技術領域

本發明涉及通信技術領域，尤其涉及一種病毒檢測方法、裝置和網關設 備。

背景技術

隨著網絡的迅速發展，越來越多的電腦病毒通過網絡進行傳播。對于 這些病毒，尤其是近幾年流行的網絡蠕蟲病毒，必須在網關處進行病毒掃 描并過濾掉病毒，才能有效阻止病毒進入內網傳播。由此網關防病毒已經 成為未來防病毒體系中的重要舉措之一。

目前在網關處進行病毒掃描的文件一般是基于以下應用協議：HTTP、 FTP、SMTP、POP3或IMAP等。現有的網關防病毒的方法一般是：首 先提取文件，然后將文件提交給病毒掃描引擎進行掃描，而在提取某個待 檢測文件時，需要緩存待檢測的整個文件，然后遍歷病毒特征庫中所有的 病毒特征。

發明人發現，由于需要緩存整個文件，并遍歷數量龐大的病毒特征， 由此導致現有網關防病毒方法的掃描性能低，為提高掃描性能，現有技術 提供了硬件加速技術，通過該硬件加速技術可以提高網關防病毒方法的掃 描性能，但是硬件加速技術的成本較高。

發明內容

本發明實施例提供一種病毒檢測方法、裝置和網關設備，用以提高網關 防病毒方法的掃描性能，且成本較低。

本發明實施例提供一種病毒檢測方法，該方法包括：

獲取應用協議的待檢測屬性信息，其中所述應用協議用于承載待檢測文 件；

根據所述待檢測屬性信息，在當前的屬性信息庫中進行查找以判斷所述 待檢測文件是否為病毒文件；所述屬性信息庫包括可疑屬性信息庫或可信屬 性信息庫；其中，所述可疑屬性信息庫中包括多個可疑屬性信息，所述可疑 屬性信息為用于承載病毒文件的應用協議的屬性信息；所述可信屬性信息庫 中包括多個可信屬性信息，所述可信屬性信息為用于承載安全文件的應用協 議的屬性信息；

當所述屬性信息庫為可疑屬性信息庫時，若在所述可疑屬性信息庫中查 找到與所述待檢測屬性信息相同的可疑屬性信息，則判斷所述應用協議承載 的所述待檢測文件為病毒文件；

當所述屬性信息庫為可信屬性信息庫時，若在所述可信屬性信息庫中查 找到與所述待檢測屬性信息相同的可信屬性信息，則判斷所述應用協議承載 的所述待檢測文件為安全文件。

本發明實施例提供一種病毒檢測裝置，該裝置包括：

第一獲取模塊，用于獲取應用協議的待檢測屬性信息，其中所述應用協 議用于承載待檢測文件；

第一查找模塊，用于根據所述第一獲取模塊獲取的所述待檢測屬性信息， 在當前的屬性信息庫中進行查找以判斷所述待檢測文件是否為病毒文件；所 述屬性信息庫包括可疑屬性信息庫或可信屬性信息庫；其中，所述可疑屬性 信息庫中包括多個可疑屬性信息，所述可疑屬性信息為用于承載病毒庫中的 病毒文件的應用協議的屬性信息；所述可信屬性信息庫中包括多個可信屬性 信息，所述可信屬性信息為用于承載安全文件的應用協議的屬性信息；

第一判斷模塊，用于當所述屬性信息庫為可疑屬性信息庫時，若所述第 一查找模塊在所述可疑屬性信息庫中查找到與所述待檢測屬性信息相同的可 疑屬性信息，則判斷所述應用協議承載的所述待檢測文件為病毒文件；

所述第一判斷模塊還用于當所述屬性信息庫為可信屬性信息庫時，若所 述第一查找模塊在所述可信屬性信息庫中查找到與所述待檢測屬性信息相同 的可信屬性信息，則判斷所述應用協議承載的所述待檢測文件為安全文件。

本發明實施例還提供一種網關設備，該網關設備包括本發明實施例提 供的任一病毒檢測裝置。

本發明實施例的病毒檢測方法、裝置和網關設備，先獲取承載待檢測文 件的應用協議的待檢測屬性信息，根據所述待檢測屬性信息，在當前的屬性 信息庫中進行查找以判斷所述待檢測文件是否為病毒文件，所述屬性信息庫 包括可疑屬性信息庫或可信屬性信息庫，當在所述可疑屬性信息庫中查找到 與所述待檢測屬性信息相同的可疑屬性信息時，判斷所述應用協議承載的所 述待檢測文件為病毒文件；當在所述可信屬性信息庫中查找到與所述待檢測 屬性信息相同的可信屬性信息時，判斷所述待檢測文件為安全文件；由此避 免了對每個待檢測文件都要根據病毒庫進行病毒掃描，提高了網關防病毒方 法的掃描性能，且成本較低。

附圖說明

為了更清楚地說明本發明實施例中的技術方案，下面將對實施例描述中 所需要使用的附圖作一簡單地介紹。