CN109981629A - 病毒防护方法、装置、设备及存储介质 - Google Patents
病毒防护方法、装置、设备及存储介质 Download PDFInfo
- Publication number
- CN109981629A CN109981629A CN201910206977.1A CN201910206977A CN109981629A CN 109981629 A CN109981629 A CN 109981629A CN 201910206977 A CN201910206977 A CN 201910206977A CN 109981629 A CN109981629 A CN 109981629A
- Authority
- CN
- China
- Prior art keywords
- file
- transmission file
- virus
- transmission
- cached
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 36
- 230000002155 anti-virotic effect Effects 0.000 title claims abstract description 13
- 230000005540 biological transmission Effects 0.000 claims abstract description 259
- 241000700605 Viruses Species 0.000 claims abstract description 131
- 230000000903 blocking effect Effects 0.000 claims abstract description 26
- 230000002265 prevention Effects 0.000 claims abstract description 20
- 238000001514 detection method Methods 0.000 claims description 33
- 238000005516 engineering process Methods 0.000 description 7
- 230000008569 process Effects 0.000 description 7
- 238000012545 processing Methods 0.000 description 4
- 238000010586 diagram Methods 0.000 description 2
- 239000002699 waste material Substances 0.000 description 2
- 230000006978 adaptation Effects 0.000 description 1
- 230000003139 buffering effect Effects 0.000 description 1
- 238000004891 communication Methods 0.000 description 1
- 230000007123 defense Effects 0.000 description 1
- 230000010460 detection of virus Effects 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 230000006870 function Effects 0.000 description 1
- 230000006872 improvement Effects 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004044 response Effects 0.000 description 1
- 230000007480 spreading Effects 0.000 description 1
- 230000003612 virological effect Effects 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/12—Applying verification of the received information
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/145—Countermeasures against malicious traffic the attack involving the propagation of malware through the network, e.g. viruses, trojans or worms
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Virology (AREA)
- Memory System Of A Hierarchy Structure (AREA)
Abstract
