CN105337975A - 病毒扫描方法及*** - Google Patents
病毒扫描方法及*** Download PDFInfo
- Publication number
- CN105337975A CN105337975A CN201510740591.0A CN201510740591A CN105337975A CN 105337975 A CN105337975 A CN 105337975A CN 201510740591 A CN201510740591 A CN 201510740591A CN 105337975 A CN105337975 A CN 105337975A
- Authority
- CN
- China
- Prior art keywords
- application program
- content
- compartment wall
- fire compartment
- section
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/145—Countermeasures against malicious traffic the attack involving the propagation of malware through the network, e.g. viruses, trojans or worms
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Virology (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Information Transfer Between Computers (AREA)
Abstract
本发明提供了一种病毒扫描方法及***,方法包括:防火墙根据用户设备的下载请求下载第一应用程序,并将已下载的第一应用程序的部分或全部内容按照病毒服务器对第一应用程序的分段情况分段发送给病毒服务器;当病毒服务器接收到防火墙发送的第一应用程序的一段内容时,计算该段内容的校验数据,并将该校验数据与对应的预设校验数据进行比较,若不一致,则向防火墙发送第一应用程序为异常程序的提示信息;若比较结果一致,则判断是否已经接收到了第一应用程序的全部内容,若是,则向防火墙发送第一应用程序为正常程序的提示信息,否则继续接收防火墙发送的又一段内容。本发明解决了现有技术中不能及时判断正在下载的软件是否为异常软件的问题。
Description
技术领域
本发明涉及计算机技术领域,具体涉及一种病毒扫描方法及***。
背景技术
防火墙等网络设备通常会外接一个病毒服务器,通过病毒服务器的动态扫描来判断是否有病毒。比如PC请求下载微信软件时,防火墙对下载的软件报文进行拦截,暂时不发送给请求PC,并发送给外接的病毒服务器,当整个微信软件都下载完成后,病毒服务器中就有一份完整的软件,此时病毒服务器对该软件进行病毒扫描,如果发现有病毒就进行提示,如果没有病毒,防火墙就将下载好的微信软件转发给PC。
从上面的描述可知,现有的病毒服务器在进行扫描病毒时非常耗时,不能及时判断出正在下载的软件是否为异常软件,对于正在下载的大型应用程序,那么需要的时间就更长了。
发明内容
针对现有技术中的缺陷,本发明提供一种病毒扫描方法及***,解决了现有技术中不能及时判断正在下载的软件是否为异常软件的问题。
为解决上述问题,第一方面,本发明提供了一种病毒扫描方法,包括:防火墙根据用户设备的下载请求下载第一应用程序,并将已下载的第一应用程序的部分或全部内容按照病毒服务器对第一应用程序的分段情况分段发送给所述病毒服务器;
当所述病毒服务器接收到所述防火墙发送的第一应用程序的一段内容时,计算该段内容的校验数据,并将该段内容的校验数据与对应的预设校验数据进行比较,若比较结果不一致,则向所述防火墙发送所述第一应用程序为异常应用程序的提示信息;若比较结果一致,则判断是否已经接收到了第一应用程序的全部内容,若是,则向所述防火墙发送所述第一应用程序为正常应用程序的提示信息,否则继续接收所述防火墙发送的第一应用程序的又一段内容。
进一步地,在防火墙根据用户设备的下载请求下载第一应用程序,并将已下载的第一应用程序的部分或全部内容按照病毒服务器对第一应用程序的分段情况分段发送给所述病毒服务器之前,所述方法还包括:
防火墙接收病毒服务器发送的病毒服务器对所述第一应用程序的分段情况。
进一步地,在防火墙接收病毒服务器发送的病毒服务器对所述第一应用程序的分段情况之前,所述方法还包括:
防火墙在第一次下载所述第一应用程序时,将已下载完整的第一应用程序发送给病毒服务器;
病毒服务器在接收到防火墙发送的第一应用程序的完整内容后,对第一应用程序进行完整的病毒扫描,在确定所述第一应用程序为正常应用程序后,对所述第一应用程序进行分段处理,计算每一分段内容对应的校验数据并保存,以及将对所述第一应用程序的分段情况发送给所述防火墙,以使防火墙再次下载所述第一应用程序时,每下载相应的一段内容就将下载的该段内容发送给病毒服务器,使得病毒服务器对所述第一应用程序进行分段校验;
