CN117527422A - 一种ftp病毒检测方法、装置以及处理设备 - Google Patents

一种ftp病毒检测方法、装置以及处理设备 Download PDF

Info

Publication number
CN117527422A
CN117527422A CN202311674472.0A CN202311674472A CN117527422A CN 117527422 A CN117527422 A CN 117527422A CN 202311674472 A CN202311674472 A CN 202311674472A CN 117527422 A CN117527422 A CN 117527422A
Authority
CN
China
Prior art keywords
data message
ftp
receiving end
data
sent
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202311674472.0A
Other languages
English (en)
Inventor
程白羽
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Wuhan Sipuling Technology Co Ltd
Original Assignee
Wuhan Sipuling Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Wuhan Sipuling Technology Co Ltd filed Critical Wuhan Sipuling Technology Co Ltd
Priority to CN202311674472.0A priority Critical patent/CN117527422A/zh
Publication of CN117527422A publication Critical patent/CN117527422A/zh
Pending legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/145Countermeasures against malicious traffic the attack involving the propagation of malware through the network, e.g. viruses, trojans or worms
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/06Protocols specially adapted for file transfer, e.g. file transfer protocol [FTP]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/40Network security protocols

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Virology (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本申请提供了一种FTP病毒检测方法、装置以及处理设备,用于在FTP应用场景下,优化了基于FTP协议的数据传输过程,在接收端侧实现更为快速的、第一时间的病毒拦截效果,从而可以进一步提高接收端的网络安全。方法包括:接收端接收发送端通过FTP协议发送过来的第一数据报文;接收端接收发送端发送过来的携带预设标识的第二数据报文,其中,预设标识用于在数据面标识出第一数据报文已经完成传输,第二数据报文由发送端在发送由TCP协议规定断开连接时发送的FIN报文之前发送;根据第二数据报文的触发,接收端对第一数据报文进行病毒检测;在检测出第一数据报文携带病毒的情况下,接收端丢弃第一数据报文和第二数据报文,并阻断自身与发送端之间的连接。

