专利名称:病毒检测方法、装置和网关设备的制作方法
技术领域:
本发明涉及通信技术领域,尤其涉及一种病毒检测方法、装置和网关设备。
背景技术:
随着网络的迅速发展,越来越多的电脑病毒通过网络进行传播。对于这些病毒,尤 其是近几年流行的网络蠕虫病毒,必须在网关处进行病毒扫描并过滤掉病毒,才能有效阻 止病毒进入内网传播。由此网关防病毒已经成为未来防病毒体系中的重要举措之一。
目前在网关处进行病毒扫描的文件一般是基于以下应用协议HTTP、 FTP、 SMTP、 P0P3或IMAP等。现有的网关防病毒的方法一般是首先提取文件,然后将文件提交给病毒 扫描引擎进行扫描,而在提取某个待检测文件时,需要缓存待检测的整个文件,然后遍历病 毒特征库中所有的病毒特征。 发明人发现,由于需要缓存整个文件,并遍历数量庞大的病毒特征,由此导致现有 网关防病毒方法的扫描性能低,为提高扫描性能,现有技术提供了硬件加速技术,通过该硬 件加速技术可以提高网关防病毒方法的扫描性能,但是硬件加速技术的成本较高。
发明内容
本发明实施例提供一种病毒检测方法、装置和网关设备,用以提高网关防病毒方 法的扫描性能,且成本较低。 本发明实施例提供一种病毒检测方法,该方法包括 获取应用协议的待检测属性信息,其中所述应用协议用于承载待检测文件;
根据所述待检测属性信息,在当前的属性信息库中进行查找以判断所述待检测文 件是否为病毒文件;所述属性信息库包括可疑属性信息库或可信属性信息库;其中,所述 可疑属性信息库中包括多个可疑属性信息,所述可疑属性信息为用于承载病毒文件的应用 协议的属性信息;所述可信属性信息库中包括多个可信属性信息,所述可信属性信息为用 于承载安全文件的应用协议的属性信息; 当所述属性信息库为可疑属性信息库时,若在所述可疑属性信息库中查找到与所 述待检测属性信息相同的可疑属性信息,则判断所述应用协议承载的所述待检测文件为病 毒文件; 当所述属性信息库为可信属性信息库时,若在所述可信属性信息库中查找到与所 述待检测属性信息相同的可信属性信息,则判断所述应用协议承载的所述待检测文件为安 全文件。 本发明实施例提供一种病毒检测装置,该装置包括 第一获取模块,用于获取应用协议的待检测属性信息,其中所述应用协议用于承 载待检测文件; 第一查找模块,用于根据所述第一获取模块获取的所述待检测属性信息,在当前 的属性信息库中进行查找以判断所述待检测文件是否为病毒文件;所述属性信息库包括可疑属性信息库或可信属性信息库;其中,所述可疑属性信息库中包括多个可疑属性信息,所 述可疑属性信息为用于承载病毒库中的病毒文件的应用协议的属性信息;所述可信属性信 息库中包括多个可信属性信息,所述可信属性信息为用于承载安全文件的应用协议的属性 信息; 第一判断模块,用于当所述属性信息库为可疑属性信息库时,若所述第一查找模 块在所述可疑属性信息库中查找到与所述待检测属性信息相同的可疑属性信息,则判断所 述应用协议承载的所述待检测文件为病毒文件; 所述第一判断模块还用于当所述属性信息库为可信属性信息库时,若所述第一查 找模块在所述可信属性信息库中查找到与所述待检测属性信息相同的可信属性信息,则判 断所述应用协议承载的所述待检测文件为安全文件。 本发明实施例还提供一种网关设备,该网关设备包括本发明实施例提供的任一病 毒检测装置。 本发明实施例的病毒检测方法、装置和网关设备,先获取承载待检测文件的应用 协议的待检测属性信息,根据所述待检测属性信息,在当前的属性信息库中进行查找以判 断所述待检测文件是否为病毒文件,所述属性信息库包括可疑属性信息库或可信属性信息 库,当在所述可疑属性信息库中查找到与所述待检测属性信息相同的可疑属性信息时,判 断所述应用协议承载的所述待检测文件为病毒文件;当在所述可信属性信息库中查找到与 所述待检测属性信息相同的可信属性信息时,判断所述待检测文件为安全文件;由此避免 了对每个待检测文件都要根据病毒库进行病毒扫描,提高了网关防病毒方法的扫描性能, 且成本较低。
为了更清楚地说明本发明实施例中的技术方案,下面将对实施例描述中所需要使 用的附图作一简单地介绍。 图1为本发明病毒检测方法实施例一的流程图;
图2为本发明病毒检测方法实施例二的流程图;
图3为本发明病毒检测方法实施例三的流程图;
图4为本发明病毒检测方法实施例四的流程图;
图5为本发明病毒检测方法实施例五的流程图;
图6为本发明病毒检测装置实施例一的结构示意图;
图7为本发明病毒检测装置实施例二的结构示意图。
具体实施例方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例 中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是 本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员 在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
为便于说明,下面介绍本发明的具体实施例。
图1为本发明病毒检测方法实施例一的流程图,如图1所示,该方法包括
6
步骤101、获取应用协议的待检测属性信息。
其中,所述应用协议用于承载待检测文件。 步骤102、根据所述待检测属性信息,在当前的属性信息库中进行查找以判断所述 待检测文件是否为病毒文件。 其中,所述属性信息库包括可疑属性信息库或可信属性信息库;所述可疑属性信 息库中包括多个可疑属性信息,所述可疑属性信息为用于承载病毒文件的应用协议的属性 信息,所述可信属性信息库中包括多个可信属性信息,所述可信属性信息为用于承载安全 文件的应用协议的属性信息。 步骤103、当所述属性信息库为可疑属性信息库时,若在所述可疑属性信息库中查 找到与所述待检测属性信息相同的可疑属性信息,则判断所述应用协议承载的待检测文件 为病毒文件;当所述属性信息库为可信属性信息库时,若在所述可信属性信息库中查找到 与所述待检测属性信息相同的可信属性信息,则判断所述应用协议承载的待检测文件为安 全文件。 本发明实施例的病毒检测方法,先获取承载待检测文件的应用协议的待检测属性
信息,根据所述待检测属性信息,在当前的属性信息库中进行查找以判断所述待检测文件
是否为病毒文件,所述属性信息库包括可疑属性信息库或可信属性信息库,当在所述可疑
属性信息库中查找到与所述待检测属性信息相同的可疑属性信息时,判断所述应用协议承
载的所述待检测文件为病毒文件;当在所述可信属性信息库中查找到与所述待检测属性信
息相同的可信属性信息时,判断所述待检测文件为安全文件;由此避免了对每个待检测文
件都要根据病毒库进行病毒扫描,提高了网关防病毒方法的扫描性能,且成本较低。 本发明实施例中,由于属性信息库包括可疑属性信息库或可信属性信息库,步骤
103可以分为两种情况,分别为 情况一、当所述属性信息库为可疑属性信息库时的情况;
情况二、当所述属性信息库为可信属性信息库时的情况。
下面介绍情况一对应的具体实施例,如下 图2为本发明病毒检测方法实施例二的流程图,本实施例是属性信息库为可疑属 性信息库的情况,如图2所示,该方法包括 步骤201、获取应用协议的待检测属性信息;其中,该应用协议用于承载待检测文 件。 当接收到一个承载有待检测文件的应用协议后,先提取该应用协议的属性信息。 其中该应用协议的属性信息因应用协议的不同而不同;例如对于P0P3协议,属性信息可 以是邮件的发件人、邮件主题、附件名、发件人源IP等,对于HTTP协议,属性信息可以是网 页的目的IP、URL等,对于FTP协议,属性信息可以是传输文件名、FTP服务器的IP地址等。
步骤202、根据待检测属性信息,在当前的可疑属性信息库中进行查找;可疑属性 信息库中包括多个可疑属性信息,可疑属性信息为用于承载病毒库中的病毒文件的应用协 议的属性信息。 可疑属性信息库是预先设置的,设置的过程可以为对于承载有以前通过病毒库 扫描检测到的病毒文件的多个应用协议,提取这些应用协议的属性信息作为可疑属性信 息,然后由这些可疑属性信息建立可疑属性信息库。其中,在根据多个可疑属性信息建立可疑属性信息库时,可以使用多种算法,例如,可以使用哈希(Hash)算法,计算出每个可疑属 性信息的Hash键值,根据该Hash键值生成索引表,并根据索引表将多个可疑属性信息放在 相应的节点,形成可疑属性信息库。 根据步骤201中获取的待检测属性信息,在可疑属性信息库中进行查找,其中,当 该可疑属性信息库是通过Hash算法建立时,就可以根据Hash算法得到待检测属性信息的 Hash键值,然后根据该Hash键值,通过索引表在该可疑属性信息库中相应的节点进行查 找。 通过在该可疑属性信息库中进行查找,使得查找速度远远快于现有的遍历病毒库 中所有病毒特征的速度。 步骤203、若在可疑属性信息库中查找到与待检测属性信息相同的可疑属性信息, 则判断该应用协议承载的待检测文件为病毒文件。 当在可疑属性信息库中查找到与待检测属性信息相同的可疑属性信息时,则表示 该应用协议是不安全的,也就是表示该应用协议承载的待检测文件为病毒文件。当判断该 应用协议不安全以后,可以阻断该应用协议或者进行告警。 本实施例提供的病毒检测方法,先获取承载待检测文件的应用协议的待检测属性 信息,然后在可疑属性信息库中进行查找,当在可疑属性信息库中查找到与待检测属性信 息相同的可疑属性信息时,判断该应用协议承载的待检测文件为病毒文件,由此避免了对 每个待检测文件都要根据病毒库进行病毒扫描,提高了网关防病毒方法的扫描性能,且成 本较低。 图3为本发明病毒检测方法实施例三的流程图,本实施例是在方法实施例二的基 础上进一步的详细说明,如图3所示,该方法包括 步骤301、获取应用协议的待检测属性信息;其中,该应用协议用于承载待检测文 件。 本实施例以通过P0P3协议发送邮件传播病毒的情况为例,说明在该情况下网关 进行病毒检测的方法。在本实施例中,基于应用协议P0P3,发件人A给收件人E发送了一封 带有附件C的邮件,该附件C的附件名为D,该应用协议P0P3承载的待检测文件为附件C, 该应用协议P0P3的待检测属性信息可以为发件人A、邮件主题、附件名D、发件人的源IP
地址等。 当接收到该邮件时,先提取P0P3的待检测属性信息,即发件人A、邮件主题、附件 名D、发件人的源IP地址等。 步骤302、根据待检测属性信息,在当前的可疑属性信息库中进行查找;可疑属性 信息库中包括多个可疑属性信息,可疑属性信息为用于承载病毒库中的病毒文件的应用协 议的属性信息。 根据该待检测属性信息,在可疑属性信息库中进行查找,若在可疑属性信息库中 查找到与待检测属性信息相同的可疑属性信息,则执行步骤303 ;若在可疑属性信息库中 未查找到与待检测属性信息相同的可疑属性信息,则执行步骤304。其中,病毒通常都是有 时效性的,即某个应用协议通常都是在一定的时间范围内携带有病毒,由此,为了避免该可 疑属性信息库的容量太大,并且为了避免在包含过多可疑属性信息的可疑属性信息库中进 行查询,可以为每个可疑属性信息设置有效期,即在该有效期内,认为该属性信息是可疑属性信息,当超出该有效期后,就认为该属性信息不是可疑属性信息。有效期的长短可以根据 经验设置。由此本实施例还可以包括若可疑属性信息库中的可疑属性信息的保留时间超 过预置的有效期,则从可疑属性信息库中删除该可疑属性信息;也就是当可疑属性信息在 可疑属性信息库中储存的时间超过该可疑属性信息的有效期时,该可疑属性信息被从可疑 属性信息库中删除。 此外,本实施例还可以包括以下步骤每间隔一定的预设时间或当系统空闲时,根 据病毒库对可疑属性信息对应的应用协议承载的待检测文件进行病毒扫描;若经过病毒扫 描后的待检测文件为安全文件,则删除用于承载待检测文件的应用协议的可疑属性信息; 若经过病毒扫描后的待检测文件为病毒文件,则刷新用于承载待检测文件的应用协议的可 疑属性信息的有效期。上述步骤具体可以为每间隔一定的时间或者当系统空闲时,根据病 毒库,对可疑属性信息对应的应用协议所承载的附件进行病毒检测;当检测到附件为安全 文件时,则将承载该附件对应的可疑属性信息从可疑属性信息库中删除;当检测到附件为 病毒文件时,则刷新该附件的对应的可疑属性信息的有效期,即延长该可疑属性信息的有 效期。 步骤303、若在可疑属性信息库中查找到与待检测属性信息相同的可疑属性信息, 则判断该应用协议承载的待检测文件为病毒文件。 当在可疑属性信息库中查找到与该待检测属性信息相同的可疑属性信息时,则判 断出该邮件携带的附件为病毒。 步骤304、若在可疑属性信息库中未查找到与待检测属性信息相同的可疑属性信 息,则根据病毒库对待检测文件进行病毒扫描。 当在可疑属性信息库中没有查找到与该待检测属性信息相同的可疑属性信息时, 则对该邮件携带的附件进行病毒扫描,该病毒扫描的过程为将附件进行文件还原,然后遍 历病毒库中的所有病毒,以对还原后的文件进行病毒扫描;该病毒扫描的过程中可能需要 对文件进行解压、脱壳等。 步骤305、若经过病毒扫描后的待检测文件为病毒,则将用于承载待检测文件的应 用协议的属性信息作为可疑属性信息添加到可疑属性信息库中。 在进行病毒扫描后,若发现该附件为病毒,还可以阻断该邮件的发送或者进行告 警,并且将该属性信息作为可疑属性信息添加到可疑属性信息库。当该发件人欲以同样的 邮件传播病毒时,网关通过查询可疑属性信息库就可以发现该邮件承载有病毒,从而无需 再对该邮件的附件进行病毒扫描,就可及时阻断该邮件或进行告警。在进行病毒扫描后,判 读该附件为安全文件,则放行该邮件。 本实施例提供的病毒检测方法,先获取承载待检测文件的应用协议的待检测属性 信息,然后在可疑属性信息库中进行查找,当在可疑属性信息库中查找到与待检测属性信 息相同的可疑属性信息时,判断该应用协议承载的待检测文件为病毒文件,由此避免了对 每个待检测文件都要根据病毒库进行病毒扫描,提高了网关防病毒方法的扫描性能,且成 本较低。 下面介绍情况二对应的具体实施例,如下 图4为本发明病毒检测方法实施例四的流程图,本实施例是属性信息库为可信属 性信息库的情况,如图4所示,该方法包括
步骤401、获取应用协议的待检测属性信息;其中,该应用协议用于承载待检测文 件。 当接收到一个承载有待检测文件的应用协议后,先提取该应用协议的属性信息。 其中该应用协议的属性信息因应用协议的不同而不同;例如对于P0P3协议,属性信息可 以是邮件的发件人、邮件主题、附件名、发件人源IP等,对于HTTP协议,属性信息可以是网 页的目的IP、URL等,对于FTP协议,属性信息可以是传输文件名、FTP服务器的IP地址等。
步骤402、根据待检测属性信息,在当前的可信属性信息库中进行查找;可信属性 信息库中包括多个可信属性信息。 可信属性信息库是预先设置的,设置的过程可以为对于承载有以前通过病毒库
扫描检测到的安全文件的多个应用协议,提取这些应用协议的属性信息作为可信属性信
息,然后由这些可信属性信息建立可信属性信息库。有上述可信属性信息库的设置过程可
知,可信属性信息对应的应用协议所承载的文件是非病毒文件,即该可信属性信息对应的
应用协议是安全的。其中,在根据多个可信属性信息建立可信属性信息库时,可以使用多种
算法,例如,可以使用Hash算法,具体参见本发明方法实施例一中的描述。 根据步骤401中获取的待检测属性信息,在可信属性信息库中进行查找,其中,当
该可信属性信息库是通过Hash算法建立时,就可以根据Hash算法得到待检测属性信息的
Hash键值,然后根据该Hash键值,通过索引表到在该可信属性信息库中相应的节点进行查
找,此处查找的速度远远快于现有的遍历病毒库中所有病毒特征的速度。 步骤403、若在可信属性信息库中查找到与待检测属性信息相同的可信属性信息,
则判断待检测文件为安全文件。 当在可信属性信息库中查找到与待检测属性信息相同的可信属性信息时,则表示 该应用协议是安全的,也就是表示该应用协议承载的待检测文件为安全文件。当判断该应 用协议安全以后,可以直接访问该应用协议,而无需根据病毒库对该应用协议所承载的文 件进行病毒扫描,由此大大提高了病毒检测的速度。 本实施例提供的病毒检测方法,先获取承载待检测文件的应用协议的待检测属性 信息,然后在可信属性信息库中进行查找,当在可信属性信息库中查找到与待检测属性信 息相同的可信属性信息时,判断该应用协议承载的待检测文件为安全文件,从而无需对该 待检测文件进行病毒扫描,由此避免了对每个待检测文件都要根据病毒库进行病毒扫描, 提高了网关防病毒方法的扫描性能,且成本较低。 图5为本发明病毒检测方法实施例五的流程图,本实施例是在方法实施例四的基 础上进一步的详细说明,如图5所示,该方法包括 步骤501、获取应用协议的待检测属性信息;其中,该应用协议用于承载待检测文 件。 本实施例以对可信任网站进行快速过滤的情况为例,说明在该情况下网关进行病 毒检测的方法。在本实施例中,基于应用协议HTTP,用户访问某个网站。该应用协议HTTP 承载的待检测文件为网站中的页面内容(该页面内容包括静态和动态的内容),该应用协 议HTTP的待检测属性信息可以为该网站的URL、服务器的IP地址等。
当接收到欲浏览该网站的请求时,先提取HTTP的待检测属性信息,即该网站的 URL、服务器的IP地址等。
步骤502、根据待检测属性信息,在当前的可信属性信息库中进行查找;可信属性 信息库中包括多个可信属性信息。 根据该待检测属性信息,在可信属性信息库中进行查找,若在可信属性信息库中 查找到与待检测属性信息相同的可信属性信息,则执行步骤503 ;若在可信属性信息库中 未查找到与待检测属性信息相同的可信属性信息,则执行步骤504。其中,一个网站是否安 全通常都是有时效性的,即当在某个时刻确认一个网站为安全网站时,通常只能表示该网 站在一定的时间范围内是安全的。由此,可以为每个可信属性信息设置有效期,即在该有效 期内,认为该属性信息是可信属性信息,当超出该有效期后,就认为该属性信息不是可信属 性信息。有效期的长短可以根据经验设置。由此本实施例还可以包括若可信属性信息库 中的可信属性信息的保留时间超过预置的有效期,则从可信属性信息库中删除该可信属性 信息;也就是当可信属性信息在可信属性信息库中储存的时间超过该可信属性信息的有效 期时,该可信属性信息被从可信属性信息库中删除。 此外,本实施例还可以包括以下步骤每间隔一定的预设时间或当系统空闲时,根 据病毒库对可信属性信息对应的应用协议承载的待检测文件进行病毒扫描;若经过病毒扫 描后的待检测文件为病毒文件,则删除用于承载待检测文件的应用协议的可信属性信息; 若经过病毒扫描后的待检测文件为安全文件,则刷新用于承载待检测文件的应用协议的可 信属性信息的有效期。上述步骤具体可以为每间隔一定的时间或者当系统空闲时,根据病 毒库,对可信属性信息对应的网站所承载的页面内容进行病毒检测;当检测到页面内容为 病毒文件时,则将承载该页面内容对应的可信属性信息从可信属性信息库中删除;当检测 到页面内容为安全文件时,则刷新该页面内容的对应的可信属性信息的有效期,即延长该 可信属性信息的有效期。 步骤503、若在可信属性信息库中查找到与待检测属性信息相同的可信属性信息, 则判断待检测文件为安全文件。 当在可信属性信息库中查找到与该待检测属性信息相同的可信属性信息时,则判 断出该网站中的页面内容为安全文件。 步骤504、若在可信属性信息库中未查找到与待检测属性信息相同的可信属性信 息,则根据病毒库对待检测文件进行病毒扫描。 当在可信属性信息库中没有查找到与该待检测属性信息相同的可信属性信息时, 则对该网站中的页面内容进行病毒扫描,该病毒扫描的过程为将页面内容进行文件还原, 然后遍历病毒库中的所有病毒,以对还原后的文件进行病毒扫描;该病毒扫描的过程中可 能需要对文件进行解压、脱壳等。 步骤505、若经过病毒扫描后的待检测文件为安全文件,则将用于承载待检测文件 的应用协议的属性信息作为可信属性信息添加到可信属性信息库中。 在进行病毒扫描后,若发现该文件为安全文件,则放行对该网站的浏览,并且将该 属性信息作为可信属性信息添加到可信属性信息库。当用户欲再次浏览该网站时,网关通 过查询可信属性信息库就可以判断出该网站为安全网站,从而无需再对该网站中的页面内 容进行病毒扫描,就可以放行对该网站的浏览。在进行病毒扫描后,判断该文件为病毒文件 时,阻断对该网站的浏览或者进行告警。 进一步的,为了避免可信属性信息库的储存量过大,并且为了保证在可信属性信息库中的查询速度,可以不把所有没有病毒的属性信息都添加到可信属性数据库中,而是
只将访问比较频繁的网站对应的属性信息添加到可信属性数据库中,具体可以为 若经过病毒扫描后的页面内容为安全文件,则统计用于承载该页面内容的网站的
访问次数;当该访问次数大于预设第一阈值时,将该网站对应的属性信息作为可信属性信
息添加到可信属性信息库中。 本实施例提供的病毒检测方法,先获取承载待检测文件的应用协议的待检测属性 信息,然后在可信属性信息库中进行查找,当在可信属性信息库中查找到与待检测属性信 息相同的可信属性信息时,判断该应用协议承载的待检测文件为安全文件,从而无需对该 待检测文件进行病毒扫描,由此避免了对每个待检测文件都要根据病毒库进行病毒扫描, 提高了网关防病毒方法的扫描性能,且成本较低。 本领域普通技术人员可以理解实现上述方法实施例的全部或部分步骤可以通过 程序指令相关的硬件来完成,前述的程序可以存储于一计算机可读取存储介质中,该程序 在执行时,执行包括上述方法实施例的步骤;而前述的存储介质包括R0M、 RAM、磁碟或者 光盘等各种可以存储程序代码的介质。 图6为本发明病毒检测装置实施例一的结构示意图,如图6所示,该装置包括第 一获取模块61、第一查找模块63和第一判断模块65。 第一获取模块61用于获取应用协议的待检测属性信息,其中所述应用协议用于 承载待检测文件。 第一查找模块63用于根据第一获取模块61获取的所述待检测属性信息,在当前 的属性信息库中进行查找以判断所述待检测文件是否为病毒文件;所述属性信息库包括可 疑属性信息库或可信属性信息库;其中,所述可疑属性信息库中包括多个可疑属性信息,所 述可疑属性信息为用于承载病毒库中的病毒文件的应用协议的属性信息;所述可信属性信 息库中包括多个可信属性信息,所述可信属性信息为用于承载安全文件的应用协议的属性 信息。 第一判断模块65用于当所述属性信息库为可疑属性信息库时,若第一查找模块 63在所述可疑属性信息库中查找到与所述待检测属性信息相同的可疑属性信息,则判断所 述应用协议承载的所述待检测文件为病毒文件。 第一判断模块65还用于当所述属性信息库为可信属性信息库时,若第一查找模 块63在所述可信属性信息库中查找到与所述待检测属性信息相同的可信属性信息,则判 断所述应用协议承载的所述待检测文件为安全文件。 本实施例中各个模块的工作原理和工作流程参见本发明方法实施例一至方法实 施例三中的描述,在此不再赘述。 本实施例提供的病毒检测装置,先获取承载待检测文件的应用协议的待检测属性 信息,然后在可疑属性信息库中进行查找,当在可疑属性信息库中查找到与待检测属性信 息相同的可疑属性信息时,判断该应用协议承载的待检测文件为病毒文件,由此避免了对 每个待检测文件都要根据病毒库进行病毒扫描,提高了网关防病毒方法的扫描性能,且成 本较低。 图7为本发明病毒检测装置实施例二的结构示意图,如图7所示,在装置实施例一 的基础上,该装置还包括第一病毒扫描模块71、第一添加模块73、第一删除模块75、第二
12病毒扫描模块77、第二删除模块79和第二刷新模块70。 第一病毒扫描模块71用于当所述属性信息库为可疑属性信息库时,若第一查找 模块63在所述可疑属性信息库中未查找到与所述待检测属性信息相同的可疑属性信息, 则根据病毒库对所述待检测文件进行病毒扫描。 第一病毒扫描模块71还用于当所述属性信息库为可信属性信息库时,若第一查 找模块63在所述可信属性信息库中未查找到与所述待检测属性信息相同的可信属性信 息,则根据病毒库对所述待检测文件进行病毒扫描。 第一添加模块73用于当所述属性信息库为可疑属性信息库时,若经过所述第一 病毒扫描模块71扫描后的所述待检测文件为病毒文件,则将用于承载所述待检测文件的 应用协议的属性信息作为可疑属性信息添加到所述可疑属性信息库中。
第一添加模块73还用于当所述属性信息库为可信属性信息库时,若经过第一病 毒扫描模块71扫描后的所述待检测文件为安全文件,则将用于承载所述待检测文件的应 用协议的属性信息作为可信属性信息添加到所述可信属性信息库中。 第一删除模块75用于若所述属性信息库中的属性信息的保留时间超过预置的有 效期,则从所述属性信息库中删除所述属性信息。 第二病毒扫描模块77用于按照预设的时间间隔,根据病毒库对所述属性信息对 应的应用协议承载的待检测文件进行病毒扫描。 第二删除模块79用于当所述属性信息库为可疑属性信息库时,若经过所述第二 病毒扫描模块77扫描后的所述待检测文件为安全文件,则删除用于承载所述待检测文件 的应用协议的所述可疑属性信息。 第二删除模块79还用于当所述属性信息库为可信属性信息库时,若经过第二病 毒扫描模块77扫描后的所述待检测文件为病毒文件,则删除用于承载所述待检测文件的 应用协议的所述可信属性信息。 第二刷新模块70用于当所述属性信息库为可疑属性信息库时,若经过第二病毒 扫描模块77扫描后的所述待检测文件为病毒文件,则刷新用于承载所述待检测文件的应 用协议的所述可疑属性信息的有效期。 第二刷新模块70还用于当所述属性信息库为可信属性信息库时,若经过第二病 毒扫描模块77扫描后的所述待检测文件为安全文件,则刷新用于承载所述待检测文件的 应用协议的所述可信属性信息的有效期。 其中,当属性信息库为可信属性信息库时,第一添加模块73可以包括统计单元 和添加单元。 统计单元用于若经过第一病毒扫描模块71进行病毒扫描后的待检测文件为安全 文件,统计用于承载待检测文件的应用协议的访问次数。 添加单元用于将访问次数大于预设第一阈值的应用协议的属性信息,作为可信属 性信息添加到可信属性信息库中。 本实施例中各个模块的工作原理和工作流程参见本发明方法实施例一 、方法实施 例四和方法实施例五中的描述,在此不再赘述。 本实施例提供的病毒检测装置,先获取承载待检测文件的应用协议的待检测属性 信息,然后在可信属性信息库中进行查找,当在可信属性信息库中查找到与待检测属性信息相同的可信属性信息时,判断该应用协议承载的待检测文件为安全文件,从而无需对该 待检测文件进行病毒扫描,由此避免了对每个待检测文件都要根据病毒库进行病毒扫描, 提高了网关防病毒方法的扫描性能,且成本较低。 本发明实施例还提供了一种网关设备,该网关设备包括上述任一装置实施例提供 的病毒检测装置。该病毒检测装置的工作原理、工作流程和技术效果参见本发明各方法实 施例中的描述,在此不再赘述。 最后应说明的是以上实施例仅用以说明本发明的技术方案,而非对其限制;尽 管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解其依然 可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替 换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的精 神和范围。
权利要求
一种病毒检测方法,其特征在于,包括获取应用协议的待检测属性信息,其中所述应用协议用于承载待检测文件;根据所述待检测属性信息,在当前的属性信息库中进行查找以判断所述待检测文件是否为病毒文件;所述属性信息库包括可疑属性信息库或可信属性信息库;其中,所述可疑属性信息库中包括多个可疑属性信息,所述可疑属性信息为用于承载病毒文件的应用协议的属性信息;所述可信属性信息库中包括多个可信属性信息,所述可信属性信息为用于承载安全文件的应用协议的属性信息;当所述属性信息库为可疑属性信息库时,若在所述可疑属性信息库中查找到与所述待检测属性信息相同的可疑属性信息,则判断所述应用协议承载的所述待检测文件为病毒文件;当所述属性信息库为可信属性信息库时,若在所述可信属性信息库中查找到与所述待检测属性信息相同的可信属性信息,则判断所述应用协议承载的所述待检测文件为安全文件。
2. 根据权利要求1所述的病毒检测方法,其特征在于,还包括当所述属性信息库为可疑属性信息库时,若在所述可疑属性信息库中未查找到与所述 待检测属性信息相同的可疑属性信息,则根据病毒库对所述待检测文件进行病毒扫描;若 经过病毒扫描后的所述待检测文件为病毒文件,则将用于承载所述待检测文件的应用协议 的属性信息作为可疑属性信息添加到所述可疑属性信息库中;当所述属性信息库为可信属性信息库时,若在所述可信属性信息库中未查找到与所述 待检测属性信息相同的可信属性信息,则根据病毒库对所述待检测文件进行病毒扫描;若 经过病毒扫描后的所述待检测文件为安全文件,则将用于承载所述待检测文件的应用协议 的属性信息作为可信属性信息添加到所述可信属性信息库中。
3. 根据权利要求1或2所述的病毒检测方法,其特征在于,还包括 若所述属性信息库中的属性信息的保留时间超过预置的有效期,则从所述属性信息库中删除所述属性信息;或者,按照预设的时间间隔,根据病毒库对所述属性信息对应的应用协议承载的待检测文件 进行病毒扫描;当所述属性信息库为可疑属性信息库时,若经过病毒扫描后的所述待检测文件为安全 文件,则删除用于承载所述待检测文件的应用协议的所述可疑属性信息;若经过病毒扫描 后的所述待检测文件为病毒文件,则刷新用于承载所述待检测文件的应用协议的所述可疑 属性信息的有效期;当所述属性信息库为可信属性信息库时,若经过病毒扫描后的所述待检测文件为病毒 文件,则删除用于承载所述待检测文件的应用协议的所述可信属性信息;若经过病毒扫描 后的所述待检测文件为安全文件,则刷新用于承载所述待检测文件的应用协议的所述可信 属性信息的有效期。
4. 根据权利要求2所述的病毒检测方法,其特征在于,当所述属性信息库为可信属性 信息库时,所述若经过病毒扫描后的所述待检测文件为安全文件,则将用于承载所述待检 测文件的应用协议的属性信息作为可信属性信息添加到所述可信属性信息库中,包括若经过病毒扫描后的所述待检测文件为安全文件,统计用于承载所述待检测文件的应用协议的访问次数;将所述访问次数大于预设第一阈值的所述应用协议的属性信息,作为可信属性信息添 加到所述可信属性信息库中。
5. —种病毒检测装置,其特征在于,包括第一获取模块,用于获取应用协议的待检测属性信息,其中所述应用协议用于承载待 检测文件;第一查找模块,用于根据所述第一获取模块获取的所述待检测属性信息,在当前的属 性信息库中进行查找以判断所述待检测文件是否为病毒文件,所述属性信息库包括可疑属 性信息库或可信属性信息库;其中,所述可疑属性信息库中包括多个可疑属性信息,所述可 疑属性信息为用于承载病毒库中的病毒文件的应用协议的属性信息;所述可信属性信息 库中包括多个可信属性信息,所述可信属性信息为用于承载安全文件的应用协议的属性信 息;第一判断模块,用于当所述属性信息库为可疑属性信息库时,若所述第一查找模块在 所述可疑属性信息库中查找到与所述待检测属性信息相同的可疑属性信息,则判断所述应 用协议承载的所述待检测文件为病毒文件;所述第一判断模块还用于当所述属性信息库为可信属性信息库时,若所述第一查找模 块在所述可信属性信息库中查找到与所述待检测属性信息相同的可信属性信息,则判断所 述应用协议承载的所述待检测文件为安全文件。
6. 根据权利要求5所述的病毒检测装置,其特征在于,还包括第一病毒扫描模块,用于当所述属性信息库为可疑属性信息库时,若所述第一查找模 块在所述可疑属性信息库中未查找到与所述待检测属性信息相同的可疑属性信息,则根据 病毒库对所述待检测文件进行病毒扫描;所述第一病毒扫描模块还用于当所述属性信息库为可信属性信息库时,若所述第一查 找模块在所述可信属性信息库中未查找到与所述待检测属性信息相同的可信属性信息,则 根据病毒库对所述待检测文件进行病毒扫描;第一添加模块,用于当所述属性信息库为可疑属性信息库时,若经过所述第一病毒扫 描模块扫描后的所述待检测文件为病毒文件,则将用于承载所述待检测文件的应用协议的 属性信息作为可疑属性信息添加到所述可疑属性信息库中;所述第一添加模块还用于当所述属性信息库为可信属性信息库时,若经过所述第一病 毒扫描模块扫描后的所述待检测文件为安全文件,则将用于承载所述待检测文件的应用协 议的属性信息作为可信属性信息添加到所述可信属性信息库中。
7. 根据权利要求5或6所述的病毒检测装置,其特征在于,还包括 第一删除模块,用于若所述属性信息库中的属性信息的保留时间超过预置的有效期,则从所述属性信息库中删除所述属性信息; 和/或,第二病毒扫描模块,用于按照预设的时间间隔,根据病毒库对所述属性信息对应的应 用协议承载的待检测文件进行病毒扫描;第二删除模块,用于当所述属性信息库为可疑属性信息库时,若经过所述第二病毒扫 描模块扫描后的所述待检测文件为安全文件,则删除用于承载所述待检测文件的应用协议的所述可疑属性信息;所述第二删除模块还用于当所述属性信息库为可信属性信息库时,若经过所述第二病 毒扫描模块扫描后的所述待检测文件为病毒文件,则删除用于承载所述待检测文件的应用 协议的所述可信属性信息;第二刷新模块,用于当所述属性信息库为可疑属性信息库时,若经过所述第二病毒扫 描模块扫描后的所述待检测文件为病毒文件,则刷新用于承载所述待检测文件的应用协议 的所述可疑属性信息的有效期;所述第二刷新模块还用于当所述属性信息库为可信属性信息库时,若经过所述第二病 毒扫描模块扫描后的所述待检测文件为安全文件,则刷新用于承载所述待检测文件的应用 协议的所述可信属性信息的有效期。
8. 根据权利要求6所述的病毒检测装置,其特征在于,当所述属性信息库为可信属性 信息库时,所述第一添加模块包括统计单元,用于若经过所述第一病毒扫描模块扫描后的所述待检测文件为安全文件, 统计用于承载所述待检测文件的应用协议的访问次数;添加单元,用于将所述访问次数大于预设第一阈值的所述应用协议的属性信息,作为 可信属性信息添加到所述可信属性信息库中。
9. 一种网关设备,该网关设备包括如权利要求5-8任一所述的病毒检测装置。
全文摘要
本发明实施例提供了一种病毒检测方法、装置和网关设备,该方法包括获取用于承载待检测文件的应用协议的待检测属性信息,根据待检测属性信息,在当前的属性信息库中进行查找;属性信息库包括可疑属性信息库或可信属性信息库;当在可疑属性信息库中查找到与待检测属性信息相同的可疑属性信息时,判断待检测文件为病毒文件;当在可信属性信息库中查找到与待检测属性信息相同的可信属性信息时,判断待检测文件为安全文件。本发明实施例根据应用协议的待检测属性信息,在当前的可疑属性信息库中进行查找以判断待检测文件是否为病毒文件,避免了对每个待检测文件都要根据病毒库进行病毒扫描,提高了网关防病毒方法的扫描性能,且成本较低。
文档编号H04L12/26GK101795267SQ20091025893
公开日2010年8月4日 申请日期2009年12月30日 优先权日2009年12月30日
发明者倪秀英 申请人:成都市华为赛门铁克科技有限公司