技術領域

本發明涉及網絡安全技術，尤其涉及一種病毒檢測方法、裝置以及防火墻設備，屬于網絡技術領域。

背景技術

在網絡越來越普及的今天，網絡安全顯得越發重要，防火墻作為網絡安全中必不可少的設備，在網絡安全防御系統中具有不可替代的地位，防火墻需要對進入互聯網絡的數據包進行檢查，保證上述數據包的安全性。隨著防火墻技術的進一步發展，下一代防火墻已經將功能擴大到網絡的整個七層。

下一代防火墻可以實現反病毒（anti-virus，以下簡稱：AV）檢測，通過獲取網絡中傳輸的各文件的文件數據，并根據從病毒文件中提取出來的威脅特征字符串對傳輸的文件進行全文模式匹配，如果匹配到了相同的威脅特征字符串，則認為對應的文件為威脅文件，則可以阻止上述威脅文件在網絡中繼續傳輸，以達到維護網絡安全的目的。

在進行AV檢測時，通常從病毒文件中提取出來的威脅特征字符串的數目較大，需要對所有的威脅特征字符串都進行一次模式匹配，而上述的模式匹配過程又是對各文件進行全文模式匹配，這將導致模式匹配消耗的系統資源過大，并影響整個防火墻的性能。

發明內容

本發明實施例提供一種病毒檢測方法、裝置以及防火墻設備，用于降低模式匹配在病毒檢測過程中消耗的系統資源。

根據本發明實施例的一個方面，提供一種病毒檢測方法，包括：

在文件傳輸過程中，從傳輸的數據包中獲得所述文件的文件類型；

根據所述文件類型獲得所述文件的結構特征信息；

根據所述文件的結構特征信息從傳輸的數據包中獲得所述文件的宏數據；

根據宏病毒的威脅特征字符串對所述文件的宏數據進行病毒檢測。

根據本發明實施例的另一個方面，提供一種病毒檢測裝置，包括：

第一獲取模塊，用于在文件傳輸過程中，從傳輸的數據包中獲得所述文件的文件類型；

第二獲取模塊，用于根據所述文件類型獲得所述文件的結構特征信息，并根據所述文件的結構特征信息獲取所述文件的宏數據；

檢測模塊，用于根據宏病毒的威脅特征字符串對所述文件的宏數據進行病毒檢測。

根據本發明實施例的又一個方面，提供一種防火墻設備，包括上述的病毒檢測裝置。

本發明提供的病毒檢測方法、裝置以及防火墻設備，其中在進行病毒檢測時，提取待檢測文件的宏數據，且進行待檢測文件的宏數據進行病毒檢測，能夠降低病毒檢測的難度，提高檢測效率的同時減少對系統資源的消耗。另外，本發明上述實施例中是在文件傳輸過程中，直接地從傳輸的數據包中獲取文件的文件類型，是一種基于流的病毒檢測技術方案，不需要將傳輸整個文件的數據包對緩存下來再進行病毒檢測，能夠有效降低病毒檢測對數據包傳輸過程的影響，提高用戶體驗。

附圖說明

為了更清楚地說明本發明實施例或現有技術中的技術方案，下面將對實施例描述中所需要使用的附圖作一簡單地介紹，顯而易見地，下面描述中的附圖是本發明的一些實施例，對于本領域普通技術人員來講，在不付出創造性勞動性的前提下，還可以根據這些附圖獲得其他的附圖。

圖1為本發明實施例中病毒檢測方法的流程示意圖；

圖2為圖1所示實施例中獲取文件結構特征信息和宏數據的步驟流程圖；

圖3為本發明實施例中doc文件的物理結構圖；

圖4為本發明實施例中doc文件的邏輯結構圖；

圖5為圖2所示實施例中查找宏數據的步驟流程圖；

圖6為圖5所示實施例中查找文件類型屬性的步驟流程圖；

圖7為本發明具體實施例中病毒檢測的場景示意圖；

圖8為本發明具體實施例中病毒檢測過程的流程示意圖一；

圖9為本發明具體實施例中病毒檢測過程的流程示意圖二；

圖10為本發明實施例中病毒檢測裝置的結構示意圖；

圖11為圖10所示實施例中第二獲取模塊的結構示意圖。

具體實施方式

為使本發明實施例的目的、技術方案和優點更加清楚，下面將結合本發明實施例中的附圖，對本發明實施例中的技術方案進行清楚、完整地描述，顯然，所描述的實施例是本發明一部分實施例，而不是全部的實施例。基于本發明中的實施例，本領域普通技術人員在沒有作出創造性勞動前提下所獲得的所有其他實施例，都屬于本發明保護的范圍。

圖1為本發明實施例中病毒檢測方法的流程示意圖，如圖1所示，包括如下的步驟：

步驟101、在文件傳輸過程中，從傳輸的數據包中獲得所述文件的文件類型；