技術領域

本發明涉及網絡安全技術領域，特別是涉及一種端到端的數據檢測系統、裝置和方法。?

背景技術

通信技術的不斷發展使得信息的交互和獲取更為便捷，但同時也使得一些無用甚至有害的病毒程序、垃圾郵件和廣告視頻等不受歡迎的數據更快傳播。例如用戶在下載文件時，一些不法分子或商家往往處于商業或其他目的，在文件中摻雜病毒程序、廣告等文件，這會對客戶端的正常運行帶來不利影響，因此如何對傳輸的數據進行有效的過濾和檢測是一個重要課題。?

防止客戶端的計算機不受到病毒程序等的侵害，可以通過在客戶端設置防火墻來過濾用戶并不希望看到的程序，也可通過在端到端的數據傳輸過程中對傳輸的內容進行檢測，將病毒程序等過濾掉，來使得客戶端的正常運行不受影響。?

端到端指網絡的源端和目的端的連接，網絡要通信，必須建立連接，不管空間距離多遠，中間經過多少機器，都必須在源端和目的端間建立連接，一旦連接建立起來，該種連接就成為端到端的連接。?

現有技術中基于端到端的內容檢測技術使用的是深度包檢測技術，在包頭包尾采集樣本與病毒指紋庫進行特征碼比對，進而判斷所傳輸數據是否包含惡意代碼，該技術目前廣泛應用于UTM（Unified?Threat?Management，統一威脅管理）和防毒墻當中。?

該種深度包檢測技術只檢測包頭和包尾部分,是一種粗漏的抽樣技術，處理速度快，計算量需求比較小，易于處理小文件。雖然這是一種更加經濟的方式，能夠降低運算成本，但是文件的數據載荷中可能充斥著垃圾郵件、廣告視頻以及企業所不欣賞的P2P傳輸等程序，而各種電子商務程序的HTML(?Hypertext?Markup?Language，超文本標記語言)和XML（Extensible?Markup?Language，可擴展標記語言）格式數據中也可能夾帶著后門和木馬程序在網絡節點之間交換。所以，在應用形式及其格式以爆炸速度增長的今天，僅僅依照數據包的包頭和包尾決定其是否準入這種粗漏的檢測方式，會使得不受歡迎的程序通過防御邊界在安全體系內部產生嚴重的危害，無法滿足安全的要求，即現有技術的基于端到端的內容檢測準確度不高。?

發明內容

本發明的目的在于提供一種端到端的數據檢測系統、裝置和方法，其解決了現有技術中的深度包檢測技術準確度不高的問題。?

為實現本發明目的而提供的一種端到端的數據檢測系統，包括第一網卡和第二網卡，還包括數據流量處理模塊、數據檢測模塊、威脅策略模塊；所述數據流量處理模塊，用于掃描第一網卡流入的數據以獲取進行檢測所需的必要信息；所述數據檢測模塊，用于根據所述必要信息，將所述數據流量處理模塊發送的數據分段后搜索已知的威脅數據，確認是否有與之相同的數據段，根據對比結果判斷所述單位數據中是否存在威脅數據；并將經過對比的單位數據、對應的判斷結果發送至所述威脅策略模塊；所述威脅策略模塊，用于根據所述數據檢測模塊發送的判斷結果確定是否將所述經過對比的單位數據轉發至所述第二網卡。?

其中，所述數據檢測模塊包括分段模塊、威脅指紋庫和威脅判斷模塊；所述分段模塊，用于將所述數據流量處理模塊掃描后的數據進行分段并傳輸到威脅判斷模塊33；所述威脅指紋庫為一存儲已知威脅數據的數據庫；所述威脅判斷模塊，用于根據分段模塊分段后的分段數據搜索所述威脅指紋庫中的威脅數據，確認是否有與之相同的數據段，將與所述威脅指紋庫中的所述威脅數據完全匹配的數據段判斷為威脅數據，將與威脅指紋庫中的威脅數據不完全匹配的數據段判斷為安全數據，并將經過對比的單位數據和對應的判斷結果發送至所述威脅策略模塊。?

其中，還包括緩存優化模塊；用于對每個文件生成一個文件記錄，所述文件記錄至少包括文件SHA-1指紋值；以當前文件生成的SHA-1指紋值為索引檢索歷史指紋緩存庫中具有相同SHA-1指紋值的歷史文件記錄，根據歷史文件記錄填寫當前文件記錄，并將當前文件記錄發送至所述威脅策略模塊；所述歷史指紋緩存庫，用于存儲并更新所有經過檢測的文件的文件記錄。?

其中，所述數據流量處理模塊，還用于建立主線任務管理列表，負責數據檢測模塊和緩存優化模塊的子任務管理，并將主線任務管理列表傳送到威脅策略模塊，再將主線程任務編號傳送到數據檢測模塊和緩存優化模塊。?

其中，所述緩存優化模塊還用于根據接收到的屬于完整文件的單位數據，構建子線任務編號，并將模塊編號、主線任務編號、子線任務編號和任務狀態任務管理數據發送至所述威脅策略模塊。?