Description

一种FTP病毒检测方法、装置以及处理设备
技术领域
本申请涉及网络安全领域,具体涉及一种FTP病毒检测方法、装置以及处理设备。
背景技术
文件传输协议(File Transfer Protocol,FTP),用于Internet上的控制文件的双向传输,即用户可通过客户机程序向远程主机上传和下载文件,其允许用户以文件操作的方式(如文件的增、删、改、查、传送等)与另一主机相互通信,用户并不需要真正登录到自己想要存取的计算机上面而成为完全用户,可通过FTP服务访问远程资源,实现用户往返传输文件、目录管理以及访问电子邮件等等,即使双方计算机可能配有不同的操作系统和文件存储方式。
FTP服务器的主要用途就是提供文件存储的空间,让用户可以上传或者下载所需要的文件。在企业中,往往会给客户提供一个特定的FTP空间,以方便跟可以进行一些大型文件的交流,如数据大小达到几百兆(M)的设计图纸等等,同时,FTP服务器还可以作为企业文件的备份服务器,如把数据库等关键应用在FTP服务器上实现异地备份等等。
而本申请发明人发现,在基于FTP协议进行数据传输时,接收端对于病毒的拦截时机的选择,存在一定程度上的滞后,这也就造成了网络安全问题。
发明内容
本申请提供了一种FTP病毒检测方法、装置以及处理设备,用于在FTP应用场景下,优化了基于FTP协议的数据传输过程,在接收端侧实现更为快速的、第一时间的病毒拦截效果,从而可以进一步提高接收端的网络安全。
第一方面,本申请提供了一种FTP病毒检测方法,方法包括:
接收端接收发送端通过FTP协议发送过来的第一数据报文;
接收端接收发送端发送过来的携带预设标识的第二数据报文,其中,预设标识用于在数据面标识出第一数据报文已经完成传输,第二数据报文由发送端在发送由TCP协议规定断开连接时发送的FIN报文之前发送;
根据第二数据报文的触发,接收端对第一数据报文进行病毒检测;
在检测出第一数据报文携带病毒的情况下,接收端丢弃第一数据报文和第二数据报文,并阻断自身与发送端之间的连接。
结合本申请第一方面,在本申请第一方面第一种可能的实现方式中,预设标识具体采用FTP协议所涉及标准响应码中的226响应代码,第二数据报文具体为response报文。
结合本申请第一方面,在本申请第一方面第二种可能的实现方式中,预设标识具体采用双方预先约定的私有代码。
结合本申请第一方面,在本申请第一方面第三种可能的实现方式中,接收端具体为客户端,发送端具体为向客户端提供文件下载服务的FTP服务器。
结合本申请第一方面,在本申请第一方面第四种可能的实现方式中,接收端具体为网络安全设备,发送端具体为测试网络安全设备的BPS测试仪,病毒由BPS测试仪构造得到。
结合本申请第一方面第四种可能的实现方式,在本申请第一方面第五种可能的实现方式中,网络安全设备具体包括防火墙设备、入侵检测系统IDS、入侵防御系统IPS和上网行为管理设备中的至少一种。
结合本申请第一方面第四种可能的实现方式,在本申请第一方面第六种可能的实现方式中,方法还包括:
发送端确定接收端的病毒检测率并展示对应的病毒检测率确定结果。
第二方面,本申请提供了一种FTP病毒检测装置,装置包括:
接收单元,用于接收发送端通过FTP协议发送过来的第一数据报文;
接收单元,还用于接收发送端发送过来的携带预设标识的第二数据报文,其中,预设标识用于在数据面标识出第一数据报文已经完成传输,第二数据报文由发送端在发送由TCP协议规定断开连接时发送的FIN报文之前发送;
检测单元,用于根据第二数据报文的触发,对第一数据报文进行病毒检测;
响应单元,用于在检测出第一数据报文携带病毒的情况下,丢弃第一数据报文和第二数据报文,并阻断自身与发送端之间的连接。
结合本申请第二方面,在本申请第二方面第一种可能的实现方式中,预设标识具体采用FTP协议所涉及标准响应码中的226响应代码,第二数据报文具体为response报文。
结合本申请第二方面,在本申请第二方面第二种可能的实现方式中,预设标识具体采用双方预先约定的私有代码。
结合本申请第二方面,在本申请第二方面第三种可能的实现方式中,接收端具体为客户端,发送端具体为向客户端提供文件下载服务的FTP服务器。
结合本申请第二方面,在本申请第二方面第四种可能的实现方式中,接收端具体为网络安全设备,发送端具体为测试网络安全设备的BPS测试仪,病毒由BPS测试仪构造得到。
结合本申请第二方面第四种可能的实现方式,在本申请第二方面第五种可能的实现方式中,网络安全设备具体包括防火墙设备、入侵检测系统IDS、入侵防御系统IPS和上网行为管理设备中的至少一种。
结合本申请第二方面第四种可能的实现方式,在本申请第二方面第六种可能的实现方式中,装置还包括展示单元,用于:
确定接收端的病毒检测率并展示对应的病毒检测率确定结果。
第三方面,本申请提供了一种处理设备,包括处理器和存储器,存储器中存储有计算机程序,处理器调用存储器中的计算机程序时执行本申请第一方面或者本申请第一方面任一种可能的实现方式提供的方法。
第四方面,本申请提供了一种计算机可读存储介质,计算机可读存储介质存储有多条指令,指令适于处理器进行加载,以执行本申请第一方面或者本申请第一方面任一种可能的实现方式提供的方法。
从以上内容可得出,本申请具有以下的有益效果:
针对于基于FTP协议的数据传输,本申请接收端接收发送端通过FTP协议发送过来的第一数据报文,还接收发送端发送过来的携带预设标识的第二数据报文,并根据第二数据报文的触发,对第一数据报文进行病毒检测,在检测出第一数据报文携带病毒的情况下,丢弃第一数据报文和第二数据报文,并阻断自身与发送端之间的连接,在这过程中,由于预设标识用于在数据面标识出第一数据报文已经完成传输,并且是由发送端在发送由TCP协议规定断开连接时发送的FIN报文之前发送的,因此,相较于基于FTP协议控制面的FIN报文来触发对完整报文进行病毒检测,通过本申请配置的在FIN报文之前发送的、携带预设标识的第二数据报文则可以触发接收端更早地进行病毒检测,优化了基于FTP协议的数据传输过程,在接收端侧实现更为快速的、第一时间的病毒拦截效果,从而可以进一步提高接收端的网络安全。
