本申请提供一种文件传输方法、装置,网络安全设备及存储介质。该方法包括:接收第一终端发送的携带网络数据块的流量报文;获取流量报文中的指纹信息;其中,指纹信息用于标识网络数据块所属的文件,文件被拆分为多个网络数据块,且通过断点续传的方式进行传输;查询本地存储的恶意指纹信息中是否包含指纹信息;其中,恶意指纹信息为识别出的恶意文件对应的指纹信息;当恶意指纹信息中包含指纹信息时,基于第一预设处理方式对流量报文进行处理。通过该方式使得即使文件采用断点续传的方式进行传输,也能够对中断后继续传输的网络数据块进行有效地识别,进而阻断恶意文件的续传。进而阻断恶意文件的续传。进而阻断恶意文件的续传。
【技术实现步骤摘要】
一种文件传输方法、装置,网络安全设备及存储介质
[0001]本申请涉及数据传输
,具体而言,涉及一种文件传输方法、装置,网络安全设备及存储介质。
技术介绍
[0002]目前防火墙、下代防火墙等网络安全设备中,具备入侵检测、病毒扫描、内容过滤、沙箱防护等功能。其可以对网络传输的文件进行安全检测,当发现文件包含特征、病毒或者特定关键字时会阻止文件的传播,以达到保护网络安全或者防止数据信息泄漏的目的。
[0003]为了保证文件的有效传输,目前的文件传输方式,通常是将一个较大的文件拆分为多个网络数据块进行传输。网络安全设备在检测时,会依次对各个网络数据块进行检测。由于组成病毒的字符串可能会分布在不同的网络数据块中,而网络安全设备只有检测出组成病毒的所有字符串后才会确定文件为恶意文件。此种文件传输方式会使得接收端已经有部分可能携带病毒字符串的网络数据块被接收,此时可以中断传输以防止所有组成病毒的字符串传输至接收端。但专利技术人在研究中发现,若是在文件传输过程中采用断点续传的方式,接收端在请求第二次传输文件时,发送端会将剩余的网络数据块进行传输,而不再传输已成功传递的网络数据块。由于断点续传的方式相当于重新建立了一条会话,使得网络安全设备在检测时会将剩余的网络数据块作为一个新的文件,进而导致剩余的携带病毒字符串的网络数据块可能被传输至接收端,造成接收端被恶意文件攻击。
技术实现思路
[0004]本申请实施例的目的在于提供一种文件传输方法、装置,网络安全设备及存储介质,以阻断恶意文件以断点续传的方式被接收端接收。
[0005]本专利技术是这样实现的:
[0006]第一方面,本申请实施例提供一种文件传输方法,应用于网络安全设备,包括:接收第一终端发送的携带网络数据块的流量报文;获取所述流量报文中的指纹信息;其中,所述指纹信息用于标识所述网络数据块所属的文件,所述文件被拆分为多个网络数据块,且通过断点续传的方式进行传输;查询本地存储的恶意指纹信息中是否包含所述指纹信息;其中,所述恶意指纹信息为识别出的恶意文件对应的指纹信息;当所述恶意指纹信息中包含所述指纹信息时,基于第一预设处理方式对所述流量报文进行处理。
[0007]在本申请实施例中,网络安全设备会预先存储有恶意文件对应的指纹信息,进而在接收到第一终端发送的携带网络数据块的流量报文后,能够通过流量报文所携带的指纹信息判断网络数据块是否属于恶意文件,若是,则对接收到的流量报文进行相应的处理。通过该方式使得即使文件采用断点续传的方式进行传输,也能够对中断后继续传输的网络数据块进行有效地识别,进而阻断恶意文件的续传。
[0008]结合上述第一方面提供的技术方案,在一些可能的实现方式中,所述基于第一预设处理方式对所述流量报文进行处理,包括:基于与所述指纹信息相同的恶意指纹信息所
对应的处理方式,对所述流量报文进行处理。
[0009]在本申请实施例中,基于与指纹信息相同的恶意指纹信息所对应的处理方式,对流量报文进行处理,能够加快对流量报文的处理流程,提高处理效率。
[0010]结合上述第一方面提供的技术方案,在一些可能的实现方式中,所述方法还包括:当所述恶意指纹信息中不包含所述指纹信息时,对所述流量报文进行检测;当所述流量报文的检测结果表征所述文件为恶意文件时,基于第二预设处理方式对所述流量报文进行处理,并将所述指纹信息,以及所述流量报文的处理方式进行存储;当所述流量报文的检测结果表征所述文件为非恶意文件时,将所述流量报文转发至与所述流量报文对应的第二终端。
[0011]在本申请实施例中,当恶意指纹信息中不包含流量报文的指纹信息时,对流量报文进行检测,若是检测出该流量报文对应的文件为恶意文件时,对流量报文进行处理,并将指纹信息,以及流量报文的处理方式进行存储以便于后续网络安全设备在接收到相同的指纹信息的流量报文时,快速进行处理。
[0012]结合上述第一方面提供的技术方案,在一些可能的实现方式中,所述基于第二预设处理方式对所述流量报文进行处理,包括:将所述流量报文中的病毒字符串进行替换;将所述病毒字符串替换后的流量报文发送至所述第二终端。
[0013]在本申请实施例中,若是检测出该流量报文对应的文件为恶意文件时,则可以将流量报文中的病毒字符串进行替换,以去除网络数据块中的病毒字符串,进而使得网络数据块继续传输至第二终端后,也不会导致第二终端被病毒攻击。
[0014]结合上述第一方面提供的技术方案,在一些可能的实现方式中,当所述流量报文为IP协议承载的TCP协议报文或UDP协议报文时,所述获取所述流量报文中的指纹信息,包括:获取所述流量报文中的源IP地址、目的IP地址及目的端口;其中,所述流量报文中的源IP地址、目的IP地址及目的端口为所述指纹信息。
[0015]在本申请实施例中,当流量报文为IP协议承载的TCP协议报文或UDP协议报文时,提取流量报文中的源IP地址、目的IP地址及目的端口作为指纹信息,以便对IP协议承载的TCP协议报文或UDP协议报文的网络数据块进行有效地识别。
[0016]结合上述第一方面提供的技术方案,在一些可能的实现方式中,当所述流量报文为HTTP协议的报文时,所述获取所述流量报文中的指纹信息,包括:获取所述流量报文中的统一资源定位符、目的终端地址、文件编码方式及文件类型;其中,所述指纹信息包括所述流量报文中的统一资源定位符、目的终端地址、文件名、文件编码方式及文件类型。
[0017]在本申请实施例中,当流量报文为HTTP协议的报文时,提取流量报文中的统一资源定位符、目的终端地址、文件名、文件编码方式及文件类型,以便对HTTP协议的流量报文中的网络数据块进行有效地识别。
[0018]结合上述第一方面提供的技术方案,在一些可能的实现方式中,当所述流量报文为FTP协议的报文时,所述获取所述流量报文中的指纹信息,包括:解析所述流量报文以获取所述流量报文的传输路径及文件名称;其中,所述流量报文的传输路径及所述文件名称为所述指纹信息。
[0019]在本申请实施例中,当流量报文为FTP协议的报文时,提取流量报文的传输路径及文件名称作为指纹信息,以便对FTP协议的流量报文中的网络数据块进行有效地识别。
[0020]第二方面,本申请实施例提供一种文件传输装置,应用于网络安全设备,包括:接收模块,用于接收第一终端发送的携带网络数据块的流量报文;获取模块,获取所述流量报文中的指纹信息;其中,所述指纹信息用于标识所述网络数据块所属的文件,所述文件被拆分为多个网络数据块,且通过断点续传的方式进行传输;查询模块,用于查询本地存储的恶意指纹信息中是否包含所述指纹信息;其中,所述恶意指纹信息为识别出的恶意文件对应的指纹信息;处理模块,用于当所述恶意指纹信息中包含所述指纹信息时,基于第一预设处理方式对所述流量报文进行处理。
[0021]第三方面,本申请实施例提供一种网络安全设备,包括:处理器和存储器,所述处理器和所述存储器连接;所述存储器用于存储程序;所述处理器用于调用本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种文件传输方法,其特征在于,应用于网络安全设备,包括:接收第一终端发送的携带网络数据块的流量报文;获取所述流量报文中的指纹信息;其中,所述指纹信息用于标识所述网络数据块所属的文件,所述文件被拆分为多个网络数据块,且通过断点续传的方式进行传输;查询本地存储的恶意指纹信息中是否包含所述指纹信息;其中,所述恶意指纹信息为识别出的恶意文件对应的指纹信息;当所述恶意指纹信息中包含所述指纹信息时,基于第一预设处理方式对所述流量报文进行处理。2.根据权利要求1所述的方法,其特征在于,所述基于第一预设处理方式对所述流量报文进行处理,包括:基于与所述指纹信息相同的恶意指纹信息所对应的处理方式,对所述流量报文进行处理。3.根据权利要求2所述的方法,其特征在于,所述方法还包括:当所述恶意指纹信息中不包含所述指纹信息时,对所述流量报文进行检测;当所述流量报文的检测结果表征所述文件为恶意文件时,基于第二预设处理方式对所述流量报文进行处理,并将所述指纹信息,以及所述流量报文的处理方式进行存储;当所述流量报文的检测结果表征所述文件为非恶意文件时,将所述流量报文转发至与所述流量报文对应的第二终端。4.根据权利要求3所述的方法,其特征在于,所述基于第二预设处理方式对所述流量报文进行处理,包括:将所述流量报文中的病毒字符串进行替换;将所述病毒字符串替换后的流量报文发送至所述第二终端。5.根据权利要求1所述的方法,其特征在于,当所述流量报文为IP协议承载的TCP协议报文或UDP协议报文时,所述获取所述流量报文中的指纹信息,包括:获取所述流量报文中的源IP地址、目的IP地址及目的端口;其中,所述流量报文中的源IP地址、目的IP地址及目的端口为所述...
【专利技术属性】
技术研发人员:吴晓伟,王镜清,王海旭,张攀,鲍志军,
申请(专利权)人:山石网科通信技术股份有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。