技术摘要：
本发明公开了一种恶意文件检测方法、装置、存储介质及防火墙，该方法通过在终端设备向服务器传输文件数据的情况下，放通所述文件数据至所述服务器，及将所述文件数据存储至预设缓存中，在接收到结束控制信息的情况下，将所述预设缓存中的文件数据进行杀毒检测，获得杀  全部
背景技术：
文件传输协议(File  Transfer  Protocol，FTP)包括两个组成部分，其一为FTP服 务器，其二为FTP终端设备。其中FTP服务器用来存储文件，用户可以使用FTP终端设备通过 FTP协议访问位于FTP服务器上的资源。请求意见稿(Request  for  Comments，RFC)是由互联 网工程任务组(IETF)发布的一系列备忘录。文件收集了有关互联网相关信息，以及UNIX和 互联网社群的软件文件，以编号排定。当前RFC文件是由互联网协会(ISOC)赞助发行。 在文件安全领域，使用FTP服务器做为恶意文件的载体进行恶意文件的传播方式 已经越来越普遍，针对FTP协议解析，审计传输通道上的文件并进行文件性质判定目前已知 的方式是：根据RFC协议规范解析FTP协议上传方式中文件数据数据的部分，将其缓存到一 个固定缓冲区中，当缓冲数据满时，将缓冲数据进行查杀并根据查杀结果进行相关处置。目 前已知方式存在以下不足：将恶意文件分块查杀，有可能会破坏病毒特征，导致查杀结果不 准确。 上述内容仅用于辅助理解本发明的技术方案，并不代表承认上述内容是现有技 术。
技术实现要素：
本发明的主要目的在于提供一种恶意文件检测方法、装置、存储介质及防火墙，旨 在解决现有技术中恶意文件查杀结果不准确的技术问题。 为实现上述目的，本发明提供一种恶意文件检测方法，所述恶意文件检测方法包 括以下步骤： 在终端设备向服务器传输文件数据的情况下，放通所述文件数据至所述服务器， 及将所述文件数据存储至预设缓存中； 在接收到结束控制信息的情况下，将所述预设缓存中的文件数据进行杀毒检测， 获得杀毒结果； 在所述杀毒结果为所述文件数据为恶意文件的情况下，根据预设策略对所述服务 器中的文件数据进行处理。 优选地，所述结束控制信息包括：结束状态码信息或所述终端设备与所述服务器 之间的数据连接正常关闭信息。 优选地，所述在所述杀毒结果为所述文件数据为恶意文件的情况下，根据预设策 略对所述服务器中的文件数据进行处理，具体包括： 在所述杀毒结果为所述文件数据为恶意文件的情况下，根据预设策略判断是否对 所述服务器中的文件数据进行阻断连接； 4 CN 111611584 A 说　明　书 2/11 页 若对所述服务器中的文件数据进行阻断连接，则判断所述文件数据是否包含上传 标记； 在所述文件数据包含上传标记的情况下，生成删除指令，传输所述删除指令至所 述服务器，以使所述服务器根据所述删除指令对所述文件数据进行删除处理。 优选地，所述在所述杀毒结果为所述文件数据为恶意文件的情况下，根据预设策 略判断是否对所述服务器中的文件数据进行阻断连接之后，所述恶意文件检测方法还包 括： 若不对所述文件数据进行阻断连接，则放通所述文件数据。 优选地，所述在终端设备通过文件传输协议控制通道向服务器传输文件数据的情 况下，放通所述文件数据至所述服务器，并将所述文件数据存储至预设缓存中之前，所述恶 意文件检测方法还包括： 对文件传输协议控制通道中的数据流进行解析，并根据解析获得的数据，判断终 端设备是否向服务器传输文件数据。 优选地，所述对文件传输协议控制通道中的数据流进行解析，并根据解析获得的 数据，判断终端设备是否向服务器传输文件数据，具体包括： 对文件传输协议控制通道中的数据流进行解析； 在解析到终端设备到服务器方向的上传数据流的情况下，解析所述上传数据流中 是否存在上传控制命令； 在解析到所述数据流中存在所述上传控制命令的情况下，判断所述上传数据流中 是否有文件传输协议初始化标记； 若有所述文件传输协议初始化标记，则认定数据连接建立完成，基于数据连接终 端设备向服务器传输文件数据。 优选地，所述对文件传输协议控制通道中的数据流进行解析之后，所述恶意文件 检测方法还包括： 在解析到服务器到终端设备方向的响应数据流的情况下，判断所述响应数据流是 否为数据连接数据； 若所述响应数据流是所述数据连接数据，则判断所述数据连接数据是否为数据连 接的握手数据包； 在所述数据连接数据是数据连接的握手数据包的情况下,判断所述响应数据流是 否有等待数据标记； 若有所述等待数据标记，则认定数据连接建立完成，基于数据连接终端设备向服 务器传输文件数据。 此外，为实现上述目的，本发明还提出一种恶意文件检测装置，所述恶意文件检测 装置包括： 传输模块，用于在终端设备向服务器传输文件数据的情况下，放通所述文件数据 至所述服务器，及将所述文件数据存储至预设缓存中； 杀毒检测模块，用于在接收到结束控制信息的情况下，将所述预设缓存中的文件 数据进行杀毒检测，获得杀毒结果； 处理模块，用于在所述杀毒结果为所述文件数据为恶意文件的情况下，根据预设 5 CN 111611584 A 说　明　书 3/11 页 策略对所述服务器中的文件数据进行处理。 此外，为实现上述目的，本发明还提出一种防火墙，所述防火墙包括存储器、处理 器及存储在所述存储器上并可在所述处理器上运行的恶意文件检测程序，所述恶意文件检 测程序配置为实现如上文所述的恶意文件检测方法的步骤。 此外，为实现上述目的，本发明还提出一种存储介质，所述存储介质上存储有恶意 文件检测程序，所述恶意文件检测程序被处理器执行时实现如上文所述的恶意文件检测方 法的步骤。 本发明中，通过在终端设备向服务器传输文件数据的情况下，放通所述文件数据 至所述服务器，及将所述文件数据存储至预设缓存中，在接收到结束控制信息的情况下，将 所述预设缓存中的文件数据进行杀毒检测，获得杀毒结果，基于完整文件进行杀毒检测，最 大程度上保证检测率以及准确性；在所述杀毒结果为所述文件数据为恶意文件的情况下， 根据预设策略对所述服务器中的文件数据进行处理，从而避免恶意文件传播，提高文件传 输安全性。 附图说明 图1是本发明实施例方案涉及的硬件运行环境的防火墙的结构示意图； 图2为本发明恶意文件检测方法第一实施例的流程示意图； 图3为本发明恶意文件检测方法第二实施例的流程示意图； 图4为本发明恶意文件检测方法第三实施例的流程示意图； 图5为本发明恶意文件检测装置第一实施例的结构框图。 本发明目的的实现、功能特点及优点将结合实施例，参照附图做进一步说明。