本申请提供一种病毒防护方法、装置、设备及存储介质,所述方法应用于入侵防御设备上,包括:识别网络中传输文件的类型;若为可执行文件,则对所述传输文件缓存完整前,对接收到的所述传输文件的多个数据包逐一缓存,并基于缓存的数据包计算已缓存的所述传输文件的MD5值;判断计算出的MD5值与预设的MD5表项匹配是否成功,其中所述MD5表项记录了已知病毒文件的MD5值;若匹配成功,则对传输文件进行阻断。通过本申请实例减少了对不可执行文件的缓存数量,提高了病毒防护的效率,实现了对病毒文件的实时阻断,并且提高了入侵防御设备的性能。
Description
技术领域
本申请涉及网络通信技术领域,尤其涉及一种病毒防护方法、装置、设备及存储介质。
背景技术
随着网络技术的不断发展,网络的安全性也受到了极大的关注,病毒的出现使得网络传输数据的安全性大大降低,为了阻断病毒的传播,各种病毒防护技术不断产生。
目前,在IPS(Intrusion Prevention System,入侵防御系统)设备上应用的防病毒技术是基于文件的病毒防护技术,该技术通过对网络中的传输文件进行完整缓存,然后利用病毒检测引擎对缓存的完整文件进行病毒检测。
在上述技术方案中,基于文件的病毒防护技术需要等待传输文件缓存完成后再进行病毒检测,该病毒防护技术具有延时性,不能对病毒实时阻断,并且需要对传输文件的所有数据包进行完整缓存,由于网络中传输文件为病毒文件的概率小,因此对传输文件进行完整缓存浪费设备的性能。
发明内容
本申请实施例提供一种病毒防护方法、装置、设备及存储介质,以解决现有技术不能实现病毒实时阻断以及浪费设备性能的问题。
具体地,本申请是通过如下技术方案实现的:
第一方面,提供一种病毒防护方法,所述方法应用于入侵防御设备上,包括:
识别网络中传输文件的类型;
若为可执行文件,则对所述传输文件缓存完整前,对接收到的所述传输文件的多个数据包逐一缓存,并基于缓存的数据包计算已缓存的所述传输文件的MD5值;
判断计算出的MD5值与预设的MD5表项匹配是否成功,其中所述MD5表项记录了已知病毒文件的MD5值;
若匹配成功,则对传输文件进行阻断。
第二方面,提供一种病毒防护装置,所述装置应用于入侵防御设备上,包括:
识别单元,用于识别网络中传输文件的类型;
缓存计算单元,用于若为可执行文件,则对所述传输文件缓存完整前,对接收到的所述传输文件的多个数据包逐一缓存,并基于缓存的数据包计算已缓存的所述传输文件的MD5值;
第一判断单元,用于判断计算出的MD5值与预设的MD5表项匹配是否成功,其中所述MD5表项记录了已知病毒文件的MD5值;
阻断单元,用于若匹配成功,则对传输文件进行阻断。
第三方面,提供一种病毒防护设备,所述设备包括:内部总线、以及通过内部总线连接的存储器、处理器和外部接口,其中,
所述处理器,用于读取所述存储器上的机器可读指令,并执行所述指令实现如下操作:
识别网络中传输文件的类型;
若为可执行文件,则对所述传输文件缓存完整前,对接收到的所述传输文件的多个数据包逐一缓存,并基于缓存的数据包计算已缓存的所述传输文件的MD5值;
判断计算出的MD5值与预设的MD5表项匹配是否成功,其中所述MD5表项记录了已知病毒文件的MD5值;
若匹配成功,则对传输文件进行阻断。
第四方面,提供一种计算机可读存储介质,所述计算机可读存储介质上存储有若干计算机指令,所述计算机指令被执行时进行如下处理:
识别网络中传输文件的类型;
若为可执行文件,则对所述传输文件缓存完整前,对接收到的所述传输文件的多个数据包逐一缓存,并基于缓存的数据包计算已缓存的所述传输文件的MD5值;
判断计算出的MD5值与预设的MD5表项匹配是否成功,其中所述MD5表项记录了已知病毒文件的MD5值;
若匹配成功,则对传输文件进行阻断。
由以上技术方案可知,本申请实施例中,通过识别网络中传输文件的类型,对可执行文件进行文件缓存,减少了对不可执行文件的缓存数量,从而降低病毒防护的工作量,提高了病毒防护的效率;在对传输文件缓存完整前,通过对传输文件的多个数据包进行逐一缓存,基于缓存的数据包计算已缓存的传输文件的MD5值,若计算出的MD5值与预设的MD5表项匹配,则对传输文件进行阻断,也就是说本申请通过对每次缓存的数据包进行检测,实现了对病毒文件的实时阻断,提高了入侵防御设备的性能。
附图说明
图1是本申请一种病毒防护方法的应用场景示意图;
图2是本申请一种病毒防护方法的一个实施例流程图;
图3是本申请一种病毒防护方法的另一个实施例流程图;
图4是本申请一种病毒防护装置的实施例示意图;
图5是本申请一种病毒防护设备的实施例示意图。
具体实施方式
这里将详细地对示例性实施例进行说明,其示例表示在附图中。下面的描述涉及附图时,除非另有表示,不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本申请相一致的所有实施方式。相反,它们仅是与如所附权利要求书中所详述的、本申请的一些方面相一致的装置和方法的例子。
在本申请使用的术语是仅仅出于描述特定实施例的目的,而非旨在限制本申请。在本申请和所附权利要求书中所使用的单数形式的“一种”、“所述”和“该”也旨在包括多数形式,除非上下文清楚地表示其他含义。还应当理解,本文中使用的术语“和/或”是指并包含一个或多个相关联的列出项目的任何或所有可能组合。
应当理解,尽管在本申请可能采用术语第一、第二、第三等来描述各种信息,但这些信息不应限于这些术语。这些术语仅用来将同一类型的信息彼此区分开。例如,在不脱离本申请范围的情况下,第一信息也可以被称为第二信息,类似地,第二信息也可以被称为第一信息。取决于语境,如在此所使用的词语“如果”可以被解释成为“在……时”或“当……时”或“响应于确定”。
为了使本申请的目的、技术方案和优点更加清楚,下面结合附图和具体实施例对本申请进行详细说明。