附图说明
为了更清楚地说明本申请实施例中的技术方案,下面将对实施例描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请的一些实施例,对于本领域技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本申请FTP病毒检测方法的一种流程示意图;
图2为基于BPS测试仪的安全测试的一种场景示意图;
图3为本申请测试实例的一种场景示意图;
图4为本申请测试实例的又一种场景示意图;
图5为本申请测试实例的又一种场景示意图;
图6为本申请测试实例的又一种场景示意图;
图7为本申请测试实例的又一种场景示意图;
图8为本申请测试实例的又一种场景示意图;
图9为本申请FTP病毒检测装置的一种结构示意图;
图10为本申请处理设备的一种结构示意图。
具体实施方式
下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
本申请的说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换,以便这里描述的实施例能够以除了在这里图示或描述的内容以外的顺序实施。此外,术语“包括”和“具有”以及他们的任何变形,意图在于覆盖不排他的包含,例如,包含了一系列步骤或模块的过程、方法、系统、产品或设备不必限于清楚地列出的那些步骤或模块,而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或模块。在本申请中出现的对步骤进行的命名或者编号,并不意味着必须按照命名或者编号所指示的时间/逻辑先后顺序执行方法流程中的步骤,已经命名或者编号的流程步骤可以根据要实现的技术目的变更执行次序,只要能达到相同或者相类似的技术效果即可。
本申请中所出现的模块的划分,是一种逻辑上的划分,实际应用中实现时可以有另外的划分方式,例如多个模块可以结合成或集成在另一个系统中,或一些特征可以忽略,或不执行,另外,所显示的或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,模块之间的间接耦合或通信连接可以是电性或其他类似的形式,本申请中均不作限定。并且,作为分离部件说明的模块或子模块可以是也可以不是物理上的分离,可以是也可以不是物理模块,或者可以分布到多个电路模块中,可以根据实际的需要选择其中的部分或全部模块来实现本申请方案的目的。
在介绍本申请提供的FTP病毒检测方法之前,首先介绍本申请所涉及的背景内容。
本申请提供的FTP病毒检测方法、装置以及计算机可读存储介质,可应用于处理设备,用于在FTP应用场景下,优化了基于FTP协议的数据传输过程,在接收端侧实现更为快速的、第一时间的病毒拦截效果,从而可以进一步提高接收端的网络安全。
本申请提及的FTP病毒检测方法,其执行主体可以为FTP病毒检测装置,或者集成了该FTP病毒检测装置的服务器、物理主机或者用户设备(User Equipment,UE)等不同类型的处理设备。其中,FTP病毒检测装置可以采用硬件或者软件的方式实现,UE具体可以为智能手机、平板电脑、笔记本电脑、台式电脑或者个人数字助理(Personal DigitalAssistant,PDA)等终端设备,处理设备可以通过设备集群的方式设置。
应当理解的是,本申请涉及的是FTP协议的数据传输场景,而为方便说明,本申请是从数据传输过程中的接收端来进行说明的,但是,本申请也涉及到了发送端的改进设置,也因此,执行本申请FTP病毒检测方法的处理设备,既可以单方面的为接收端,也可以是接收端和发送端的集合,或者说,发送端侧的设备也可以纳入到执行本申请FTP病毒检测方法的处理设备的范畴中,此时,执行本申请FTP病毒检测方法的处理设备也可以用处理系统或者数据传输系统等称呼来指代。
而随着实际应用中对于FTP传输的不同应用需求,接收端侧设备和发送端侧设备的设备类型还有设备部署形式则是灵活多变的,可以随实际情况进行灵活调整,因此本申请并不做具体限定。
下面,开始介绍本申请提供的FTP病毒检测方法。
首先,参阅图1,图1示出了本申请FTP病毒检测方法的一种流程示意图,本申请提供的FTP病毒检测方法,具体可包括如下步骤S101至步骤S104:
步骤S101,接收端接收发送端通过FTP协议发送过来的第一数据报文;
可以理解的是,本申请发送端在通过FTP协议向接收端发送期望发送过去的数据报文时,该过程是可以参考现有技术中发送端通过FTP协议向接收端发送期望发送过去的数据报文的过程的,该数据报文可以为任意类型的数据报文,在具体传输过程中,还可以拆分为多个的子数据报文进行传输,对于此时所发送的数据报文,为方便说明,本申请将其记为第一数据报文。
其中,第一数据报文的发送,可以理解的是,通常是以任务的形式进行设置,对于第一数据报文的具体报文内容还有报文形式,是在遵循着FTP协议的情况下,可以随实际情况进行调整的,本申请并不做具体限定。
同样的,对于接收端和发送端的具体设备类型还有具体设备部署形式,如前面所言,本申请也是不做具体限定,可以随实际情况进行适配性调整。
在接收到第一数据报文时,接收端通常是以缓存的形式进行暂时存储的,以便后续对其按照病毒检测结果进行相应的响应处理。
步骤S102,接收端接收发送端发送过来的携带预设标识的第二数据报文,其中,预设标识用于在数据面标识出第一数据报文已经完成传输,第二数据报文由发送端在发送由TCP协议规定断开连接时发送的FIN报文之前发送;
