[发明专利]代理网关防病毒实现方法、预分类器和代理网关

说明书

技术领域

本发明实施例涉及网络防病毒技术，尤其涉及一种代理网关防病毒实现方法、预分类器和代理网关。

背景技术

防病毒(Anti-Virus，简称AV)技术作为统一威胁管理(unified ThreatManagement，简称UTM)功能的重要组成部分，越来越受到人们的关注，其优点是能够在网关侧将恶意软件进行屏蔽，真正意义上把威胁拦截在攻击发生之前，更大程度的保护了用户的安全。

目前具备防病毒功能的网关主要有两种实现方式，即基于代理的防病毒网关和基于流扫描的防病毒网关。其中，代理型防病毒网关在三次握手的时候即开始进行代理，代理网关包括代理服务端和代理客户端，分别与客户端和服务器交互，在交互通信过程中，由病毒扫描缓存模块(Cache&Scanner)负责接收、缓存文件，当文件接收完成时，送入扫描引擎进行病毒的扫描识别，如果文件没有病毒威胁则发送至真实的客户端或服务器。真实的客户端与服务器通常并不知道与其交互数据的对端的真实身份。

在进行本发明的研究过程中，发明人发现现有技术存在如下缺陷：代理网关对接收到的每一个数据包，都需要送上代理层，先由病毒扫描缓存模块进行缓存，对于需要进行扫描的就由病毒扫描缓存模块送入扫描引擎进行防病毒扫描，当发现不属于用户设定的需扫描文件或者是无法进行扫描的文件时也需要通过代理层进行透传。上述实现方式占用过多代理层资源，使得传输效率十分低下，显著降低了网关的性能，更加降低了用户的使用体验。

发明内容

本发明实施例提供一种代理网关防病毒实现方法、预分类器和代理网关，以提高代理网关的传输效率，减少资源浪费。

本发明实施例提供一种代理网关防病毒实现方法，包括：

接收资源获取请求；

根据所述资源获取请求向待传输资源所在网元发送预探测请求，以获取所述待传输资源的属性信息；

基于防病毒策略，根据所述属性信息判断所述待传输资源是否需要进行防病毒扫描，若是，则将随后获取到的所述待传输资源进行防病毒扫描，若否，则透传随后获取到的所述待传输资源。

本发明实施例还提供一种预分类器，包括：

探测获取模块，用于接收资源获取请求，并根据所述资源获取请求向待传输资源所在网元发送预探测请求；

属性获取模块，用于接收所述网元返回的所述待传输资源的属性信息；

策略判断模块，用于基于防病毒策略，根据所述属性信息判断所述待传输资源是否需要进行防病毒扫描；

扫描发起模块，用于当所述策略判断模块判断出需要进行防病毒扫描时，则将随后获取到的所述待传输资源进行防病毒扫描；

透传发起模块，用于当所述策略判断模块判断出不需要进行防病毒扫描时，则透传随后获取到的所述待传输资源。

本发明实施例又提供了一种代理网关，包括代理客户端、代理服务端和病毒扫描缓存模块，其中：还包括本发明实施例提供所述的预分类器；所述预分类器设置在所述代理客户端和代理服务端的下层。

本发明各实施例的技术方案，提供了一种能够对待传输资源是否需要进行防病毒扫描进行预探测的技术方案。通过属性信息对待传输资源进行预探测，对于不需要进行防病毒扫描的可以直接透传，因而既实现了防病毒功能，又能够提高传输效率，减少对缓存、扫描和上层传输资源的浪费。

附图说明

为了更清楚地说明本发明实施例中的技术方案，下面将对实施例描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1为本发明实施例一提供的代理网关防病毒实现方法的流程图；

图2为本发明实施例一所适用的一种网络架构示意图；

图3为本发明实施例一所适用的另一种网络架构示意图；

图4为本发明实施例二提供的代理网关防病毒实现方法的流程图；

图5为本发明实施例三提供的代理网关防病毒实现方法的流程图；

图6为本发明实施例四提供的代理网关防病毒实现方法的信令流程图；

图7为本发明实施例五提供的预分类器的结构示意图。

具体实施方式

为使本发明实施例的目的、技术方案和优点更加清楚，下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

实施例一