本申請涉及一種流模式網絡安全檢測方法及系統，涉及網絡數據安全領域。所述方法包括：獲取網絡傳輸文件的數據包，對網絡交互進行分類，將同一交互的數據包組合為數據流；根據每一交互獲取對應交互的數據流，基于網絡協議分析數據流，對所述數據流中的每個數據包進行解析并提取文件塊；獲取并緩存文件對應的文件塊，并設置文件最大緩存長度；設置虛擬文件，所述虛擬文件對應網絡傳輸文件，包括緩存文件塊；基于所述虛擬文件，進行文件形式的安全檢測。本申請的流模式網絡安全檢測方法及系統，通過設置虛擬文件，并對虛擬文件進行文件形式的安全檢測，在一定程度保證文件形式殺毒的高檢測率，又具備流式病毒查殺的優點。

技術領域

本申請涉及網絡數據安全領域，尤其涉及流模式網絡安全檢測方法及系統。

背景技術

網絡病毒是某些人利用計算機軟件和硬件所固有的脆弱性編制的一組指令集或程序代碼。目前，網絡病毒能通過某種途徑潛伏在計算機的存儲介質(或程序)里，當達到某種條件時即被激活，通過修改其他程序的方法將其精確拷貝或者可演化的形式放入其他程序中，從而感染其他程序，對計算機資源進行破壞，網絡病毒是人為造成的，但對其他用戶的危害性很大。

傳統的防病毒功能主要在終端部署殺毒軟件，隨著網絡技術與網絡安全技術的不斷發展，通過端、管、云聯動的體系化安全解決方案，已經成為網絡病毒防護的必要手段。部署在網絡邊界的安全網關需要對應用層的安全進行全面集中控制，以實現網絡從二層到七層的立體安全控制。在應用層安全功能中，防病毒功能有著非常重要的地位，安全網關需要對經過安全網關的FTP，HTTP，POP3，SMTP，IMAP等流量進行實時病毒掃描，例如，現有技術中的內容和防病毒庫中存儲的特征碼，并對含有病毒的文件進行相關處理，實現全面的殺毒功能。

目前，針對網絡數據流的病毒檢測方法主要包括代理模式檢測和流式檢測。代理模式病毒檢測方法與傳統基于文件的病毒檢測方法相近，通過對傳輸會話的透明代理功能，解析網絡數據流，并將數據流中的文件提取出來并保存，再使用傳統病毒檢測引擎對文件進行查殺。這種病毒檢測方式繼承了傳統殺毒軟件成熟的病毒查殺方法，檢測效果好，檢測率高。但對于網絡傳輸會話來說，代理病毒檢測模式將服務端與客戶端的一個會話拆分成兩個會話，因此會對網絡協議一致性產生一定影響，且代理傳輸過程需要緩存大量數據。另一方面，從網絡流量提取文件的過程與病毒檢測的過程是兩個完全串行的階段，大大降低了網絡數據傳輸和檢測效率。流模式病毒檢測模式則是基于上述代理模式缺點進行優化形成的檢測模式。該模式不依賴文件進行檢測，通過將病毒特征庫中的部分序列化特征提取出來，針對網絡數據流進行檢測。流式病毒檢測只能針對網絡文件當前傳輸塊進行文件單方向從前向后的檢測，當文件數據塊傳輸后，無法向前檢測傳輸完畢的文件塊。而傳統病毒檢測多數根據可執行文件格式的特點對文件進行往復的掃描，因此病毒庫中的多數病毒特征無法被充分利用，導致病毒檢測能力差，檢測率低。

因此，期望提供一種流模式網絡安全檢測方法及系統，通過設置虛擬文件，并對虛擬文件進行文件形式的安全檢測，在一定程度保證文件形式殺毒的高檢測率，又具備流式病毒查殺的優點。

發明內容

根據本申請的一些實施例的第一方面，提供了一種流模式網絡安全檢測方法，應用于終端(例如，電子設備等)中，所述方法可以包括：獲取網絡傳輸文件的數據包，對網絡交互進行分類，將同一交互的數據包組合為數據流；根據每一交互獲取對應交互的數據流，基于網絡協議分析數據流，對所述數據流中的每個數據包進行解析并提取文件塊；獲取并緩存文件對應的文件塊，并設置文件最大緩存長度；設置虛擬文件，所述虛擬文件對應網絡傳輸文件，包括緩存文件塊；基于所述虛擬文件，進行文件形式的安全檢測。

在一些實施例中，所述文件形式的安全檢測包括病毒檢測，具體包括根據所述病毒檢測，生成檢測結果；所述檢測結果包括正向結果和負向結果；根據所述負向結果，對網絡交互進行阻斷。

在一些實施例中，通過網絡交互管理模塊獲取數據包，根據所述正向結果，通過文件安全模塊通知檢測結果至所述網絡交互管理模塊。