可以理解的是,在现有技术中,基于FTP协议的数据传输,在接收端侧,是以TCP协议规定断开连接时发送的FIN报文来指示本次第一数据报文的数据传输已完成的。
其中,FIN,即Finish,完成;TCP,即Transmission Control Protocol,传输控制协议。
但是,本申请发明人发现,TCP协议规定断开连接时发送的FIN报文,只是标志着控制面的结束,或者说在控制面标志着连接的断开,但是对于数据层面的第一数据报文而言,在细节上是存在一定程度的偏差的,并不能精确地指示出第一数据报文是否已经完成了发送。
对于接收端,现有技术中其在接收到FIN报文时,若检测到第一数据报文存在病毒,则会丢弃FIN报文,阻断当前与发送端之间的连接,如此就阻断了病毒的传送,因为FTP协议要求,没有收到FIN报文,就会将接收端缓存的、接收到的第一数据报文删除,病毒文件的传输就会失败;
而在本申请方案下,由于规定了发送端在发送由TCP协议规定断开连接时发送的FIN报文之前,还会发送携带在数据面标识出第一数据报文已经完成传输的预设标识的第二数据报文,在该情况下,认为在数据层数据传输完成(第二数据报文来指示)时,在接收到FIN报文之前,就能知道第一数据报文是否包含病毒,并及时将当前的连接阻断,更能及时拦截病毒,更能保障接收端的安全,病毒拦截更彻底,避免接收端被感染。
步骤S103,根据第二数据报文的触发,接收端对第一数据报文进行病毒检测;
如前面所言,在本申请方案的设置下,接收端并不是以原来的FIN报文来触发对第一数据报文进行病毒检测的,而是以从数据面配置的、携带了预设标识的第二数据报文作为触发条件,来触发对前面接收到的第一数据报文进行病毒检测。
其中,应当理解的是,对于接收端而言,其在进行病毒检测过程中采用的病毒检测策略,并不是本申请方案的重点,其既可以采用现有的病毒检测策略,也可以是在现有的病毒检测策略的基础上改进得到的病毒检测策略,也可以是全新的、自研的病毒检测策略,随实际情况进行灵活设置即可。
步骤S104,在检测出第一数据报文携带病毒的情况下,接收端丢弃第一数据报文和第二数据报文,并阻断自身与发送端之间的连接。
如前面步骤S102的说明,在第二数据报文的触发下进行病毒检测并且检测出第一数据报文携带、存在相关病毒之后,接收端则可以对第一数据报文还有第二数据报文进行丢弃,并阻断自身(接收端)与发送端之前的当前连接,既避免了缓存的第一数据报文所带来的威胁,也可以避免发送端接下来还可能带来的威胁,保障接收端的网络安全。
反之,若是未检测出第一数据报文携带、存在相关病毒,则可以对第一数据报文正常进行响应处理。
从图1所示实施例可看出,针对于基于FTP协议的数据传输,本申请接收端接收发送端通过FTP协议发送过来的第一数据报文,还接收发送端发送过来的携带预设标识的第二数据报文,并根据第二数据报文的触发,对第一数据报文进行病毒检测,在检测出第一数据报文携带病毒的情况下,丢弃第一数据报文和第二数据报文,并阻断自身与发送端之间的连接,在这过程中,由于预设标识用于在数据面标识出第一数据报文已经完成传输,并且是由发送端在发送由TCP协议规定断开连接时发送的FIN报文之前发送的,因此,相较于基于FTP协议控制面的FIN报文来触发对完整报文进行病毒检测,通过本申请配置的在FIN报文之前发送的、携带预设标识的第二数据报文则可以触发接收端更早地进行病毒检测,优化了基于FTP协议的数据传输过程,在接收端侧实现更为快速的、第一时间的病毒拦截效果,从而可以进一步提高接收端的网络安全。
继续对上述图1所示实施例的各个步骤及其在实际应用中可能的实现方式进行详细阐述。
作为一种示例性的实现方式,本申请所配置的预设标识,具体可以直接采用FTP协议所涉及标准响应码中的226响应代码。
对于FTP协议所涉及的标准响应码,还可以通过以下的一组标准响应码实例来更为形象的理解:
表1-FPT标准响应码
其中,应当理解的是,本申请对于226响应代码(code=226)的应用,并不是FTP协议直接规范的应用,FTP协议仅提供了标准响应代码的含义以供使用,而如何去应用则可以结合具体的应用场景进行灵活的配置,如此才可以达到适应具体应用场景的灵活应用效果。
此外,对于承载了226响应代码的第二数据报文,本申请具体可以采用response报文。
可以看到,本申请对于携带了预设标识的第二数据报文,在此处提供了一套便捷的落地配套方案。
与此同时,也不排除的是,预设标识具体也可以采用发送端和接收端(双方)预先约定的私有代码,预定一个或者多个私有代码可以起到在数据面标识出第一数据报文已经完成传输,并且是由发送端在发送由TCP协议规定断开连接时发送的FIN报文之前发送的即可,这在具体应用中则可以起到更为自由实施方案的特点,同时也具有更佳的保密性、安全性,可以避免在网络传输过程中暴露出来,从而保障可以稳定促使接收端可以按照本申请的设计进行第一时间的、更为及时的病毒检测。
此外,对于本申请方案所涉及的FTP应用场景,主要可以涉及到两个方面。
作为又一种示例性的实现方式,在本申请的具体应用中,接收端具体可以为客户端,发送端具体可以为向客户端提供文件下载服务的FTP服务器。
应当理解的是,此处所称的客户端和FTP服务器,并不是特指固定的设备,在部分情况下,两者的设备身份也可以进行对调,例如之前的客户端(当前扮演的“FTP服务器”角色)也可以为之前的FTP服务器(当前扮演的“客户端”角色)提供文件下载服务,如此每一方都可以为另一方提供基于FTP协议的下载服务,这在实际情况下灵活多变的应用需求下是可能出现的。
作为又一种示例性的实现方式,在本申请的具体应用中,接收端具体可以为网络安全设备,发送端具体可以为测试网络安全设备的BPS测试仪,病毒由BPS测试仪构造得到。
