网关设备、防火墙等网元设备中,也可以应用于用户侧的网络安全软件中。请参见图1,是本发明实施例应用场景的一种示意图,图1示出了本发明反病毒文件检测方法应用在网关设备中的部署实例,使病毒文件在进入受保护的局域网之前即被干预处理,达到维护网络信息安全的目的。
请参见图2,是本发明第一实施例反病毒文件检测方法流程图,本发明实施例可对进入受保护网络的数据进行反病毒文件检测,包括:
S101、网关设备接收数据包。
S102、网关设备判断所述数据包所属数据流承载的第一文件是否为可移植可执行(Portable Executable,简称:PE)文件类型。
具体地,网关设备判断数据包所属数据流承载的第一文件是否为可移植可执行文件类型,是通过判断其扩展名来确定,可移植可执行文件的扩展名包括:exe、dll、sys、doc、elf等。
S103、若网关设备判断数据包所属数据流承载的第一文件为可移植可执行文件类型,则按照预置的第一检测规则,对所述数据包的载荷内容进行反病毒文件检测,得到第一检出结果。
具体地,第一检测规则包括利用病毒文件片段的特征标识作为检测手段,所述特征标识,包括:部分文件(即文件片段)的哈希值和特征码。不同的文件,即使具有相同的文件名,其哈希值也是不同的,所以哈希值相当于待检测数据的“身份证”,而特征码也是区分待检测数据是病毒数据或者正常数据的重要代码。可以根据PE文件的固有头部格式,预先获得病毒PE文件文件头的哈希值作为病毒特征,将所述数据包的载荷内容与病毒特征进行比对,若一致则说明所述数据包的载荷内容符合病毒文件的特征。也可以预先获得正常PE文件文件头的哈希值作为非病毒特征,将所述数据包的载荷内容与非病毒特征进行比对,若一致则说明所述数据包的载荷内容符合正常文件的特征。
按照特征标识顺次逐包进行反病毒检测时,不需要缓存文件,能在检测尽可能少的数据包的情况下得出检出结果,占用***资源较少,检测性能较高。
S104、若第一检出结果指示数据包的载荷内容符合病毒文件的特征,则将所述数据包告警或者阻断。
具体地,若第一检出结果指示数据包的载荷内容符合病毒文件的特征,则将待检测数据包告警或者阻断,并且将所述数据流的后续数据包也进行阻断,使病毒文件在进入受保护的网络之前就被干预,防止受保护网络受到病毒数据侵害。
S105、若第一检出结果指示数据包的载荷内容符合正常文件的特征,则传输所述数据包。
具体地,若第一检出结果指示数据包的载荷内容符合正常文件的特征,则传输所述数据包,将正常文件放行。
S106、若第一检出结果指示未知或继续检测,则缓存所述数据包的载荷内容以及所述数据流的后续数据包的载荷内容,得到完整的第一文件,按照预置的第二检测规则对所述完整的第一文件进行反病毒文件检测,得到第二检出结果。
具体地,若第一检出结果指示未知或继续检测,则缓存所述数据包的载荷内容以及所述数据流的后续数据包的载荷内容,得到完整的第一文件,按照预置的第二检测规则对所述完整的第一文件进行反病毒文件检测,得到第二检出结果,包括:检测缓存资源占用量是否超过缓存阈值,若超过缓存阈值,释放当前已缓存的部分第一文件所占用的资源,若释放当前已缓存的部分第一文件所占用的资源后仍超过缓存阈值,则对于新接收到的数据包,则根据承载所述第一检测规则对所述新接收到的数据包的载荷内容进行反病毒文件检测,所述新接收到的数据包为所述数据流的后续数据包,或者用以承载第二文件的数据流中的数据包,在缓存过程中不断检测缓存资源占用量是否超过缓存阈值,在超过缓存阈值时,对新接收到的文件进行处理,此方式可避免因缓存资源不足导致实际检出率为较低,保证对接收到的文件均能进行反病毒文件检测,从而能够提高检测效率,减少占用***资源,降低反病毒检测时的网络时延。
应当理解,文件通过数据流承载,具体的所述数据流的各个数据包的载荷内容又承载了所述文件的一个分片。缓存所述数据流的后续数据包的载荷内容,与之前已缓存的数据包的载荷内容,共同构成完整的第一文件。
需要知道的是,第二检测规则包括:完整文件的特征码匹配、文件格式、静态代码分析、脱壳检测、虚拟机执行等其中的一种或者几种组合的检测规则。
本发明实施例提供的反病毒文件检测方法,可对受保护网络进入的数据进行反病毒文件检测,该方法对***资源占用较少、检出率较高,可有效降低网络所传输的数据进行反病毒文件检测时网络时延,提高反病毒检测性能。
请参见图3,是本发明第二实施例反病毒文件检测方法流程图,本发明实施例可对进入受保护网络的数据进行反病毒文件检测,包括:
S201、网关设备接收数据包。
S202、网关设备判断数据包所属数据流承载的第一文件是否为可移植可执行文件类型。
具体地,网关设备判断数据包所属数据流承载的第一文件类型是否为可移植可执行文件类型,是通过判断其扩展名来确定的,可移植可执行文件的扩展名包括:exe、dll、sys、doc、elf等。
S203、若网关设备判断数据包所属数据流承载的第一文件为可移植可执行文件类型,则按照预置的第一检测规则,对所述数据包的载荷内容反病毒文件检测,得到第一检出结果,第一检出结果指示未知或继续检测,则缓存所述数据包的载荷内容以及所述数据流的后续数据包的载荷内容,得到完整的第一文件,按照预置的第二检测规则对所述完整的第一文件进行反病毒文件检测,得到第二检出结果。
第一检测规则和第二检测规则请参照前面实施例中的描述,在这里不再重复。
S204、若第二检出结果指示所述第一文件为病毒文件,则释放所述第一文件所占用的存储资源,并发送告警。
具体地,若第二检出结果指示所述第一文件为病毒文件,则释放第一文件所占用的存储资源,包括:获取并保存承载所述第一文件的数据流中各数据包的特征标识,并丢弃病毒文件,获取数据包的特征标识,是为了再次进行反病毒文件检测时,只需根据文件的特征标识对其进行反病毒文件检测,不需要再将病毒文件中所有的数据包缓存还原成完整文件,节约***资源,提高检测效率,不断的积累特征标识,可进一步不断增强反病毒文件检测的能力。
S205、若第二检出结果指示所述第一文件为正常文件,则传输第一文件后释放第一文件占用的存储资源。
本发明实施例提供的反病毒文件检测方法,可对受保护网络进入的数据进行反病毒文件检测,该方法对***资源占用较少、检出率较高,可有效降低网络所传输的数据进行反病毒文件检测时网络时延,提高反病毒检测性能。
请参见图4,是本发明第三实施例反病毒文件检测方法流程图,本发明实施例可对进入受保护网络的数据进行反病毒文件检测,包括:
S301、网关设备接收数据包。
S302、网关设备判断数据包所属数据流承载的第一文件是否为可移植可执行文件类型。
具体地,网关设备判断数据包所属数据流承载的第一文件类型是否为可移植可执行文件类型,是通过判断其扩展名来确定的,可移植可执行文件的扩展名包括:exe、dll、sys、doc、elf等。
S303、若网关设备判断数据包所属数据流承载的第一文件为可移植可执行文件类型,则按照预置的第一检测规则,对所述数据包的载荷内容反病毒文件检测,得到第一检出结果,第一检出结果指示未知或继续检测,则检测缓存资源占用量是否超过缓存阈值。
第一检测规则请参照前面实施例中的描述,在这里不再重复。
按照特征标识进行反病毒检测时,不需要缓存文件,能在检测尽可能少的数据包的情况下得出检出结果,占用***资源较少,检测性能较高。
S304、若超过缓存阈值,释放当前已缓存的部分第一文件所占用的存储资源,若释放当前已缓存的部分第一文件所占用的存储资源后,所述缓存资源占用量仍超过缓存阈值,则对新接收到的数据包,按照所述第一检测规则,对所述新接收到的数据包的载荷内容进行反病毒文件检测,得到第一检出结果。
具体地,新接收到的数据包为所述数据流的后续数据包,或者用以承载第二文件的数据流中的数据包。
S305、若未超过缓存阈值,则缓存数据包的载荷内容,直至通过缓存所述数据流中的所有数据包后,进行文件还原得到完整的第一文件,按照预置的第二检测规则对所述完整的第一文件进行反病毒文件检测,得到第二检出结果。
第二检测规则请参照前面实施例中的描述,在这里不再重复。文件还原时使用到的数据流重组等技术请参考相关材料,在这里不再赘述。
S306、若第二检出结果指示第一文件为病毒文件,则释放所述第一文件所占用的存储资源,并发送告警。
具体地,若第二检出结果指示所述第一文件为病毒文件,则释放第一文件所占用的存储资源,并发送告警后,包括:获取并保存承载所述第一文件的数据流中各数据包的特征标识,并丢弃病毒文件。应当理解,获取数据包的特征标识,是为了再次进行反病毒文件检测时,只需根据文件的特征标识对其进行反病毒文件检测,不需要再将病毒文件中所有的数据包缓存还原成完整文件,节约***资源,提高检测效率,不断的积累特征标识,可进一步不断增强反病毒文件检测的能力。
S307、若第二检出结果指示第一文件为正常文件,则传输所述第一文件后释放所述第一文件占用的存储资源。
本发明实施例提供的反病毒文件检测方法,可对受保护网络进入的数据进行反病毒文件检测,该方法对***资源占用较少、检出率较高,可有效降低网络所传输的数据进行反病毒文件检测时网络时延,提高反病毒检测性能。
请参见图5,是本发明第四实施例反病毒文件检测方法流程图,本发明实施例可对进入受保护网络的数据进行反病毒文件检测,包括:
S401、网关设备接收数据包。
S402、网关设备判断数据包所属数据流承载的第一文件是否为可移植可执行文件类型。
具体地,网关设备判断数据包所属数据流承载的第一文件类型是否为可移植可执行文件类型,是通过判断其扩展名来确定的,可移植可执行文件的扩展名包括:exe、dll、sys、doc、elf等。
S403、若网关设备判断接收到的数据包为非可移植可执行文件类型,则缓存承载所述第一文件的数据流的后续数据包的载荷内容,得到完整的第一文件,按照预置的第三检测规则对所述完整的第一文件进行反病毒文件检测,得到第三检出结果。
具体地,第三检测规则包括:特征码匹配、文件格式/静态代码分析、脱壳检测、虚拟机执行等检查规则中的一种或者几种的组合。
对非可移植可执行文件类型通过顺次缓存接收到的每一个数据包,得到非可移植可执行文件的完整的第一文件,再对完整的第一文件进行反病毒文件检测,病毒文件的检出率较高。
应当理解,在缓存过程中,应不断检测缓存资源占用量是否超过缓存阈值,若超过缓存阈值,则释放当前已缓存的部分第一文件所占用的存储资源,若释放当前已缓存的部分第一文件所占用的存储资源后仍超过缓存阈值,则对于新接收到的数据包的载荷内容,不再进行缓存,而是将直接根据承载所述新接收数据包的载荷内容进行反病毒文件检测。
S404、若第三检出结果指示所述完整的第一文件为病毒文件,则释放所述第一文件所占用的存储资源,并发送告警,或者阻断所述完整的第一文件。
具体地,将病毒文件阻断或者告警,是为了使病毒文件在进入受保护的网络之前就被干预,防止受保护网络受到病毒数据侵害。
