專利名稱::利用dfa在網(wǎng)關(guān)處進(jìn)行基于網(wǎng)絡(luò)流的病毒檢測(cè)方法
技術(shù)領(lǐng)域:
:本發(fā)明涉及在網(wǎng)關(guān)設(shè)備上進(jìn)行病毒檢測(cè)的技術(shù),特別涉及一種利用DFA在網(wǎng)關(guān)處進(jìn)行基于網(wǎng)絡(luò)流的病毒檢測(cè)方法,屬于計(jì)算機(jī)網(wǎng)絡(luò)安全
技術(shù)領(lǐng)域:
。
背景技術(shù):
:伴隨著計(jì)算機(jī)技術(shù)的發(fā)展,計(jì)算機(jī)病毒也大量產(chǎn)生出來;計(jì)算機(jī)病毒威脅著計(jì)算機(jī)數(shù)據(jù)的安全,干擾著人們正常的工作,嚴(yán)重地困擾著計(jì)算機(jī)及其網(wǎng)絡(luò)用戶,給人類帶來了無法估量的損失?;ヂ?lián)網(wǎng)技術(shù)的發(fā)展在為人類帶來前所未有的便利的同時(shí),也為計(jì)算機(jī)病毒的廣泛蔓延帶來了更大的便利。計(jì)算機(jī)病毒借助互聯(lián)網(wǎng)肆無忌憚地傳播,困擾著各個(gè)領(lǐng)域越來越多的計(jì)算機(jī)用戶,因此,査殺計(jì)算機(jī)病毒和防止其傳播的任務(wù)越來越重要。傳統(tǒng)的計(jì)算機(jī)防病毒方法通常在單個(gè)計(jì)算機(jī)上進(jìn)行,即使計(jì)算機(jī)位于互聯(lián)網(wǎng)中也是如此,這種方法有如下的缺點(diǎn)首先,單機(jī)查殺病毒的方法只能殺出本機(jī)內(nèi)部受病毒感染的文件,而對(duì)于真正藏匿在互聯(lián)網(wǎng)服務(wù)器內(nèi)的病毒源并沒有及時(shí)地進(jìn)行處理,如果該服務(wù)器沒有受到保護(hù),將可能是整個(gè)互聯(lián)網(wǎng)中的所有用戶和內(nèi)部網(wǎng)絡(luò)受到病毒迅速而廣泛的攻擊。不僅如此,被病毒感染的計(jì)算機(jī)又可能成為新的病毒源,其受病毒的控制攻擊更多的計(jì)算機(jī),由此帶來一系列的連鎖反應(yīng),加大了病毒的攻擊范圍,增加了病毒的危害性,最終導(dǎo)致互聯(lián)網(wǎng)癱瘓,給互聯(lián)網(wǎng)用戶帶來災(zāi)難性的損失。其次,現(xiàn)有的各種防病毒軟件與其所運(yùn)行的操作平臺(tái)有關(guān),其需要各自頻繁的更新、升級(jí)、保養(yǎng)和監(jiān)察,這必然會(huì)導(dǎo)致大量時(shí)間和資源的浪費(fèi)。另外,由于傳統(tǒng)的防火墻只具備拒絕非法訪問的能力,而電子郵件病毒和一些互聯(lián)網(wǎng)網(wǎng)頁中的惡意代碼(如ActiveXControl和Javaapplet)卻能穿透防火墻,對(duì)企業(yè)內(nèi)部網(wǎng)絡(luò)進(jìn)行攻擊,使被攻擊的企業(yè)蒙受巨大的損失。針對(duì)這種狀況,最近幾年推出了網(wǎng)關(guān)級(jí)的病毒查殺產(chǎn)品,在網(wǎng)絡(luò)邊界上攔截病毒,控制病毒的傳播,病毒不能傳播,其危害性就大大降低。目前網(wǎng)關(guān)級(jí)的病毒査殺產(chǎn)品,對(duì)于HTTP數(shù)據(jù)的處理,都是通過在網(wǎng)關(guān)中架設(shè)Proxy程序,將HTTP數(shù)據(jù)重定向到Proxy程序中,Proxy程序?qū)TTP數(shù)據(jù)進(jìn)行七層還原,重組為文件,并將文件輸入病毒引擎進(jìn)行病毒查殺,然后Proxy程序?qū)TTP數(shù)據(jù)發(fā)送給終端。這種方式存在以下幾個(gè)問題①Proxy方式只能根據(jù)80端口識(shí)別HTTP協(xié)議,對(duì)于網(wǎng)絡(luò)上大量的非標(biāo)準(zhǔn)80端口的HTTP數(shù)據(jù),存在漏査問題;②每個(gè)HTTP數(shù)據(jù)包都要經(jīng)過協(xié)議棧進(jìn)入應(yīng)用層的Proxy程序進(jìn)行處理,網(wǎng)絡(luò)性能急劇下降;③Proxy必須等所有數(shù)據(jù)到達(dá),完成文件重組并完成病毒掃描之后,才能將數(shù)據(jù)發(fā)送給終端,造成HTTP訪問時(shí)延急劇增大,大文件無法下載成功等問題,同時(shí)緩存會(huì)占用大量的內(nèi)存和磁盤資源;④Proxy需要維護(hù)到終端和到HTTP服務(wù)器的大量TCP連接,大量的連接建立和拆除會(huì)耗費(fèi)網(wǎng)關(guān)的CPU資源,大量的連接還耗費(fèi)網(wǎng)關(guān)的內(nèi)存資源。
發(fā)明內(nèi)容本發(fā)明的目的是克服現(xiàn)有技術(shù)存在的不足,提供一種在網(wǎng)關(guān)設(shè)備中利用DFA進(jìn)行基于網(wǎng)絡(luò)流病毒檢測(cè)的方法。本發(fā)明的目的通過以下技術(shù)方案來實(shí)現(xiàn)利用DFA在網(wǎng)關(guān)處進(jìn)行基于網(wǎng)絡(luò)流的病毒檢測(cè)方法,特點(diǎn)是病毒檢測(cè)過程包括以下步驟——1)在協(xié)議棧中將網(wǎng)絡(luò)數(shù)據(jù)包重定向到病毒檢測(cè)程序;2)病毒檢測(cè)程序按照網(wǎng)絡(luò)流組織網(wǎng)絡(luò)數(shù)據(jù)包;3)病毒檢測(cè)程序?qū)⒕W(wǎng)絡(luò)數(shù)據(jù)包輸入DFA引擎;4)DFA引擎按照預(yù)先編譯好的病毒特征庫進(jìn)行病毒檢測(cè),如果檢測(cè)到病毒,病毒檢測(cè)程序向網(wǎng)絡(luò)終端發(fā)出病毒告警,并中斷網(wǎng)絡(luò)流,如果未匹配到病毒,則放行網(wǎng)絡(luò)數(shù)據(jù)包。進(jìn)一步地,上述的利用DFA在網(wǎng)關(guān)處進(jìn)行基于網(wǎng)絡(luò)流的病毒檢測(cè)方法,所述的網(wǎng)絡(luò)數(shù)據(jù)包是指HTTP協(xié)議的數(shù)據(jù)包,HTTP協(xié)議數(shù)據(jù)包是通過提取HTTP協(xié)議特征碼并在協(xié)議棧中利用DFA匹配得到,所述的DFA由DFA編譯程序和DFA引擎組成,DFA引擎支持在多次輸入過程中保持狀態(tài)。更進(jìn)一步地,上述的利用DFA在網(wǎng)關(guān)處進(jìn)行基于網(wǎng)絡(luò)流的病毒檢測(cè)方法,所述的病毒檢測(cè)程序是應(yīng)用層程序,網(wǎng)絡(luò)數(shù)據(jù)包重定向是直接從內(nèi)核層傳遞到應(yīng)用層,不需要經(jīng)過協(xié)議棧一層一層傳遞到應(yīng)用層。更進(jìn)一步地,上述的利用DFA在網(wǎng)關(guān)處進(jìn)行基于網(wǎng)絡(luò)流的病毒檢測(cè)方法,所述的網(wǎng)絡(luò)流由五元組源IP地址、目的IP地址、源端口、目的端口及傳輸層協(xié)議類型組成;所述按照網(wǎng)絡(luò)流組織網(wǎng)絡(luò)數(shù)據(jù)包是指按照網(wǎng)絡(luò)流對(duì)網(wǎng)絡(luò)數(shù)據(jù)包進(jìn)行分組,按照TCP協(xié)議規(guī)范對(duì)TCP數(shù)據(jù)包進(jìn)行重組,使輸入到DFA引擎的數(shù)據(jù)有序。再進(jìn)一步地,上述的利用DFA在網(wǎng)關(guān)處進(jìn)行基于網(wǎng)絡(luò)流的病毒檢測(cè)方法,所述的DFA引擎是一個(gè)程序庫或者獨(dú)立的進(jìn)程,DFA引擎保存上次掃描狀態(tài)并在下次掃描時(shí)恢復(fù)掃描狀態(tài);不必一次向DFA引擎輸入所有的數(shù)據(jù),可以分多次輸入,因此不需要在査毒之前進(jìn)行七層的文件重組。在將網(wǎng)絡(luò)數(shù)據(jù)包輸入DFA引擎之前,對(duì)HTTP數(shù)據(jù)包進(jìn)行分析,如果只有HTTPHEADER,則放行網(wǎng)絡(luò)數(shù)據(jù)包,如果含有HTTPBODY數(shù)據(jù),則取出BODY數(shù)據(jù),輸入DFA引擎進(jìn)行掃描。在放行之前,通過分析HTTPHEADER,得到BODY的類型信息,對(duì)某些類型的BODY,認(rèn)為不可能含有病毒,直接放行。再進(jìn)一步地,上述的利用DFA在網(wǎng)關(guān)處進(jìn)行基于網(wǎng)絡(luò)流的病毒檢測(cè)方法,所述網(wǎng)絡(luò)終端是指觸發(fā)病毒的網(wǎng)絡(luò)流在局域網(wǎng)一側(cè)對(duì)應(yīng)的設(shè)備。本發(fā)明技術(shù)方案突出的實(shí)質(zhì)性特點(diǎn)和顯著的進(jìn)步主要體現(xiàn)在通過在協(xié)議棧中將符合特征的網(wǎng)絡(luò)數(shù)據(jù)包直接重定向到病毒檢測(cè)程序,與傳統(tǒng)的網(wǎng)關(guān)防毒技術(shù)相比,大大減少了協(xié)議棧帶來的數(shù)據(jù)包延時(shí)。本發(fā)明在病毒檢測(cè)程序中,通過DFA進(jìn)行病毒檢測(cè),病毒檢測(cè)速度比傳統(tǒng)的網(wǎng)關(guān)防毒技術(shù)提高10倍以上。而且,在病毒檢測(cè)程序中以網(wǎng)絡(luò)流的方式組織網(wǎng)絡(luò)數(shù)據(jù)包,不需要維護(hù)大量TCP連接,節(jié)省了CPU和內(nèi)存資源。此外,在進(jìn)行病毒檢測(cè)的同時(shí)發(fā)送數(shù)據(jù)包,大大減少了病毒檢測(cè)帶來的延時(shí),改善了用戶的網(wǎng)絡(luò)體驗(yàn)。下面結(jié)合附圖對(duì)本發(fā)明技術(shù)方案作進(jìn)一步說明圖1:利用DFA在網(wǎng)關(guān)處進(jìn)行基于網(wǎng)絡(luò)流的病毒檢測(cè)系統(tǒng)的架構(gòu);圖2:病毒檢測(cè)應(yīng)用程序的流程圖。圖中各附圖標(biāo)記的含義見下表附圖標(biāo)記含義英文名1網(wǎng)絡(luò)數(shù)據(jù)包Packets2局域網(wǎng)接口IAN3內(nèi)核Kernel4內(nèi)核數(shù)據(jù)包隊(duì)列ipq內(nèi)核和用戶態(tài)通信鏈路Netlink6用戶態(tài)病毒檢測(cè)程序FUM包組織和三層處理模塊PSM8核心包處理模塊PPM9函數(shù)調(diào)用Call10DFA引擎DFAEngine<table>tableseeoriginaldocumentpage8</column></row><table>本發(fā)明網(wǎng)關(guān)設(shè)備查毒方法包括以下步驟①在協(xié)議棧中將符合特征的網(wǎng)絡(luò)數(shù)據(jù)包直接重定向到病毒檢測(cè)程序;②病毒檢測(cè)程序?qū)凑站W(wǎng)絡(luò)流組織網(wǎng)絡(luò)數(shù)據(jù)包;③病毒檢測(cè)程序?qū)⒕W(wǎng)絡(luò)數(shù)據(jù)包輸入DFA引擎;④DFA引擎按照預(yù)先編譯好的病毒特征庫,進(jìn)行病毒檢測(cè);如果檢測(cè)到,病毒檢測(cè)程序向網(wǎng)絡(luò)終端發(fā)出病毒告警,并中斷網(wǎng)絡(luò)流,如果未匹配到病毒,則放行網(wǎng)絡(luò)數(shù)據(jù)包。需說明的是,HTTP數(shù)據(jù)是利用DFA通過HTTP數(shù)據(jù)包特征來識(shí)別的,不是通過端口號(hào)來識(shí)別的,因此不存在漏查問題。HTTP數(shù)據(jù)是直接重定向到應(yīng)用層病毒檢測(cè)程序,而不是通過協(xié)議棧一層一層地向上傳遞到應(yīng)用層,大大減少了協(xié)議棧帶來的延時(shí)。HTTP數(shù)據(jù)在應(yīng)用層,按照網(wǎng)絡(luò)流的方式組織起來,不需要維護(hù)到終端和HTTP服務(wù)器的TCP連接,大大減少了對(duì)網(wǎng)關(guān)的資源占用,降低了網(wǎng)關(guān)的硬件要求。HTTP數(shù)據(jù)在應(yīng)用層,經(jīng)過數(shù)據(jù)重組后,直接輸入DFA引擎進(jìn)行病毒查殺,不需要等待所有數(shù)據(jù)到達(dá),不需要緩存,節(jié)省了內(nèi)存和磁盤資源,大大減少了HTTP訪問延時(shí)。通過緩存HTTP訪問信息,當(dāng)終端下次對(duì)同一URL發(fā)起HTTP請(qǐng)求時(shí),通知終端病毒信息。病毒檢測(cè)程序在檢測(cè)到病毒之后,并不立即向終端發(fā)出病毒告警,而是緩存病毒信息,并在該終端再次發(fā)起同樣的HTTP請(qǐng)求時(shí),向終端發(fā)送病毒告警。本發(fā)明病毒檢測(cè)方法不依賴于特定的硬件或軟件平臺(tái),但是如果選用Linux平臺(tái),利用平臺(tái)已有的模塊,實(shí)現(xiàn)起來更方便,下面就以Linux平臺(tái)為例,介紹具體實(shí)施方式。如圖1是利用DFA在網(wǎng)關(guān)處進(jìn)行基于網(wǎng)絡(luò)流的病毒檢測(cè)的系統(tǒng)架構(gòu),網(wǎng)絡(luò)數(shù)據(jù)包1進(jìn)入局域網(wǎng)接口(LAN)2后,內(nèi)核(Kernel)3進(jìn)行HTTP協(xié)議特征識(shí)別后,將網(wǎng)絡(luò)數(shù)據(jù)包1入內(nèi)核數(shù)據(jù)包隊(duì)列(Ipq)4,通過內(nèi)核和用戶態(tài)通信鏈路(Netlink)5重定向到用戶態(tài)病毒檢測(cè)程序(FUM)6,用戶態(tài)病毒檢測(cè)程序6的子模塊包組織和三層處理模塊(PSM)7從內(nèi)核和用戶態(tài)通信鏈路5接收網(wǎng)絡(luò)數(shù)據(jù)包1,根據(jù)五元組組織網(wǎng)絡(luò)數(shù)據(jù)包1,然后將網(wǎng)絡(luò)數(shù)據(jù)包1傳遞到核心包處理模塊(PPM)8,核心包處理模塊8調(diào)用DFA引擎10進(jìn)行病毒掃描,如果沒有病毒,就通過內(nèi)核和用戶態(tài)通信鏈路(Netlink)11將網(wǎng)絡(luò)數(shù)據(jù)包1重定向到內(nèi)核3,內(nèi)核3接著將網(wǎng)絡(luò)數(shù)據(jù)包1通過廣域網(wǎng)接口(Wan)13發(fā)送到intemet。圖2是用戶態(tài)病毒檢測(cè)程序FUM的內(nèi)部處理流程,包括——Sll:FUM(用戶態(tài)病毒檢測(cè)程序)的子模塊PSM(包組織和三層處理模塊)從Netlink(內(nèi)核和用戶態(tài)通信鏈路)接收網(wǎng)絡(luò)數(shù)據(jù)包,存放到緩沖區(qū)中;S12:PSM從網(wǎng)絡(luò)數(shù)據(jù)包中提取五元組源IP地址、目的IP地址、源端口號(hào)、目的端口號(hào)、四層協(xié)議類型。根據(jù)五元組,在系統(tǒng)的網(wǎng)絡(luò)流表格中進(jìn)行匹配,如果匹配成功,則進(jìn)入S14,如果匹配失敗,進(jìn)入S13;S13:PSM創(chuàng)建新的網(wǎng)絡(luò)流記錄,該記錄以五元組為主鍵,并插入到網(wǎng)絡(luò)流表格中;S14:判斷網(wǎng)絡(luò)數(shù)據(jù)包是否只含有HTTPHeader信息,是則進(jìn)入S15,否則進(jìn)入S16;S15:HTTPHeader不可能含有病毒,直接放行網(wǎng)絡(luò)數(shù)據(jù)包;S16:判斷是否為壓縮數(shù)據(jù),是則進(jìn)入S17,否則進(jìn)入S23;S17:根據(jù)HTTPHeader信息和頭幾個(gè)網(wǎng)絡(luò)數(shù)據(jù)包的信息,檢測(cè)壓縮文件類型;S18:判斷該壓縮文件類型是否支持分段解壓縮,常用的RAR、ZIP類型都是支持分段解壓縮的,是則進(jìn)入S19,否則進(jìn)入S20;S19:進(jìn)行分段解壓縮;S20:判斷該網(wǎng)絡(luò)數(shù)據(jù)包是否為最后一段數(shù)據(jù),是則進(jìn)入S22,否則進(jìn)入S21;S21:拷貝網(wǎng)絡(luò)數(shù)據(jù)包到系統(tǒng)緩存,并放行網(wǎng)絡(luò)數(shù)據(jù)包;S22:將系統(tǒng)緩沖區(qū)數(shù)據(jù)取出,組成壓縮文件,并進(jìn)行解壓縮;S23:將網(wǎng)絡(luò)數(shù)據(jù)包或解壓縮后的數(shù)據(jù)輸入DFA引擎進(jìn)行病毒特征檢測(cè),如果有病毒,進(jìn)入S25,沒有病毒進(jìn)入S24;S24:放行網(wǎng)絡(luò)數(shù)據(jù)包,PPM(核心包處理模塊)通過Netlink(內(nèi)核和用戶態(tài)通信鏈路)將網(wǎng)絡(luò)數(shù)據(jù)包重定向到內(nèi)核;S25:PPM切斷該數(shù)據(jù)流。試用表明,本發(fā)明在協(xié)議棧中將符合特征的網(wǎng)絡(luò)數(shù)據(jù)包直接重定向到病毒檢測(cè)程序,大大減少了協(xié)議棧帶來的數(shù)據(jù)包延時(shí)。在病毒檢測(cè)程序中,通過DFA進(jìn)行病毒檢測(cè),DFA病毒檢測(cè)的速度可提高IO倍以上。還有,在病毒檢測(cè)程序中,以網(wǎng)絡(luò)流的方式組織網(wǎng)絡(luò)數(shù)據(jù)包,不需要維護(hù)大量TCP連接,節(jié)省了CPU和內(nèi)存資源。另外,在進(jìn)行病毒檢測(cè)的同時(shí)發(fā)送數(shù)據(jù)包,大大減少了病毒檢測(cè)帶來的延時(shí),改善了用戶的網(wǎng)絡(luò)體驗(yàn)。以上僅是本發(fā)明的具體應(yīng)用范例,對(duì)本發(fā)明的保護(hù)范圍不構(gòu)成任何限制。凡采用等同變換或者等效替換而形成的技術(shù)方案,均落在本發(fā)明權(quán)利保護(hù)范圍之內(nèi)。權(quán)利要求1.利用DFA在網(wǎng)關(guān)處進(jìn)行基于網(wǎng)絡(luò)流的病毒檢測(cè)方法,其特征在于病毒檢測(cè)過程包括以下步驟——1)在協(xié)議棧中將網(wǎng)絡(luò)數(shù)據(jù)包重定向到病毒檢測(cè)程序;2)病毒檢測(cè)程序按照網(wǎng)絡(luò)流組織網(wǎng)絡(luò)數(shù)據(jù)包;3)病毒檢測(cè)程序?qū)⒕W(wǎng)絡(luò)數(shù)據(jù)包輸入DFA引擎;4)DFA引擎按照預(yù)先編譯好的病毒特征庫進(jìn)行病毒檢測(cè),檢測(cè)到病毒,病毒檢測(cè)程序向網(wǎng)絡(luò)終端發(fā)出病毒告警,并中斷網(wǎng)絡(luò)流,未匹配到病毒,則放行網(wǎng)絡(luò)數(shù)據(jù)包。2.根據(jù)權(quán)利要求1所述的利用DFA在網(wǎng)關(guān)處進(jìn)行基于網(wǎng)絡(luò)流的病毒檢測(cè)方法,其特征在于:所述的網(wǎng)絡(luò)數(shù)據(jù)包是指HTTP協(xié)議的數(shù)據(jù)包,HTTP協(xié)議數(shù)據(jù)包是通過提取HTTP協(xié)議特征碼并在協(xié)議棧中利用DFA匹配得至U,所述的DFA由DFA編譯程序和DFA引擎組成,DFA引擎支持在多次輸入過程中保持狀態(tài)。3.根據(jù)權(quán)利要求1所述的利用DFA在網(wǎng)關(guān)處進(jìn)行基于網(wǎng)絡(luò)流的病毒檢測(cè)方法,其特征在于所述的病毒檢測(cè)程序是應(yīng)用層程序,網(wǎng)絡(luò)數(shù)據(jù)包重定向是直接從內(nèi)核層傳遞到應(yīng)用層。4.根據(jù)權(quán)利要求1所述的利用DFA在網(wǎng)關(guān)處進(jìn)行基于網(wǎng)絡(luò)流的病毒檢測(cè)方法,其特征在于所述的網(wǎng)絡(luò)流由五元組源IP地址、目的IP地址、源端口、目的端口及傳輸層協(xié)議類型組成;所述按照網(wǎng)絡(luò)流組織網(wǎng)絡(luò)數(shù)據(jù)包是指按照網(wǎng)絡(luò)流對(duì)網(wǎng)絡(luò)數(shù)據(jù)包進(jìn)行分組,按照TCP協(xié)議規(guī)范對(duì)TCP數(shù)據(jù)包進(jìn)行重組,使輸入到DFA引擎的數(shù)據(jù)有序。5.根據(jù)權(quán)利要求1所述的利用DFA在網(wǎng)關(guān)處進(jìn)行基于網(wǎng)絡(luò)流的病毒檢測(cè)方法,其特征在于所述的DFA引擎是一個(gè)程序庫或者獨(dú)立的進(jìn)程,DFA引擎保存上次掃描狀態(tài)并在下次掃描時(shí)恢復(fù)掃描狀態(tài);在將網(wǎng)絡(luò)數(shù)據(jù)包輸入DFA引擎之前,對(duì)HTTP數(shù)據(jù)包進(jìn)行分析,只有HTTPHEADER則放行網(wǎng)絡(luò)數(shù)據(jù)包,含有HTTPBODY數(shù)據(jù)則取出BODY數(shù)據(jù)輸入DFA引擎進(jìn)行掃描。6.根據(jù)權(quán)利要求1所述的利用DFA在網(wǎng)關(guān)處進(jìn)行基于網(wǎng)絡(luò)流的病毒檢測(cè)方法,其特征在于所述網(wǎng)絡(luò)終端是指觸發(fā)病毒的網(wǎng)絡(luò)流在局域網(wǎng)一側(cè)對(duì)應(yīng)的設(shè)備。全文摘要本發(fā)明涉及利用DFA在網(wǎng)關(guān)處進(jìn)行基于網(wǎng)絡(luò)流的病毒檢測(cè)方法,其病毒檢測(cè)過程是首先在協(xié)議棧中將網(wǎng)絡(luò)數(shù)據(jù)包重定向到病毒檢測(cè)程序;病毒檢測(cè)程序按照網(wǎng)絡(luò)流組織網(wǎng)絡(luò)數(shù)據(jù)包;病毒檢測(cè)程序?qū)⒕W(wǎng)絡(luò)數(shù)據(jù)包輸入DFA引擎;DFA引擎按照預(yù)先編譯好的病毒特征庫進(jìn)行病毒檢測(cè),如果檢測(cè)到病毒,病毒檢測(cè)程序向網(wǎng)絡(luò)終端發(fā)出病毒告警,并中斷網(wǎng)絡(luò)流,如果未匹配到病毒,則放行網(wǎng)絡(luò)數(shù)據(jù)包。本發(fā)明將符合特征的網(wǎng)絡(luò)數(shù)據(jù)包直接重定向到病毒檢測(cè)程序,大大減少了協(xié)議棧帶來的數(shù)據(jù)包延時(shí);通過DFA進(jìn)行病毒檢測(cè),速度可提高10倍以上;而且,以網(wǎng)絡(luò)流的方式組織網(wǎng)絡(luò)數(shù)據(jù)包不需要維護(hù)大量TCP連接,節(jié)省了CPU和內(nèi)存資源。文檔編號(hào)H04L12/56GK101252576SQ20081001972公開日2008年8月27日申請(qǐng)日期2008年3月13日優(yōu)先權(quán)日2008年3月13日發(fā)明者劉繼明,林恩峰,王東泉,煒謝申請(qǐng)人:蘇州愛迪比科技有限公司;網(wǎng)經(jīng)科技(蘇州)有限公司