其中,BPS测试仪,即Breaking Point Systems测试仪,必锐博系统系统测试仪,是为一款市面上的测试仪产品。
此处可以发现,本申请方案还可以涉及到公司内部的网络安全设备的安全测试环节,而本申请发明人在通过BPS测试仪对公司网络架构中的相关网络安全设备进行安全测试时发现有以下情况:
参考图2示出的基于BPS测试仪的安全测试的一种场景示意图,在通过BPS测试仪对网络安全设备进行安全测试时,网络安全设备允许放行的数据会回传给BPS测试仪以满足BPS测试仪感知网络安全设备侧情况、总结测试结果的需要,在该情况下,若BPS测试仪能接收到应当被网络安全设备拦截掉的相关报文,则可以认为网络安全设备侧出现了未及时拦截的情况,在此基础上,现有方案有:
1)BPS测试仪的port1端口发送基于FTP协议的携带病毒报文;
2)网络安全设备的interface1端口接收到携带病毒报文;
3)网络安全设备将携带病毒报文进行缓存;
4)当网络安全设备上收到BPS测试仪发送的FTP数据面的FIN报文时,代表数据已经传输完成;
5)网络安全设备根据FIN报文的触发,判断携带病毒报文为病毒数据,将最后一个报文即FIN报文丢弃、阻断连接,不将携带病毒报文回传给BPS测试仪,但是在FIN报文之前发送给网络安全设备的code=226的response报文(第二数据报文)还是很可能已经回传给了BPS测试仪;
6)BPS测试仪根据最终接收到的携带病毒报文和code=226的response报文的情况,判断网络安全设备的病毒检测率;
7)BPS测试仪生成网络安全设备的测试报告。
而应用本申请方案后,则有:
1)BPS测试仪的port1端口发送基于FTP协议的携带病毒报文;
2)网络安全设备的interface1端口接收到携带病毒报文;
3)网络安全设备将携带病毒报文进行缓存;
4)在BPS测试仪发送完携带病毒报文时,port2端口便会回应port1 code=226的response报文,代表数据传输完成;
5)网络安全设备在收到FIN报文之前,根据code=226的response报文的触发,将携带病毒报文判断为病毒数据,将携带病毒报文和code=226的response报文丢弃,阻断连接。
6)BPS测试仪根据最终接收到携带病毒报文和code=226的response报文的情况,判断网络安全设备的病毒检测率;
7)BPS测试仪生成网络安全设备的测试报告。
在上述的测试仪的工作机制中,现有BPS测试仪的工作缺点比较明显,FTP协议在数据面没有数据报文结束的标志,而传统采用的FIN报文只是控制面的结束标志,若是如本申请般发送端在发送FIN报文之前还发送了code=226的response报文(第二数据报文),因为只针对控制面进行病毒检测会导致存在滞后性的缘故,BPS测试仪的port1端口在网络安全设备根据FIN报文阻断连接、拦截携带病毒报文之前,还是很可能会继续接收到网络安全设备回传的code=226的response报文,认为病毒数据没有被拦截,所以BPS测试仪测得的网络安全设备的病毒拦截率约为10%。
而网络安全设备通过FIN报文之前发送的code=226的response报文(第二数据报文),获悉数据层数据已经完成传输时,丢弃code=226的response报文,则可以更早地触发进行病毒检测、阻断连接,并且还可以让BPS测试仪获悉网络安全设备已经拦截成功,病毒拦截率提高到了100%。
其中,对于本申请方案适用的网络安全设备,具体可以包括防火墙设备、入侵检测系统IDS、入侵防御系统IPS和上网行为管理设备中的至少一种。
其中,IDS,即Intrusion Detection System;IPS,即Intrusion PreventionSystem。
可以理解,除了此处列举的具体网络安全设备产品,在实际情况下的网络架构中,可能还涉及到其他类型/称呼的网络安全设备产品,因此还可以进行网络安全设备产品的替换或者补充。
而在涉及到BPS测试仪对于网络安全设备的安全测试的情况下,对于发送端,即BPS测试仪而言,还可以涉及到对确定的网络安全设备的病毒检测率确定结果的确定处理和展示处理。
对此,作为又一种示例性的实现方式,本申请FTP病毒检测方法,还可以包括:
发送端确定接收端的病毒检测率并展示对应的病毒检测率确定结果。
为方便更为形象地理解以上方案内容,还可以参考下面涉及BPS测试仪的一个应用实例,具体内容有:
1)如图3示出的本申请测试实例的一种场景示意图,配置网络安全设备的病毒阻断;
2)如图4示出的本申请测试实例的又一种场景示意图,配置网络安全设备的病毒设定。
3)如图5示出的本申请测试实例的又一种场景示意图,配置网络安全设备interface1端口和interface2端口的地址;
4)如图6示出的本申请测试实例的又一种场景示意图,配置BPS测试仪的port1端口和port2端口的地址;
5)如图7示出的本申请测试实例的又一种场景示意图,配置BPS测试仪的FTP病毒文件流量;
6)如图8示出的本申请测试实例的又一种场景示意图,BPS测试仪发送攻击,并查看测试报告,50个病毒文件都被100%拦截。
以上是本申请提供的FTP病毒检测方法的介绍,为便于更好的实施本申请提供的FTP病毒检测方法,本申请还从功能模块角度提供了一种FTP病毒检测装置。
参阅图9,图9为本申请FTP病毒检测装置的一种结构示意图,在本申请中,FTP病毒检测装置900具体可包括如下结构:
接收单元901,用于接收发送端通过FTP协议发送过来的第一数据报文;
接收单元901,还用于接收发送端发送过来的携带预设标识的第二数据报文,其中,预设标识用于在数据面标识出第一数据报文已经完成传输,第二数据报文由发送端在发送由TCP协议规定断开连接时发送的FIN报文之前发送;
检测单元902,用于根据第二数据报文的触发,对第一数据报文进行病毒检测;