其中,所述每一分段内容对应的校验数据为预设校验数据。
进一步地,对所述第一应用程序进行分段处理,计算每一分段内容的校验数据,包括:
将所述第一应用程序划分为N段内容,对每一段内容分别计算md5校验值,得到对应每段内容的md5校验值,其中,对应第一至第N段内容的N个md5校验值依次为第一至第N预设校验数据,N为正整数。
进一步地,在对所述第一应用程序进行分段处理,计算每一分段内容对应的校验数据之前,所述方法还包括:
保存经过验证为正常应用程序的第一应用程序的下载链接地址;
相应地,所述方法还包括:
当所述病毒服务器接收到所述防火墙发送的第一应用程序的一段内容时,,根据接收到的该段内容获取该段内容对应的下载链接地址,以及比较该下载链接地址与保存的经过验证为正常应用程序的第一应用程序的下载链接地址是否一致,若一致,则确定防火墙正在下载的第一应用程序为正常应用程序,并向所述防火墙发送所述第一应用程序为正常应用程序的提示信息。
进一步地,在确定防火墙正在下载的第一应用程序为正常应用程序之前,所述方法还包括:
病毒服务器判断根据接收到的该段内容获取的该段内容对应的下载链接地址是否为真实链接地址,若是,则确定防火墙正在下载的第一应用程序为正常应用程序。
第二方面,本发明还提供了一种病毒扫描***,包括:防火墙和病毒服务器;
所述防火墙用于根据用户设备的下载请求下载第一应用程序,并将已下载的第一应用程序的部分或全部内容按照病毒服务器对第一应用程序的分段情况分段发送给所述病毒服务器;
所述病毒服务器用于接收并验证所述防火墙发送的第一应用程序是否为正常应用程序;具体地,当所述病毒服务器接收到所述防火墙发送的第一应用程序的一段内容时,计算该段内容的校验数据,并将该段内容的校验数据与对应的预设校验数据进行比较,若比较结果不一致,则向所述防火墙发送所述第一应用程序为异常应用程序的提示信息;若比较结果一致,则判断是否已经接收到了第一应用程序的全部内容,若是,则向所述防火墙发送所述第一应用程序为正常应用程序的提示信息,否则继续接收所述防火墙发送的第一应用程序的又一段内容。
进一步地,所述防火墙在根据用户设备的下载请求下载第一应用程序,并将已下载的第一应用程序的部分或全部内容按照病毒服务器对第一应用程序的分段情况分段发送给所述病毒服务器之前,还用于接收病毒服务器发送的病毒服务器对所述第一应用程序的分段情况。
进一步地,在所述防火墙接收病毒服务器发送的病毒服务器对所述第一应用程序的分段情况之前,所述防火墙还用于在第一次下载所述第一应用程序时,将已下载完整的第一应用程序发送给病毒服务器;
相应地,病毒服务器在接收到防火墙发送的第一应用程序的完整内容后,对第一应用程序进行完整的病毒扫描,在确定所述第一应用程序为正常应用程序后,对所述第一应用程序进行分段处理,计算每一分段内容对应的校验数据并保存,以及将对所述第一应用程序的分段情况发送给所述防火墙,以使防火墙再次下载所述第一应用程序时,每下载相应的一段内容就将下载的该段内容发送给病毒服务器,使得病毒服务器对所述第一应用程序进行分段校验;
其中,所述每一分段内容对应的校验数据为预设校验数据。
进一步地,所述病毒服务器在对所述第一应用程序进行分段处理,计算每一分段内容的校验数据时,具体将所述第一应用程序划分为N段内容,对每一段内容分别计算md5校验值,得到对应每段内容的md5校验值,其中,对应第一至第N段内容的N个md5校验值依次为第一至第N预设校验数据。
由上述技术方案可知,本发明所述的病毒扫描方法,不再等待应用程序所有内容完全下载后再整体扫描,而是基于预设的分段情况和分段校验数据对防火墙正在下载的应用程序进行分段判断,这样防火墙每下载相应的一段内容,病毒服务器就可以先判断该段内容是否正常,若该段内容不正常,则可以直接判断正在下载的应用程序为异常应用程序,而不必等待整个应用程序全部内容下载完毕后再判断,这样可以有效提高病毒扫描效率,提前发现异常软件。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是本发明第一个实施例提供的病毒扫描方法的流程图;
图2是本发明第二个实施例提供的病毒扫描方法的流程图;
图3是本发明第二个实施例提供的病毒扫描方法的另一流程图;
图4是本发明第五个实施例提供的病毒扫描***的结构示意图。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整的描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
现有技术中,病毒服务器在扫描病毒时采用的是整体扫描的方法,导致非常耗时,如果是下载大型的应用程序,需要的时间就更长了。为了解决该问题,本发明提供了一种病毒扫描方法及***,下面将一一介绍。
图1示出了本发明第一个实施例提供的病毒扫描方法的流程图,如图1所示,本实施例的病毒扫描方法包括如下步骤:
步骤101:防火墙根据用户设备的下载请求下载第一应用程序,并将已下载的第一应用程序的部分或全部内容按照病毒服务器对第一应用程序的分段情况分段发送给所述病毒服务器。
在本步骤中,所述第一应用程序为属于所述防火墙管理的用户设备请求下载的应用程序,所述防火墙至少管理一个用户设备,当所述防火墙管理多个用户设备时,所述多个用户设备均向该防火墙请求下载应用程序。本步骤中的应用程序一般指常用的应用软件,如微信、QQ、美图秀秀、京东商城、淘宝网、聚美等应用软件。而用户设备一般指移动终端,例如智能手机、个人数码助理(PDA)、平板电脑、笔记本电脑、车载电脑(carputer)、掌上游戏机、智能眼镜、智能手表、可穿戴设备等等。
当用户设备请求下载某一应用程序(如微信)时,防火墙将会对下载的应用程序进行拦截,暂时不发送给用户设备,而是发送给外接的病毒服务器,由病毒服务器进行病毒扫描。在病毒服务器确定该应用程序为正常应用程序时,防火墙才将该下载的应用程序发送给用户设备。现有的病毒服务器在对应用程序进行病毒扫描时,属于整体扫描方式,即病毒服务器对防火墙发送的完整应用程序进行病毒扫描。但是这样的病毒扫描方式比较耗时,不能及时确定该下载的应用程序是否为异常应用程序。
为了解决该问题,本实施例中,防火墙采用一边下载、一边发送的方式将已下载的内容按预设的分段情况发送给病毒服务器,以使病毒服务器采用分段接收和分段校验的方式来尽早验证正在下载的应用程序是否异常应用程序。
具体地,防火墙管理下的某一用户设备请求下载某一应用程序如微信,此时防火墙根据用户设备的下载请求开始下载该微信应用程序,并在下载过程中将已下载的该微信应用程序的部分或全部内容按照病毒服务器对第一应用程序的分段情况分段发送给所述病毒服务器。
步骤102:当所述病毒服务器接收到所述防火墙发送的第一应用程序的一段内容时,计算该段内容的校验数据,并将该段内容的校验数据与对应的预设校验数据进行比较,若比较结果不一致,则执行步骤103;若比较结果一致,则执行步骤104。
在本步骤中,当所述病毒服务器接收到所述防火墙发送的第一应用程序的一段内容时,计算该段内容的校验数据,并将该段内容的校验数据与对应的预设校验数据进行比较,若比较结果不一致,则说明防火墙正在下载的微信应用程序为异常软件,此时病毒服务器会向所述防火墙发送所述第一应用程序为异常应用程序的提示信息,防火墙在接收到该提示信息后,将会阻止该应用程序的继续下载。
其中,与第一应用程序每段内容对应的预设校验数据是病毒服务器预先计算并存储在病毒服务器中的。其中预设校验数据的获取方法可以参看本发明第二个实施例记载的内容。
这样,当防火墙下载完部分内容后,防火墙会根据病毒服务器对第一应用程序的分段情况,将已下载的内容按照预设的分段情况分段发送给病毒服务器。若防火墙已下载的内容不足于构成预设的任何一段内容,则防火墙继续下载,直到已下载的内容满足预设的某一段内容时,将该段内容发送给病毒服务器。与此同时,防火墙会继续下载第一应用程序的其他内容。
步骤103:病毒服务器向所述防火墙发送所述第一应用程序为异常应用程序的提示信息。
在本步骤中,当病毒服务器确定防火墙发送的第一应用程序的某一段内容的校验数据与对应的预设校验数据不一致时,向所述防火墙发送所述第一应用程序为异常应用程序的提示信息,以提示防火墙阻止该应用程序的下载,这样可以尽早地判断出某一应用程序是否为异常应用程序,节省了病毒扫描时间。
步骤104:病毒服务器判断是否已经接收到了第一应用程序的全部内容,若是,则执行步骤105,否则执行步骤102。
在本步骤中,当病毒服务器确定防火墙发送的第一应用程序的某一段内容的校验数据与对应的预设校验数据一致时,病毒服务器判断是否已经接收到了第一应用程序的全部内容,若是,则说明该第一应用程序没有问题,是正常应用程序。否则,病毒服务器还需要继续接收所述防火墙发送的第一应用程序的另一段内容,并对该另一段内容继续进行校验,直至确定所述第一应用程序为异常应用程序或正常应用程序为止。
例如,病毒服务器预先对第一应用程序划分了N段内容,并将分段情况发送给了防火墙。防火墙后续在下载该第一应用程序时,每下载一部分内容,就判断该部分内容是否满足了其中的某一段,若满足,则将已下载的这部分内容组装成对应的一段内容,并将组装好的这段内容发送给病毒服务器。若不满足,则继续下载并判断能否构成其中的一段内容。
病毒服务器在接收到防火墙发送的某一段内容后,计算这段内容的校验数据,并将计算好的校验数据与对应的预设校验数据进行比较,若不一致,则说明防火墙正在下载的应用程序有问题,此时病毒服务器会向防火墙发送该应用程序为异常应用程序的提示信息。若一致,则说明防火墙正在下载的应用程序暂时安全,此时病毒服务器需要继续接收防火墙发送的又一段内容,并进行验证,直到该应用程序的N段内容都经过验证没有问题后,才能确定所述第一应用程序为正常应用程序。
步骤105:病毒服务器向所述防火墙发送所述第一应用程序为正常应用程序的提示信息。
从上述描述可以看出,本实施例所述的病毒扫描方法,不再等待应用程序所有内容完全下载后再整体扫描,而是基于预设的分段情况和分段校验数据对正在下载的应用程序进行分段判断,这样防火墙每下载一段内容,病毒服务器就可以先判断该段内容是否正常,若该段内容不正常,则可以直接判断正在下载的应用程序为异常应用程序,而不必等待整个应用程序全部内容下载完毕后再判断,这样可以有效提高病毒扫描效率,使得病毒服务器可以提前发现异常软件。
在本发明的第二个实施例中,参见图2,在上述步骤101之前,所述方法还包括步骤100。
步骤100:防火墙接收病毒服务器发送的病毒服务器对所述第一应用程序的分段情况。
在本步骤中,在上述步骤101之前,防火墙需要接收病毒服务器发送的病毒服务器对所述第一应用程序的分段情况,以便于防火墙在下载所述第一应用程序的过程中,将已下载的内容按照所述分段情况分段发送给病毒服务器。
进一步地,在上述步骤100之前,参见图3,所述方法还包括步骤100’。
步骤100’:防火墙在第一次下载所述第一应用程序时,将已下载完整的第一应用程序发送给病毒服务器;
病毒服务器在接收到防火墙发送的第一应用程序的完整内容后,对第一应用程序进行完整的病毒扫描,在确定所述第一应用程序为正常应用程序后,对所述第一应用程序进行分段处理,计算每一分段内容对应的校验数据并保存,以及将对所述第一应用程序的分段情况发送给所述防火墙,以使防火墙再次下载所述第一应用程序时,每下载相应的一段内容就将下载的该段内容发送给病毒服务器,使得病毒服务器对所述第一应用程序进行分段校验;
其中,所述每一分段内容对应的校验数据为预设校验数据。
在本步骤中,例如,当防火墙第一次下载所述第一应用程序时,将已下载完整的第一应用程序发送给病毒服务器,病毒服务器在接收到防火墙发送的第一应用程序的完整内容后,对该第一应用程序进行整体病毒扫描(该次病毒扫描为现有技术中的病毒扫描过程),在确定该第一应用程序为正常应用程序后,对所述第一应用程序进行分段处理,计算每一分段内容对应的校验数据并保存,这里计算得到的校验数据即为上述步骤中的预设校验数据。另外,病毒服务器还将对所述第一应用程序的分段情况发送给所述防火墙,以使防火墙再次下载所述第一应用程序时,每下载相应的一段内容就将下载的内容发送给病毒服务器,使得病毒服务器对所述第一应用程序进行分段校验。
优选地,在对所述第一应用程序进行分段处理,计算每一分段内容的校验数据时,将所述第一应用程序划分为N段内容(N为正整数),对每一段内容分别计算md5校验值,得到对应每段内容的md5校验值,其中,对应第一至第N段内容的N个md5校验值依次为第一至第N预设校验数据。当然还可以选择其他校验值计算方法,并不限于md5校验值。
其中,病毒服务器获取第1至第N预设校验数据的具体方式可以为:
当防火墙第一次下载所述第一应用程序时,将已下载的完整的第一应用程序发送给病毒服务器,病毒服务器在接收到防火墙发送的第一应用程序的完整内容后,对该第一应用程序进行整体病毒扫描,在确定该第一应用程序为正常应用程序后,病毒服务器开始对该第一应用程序进行分段处理。在进行分段时,病毒服务器会根据第一应用程序的大小确定每一分段的长度,例如若该第一应用程序的大小为20M,则对该第一应用程序按照每1M为一段的方式进行分段处,并为每段计算md5校验值,共会得到对应20个分段内容的20个md5值,这20个md5值即为预设校验数据;若该第一应用程序的大小不足1M,则对该应用程序按照每1K为一段的方式进行分段md5计算。
当然,第一应用程序的各段内容的长度可以一致,也可以不一致。例如,对于上述20M的第一应用程序,共划分为20段,其中第1至第N段内容的长度均为1M(兆)。或者对于上述20M的第一应用程序,共划分为15段,其中第1段内容的长度为1M,第2段内容的长度为2M,第3段内容的长度为1M,第4段内容的长度为3M等等。
在上述分段及计算md5校验值结束后,病毒服务器还将对第一应用程序的分段情况发送给防火墙,这样当有属于该防火墙管理的用户设备(可以为上述用户设备,也可以是属于该防火墙管理的另一用户设备)再次下载该第一应用程序时,防火墙每下载相应的一段(与病毒服务器的分段情况一一对应,但是不限定分段内容的先后顺序,防火墙有可能先下载第3段内容,再下载第2段内容等)内容,就会将下载的该段内容发送给病毒服务器,使得病毒服务器对该段内容进行校验,具体校验时,病毒服务器会先计算接收的这段内容的md5值,然后将该md5值与之前保存的与该段内容对应的预设md5校验值进行比较,若不一致,说明正在下载的应用程序是有问题的,病毒服务器会向防火墙发送该应用程序有问题的提示信息。若一致,则病毒服务器会对后续接收的分段内容进行校验,若不一致,则说明正在下载的应用程序是有问题的,病毒服务器会向防火墙发送该应用程序有问题的提示信息,若一致,则病毒服务器再对后续接收的分段内容进行校验,直至某一段内容校验不通过或所有分段内容均校验通过为止。
在本发明的第三个实施例中,在上述对所述第一应用程序进行分段处理,计算每一分段内容对应的校验数据步骤之前,所述方法还包括:
步骤A:保存经过验证为正常应用程序的第一应用程序的下载链接地址。
在上述步骤中,由于病毒服务器确认所述第一应用程序为正常应用程序,所以本步骤A保存的下载链接地址为可信下载链接地址。
相应地,所述方法还包括:
当所述病毒服务器接收到所述防火墙发送的第一应用程序的一段内容时,根据接收到的该段内容获取该段内容对应的下载链接地址,以及比较该下载链接地址与保存的经过验证为正常应用程序的第一应用程序的下载链接地址是否一致,若一致,则确定防火墙正在下载的第一应用程序为正常应用程序,并向所述防火墙发送所述第一应用程序为正常应用程序的提示信息。
若不一致,则病毒服务器判断防火墙正在下载的应用程序为异常应用程序或者再进行分段内容校验。
其中,防火墙在第一次下载并向病毒服务器发送所述第一应用程序时,病毒服务器会确定所述第一应用程序是否异常,在确定所述第一应用程序为正常应用程序后,病毒服务器会记录应用程序的版本号、软件名称、对应的可信下载链接地址信息,以便于用户设备再次下载该应用程序时,病毒服务器将用户设备本次下载使用的下载链接地址与对应的可信下载链接地址进行对比,以判断正在下载的应用程序是否为正常应用程序。
若两者一致,则可以证明该次下载的应用程序是可信的,即为正常应用程序,从而不再需要分段判断所述应用程序,加快了病毒扫描过程。
在本发明的第四个实施例中,为了进一步保证所述第一应用程序为正常应用程序的确定性,在确定防火墙正在下载的第一应用程序为正常应用程序之前,所述方法还包括:
病毒服务器判断根据接收到的该段内容获取的该段内容对应的下载链接地址是否为真实链接地址,若是,则确定防火墙正在下载的第一应用程序为正常应用程序。
否则,说明获取的第一应用程序的下载链接地址可能被篡改过,这时,正在下载的第一应用程序很有可能是异常的应用程序,此时病毒服务器可以直接向防火墙发送所述第一应用程序为异常应用程序的提示信息,或是采用上述分段校验的方式确定该第一应用程序是否真的为异常应用程序。
本实施例之所以需要判断获取的第一应用程序的下载链接地址是否为真实链接地址,是防止伪造链接地址的情况。若所述第一应用程序的下载链接地址为伪造链接地址,则即使与之前保存的下载链接地址一致,也不能确定所述第一应用程序是否为正常应用程序。
另外,即便经过上述步骤确定获取得的第一应用程序的下载链接地址是否为真实链接地址,也不一定说明正在下载的第一应用程序为正常应用程序,因为还有一种可能是,该真实链接地址的内容被恶意篡改过,这时,即使证明获取的第一应用程序的下载链接地址为真实链接地址,也不一定保证正在下载的第一应用程序为正常应用程序。当然,这只是一种比较特殊的情况。因此,对于对安全性要求较高的用户设备,可以强制要求病毒服务器对所有正在下载的程序均使用上述分段校验的方式进行验证,而不去判断下载链接地址是否与预存的下载链接地址一致,以及下载链接地址是否为真实链接地址(尽管这种方式可能会省很多时间)。在具体实现方式上,用户设备可以通过防火墙向病毒服务器发送自身ID,病毒服务器可以存储需要强制进行分段校验的用户设备ID,当病毒服务器在接收到防火墙发送的某一用户设备正在下载的第一应用程序的某段内容时,病毒服务器根据所述用户设备的ID,来决定是否需要判断下载链接地址的正确性和有效性。比如,若该用户设备属于强制要求分段校验的用户设备,则病毒会省去对下载链接地址的正确性和/或真实性的判断,而直接采用分段校验的方式进行病毒扫描,这样可以确保该用户设备不会下载到异常的应用程序。
图4示出了本发明第五个实施例提供的病毒扫描***的结构图,如图4所示,本实施例所述的病毒扫描***包括:防火墙100和病毒服务器200;
所述防火墙100用于根据用户设备的下载请求下载第一应用程序,并将已下载的第一应用程序的部分或全部内容按照病毒服务器200对第一应用程序的分段情况分段发送给所述病毒服务器200;
所述病毒服务器200用于接收并验证所述防火墙100发送的第一应用程序是否为正常应用程序;具体地,当所述病毒服务器200接收到所述防火墙100发送的第一应用程序的一段内容时,计算该段内容的校验数据,并将该段内容的校验数据与对应的预设校验数据进行比较,若比较结果不一致,则向所述防火墙100发送所述第一应用程序为异常应用程序的提示信息;若比较结果一致,则判断是否已经接收到了第一应用程序的全部内容,若是,则向所述防火墙100发送所述第一应用程序为正常应用程序的提示信息,否则继续接收所述防火墙100发送的第一应用程序的又一段内容。
进一步地,所述防火墙100在根据用户设备的下载请求下载第一应用程序,并将已下载的第一应用程序的部分或全部内容按照病毒服务器200对第一应用程序的分段情况分段发送给所述病毒服务器200之前,还用于接收病毒服务器200发送的病毒服务器200对所述第一应用程序的分段情况。
进一步地,在所述防火墙100接收病毒服务器200发送的病毒服务器200对所述第一应用程序的分段情况之前,所述防火墙100还用于在第一次下载所述第一应用程序时,将已下载完整的第一应用程序发送给病毒服务器200;