图1为本申请实施例的一个应用场景示意图。
如图1所示,该图示出了一种病毒防护方法应用于入侵防御设备上的应用场景。一般情况下,入侵防御设备布于防火墙和外部网络之间,主要是依靠对数据包的检测进行防御(首先检查入网的数据包,确定数据包的真正用途,然后决定是否允许其进入内网),该应用场景包括:内网设备101、防火墙102、入侵防御设备103、外部网络104。
当外部网络104向内网设备101传输文件时,首先根据传输文件建立相应的会话,传输文件根据建立的会话由外部网络104传输到入侵防御设备103上,入侵防御设备103对该传输文件的类型进行识别,其中所述传输文件的类型可以包括可执行文件和不可执行文件。因为传输文件在网络中是以数据包的形式进行传输,所以可以对网络中传输的可执行文件的多个数据包按一定的顺序逐一进行缓存,也就是每次缓存一个数据包,对于已缓存的数据包计算一个MD5值;将每次计算出的MD5值与预设的MD5表项进行匹配。
如果该传输文件中的某缓存数据包的MD5值与预设的MD5表项匹配成功,则该数据包包含病毒,也就是该传输文件为病毒文件,后续入侵防御设备可以不再对该传输文件的剩余数据包进行MD5值的计算和匹配,入侵防御设备可以阻断对该传输文件的放行;如果对该传输文件的所有数据包的MD5值进行匹配后均未发现带病毒的数据包,则该传输文件可能不是病毒文件,然后对传输文件进行病毒检测引擎检测,根据检测的结果决定是否将传输文件转发至防火墙102。如果可以转发至防火墙102,则传输文件可以经防火墙102转发至内网设备101。
在现有技术中,基于文件的病毒防护技术需要等待传输文件的所有数据包缓存完成后再进行病毒检测,该病毒防护技术具有延时性,不能实现实时阻断病毒的传播,并且需要对传输文件的所有数据包进行完整缓存,浪费设备的性能。
基于此,本申请实施例中,通过识别网络中传输文件的类型,对可执行文件进行文件缓存,减少了对不可执行文件的缓存数量,从而降低病毒防护的工作量,提高了病毒防护的效率;在对传输文件缓存完整前,通过对传输文件的多个数据包进行逐一缓存,基于缓存的数据包计算已缓存的传输文件的MD5值,若计算出的MD5值与预设的MD5表项匹配,则对传输文件进行阻断,也就是说本申请通过对每次缓存的数据包进行检测,实现了对病毒文件的实时阻断,提高了入侵防御设备的性能。
参见图2,为本申请一种病毒防护方法的一个实施例流程图,该实施例应用于入侵防御设备上,具体可以包括如下步骤:
步骤201,识别网络中传输文件的类型。
对传输文件通过网络进行传输之前,首先建立一个会话,根据传输文件的五元组信息(目的IP、源IP、目的端口、源端口、传输协议)对传输文件的传输过程进行会话管理和状态跟踪。
在一种可选的实现方式中,可以对网络中传输的传输文件进行文件类型识别。在对传输文件进行缓存之前,可以通过获取传输文件的文件头部字段信息识别传输文件的类型。根据识别出的传输文件的类型,可以判断得出传输文件是否为可执行文件,其中所述的传输文件的类型可以包括可执行文件和不可执行文件。
步骤202,若为可执行文件,则对传输文件缓存完整前,对接收到的传输文件的多个数据包逐一缓存,并基于缓存的数据包计算已缓存的传输文件的MD5值。
在一种可选的实现方式中,如果传输文件为可执行文件,那么可以重点对该类型的传输文件进行病毒防护。由于可执行文件属于病毒文件的概率较高,所以对该类型的文件可以采用本申请中的病毒防护方法进行防护。对于该类型的传输文件可以根据建立的会话获取传输文件传输协议的类型,按照传输协议的类型对网络中的传输文件进行解析缓存。
由于一个传输文件在网络传输的过程可以以多个数据包的形式传输,因此可以对传输文件的多个数据包逐一进行缓存。在传输文件缓存完整前,每缓存一次数据包,可以计算一次MD5值,并将每次计算的MD5值与预设的MD5表项进行匹配。如果匹配不成功,且传输文件还存在未缓存的数据包,那么可以将该缓存的数据包转发出去,并获取下一个待缓存的数据包,对缓存的数据包计算一个新的MD5值。
步骤203,判断计算出的MD5值与预设的MD5表项匹配是否成功,其中所述MD5表项记录了已知病毒文件的MD5值。
在一种可选的实现方式中,可以将步骤202中每次缓存的数据包计算出的MD5值与预设的MD5表项记录的MD5值进行匹配,其中MD5表项记录了已知病毒文件的MD5值。
如果在预设的MD5表项中匹配到了与缓存的数据包计算出的MD5值,也就是计算出的MD5值与预设的MD5表项中的MD5值相同,可以证明该缓存的数据包携带病毒。入侵防御设备可以阻断对当前缓存的数据包转发,阻断携带病毒的传输文件在网络中传输。
如果在预设的MD5表项中没有匹配到与缓存数据包计算出的MD5值,则可以判断当前传输的传输文件是否缓存完整,如果当前传输文件的全部数据包均缓存完成(也就是当前缓存的数据包是传输文件的多个数据包中最后一个缓存的数据包),则可以启动防病毒引擎对传输文件进行病毒检测;如果当前传输文件的数据包还存在缓存未完成的,则可以转发当前缓存的数据包,对下一个待缓存的数据包进行缓存,并将缓存的数据包计算一个新的MD5值,再将计算出的新的MD5值与预设的MD5表项进行匹配。
步骤204,若匹配成功,则对传输文件进行阻断。
在一种可选的实现方式中,如果计算出的MD5值与预设的MD5表项记录的MD5值匹配一致,则可以表明当前缓存的数据包携带有病毒,可以对当前已缓存的数据包进行丢包处理,以阻止传输文件携带病毒在网络中传播。