响应单元903,用于在检测出第一数据报文携带病毒的情况下,丢弃第一数据报文和第二数据报文,并阻断自身与发送端之间的连接。
在一种示例性的实现方式中,预设标识具体采用FTP协议所涉及标准响应码中的226响应代码,第二数据报文具体为response报文。
在又一种示例性的实现方式中,预设标识具体采用双方预先约定的私有代码。
在又一种示例性的实现方式中,接收端具体为客户端,发送端具体为向客户端提供文件下载服务的FTP服务器。
在又一种示例性的实现方式中,接收端具体为网络安全设备,发送端具体为测试网络安全设备的BPS测试仪,病毒由BPS测试仪构造得到。
在又一种示例性的实现方式中,网络安全设备具体包括防火墙设备、入侵检测系统IDS、入侵防御系统IPS和上网行为管理设备中的至少一种。
在又一种示例性的实现方式中,装置还包括展示单元904,用于:
确定接收端的病毒检测率并展示对应的病毒检测率确定结果。
本申请还从硬件结构角度提供了一种处理设备,参阅图10,图10示出了本申请处理设备的一种结构示意图,具体的,本申请处理设备可包括处理器1001、存储器1002以及输入输出设备1003,处理器1001用于执行存储器1002中存储的计算机程序时实现如图1对应实施例中FTP病毒检测方法的各步骤;或者,处理器1001用于执行存储器1002中存储的计算机程序时实现如图9对应实施例中各单元的功能,存储器1002用于存储处理器1001执行上述图1对应实施例中FTP病毒检测方法所需的计算机程序。
示例性的,计算机程序可以被分割成一个或多个模块/单元,一个或者多个模块/单元被存储在存储器1002中,并由处理器1001执行,以完成本申请。一个或多个模块/单元可以是能够完成特定功能的一系列计算机程序指令段,该指令段用于描述计算机程序在计算机装置中的执行过程。
处理设备可包括,但不仅限于处理器1001、存储器1002、输入输出设备1003。本领域技术人员可以理解,示意仅仅是处理设备的示例,并不构成对处理设备的限定,可以包括比图示更多或更少的部件,或者组合某些部件,或者不同的部件,例如处理设备还可以包括网络接入设备、总线等,处理器1001、存储器1002、输入输出设备1003等通过总线相连。
处理器1001可以是中央处理单元(Central Processing Unit,CPU),还可以是其他通用处理器、数字信号处理器(Digital Signal Processor,DSP)、专用集成电路(Application Specific Integrated Circuit,ASIC)、现场可编程门阵列(Field-Programmable Gate Array,FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等,处理器是处理设备的控制中心,利用各种接口和线路连接整个设备的各个部分。
存储器1002可用于存储计算机程序和/或模块,处理器1001通过运行或执行存储在存储器1002内的计算机程序和/或模块,以及调用存储在存储器1002内的数据,实现计算机装置的各种功能。存储器1002可主要包括存储程序区和存储数据区,其中,存储程序区可存储操作系统、至少一个功能所需的应用程序等;存储数据区可存储根据处理设备的使用所创建的数据等。此外,存储器可以包括高速随机存取存储器,还可以包括非易失性存储器,例如硬盘、内存、插接式硬盘,智能存储卡(Smart Media Card,SMC),安全数字(SecureDigital,SD)卡,闪存卡(Flash Card)、至少一个磁盘存储器件、闪存器件、或其他易失性固态存储器件。
处理器1001用于执行存储器1002中存储的计算机程序时,具体可实现以下功能:
接收端接收发送端通过FTP协议发送过来的第一数据报文;
接收端接收发送端发送过来的携带预设标识的第二数据报文,其中,预设标识用于在数据面标识出第一数据报文已经完成传输,第二数据报文由发送端在发送由TCP协议规定断开连接时发送的FIN报文之前发送;
根据第二数据报文的触发,接收端对第一数据报文进行病毒检测;
在检测出第一数据报文携带病毒的情况下,接收端丢弃第一数据报文和第二数据报文,并阻断自身与发送端之间的连接。
所属领域的技术人员可以清楚地了解到,为描述的方便和简洁,上述描述的FTP病毒检测装置、处理设备及其相应单元的具体工作过程,可以参考如图1对应实施例中FTP病毒检测方法的说明,具体在此不再赘述。
本领域普通技术人员可以理解,上述实施例的各种方法中的全部或部分步骤可以通过指令来完成,或通过指令控制相关的硬件来完成,该指令可以存储于一计算机可读存储介质中,并由处理器进行加载和执行。
为此,本申请提供一种计算机可读存储介质,其中存储有多条指令,该指令能够被处理器进行加载,以执行本申请如图1对应实施例中FTP病毒检测方法的步骤,具体操作可参考如图1对应实施例中FTP病毒检测方法的说明,在此不再赘述。
其中,该计算机可读存储介质可以包括:只读存储器(Read Only Memory,ROM)、随机存取记忆体(Random Access Memory,RAM)、磁盘或光盘等。
由于该计算机可读存储介质中所存储的指令,可以执行本申请如图1对应实施例中FTP病毒检测方法的步骤,因此,可以实现本申请如图1对应实施例中FTP病毒检测方法所能实现的有益效果,详见前面的说明,在此不再赘述。
以上对本申请提供的FTP病毒检测方法、装置、处理设备以及计算机可读存储介质进行了详细介绍,本文中应用了具体个例对本申请的原理及实施方式进行了阐述,以上实施例的说明只是用于帮助理解本申请的方法及其核心思想;同时,对于本领域的技术人员,依据本申请的思想,在具体实施方式及应用范围上均会有改变之处,综上所述,本说明书内容不应理解为对本申请的限制。

