WO2012006885A1 - 代理网关防病毒实现方法，预分类器和代理网关 - Google Patents

Abstract

本发明公开了一种代理网关防病毒实现方法、预分类器和代理网关。该方法包括：接收请求获取待传输资源的资源获取请求；根据资源获取请求向待传输资源所在的网元发送预探测请求，以获取待传输资源的属性信息；基于防病毒策略，根据属性信息判断待传输资源是否需要进行防病毒扫描，若是，则将随后获取到的待传输资源进行防病毒扫描，若否，则透传随后获取到的待传输资源。本发明提供了一种能够对待传输资源是否需要进行防病毒扫描进行预探测的技术方案。通过属性信息对待传输资源进行预探测，对于不需要进行防病毒扫描的资源可以在送入代理层之前直接透传，因而既实现了防病毒功能，又能够提高传输效率，减少对缓存、扫描和上层传输资源的浪费。

Description

代理网关防病毒实现方法、 预分类器和代理网关 本申请要求于 2010年 07月 13日提交中国专利局、 申请号为 201010228197. 6、 发 明名称为"代理网关防病毒实现方法、预分类器和代理网关"的中国专利申请的优先权， 其全部内容通过引用结合在本申请中。 技术领域 本发明实施例涉及网络防病毒技术， 尤其涉及一种代理网关防病毒实现方法、 预分 类器和代理网关。 背景技术 防病毒（Anti-Virus，简称 AV)技术作为统一威胁管理（Unified Threat Management , 简称 UTM) 功能的重要组成部分， 越来越受到人们的关注， 其优点是能够在网关侧将恶 意软件进行屏蔽， 真正意义上把威胁拦截在攻击发生之前， 更大程度的保护了用户的安 全。

目前具备防病毒功能的网关主要有两种实现方式， 即基于代理的防病毒网关（可称 为代理型防病毒网关， 也可简称为代理网关） 和基于流扫描的防病毒网关。 其中， 代理 型防病毒网关在三次握手的时候即开始进行代理，代理网关包括代理服务端和代理客户 端， 分别与客户端 （为避免与代理网关中的代理客户端混淆， 下称为真实客户端）和服 务器（为避免与代理网关中的代理服务端混淆， 下称为真实服务器）交互， 在交互通信 过程中， 由病毒扫描缓存模块 （Cache & Scanner) 负责接收、 缓存文件， 当文件接收 完成时， 送入扫描引擎进行病毒的扫描识别， 如果文件没有病毒威胁则发送至真实的客 户端或服务器。 真实的客户端与服务器通常并不知道与其交互数据的对端的真实身份。

在进行本发明的研究过程中， 发明人发现现有技术存在如下缺陷： 代理网关对接收 到的每一个数据包， 都需要送上代理层， 先由病毒扫描缓存模块进行缓存， 对于需要进 行扫描的就由病毒扫描缓存模块送入扫描引擎进行防病毒扫描， 当发现不属于用户设定 的需扫描文件或者是无法进行扫描的文件时也需要通过代理层进行透传。上述实现方式 占用过多代理层资源， 使得传输效率十分低下， 显著降低了网关的性能， 更加降低了用 户的使用体验。 发明内容 本发明实施例提供一种代理网关防病毒实现方法、 预分类器和代理网关， 以提高代 理网关的传输效率， 减少资源浪费。

本发明实施例提供一种代理网关防病毒实现方法， 包括：

接收请求获取待传输资源的资源获取请求；

根据所述资源获取请求向所述待传输资源所在的网元发送预探测请求， 以获取所述 待传输资源的属性信息；

基于防病毒策略， 根据所述属性信息判断所述待传输资源是否需要进行防病毒扫 描， 若是， 则将随后获取到的所述待传输资源进行防病毒扫描， 若否， 则透传随后获取 到的所述待传输资源。

本发明实施例还提供一种预分类器， 包括：

探测获取模块， 用于接收请求获取待传输资源的资源获取请求， 并根据所述资源获 取请求向所述待传输资源所在的网元发送预探测请求；

属性获取模块， 用于接收所述网元返回的所述待传输资源的属性信息； 策略判断模块， 用于基于防病毒策略， 根据所述属性信息判断所述待传输资源是否 需要进行防病毒扫描；

扫描发起模块， 用于当所述策略判断模块判断出需要进行防病毒扫描时， 则将随后 获取到的所述待传输资源进行防病毒扫描；

透传发起模块， 用于当所述策略判断模块判断出不需要进行防病毒扫描时， 则透传 随后获取到的所述待传输资源。

本发明实施例又提供了一种代理网关， 包括代理客户端、 代理服务端和病毒扫描缓 存模块， 其中： 还包括本发明实施例提供的所述预分类器； 所述预分类器设置在所述代 理客户端和代理服务端的下层。

本发明各实施例的技术方案，提供了一种能够对待传输资源是否需要进行防病毒扫 描进行预探测的技术方案。 通过属性信息对待传输资源进行预探测， 对于不需要进行防 病毒扫描的可以直接透传， 因而既实现了防病毒功能， 又能够提高传输效率， 减少对缓 存、 扫描和上层传输资源的浪费。 附图说明 为了更清楚地说明本发明实施例中的技术方案， 下面将对实施例描述中所需要使用 的附图作简单地介绍， 显而易见地， 下面描述中的附图仅仅是本发明的一些实施例， 对 于本领域普通技术人员来讲， 在不付出创造性劳动的前提下， 还可以根据这些附图获得 其他的附图。

图 1为本发明实施例一提供的代理网关防病毒实现方法的流程图；

图 2为本发明实施例一所适用的一种网络架构示意图；

图 3为本发明实施例一所适用的另一种网络架构示意图；

图 4为本发明实施例二提供的代理网关防病毒实现方法的流程图；

图 5为本发明实施例三提供的代理网关防病毒实现方法的流程图；

图 6为本发明实施例四提供的代理网关防病毒实现方法的信令流程图；

图 7为本发明实施例五提供的预分类器的结构示意图。 具体实肺式 为使本发明实施例的目的、 技术方案和优点更加清楚， 下面将结合本发明实施例中 的附图， 对本发明实施例中的技术方案进行清楚、 完整地描述， 显然， 所描述的实施例 是本发明一部分实施例， 而不是全部的实施例。 基于本发明中的实施例， 本领域普通技 术人员在没有作出创造性劳动前提下所获得的所有其他实施例， 都属于本发明保护的范 围。

实施例一

图 1为本发明实施例一提供的代理网关防病毒实现方法的流程图， 该方法可以由代 理网关中设置的预分类器来执行，预分类器可以是代理网关中增设的硬件设备或者继承 的软件模块， 用于对待传输资源是否需要进行防病毒扫描进行预探测， 而后按照是否需 要进行扫描来分类。 预分类器所执行的流程如下：

步骤 110、 接收资源获取请求；

具体可以是预分类器在代理网关中拦截接收到的资源获取请求；

步骤 120、 根据资源获取请求向待传输资源所在的网元发送预探测请求， 以获取待 传输资源的属性信息；

本步骤具体是预分类器主动对待传输资源的属性信息进行探测获取， 资源获取请求 一般是来自真实客户端的从真实服务器下载资源的下载请求或向真实服务器上传资源 的上传请求， 当然， 在具体应用中， 也可以适用于真实服务器请求真实客户端传输数据 的情况。 或者可概括为， 代理网关所代理的网元中， 一个网元向另一个网元请求传输资 源的情况， 代理网关拦截该资源获取请求， 构造并发送预探测请求， 以请求获取该待传 输资源的属性信息。

步骤 130、 基于防病毒策略， 根据属性信息判断待传输资源是否需要进行防病毒扫 描， 若是， 则执行步骤 140， 若否， 则执行步骤 150;

具体的防病毒策略可以根据需要针对属性信息进行设定， 例如， 属性信息可以为待 传输资源的文件类型、 大小和文件名等， 则相应的防病毒策略可以设定哪种类型的资源 需要扫描、 设定阈值以上大小的资源需要扫描等。

另外， 在步骤 130 中， 具体执行判断的操作可以由不同方式实现。 例如， 可以是 预分类器基于本地存储的防病毒策略，根据属性信息判断待传输资源是否需要进行防病 毒扫描， 即判断操作完全在预分类器中完成； 或者， 还可以是预分类器将属性信息发送 至外部服务器， 以指示外部服务器基于防病毒策略， 根据属性信息判断待传输资源是否 需要进行防病毒扫描并返回判断结果，预分类器获取到判断结果可确定哪些待传输资源 需要进行防病毒扫描。

步骤 140、 将随后获取到的待传输资源进行防病毒扫描；

本步骤中，预分类器具体可以将随后获取到的待传输资源流送入代理层的相应模块 进行文件缓存和防病毒扫描。经过病毒扫描后的待传输资源可以根据设定的处理策略进 行不同的处理， 例如， 当真实客户端发起的是下载请求时， 在一种情况下， 可以将扫描 之后的待传输资源继续传输给真实客户端，在另一种情况下也可以因为病毒而丢弃下载 文件， 提示真实客户端下载失败。

步骤 150、 透传随后获取到的待传输资源；

本步骤可以是预分类器将该待传输资源流直接透传给真实客户端或真实服务器， 而 无须送入代理层的相应模块进行处理。

本实施例提供了一种能够对待传输资源是否需要进行防病毒扫描进行预探测的技 术方案。 由于现有技术在代理网关处实现防病毒扫描时， 通常都需要将待扫描的文件上 传至代理层， 进行缓存， 进而对缓存的文件进行防病毒扫描， 因此缓存、 防病毒扫描过 程将占用很多上层资源和缓存空间， 如占用了很多内存资源。 本实施例的技术方案为预 分类器在资源请求获取阶段即主动进行资源预探测， 而后通过属性信息对待传输资源进 行预探测， 对于不需要进行防病毒扫描的可以直接透传， 因而既实现了防病毒功能， 又 能够提高传输效率， 减少对缓存、 扫描和上层传输资源的浪费。

现有技术通常都是在接收到待传输资源（文件）之后， 将文件上传至代理层进行缓 存， 进而对缓存的文件进行防病毒扫描， 因此缓存、 防病毒扫描过程将占用很多上层资 源和缓存空间， 如占用了很多内存资源。 本实施例的技术方案为预分类器在资源请求获 取阶段即主动进行资源预探测， 通过资源获取请求所请求获取的资源 （即待传输资源） 的属性信息对待传输资源进行预探测， 这样在后续接收到待传输资源之后， 对于不需要 进行防病毒扫描的可以直接透传而无需送入代理层进行缓存和防病毒扫描， 因而既实现 了防病毒功能， 又能够提高传输效率， 减少对缓存、 扫描和上层传输资源的浪费。

本实施例的技术方案可以适用于图 2所示的网络架构，在代理网关中增设了预分类 器， 预分类器分别与上层的代理服务端和代理客户端相连， 且在操作系统层与真实的服 务器和客户端相连， 即将预分类器安装在底层收包模块和上层的代理层之间。 在真实客 户端需要向真实服务器上传文件， 或从真实服务器下载文件之前， 预分类器可以先拦截 真实客户端的上传或下载请求，针对真实客户端需要上传或下载的待传输的文件主动探 测获取其属性信息， 对待传输的文件进行判断， 根据判断结果将需要扫描的文件传输至 代理服务端或代理客户端， 进而提供给病毒扫描缓存模块进行防病毒扫描， 不需要扫描 的文件就可以直接透传给目的端 （真实服务器或真实客户端） ， 因此能够减小上层的代 理层的工作负荷。

本实施例的技术方案也适用于图 3所示的网络架构。 实际应用中， 典型的防病毒保 护主要是针对传输给用户的文件进行防病毒扫描， 并且通常也是真实客户端向真实服务 器发出资源获取请求的情况占绝大部分。 图 3所示的代理网关， 预分类器与代理服务端 相连， 在判断出真实客户端请求的待传输资源需要扫描时， 即将后续接收到的待传输资 源通过代理服务端提供给病毒扫描缓存模块进行防病毒扫描。

实施例二

图 4为本发明实施例二提供的代理网关防病毒实现方法的流程图，本实施例具体为 真实客户端从真实服务器下载文件的情况， 包括如下步骤：

步骤 410、 真实客户端发送文件下载请求， 即资源获取请求；

步骤 420、预分类器拦截获取该下载请求， 预分类器构造并向真实服务器发送预探 测请求；

步骤 430、 预分类器接收真实服务器返回的待传输资源的属性信息；

步骤 440、预分类器根据属性信息判断待传输资源是否应该进行防病毒扫描，若是， 则执行步骤 450， 若否， 则执行步骤 460;

步骤 450、预分类器在将文件下载请求发送给真实服务器之后， 将真实服务器传输 的文件送入代理层进行缓存和防病毒扫描，而后可以按照常规的处理方式对扫描后的文 件进行处理， 通常是经代理客户端和代理服务端将扫描后的文件传输给真实客户端； 步骤 460、 预分类器将真实服务器传输的文件直接透传给真实客户端。

本实施例的技术方案在下载请求阶段即主动进行资源预探测， 而后通过属性信息 对待传输资源进行预探测， 对于不需要进行防病毒扫描的可以直接透传， 因而既实现了 防病毒功能， 又能够提高传输效率， 减少对缓存、 扫描和上层传输资源的浪费。

实施例三

图 5为本发明实施例三提供的代理网关防病毒实现方法的流程图，本实施例与实施 例二类似， 是真实客户端向真实服务器上传文件的情况， 具体包括如下步骤：

步骤 510、 真实客户端发送文件上传请求， 即资源上传请求；

步骤 520、 预分类器接收并拦截来自真实客户端的资源上传请求， 向真实客户端发 送获取待传输资源的属性信息的预探测请求，从而获取真实客户端返回的待传输资源的 属性信息；

步骤 530、 预分类器基于防病毒策略， 根据属性信息判断待传输资源是否需要进行 防病毒扫描， 若是， 则执行步骤 540， 若否， 则执行步骤 550;

步骤 540、 预分类器将随后获取到的待传输资源送入代理层进行防病毒扫描； 本步骤中， 具体可以将随后获取到的待传输资源流送入代理层的相应模块进行文件 缓存和防病毒扫描。经过防病毒扫描后的待传输资源可以根据设定的处理策略进行不同 的处理， 例如， 在一种情况下， 可以将扫描之后的资源继续传输给真实服务器， 在另一 种情况下也可以因为病毒而丢弃该文件， 提示真实客户端上传文件失败。 本次上传流程 结束；

步骤 550、 预分类器透传随后获取到的待传输资源。

本实施例的技术方案在上传请求阶段即主动进行资源预探测， 而后通过属性信息 对待传输资源进行预探测， 对于不需要进行防病毒扫描的待传输资源可以直接透传， 因 而既实现了防病毒功能， 又能够提高传输效率， 减少对缓存、 扫描和上层传输资源的浪 费。

实施例四

图 6为本发明实施例四提供的代理网关防病毒实现方法的信令流程图，本实施例可 以以实施例二为基础， 以实现超文本传输协议 （Hypertext Transfer Protocol , 简称 HTTP)数据包传输的情况为例进行说明。 本发明实施例提供的代理网关防病毒实现方法 可以包括如下步骤： 步骤 601、 真实的客户端通过代理网关的代理服务端和代理客户端向真实的服务器 发送 SYN消息；

步骤 602、 真实的服务器通过代理网关向真实的客户端返回 SYN-ACK消息； 步骤 603、 真实的客户端通过代理网关向真实的服务器返回 ACK消息；

上述步骤 601〜603 即通过代理网关完成真实的客户端与服务器之间的握手， 在此 过程中未示出代理网关转发的细节。

步骤 604、 代理网关接收到真实客户端发送的资源获取请求 （HTTP GET Request ) ， 由预分类器拦截该资源获取请求；

步骤 605〜607、 与步骤 601〜603类似， 预分类器与真实的服务器之间进行一次握 手交互 （交互 SYN、 SYN-ACK和 ACK消息） ， 向真实服务器发起一个新的连接， 从而为 发起预探测请求作出准备， 预分类器与真实服务器之间通过握手建立新的连接， 避免对 已建立的传输待传输资源的连接通道造成干扰；

步骤 608、 预分类器构建并向真实服务器发送预探测请求；

本实施例中预探测请求具体为 HTTP HEAD请求， 向真实服务器发送该 HTTP HEAD请 求， 以请求获取待传输资源的文件大小作为属性信息；

步骤 609、 服务器根据 HTTP HEAD请求， 向预分类器返回相应的响应消息； 具体的， 本实施例中的响应消息为 HTTP Response, 其中携带有待传输资源的文件 大小信息；

步骤 610、 预分类器向真实服务器发送设置有范围字段 （RANGE) 的资源获取请求 (HTTP GET with RNAGE Field) 作为预探测请求；

其中， 范围字段用于指示获取待传输资源中设定范围的字节， 以该设定范围的字节 中携带的信息作为属性信息。

具体应用中， 可以设置为获取待传输资源的前 64个字节， 通常， 文件的前 64个字 节对应的是待获取文件的文件类型， 对于基于 HTTP协议的文件传输， 可以通过构造一 个带 "Range"字段的 HTTP GET with RNAGE Field请求来获得待传输文件的相关信息。

步骤 611、 服务器根据 HTTP GET with RNAGE Field请求， 向预分类器返回相应的 响应消息， 即 HTTP Response, 其中携带有设定范围字节的信息；

上述 HTTP HEAD请求和设置 "Range"字段的资源获取请求 （HTTP GET with RNAGE Field) 均可作为预探测请求， 预探测请求可以利用自定义消息获取需要的属性信息， 也可以利用协议中的已有消息经一次或多次获取需要的属性信息。 需要说明的是， 上述步骤 608和 609， 以及步骤 610和 611是分别获取属性信息的 两种方式， 在具体应用中， 既可以同时采用， 也可以只采用其中一种， 两种获取属性信 息的方式的执行顺序不限。

步骤 612、预分类器向真实服务器发送结束探测会话消息，具体可以是 RESET消息； 步骤 613、 预分类器基于防病毒策略， 根据属性信息判断待传输资源是否需要进行 防病毒扫描， 若否， 则执行步骤 614， 若是， 则执行步骤 616;

步骤 614、 预分类器在操作系统层将真实客户端发送的资源获取请求不经过代理层 和防病毒扫描， 直接透传至真实服务器， 进入步骤 615;

具体的， 透传的实现方式之一可以是将传输控制协议 （Transmission Control Protocol , 简称 TCP)流置为不需要进行 AV扫描的标志， 后续该条数据流的所有报文将 不会送到代理层， 直接在收包模块透传给目标， 即真实的客户端或服务器。

步骤 615、 预分类器在操作系统层将真实服务器返回的响应 （HTTP Response ), 即 待传输资源的数据流不经过代理层和防病毒扫描， 直接透传至客户端。

其中， 资源获取请求及随后传输的资源在建立的同一个数据流中传输， 该数据流可 以用数据流的诸如目的地址、 目的端口等五元组来标识。

步骤 616、 预分类器在操作系统层将真实客户端发送的资源获取请求经过代理服务 端提供至病毒扫描缓存模块进行防病毒扫描， 进入步骤 617;

步骤 617、 扫描后的资源获取请求经代理客户端向真实服务器发送， 进入步骤 618; 步骤 618、 真实服务器返回响应 （HTTP Response )给代理客户端， 从而将待传输资 源的数据流提供给病毒扫描缓存模块进行防病毒扫描， 进入步骤 619;

步骤 619、 代理服务端将扫描后的资源发送给真实客户端。

由于每个待传输资源的流可能有多个数据包， 所以可以分为多次响应， 将各个数据 包分别进行传输， 此时， 可以执行多次步骤 618和 619。

在本实施例中，预分类器可以将随后获取到的待传输资源传输至代理层进行缓存并 进行防病毒扫描。 用于判断是否需扫描的属性信息包括但是不限于为文件大小、 文件类 型、 文件名和 /或文件作者等。 对于现有的 HTTP数据包， 通常只要求获取待传输资源的 前 64个字节即可获知文件类型。

具体的防病毒策略可以根据需要进行设定。 例如基于防病毒策略， 根据属性信息判 断待传输资源是否需要进行防病毒扫描的操作可以包括下述几种方式：

在一种情况下， 可以根据属性信息中的文件大小判断该待传输资源的大小是否大于 设定门限值， 以确定是否需要进行防病毒扫描。 具体的， 由于代理网关的缓存空间通常 有限， 所以对于过大的文件无法进行缓存和扫描， 可以直接进行透传。

在另一种情况下，还可以根据属性信息中的文件类型判断待传输资源的类型是否属 于设定类型来确定是否需要对待传输资源进行防病毒扫描。对于哪些文件类型需要进行 扫描可以由用户来设定， 例如对于文档类的： *. txt、 *. doc等即可以设置为无须扫描的 类型。

另外，还可以根据属性信息中的文件名（或文件作者）判断待传输资源的文件名（或 文件作者） 是否与预定字段 （如关键字） 匹配， 以确定是否需要进行防病毒扫描。 具体 地， 当待传输资源的文件名或文件作者与预定字段匹配时， 确定需要进行防病毒扫描； 或者， 当待传输资源的文件名或文件作者与预定字段匹配时， 确定不需要进行防病毒扫 描而直接透传。 例如：

* 文件名中包含有 "免费"二字的文件需要进行防病毒扫描；

*文件作者为空的文件需要进行防病毒扫描；

*文件作者为 "Microsoft "或者其他认为可信的作者的文件不需要进行防扫描。 需要说明的是，待传输资源的属性信息和防病毒策略的具体内容包括但不限于上述 几种。 例如， 还可以通过探测待传输资源的前部数个字节、 中部数个字节、 后部数个字 节等，进行哈希运算，与预设的匹配表进行匹配来判断是否需要对待传输资源进行扫描。

此外， 还需要说明的是， 本发明实施例中的病毒扫描方式并不限于通过在代理网关 本地的病毒扫描缓存模块进行防病毒扫描，还可以将随后获取到的待传输资源发送至防 病毒服务器进行防病毒扫描。

上述技术方案也并不限于 HTTP协议， 还可以适用于多种网络协议， 并可以利用各 种协议已有的消息来进行属性信息预探测。 例如， 对于文件传输协议 （Fi le Transfer Protocol , 简称 FTP), 可以发送 SIZE命令来请求获取待传输资源的文件大小。

本发明实施例的技术方案通过对待传输资源进行预探测， 识别是否需要进行防病毒 扫描， 从而将大部分不需要进行防病毒扫描的流量直接透传。 从而降低了代理网关的资 源压力， 在不损失安全性的前提下保证了防病毒代理网关的传输性能， 提高了用户上网 的体验。

实施例五

图 7为本发明实施例五提供的预分类器的结构示意图， 该预分类器包括： 探测获取 模块 50、 属性获取模块 10、 策略判断模块 20、 扫描发起模块 30和透传发起模块 40。 其中：

探测获取模块 50，用于接收资源获取请求，并根据资源获取请求向待传输资源所在 的网元发送预探测请求；

具体的， 资源获取请求可以是来自真实客户端的下载请求或上传请求， 也可以是真 实服务器向真实客户端获取资源的相关请求。在基于不同的协议进行资源传输时， 对应 的可以利用协议中的已有消息作为预探测请求，例如待传输资源包括基于超文本传输协 议的文件时， 预探测请求可以包括设置有范围字段的资源获取请求， 该范围字段用于指 示获取待传输资源中设定范围的字节。

这样， 探测获取模块 50可以包括： 接收单元， 用于接收来自真实客户端的下载请求 或上传请求作为所述资源获取请求； 和 /或接收来自真实服务器的请求真实客户端传输 数据的请求作为所述资源获取请求； 发送单元， 用于根据所述接收模块接收到的所述资 源获取请求， 向所述待传输资源所在的网元发送预探测请求。

属性获取模块 10，用于接收网元返回的待传输资源的属性信息； 按照不同的防病毒 策略以及预探测的需求， 待传输资源的属性信息可以包括文件大小、 文件类型、 文件名 和 /或文件作者等信息。

策略判断模块 20，用于基于防病毒策略，根据属性信息判断待传输资源是否需要进 行防病毒扫描；

按照判断方式的不同， 策略判断模块 20可以具备不同的结构， 优选的是， 策略判 断模块 20包括本地判断单元 21和 /或外部判断单元 22， 其中：

本地判断单元 21， 用于基于本地存储的防病毒策略， 根据属性信息判断待传输资 源是否需要进行防病毒扫描， 即预探测后的判断过程由预分类器自行完成。

外部判断单元 22， 用于将属性信息发送至外部服务器， 以指示外部服务器基于防病 毒策略， 根据属性信息判断待传输资源是否需要进行防病毒扫描并返回判断结果。 该方式 即预分类器借助于外部服务器的判断功能来获取判断结果。

实际应用中， 本地判断单元 21和外部判断单元 22可以只具有一个， 也可以同时 存在、 结合使用， 按照预探测情况需要设定即可。

对于策略判断模块 20，根据不同的属性信息和防病毒策略，可以执行不同的判断操 作，例如，可以根据属性信息中的文件大小判断待传输资源的大小是否大于设定门限值， 以确定是否需要进行防病毒扫描； 和 /或， 还可以根据属性信息中的文件类型判断待传 输资源的类型是否属于设定类型， 以确定是否需要进行防病毒扫描。 具体地， 当所述属性信息中的文件大小指示所述待传输资源的大小大于设定门限值 时， 策略判断模块 20确定该待传输资源需要进行防病毒扫描； 当所述属性信息中的文 件类型指示所述待传输资源的类型属于设定类型时， 策略判断模块 20确定该待传输资 源需要进行防病毒扫描。

扫描发起模块 30， 用于当策略判断模块 20判断出需要进行防病毒扫描时， 则将随 后获取到的待传输资源进行防病毒扫描；

具体可以将随后获取到的待传输资源传输至代理层进行缓存并进行防病毒扫描， 或者也可以是提供给其他防病毒服务器进行防病毒扫描， 再获取扫描结果。 根据扫描结 果， 没有病毒的文件可以进行传输， 若有病毒或其他问题的则将文件丢弃。

透传发起模块 40， 用于当策略判断模块 20判断出不需要进行防病毒扫描时， 则透 传随后获取到的待传输资源。

本实施例提供了一种能够对待传输资源是否需要进行防病毒扫描进行预探测的技 术方案。本实施例的技术方案通过在资源请求获取阶段主动发送预探测请求来获取属性 信息， 再根据属性信息对待传输资源进行预探测， 对于不需要进行防病毒扫描的可以直 接透传， 因而既实现了防病毒功能， 又能够提高传输效率， 减少对缓存、 扫描和上层传 输资源的浪费。

上述技术方案尤其适用于用户发起资源获取的这种常见情况， 能够增强对用户获取 资源的防病毒保护。

本发明实施例所提供的预分类器可以设置在代理网关中， 具体可以执行本发明实施 例所提供代理网关防病毒实现方法， 具备相应的功能模块， 能够提高代理网关的传输效 率， 减少资源浪费。

本发明实施例还提供一种代理网关， 包括代理客户端、 代理服务端和病毒扫描缓存 模块，病毒扫描缓存模块可设置在代理客户端和代理服务端之间，用于实现防病毒扫描。 该代理网关还包括本发明任意实施例所提供的预分类器； 该预分类器设置在代理客户端 和代理服务端的下层， 当策略判断模块判断出需要进行防病毒扫描时， 则将随后获取到 的待传输资源经代理客户端或代理服务端提供给病毒扫描缓存模块进行防病毒扫描。

本发明实施例所提供的代理网关能够减少代理层的工作负荷， 减少资源浪费， 进而 加速代理网关的数据传输。

需要说明的是， 对于前述的各方法实施例， 为了简单描述， 故将其都表述为一系列 的动作组合， 但是本领域技术人员应该知悉， 本发明并不受所描述的动作顺序的限制， 因为依据本发明， 某些步骤可以采用其他顺序或者同时进行。 其次， 本领域技术人员也 应该知悉， 说明书中所描述的实施例均属于优选实施例， 所涉及的动作和模块并不一定 是本发明所必须的。

在上述实施例中，对各个实施例的描述都各有侧重，某个实施例中没有详述的部分， 可以参见其他实施例的相关描述。

本领域普通技术人员可以理解： 实现上述方法实施例的全部或部分步骤可以通过程 序指令相关的硬件来完成， 前述的程序可以存储于一计算机可读取存储介质中， 该程序 在执行时， 执行包括上述方法实施例的步骤； 而前述的存储介质包括： R0M、 RAM, 磁碟 或者光盘等各种可以存储程序代码的介质。 最后应说明的是： 以上实施例仅用以说明本发明的技术方案， 而非对其限制； 尽管 参照前述实施例对本发明进行了详细的说明， 本领域的普通技术人员应当理解： 其依然 可以对前述各实施例所记载的技术方案进行修改， 或者对其中部分技术特征进行等同替 换； 而这些修改或者替换， 并不使相应技术方案的本质脱离本发明各实施例技术方案的 精神和范围。

Claims

权利要求

1、 一种代理网关防病毒实现方法， 其特征在于， 包括：

接收请求获取待传输资源的资源获取请求；

根据所述资源获取请求向所述待传输资源所在的网元发送预探测请求， 以获取所述 待传输资源的属性信息；

基于防病毒策略， 根据所述属性信息判断所述待传输资源是否需要进行防病毒扫 描， 若是， 则将随后获取到的所述待传输资源进行防病毒扫描， 若否， 则透传随后获取 到的所述待传输资源。

2、 根据权利要求 1所述的方法， 其特征在于， 所述接收请求获取待传输资源的资源 获取请求包括：

接收来自真实客户端的下载请求或上传请求作为所述资源获取请求。

3、 根据权利要求 1或 2所述的方法， 其特征在于， 所述基于防病毒策略， 根据所述 属性信息判断所述待传输资源是否需要进行防病毒扫描包括：

根据所述属性信息中的文件大小判断所述待传输资源的大小是否大于设定门限值， 以确定是否需要进行防病毒扫描； 和 /或

根据所述属性信息中的文件类型判断所述待传输资源的类型是否属于设定类型， 以 确定是否需要进行防病毒扫描。

4、 根据权利要求 1或 2所述的方法， 其特征在于， 将随后获取到的所述待传输资源 进行防病毒扫描包括：

将随后获取到的所述待传输资源传输至所述代理网关的代理层进行缓存并进行防病毒 扫描。

5、 根据权利要求 1或 2所述的方法， 其特征在于， 基于防病毒策略， 根据所述属性 信息判断所述待传输资源是否需要进行防病毒扫描包括：

基于本地存储的防病毒策略， 根据所述属性信息判断所述待传输资源是否需要进 行防病毒扫描； 或

将所述属性信息发送至外部服务器， 以指示所述外部服务器基于防病毒策略， 根 据所述属性信息判断所述待传输资源是否需要进行防病毒扫描并返回判断结果。

6、 根据权利要求 1或 2所述的方法， 其特征在于： 所述待传输资源包括基于超文本 传输协议的文件， 所述预探测请求包括设置有范围字段的资源获取请求， 所述范围字段 用于指示获取所述待传输资源中设定范围的字节。

7、 根据权利要求 1或 2所述的方法， 其特征在于： 所述待传输资源的属性信息包括 文件大小、 文件类型、 文件名和 /或文件作者。

8、 根据权利要求 1或 2所述的方法， 其特征在于， 所述基于防病毒策略， 根据所述 属性信息判断所述待传输资源是否需要进行防病毒扫描包括：

根据所述属性信息中的文件名判断所述待传输资源的文件名是否与预定关键字匹 配， 以确定是否需要进行防病毒扫描； 和 /或

根据所述属性信息中的文件作者判断所述待传输资源的文件作者是否与预定关键 字匹配， 以确定是否需要进行防病毒扫描。

9、 一种预分类器， 其特征在于， 包括：

探测获取模块， 用于接收请求获取待传输资源的资源获取请求， 并根据所述资源获 取请求向所述待传输资源所在的网元发送预探测请求；

属性获取模块，用于接收所述网元根据所述预探测请求返回的所述待传输资源的属 性信息；

策略判断模块， 用于基于防病毒策略， 根据所述属性信息判断所述待传输资源是否 需要进行防病毒扫描；

扫描发起模块， 用于当所述策略判断模块判断出需要进行防病毒扫描时， 则将随后 获取到的所述待传输资源进行防病毒扫描；

透传发起模块， 用于当所述策略判断模块判断出不需要进行防病毒扫描时， 则透传 随后获取到的所述待传输资源。

10、 根据权利要求 9所述的预分类器， 其特征在于， 所述探测获取模块包括： 接收单元， 用于接收来自真实客户端的下载请求或上传请求作为所述资源获取请 求； 和 /或接收来自真实服务器的请求真实客户端传输数据的请求作为所述资源获取请 求；

发送单元， 用于根据所述接收模块接收到的所述资源获取请求， 向所述待传输资源 所在的网元发送预探测请求。

11、 根据权利要求 9或 10所述的预分类器， 其特征在于， 所述策略判断模块具体用 于根据以下至少之一来确定是否需要进行防病毒扫描： 所述属性信息中的文件大小判断 所述待传输资源的大小是否大于设定门限值； 所述属性信息中的文件类型判断所述待传 输资源的类型是否属于设定类型； 所述属性信息中的文件名判断所述待传输资源的文件 名是否与预定关键字匹配； 所述属性信息中的文件作者判断所述待传输资源的文件作者 是否与预定关键字匹配。

12、 根据权利要求 9或 10所述的预分类器， 其特征在于， 所述扫描发起模块具体用 于将随后获取到的所述待传输资源传输至代理网关的代理层进行缓存并进行防病毒扫 描。

13、 根据权利要求 9所述的预分类器， 其特征在于， 所述策略判断模块包括： 本地判断单元， 用于基于本地存储的防病毒策略， 根据所述属性信息判断所述待 传输资源是否需要进行防病毒扫描； 和 /或

外部判断单元， 用于将所述属性信息发送至外部服务器， 以指示所述外部服务器 基于防病毒策略，根据所述属性信息判断所述待传输资源是否需要进行防病毒扫描并返 回判断结果。

14、 根据权利要求 9或 10所述的预分类器， 其特征在于： 所述待传输资源包括基于 超文本传输协议的文件， 所述预探测请求包括设置有范围字段的资源获取请求， 所述范 围字段用于指示获取所述待传输资源中设定范围的字节。

15、 一种代理网关， 包括代理客户端、 代理服务端和病毒扫描缓存模块， 其特征在 于： 还包括权利要求 9至 14中任一项所述的预分类器； 所述预分类器设置在所述代理客 户端和代理服务端的下层。