[发明专利]一种文件数据流控制方法、装置、设备及存储介质

说明书

本申请提供一种文件数据流控制方法、装置、设备及存储介质，其中方法包括：缓存当前接收到的第一文件的数据流；获取所述第一文件中预定位置的第一文件片段，所述第一文件片段可在缓存完所述第一文件前全部获取；若所述第一文件片段与文件信誉库中的第二文件片段匹配一致，所述第二文件片段属于与所述第一文件对应的第二文件，则确定所述第一文件与所述第二文件相同；根据所述第二文件对应的流控标签，对所述第一文件的数据流执行通行控制。以使防护设备不需要缓存完整的文件，就能完成当前文件的匹配并对当前文件数据流进行控制，从而降低了设备性能消耗，提高了网络恶意文件的识别效率。

技术领域

本申请涉及网络安全技术领域，尤其涉及一种文件数据流控制方法、装置、设备及存储介质。

背景技术

随着网络技术的发展，网络安全备受重视。网络恶意文件的识别与阻断，逐渐成为一个重要研究方向。现有技术中，以防火墙作为防护设备进行数据流量的初步识别，用沙箱设备对网络文件进行数据特征及文件行为特征等多维度的深度检测。具体为：防火墙设备用网络中的数据匹配病毒特征库，如果匹配成功，则确定数据存在风险并执行阻断操作；如果没有匹配成功，则将网络数据流还原为完整的文件数据并缓存。防火墙设备用缓存的完整文件数据匹配文件信誉库，如果匹配成功，则根据文件的信誉信息执行放通或阻断；如果匹配失败，则将完整文件数据发送至沙箱进行深度检测。防火墙设备根据沙箱返回的检测结果执行相应操作，同时将检测结果添加到文件信誉库。

现有技术的缺陷在于，防护设备需要将文件全部缓存完成才能进行文件信誉库匹配，完成对当前文件数据流的控制。缓存整个文件会较大的消耗设备性能，对网络恶意文件的识别效率较低。

发明内容

本说明书至少一个实施例提供了一种文件数据流控制方案，以在缓存完该文件前，对该文件数据流进行识别和控制。

第一方面，提供了一种文件数据流控制方法，包括：

缓存当前接收到的第一文件的数据流；

获取所述第一文件中预定位置的第一文件片段，所述第一文件片段可在缓存完所述第一文件前全部获取；

若所述第一文件片段与文件信誉库中的第二文件片段匹配一致，所述第二文件片段属于与所述第一文件对应的第二文件，则确定所述第一文件与所述第二文件相同；

根据所述第二文件对应的流控标签，对所述第一文件的数据流执行通行控制。

第二方面，提供了一种文件数据流控制装置，所述装置包括：

缓存模块，用于缓存当前接收到的第一文件的数据流；或，用于缓存所述第一文件的数据流为完整第一文件；

获取模块，用于获取所述第一文件中预定位置的第一文件片段，所述第一文件片段可在缓存完所述第一文件前全部获取；

确定模块，用于判断所述第一文件片段与文件信誉库中的第二文件片段匹配一致，所述第二文件片段属于与所述第一文件对应的第二文件，则确定所述第一文件与所述第二文件相同；或，用于判断所述第一文件片段与所述第二文件片段中至少一个文件片段匹配不一致，所述第二文件片段包括一个以上文件片段，则确定所述第一文件与所述第二文件不同；

控制模块，用于根据所述第二文件对应的流控标签，对所述第一文件的数据流执行通行控制。

第三方面，提供了一种计算机设备，包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序，所述处理器执行所述程序时实现本说明书任一实施例所述的文件数据流控制方法。

第四方面，提供了一种计算机可读存储介质，其上存储有计算机程序，所述程序被处理器执行时实现本说明书任一实施例所述方法的步骤。