Claims (10)

1.一种FTP病毒检测方法,其特征在于,所述方法包括:
接收端接收发送端通过FTP协议发送过来的第一数据报文;
所述接收端接收所述发送端发送过来的携带预设标识的第二数据报文,其中,所述预设标识用于在数据面标识出所述第一数据报文已经完成传输,所述第二数据报文由所述发送端在发送由TCP协议规定断开连接时发送的FIN报文之前发送;
根据所述第二数据报文的触发,所述接收端对所述第一数据报文进行病毒检测;
在检测出所述第一数据报文携带病毒的情况下,所述接收端丢弃所述第一数据报文和所述第二数据报文,并阻断自身与所述发送端之间的连接。
2.根据权利要求1所述的方法,其特征在于,所述预设标识具体采用所述FTP协议所涉及标准响应码中的226响应代码,所述第二数据报文具体为response报文。
3.根据权利要求1所述的方法,其特征在于,所述预设标识具体采用双方预先约定的私有代码。
4.根据权利要求1所述的方法,其特征在于,所述接收端具体为客户端,所述发送端具体为向所述客户端提供文件下载服务的FTP服务器。
5.根据权利要求1所述的方法,其特征在于,所述接收端具体为网络安全设备,所述发送端具体为测试所述网络安全设备的BPS测试仪,所述病毒由所述BPS测试仪构造得到。
6.根据权利要求5所述的方法,其特征在于,所述网络安全设备具体包括防火墙设备、入侵检测系统IDS、入侵防御系统IPS和上网行为管理设备中的至少一种。
7.根据权利要求5所述的方法,其特征在于,所述方法还包括:
所述发送端确定所述接收端的病毒检测率并展示对应的病毒检测率确定结果。
8.一种FTP病毒检测装置,其特征在于,所述装置包括:
接收单元,用于接收发送端通过FTP协议发送过来的第一数据报文;
所述接收单元,还用于接收所述发送端发送过来的携带预设标识的第二数据报文,其中,所述预设标识用于在数据面标识出所述第一数据报文已经完成传输,所述第二数据报文由所述发送端在发送由TCP协议规定断开连接时发送的FIN报文之前发送;
检测单元,用于根据所述第二数据报文的触发,对所述第一数据报文进行病毒检测;
响应单元,用于在检测出所述第一数据报文携带病毒的情况下,丢弃所述第一数据报文和所述第二数据报文,并阻断自身与所述发送端之间的连接。
9.一种处理设备,其特征在于,包括处理器和存储器,所述存储器中存储有计算机程序,所述处理器调用所述存储器中的计算机程序时执行如权利要求1至7任一项所述的方法。
10.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质存储有多条指令,所述指令适于处理器进行加载,以执行权利要求1至7任一项所述的方法。
CN202311674472.0A 2023-12-06 2023-12-06 一种ftp病毒检测方法、装置以及处理设备 Pending CN117527422A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202311674472.0A CN117527422A (zh) 2023-12-06 2023-12-06 一种ftp病毒检测方法、装置以及处理设备

