[发明专利]扫描方法及装置

说明书

技术领域

本发明实施例涉及通信技术，特别涉及一种扫描方法及装置。 

背景技术

随着网络应用的快速发展，网络环境日益复杂，来自于应用层的安全威胁，如病毒、垃圾邮件、流氓软件等对网络安全造成了巨大的影响。在入侵检测、防病毒网关、反垃圾邮件网关等安全网关设备中，通常采用基于攻击、病毒、垃圾邮件的内容特征码对待扫描的内容进行扫描，查看网络威胁的特征码是否出现在待扫描的内容中。随着多线程技术和片上多处理器技术的不断发展，多核通用中央处理单元(Central Processing Unit；以下简称：CPU)取代了传统CPU。 

现有技术中的一种扫描方法，将待扫描的内容根据当前空闲的CPU个数或线程个数平均分成几段，分别由各个空闲的CPU或线程对各段进行扫描。 

发明人在实现本发明的过程中，发现现有技术中在对待扫描内容进行扫描时，若网络威胁的特征码跨越同一报文或同一待扫描文件的两个分段，无法对该网络威胁的特征码进行识别，从而导致网络威胁的漏报。 

发明内容

本发明实施例提供一种扫描方法及装置，以解决网络威胁的特征码跨越跨越同一报文或同一待扫描文件的两个分段时，无法对该网络威胁的特征码进行识别的问题，实现对待扫描内容中网络威胁特征码的准确识别，减少了网络威胁的漏报的发生。 

本发明实施例提供一种扫描方法，该方法包括： 

根据当前空闲线程个数确定当前待扫描内容的分段数，所述待扫描内容 为待扫描文件或待扫描报文； 

根据所述当前待扫描内容长度、网络威胁特征码中的最大特征码长度以及所述分段数确定所述当前待扫描内容的各段长度，使相邻的两个分段之间重叠所述最大特征码长度个字节； 

将所述当前待扫描内容的各段分别送入当前各空闲线程进行扫描。 

本发明实施例还提供一种扫描装置，该装置包括： 

分段模块，用于根据当前空闲线程个数确定当前待扫描内容的分段数，所述待扫描内容为待扫描文件或待扫描报文；根据所述当前待扫描内容长度、网络威胁特征码中的最大特征码长度以及所述分段数确定所述当前待扫描内容的各段长度，使相邻的两个分段之间重叠所述最大特征码长度个字节； 

扫描模块，用于将当前待扫描内容的各段分别送入当前各空闲线程进行扫描。 

本发明实施例提供的扫描方法及装置，根据网络威胁特征码中的最大特征码长度和空闲线程个数对待扫描内容进行分段，能够识别出跨越同一报文或同一待扫描文件中的两个分段的网络威胁特征码，使网络威胁特征码的识别更加准确，减少了网络威胁漏报的发生。 

附图说明

为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对本发明实施例描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。 

图1为本发明实施例提供的扫描方法第一实施例的流程图； 

图2为本发明实施例提供的扫描方法第二实施例的流程图； 

图3为本发明实施例提供的扫描装置第一实施例的结构示意图； 

图4为本发明实施例提供的扫描装置第二实施例的结构示意图。 

具体实施方式

下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清 楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。 

图1为本发明实施例提供的扫描方法第一实施例的流程图，如图1所示，该方法包括： 

步骤101、根据网络威胁特征码中的最大特征码长度以及当前空闲线程个数，对当前待扫描内容进行分段，使相邻的两个分段之间重叠最大特征码长度个字节，待扫描内容为待扫描文件或待扫描报文； 

为了便于描述，在本发明实施例中将网络中的非法攻击、网络病毒或垃圾邮件等统成为网络威胁，相应的，这些非法攻击、网络病毒或垃圾邮件的特征码统称为网络威胁特征码，网络威胁特征码中字符数最多的特征码称为最大特征码，最大特征码长度为最大特征码中的字符位数。另外，对网络病毒的扫描通常是针对某一个或某些文件，而对非法攻击的扫描通常针对一系列的报文。因此，待扫描内容包括待扫描文件或待扫描报文。