CN101599922A - 应用层协议病毒防护网关 - Google Patents
应用层协议病毒防护网关 Download PDFInfo
- Publication number
- CN101599922A CN101599922A CNA2008101104055A CN200810110405A CN101599922A CN 101599922 A CN101599922 A CN 101599922A CN A2008101104055 A CNA2008101104055 A CN A2008101104055A CN 200810110405 A CN200810110405 A CN 200810110405A CN 101599922 A CN101599922 A CN 101599922A
- Authority
- CN
- China
- Prior art keywords
- virus
- data
- network interface
- application layer
- virus scan
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
基于HTTP、FTP、SMTP、POP3应用层协议的病毒防护网关,通过在用户局域网边界节点部署上述设备,可以对用户通过HTTP、FTP、SMTP、POP3协议访问互联网的流量进行病毒扫描,从而阻止病毒通过互联网感染用户客户端电脑。其特征在于:当用户客户端电脑通过终端应用程序发送请求到服务器,由系统底层的状态检测防火墙判断针对该请求的服务器回应数据是否需要应用层病毒扫描,如果该回应数据需要病毒扫描,则网卡驱动直接将网卡DMA收到的数据写入病毒扫描调度系统VPS的内存,然后由VPS检测数据类型并调度相应类型的病毒扫描引擎进行病毒扫描,如果数据含有病毒阻断该通信,如果数据未含有病毒将数据直接写入转出网口DMA;如果该回应数据不需要病毒扫描,则直接将数据由接收网口DMA转发到转出网口DMA。
Description
技术领域
本发明涉及到一种网络防病毒的实现方法,特别是本发明解决了在网关处对网络流量进行应用层协议病毒实时查杀。
技术背景
由于互联网技术的高速发展,使得网络的运用日益复杂,而根据IDC统计,近年来,病毒传播的主要途径是通过web服务、邮件、FTP等互联网应用层协议进行传播,而传统防火墙仅能对网络层及其下层数据进行简单控制,并不能阻止各种病毒进入用户网络感染用户系统。除了在客户端安装桌面版防毒软件外,从互联网上实时阻断病毒的传播到内网,才能有效保证病毒不在用户局域网爆发。
发明内容
有鉴于此,本发明利用状态检测防火墙对网络层流量控制的灵活性,由防火墙检测流量是否需要病毒扫描,对不需要病毒扫描的流量直接转发,需要病毒扫描的流量,有病毒扫描调度引擎VPS统一调度,具体实现方法如下:用户通过客户端应用程序访问互联网上的应用服务器,与用户网络相接的设备网络接口接收用户的请求,运行于系统内核的防火墙判断针对该用户的流量是否需要病毒扫描,并记录该流量的状态,当服务器回应数据给客户端时,与互联网相接的网络接口,接收数据,防火墙读取该数据,并判断数据是否需要病毒扫描,并更新防火墙状态,如果需要病毒扫描,以后接收到的数据将直接由网卡的DMA写入到VPS系统的内存空间,VPS系统读取该数据缓冲,还原该数据,并对该数据类型进行判读,调用相应类型的病毒扫描引擎,将含有病毒的流量查杀,而正常流量将直接写入转出网卡的DMA。
由于网络流量存在高吞吐、高并发、低时延的特性,对网络流量进行应用层协议病毒扫描存在如何对高并发、高吞吐的网络流量进行应用层协议病毒扫描,而保证网络流量的低时延是本发明主要解决的问题。
由于采用了底层防火墙判断流量是否需要病毒扫描,此防火提供用户灵活的配置接口,并且由于防火墙的高效性,大大降低了对流量分类造成的网络时延,而且可以更加方便的管理用户网络流量。
而基于目前比较成熟的数据零拷贝技术,将数据流直接由二进制数据流的格式拷贝到VPS内存空间,摒弃了数据流在内核空间和VPS内存空间拷贝的过程,彻底克服了数据拷贝占用的网络时延。
而基于虚拟机技术的虚拟并行VPS系统,从根本上解决了传统系统处理应用层协议连接达到4千到5千时,系统响应速度缓慢的瓶颈,从而能适应网络的高并发性,并且可以对数据流进行高速的恢复,并调度经过优化的病毒扫描引擎进行病毒扫描。
经过优化的双病毒扫描引擎,高速的调用经过分类优化的病毒特征库对数据进行扫描,而数据流扫描技术和异步处理机制更大大提高了病毒扫描的速度。
附图说明
图1为传统捕包模块和零拷贝捕包模块对比
图2为应用层协议防毒网关实现流程图
以下结合附图对整个流程进行具体说明
如图1零拷贝工作流程图所示,图形的上部为传统的捕包模块,下部为采用零拷贝技术的捕包模块。零拷贝技术通过操作系统给网卡和用户区开了一段共用内存,网卡接收到的数据都被写到这段共用内存中,在这段内存区中存在着接收环和发送环,接收环存储着从网卡上接收来的数据,发送环存储着要通过网卡进行发送的用户数据。因为这段内存是网卡和用户区共用的,所以只要网卡接收到数据,用户程序就可以直接对这些数据进行访问和操作。同样的只要用户区程序有网络数据要发送,就可以由网卡程序直接发送。这减少了不必要的系统数据调用,减少了中断,使CPU能够有更多的时间来处理其它事情。
如图2当物理接口接收到服务器回应流量,防火墙判断该请求是否需要病毒防护,如果需要病毒防护,则将数据直接写入到VPS内存空间,而如果不需要病毒防护,将直接转发数据到转出口。需要病毒防护的流量将由VPS读取并恢复分类,然后调用相应病毒扫描引擎进行病毒扫描,含有病毒的流量将直接查杀,而未含有病毒的正常流量将由病毒扫描引擎直接转发的转出口。
Claims (5)
1、一种应用层病毒防护网关,包括一台现有的网络设备,该设备至少安装有两块网卡,其特征在于:部署在用户局域网边界处,对用户访问互联网的HTTP、FTP、SMTP、POP3应用层协议流量进行病毒扫描并防护。
2、根据权利1要求所述的应用层病毒防护网关,其实现方法特征在于:由底层状态检测防火墙判断用户客户端请求的流量是否需要应用层病毒扫描。
3、根据权利1要求所述的应用层病毒防护网关,其实现方法特征在于:对需要病毒扫描的流量由基于虚拟并行技术的病毒扫描调度引擎VPS统一调度,并且对数据流进行分类,调用相应的病毒扫描引擎进行扫描。
4、根据权利1要求所述的应用层病毒防护网关,其实现方法特征在于:有两个分类病毒扫描引擎同时进行病毒扫描,一个专用于文本类数据流进行扫描,其他类型的数据流由另一病毒引擎进行扫描。
5、根据权利1要求所述的应用层病毒防护网关,其实现方法特征在于:需要病毒扫描的数据由接收网卡DMA直接写入到VPS内存空间,然后进行病毒扫描,然后将正常数据转发到转出网卡DMA。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CNA2008101104055A CN101599922A (zh) | 2008-06-02 | 2008-06-02 | 应用层协议病毒防护网关 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CNA2008101104055A CN101599922A (zh) | 2008-06-02 | 2008-06-02 | 应用层协议病毒防护网关 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN101599922A true CN101599922A (zh) | 2009-12-09 |
Family
ID=41421179
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CNA2008101104055A Pending CN101599922A (zh) | 2008-06-02 | 2008-06-02 | 应用层协议病毒防护网关 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN101599922A (zh) |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2012006885A1 (zh) * | 2010-07-13 | 2012-01-19 | 成都市华为赛门铁克科技有限公司 | 代理网关防病毒实现方法,预分类器和代理网关 |
| CN102594623A (zh) * | 2011-12-31 | 2012-07-18 | 成都市华为赛门铁克科技有限公司 | 防火墙的数据检测方法及装置 |
| CN105681417A (zh) * | 2016-01-15 | 2016-06-15 | 重庆泛涵数码科技有限责任公司 | 计算机病毒隔离文件传输系统及方法 |
| CN107181701A (zh) * | 2017-05-18 | 2017-09-19 | 腾讯科技(深圳)有限公司 | 公共网关接口数据的收集方法及装置 |
| CN112287328A (zh) * | 2020-10-29 | 2021-01-29 | 广东电力信息科技有限公司 | 一种便于办公的移动办公系统及方法 |
-
2008
- 2008-06-02 CN CNA2008101104055A patent/CN101599922A/zh active Pending
Cited By (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2012006885A1 (zh) * | 2010-07-13 | 2012-01-19 | 成都市华为赛门铁克科技有限公司 | 代理网关防病毒实现方法,预分类器和代理网关 |
| US8769694B2 (en) | 2010-07-13 | 2014-07-01 | Huawei Technologies Co., Ltd. | Proxy gateway anti-virus method, pre-classifier, and proxy gateway |
| US9313220B2 (en) | 2010-07-13 | 2016-04-12 | Huawei Technologies Co., Ltd. | Proxy gateway anti-virus method, pre-classifier, and proxy gateway |
| CN102594623A (zh) * | 2011-12-31 | 2012-07-18 | 成都市华为赛门铁克科技有限公司 | 防火墙的数据检测方法及装置 |
| WO2013097475A1 (zh) * | 2011-12-31 | 2013-07-04 | 华为技术有限公司 | 防火墙的数据检测方法及装置 |
| CN102594623B (zh) * | 2011-12-31 | 2015-07-29 | 华为数字技术(成都)有限公司 | 防火墙的数据检测方法及装置 |
| US9398027B2 (en) | 2011-12-31 | 2016-07-19 | Huawei Technologies Co., Ltd. | Data detecting method and apparatus for firewall |
| CN105681417A (zh) * | 2016-01-15 | 2016-06-15 | 重庆泛涵数码科技有限责任公司 | 计算机病毒隔离文件传输系统及方法 |
| CN105681417B (zh) * | 2016-01-15 | 2018-08-14 | 重庆泛涵数码科技有限责任公司 | 计算机病毒隔离文件传输系统及方法 |
| CN107181701A (zh) * | 2017-05-18 | 2017-09-19 | 腾讯科技(深圳)有限公司 | 公共网关接口数据的收集方法及装置 |
| CN107181701B (zh) * | 2017-05-18 | 2018-07-20 | 腾讯科技(深圳)有限公司 | 公共网关接口数据的收集方法及装置 |
| CN112287328A (zh) * | 2020-10-29 | 2021-01-29 | 广东电力信息科技有限公司 | 一种便于办公的移动办公系统及方法 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN103152352B (zh) | 一种基于云计算环境的全信息安全取证监听方法和系统 | |
| US8577968B2 (en) | Method and system for handling unwanted email messages | |
| US20120039336A1 (en) | High Performance, High Bandwidth Network Operating System | |
| US6910134B1 (en) | Method and device for innoculating email infected with a virus | |
| US8769020B2 (en) | Systems and methods for managing the transmission of electronic messages via message source data | |
| CN101599922A (zh) | 应用层协议病毒防护网关 | |
| CN101465855B (zh) | 一种同步泛洪攻击的过滤方法及系统 | |
| US8046624B2 (en) | Propagation of viruses through an information technology network | |
| JP2004532559A (ja) | ポリシーゲートウェイ | |
| JP2005518173A5 (zh) | ||
| CN1319332C (zh) | 基于Linux内核的高速网络流量测量器及流量测量方法 | |
| US7992206B1 (en) | Pre-scanner for inspecting network traffic for computer viruses | |
| US9197602B2 (en) | Propagation of viruses through an information technology network | |
| CN111600852A (zh) | 一种基于可编程数据平面的防火墙设计方法 | |
| CN112769597A (zh) | 一种云边协同虚拟化场景的容器网络限流方法和系统 | |
| CN110912887B (zh) | 一种基于Bro的APT监测系统和方法 | |
| US9143524B2 (en) | Propagation of malicious code through an information technology network | |
| US7437758B2 (en) | Propagation of viruses through an information technology network | |
| WO2008062542A1 (fr) | Appareil de commande de communication | |
| CN105337797A (zh) | 一种复杂电子信息系统网络协议数据捕获方法 | |
| CN100435514C (zh) | 以太网驱动级底层过滤方法和系统 | |
| CN102902593A (zh) | 基于缓存机制的协议分发处理系统 | |
| CN101247397A (zh) | 一种镜像和访问控制列表功能生效顺序的优化方法 | |
| CN113453278A (zh) | 一种基于5g upf下的tcp包分段组包方法及终端 | |
| US20070083914A1 (en) | Propagation of malicious code through an information technology network |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| DD01 | Delivery of document by public notice |
Addressee: xScreen Network Technology Co., Ltd. Beijing Pan Li Document name: Notification that Application Deemed to be Withdrawn |
|
| C02 | Deemed withdrawal of patent application after publication (patent law 2001) | ||
| WD01 | Invention patent application deemed withdrawn after publication |
Open date: 20091209 |