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202311674472.0A CN117527422A (zh) 2023-12-06 2023-12-06 一种ftp病毒检测方法、装置以及处理设备

Publications (1)

Publication Number Publication Date
CN117527422A true CN117527422A (zh) 2024-02-06

Family

ID=89758747

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202311674472.0A Pending CN117527422A (zh) 2023-12-06 2023-12-06 一种ftp病毒检测方法、装置以及处理设备

Country Status (1)

Country Link
CN (1) CN117527422A (zh)

Similar Documents

Publication Publication Date Title
CN109829310B (zh) 相似攻击的防御方法及装置、系统、存储介质、电子装置
CN104247376B (zh) 云存储的文件上传方法、客户端、应用服务器及云存储系统
KR101850351B1 (ko) P2P 프로토콜을 이용한 IoC 정보 조회 방법
CN105991412B (zh) 消息推送方法及装置
CN101626368A (zh) 一种防止网页被篡改的设备、方法和系统
CN106339309A (zh) 应用程序的测试方法、客户端及系统
CN111314328A (zh) 网络攻击防护方法、装置、存储介质及电子设备
US10027627B2 (en) Context sharing between endpoint device and network security device using in-band communications
CN112448957B (zh) 网络隔离方法、装置、系统、服务端和可读存储介质
KR20190029486A (ko) 탄력적 허니넷 시스템 및 그 동작 방법
CN111052685A (zh) 用于多代理消息传送的技术
CN106161396B (zh) 一种实现虚拟机网络访问控制的方法及装置
US20190273722A1 (en) Passport-controlled firewall
CN111404956A (zh) 一种风险信息获取方法、装置、电子设备及存储介质
US10320881B2 (en) Operating system fingerprint detection
CN110798402B (zh) 业务消息处理方法、装置、设备及存储介质
CN109905352B (zh) 一种基于加密协议审计数据的方法、装置和存储介质
CN117527422A (zh) 一种ftp病毒检测方法、装置以及处理设备
CN106060155B (zh) P2p资源共享的方法及装置
US9172607B2 (en) Transmitting of configuration items within a network
CN106559439B (zh) 一种业务处理方法及设备
CN111953742B (zh) 一种页面重定向方法、终端设备、中间设备及服务器
CN105407095B (zh) 不同网络间安全通信装置及其通信方法
CN108462670A (zh) 用于tcp连接的鉴权方法、装置以及电子设备
CN111510300A (zh) 数据处理方法、装置、设备及计算机可读存储介质

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination