[发明专利]基于断点续传的文件识别方法、装置、设备及介质

说明书

本申请提供了一种基于断点续传的文件识别方法、装置、设备及介质，应用于网络安全设备中。该网络安全设备在实施该方法时，获取客户端发送的待识别文件的业务报文；若根据所述业务报文确认所述待识别文件为断点续传的文件，则构造文件头请求报文；向服务端发送所述文件头请求报文；接收所述服务端发送的响应结果；若所述响应结果包括所请求的文件头，则根据所述文件头对所述待识别文件进行识别处理，以识别所述待识别文件中是否存在病毒。由此，实现了对断点续传的文件进行准确度病毒识别，避免了资源过度消耗。

技术领域

本申请涉及数据处理技术领域，尤其涉及一种基于断点续传的文件识别方法、装置、设备及介质。

背景技术

用户上传/下载文件有时需要历时数小时，若线路中断，不具备断点续传的HTTP/FTP服务器或下载软件就只能从头重传，既浪费时间又浪费资源。而断点续传的功能解决了上述问题。断点续传就是从文件上次中断的地方开始重新下载或上传，要实现断点续传的功能，需要客户端记录下当前的下载或上传进度，并在需要续传的时候通知服务端本次需要下载或上传的内容片段。

由于断点续传可能是从文件的中间部分开始上传或下载的，而不是从文件头开始传输的，导致对断点续传的部分文件的识别增加了难度。目前提供的文件识别方法有基于特征串识别、全文哈希识别等等，但这几种方法在进行文件的病毒识别时都需要文件的文件头，导致这些方法无法有效识别出基于断点续传的文件是否存在病毒。

目前对应断点续传的病毒识别中，断点续传的文件和阻断之前传输的文件分别属于两条数据流，因为阻断之前的会话信息已经删除，导致处理后续文件时，无法获取相应的文件信息；但是断点续传下载文件时，文件的名字不变，对应的url地址也是一样的，因此在对断点续传的后续文件进行病毒识别时，可以根据文件名或者url地址为key，将处理文件时获取的阻断的动作信息记录到链表中，这样后续断点续传的流量，利用key匹配链表里记录的信息，如果匹配到，则直接阻断。但是上述方法中，在文件比较大的情况下，可能会记录很多的信息，不仅耗费资源，而且记录的信息需要有老化机制，如果是在设备记录的信息老化后才发起的断点续传，则很可能导致病毒的逃匿。

因此，如何准确地对断点续传的文件进行病毒识别，避免资源过度消耗是值得考虑的技术问题之一。

发明内容

有鉴于此，本申请提供一种基于断点续传的文件识别方法、装置、设备及介质，用以准确地对断点续传的文件进行病毒识别，避免资源过度消耗。

具体地，本申请是通过如下技术方案实现的：

根据本申请的第一方面，提供一种基于断点续传的文件识别方法，应用于网络安全设备中，所述方法，包括：

获取客户端发送的待识别文件的业务报文；

若根据所述业务报文确认所述待识别文件为断点续传的文件，则构造文件头请求报文；

向服务端发送所述文件头请求报文；

接收所述服务端发送的响应结果；

若所述响应结果包括所请求的文件头，则根据所述文件头对所述待识别文件进行识别处理，以识别所述待识别文件中是否存在病毒。

根据本申请的第二方面，提供一种基于断点续传的文件识别装置，设置于网络安全设备中，所述装置，包括：

获取模块，用于获取客户端发送的待识别文件的业务报文；

构造模块，用于若根据所述业务报文确认所述待识别文件为断点续传的文件，则构造文件头请求报文；

发送模块，用于向服务端发送所述文件头请求报文；

接收模块，用于接收所述服务端发送的响应结果；