[发明专利]一种网络设备文件鉴定装置及方法

说明书

技术领域

本发明涉及计算机网络安全技术领域，尤其涉及一种网络设备文件鉴定装置及方法。

背景技术

现有网络设备一般都需要鉴定通过的文件是否有威胁，通常的做法是将待检测文件上报给反病毒厂商，反病毒厂商通过动静态检测技术鉴定文件是否有威胁，并将鉴定结果反馈给用户。将威胁文件上传给反病毒厂商虽然可以解决文件鉴定问题，但是对于有一些威胁对象的网络设备，其本身不具备将文件上传给反病毒厂商的条件。例如，涉密的网络设备或物理隔绝的网络设备，由于数据的敏感性，是不能将数据上传给反病毒厂商进行文件鉴定的，因此在这种情况下将无法进行文件鉴定。

发明内容

本发明提供了一种网络设备文件鉴定装置及方法，能够解决现有网络设备无法将文件上传给反病毒厂商，但又需要进行对文件鉴定的需求，使网络设备具备了文件鉴定的能力。

一种网络设备文件鉴定装置，包括：

数据处理模块，用于捕获网络数据流，并将所述网络数据流还原为文件；

引擎检测模块，用于对数据处理模块还原的文件进行检测，并根据检测结果及用户配置，判断是否需要进行文件鉴定，如果是，则将所述文件发送到文件鉴定模块，否则将检测结果发送到统计模块；

文件鉴定模块，用于对引擎检测模块发送的文件进行文件鉴定，并将鉴定结果发送到统计模块；

统计模块，用于汇总检测结果，并反馈给用户。

所述的装置中，所述文件鉴定模块还包括：

静态检测模块，用于对引擎检测模块发送来的文件进行静态检测，并根据检测结果及用户配置，判断是否需要进行动态检测，如果是则将所述文件发送到动态检测模块，否则将静态检测结果发送到统计模块；

动态检测模块，用于对所述文件进行动态检测，监控文件行为，并将检测结果发送到统计模块。

所述的装置中，所述文件鉴定模块还可以以虚拟机形式存储于任意网络设备中。

所述的装置中，对所述对文件进行动态检测为，将所述文件投放入预先准备的虚拟机环境中执行。

一种网络设备文件鉴定方法，包括：

a.捕获网络数据流，并将所述网络数据流还原为文件；

b.对数据处理模块还原的文件进行检测，并根据检测结果及用户配置，判断是否需要进行文件鉴定，如果是，则执行步骤c，否则执行步骤d；所述用户配置，为用户根据反病毒引擎可能存在的检测结果或危险等级等，预先设定的是否需要进行文件鉴定的条件；

c.对所述文件进行文件鉴定；

d.汇总检测结果，并反馈给用户。

所述的方法中，对所述文件进行文件鉴定为：

c1.对所述文件进行静态检测，并根据检测结果及用户配置，判断是否需要进行动态检测，如果是则执行c2，否则执行步骤d；

c2.对所述文件进行动态检测，监控文件行为。

所述的方法中，所述的对所述文件进行文件鉴定的过程可以以虚拟机形式存储于任意网络设备中。

所述的方法中，对所述文件进行动态检测为，将所述文件投放入预先准备的虚拟机环境中执行。

本发明的优势在于，能够通过本发明的装置及方法，可以将文件鉴定通过增加模块或虚拟机的形式，增加到网络设备中，使网络设备具备文件鉴定能力，解决了无法上传文件的网络设备对文件鉴定的需求。

本发明提供了一种网络设备文件鉴定装置及方法，所述装置包括：数据处理模块捕获网络数据流，并将所述网络数据流还原为文件；引擎检测模块对数据处理模块还原的文件进行检测，并根据检测结果及用户配置，判断是否需要进行文件鉴定，如果是，则将所述文件发送到文件鉴定模块，否则将检测结果发送到统计模块；文件鉴定模块对引擎检测模块发送的文件进行文件鉴定，并将鉴定结果发送到统计模块；统计模块，汇总检测结果，并反馈给用户。通过本发明的方法，能够使网络设备具备文件鉴定的能力，解决了由于网络设备无法上传文件导致无法对文件进行鉴定的问题。

附图说明

为了更清楚地说明本发明或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明中记载的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1为一种网络设备文件鉴定装置结构示意图；

图2为一种网络设备文件鉴定方法流程图。

具体实施方式