由上述实施例可见,通过识别网络中传输文件的类型,对可执行文件进行文件缓存,减少了对不可执行文件的缓存数量,从而降低病毒防护的工作量,提高了病毒防护的效率;在对传输文件缓存完整前,通过对传输文件的多个数据包进行逐一缓存,基于缓存的数据包计算已缓存的传输文件的MD5值,若计算出的MD5值与预设的MD5表项匹配,则对传输文件进行阻断,也就是说本申请通过对每次缓存的数据包进行检测,实现了对病毒文件的实时阻断,提高了入侵防御设备的性能。
参见图3,为本申请一种病毒防护方法的另一个实施例流程图,该实施例对病毒防护方法进行了详细描述,该实施例具体可以包括如下步骤:
步骤301,在网络中建立传输文件的会话,识别传输文件的类型。
在对传输文件进行传输之前,首先建立一个会话,可以根据传输文件的五元组信息(目的IP、源IP、目的端口、源端口、传输协议)对传输文件的传输过程进行会话管理和状态跟踪。
在一种可选的实现方式中,可以将网络中的传输文件分为两种类型,一种是可执行文件,另一种是不可执行文件。其中,所述的不可执行文件在计算机中不能直接打开,必须通过可执行文件间接打开,不可执行文件可以包括图片、声音、文字、电影等。所述的可执行文件是可以由操作系统进行加载执行的文件,在不同操作系统下可执行文件的类型不同,例如:在Windows操作系统下,可执行文件可以是文件类型为.exe、.sys、.com等类型的文件。
在一种可选的实现方式中,可以根据传输文件的文件头信息识别传输文件的类型,其中,文件头信息可以包括文件类型和文件头部数据,例如:doc:d0cf11e0a1b11ae10000,其中doc标识文件类型,d0cf11e0a1b11ae10000标识文件头部数据。根据识别出的文件类型,可以得出传输文件是否为可执行文件。
步骤302,判断传输文件的类型是否为可执行文件,若是,则执行步骤303,若否,则执行步骤310。
在一种可选的实现方式中,可以根据操作步骤301所描述的方法得到传输文件的文件类型,判断得到该传输文件是否为可执行文件。如果该传输文件是可执行文件,则可以继续执行操作步骤303,如果该传输文件为不可执行文件,则可以对该传输文件判断是否需要进行病毒特征检测。
步骤303,对接收到的传输文件的一个数据包进行缓存,并计算所缓存数据包的MD5值。
在一种可选的实现方式中,如果传输文件为可执行文件,那么可以对传输文件中的一个数据包进行缓存,并对当前缓存的数据包计算MD5值。一般情况下,一个完整的传输文件可以由多个数据包组成,文件的传输过程以数据包的形式进行传输。
假设一个传输文件可以分为三个数据包在网络中进行传输,分别为数据包a、数据包b、数据包c。在本申请中,首先可以先缓存数据包a,对于缓存的数据包a进行MD5值的计算,假设计算的结果为MD5-a,将计算出的MD5-a与预设的MD5表项记录的已知病毒文件的MD5值进行匹配,若匹配成功,则可以将数据包a进行丢包处理,以此实现对传输文件的阻断;若匹配不成功,则可以将数据包a转发出去;然后缓存数据包b,根据数据包b和数据包a再进行一次MD5值计算,得到一个新的MD5值MD5-ab,将计算出的MD5-ab值与预设的MD5表项进行匹配,根据匹配结果对数据包b进行处理。若已缓存的数据包a和b不包含病毒,那么再缓存下一个数据包,直到缓存完传输文件的最后一个数据包c为止。本申请中传输文件所包含的数据包的数量以及缓存数据包的缓存顺序仅做示例性说明,在此不做限定。
步骤304,判断计算出的MD5值与预设的MD5表项匹配是否成功,若否,则执行操作步骤305,若是,则执行操作步骤313。
在一种可选的实现方式中,对每次缓存的数据包计算出的MD5值与预设的MD5表项记录的MD5值进行匹配,其中MD5表项记录了已知病毒文件的MD5值。如果匹配成功,表示该缓存的数据包包含病毒,可以对已缓存的数据包进行丢包处理,实现阻断携带病毒的传输文件在网络中传输;如果匹配不成功,表示该数据包不包含和预设的MD5表项记录的MD5值相对应的病毒,可以继续执行操作步骤305。
步骤305,判断传输文件是否缓存完整,若是,则执行操作步骤307,若否,则执行操作步骤306。
在对传输文件大小未知的情况下,可以转发当前缓存的数据包,并缓存下一个待缓存的数据包。在数据包转发的过程中,由于会话过程中未发送关闭连接数据包结束当前会话,所以始终有一个数据包被入侵防御设备缓存。
在一种可选的实现方式中,判断传输文件的所有数据包是否缓存完整,假设传输文件基于TCP协议传输,如果缓存的数据包在缓存区缓存时间过长,根据TCP协议的规定,需要对该缓存的数据包进行重传,数据包重传的影响因素可以包括网络传输的速度(也就是数据包传输的速度)、传输数据包的大小等。本申请实施例中可以根据TCP协议中的报文序号seq判断该缓存的数据包是否是重传数据包,如果该数据包重传次数超过3次,可以认为该缓存的数据包是重传数据包(也就是该数据包为传输文件的最后一个数据包)。若该缓存的数据包为传输文件的最后一个数据包,则该传输文件缓存完整;若该缓存的数据包不是传输文件的最后一个数据包,则可以将该缓存的数据包转发出去。
步骤306,将缓存的该数据包转发出去,然后返回执行操作步骤303。
在一种可选的实现方式中,如果传输文件存在未缓存的数据包,则可以将当前缓存的数据包转发出去,然后获取传输文件的下一个数据包进行缓存,并根据缓存的数据包计算MD5值。
步骤307,利用防病毒检测引擎对缓存完整的传输文件进行病毒检测。
在一种可选的实现方式中,如果传输文件的所有数据包缓存完成(也就是传输文件缓存完整),则可以对该传输文件采取防病毒检测引擎对传输文件进行检测,然后根据检测结果对传输文件进行处理。防病毒检测引擎检测病毒的实现方法是一种常规的防病毒技术手段,在本申请中不再进行赘述。
步骤308,根据检测结果判断传输文件是否为病毒文件,若是,则执行步骤309,若否,则执行步骤314。
通过防病毒检测引擎对缓存完整的传输文件进行病毒检测,根据检测结果判断传输文件是否为病毒文件,如果传输文件是病毒文件,可以执行操作步骤309,如果传输文件不是病毒文件,可以对该传输文件进行放行。
步骤309,将该传输文件的MD5值添加到预设的MD5表项中,然后执行操作步骤313。
在一种可选的实现方式中,将传输文件为病毒文件计算出的MD5值添加到预设的MD5表项中,并将缓存区缓存的最后一个数据包丢包,以实现阻断该病毒传输文件的传输。如果后续有与该传输文件病毒相同的病毒出现,就可以实现对该类型病毒的阻断。
步骤310,判断传输文件是否需要进行病毒特征检测,若是,则执行操作步骤311,若否,则执行操作步骤314。
在一种可选的实现方式中,如果传输文件的类型为不可执行文件,可以根据传输文件是否为文本型文件来判断该不可执行传输文件是否需要进行病毒特征检测,如果不是文本型文件则需要对传输文件进行病毒特征检测,可以将传输文件的特征与病毒库里的病毒特征进行匹配。如果传输文件不需要进行病毒特征检测,则可以直接对传输文件进行放行。
一般情况下,对于不包含病毒的传输文件,可以不进行病毒特征检测,例如:音视频文本文件、文字文件等本身是不带病毒的,可以对该类传输文件免去病毒特征的检测。对于一些不可执行的传输文件是否携带病毒不确定的情况,为了避免病毒的传播,可以对其传输文件进行病毒特征检测。
步骤311,对传输文件进行病毒特征匹配。
对网络中传输的传输文件,获取该传输文件的特征信息,将传输文件所有数据包的特征信息与病毒库中的病毒特征进行匹配。如果匹配成功,则可以阻断传输文件在网络中传输,如果匹配不成功,则可以对该传输文件放行。
步骤312,判断病毒特征匹配是否成功,若是,则执行操作步骤313,若否,则执行操作步骤314。
如果病毒库中存在传输文件的特征信息,则可以表示病毒特征匹配成功,说明该传输文件中包含病毒;如果病毒库中不存在该传输文件的特征信息,则可以表示病毒特征匹配失败,说明该传输文件不包含病毒。
步骤313,对传输文件进行阻断,结束当前流程。
步骤314,对传输文件进行放行,结束当前流程。
与前述病毒防护方法的实施例相对应,本申请还提供了病毒防护装置、病毒防护设备及计算机存储介质的实施例。
请参照图4,为本申请病毒防护装置的一个实施例框图,所述装置包括:识别单元401,缓存计算单元402,第一判断单元403,阻断单元404。其中,
识别单元401,用于识别网络中传输文件的类型;
缓存计算单元402,用于若为可执行文件,则对所述传输文件缓存完整前,对接收到的所述传输文件的多个数据包逐一缓存,并基于缓存的数据包计算已缓存的所述传输文件的MD5值;
第一判断单元403,用于判断计算出的MD5值与预设的MD5表项匹配是否成功,其中所述MD5表项记录了已知病毒文件的MD5值;
阻断单元404,用于若匹配成功,则对传输文件进行阻断。
在一种可选的实现方式中,所述装置还可以包括:
第二判断单元,用于若匹配不成功,则判断所述传输文件是否缓存完整;
病毒检测单元,用于若是,则利用防病毒检测引擎对缓存完整的传输文件进行病毒检测;
第三判断单元,用于根据检测结果判断所述传输文件是否为病毒文件,若是,则对传输文件进行阻断,若否,则对传输文件进行放行。
在一种可选的实现方式中,所述装置还可以包括:
添加单元,用于若所述传输文件为病毒文件,则将所述传输文件的MD5值添加到所述预设的MD5表项中。
在一种可选的实现方式中,所述装置还可以包括:
转发单元,用于在传输文件缓存完整前,将已缓存的数据包转发出去。
在一种可选的实现方式中,所述第二判断单元还可以包括:
第四判断单元,用于判断所述缓存的数据包是否是重传数据包,若是,则所述传输文件缓存完整,若否,则所述传输文件缓存不完整。
请参照图5,为本申请病毒防护设备的一个硬件结构图,所述病毒防护设备包括:内部总线501,以及通过内部总线连接的存储器502,处理器503和外部接口504。其中,
所述处理器503,用于读取所述存储器上的所述机器可读指令,并执行所述指令以实现如下操作:
识别网络中传输文件的类型;
若为可执行文件,则对所述传输文件缓存完整前,对接收到的所述传输文件的多个数据包逐一缓存,并基于缓存的数据包计算已缓存的所述传输文件的MD5值;
判断计算出的MD5值与预设的MD5表项匹配是否成功,其中所述MD5表项记录了已知病毒文件的MD5值;
若匹配成功,则对传输文件进行阻断。
此外,本申请还提供一种计算机可读存储介质,所述计算机可读存储介质上存储有若干计算机指令,所述计算机指令被执行时进行如下处理:
识别网络中传输文件的类型;
若为可执行文件,则对所述传输文件缓存完整前,对接收到的所述传输文件的多个数据包逐一缓存,并基于缓存的数据包计算已缓存的所述传输文件的MD5值;
判断计算出的MD5值与预设的MD5表项匹配是否成功,其中所述MD5表项记录了已知病毒文件的MD5值;
若匹配成功,则对传输文件进行阻断。
上述装置、病毒防护设备、计算机可读存储介质中各个模块的功能和作用的实现过程具体详见上述方法中对应步骤的实现过程,在此不再赘述。
