专利名称:网关病毒检测方法、装置及系统的制作方法
技术领域:
本发明涉及病毒检测技术,特别是一种网关病毒检测方法、装置及系统。
背景技术:
断点续传是文件上传或下载的一项技术,客户端软件在上传或下载任务, 如一个文件或一个压缩包时,通过将任务划分成几个部分,且每一个部分采 用一个线程进行上传或下载,如果碰到网络故障时,客户端软件可从前次上 传或下载的基础上下载未完成的部分,而不需要从头重新下载,可以有效提 高上传或下载文件的速度,节省上传或下载时间,为用户提供了极大地方便。
同时,现有网络应用中, 一般在客户端和服务器之间设置网关,客户端 可通过网关访问服务器,而且,由于现有计算机病毒发展较快,为保证网络 的安全性,需要在网关侧进行病毒的扫描和检测。目前的统一威胁管理
(Unified Treat Management, UTM)网关病毒4企测中,网关通过对经过流文 件的数据包进行入4曼防雄卩系统(Instrustion Prevention System, IPS)协 议解析、文件还原、调用防病毒引擎,对文件进行病毒检测,由于病毒一般 是存在于整个文件的各部分中,在进行病毒检测时需要对网络中传播的文件 进行提取和还原,获得完整的文件后进行病毒扫描。目前,非断点续传中文 件的上传或下载是建立在一个会话上进行,UTM网关病毒检测时,UTM网关只 需要管理客户端和服务器之间的会话,即可实现整个文件的提取和还原,完 整对待下载文件的病毒检测。但是,对于断点续传中文件的下载,其要下载 的文件是分成多个部分下载,下载过程是建立在多个会话基础上进行,此时, UTM网关病毒检测时只能提取每个会话对应的文件的一部分并对其进行病毒检测,由于病毒存在与文件的各部分中,对文件的一部分进4亍检测并不能有 效地检测到病毒。
术中UTM网关无法实现对采用断点续传文件的病毒检测。
发明内容
本发明的目的是提供一种网关病毒检测方法、装置及系统,可在网关设 备中实现对采用断点续传文件的病毒的检测,提高网络中文件传输的安全性 和可靠性。
为实现上述目的,本发明实施例提供了一种网关病毒检测方法,包括 获取接收到的报文请求信息中的断点请求信息;
删除所述报文请求信息中的断点请求信息,并将删除所述断点请求信息 的报文请求信息作为新请求信息转发;
对根据所述新请求信息返回的文件进行病毒检测。
本发明实施例提供了一种网关病毒检测装置,包括
获取模块,用于获取接收到的报文请求信息中的断点请求信息;
转发模块,用于删除所述报文请求信息中的断点请求信息,并将删除所 述断点请求信息的报文请求信息作为新请求信息转发;
病毒检测模块,用于对根据所述新请求信息返回的文件进行病毒检测。
本发明实施例提供了一种网关病毒检测系统,包括
客户端,用于发起文件的报文请求信息,所述报文请求信息包含断点请 求信息;
网关病毒检测装置,用于获取所述客户端发送的断点请求信息,删除所 述报文请求信息中的断点请求信息,并将删除所述断点请求信息的报文请求 信息作为新请求信息转发至服务器;
所述服务器,才艮据接收到的所述新请求信息相应完整的文件。本发明实施例可在网关设备上实现对采用断点续传文件的病毒检测,提 高网络中文件传输的安全性和可靠性。
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对 实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地, 下面描述中的附图仅仅是本发明的 一些实施例,对于本领域普通技术人员 来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的 附图。
图1为全代理网关的总体框架示意图; 图2为本发明网关病毒检测方法实施例一的流程示意图; 图3为本发明网关病毒检测方法实施例二的流程示意图; 图4为本发明网关病毒检测方法实施例三的流程示意图; 图5为本发明网关病毒检测装置实施例的结构示意图; 图6为本发明网关病毒^r测系统实施例的结构示意图。
具体实施例方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进 行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例, 而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没 有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的 范围。
本发明实施例可应用于网关的病毒检测,其可对采用断点续传的文件在 网关设备侧进行病毒的扫描和检测,提高文件上传或下载的安全性,有效阻 止病毒文件的传播,本发明实施例可应用于全代理网关中对断点续传文件进 行病毒扫描。为对本发明实施例有更好的理解,下面对全代理网关进行说明。图1为 全代理网关的总体框架示意图。客户端和服务器之间的各种报文信息均通过 全代理网关进行,当客户端向服务器发送报文时,首先发送至全代理网关,
全代理,并由客户端全代理将适配后的报文转发给服务器全代理,并由服务 器全代理将其通过代理适配层转发给服务器,同样地,服务器返回给客户端 的响应报文,也是通过全代理网关将响应报文传输至客户端。这样,客户端
测,保证网络的安全性。
对于正常的HTTP业务,上述的全代理网关可以对经过HTTP传输的文件 进行协议分析和文件提取。客户端可釆用断点续传和非断点续传请求下载文 件,其中,断点续传请求和非断点续传请求的不同之处在于,断点续传中含 有区间(Range )字段且range字段中包含下载的部分文件的起始位置,该range 字段即为get请求信息中标识所请求的部分文件的字段信息,标识文件从某 一起始字节,如19589120字节,开始传输;而服务器使用的回应码为206状 态值,标识文件为部分传输,即,206状态值表示传输的内容为文件的部分内 容,而不是整个完整的文件内容。当客户端发起多个断点续传请求后,其从 服务器端接收到响应报文后即可根据响应的Content-Range: bytes 19589120-48974824/48974825 (单位默认为字节)字段的偏移位置开始拼装 文件,实现文件的断点多点下载。
图2为本发明网关病毒检测方法实施例一的流程示意图。如图2所示, 该方法包括
步骤101、获取接收到的报文请求信息中的断点请求信息; 步骤102、删除所述"J艮文请求信息中的断点请求信息,将删除所述断点请 求信息的报文请求信息作为新请求信息,转发所述新请求信息; 步骤103、对根据所述新请求信息返回的文件进行病毒检测。
7本发明实施例中,可应用于UTM网关处理断点续传的文件的下载请求处 理中,当接收到客户端发送来的断点续传请求的报文请求信息时,可将所述 报文请求信息中的断点请求信息删除,并转发给服务器,向服务器请求下载 完整的报文,这样,服务器返回的响应报文是对应于所述报文请求信息的完 整的文件,因此,UTM网关可提取服务器返回的完整文件,对其进行病毒的扫 描和检测,当检测到文件是无病毒文件后,转发给客户端。其中,网关对病 毒的检测过程与现有技术相同或类似,在此不再赘述。
本发明实施例通过将客户端发送来的采用断点续传的报文请求中的断点 请求信息进行删除,并将删除后的报文请求信息转发给服务器,直接向服务 器请求下载完整的报文,并对下载的完整的报文进行病毒检测,无^^r测到病 毒后,再将文件转发给客户端,可以有效保证文件下载的安全性和可靠性, 实现对采用断点续传文件在网关设备侧进行病毒检测,可有效保证网络的安 全性和可靠性。
图3为本发明网关病毒4企测方法实施例二的流程示意图。如图3所示, 该方法包4舌
步骤201、客户端发起含Range字段的Get请求信息,并发送至UTM网关。
具体地,当客户端本地含有一个不完整的文件,如完整文件大小为20M, 实际已完成下载10M时,可向服务器发起含Range字段的Get请求信息,请 求从文件的第19589120字节开始下载文件资源,继续下载未完成的文件。
步骤202、 UTM网关对接收到的Get请求信息中的Range字段进行删除, 获得不含Range字段的新Get请求信息。
当UTM网关"Mr收到Get _清求信息后,可将Get _清求信息中的Range: types^9589120-移除,获得新Get请求信息,该新Get请求信息表示向服务 器请求下载完整的文件。
步骤203、 UTM网关将删除Range字段的新Get请求信息转发至服务器, 请求下载完整文件。步骤204、服务器根据接收到的新Get请求信息,向UTM回应完整的文件。 具体地,服务器可根据不含Range字段的新Get请求信息,向UTM网关
回应完整的文件资源。
步骤205、 UTM网关提取完整的文件,并对所述完整的文件进行病毒扫描
和检观'J 。
步骤206、 UTM网关判断文件是否含有病毒,即文件是病毒文件时,则将
文件作为病毒文件进行处理,结束,否则执行步骤207。
其中,将文件作为病毒文件进行处理包括向客户端发送病毒警告信息,
告知客户端下载的文件为病毒文件;或者停止文件的转发。 步骤207、 UTM网关将不含病毒的文件转发给客户端。 步骤208、客户端可对接收到的文件进行合并、拼装,获得完整的文件。 具体地,客户端可根据自身文件的下载的需要,接收UTM网关转发过来
的文件的部分内容,并与接收的其它部分文件进行合并及拼装,获得完整的文件。
图4为本发明网关病毒检测方法实施例三的流程示意图。具体地,如图4 所示,该病毒检测方法包括
步骤301、客户端发起对一个资源文件的Get请求信息,并发送至UTM网关。
步骤302、 UTM网关对接收到的客户端的Get请求信息进行解析,将含有 Range字段,且Range字段的起始位置为0的请求信息中的Range字段删除, 获得不含Range字段的新Get请求信息。
由于一个新资源文件的下载请求信息中, 一般均包括携带有起始位置为0 的Range字段的Get请求信息,因此,本步骤中可只对Range字段中起始位 置为0的请求信息进行删除。
步骤303、 UTM网关将不含Range字段的新Get请求信息转发给服务器, 向服务器请求下载完整的文件。步骤304、服务器根据接收到的不含Range字段的新Get请求信息回应完 整的文件到UTM网关。
步骤305、 UTM网关提取服务器回应的完整文件,对该完整文件进行病毒 扫描和4企测。
步骤306、 UTM网关判断该文件是否感染有病毒,即文件是病毒文件时, 则将文件作为病毒文件进行处理,结束,否则执行步骤307。
其中,将文件作为病毒文件进行处理包括向客户端发送病毒警告信息, 告知客户端下载的文件为病毒文件;或者停止文件的转发。
步骤307、 UTM网关将不含病毒的文件转发给客户端。
步骤308、客户端发起多个带有Range字段的Get请求信息,进行断点下 载请求。
步骤309、 UTM将接收到的多个带有Range字段的Get请求信息分别转发 给服务器。
步骤310、服务器响应上述多个带有Range字段的Get请求信息,并返回 相应的报文给UTM网关。
步骤311、 UTM网关将服务器返回的多个报文转发给客户端。 步骤312、客户端对接收到的报文进行合并、拼装,获得完整的文件。 本发明实施例可应用于使用HTTP协议的任务下载中,当客户端在下载一 资源文件时,UTM网关可首先将含有Range字段且Range字段的起始位置为0 的Get请求信息中的Range字段删除,转发给服务器,向服务器请求下载完 整的文件,并对服务器返回的完整文件进行病毒^r测,将经过病毒检测的文 件转发给客户端。这样,UTM网关在文件下载中,只需要对首次下载时进行一 次病毒检测,后续的下载即可按照正常的断点请求下载,在保证文件下载安 全性的同时,可有效保证文件下载的效率。
图5为本发明网关病毒检测装置实施例的结构示意图。如图5所示,该 病毒检测装置包括获取模块l、转发模块2和病毒检测模块3,其中,获取模块1,用于获取接收到的报文请求信息中的断点请求信息;
转发模块2,用于删除所述报文请求信息中的断点请求信息,将删除所述 断点请求信息的报文请求信息作为新请求信息,转发所述新请求信息;
病毒检测模块3,用于对根据所述新请求信息返回的文件进行病毒检测。
本发明实施例中还可包括文件处理模块4,用于当检测得到所述文件是病 毒文件时,则将所述文件作为病毒文件进行处理,否则,转发所述文件。其 中,所述文件是病毒文件时,所述文件处理冲莫块4可用于向客户端发送病毒 警告信息或停止所述文件的转发。
本发明实施例中可对采用断点续传下载文件中的Get请求信息进行处理, 将Get请求信息中的Range字段删除后再转发给服务器,使得服务器返回的 均是完整的文件,同时,可对服务器返回的完整的文件进行病毒扫描和检测, 实现对断点续传中文件的病毒检测,保证下载文件的安全性和可靠性,提高 网络传输文件的安全性。具体地,本发明实施例可通过上述本发明网关病毒 检测方法实施例所提供的步骤对断点续传中的文件进行处理,可有效保证网 络传输文件的安全性和可靠性。
此外,本发明实施例中也可只对文件的首次下载时,对Range字段中起 始位置为Q的Get请求信息进行删除,向服务器请求下载完整的文件,并对 服务器返回的完整的文件进行病毒扫描和检测,若文件不含病毒时,即可对 其它起始位置不为0的Range字段的Get请求信息按正常的断点请求下载, 在保证下载文件安全性的同时,可有效保证文件下载的速度,减少下载时间。
图6为本发明网关病毒^r测系统实施例的结构示意图。具体地,如图6 所示,该系统包括客户端IO、网关病毒检测装置20和服务器30,其中,
客户端10,用于发起文件的报文请求信息,所述报文请求信息包含断点 请求信息;
网关病毒;^测装置20,用于获取客户端IO发送 断点请求信息,删除所 述报文请求信息中的断点请求信息,将删除所述断点请求信息的报文请求信息作为新请求信息,并将所述新请求信息转发至服务器;
服务器30,根据接收到的所述新请求信息相应完整的文件。 本发明实施例中的网关病毒检测装置20可与上述本发明网关病毒检测装 置具有相同的结构和功能,在此不再赘述。
本发明实施例可实现对釆用断点续传的文件在网关病毒^r测装置进行病 毒检测,可有效保证文件下载的安全性和可靠性。
本领域普通4支术人员可以理解实现上述实施例方法中的全部或部分流 程,是可以通过计算机程序来指令相关的硬件来完成,所述的程序可存储于 计算机可读取存储介质中,该程序在执行时,可包括如上述各方法的实施例 的流程。其中,所述的存储介质可为磁碟、光盘、只读存储记忆体(Read-Only Memory, ROM)或随才几存J渚i己十乙体(Random Access Memory, RAM)等。
最后应说明的是以上实施例仅用以说明本发明的技术方案而非对其进 行限制,尽管参照较佳实施例对本发明进行了详细的说明,本领域的普通技 术人员应当理解其依然可以对本发明的技术方案进行修改或者等同替换, 而这些修改或者等同替换亦不能使修改后的技术方案脱离本发明技术方案的 精神和范围。
权利要求
1、一种网关病毒检测方法,其特征在于,包括获取接收到的报文请求信息中的断点请求信息;删除所述报文请求信息中的断点请求信息,并将删除所述断点请求信息的报文请求信息作为新请求信息转发;对根据所述新请求信息返回的文件进行病毒检测。
2、 根据权利要求l所述的网关病毒检测方法,其特征在于,所述获取接 收到的报文请求信息中的断点请求信息包括解析接收到的报文请求信息,获取所述报文请求信息中作为断点请求信 息的区间字段,所述区间字段为所述请求信息中标识所请求的部分文件的字 段信息。
3、 根据权利要求2所述的网关病毒检测方法,其特征在于,所述删除所 述报文请求信息中的断点请求信息,并将删除所述断点请求信息的报文请求 信息作为新请求信息包括删除所述报文请求信息中起始位置为0的区间字段,并将不含所述区间 字段的报文请求信息作为所述新请求信息。
4、 根据权利要求2所述的网关病毒检测方法,其特征在于,所述删除所 述报文请求信息中的断点请求信息,并将删除所述断点请求信息的报文请求 信息作为新请求信息包括删除所述报文请求信息中的区间字段,将不含所述区间字段的报文请求 信息作为所述新请求信息。
5、 根据权利要求l所述的网关病毒检测方法,其特征在于,还包括当检测得到所述文件是病毒文件时,则将所述文件作为病毒文件进行处 理,否则,转发所述文件。
6、 根据权利要求5所述的网关病毒检测方法,其特征在于,所述将所述文件作为病毒文件进行处理包括向客户端发送病毒警告信息或停止所述文件的转发。
7、 一种网关病毒检测装置,其特征在于,包括获取模块,用于获取接收到的报文请求信息中的断点请求信息; 转发模块,用于删除所述报文请求信息中的断点请求信息,并将删除所 述断点请求信息的报文请求信息作为新请求信息转发;病毒检测模块,用于对根据所述新请求信息返回的文件进行病毒检测。
8、 根据权利要求7所述的网关病毒检测装置,其特征在于,还包括 文件处理模块,用于当检测得到所述文件是病毒文件时,则将所述文件作为病毒文件进行处理,否则,转发所述文件。
9、 根据权利要求8所述的网关病毒检测装置,其特征在于,所述文件是 病毒文件时,所述文件处理模块将所述文件作为病毒文件进行处理包括向 客户端发送病毒警告信息或停止所述文件的转发。
10、 一种网关病毒检测系统,其特征在于,包括客户端,用于发起文件的报文请求信息,所述报文请求信息包含断点请 求信息;网关病毒检测装置,用于获取所述客户端发送的断点请求信息,删除所 述报文请求信息中的断点请求信息,并将删除所述断点请求信息的报文请求 信息作为新请求信息转发至服务器;所述服务器,才艮据接收到的所述新请求信息响应完整的文件。
全文摘要
本发明实施例提供了一种网关病毒检测方法、装置及系统。该方法包括获得接收到的报文请求信息中的断点请求信息;删除所述报文请求信息中的断点请求信息,并将删除所述断点请求信息的报文请求信息作为新请求信息转发;对根据所述新请求信息返回的文件进行病毒检测。该装置包括获取模块、转发模块和病毒检测模块。本发明实施例可有效对采用断点续传中文件在网关设备进行病毒检测,提高网络中文件传输的安全性和可靠性。
文档编号H04L12/26GK101626319SQ20091009025
公开日2010年1月13日 申请日期2009年8月3日 优先权日2009年8月3日
发明者陈立健 申请人:成都市华为赛门铁克科技有限公司