S405、若第三检出结果指示所述完整的第一文件为正常文件,则传输所述完整的第一文件后释放所述完整的第一文件所占用的存储资源。
本发明实施例提供的反病毒文件检测方法,可对受保护网络进入的数据进行反病毒文件检测,该方法对***资源占用较少、检出率较高,可有效降低网络所传输的数据进行反病毒文件检测时网络时延,提高反病毒检测性能
请参见图6,是本发明实施例反病毒文件检测装置结构示意图,本发明实施例可对受保护网络进入的数据进行反病毒文件检测,所述装置100包括:接收模块110、判断模块120和第一执行模块130,其中:
所述接收模块110,用于接收数据包
所述判断模块120,用于判断所述接收模块110接收的数据包所属数据流承载的第一文件是否为可移植可执行文件类型。
具体地,判断接收到的数据包是否为可移植可执行文件类型,是通过判断接收到的文件的扩展名来确定,可移植可执行文件的扩展名包括:exe、dll、sys、doc、elf等。
所述第一执行模块130,用于判断模块120判断所述数据包所属数据流承载的第一文件为可移植可执行文件类型时,按照预置的第一检测规则,对所述数据包的载荷内容进行反病毒文件检测,得到第一检出结果。
第一检测规则请参照前面实施例中的描述,在这里不再重复。
应当理解,按照特征标识顺次逐包进行反病毒检测时,不需要缓存文件,能在检测尽可能少的数据包的情况下得出检出结果,占用***资源较少,检测性能较高。
另外,所述第一执行模块130包括:
第一处理单元131,用于若第一检出结果指示所述数据包的载荷内容符合病毒文件的特征,则将所述数据包告警或者阻断。
具体地,将所述符合病毒文件特征的数据包告警或者阻断,可使病毒文件在进入受保护的网络之前就被干预,防止受保护网络受到病毒数据侵害。
第二处理单元132,用于若第一检出结果指示所述数据包的载荷内容符合正常文件的特征,则传输所述数据包。
具体地,若第一检出结果承载所述文件的数据流中数据包的载荷内容包括正常文件,则传输所述数据包。
第三处理单元133,用于若第一检出结果指示未知或继续检测,则缓存数据包的载荷内容及所述数据流的后续数据包的载荷内容,得到完整的第一文件,按照预置的第二检测规则对所述完整的第一文件进行反病毒文件检测,得到第二检出结果。
具体地,若第一检出结果指示未知或继续检测,则缓存所述数据包的载荷内容以及所述数据流的后续数据包的载荷内容,得到完整的第一文件,按照预置的第二检测规则对所述完整的第一文件进行反病毒文件检测,得到第二检出结果,包括:检测缓存资源占用量是否超过缓存阈值,若超过缓存阈值,释放当前已缓存的部分第一文件所占用的资源,若释放当前已缓存的部分第一文件所占用的资源后仍超过缓存阈值,则对于新接收到的数据包,则根据承载所述第一检测规则对所述新接收到的数据包的载荷内容进行反病毒文件检测,所述新接收到的数据包为所述数据流的后续数据包,或者用以承载第二文件的数据流中的数据包,在缓存过程中不断检测缓存资源占用量是否超过缓存阈值,在超过缓存阈值时,对新接收到的文件进行处理,此方式可避免因缓存资源不足导致实际检出率为较低,保证对接收到的文件均能进行反病毒文件检测,从而能够提高检测效率,减少占用***资源,降低反病毒检测时的网络时延。
需要知道的是,第二检测规则包括:特征码匹配、文件格式/静态代码分析、脱壳检测、虚拟机执行等检测规则中的一种或者几种的组合。
本发明实施例提供的反病毒文件检测方法,可对受保护网络进入的数据进行反病毒文件检测,该方法对***资源占用较少、检出率较高,可有效降低网络所传输的数据进行反病毒文件检测时网络时延,提高反病毒检测性能。
请参见图7,是本发明另一实施例反病毒文件检测装置结构示意图,本发明实施例可对受保护网络进入的数据进行反病毒文件检测,图7所示的装置200是由图6所示装置100进行优化得到的。在图7所示的装置200中,所述第三处理单元233还可以包括:缓存检测子单元234、释放子单元235、缓存子单元236、病毒检测子单元237、获取子单元238、第四处理单元239、第五处理单元240,其中:
所述缓存检测子单元234,用于检测缓存资源占用量是否超过缓存阈值。
所述释放子单元235,用于所述检测子单元234检测到缓存资源占用量超过缓存阈值时,释放当前已缓存的部分第一文件资源所占用的存储资源,若释放当前已缓存的部分第一文件所占用的存储资源后,所述缓存资源占用量仍超过缓存阈值,则对于新接收到的数据包,按照所述第一检测规则,对所述新接收到的数据包的载荷内容进行反病毒文件检测,所述新接收到的数据包为所述数据流的后续数据包,或者用以承载第二文件的数据流中的数据包。
缓存子单元236,用于所述检测子单元检测到缓存资源占用量未超过缓存阈值时,缓存所述数据包的载荷内容,得到完整的第一文件。
具体地,所述检测子单元234在缓存过程中不断检测缓存资源占用量是否超过缓存阈值,释放子单元235在超过缓存阈值时,对新接收到的文件进行处理,缓存子单元236,在未超过缓存阈值时,缓存数据包的载荷内容。上述处理方式可避免因缓存资源不足导致实际检出率较低,保证对接收到的文件均能进行反病毒文件检测,从而能够提高检测效率,减少占用***资源,降低反病毒检测时的网络时延。
病毒检测子单元237,用于按照预置的第二检测规则对所述缓存子单元236得到的所述完整的第一文件进行反病毒文件检测,得到第二检出结果。
获取子单元238,用于获取并保存承载所述第一文件的数据流中的各数据包的特征标识。
所述第四处理单元239,用于若第二检出结果指示所述第一文件为病毒文件,则释放所述第一文件所占用的存储资源,并发送告警。
所述第五处理单元240,用于若第二检出结果指示所述第一文件为正常文件,则传输所述第一文件后释放所述第一文件所占用的存储资源
应当理解,利用获取子单元238获取并保存承载所述第一文件的数据流的各数据包的特征标识,便于再次进行反病毒文件检测时,只需根据数据包的特征标识对其进行反病毒文件检测,不需要再将病毒文件中所有的数据包缓存还原,节约***资源,提高检测效率,另外,不断的积累特征标识,可进一步增强反病毒文件检测的能力。
本发明实施例提供的反病毒文件检测方法,可对受保护网络进入的数据进行反病毒文件检测,该方法对***资源占用较少、检出率较高,可有效降低网络所传输的数据进行反病毒文件检测时网络时延,提高反病毒检测性能。
请参见图8,是本发明又一实施例反病毒文件检测装置结构示意图,本发明实施例可对进入受保护网络的数据进行反病毒文件检测,图8所示的装置300是由图6所示装置100进行优化得到的。在图8所示的装置300中,还包括:第二执行模块330、进一步地,还包括第三执行模块340、第四执行模块350,其中,
所述第二执行模块330,用于所述判断模块320判断所述数据包所属数据流承载的第一文件为非可移植可执行文件类型时,缓存承载所述第一文件的数据流的后续数据包的载荷内容,得到完整的第一文件,按照预置的第三检测规则对所述完整的第一文件进行反病毒文件检测,得到第三检出结果。
具体地,第三检测规则包括:特征码匹配、文件格式/静态代码分析、脱壳检测、虚拟机执行等检测规则中的一种或者几种的组合。
对非可移植可执行文件类型通过顺次缓存承载所述第一文件的数据流的后续数据包的载荷内容,得到非可移植可执行文件的完整的第一文件,再对完整文件进行反病毒文件检测,病毒文件的检出率较高。
应当理解,在缓存过程中,应不断检测缓存资源占用量是否超过缓存阈值,若超过缓存阈值,则释放当前已缓存的文件资源,若释放已缓存的文件资源后仍超过缓存阈值,则对于新接收到的数据包,不再进行缓存,而是将直接根据新接收到数据包的载荷内容进行反病毒文件检测,得到第一检出结果。
第三执行模块340,用于若第三检出结果指示所述完整的第一文件为病毒文件,则停止检测,释放所述第一文件所占用的存储资源,并发送告警。
第四执行模块350,用于若第三检出结果指示所述完整的第一文件为正常文件,则传输所述完整的第一文件后释放所述完整的第一文件占用的存储资源。
本发明实施例提供的反病毒文件检测方法,可对受保护网络进入的数据进行反病毒文件检测,该方法对***资源占用较少、检出率较高,可有效降低网络所传输的数据进行反病毒文件检测时网络时延,提高反病毒检测性能。
本发明实施例提供的网络设备结构示意图。请参考图9,本发明实施例的网络设备400可为任何能够实现上述方法实施例中所述功能的网关设备,网络设备400可包括:网络接口410、处理器420、输出接口430,还包括:存储器450和总线460。
其中,网络接口410、处理器420、输出接口430、存储器450通过总线460完成相互间的通信。
所述网络接口410,用于接收待检测数据包;
所述输出接口430,用于输出第一检出结果或第二检出结果,所述输出接口可与显示器、打印机等输出设备相连接,当然也可以通过数据网络与终端、服务器、主机、云端服务器等装置相连。
所述存储器450,用于存放程序,存储器450可能携带高速RAM存储器,也可能还包括非易失性存储器(non-volatile memory),例如至少一个磁盘存储器。
具体地,程序可以是程序代码,所述程序代码包括计算机操作指令。
处理器420可能是一个中央处理器CPU,或者是特定集成电路ASIC(Application Specific Integrated Circuit),或者是被配置成实施本发明实施例的一个或多个集成电路。
所述处理器420,用于读取所述程序,执行:用于判断所述数据包所属数据流承载的第一文件是否为可移植可执行文件类型,若为可移植可执行文件类型,则按照预置的第一检测规则,对所述数据包的载荷内容进行反病毒文件检测,得到第一检出结果,若第一检出结果指示所述数据包的载荷内容符合病毒文件的特征,则将所述数据包告警或者阻断,若第一检出结果指示所述数据包的载荷内容符合正常文件的特征,则传输所述数据包,若第一检出结果指示未知或继续检测,则缓存所述数据包的载荷内容以及所述数据流的后续数据包的载荷内容,得到完整的第一文件,按照预置的第二检测规则对所述完整的第一文件进行反病毒文件检测,得到第二检出结果。
相应地,所述处理器的具体执行方式可以参照前面方法实施例的描述,再这里不再重复。
本发明实施例提供的反病毒文件检测方法,可对受保护网络进入的数据进行反病毒文件检测,该方法对***资源占用较少、检出率较高,可有效降低网络所传输的数据进行反病毒文件检测时网络时延,提高反病毒检测性能。
应当理解,上述第一检出结果和第二检出结果、第三检出结果并不是表示顺序关系,而是为了区别不同的检出结果。同理,第一文件、第二文件;第一检测规则、第二检测规则、第三检测规则也仅是为了区分不同的文件和检测规则。
本领域普通技术人员将会理解,本发明的各个方面、或各个方面的可能实现方式可以被具体实施为***、方法或者计算机程序产品。此外,本发明的各方面、或各个方面的可能实现方式可以采用计算机程序产品的形式,计算机程序产品是指存储在计算机可读介质中的计算机可读程序代码。
计算机可读介质可以是计算机可读信号介质或者计算机可读存储介质。计算机可读存储介质包含但不限于电子、磁性、光学、电磁、红外或半导体***、设备或者装置,或者前述的任意适当组合,如随机存取存储器(RAM)、只读存储器(ROM)、可擦除可编程只读存储器(EPROM或者快闪存储器)、光纤、便携式只读存储器(CD-ROM)。
计算机中的处理器读取存储在计算机可读介质中的计算机可读程序代码,使得处理器能够执行在流程图中每个步骤、或各步骤的组合中规定的功能动作;生成实施在框图的每一块、或各块的组合中规定的功能动作的装置。
计算机可读程序代码可以完全在用户的计算机上执行、部分在用户的计算机上执行、作为单独的软件包、部分在用户的本地计算机上并且部分在远程计算机上,或者完全在远程计算机或者服务器上执行。也应该注意,在某些替代实施方案中,在流程图中各步骤、或框图中各块所注明的功能可能不按图中注明的顺序发生。例如,依赖于所涉及的功能,接连示出的两个步骤、或两个块实际上可能被大致同时执行,或者这些块有时候可能被以相反顺序执行。
显然,本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发明的精神和范围。这样,倘若本发明的这些修改和变型属于本发明权利要求及其等同技术的范围之内,则本发明也意图包含这些改动和变型在内。
Claims (13)
1.一种反病毒文件检测方法,其特征在于,包括:
接收数据包;
判断所述数据包所属数据流承载的第一文件是否为可移植可执行文件类型;
若为可移植可执行文件类型,则按照预置的第一检测规则,对所述数据包的载荷内容进行反病毒文件检测,得到第一检出结果;
若第一检出结果指示所述数据包的载荷内容符合病毒文件的特征,则将所述数据包告警或者阻断;
若第一检出结果指示所述数据包的载荷内容符合正常文件的特征,则传输所述数据包;
若第一检出结果指示未知或继续检测,则缓存所述数据包的载荷内容以及所述数据流的后续数据包的载荷内容,得到完整的第一文件,按照预置的第二检测规则对所述完整的第一文件进行反病毒文件检测,得到第二检出结果。
2.如权利要求1所述的方法,其特征在于,所述缓存所述数据包的载荷内容,包括:
检测缓存资源占用量是否超过缓存阈值;
若超过缓存阈值,释放当前已缓存的部分第一文件所占用的存储资源;
若释放当前已缓存的部分第一文件所占用的存储资源后,所述缓存资源占用量仍超过缓存阈值,则对新接收到的数据包,按照所述第一检测规则,对所述新接收到的数据包的载荷内容进行反病毒文件检测,所述新接收到的数据包为所述数据流的后续数据包,或者用以承载第二文件的数据流中的数据包;
若未超过缓存阈值,则缓存所述数据包的载荷内容。
3.如权利要求1所述的方法,其特征在于,所述得到第二检出结果,包括:
若第二检出结果指示所述第一文件为病毒文件,则释放所述第一文件所占用的存储资源,并发送告警;
若第二检出结果指示所述第一文件为正常文件,则传输所述第一文件后释放所述第一文件占用的存储资源。
4.如权利要求1-3任一项所述的方法,其特征在于,所述若第二检出结果指示所述第一文件为病毒文件,则释放所述第一文件所占用的存储资源之前,还包括:
获取并保存承载所述第一文件的数据流中的各数据包的特征标识。
5.如权利要求1-4任一项所述的方法,其特征在于,
若为非可移植可执行文件类型,所述方法还包括:
缓存承载所述第一文件的数据流的后续数据包的载荷内容,得到完整的第一文件,按照预置的第三检测规则对所述完整的第一文件进行反病毒文件检测,得到第三检出结果。
6.如权利要求5所述的方法,其特征在于,所述得到第三检出结果,包括:
若第三检出结果指示所述完整的第一文件为病毒文件,释放所述第一文件所占用的存储资源,并发送告警;
若第三检出结果指示所述完整的第一文件为正常文件,则传输所述完整的第一文件后释放所述第一文件占用的存储资源。
7.一种反病毒文件检测装置,其特征在于,包括:接收模块、判断模块、第一执行模块,
接收模块,用于接收数据包;
判断模块,用于判断所述接收模块接收的所述数据包所属数据流承载的第一文件是否为可移植可执行文件类型;
第一执行模块,用于所述判断模块判断所述数据包所属数据流承载的第一文件为可移植可执行文件类型时,按照预置的第一检测规则,对所述数据包的载荷内容进行反病毒文件检测,得到第一检出结果;
其中,所述第一执行模块包括:
第一处理单元,用于若第一检出结果指示所述数据包的载荷内容符合病毒文件的特征,则将所述数据包告警或者阻断;
第二处理单元,用于若第一检出结果指示所述数据包的载荷内容符合正常文件的特征,则传输所述数据包;
第三处理单元,用于若第一检出结果指示未知或继续检测,则缓存所述数据包的载荷内容及所述数据流的后续数据包的载荷内容,得到完整的第一文件,按照预置的第二检测规则对所述完整的第一文件进行反病毒文件检测,得到第二检出结果。
8.如权利要求7所述的装置,其特征在于,所述第三处理单元包括:
缓存检测子单元,用于检测缓存资源占用量是否超过缓存阈值;
释放子单元,用于所述检测子单元检测到缓存资源占用量超过缓存阈值时,释放当前已缓存的部分第一文件资源所占用的存储资源,若释放当前已缓存的部分第一文件所占用的存储资源后,所述缓存资源占用量仍超过缓存阈值,则对于新接收到的数据包,按照所述第一检测规则,对所述新接收到的数据包的载荷内容进行反病毒文件检测,所述新接收到的数据包为所述数据流的后续数据包,或者用以承载第二文件的数据流中的数据包;
缓存子单元,用于所述检测子单元检测到缓存资源占用量未超过缓存阈值时,缓存所述数据包的载荷内容,得到完整的第一文件;
病毒检测子单元,用于按照预置的第二检测规则对所述缓存子单元得到的所述完整的第一文件进行反病毒文件检测,得到第二检出结果。
9.如权利要求8所述的装置,其特征在于,所述第一执行模块还包括:
第四处理单元,用于若第二检出结果指示所述第一文件为病毒文件,则释放所述第一文件所占用的存储资源,并发送告警;
第五处理单元,用于若第二检出结果指示所述第一文件为正常文件,则传输所述第一文件后释放所述第一文件占用的存储资源。
10.如权利要求7-9任一项所述的装置,其特征在于,所述第三处理单元还包括:
获取子单元,用于获取并保存承载所述第一文件的数据流中的各数据包的特征标识。
11.如权利要求7-10任一项所述的装置,其特征在于,所述装置还包括:第二执行模块,
第二执行模块,用于所述判断模块判断所述数据包所属数据流承载的第一文件为非可移植可执行文件类型时,缓存承载所述第一文件的数据流的后续数据包的载荷内容,得到完整的第一文件,按照预置的第三检测规则对所述完整的第一文件进行反病毒文件检测,得到第三检出结果。
12.如权利要求11所述的装置,其特征在于,所述装置还包括:
第三执行模块,用于若第三检出结果指示所述完整的第一文件为病毒文件,释放所述第一文件所占用的存储资源,并发送告警;
第四执行模块,用于若第三检出结果指示所述完整的第一文件为正常文件,则传输所述完整的第一文件后释放所述完整的第一文件占用的存储资源。
13.一种网络设备,其特征在于,包括:存储器、处理器、网络接口和输出接口,其中,
所述网络接口,用于接收待检测数据包;
所述存储器,用于存储程序代码;
所述处理器,用于读取所述存储器中存储的程序代码后,执行以下步骤:
判断所述网络接口接收到的数据包所属数据流承载的第一文件是否为可移植可执行文件类型,若为可移植可执行文件类型,则按照预置的第一检测规则,对所述数据包的载荷内容进行反病毒文件检测,得到第一检出结果,
若第一检出结果指示所述数据包的载荷内容符合病毒文件的特征,则将所述数据包告警或者阻断;
若第一检出结果指示所述数据包的载荷内容符合正常文件的特征,则指示所述网络接口传输所述数据包;
若第一检出结果指示未知或继续检测,则缓存所述数据包的载荷内容以及所述数据流的后续数据包的载荷内容,得到完整的第一文件,按照预置的第二检测规则对所述完整的第一文件进行反病毒文件检测,得到第二检出结果;
所述输出接口,用于输出第一检出结果或第二检出结果。
Priority Applications (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201310403826.8A CN104424438B (zh) | 2013-09-06 | 2013-09-06 | 一种反病毒文件检测方法、装置及网络设备 |
| PCT/CN2014/078381 WO2015032221A1 (zh) | 2013-09-06 | 2014-05-26 | 一种反病毒文件检测方法、装置及网络设备 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201310403826.8A CN104424438B (zh) | 2013-09-06 | 2013-09-06 | 一种反病毒文件检测方法、装置及网络设备 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN104424438A true CN104424438A (zh) | 2015-03-18 |
| CN104424438B CN104424438B (zh) | 2018-03-16 |
Family
ID=52627773
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201310403826.8A Active CN104424438B (zh) | 2013-09-06 | 2013-09-06 | 一种反病毒文件检测方法、装置及网络设备 |
Country Status (2)
| Country | Link |
|---|---|
| CN (1) | CN104424438B (zh) |
| WO (1) | WO2015032221A1 (zh) |
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107896207A (zh) * | 2017-09-28 | 2018-04-10 | 努比亚技术有限公司 | 一种数据迁移方法、终端及计算机可读存储介质 |
| CN109981629A (zh) * | 2019-03-19 | 2019-07-05 | 杭州迪普科技股份有限公司 | 病毒防护方法、装置、设备及存储介质 |
| CN111611584A (zh) * | 2020-05-13 | 2020-09-01 | 深信服科技股份有限公司 | 恶意文件检测方法、装置、存储介质及防火墙 |
| CN112580038A (zh) * | 2019-09-30 | 2021-03-30 | 奇安信安全技术(珠海)有限公司 | 反病毒数据的处理方法、装置及设备 |
| CN115189926A (zh) * | 2022-06-22 | 2022-10-14 | 北京天融信网络安全技术有限公司 | 网络流量的检测方法、网络流量的检测***和电子设备 |
| CN116611067A (zh) * | 2023-07-19 | 2023-08-18 | 中国电信股份有限公司江西分公司 | 一种基于IPv6的app检测和加固方法 |
Families Citing this family (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112580035B (zh) * | 2019-09-30 | 2024-02-06 | 奇安信安全技术(珠海)有限公司 | 程序脱壳方法及装置、存储介质、计算机设备 |
| CN116192441B (zh) * | 2022-12-12 | 2023-08-08 | 深圳崎点数据有限公司 | 一种数字园区应急处理***及方法 |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20040158732A1 (en) * | 2003-02-10 | 2004-08-12 | Kissel Timo S. | Efficient scanning of stream based data |
| CN101119373A (zh) * | 2007-09-04 | 2008-02-06 | 北京大学 | 一种网关级流式病毒扫描方法及其*** |
| CN101252576A (zh) * | 2008-03-13 | 2008-08-27 | 苏州爱迪比科技有限公司 | 利用dfa在网关处进行基于网络流的病毒检测方法 |
| CN101547126A (zh) * | 2008-03-27 | 2009-09-30 | 北京启明星辰信息技术股份有限公司 | 一种基于网络数据流的网络病毒检测方法及装置 |
| CN102694801A (zh) * | 2012-05-21 | 2012-09-26 | 华为技术有限公司 | 病毒检测方法、装置以及防火墙设备 |
| CN103067364A (zh) * | 2012-12-21 | 2013-04-24 | 华为技术有限公司 | 病毒检测方法及设备 |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2014005303A1 (zh) * | 2012-07-04 | 2014-01-09 | 华为技术有限公司 | 反病毒方法和装置及防火墙设备 |
-
2013
- 2013-09-06 CN CN201310403826.8A patent/CN104424438B/zh active Active
-
2014
- 2014-05-26 WO PCT/CN2014/078381 patent/WO2015032221A1/zh active Application Filing
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20040158732A1 (en) * | 2003-02-10 | 2004-08-12 | Kissel Timo S. | Efficient scanning of stream based data |
| CN101119373A (zh) * | 2007-09-04 | 2008-02-06 | 北京大学 | 一种网关级流式病毒扫描方法及其*** |
| CN101252576A (zh) * | 2008-03-13 | 2008-08-27 | 苏州爱迪比科技有限公司 | 利用dfa在网关处进行基于网络流的病毒检测方法 |
| CN101547126A (zh) * | 2008-03-27 | 2009-09-30 | 北京启明星辰信息技术股份有限公司 | 一种基于网络数据流的网络病毒检测方法及装置 |
| CN102694801A (zh) * | 2012-05-21 | 2012-09-26 | 华为技术有限公司 | 病毒检测方法、装置以及防火墙设备 |
| CN103067364A (zh) * | 2012-12-21 | 2013-04-24 | 华为技术有限公司 | 病毒检测方法及设备 |
Cited By (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107896207A (zh) * | 2017-09-28 | 2018-04-10 | 努比亚技术有限公司 | 一种数据迁移方法、终端及计算机可读存储介质 |
| CN109981629A (zh) * | 2019-03-19 | 2019-07-05 | 杭州迪普科技股份有限公司 | 病毒防护方法、装置、设备及存储介质 |
| CN112580038A (zh) * | 2019-09-30 | 2021-03-30 | 奇安信安全技术(珠海)有限公司 | 反病毒数据的处理方法、装置及设备 |
| CN111611584A (zh) * | 2020-05-13 | 2020-09-01 | 深信服科技股份有限公司 | 恶意文件检测方法、装置、存储介质及防火墙 |
| CN115189926A (zh) * | 2022-06-22 | 2022-10-14 | 北京天融信网络安全技术有限公司 | 网络流量的检测方法、网络流量的检测***和电子设备 |
| CN115189926B (zh) * | 2022-06-22 | 2024-01-26 | 北京天融信网络安全技术有限公司 | 网络流量的检测方法、网络流量的检测***和电子设备 |
| CN116611067A (zh) * | 2023-07-19 | 2023-08-18 | 中国电信股份有限公司江西分公司 | 一种基于IPv6的app检测和加固方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN104424438B (zh) | 2018-03-16 |
| WO2015032221A1 (zh) | 2015-03-12 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN104424438A (zh) | 一种反病毒文件检测方法、装置及网络设备 | |
| CN107710657B (zh) | 用于通信总线的实时数据安全的方法和装置 | |
| US9560059B1 (en) | System, apparatus and method for conducting on-the-fly decryption of encrypted objects for malware detection | |
| US9882924B2 (en) | Systems and methods for malware analysis of network traffic | |
| US9762595B2 (en) | Secure cross domain solution systems and methods | |
| US8966630B2 (en) | Generating and distributing a malware countermeasure | |
| CN102346825A (zh) | 提供基于片上***的反恶意软件服务的装置和方法 | |
| CA2887428C (en) | A computer implemented system and method for secure path selection using network rating | |
| US8539581B2 (en) | Efficient distribution of a malware countermeasure | |
| KR101754951B1 (ko) | Can 통신 기반 해킹공격에 안전한 can 컨트롤러 | |
| CN111314328A (zh) | 网络攻击防护方法、装置、存储介质及电子设备 | |
| JP7255710B2 (ja) | 攻撃監視用センター装置、及び攻撃監視用端末装置 | |
| CN110022319B (zh) | 攻击数据的安全隔离方法、装置、计算机设备及存储设备 | |
| KR102373922B1 (ko) | 차량의 제어 장치에 대한 공격을 검출하기 위한 방법 | |
| US9444845B2 (en) | Network security apparatus and method | |
| US8819808B2 (en) | Host trust report based filtering mechanism in a reverse firewall | |
| EP3036880B1 (en) | Method and apparatus for monitoring and filtering universal serial bus network traffic | |
| CN101515924B (zh) | 一种p2p流识别的方法及装置 | |
| KR101825711B1 (ko) | Can 통신 기반 해킹공격에 안전한 can 컨트롤러 | |
| CN111163103B (zh) | 由计算设备执行的风险控制方法、装置、计算设备、介质 | |
| US20090100487A1 (en) | Mitigating subscriber side attacks in a cable network | |
| US10616094B2 (en) | Redirecting flow control packets | |
| CN113746786A (zh) | 网络攻击的检测方法、装置、设备及存储介质 | |
| KR101393911B1 (ko) | 에이전트와 네트워크 장치의 연동을 통한 정보 유출 방지 시스템 | |
| KR101196366B1 (ko) | 서버보안을 위한 랜카드 시스템 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |