本申請提供一種文件數據流控制方法、裝置、設備及存儲介質，其中方法包括：緩存當前接收到的第一文件的數據流；獲取所述第一文件中預定位置的第一文件片段，所述第一文件片段可在緩存完所述第一文件前全部獲取；若所述第一文件片段與文件信譽庫中的第二文件片段匹配一致，所述第二文件片段屬于與所述第一文件對應的第二文件，則確定所述第一文件與所述第二文件相同；根據所述第二文件對應的流控標簽，對所述第一文件的數據流執行通行控制。以使防護設備不需要緩存完整的文件，就能完成當前文件的匹配并對當前文件數據流進行控制，從而降低了設備性能消耗，提高了網絡惡意文件的識別效率。

技術領域

本申請涉及網絡安全技術領域，尤其涉及一種文件數據流控制方法、裝置、設備及存儲介質。

背景技術

隨著網絡技術的發展，網絡安全備受重視。網絡惡意文件的識別與阻斷，逐漸成為一個重要研究方向。現有技術中，以防火墻作為防護設備進行數據流量的初步識別，用沙箱設備對網絡文件進行數據特征及文件行為特征等多維度的深度檢測。具體為：防火墻設備用網絡中的數據匹配病毒特征庫，如果匹配成功，則確定數據存在風險并執行阻斷操作；如果沒有匹配成功，則將網絡數據流還原為完整的文件數據并緩存。防火墻設備用緩存的完整文件數據匹配文件信譽庫，如果匹配成功，則根據文件的信譽信息執行放通或阻斷；如果匹配失敗，則將完整文件數據發送至沙箱進行深度檢測。防火墻設備根據沙箱返回的檢測結果執行相應操作，同時將檢測結果添加到文件信譽庫。

現有技術的缺陷在于，防護設備需要將文件全部緩存完成才能進行文件信譽庫匹配，完成對當前文件數據流的控制。緩存整個文件會較大的消耗設備性能，對網絡惡意文件的識別效率較低。

發明內容

本說明書至少一個實施例提供了一種文件數據流控制方案，以在緩存完該文件前，對該文件數據流進行識別和控制。

第一方面，提供了一種文件數據流控制方法，包括：

緩存當前接收到的第一文件的數據流；

獲取所述第一文件中預定位置的第一文件片段，所述第一文件片段可在緩存完所述第一文件前全部獲取；

若所述第一文件片段與文件信譽庫中的第二文件片段匹配一致，所述第二文件片段屬于與所述第一文件對應的第二文件，則確定所述第一文件與所述第二文件相同；

根據所述第二文件對應的流控標簽，對所述第一文件的數據流執行通行控制。

第二方面，提供了一種文件數據流控制裝置，所述裝置包括：

緩存模塊，用于緩存當前接收到的第一文件的數據流；或，用于緩存所述第一文件的數據流為完整第一文件；

獲取模塊，用于獲取所述第一文件中預定位置的第一文件片段，所述第一文件片段可在緩存完所述第一文件前全部獲取；

確定模塊，用于判斷所述第一文件片段與文件信譽庫中的第二文件片段匹配一致，所述第二文件片段屬于與所述第一文件對應的第二文件，則確定所述第一文件與所述第二文件相同；或，用于判斷所述第一文件片段與所述第二文件片段中至少一個文件片段匹配不一致，所述第二文件片段包括一個以上文件片段，則確定所述第一文件與所述第二文件不同；

控制模塊，用于根據所述第二文件對應的流控標簽，對所述第一文件的數據流執行通行控制。

第三方面，提供了一種計算機設備，包括存儲器、處理器及存儲在存儲器上并可在處理器上運行的計算機程序，所述處理器執行所述程序時實現本說明書任一實施例所述的文件數據流控制方法。

第四方面，提供了一種計算機可讀存儲介質，其上存儲有計算機程序，所述程序被處理器執行時實現本說明書任一實施例所述方法的步驟。