CN101877710A - 代理网关防病毒实现方法、预分类器和代理网关 - Google Patents

代理网关防病毒实现方法、预分类器和代理网关 Download PDF

Info

Publication number
CN101877710A
CN101877710A CN2010102281976A CN201010228197A CN101877710A CN 101877710 A CN101877710 A CN 101877710A CN 2010102281976 A CN2010102281976 A CN 2010102281976A CN 201010228197 A CN201010228197 A CN 201010228197A CN 101877710 A CN101877710 A CN 101877710A
Authority
CN
China
Prior art keywords
transmitted
resource
attribute information
virus scan
virus
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN2010102281976A
Other languages
English (en)
Other versions
CN101877710B (zh
Inventor
吴昊
黄冕
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Huawei Technologies Co Ltd
Original Assignee
Huawei Symantec Technologies Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Huawei Symantec Technologies Co Ltd filed Critical Huawei Symantec Technologies Co Ltd
Priority to CN201010228197A priority Critical patent/CN101877710B/zh
Publication of CN101877710A publication Critical patent/CN101877710A/zh
Priority to PCT/CN2011/072847 priority patent/WO2012006885A1/zh
Application granted granted Critical
Publication of CN101877710B publication Critical patent/CN101877710B/zh
Priority to US13/707,016 priority patent/US8769694B2/en
Priority to US14/282,506 priority patent/US9313220B2/en
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Information Transfer Between Computers (AREA)

Abstract

本发明公开了一种代理网关防病毒实现方法、预分类器和代理网关。该方法包括:接收资源获取请求;根据资源获取请求向待传输资源所在网元发送预探测请求,以获取待传输资源的属性信息;基于防病毒策略,根据属性信息判断待传输资源是否需要进行防病毒扫描,若是,则将随后获取到的待传输资源进行防病毒扫描,若否,则透传随后获取到的待传输资源。本发明提供了一种能够对待传输资源是否需要进行防病毒扫描进行预探测的技术方案。通过属性信息对待传输资源进行预探测,对于不需要进行防病毒扫描的资源可以在送入代理层之前直接透传,因而既实现了防病毒功能,又能够提高传输效率,减少对缓存、扫描和上层传输资源的浪费。

Description

代理网关防病毒实现方法、预分类器和代理网关
技术领域
本发明实施例涉及网络防病毒技术,尤其涉及一种代理网关防病毒实现方法、预分类器和代理网关。
背景技术
防病毒(Anti-Virus,简称AV)技术作为统一威胁管理(unified ThreatManagement,简称UTM)功能的重要组成部分,越来越受到人们的关注,其优点是能够在网关侧将恶意软件进行屏蔽,真正意义上把威胁拦截在攻击发生之前,更大程度的保护了用户的安全。
目前具备防病毒功能的网关主要有两种实现方式,即基于代理的防病毒网关和基于流扫描的防病毒网关。其中,代理型防病毒网关在三次握手的时候即开始进行代理,代理网关包括代理服务端和代理客户端,分别与客户端和服务器交互,在交互通信过程中,由病毒扫描缓存模块(Cache&Scanner)负责接收、缓存文件,当文件接收完成时,送入扫描引擎进行病毒的扫描识别,如果文件没有病毒威胁则发送至真实的客户端或服务器。真实的客户端与服务器通常并不知道与其交互数据的对端的真实身份。
在进行本发明的研究过程中,发明人发现现有技术存在如下缺陷:代理网关对接收到的每一个数据包,都需要送上代理层,先由病毒扫描缓存模块进行缓存,对于需要进行扫描的就由病毒扫描缓存模块送入扫描引擎进行防病毒扫描,当发现不属于用户设定的需扫描文件或者是无法进行扫描的文件时也需要通过代理层进行透传。上述实现方式占用过多代理层资源,使得传输效率十分低下,显著降低了网关的性能,更加降低了用户的使用体验。
发明内容
本发明实施例提供一种代理网关防病毒实现方法、预分类器和代理网关,以提高代理网关的传输效率,减少资源浪费。
本发明实施例提供一种代理网关防病毒实现方法,包括:
接收资源获取请求;
根据所述资源获取请求向待传输资源所在网元发送预探测请求,以获取所述待传输资源的属性信息;
基于防病毒策略,根据所述属性信息判断所述待传输资源是否需要进行防病毒扫描,若是,则将随后获取到的所述待传输资源进行防病毒扫描,若否,则透传随后获取到的所述待传输资源。
本发明实施例还提供一种预分类器,包括:
探测获取模块,用于接收资源获取请求,并根据所述资源获取请求向待传输资源所在网元发送预探测请求;
属性获取模块,用于接收所述网元返回的所述待传输资源的属性信息;
策略判断模块,用于基于防病毒策略,根据所述属性信息判断所述待传输资源是否需要进行防病毒扫描;
扫描发起模块,用于当所述策略判断模块判断出需要进行防病毒扫描时,则将随后获取到的所述待传输资源进行防病毒扫描;
透传发起模块,用于当所述策略判断模块判断出不需要进行防病毒扫描时,则透传随后获取到的所述待传输资源。
本发明实施例又提供了一种代理网关,包括代理客户端、代理服务端和病毒扫描缓存模块,其中:还包括本发明实施例提供所述的预分类器;所述预分类器设置在所述代理客户端和代理服务端的下层。
本发明各实施例的技术方案,提供了一种能够对待传输资源是否需要进行防病毒扫描进行预探测的技术方案。通过属性信息对待传输资源进行预探测,对于不需要进行防病毒扫描的可以直接透传,因而既实现了防病毒功能,又能够提高传输效率,减少对缓存、扫描和上层传输资源的浪费。
附图说明
为了更清楚地说明本发明实施例中的技术方案,下面将对实施例描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例一提供的代理网关防病毒实现方法的流程图;
图2为本发明实施例一所适用的一种网络架构示意图;
图3为本发明实施例一所适用的另一种网络架构示意图;
图4为本发明实施例二提供的代理网关防病毒实现方法的流程图;
图5为本发明实施例三提供的代理网关防病毒实现方法的流程图;
图6为本发明实施例四提供的代理网关防病毒实现方法的信令流程图;
图7为本发明实施例五提供的预分类器的结构示意图。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
实施例一
图1为本发明实施例一提供的代理网关防病毒实现方法的流程图,该方法可以由代理网关中设置的预分类器来执行,预分类器可以是代理网关中增设的硬件设备或者继承的软件模块,用于对待传输资源是否需要进行防病毒扫描进行预探测,而后按照是否需要进行扫描来分类。预分类器所执行的流程如下:
步骤110、接收资源获取请求;
具体可以是预分类器在代理网关中拦截接收到的资源获取请求;
步骤120、根据资源获取请求向待传输资源所在网元发送预探测请求,以获取待传输资源的属性信息;
本步骤具体是预分类器主动对待传输资源的属性信息进行探测获取,资源获取请求一般来自客户端的从服务器下载资源的下载请求或向服务器上传的上传请求,当然,在具体应用中,也可以适用于服务器请求客户端传输数据的情况。或者可概括为,代理网关所代理的网元中,一个网元向另一个网元请求传输资源的情况,代理网关拦截该资源获取请求,构造并发送预探测请求,以请求获取该待传输资源的属性信息。
步骤130、基于防病毒策略,根据属性信息判断待传输资源是否需要进行防病毒扫描,若是,则执行步骤140,若否,则执行步骤150;
具体的防病毒策略可以根据需要针对属性信息进行设定,例如,属性信息可以取为待传输资源的大小、文件类型和文件名等,则相应的防病毒策略可以设定哪种类型的资源需要扫描、设定阈值以上大小的资源需要扫描等。
另外,在步骤130中,具体执行判断的操作可以由不同方式实现。例如,可以是预分类器基于本地存储的防病毒策略,根据属性信息判断待传输资源是否需要进行防病毒扫描,即判断操作完全在预分类器中完成;或者,还可以是预分类器将属性信息发送至外部服务器,以指示外部服务器基于防病毒策略,根据属性信息判断待传输资源是否需要进行防病毒扫描并返回判断结果,预分类器获取到判断结果可确定哪些待传输资源需要进行防病毒扫描。
步骤140、将随后获取到的待传输资源进行防病毒扫描;
本步骤中,预分类器具体可以将随后获取到的待传输资源流送入代理层的相应模块进行文件缓存和防病毒扫描。经过病毒扫描后的待传输资源可以根据设定的处理策略进行不同的处理,例如,当客户端发起的是下载请求时,在一种情况下,可以将扫描之后的资源继续传输给客户端,在另一种情况下也可以因为病毒而丢弃下载文件,提示客户端下载失败。
步骤150、透传随后获取到的待传输资源;
本步骤可以是预分类器将该待传输资源流直接透传给真实的客户端或服务器,而无须送入代理层的相应模块进行处理。
本实施例提供了一种能够对待传输资源是否需要进行防病毒扫描进行预探测的技术方案。由于现有技术在代理网关处实现的防病毒扫描时,通常都需要将待扫描的文件上传至代理层,进行缓存,进而对缓存的文件进行防病毒扫描,因此缓存、防病毒扫描过程将占用很多上层资源和缓存空间,如占用了很多内存资源。本实施例的技术方案为预分类器在资源请求获取阶段即主动进行资源预探测,而后通过属性信息对待传输资源进行预探测,对于不需要进行防病毒扫描的可以直接透传,因而既实现了防病毒功能,又能够提高传输效率,减少对缓存、扫描和上层传输资源的浪费。
本实施例的技术方案可以适用于图2所示的网络架构,在代理网关中增设了预分类器,预分类器分别与上层的代理服务端和代理客户端相连,且在操作系统层与真实的服务器和客户端相连,即将预分类器安装在底层收包模块和上层的代理层之间。在客户端需要向服务器上传文件,或从服务器下载文件之前,预分类器可以先拦截客户端的上传或下载请求,针对客户端需要上传或下载的待传输的文件主动探测获取其属性信息,对待传输的文件进行判断,根据判断结果将需要扫描的文件传输至代理服务端或代理客户端,进而提供给病毒扫描缓存模块进行防病毒扫描,不需要扫描的文件就可以直接透传给目的端,因此能够减小上层代理层的工作负荷。
本实施例的技术方案也适用于图3所示的网络架构。实际应用中,典型地防病毒保护主要是针对传输给用户的文件进行防病毒扫描,并且通常也是客户端向服务器发出资源获取请求的情况占绝大部分。图3所示的代理网关,预分类器与代理服务端相连,在判断出客户请求的待传输资源需要扫描时即通过代理服务端提供给病毒扫描缓存模块进行防病毒扫描。
实施例二
图4为本发明实施例二提供的代理网关防病毒实现方法的流程图,本实施例具体为客户端从服务器下载文件的情况,包括如下步骤:
步骤410、客户端发送文件下载请求,即资源获取请求;
步骤420、预分类器拦截获取该下载请求,预分类器构造并向服务器发送预探测请求;
步骤430、预分类器接收服务器返回的待传输资源的属性信息;
步骤440、预分类器根据属性信息判断待传输资源是否应该进行防病毒扫描,若是,则执行步骤450,若否,则执行步骤460;
步骤450、预分类器在将文件下载请求发送给服务器之后,将服务器传输的文件送入代理层进行缓存和防病毒扫描,而后可以按照常规的处理方式对扫描后的文件进行处理,通常是经代理客户端和代理服务端将扫描后的文件传输给真实客户端;
步骤460、预分类器将服务器传输的文件直接透传给真实客户端。
本实施例的技术方案在下载请求阶段即主动进行资源预探测,而后通过属性信息对待传输资源进行预探测,对于不需要进行防病毒扫描的可以直接透传,因而既实现了防病毒功能,又能够提高传输效率,减少对缓存、扫描和上层传输资源的浪费。
实施例三
图5为本发明实施例三提供的代理网关防病毒实现方法的流程图,本实施例与实施例二类似,是客户端向服务器上传文件的情况,具体包括如下步骤:
步骤510、客户端发送文件上传请求,即资源上传请求;
步骤520、预分类器接收并拦截来自客户端的资源上传请求,向客户端发送获取待传输资源的属性信息的预探测请求,从而获取客户端返回的待传输资源的属性信息;
步骤530、预分类器基于防病毒策略,根据属性信息判断待传输资源是否需要进行防病毒扫描,若是,则执行步骤540,若否,则执行步骤550;
步骤540、预分类器将随后获取到的待传输资源进行防病毒扫描;
本步骤中,具体可以将随后获取到的待传输资源流送入代理层的相应模块进行文件缓存和防病毒扫描。经过病毒扫描后的待传输资源可以根据设定的处理策略进行不同的处理,例如,在一种情况下,可以将扫描之后的资源继续传输给服务器端,在另一种情况下也可以因为病毒而丢弃该文件,提示客户端上传文件失败。本次上传流程结束;
步骤550、预分类器透传随后获取到的待传输资源。
本实施例的技术方案在上传请求阶段即主动进行资源预探测,而后通过属性信息对待传输资源进行预探测,对于不需要进行防病毒扫描的待传输资源可以直接透传,因而既实现了防病毒功能,又能够提高传输效率,减少对缓存、扫描和上层传输资源的浪费。
实施例四
图6为本发明实施例四提供的代理网关防病毒实现方法的信令流程图,本实施例可以以实施例二为基础,以实现超文本传输协议(HypertextTransfer Protocol,简称HTTP)数据包传输的情况为例进行说明。本发明实施例提供的代理网关防病毒实现方法可以包括如下步骤:
步骤601、真实的客户端通过代理网关的代理服务端和代理客户端向真实的服务器发送SYN消息;
步骤602、真实的服务器通过代理网关向真实的客户端返回SYN-ACK消息;
步骤603、真实的客户端通过代理网关向真实的服务器返回ACK消息;
上述步骤601~603即通过代理网关完成真实的客户端与服务器之间的握手,在此过程中未示出代理网关转发的细节。
步骤604、代理网关接收到客户端发送的资源获取请求(HTTP GETRequest),由预分类器拦截该资源获取请求;
步骤605~607、与步骤601~603类似,预分类器与真实的服务器之间进行一次握手交互(交互SYN、SYN-ACK和ACK消息),向服务器发起一个新的连接,从而为发起预探测请求作出准备,预分类器与服务器之间通过握手建立新的连接,避免对已建立的传输待传输资源的连接通道造成干扰;
步骤608、预分类器构建并向服务器发送预探测请求;
本实施例中预探测请求具体为HTTP HEAD请求,向服务器发送该HTTPHEAD请求,以请求获取待传输资源的文件大小作为属性信息;
步骤609、服务器根据HTTP HEAD请求,向预分类器返回相应的响应消息;
具体的,本实施例中的响应消息为HTTP Response,其中携带有待传输资源的文件大小信息;
步骤610、预分类器向服务器发送设置有范围字段(RANGE)的资源获取请求(HTTP GET with RNAGE Field)作为预探测请求;
其中,范围字段用于指示获取待传输资源中设定范围的字节,以该设定范围的字节中携带的信息作为属性信息。
具体应用中,可以设置为获取待传输资源的前64个字节,通常,文件的前64个字节对应的是待获取文件的文件类型,对于基于HTTP协议的文件传输,可以通过构造一个带“Range”字段的HTTP GET请求来获得待传输文件的相关信息。
步骤611、服务器根据HTTP GET请求,向预分类器返回相应的响应消息,即HTTP Response,其中携带有设定范围字节的信息;
上述HTTP HEAD请求和设置“Range”字段的资源获取请求(HTTP GET withRNAGE Field)均可作为预探测请求,预探测请求可以利用自定义消息获取需要的属性信息,也可以利用协议中的已有消息经一次或多次获取需要的属性信息。
需要说明的是,上述步骤608和609,以及步骤610和611是分别获取属性信息的两种方式,在具体应用中,既可以同时采用,也可以只采用其中一种,两种获取属性信息方式的执行顺序不限。
步骤612、预分类器向服务器发送结束探测会话消息,具体可以是RESET消息;
步骤613、预分类器基于防病毒策略,根据属性信息判断待传输资源是否需要进行防病毒扫描,若否,则执行步骤614,若是,则执行步骤616;
步骤614、预分类器在操作系统层将客户端发送的资源获取请求不经过代理层和防病毒扫描,直接透传至服务器,进入步骤615;
具体的,透传的实现方式之一可以是将传输控制协议(TransmissionControl Protocol,简称TCP)流置为不需要进行AV扫描的标志,后续该条数据流的所有报文将不会送到代理层,直接在收包模块透传给目标,即真实的客户端或服务端。
步骤615、预分类器在操作系统层将服务器返回的响应(HTTP Response),即待传输资源的数据流不经过代理层和防病毒扫描,直接透传至客户端。
其中,资源获取请求及随后传输的资源在建立的同一个数据流中传输,该数据流可以用数据流的诸如目的地址、目的端口等五元组来标识。
步骤616、预分类器在操作系统层将客户端发送的资源获取请求经过代理服务端提供至病毒扫描缓存模块进行防病毒扫描,进入步骤617;
步骤617、扫描后的资源获取请求经代理客户端向服务器发送,进入步骤618;
步骤618、服务器返回响应(HTTP Response)给代理客户端,从而将待传输资源的数据流提供给病毒扫描缓存模块进行防病毒扫描,进入步骤619;
步骤619、代理服务端将扫描后的资源发送给客户端。
由于每个待传输资源的流可能有多个数据包,所以可以分为多次响应,将各个数据包分别进行传输,此时,可以执行多次步骤618和619。
在本实施例中,预分类器可以将随后获取到的待传输资源传输至代理层进行缓存并进行防病毒扫描。用于判断是否需扫描的属性信息包括但是不限于为文件大小、文件类型、文件名和/或文件作者等。对于现有的HTTP数据包,通常只要求获取待传输资源的前64个字节即可获知文件类型。
具体的防病毒策略可以根据需要进行设定。例如基于防病毒策略,根据属性信息判断待传输资源是否需要进行防病毒扫描的操作可以包括下述几种方式:
在一种情况下,可以根据属性信息中的文件大小判断该待传输资源的大小是否大于设定门限值,以确定是否需要进行防病毒扫描。具体的,由于代理网关的缓存空间通常有限,所以对于过大的文件无法进行缓存和扫描,可以直接进行透传。
在另一种情况下,还可以根据属性信息中的文件类型判断待传输资源的类型是否属于设定类型来确定是否需要对待传输资源进行防病毒扫描。对于哪些文件类型需要进行扫描可以由用户来设定,例如对于文档类的:*.txt、*.doc等即可以设置为无须扫描的类型。
需要说明的是,待传输资源的属性信息和防病毒策略的具体内容包括但不限于上述几种。例如,还可以通过探测待传输资源的前部数个字节、中部数个字节、后部数个字节等,进行哈希运算,与预设的匹配表进行匹配来判断是否需要对待传输资源进行扫描。
此外,还需要说明的是,本发明实施例中的病毒扫描方式并不限于通过在代理网关本地的病毒扫描缓存模块进行防病毒扫描,还可以将随后获取到的待传输资源发送至防病毒服务器进行防病毒扫描。
上述技术方案也并不限于HTTP协议,还可以适用于多种网络协议,并可以利用各种协议已有的消息来进行属性信息预探测。例如,对于文件传输协议(File Transfer Protocol,简称FTP),可以发送SIZE命令来请求获取待传输资源的文件大小。
本发明实施例的技术方案通过对待传输资源进行预探测,识别是否需要进行防病毒扫描,从而将大部分不需要进行防病毒扫描的流量直接透传。从而降低了代理网关的资源压力,在不损失安全性的前提下保证了防病毒代理网关的传输性能,提高了用户上网的体验。
实施例五
图7为本发明实施例五提供的预分类器的结构示意图,该预分类器包括:探测获取模块50、属性获取模块10、策略判断模块20、扫描发起模块30和透传发起模块40。其中:
探测获取模块50,用于接收资源获取请求,并根据资源获取请求向待传输资源所在网元发送预探测请求;
具体的,资源获取请求可以是来自客户端的下载请求或上传请求,也可以是服务器向客户端获取资源的相关请求。在基于不同的协议进行资源传输时,对应的可以利用协议中的已有消息作为预探测请求,例如待传输资源包括基于超文本传输协议的文件时,预探测请求可以包括设置有范围字段的资源获取请求,该范围字段用于指示获取待传输资源中设定范围的字节。
属性获取模块10,用于接收网元返回的待传输资源的属性信息;按照不同的防病毒策略以及预探测的需求,待传输资源的属性信息可以包括文件大小、文件类型、文件名和/或文件作者等信息。
策略判断模块20,用于基于防病毒策略,根据属性信息判断待传输资源是否需要进行防病毒扫描;
按照判断方式的不同,策略判断模块20可以具备不同的结构,优选的是,策略判断模块20包括本地判断单元21或外部判断单元22,其中:
本地判断单元21,用于基于本地存储的防病毒策略,根据属性信息判断待传输资源是否需要进行防病毒扫描,即预探测后的判断过程由预分类器自行完成。
外部判断单元22,用于将属性信息发送至外部服务器,以指示外部服务器基于防病毒策略,根据属性信息判断待传输资源是否需要进行防病毒扫描并返回判断结果。该方式即预分类器借助于外部服务器的判断功能来获取判断结果。
实际应用中,本地判断单元21和外部判断单元22可以只具有一个,也可以同时存在结合使用,按照预探测情况需要设定即可。
对于策略判断模块20,根据不同的属性信息和防病毒策略,可以执行不同的判断操作,例如,可以根据属性信息中的文件大小判断待传输资源的大小是否大于设定门限值,以确定是否需要进行防病毒扫描;和/或,还可以根据属性信息中的文件类型判断待传输资源的类型是否属于设定类型,以确定是否需要进行防病毒扫描。
扫描发起模块30,用于当策略判断模块20判断出需要进行防病毒扫描时,则将随后获取到的待传输资源进行防病毒扫描;
具体可以将随后获取到的待传输资源传输至代理层进行缓存并进行防病毒扫描,或者也可以是提供给其他防病毒服务器进行防病毒扫描,再获取扫描结果。根据扫描结果,没有病毒的文件可以进行传输,若有病毒或其他问题的则将文件丢弃。
透传发起模块40,用于当策略判断模块20判断出不需要进行防病毒扫描时,则透传随后获取到的待传输资源。
本实施例提供了一种能够对待传输资源是否需要进行防病毒扫描进行预探测的技术方案。本实施例的技术方案通过在资源请求获取阶段主动发送预探测请求来获取属性信息,再根据属性信息对待传输资源进行预探测,对于不需要进行防病毒扫描的可以直接透传,因而既实现了防病毒功能,又能够提高传输效率,减少对缓存、扫描和上层传输资源的浪费。
上述技术方案尤其适用于用户发起资源获取的这种常见情况,能够增强对用户获取资源的防病毒保护。
本发明实施例所提供的预分类器可以设置在代理网关中,具体可以执行本发明实施例所提供代理网关防病毒实现方法,具备相应的功能模块,能够提高代理网关的传输效率,减少资源浪费。
本发明实施例还提供一种代理网关,包括代理客户端、代理服务端和病毒扫描缓存模块,病毒扫描缓存模块可设置在代理客户端和代理服务端之间,用于实现防病毒扫描。该代理网关还包括本发明任意实施例所提供的预分类器;该预分类器设置在代理客户端和代理服务端的下层,当策略判断模块判断出需要进行防病毒扫描时,则将随后获取到的待传输资源经代理客户端或代理服务端提供给病毒扫描缓存模块进行防病毒扫描。
本发明实施例所提供的代理网关能够减少代理层的工作负荷,减少资源浪费,进而加速代理网关的数据传输。
需要说明的是,对于前述的各方法实施例,为了简单描述,故将其都表述为一系列的动作组合,但是本领域技术人员应该知悉,本发明并不受所描述的动作顺序的限制,因为依据本发明,某些步骤可以采用其他顺序或者同时进行。其次,本领域技术人员也应该知悉,说明书中所描述的实施例均属于优选实施例,所涉及的动作和模块并不一定是本发明所必须的。
在上述实施例中,对各个实施例的描述都各有侧重,某个实施例中没有详述的部分,可以参见其他实施例的相关描述。
本领域普通技术人员可以理解:实现上述方法实施例的全部或部分步骤可以通过程序指令相关的硬件来完成,前述的程序可以存储于一计算机可读取存储介质中,该程序在执行时,执行包括上述方法实施例的步骤;而前述的存储介质包括:ROM、RAM、磁碟或者光盘等各种可以存储程序代码的介质。
最后应说明的是:以上实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。

Claims (10)

1.一种代理网关防病毒实现方法,其特征在于,包括:
接收资源获取请求;
根据所述资源获取请求向待传输资源所在网元发送预探测请求,以获取所述待传输资源的属性信息;
基于防病毒策略,根据所述属性信息判断所述待传输资源是否需要进行防病毒扫描,若是,则将随后获取到的所述待传输资源进行防病毒扫描,若否,则透传随后获取到的所述待传输资源。
2.根据权利要求1所述的方法,其特征在于,所述接收资源获取请求包括:
接收来自客户端的下载请求或上传请求作为所述资源获取请求。
3.根据权利要求1或2所述的方法,其特征在于,所述基于防病毒策略,根据所述属性信息判断所述待传输资源是否需要进行防病毒扫描包括:
根据所述属性信息中的文件大小判断所述待传输资源的大小是否大于设定门限值,以确定是否需要进行防病毒扫描;和/或
根据所述属性信息中的文件类型判断所述待传输资源的类型是否属于设定类型,以确定是否需要进行防病毒扫描。
4.根据权利要求1或2所述的方法,其特征在于,将随后获取到的所述待传输资源进行防病毒扫描包括:
将随后获取到的所述待传输资源传输至代理层进行缓存并进行防病毒扫描。
5.根据权利要求1或2所述的方法,其特征在于,基于防病毒策略,根据所述属性信息判断所述待传输资源是否需要进行防病毒扫描包括:
基于本地存储的防病毒策略,根据所述属性信息判断所述待传输资源是否需要进行防病毒扫描;或
将所述属性信息发送至外部服务器,以指示所述外部服务器基于防病毒策略,根据所述属性信息判断所述待传输资源是否需要进行防病毒扫描并返回判断结果。
6.根据权利要求1或2所述的方法,其特征在于:所述待传输资源包括基于超文本传输协议的文件,所述预探测请求包括设置有范围字段的资源获取请求,所述范围字段用于指示获取所述待传输资源中设定范围的字节。
7.根据权利要求1或2所述的方法,其特征在于:所述待传输资源的属性信息包括文件大小、文件类型、文件名和/或文件作者。
8.一种预分类器,其特征在于,包括:
探测获取模块,用于接收资源获取请求,并根据所述资源获取请求向待传输资源所在网元发送预探测请求;
属性获取模块,用于接收所述网元返回的所述待传输资源的属性信息;
策略判断模块,用于基于防病毒策略,根据所述属性信息判断所述待传输资源是否需要进行防病毒扫描;
扫描发起模块,用于当所述策略判断模块判断出需要进行防病毒扫描时,则将随后获取到的所述待传输资源进行防病毒扫描;
透传发起模块,用于当所述策略判断模块判断出不需要进行防病毒扫描时,则透传随后获取到的所述待传输资源。
9.根据权利要求8所述的预分类器,其特征在于,所述策略判断模块包括:
本地判断单元,用于基于本地存储的防病毒策略,根据所述属性信息判断所述待传输资源是否需要进行防病毒扫描;和/或
外部判断单元,用于将所述属性信息发送至外部服务器,以指示所述外部服务器基于防病毒策略,根据所述属性信息判断所述待传输资源是否需要进行防病毒扫描并返回判断结果。
10.一种代理网关,包括代理客户端、代理服务端和病毒扫描缓存模块,其特征在于:还包括权利要求8或9所述的预分类器;所述预分类器设置在所述代理客户端和代理服务端的下层。
CN201010228197A 2010-07-13 2010-07-13 代理网关防病毒实现方法、预分类器和代理网关 Active CN101877710B (zh)

Priority Applications (4)

Application Number Priority Date Filing Date Title
CN201010228197A CN101877710B (zh) 2010-07-13 2010-07-13 代理网关防病毒实现方法、预分类器和代理网关
PCT/CN2011/072847 WO2012006885A1 (zh) 2010-07-13 2011-04-15 代理网关防病毒实现方法,预分类器和代理网关
US13/707,016 US8769694B2 (en) 2010-07-13 2012-12-06 Proxy gateway anti-virus method, pre-classifier, and proxy gateway
US14/282,506 US9313220B2 (en) 2010-07-13 2014-05-20 Proxy gateway anti-virus method, pre-classifier, and proxy gateway

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201010228197A CN101877710B (zh) 2010-07-13 2010-07-13 代理网关防病毒实现方法、预分类器和代理网关

Publications (2)

Publication Number Publication Date
CN101877710A true CN101877710A (zh) 2010-11-03
CN101877710B CN101877710B (zh) 2012-10-17

Family

ID=43020171

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201010228197A Active CN101877710B (zh) 2010-07-13 2010-07-13 代理网关防病毒实现方法、预分类器和代理网关

Country Status (3)

Country Link
US (2) US8769694B2 (zh)
CN (1) CN101877710B (zh)
WO (1) WO2012006885A1 (zh)

Cited By (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2012006885A1 (zh) * 2010-07-13 2012-01-19 成都市华为赛门铁克科技有限公司 代理网关防病毒实现方法,预分类器和代理网关
CN102547710A (zh) * 2010-12-22 2012-07-04 西门子公司 在移动通信系统中探测病毒的方法和装置
CN102594780A (zh) * 2011-01-12 2012-07-18 西门子公司 移动终端病毒的检测、清除方法及装置
CN102761535A (zh) * 2011-04-29 2012-10-31 北京瑞星信息技术有限公司 病毒监测方法和设备
CN102970294A (zh) * 2012-11-21 2013-03-13 网神信息技术(北京)股份有限公司 安全网关的病毒检测方法及装置
CN104322001A (zh) * 2012-05-17 2015-01-28 思科技术公司 使用服务名称识别的传输层安全流量控制
CN104363136A (zh) * 2014-11-07 2015-02-18 网神信息技术(北京)股份有限公司 安全网关设备的测试方法和装置
CN105791233A (zh) * 2014-12-24 2016-07-20 华为技术有限公司 一种防病毒扫描方法及装置

Families Citing this family (12)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8955137B2 (en) 2012-12-21 2015-02-10 State Farm Mutual Automobile Insurance Company System and method for uploading and verifying a document
US9571390B2 (en) * 2013-11-25 2017-02-14 Cisco Technology, Inc. Path optimization for adaptive streaming
CN103905419A (zh) * 2013-12-04 2014-07-02 哈尔滨安天科技股份有限公司 一种文件鉴定装置及方法
CN103701816B (zh) * 2013-12-27 2017-07-11 北京奇安信科技有限公司 执行拒绝服务攻击的服务器的扫描方法和扫描装置
US9237204B1 (en) * 2014-07-30 2016-01-12 Iboss, Inc. Web redirection for caching
KR101587161B1 (ko) 2014-09-03 2016-01-20 한국전자통신연구원 실시간 네트워크 안티바이러스 수행 장치 및 방법
US10747881B1 (en) 2017-09-15 2020-08-18 Palo Alto Networks, Inc. Using browser context in evasive web-based malware detection
EP3759630A4 (en) * 2018-03-02 2021-11-24 Blocksafe Technologies, Inc. BLOCKCHAIN ACCESS CONTROL SYSTEMS AND METHODS
CN112751839B (zh) * 2020-12-25 2023-04-18 江苏省未来网络创新研究院 一种基于用户流量特性的防病毒网关处理加速策略
CN112738062B (zh) * 2020-12-25 2023-04-07 江苏省未来网络创新研究院 一种基于用户策略的防毒网关
US11627150B2 (en) * 2021-06-30 2023-04-11 Microsoft Technology Licensing, Llc Proxy services for the secure upload of file system tree structures
CN113872936A (zh) * 2021-08-26 2021-12-31 上海宝康电子控制工程有限公司 一种流模式网络安全检测方法及系统

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20050235352A1 (en) * 2004-04-15 2005-10-20 Staats Robert T Systems and methods for managing a network
CN101141453A (zh) * 2006-05-19 2008-03-12 美国凹凸微系有限公司 反病毒和防火墙系统

Family Cites Families (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7263616B1 (en) * 2000-09-22 2007-08-28 Ge Medical Systems Global Technology Company, Llc Ultrasound imaging system having computer virus protection
US9392002B2 (en) * 2002-01-31 2016-07-12 Nokia Technologies Oy System and method of providing virus protection at a gateway
US7290282B1 (en) * 2002-04-08 2007-10-30 Symantec Corporation Reducing false positive computer virus detections
WO2006034201A2 (en) * 2004-09-17 2006-03-30 Hobnob, Inc. Quarantine network
US7877493B2 (en) * 2005-05-05 2011-01-25 Ironport Systems, Inc. Method of validating requests for sender reputation information
GB2432933B (en) * 2006-03-14 2008-07-09 Streamshield Networks Ltd A method and apparatus for providing network security
US7865965B2 (en) * 2007-06-15 2011-01-04 Microsoft Corporation Optimization of distributed anti-virus scanning
CN101150583A (zh) * 2007-10-23 2008-03-26 华为技术有限公司 终端设备防病毒的方法及设备
CN101599922A (zh) * 2008-06-02 2009-12-09 北京华凯兴网络科技有限公司 应用层协议病毒防护网关
CN101877710B (zh) 2010-07-13 2012-10-17 成都市华为赛门铁克科技有限公司 代理网关防病毒实现方法、预分类器和代理网关
RU2449348C1 (ru) * 2010-11-01 2012-04-27 Закрытое акционерное общество "Лаборатория Касперского" Система и способ для антивирусной проверки на стороне сервера скачиваемых из сети данных

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20050235352A1 (en) * 2004-04-15 2005-10-20 Staats Robert T Systems and methods for managing a network
CN101141453A (zh) * 2006-05-19 2008-03-12 美国凹凸微系有限公司 反病毒和防火墙系统

Cited By (14)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2012006885A1 (zh) * 2010-07-13 2012-01-19 成都市华为赛门铁克科技有限公司 代理网关防病毒实现方法,预分类器和代理网关
US9313220B2 (en) 2010-07-13 2016-04-12 Huawei Technologies Co., Ltd. Proxy gateway anti-virus method, pre-classifier, and proxy gateway
US8769694B2 (en) 2010-07-13 2014-07-01 Huawei Technologies Co., Ltd. Proxy gateway anti-virus method, pre-classifier, and proxy gateway
CN102547710B (zh) * 2010-12-22 2015-09-02 西门子公司 在移动通信系统中探测病毒的方法和装置
CN102547710A (zh) * 2010-12-22 2012-07-04 西门子公司 在移动通信系统中探测病毒的方法和装置
CN102594780A (zh) * 2011-01-12 2012-07-18 西门子公司 移动终端病毒的检测、清除方法及装置
CN102594780B (zh) * 2011-01-12 2016-03-30 西门子公司 移动终端病毒的检测、清除方法及装置
CN102761535A (zh) * 2011-04-29 2012-10-31 北京瑞星信息技术有限公司 病毒监测方法和设备
CN104322001A (zh) * 2012-05-17 2015-01-28 思科技术公司 使用服务名称识别的传输层安全流量控制
CN104322001B (zh) * 2012-05-17 2018-06-26 思科技术公司 使用服务名称识别的传输层安全流量控制
CN102970294A (zh) * 2012-11-21 2013-03-13 网神信息技术(北京)股份有限公司 安全网关的病毒检测方法及装置
CN104363136A (zh) * 2014-11-07 2015-02-18 网神信息技术(北京)股份有限公司 安全网关设备的测试方法和装置
CN105791233A (zh) * 2014-12-24 2016-07-20 华为技术有限公司 一种防病毒扫描方法及装置
CN105791233B (zh) * 2014-12-24 2019-02-26 华为技术有限公司 一种防病毒扫描方法及装置

Also Published As

Publication number Publication date
CN101877710B (zh) 2012-10-17
US9313220B2 (en) 2016-04-12
US8769694B2 (en) 2014-07-01
WO2012006885A1 (zh) 2012-01-19
US20130097666A1 (en) 2013-04-18
US20140325655A1 (en) 2014-10-30

Similar Documents

Publication Publication Date Title
CN101877710B (zh) 代理网关防病毒实现方法、预分类器和代理网关
CN101662503B (zh) 网络中的信息传输方法、代理服务器和服务系统
US7003574B1 (en) Session load balancing and use of VIP as source address for inter-cluster traffic through the use of a session identifier
US7055036B2 (en) System and method to verify trusted status of peer in a peer-to-peer network environment
US8813214B1 (en) Method and system for providing secure peer-to-peer file transfers
WO2017190641A1 (zh) 拦截爬虫的方法、装置、服务器终端以及计算机可读介质
KR101850351B1 (ko) P2P 프로토콜을 이용한 IoC 정보 조회 방법
US7181506B1 (en) System and method to securely confirm performance of task by a peer in a peer-to-peer network environment
CN104994079A (zh) 访问请求的处理方法和装置、加速服务器
US10791135B2 (en) Inspection of network traffic in a security device at object level
US11799827B2 (en) Intelligently routing a response packet along a same connection as a request packet
CN103501331A (zh) 数据传输方法、设备及系统
KR101200906B1 (ko) 네트워크 기반 고성능 유해사이트 차단 시스템 및 방법
US8650313B2 (en) Endpoint discriminator in network transport protocol startup packets
US9781222B2 (en) Method, system and server device for transmitting a digital resource in a client-server communication system
CN101626319B (zh) 网关病毒检测方法、装置及系统
WO2017097092A1 (zh) 缓存集群服务的处理方法及系统
CN109618004A (zh) 一种报文转发方法及装置
CN113079210A (zh) 一种跨区数据自动同步的配置方法、终端设备及存储介质
EP3059924B1 (en) Devices and methods for performing tcp handshakes
CN107257352B (zh) 基于dpdk的url认证的重定向系统与方法
JP6623702B2 (ja) ネットワーク監視装置及びネットワーク監視装置におけるウイルス検知方法。
CN108462670A (zh) 用于tcp连接的鉴权方法、装置以及电子设备
KR100647274B1 (ko) 트래픽 제어를 수행하는 방화벽 시스템 및 상기 시스템의동작 방법
CN114301996B (zh) 传输数据处理方法及装置

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
C14 Grant of patent or utility model
GR01 Patent grant
C56 Change in the name or address of the patentee

Owner name: HUAWEI DIGITAL TECHNOLOGY (CHENGDU) CO., LTD.

Free format text: FORMER NAME: CHENGDU HUAWEI SYMANTEC TECHNOLOGIES CO., LTD.

CP01 Change in the name or title of a patent holder

Address after: 611731 Chengdu high tech Zone, Sichuan, West Park, Qingshui River

Patentee after: HUAWEI DIGITAL TECHNOLOGIES (CHENG DU) Co.,Ltd.

Address before: 611731 Chengdu high tech Zone, Sichuan, West Park, Qingshui River

Patentee before: CHENGDU HUAWEI SYMANTEC TECHNOLOGIES Co.,Ltd.

TR01 Transfer of patent right
TR01 Transfer of patent right

Effective date of registration: 20220829

Address after: 518129 Bantian HUAWEI headquarters office building, Longgang District, Guangdong, Shenzhen

Patentee after: HUAWEI TECHNOLOGIES Co.,Ltd.

Address before: 611731 Qingshui River District, Chengdu hi tech Zone, Sichuan, China

Patentee before: HUAWEI DIGITAL TECHNOLOGIES (CHENG DU) Co.,Ltd.