相应地,病毒服务器200在接收到防火墙100发送的第一应用程序的完整内容后,对第一应用程序进行完整的病毒扫描,在确定所述第一应用程序为正常应用程序后,对所述第一应用程序进行分段处理,计算每一分段内容对应的校验数据并保存,以及将对所述第一应用程序的分段情况发送给所述防火墙100,以使防火墙100再次下载所述第一应用程序时,每下载相应的一段内容就将下载的该段内容发送给病毒服务器200,使得病毒服务器200对所述第一应用程序进行分段校验;
其中,所述每一分段内容对应的校验数据为预设校验数据。
进一步地,所述病毒服务器200在对所述第一应用程序进行分段处理,计算每一分段内容的校验数据时,具体将所述第一应用程序划分为N段内容,对每一段内容分别计算md5校验值,得到对应每段内容的md5校验值,其中,对应第一至第N段内容的N个md5校验值依次为第一至第N预设校验数据。
本实施例所述***可以用于执行上述实施例所述的方法,其原理和效果类似,此处不再详述。
本实施例所述的病毒扫描***,基于分段校验数据对正在下载的内容进行分段校验,当发现某一段内容不正常时,可以及时确定正在下载的应用程序为异常应用程序,而不必等待整个应用程序全部内容下载完毕后再判断,因此可以有效提高病毒扫描效率,提前发现异常软件。
以上实施例仅用于说明本发明的技术方案,而非对其限制;尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。
Claims (10)
1.一种病毒扫描方法,其特征在于,包括:
防火墙根据用户设备的下载请求下载第一应用程序,并将已下载的第一应用程序的部分或全部内容按照病毒服务器对第一应用程序的分段情况分段发送给所述病毒服务器;
当所述病毒服务器接收到所述防火墙发送的第一应用程序的一段内容时,计算该段内容的校验数据,并将该段内容的校验数据与对应的预设校验数据进行比较,若比较结果不一致,则向所述防火墙发送所述第一应用程序为异常应用程序的提示信息;若比较结果一致,则判断是否已经接收到了第一应用程序的全部内容,若是,则向所述防火墙发送所述第一应用程序为正常应用程序的提示信息,否则继续接收所述防火墙发送的第一应用程序的又一段内容。
2.根据权利要求1所述的方法,其特征在于,在防火墙根据用户设备的下载请求下载第一应用程序,并将已下载的第一应用程序的部分或全部内容按照病毒服务器对第一应用程序的分段情况分段发送给所述病毒服务器之前,所述方法还包括:
防火墙接收病毒服务器发送的病毒服务器对所述第一应用程序的分段情况。
3.根据权利要求2所述的方法,其特征在于,在防火墙接收病毒服务器发送的病毒服务器对所述第一应用程序的分段情况之前,所述方法还包括:
防火墙在第一次下载所述第一应用程序时,将已下载完整的第一应用程序发送给病毒服务器;
病毒服务器在接收到防火墙发送的第一应用程序的完整内容后,对第一应用程序进行完整的病毒扫描,在确定所述第一应用程序为正常应用程序后,对所述第一应用程序进行分段处理,计算每一分段内容对应的校验数据并保存,以及将对所述第一应用程序的分段情况发送给所述防火墙,以使防火墙再次下载所述第一应用程序时,每下载相应的一段内容就将下载的该段内容发送给病毒服务器,使得病毒服务器对所述第一应用程序进行分段校验;
其中,所述每一分段内容对应的校验数据为预设校验数据。
4.根据权利要求3所述的方法,其特征在于,对所述第一应用程序进行分段处理,计算每一分段内容的校验数据,包括:
将所述第一应用程序划分为N段内容,对每一段内容分别计算md5校验值,得到对应每段内容的md5校验值,其中,对应第一至第N段内容的N个md5校验值依次为第一至第N预设校验数据,N为正整数。
5.根据权利要求3所述的方法,其特征在于,在对所述第一应用程序进行分段处理,计算每一分段内容对应的校验数据之前,所述方法还包括:
保存经过验证为正常应用程序的第一应用程序的下载链接地址;
相应地,所述方法还包括:
当所述病毒服务器接收到所述防火墙发送的第一应用程序的一段内容时,,根据接收到的该段内容获取该段内容对应的下载链接地址,以及比较该下载链接地址与保存的经过验证为正常应用程序的第一应用程序的下载链接地址是否一致,若一致,则确定防火墙正在下载的第一应用程序为正常应用程序,并向所述防火墙发送所述第一应用程序为正常应用程序的提示信息。
6.根据权利要求5所述的方法,其特征在于,在确定防火墙正在下载的第一应用程序为正常应用程序之前,所述方法还包括:
病毒服务器判断根据接收到的该段内容获取的该段内容对应的下载链接地址是否为真实链接地址,若是,则确定防火墙正在下载的第一应用程序为正常应用程序。
7.一种病毒扫描***,其特征在于,包括:防火墙和病毒服务器;
所述防火墙用于根据用户设备的下载请求下载第一应用程序,并将已下载的第一应用程序的部分或全部内容按照病毒服务器对第一应用程序的分段情况分段发送给所述病毒服务器;
所述病毒服务器用于接收并验证所述防火墙发送的第一应用程序是否为正常应用程序;具体地,当所述病毒服务器接收到所述防火墙发送的第一应用程序的一段内容时,计算该段内容的校验数据,并将该段内容的校验数据与对应的预设校验数据进行比较,若比较结果不一致,则向所述防火墙发送所述第一应用程序为异常应用程序的提示信息;若比较结果一致,则判断是否已经接收到了第一应用程序的全部内容,若是,则向所述防火墙发送所述第一应用程序为正常应用程序的提示信息,否则继续接收所述防火墙发送的第一应用程序的又一段内容。
8.根据权利要求7所述的***,其特征在于,所述防火墙在根据用户设备的下载请求下载第一应用程序,并将已下载的第一应用程序的部分或全部内容按照病毒服务器对第一应用程序的分段情况分段发送给所述病毒服务器之前,还用于接收病毒服务器发送的病毒服务器对所述第一应用程序的分段情况。
9.根据权利要求8所述的***,其特征在于,在所述防火墙接收病毒服务器发送的病毒服务器对所述第一应用程序的分段情况之前,所述防火墙还用于在第一次下载所述第一应用程序时,将已下载完整的第一应用程序发送给病毒服务器;
相应地,病毒服务器在接收到防火墙发送的第一应用程序的完整内容后,对第一应用程序进行完整的病毒扫描,在确定所述第一应用程序为正常应用程序后,对所述第一应用程序进行分段处理,计算每一分段内容对应的校验数据并保存,以及将对所述第一应用程序的分段情况发送给所述防火墙,以使防火墙再次下载所述第一应用程序时,每下载相应的一段内容就将下载的该段内容发送给病毒服务器,使得病毒服务器对所述第一应用程序进行分段校验;
其中,所述每一分段内容对应的校验数据为预设校验数据。
10.根据权利要求9所述的***,其特征在于,所述病毒服务器在对所述第一应用程序进行分段处理,计算每一分段内容的校验数据时,具体将所述第一应用程序划分为N段内容,对每一段内容分别计算md5校验值,得到对应每段内容的md5校验值,其中,对应第一至第N段内容的N个md5校验值依次为第一至第N预设校验数据。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201510740591.0A CN105337975A (zh) | 2015-11-02 | 2015-11-02 | 病毒扫描方法及*** |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201510740591.0A CN105337975A (zh) | 2015-11-02 | 2015-11-02 | 病毒扫描方法及*** |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN105337975A true CN105337975A (zh) | 2016-02-17 |
Family
ID=55288258
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201510740591.0A Pending CN105337975A (zh) | 2015-11-02 | 2015-11-02 | 病毒扫描方法及*** |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN105337975A (zh) |
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106331009A (zh) * | 2015-06-26 | 2017-01-11 | 广州市动景计算机科技有限公司 | 一种应用程序下载方法、装置及*** |
| CN106911678A (zh) * | 2017-02-14 | 2017-06-30 | 杭州迪普科技股份有限公司 | 一种病毒检测方法及装置 |
| WO2018032573A1 (zh) * | 2016-08-18 | 2018-02-22 | 中兴通讯股份有限公司 | 数据处理方法、装置、服务器及终端 |
| CN110351220A (zh) * | 2018-04-02 | 2019-10-18 | 蓝盾信息安全技术有限公司 | 一种基于包过滤实现网闸高效数据扫描技术 |
| CN112508569A (zh) * | 2020-12-14 | 2021-03-16 | 深圳市快付通金融网络科技服务有限公司 | 支付环境监控方法及*** |
| CN114647854A (zh) * | 2022-03-01 | 2022-06-21 | 深圳开源互联网安全技术有限公司 | 组件安全检测方法、装置、防火墙及组件下载*** |
-
2015
- 2015-11-02 CN CN201510740591.0A patent/CN105337975A/zh active Pending