对于装置实施例而言,由于其基本对应于方法实施例,所以相关之处参见方法实施例的部分说明即可。以上所描述的装置实施例、病毒防护设备实施例、计算机可读存储介质实施例仅仅是示意性的,本领域技术人员在考虑说明书及实践这里公开的发明后,将容易想到本申请的其它实施方案。本申请旨在涵盖本申请的任何变型、用途或者适应性变化,这些变型、用途或者适应性变化遵循本申请的一般性原理并包括本申请未公开的本技术领域中的公知常识或惯用技术手段。说明书和实施例仅被视为示例性的,本申请的真正范围和精神将由本申请权利要求指出。
以上所述仅为本申请的较佳实施例而已,并不用以限制本申请,凡在本申请的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本申请保护的范围之内。
Claims (10)
1.一种病毒防护方法,其特征在于,所述方法应用于入侵防御设备上,包括:
识别网络中传输文件的类型;
若为可执行文件,则对所述传输文件缓存完整前,对接收到的所述传输文件的多个数据包逐一缓存,并基于缓存的数据包计算已缓存的所述传输文件的MD5值;
判断计算出的MD5值与预设的MD5表项匹配是否成功,其中所述MD5表项记录了已知病毒文件的MD5值;
若匹配成功,则对传输文件进行阻断。
2.根据权利要求1所述的方法,其特征在于,所述方法还包括:
若匹配不成功,则判断所述传输文件是否缓存完整;
若是,则利用防病毒检测引擎对缓存完整的传输文件进行病毒检测;
根据检测结果判断所述传输文件是否为病毒文件,若是,则对传输文件进行阻断,若否,则对传输文件进行放行。
3.根据权利要求2所述的方法,其特征在于,所述方法还包括:
若所述传输文件为病毒文件,则将所述传输文件的MD5值添加到所述预设的MD5表项中。
4.根据权利要求2所述的方法,其特征在于,所述方法还包括:
在传输文件缓存完整前,将已缓存的数据包转发出去。
5.根据权利要求2所述的方法,其特征在于,所述判断所述传输文件是否缓存完整,包括:
判断所述缓存的数据包是否是重传数据包,若是,则所述传输文件缓存完整,若否,则所述传输文件缓存不完整。
6.一种病毒防护装置,其特征在于,所述装置应用于入侵防御设备上,包括:
识别单元,用于识别网络中传输文件的类型;
缓存计算单元,用于若为可执行文件,则对所述传输文件缓存完整前,对接收到的所述传输文件的多个数据包逐一缓存,并基于缓存的数据包计算已缓存的所述传输文件的MD5值;
第一判断单元,用于判断计算出的MD5值与预设的MD5表项匹配是否成功,其中所述MD5表项记录了已知病毒文件的MD5值;
阻断单元,用于若匹配成功,则对传输文件进行阻断。
7.根据权利要求6所述的装置,其特征在于,所述装置还包括:
第二判断单元,用于若匹配不成功,则判断所述传输文件是否缓存完整;
病毒检测单元,用于若是,则利用防病毒检测引擎对缓存完整的传输文件进行病毒检测;
第三判断单元,用于根据检测结果判断所述传输文件是否为病毒文件,若是,则对传输文件进行阻断,若否,则对传输文件进行放行。
8.根据权利要求7所述的装置,其特征在于,所述装置还包括:
添加单元,用于若所述传输文件为病毒文件,则将所述传输文件的MD5值添加到所述预设的MD5表项中。
9.一种病毒防护设备,其特征在于,所述设备包括:内部总线、以及通过内部总线连接的存储器、处理器和外部接口,其中,
所述处理器,用于读取所述存储器上的机器可读指令,并执行所述指令实现如下操作:
识别网络中传输文件的类型;
若为可执行文件,则对所述传输文件缓存完整前,对接收到的所述传输文件的多个数据包逐一缓存,并基于缓存的数据包计算已缓存的所述传输文件的MD5值;
判断计算出的MD5值与预设的MD5表项匹配是否成功,其中所述MD5表项记录了已知病毒文件的MD5值;
若匹配成功,则对传输文件进行阻断。
10.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质上存储有若干计算机指令,所述计算机指令被执行时进行如下处理:
识别网络中传输文件的类型;
若为可执行文件,则对所述传输文件缓存完整前,对接收到的所述传输文件的多个数据包逐一缓存,并基于缓存的数据包计算已缓存的所述传输文件的MD5值;
判断计算出的MD5值与预设的MD5表项匹配是否成功,其中所述MD5表项记录了已知病毒文件的MD5值;
若匹配成功,则对传输文件进行阻断。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910206977.1A CN109981629A (zh) | 2019-03-19 | 2019-03-19 | 病毒防护方法、装置、设备及存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910206977.1A CN109981629A (zh) | 2019-03-19 | 2019-03-19 | 病毒防护方法、装置、设备及存储介质 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN109981629A true CN109981629A (zh) | 2019-07-05 |
Family
ID=67079458
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201910206977.1A Pending CN109981629A (zh) | 2019-03-19 | 2019-03-19 | 病毒防护方法、装置、设备及存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN109981629A (zh) |
Cited By (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110457905A (zh) * | 2019-08-12 | 2019-11-15 | 腾讯云计算(北京)有限责任公司 | 样本的病毒检测方法、装置、计算机设备及存储介质 |
| CN110995679A (zh) * | 2019-11-22 | 2020-04-10 | 杭州迪普科技股份有限公司 | 一种文件数据流控制方法、装置、设备及存储介质 |
| CN111414620A (zh) * | 2020-03-23 | 2020-07-14 | 深信服科技股份有限公司 | 一种文件杀毒方法、系统及相关设备 |
| CN111611584A (zh) * | 2020-05-13 | 2020-09-01 | 深信服科技股份有限公司 | 恶意文件检测方法、装置、存储介质及防火墙 |
| CN111949985A (zh) * | 2020-10-19 | 2020-11-17 | 远江盛邦(北京)网络安全科技股份有限公司 | 结合文件识别的病毒检测方法 |
| CN112272212A (zh) * | 2020-09-30 | 2021-01-26 | 新华三信息安全技术有限公司 | 一种文件传输方法及装置 |
| CN114257456A (zh) * | 2021-12-29 | 2022-03-29 | 武汉思普崚技术有限公司 | 一种基于ftp协议的断点续传文件的控制方法及系统 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101119373A (zh) * | 2007-09-04 | 2008-02-06 | 北京大学 | 一种网关级流式病毒扫描方法及其系统 |
| CN101252576A (zh) * | 2008-03-13 | 2008-08-27 | 苏州爱迪比科技有限公司 | 利用dfa在网关处进行基于网络流的病毒检测方法 |
| CN104424438A (zh) * | 2013-09-06 | 2015-03-18 | 华为技术有限公司 | 一种反病毒文件检测方法、装置及网络设备 |
| US20170279824A1 (en) * | 2012-02-01 | 2017-09-28 | Servicenow, Inc. | Techniques for sharing network security event information |
-
2019
- 2019-03-19 CN CN201910206977.1A patent/CN109981629A/zh active Pending
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101119373A (zh) * | 2007-09-04 | 2008-02-06 | 北京大学 | 一种网关级流式病毒扫描方法及其系统 |
| CN101252576A (zh) * | 2008-03-13 | 2008-08-27 | 苏州爱迪比科技有限公司 | 利用dfa在网关处进行基于网络流的病毒检测方法 |
| US20170279824A1 (en) * | 2012-02-01 | 2017-09-28 | Servicenow, Inc. | Techniques for sharing network security event information |
| CN104424438A (zh) * | 2013-09-06 | 2015-03-18 | 华为技术有限公司 | 一种反病毒文件检测方法、装置及网络设备 |
Cited By (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110457905A (zh) * | 2019-08-12 | 2019-11-15 | 腾讯云计算(北京)有限责任公司 | 样本的病毒检测方法、装置、计算机设备及存储介质 |
| CN110995679A (zh) * | 2019-11-22 | 2020-04-10 | 杭州迪普科技股份有限公司 | 一种文件数据流控制方法、装置、设备及存储介质 |
| CN110995679B (zh) * | 2019-11-22 | 2022-03-01 | 杭州迪普科技股份有限公司 | 一种文件数据流控制方法、装置、设备及存储介质 |
| CN111414620A (zh) * | 2020-03-23 | 2020-07-14 | 深信服科技股份有限公司 | 一种文件杀毒方法、系统及相关设备 |
| CN111611584A (zh) * | 2020-05-13 | 2020-09-01 | 深信服科技股份有限公司 | 恶意文件检测方法、装置、存储介质及防火墙 |
| CN112272212A (zh) * | 2020-09-30 | 2021-01-26 | 新华三信息安全技术有限公司 | 一种文件传输方法及装置 |
| CN112272212B (zh) * | 2020-09-30 | 2022-07-12 | 新华三信息安全技术有限公司 | 一种文件传输方法及装置 |
| CN111949985A (zh) * | 2020-10-19 | 2020-11-17 | 远江盛邦(北京)网络安全科技股份有限公司 | 结合文件识别的病毒检测方法 |
| CN114257456A (zh) * | 2021-12-29 | 2022-03-29 | 武汉思普崚技术有限公司 | 一种基于ftp协议的断点续传文件的控制方法及系统 |
| CN114257456B (zh) * | 2021-12-29 | 2024-04-12 | 武汉思普崚技术有限公司 | 一种基于ftp协议的断点续传文件的控制方法及系统 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN109981629A (zh) | 病毒防护方法、装置、设备及存储介质 | |
| KR101263329B1 (ko) | 네트워크 공격 방어 장치 및 방법, 이를 포함한 패킷 송수신 처리 장치 및 방법 | |
| US11562068B2 (en) | Performing threat detection by synergistically combining results of static file analysis and behavior analysis | |
| US8701189B2 (en) | Method of and system for computer system denial-of-service protection | |
| KR100862187B1 (ko) | 취약점 분석 및 공격방식 모델링을 이용한 네트워크기반의인터넷 웜 탐지 장치 및 그 방법 | |
| US7958549B2 (en) | Attack defending system and attack defending method | |
| US7564837B2 (en) | Recording medium recording a network shutdown control program, and network shutdown device | |
| KR101715080B1 (ko) | 네임 기반의 네트워크 시스템에서 펜딩 테이블의 오버플로우를 방지하는 노드 장치 및 방법 | |
| CN110166480B (zh) | 一种数据包的分析方法及装置 | |
| EP1873992A1 (en) | Packet classification in a network security device | |
| WO2017086837A1 (ru) | Способ обнаружения вредоносных программ и элементов | |
| CN106302495A (zh) | 一种ACK Flood攻击的防护方法及中间防护装置 | |
| KR101067781B1 (ko) | 타겟 희생자 자체-식별 및 제어에 의해 ip 네트워크들에서 서비스 거부 공격들에 대한 방어 방법 및 장치 | |
| CN107566420B (zh) | 一种被恶意代码感染的主机的定位方法及设备 | |
| EP3826263B1 (en) | Method for combining a firewall and a forensics agent to detect and prevent malicious software activity | |
| US8839406B2 (en) | Method and apparatus for controlling blocking of service attack by using access control list | |
| US11757912B2 (en) | Deep packet analysis | |
| US20170126715A1 (en) | Detection device, detection method, and detection program | |
| CN114039774B (zh) | 一种恶意pe程序的阻断方法、检测方法及装置 | |
| JP2008136176A (ja) | メモリブロックの割り当てを管理する方法及びデバイス、データ伝送ネットワークシステム、コンピュータ可読媒体、並びにコンピュータプログラム製品 | |
| KR101511474B1 (ko) | 에이전트 프로그램을 이용한 인터넷 접속 차단 방법 | |
| JP7206980B2 (ja) | 通信制御装置、通信制御方法及び通信制御プログラム | |
| US20240283775A1 (en) | Inline inspection cybersecurity enforcement of multipart file transmissions | |
| KR102156600B1 (ko) | 네트워크에서 수집된 패킷과 엔드포인트 컴퓨팅 장치의 프로세스 간의 연관관계를 생성하는 시스템 및 방법 | |
| KR101959440B1 (ko) | 네트워크 보안 장치 및 그의 트래픽 처리 방법 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20190705 |
|
| RJ01 | Rejection of invention patent application after publication |