| 发明名称 | 网络传输数据病毒检测处理方法 | ||
| 摘要 | 本发明公开了一种网络传输数据病毒检测处理方法。其通过零内存拷贝,利用虚存将传输文件的数据包从内核层映射到用户层;对应用层协议进行解析,还原出传输文件并交给查毒引擎检测,使得防毒墙系统与内核的耦合很小且保持稳定;其摒弃传统的代理连接技术,采用独特的扣包机制,在不改变原始连接任何特征的前提下,通过流引擎和文件引擎的双重检测,保证了对带毒传输文件及时和准确的阻断。 | ||
| 申请公布号 | CN104022998A | 申请公布日期 | 2014.09.03 |
| 申请号 | CN201310066604.1 | 申请日期 | 2013.03.01 |
| 申请人 | 北京瑞星信息技术有限公司 | 发明人 | 张量 |
| 分类号 | H04L29/06(2006.01)I;H04L12/861(2013.01)I | 主分类号 | H04L29/06(2006.01)I |
| 代理机构 | 广州华进联合专利商标代理有限公司 44224 | 代理人 | 陈振 |
| 主权项 | 一种网络传输数据病毒检测处理方法,其特征在于,包括如下步骤:步骤S100,在网卡的内核层中设置预设大小的常驻内存作为零拷贝内存,并配置为零拷贝sk_buff结构的栈式分配队列,同时在内核层设置与栈式分配队列的索引相应的接收队列和放走队列,对网络传输的收发数据包进行分配和释放;步骤S200,通过虚存技术设置将所述零拷贝sk_buff结构的栈式分配队列、数据包接收队列和放走队列映射到用户层,在用户层以虚地址方式访问;步骤S300,在网卡处理收包软中断时,网卡驱动接收传输的数据包,将其传输入栈到零拷贝sk_buff结构的栈式分配队列中,并将接收数据包结构中的索引写入栈到接收队列;步骤S400,将步骤S300中接收到的网卡数据包的sk_buff结构的栈式分配队列、写入接收数据包的sk_buff结构的索引的接收队列、以及放走队列通过映射设备文件映射到应用层,得到相应的写入网卡数据包的镜像分配队列、镜像接收队列和镜像放走队列;步骤S500,在用户层从镜像分配队列中读取相应的网卡数据包,将映射的网卡数据包解析还原,并将还原出的数据内容交给查毒引擎进行检测,将带有病毒的数据包丢弃,或者将无病毒的数据包转发,并出栈释放相应的索引。 | ||
| 地址 | 100190 北京市海淀区中关村大街22号中科大厦1305室 | ||