Cited By (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106331009A (zh) * | 2015-06-26 | 2017-01-11 | 广州市动景计算机科技有限公司 | 一种应用程序下载方法、装置及*** |
| WO2018032573A1 (zh) * | 2016-08-18 | 2018-02-22 | 中兴通讯股份有限公司 | 数据处理方法、装置、服务器及终端 |
| CN107770213A (zh) * | 2016-08-18 | 2018-03-06 | 中兴通讯股份有限公司 | 数据处理方法、装置、服务器及终端 |
| CN106911678A (zh) * | 2017-02-14 | 2017-06-30 | 杭州迪普科技股份有限公司 | 一种病毒检测方法及装置 |
| CN110351220A (zh) * | 2018-04-02 | 2019-10-18 | 蓝盾信息安全技术有限公司 | 一种基于包过滤实现网闸高效数据扫描技术 |
| CN112508569A (zh) * | 2020-12-14 | 2021-03-16 | 深圳市快付通金融网络科技服务有限公司 | 支付环境监控方法及*** |
| CN112508569B (zh) * | 2020-12-14 | 2023-09-29 | 深圳市快付通金融网络科技服务有限公司 | 支付环境监控方法及*** |
| CN114647854A (zh) * | 2022-03-01 | 2022-06-21 | 深圳开源互联网安全技术有限公司 | 组件安全检测方法、装置、防火墙及组件下载*** |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN105337975A (zh) | 病毒扫描方法及*** | |
| US10193971B2 (en) | Method, server and system for application synchronization | |
| US9634989B2 (en) | Systems and methods for detecting undesirable network traffic content | |
| CN101924760B (zh) | 可执行文件的安全下载方法及*** | |
| CN109391673B (zh) | 一种管理更新文件的方法、***及终端设备 | |
| CN104219316A (zh) | 一种分布式***中的调用请求处理方法及装置 | |
| CA2517548A1 (en) | Update system and method for updating a scanning subsystem in a mobile communication framework | |
| CN104580133A (zh) | 恶意程序防护方法与***及其过滤表格更新方法 | |
| EP3334118B1 (en) | Attack protection for webrtc providers | |
| CN104618498A (zh) | 一种数据资源同步的方法及服务器 | |
| CN110247897B (zh) | 一种***登录方法、设备、网关及计算机可读存储介质 | |
| CN109408463B (zh) | 文件分布式存储方法及装置、节点服务器 | |
| CN104348578A (zh) | 数据处理的方法及装置 | |
| CN109525542A (zh) | 数据恢复方法、发送/接收装置和计算机可读存储介质 | |
| CN103024015B (zh) | 一种基于Flex的跨平台的浏览器端校验md5值上传文件的方法 | |
| CN113438225A (zh) | 一种车载终端漏洞检测方法、***、设备及存储介质 | |
| CN104050054B (zh) | 安装包安装失败的处理方法及原因确定方法及装置 | |
| CN104021324A (zh) | 字迹安全校验的方法及装置 | |
| CN113242301A (zh) | 真实服务器的选定方法、装置、计算机设备及存储介质 | |
| CN111586013B (zh) | 网络入侵检测方法、装置、节点终端及存储介质 | |
| CN111400630A (zh) | 资源预加载方法及相关设备 | |
| CN111193717A (zh) | Ftp黑白名单控制方法、装置及电子设备 | |
| CN107395772B (zh) | 一种重复数据的管理方法及管理*** | |
| CN110674499A (zh) | 一种识别计算机威胁的方法、装置及存储介质 | |
| CN102088696B (zh) | 一种移动终端从目标服务器下载大文件的方法和*** |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |