CN108881150B - 一种检测任务的处理方法、装置、电子设备及存储介质 - Google Patents
一种检测任务的处理方法、装置、电子设备及存储介质 Download PDFInfo
- Publication number
- CN108881150B CN108881150B CN201711498286.0A CN201711498286A CN108881150B CN 108881150 B CN108881150 B CN 108881150B CN 201711498286 A CN201711498286 A CN 201711498286A CN 108881150 B CN108881150 B CN 108881150B
- Authority
- CN
- China
- Prior art keywords
- detection
- detected
- field
- detection task
- message queue
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L47/00—Traffic control in data switching networks
- H04L47/50—Queue scheduling
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Debugging And Monitoring (AREA)
Abstract
本发明实施例公开一种检测任务的处理方法、装置、电子设备及存储介质,涉及计算机应用领域。所述方法包括:从已获取的任务文件样本中,提取待检测对象;生成与所述待检测对象对应的检测任务,所述检测任务包括第一全要素字段,所述第一全要素字段包括待检测对象标识以及检测任务信息;将所述检测任务存入消息队列中,以使鉴定器从所述消息队列中获取所述检测任务,根据所述待检测对象标识以及检测任务信息对所述待检测对象进行检测处理,并将检测后的分析结果存入所述消息队列中,所述消息队列与所述鉴定器一一对应。本发明实现了无需编写复杂的任务派发机制,代码更简洁,运行更流畅,降低了维护成本,提高了该机制的扩展性。
Description
技术领域
本发明涉及计算机忘了安全技术领域,尤其涉及一种检测任务的处理方法、装置、电子设备及存储介质。
背景技术
目前,对于网络威胁检测设备来说,通常需要设置多个鉴定器从不同的检测维度对同一威胁对象进行检测。同时,由于不同的鉴定器的检测对象也有所不同,不同的检测对象之间还可能存在关联关系。比如,一个样本文件在网络行为的过程中会衍生出网际协议(英文:Internet Protocol,简称:IP)、统一资源定位符(英文:Uniform ResourceLocator,简称:URL)等检测对象,将这些衍生出的检测对象进行检测,对网络威胁的揭示具有重要意义。
在现有实现中,针对为不同鉴定器派发检测任务机制以及回收不同鉴定器的检测结果机制是分开且固定的,需要技术人员编写大量的代码来满足复杂的检测逻辑。每增加一种鉴定器都要为网络威胁检测设备添加相应的检测任务派发和回收的模块,还要对衍生出的检测对象再次进行检测任务的派发以及检测结果的回收。
在实现本发明的过程中,发明人发现现有的检测任务调度机制也暴露出以下缺陷:1)检测任务的派发机制无法复用,开发效率低且无法有效维护;2)不同鉴定器返回的检测结果的格式不统一,这也增加了维护的难度。
发明内容
有鉴于此,本发明实施例提供一种检测任务的处理方法、装置、电子设备及存储介质,以解决现有的检测任务调度机制中检测任务的派发机制无法复用,以及不同鉴定器返回的检测结果的格式不统一,导致的开发效率低,无法有效维护的问题。
第一方面,本发明实施例提供一种检测任务的处理方法,所述方法包括:
从已获取的任务文件样本中,提取待检测对象;
生成与所述待检测对象对应的检测任务,所述检测任务包括第一全要素字段,所述第一全要素字段包括待检测对象标识以及检测任务信息;
将所述检测任务存入消息队列中,以使鉴定器从所述消息队列中获取所述检测任务,根据所述待检测对象标识以及检测任务信息对所述待检测对象进行检测处理,并将检测后的分析结果存入所述消息队列中,所述消息队列与所述鉴定器一一对应。
可选地,所述将所述检测任务存入消息队列中之前,所述方法还包括:
对所述待检测对象进行字段匹配,并根据匹配结果,确定可用于存放所述检测任务的所述消息队列。
可选地,所述对所述待检测对象进行字段匹配,并根据匹配结果,确定可用于存放所述检测任务的所述消息队列具体包括:
判断所述待检测对象中是否包括预设的特征字段;
如果所述待检测对象中包括所述特征字段,则确定所述待检测对象的检测类型;
根据所述检测类型,确定与所述检测类型匹配的所述鉴定器以及与所述鉴定器对应的所述消息队列的标识。
可选地,所述第一全要素字段还包括所述消息队列的标识;
所述将所述检测任务存入消息队列中,具体包括:
根据所述消息队列的标识,将所述检测任务存入所述消息队列。
可选地,所述方法还包括:
从所述消息队列中,获取所述鉴定器存入的所述分析结果,所述分析结果包括第二全要素字段,所述第二全要素字段包括所述待检测对象标识以及检测任务的检测结果信息;
对所述待检测对象标识、所述检测任务以及所述检测结果信息进行对应记录。
可选地,所述对所述待检测对象标识、所述检测任务以及所述检测结果信息进行对应记录,具体包括:
当所述检测任务信息对应的第一字段为空值,且所述检测结果信息中存在所述第一字段的第一值时,获取所述第一值,并将所述第一值、所述检测任务以及所述待检测对象的标识对应记录;
当所述检测任务信息对应的第一字段为非空值,且所述检测结果信息中存在所述第一字段的第二值时,获取所述第二值,并根据所述第二值更新所述非空值,将所述第二值、所述检测任务以及所述待检测对象的标识对应记录。
可选地,所述对所述待检测对象标识、所述检测任务以及所述检测结果信息进行对应记录,具体包括:
当所述检测结果信息中存在所述检测任务信息中未包括的第二字段时,获取所述第二字段对应的第三值,并将所述第三值、所述检测任务以及所述待检测对象的标识对应记录。
可选地,所述第一字段为非组合字段、或唯一标志字段、或数组。
第二方面,本发明实施例提供一种检测任务的处理装置,所述装置包括:
提取单元,用于从已获取的任务文件样本中,提取待检测对象;
生成单元,用于生成与所述待检测对象对应的检测任务,所述检测任务包括第一全要素字段,所述第一全要素字段包括待检测对象标识以及检测任务信息;
处理单元,用于将所述检测任务存入消息队列中,以使鉴定器从所述消息队列中获取所述检测任务,根据所述待检测对象标识以及检测任务信息对所述待检测对象进行检测处理,并将检测后的分析结果存入所述消息队列中,所述消息队列与所述鉴定器一一对应。
可选地,所述装置还包括:
匹配单元,用于对所述待检测对象进行字段匹配,并根据匹配结果,确定可用于存放所述检测任务的所述消息队列。
可选地,所述匹配单元具体用于,判断所述待检测对象中是否包括预设的特征字段;
如果所述待检测对象中包括所述特征字段,则确定所述待检测对象的检测类型;
根据所述检测类型,确定与所述检测类型匹配的所述鉴定器以及与所述鉴定器对应的所述消息队列的标识。
可选地,所述第一全要素字段还包括所述消息队列的标识;
所述处理单元具体,用于根据所述消息队列的标识,将所述检测任务存入所述消息队列。
可选地,所述装置还包括:
获取单元,用于从所述消息队列中,获取所述鉴定器存入的所述分析结果,所述分析结果包括第二全要素字段,所述第二全要素字段包括所述待检测对象标识以及检测任务的检测结果信息;
记录单元,用于对所述待检测对象标识、所述检测任务以及所述检测结果信息进行对应记录。
可选地,所述记录单元具体用于,
当所述检测任务信息对应的第一字段为空值,且所述检测结果信息中存在所述第一字段的第一值时,获取所述第一值,并将所述第一值、所述检测任务以及所述待检测对象的标识对应记录;
当所述检测任务信息对应的第一字段为非空值,且所述检测结果信息中存在所述第一字段的第二值时,获取所述第二值,并根据所述第二值更新所述非空值,将所述第二值、所述检测任务以及所述待检测对象的标识对应记录。
可选地,所述记录单元海具体用于,
当所述检测结果信息中存在所述检测任务信息中未包括的第二字段时,获取所述第二字段对应的第三值,并将所述第三值、所述检测任务以及所述待检测对象的标识对应记录。
可选地,所述第一字段为非组合字段、或唯一标志字段、或数组。
第三方面,本发明实施例提供一种电子设备,所述电子设备包括:壳体、处理器、存储器、电路板和电源电路,其中,电路板安置在壳体围成的空间内部,处理器和存储器设置在电路板上;电源电路,用于为上述电子设备的各个电路或器件供电;存储器用于存储可执行程序代码;处理器通过读取存储器中存储的可执行程序代码来运行与可执行程序代码对应的程序,用于执行前述任一实施方式所述的方法。
第四方面,本发明实施例提供一种计算机可读存储介质,所述计算机可读存储介质存储有一个或者多个程序,所述一个或者多个程序可被一个或者多个处理器执行,以实现前述任一实施方式所述的方法。
本发明实施例提供的检测任务的处理方法、装置、电子设备及存储介质,检测任务调度模块通过利用JSON Pointer规范进行检测任务的分发,通过利用该规范回收分析结果,检测任务调度模块无需为每一种鉴定器编写特定的任务分发和回收机制,满足了关联检测对象任务分发和结果整合的需求,开发效率高,而且不同鉴定器返回的检测结果的格式相对统一。检测任务调度模块无需编写复杂的任务派发机制,代码更简洁,运行更流畅,降低了维护成本,提高了该机制的扩展性。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其它的附图。
图1为本发明实施例提供的一种检测任务的处理方法流程图;
图2为本发明实施例提供的检测任务调度模块、消息队列以及鉴定器的逻辑示意图;
图3为本发明实施例提供的另一种检测任务的处理方法流程图;
图4为本发明实施例提供的一种检测任务的处理装置结构示意图;
图5为本发明实施例提供的一种电子设备结构示意图。
具体实施方式
下面结合附图对本发明实施例进行详细描述。
应当明确,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其它实施例,都属于本发明保护的范围。
下面结合附图1,详细说明本发明实施例提供的方案进行说明,图1为本发明实施例提供的一种检测任务的处理方法流程图,在本发明实施例中实施主体为检测任务调度模块(scheduler module)。如图1所示,本实施例的方法具体包括以下步骤:
步骤110、从已获取的任务文件样本中,提取待检测对象。
本实施例中,在网络传输过程中,任务文件样本以二进制流形式传输,电子设备中的文件还原模块,将二进制流还原成文件格式。还原模块将任务文件样本传输至检测任务调度模块。
检测任务调度模块获取到任务文件样本后,从中提取待检测对象。在本实施例中,待检测对象可具体为衍生文件,或者是网络信息。网络信息具体为ip、域名、url地址、端口等。
在一个例子中,任务文件样本为邮件样本。检测任务调度模块对邮件样本进行提取。若从中提取到了url地址,则将url地址作为待检测对象。
在另一个例子中,任务文件样本为SWF文件。检测任务调度模块对SWF文件进行提取。若从中提取到了url地址,则将url地址作为待检测对象。
步骤120、生成与所述待检测对象对应的检测任务,所述检测任务包括第一全要素字段,所述第一全要素字段包括待检测对象标识以及检测任务信息。
本实施例中,检测任务调度模块在提取到待检测对象后,生成与该检测对象对应的检测任务。检测任务中包括第一全要素字段。其中,第一全要素字段包括待检测对象标识以及检测任务信息。
其中,待检测对象标识具体为用于表征不同待检测对象的标识。例如,对url地址、ip地址、域名地址、端口使用不同的标识,以表征出不同的检测对象。检测任务信息具体包括待检测对象的文件名、文件路径、编码方式、MD5等信息。
在本实施例中,检测任务调度模块利用JSON Pointer规范生成检测任务,第一全要素字段具体为json字段。
需要说明的是,检测任务调度模块在生成检测任务之前,还需对待检测对象进行识别。该识别是用于确定该待检测对象是否已经被检测鉴定器检测过。如果该待检测对象已经被检测过,则不再生成检测任务,进而节约检测资源。如果该待检测对象未被检测过,则声称与待检测对象对应的检测任务。
步骤130、将所述检测任务存入消息队列中,以使鉴定器从所述消息队列中获取所述检测任务,根据所述待检测对象标识以及检测任务信息对所述待检测对象进行检测处理,并将检测后的分析结果存入所述消息队列中,所述消息队列与所述鉴定器一一对应。
本实施例中,检测任务调度模块在生成检测任务后,将检测任务存入消息队列中。检测任务调度模块可同时对多个检测任务进行派发,多个任务的派发可能是同步的也可能是异步的。本实施例对比并不限定。
鉴定器(detector)从消息队列中获取检测任务。鉴定器根据第一全要素字段包括的待检测对象标识以及检测任务信息,对待检测对象进行检测。
鉴定器在检测结束后,生成分析结果。该分析结果包括第二全要素字段,该第二全要素字段包括待检测对象标识以及检测任务的检测结果信息。鉴定器将分析结果存入消息队列中,该消息队列为鉴定器获取检测任务的消息队列。
检测任务调度模块利用JSON Pointer规范从消息队列中,获取鉴定器存入的分析结果。根据分析结果包括的第二全要素字段,将第二全要素字段包括的待检测对象标识、检测结果信息以及检测任务进行对应记录。
本实施例中,消息队列的数量为至少一个,鉴定器的数量也为至少一个。消息队列与鉴定器之间为一一对应关系,如图2所示。在图2中,每个鉴定器与一个消息队列对应。鉴定器从该消息队列中获取检测任务,并在检测结束后,将分析结果存入消息队列中。
可以理解的是,每个鉴定器的检测功能为预设置固定功能。例如,鉴定器1的预设置功能为url地址提供检测功能;鉴定器2的预设置功能为ip地址提供检测功能等等。
本实施例,检测任务调度模块从任务文件样本中,提取到待检测对象后,生成对应的检测任务,并将检测任务存入对应的消息队列中。这样,使得鉴定器从对应的消息队列中获取检测任务,并对待检测对象进行检测处理。在得到分析结果后,将分析结果存入对应的消息队列中。检测任务调度模块再从消息队列中获取分析结果,将分析结果包括的检测结果信息进行记录。前述方案能够解决现有的检测任务调度机制中检测任务的派发机制无法复用,以及不同鉴定器返回的检测结果的格式不统一,导致的开发效率低,无法有效维护的问题。实现了对派发机制的复用,且鉴定器返回的检测结果格式统一,提高了开发效率,降低了维护难度。
本发明实施例提供的检测任务的处理方法,检测任务调度模块通过利用JSONPointer规范进行检测任务的分发。通过利用该规范回收分析结果,检测任务调度模块无需为每一种鉴定器编写特定的任务分发和回收机制,满足了关联检测对象任务分发和结果整合的需求,开发效率高,而且不同鉴定器返回的检测结果的格式相对统一。检测任务调度模块无需编写复杂的任务派发机制,代码更简洁,运行更流畅,降低了维护成本,提高了该机制的扩展性。
下面结合附图3,详细说明本发明实施例提供的方案进行说明,图3为本发明实施例提供的另一种检测任务的处理方法流程图,在本发明实施例中实施主体为检测任务调度模块(scheduler module),该检测任务调度模块可处于电子设备中。该电子设备可为终端设备,例如,个人电脑、台式电脑等。该电子设备也可为服务器。如图3所示,本实施例的方法具体包括以下步骤:
步骤300、从已获取的任务文件样本中,提取待检测对象。
步骤301、生成与所述待检测对象对应的检测任务,所述检测任务包括第一全要素字段,所述第一全要素字段包括待检测对象标识以及检测任务信息。
本实施例中,步骤300-步骤301的实现过程和上述方法实施例的步骤110-步骤120类似,此处不再赘述。
在本步骤中,检测任务信息内的各类信息通过字段表示。即,检测任务信息包括至少一个第一字段,该第一字段用于告知鉴定器其需要对待检测任务进行检测的内容。例如,第一字段可为待检测对象的文件名、文件路径、编码方式、MD5等信息。
步骤302、对所述待检测对象进行字段匹配,并根据匹配结果,确定可用于存放所述检测任务的所述消息队列。
本实施例中,检测任务调度模块判断待检测对象中是否包括预设的特征字段。如果待检测对象中包括特征字段,则检测任务调度模块确定待检测对象的检测类型;根据检测类型,确定与检测类型匹配的鉴定器以及与鉴定器对应的消息队列的标识。
在一个例子中,预设的特征字段为文件格式字段。如果待检测对象包括文件格式字段,则检测任务调度模块确定待检测对象的检测类型,例如,检测类型为:BinExecute/Microsoft.PE[:X86]。根据检测类型,检测任务调度模块确定可对该检测类型进行检测的鉴定器(例如,鉴定器1)以及与该鉴定器对应的消息队列的标识(消息队列1)。
如下代码所示:
″key″:"format",//该format对应的value
″value″:[″BinExecute/Microsoft.PE[:X86]″,"BinExecute/Microsoft.PE[:X64"]
上述代码表示为:匹配格式是BinExecute/Microsoft.PE[:X86]或BinExecute/Microsoft.PE[:X64]的文件。
步骤303、将所述检测任务存入消息队列中,以使鉴定器从所述消息队列中获取所述检测任务,根据所述待检测对象标识以及检测任务信息对所述待检测对象进行检测处理,并将检测后的分析结果存入所述消息队列中,所述消息队列与所述鉴定器一一对应。
本实施例中,步骤303的实现过程和上述方法实施例的步骤130类似,此处不再赘述。
进一步地,本实施例中,第一全要素字段还包括消息队列的标识。检测任务调度模块在步骤302中获取到消息队列的标识后,将消息队列的标识存入第一全要素字段中,同时,根据该消息队列的标识,将检测任务存入消息队列。
步骤304、从所述消息队列中,获取所述鉴定器存入的分析结果,所述分析结果包括第二全要素字段,所述第二全要素字段包括所述待检测对象标识以及检测任务的检测结果信息。
本实施例中,鉴定器从消息队列中获取检测任务。鉴定器根据第一全要素字段包括的待检测对象标识以及检测任务信息,对待检测对象进行检测。
鉴定器在检测结束后,生成分析结果。该分析结果包括第二全要素字段,该第二全要素字段包括待检测对象标识以及检测任务的检测结果信息。鉴定器根据从第一全要素字段中获取的消息队列的标识,将分析结果存入消息队列中,该消息队列为鉴定器获取检测任务的消息队列。
检测任务调度模块从消息队列中获取分析结果。
可以理解的是,检测任务调度模块可周期性地轮询各个消息队列。如果轮询到某一消息队列,确定其存入了分析结果,则从该消息队列中提取分析结果。
在本实施例中,不同的鉴定器反馈的结果是不同的。例如,对于本地行为分析鉴定器的分析结果包含行为名称、行为描述、危险等级、行为内容等,反病毒引擎的分析结果包含病毒名称等。
步骤305、对所述待检测对象标识、所述检测任务以及所述检测结果信息进行对应记录。
具体地,当检测任务信息对应的第一字段为空值,且检测结果信息中存在第一字段的第一值时,检测任务调度模块获取第一值,并将第一值、检测任务以及待检测对象的标识对应记录;
在一个例子中,检测任务信息对应的第一字段为:“uuid”,检测任务调度模块并未给“uuid”字段赋值,则“uuid”字段为空值。当检测任务调度模块获取的检测结果信息中该“uuid”字段的值为第一值为“1234567”时,检测任务调度模块获取“1234567”,并将该第一值、检测任务以及待检测对象的标识对应记录。
当检测任务信息对应的第一字段为非空值,且检测结果信息中存在第一字段的第二值时,检测任务调度模块获取第二值,并根据第二值更新非空值,将第二值、检测任务以及待检测对象的标识对应记录。
在一个例子中,检测任务信息对应的第一字段为:“uuid”,检测任务调度模块给“uuid”字段赋值为“1234567”,则“uuid”字段为非空值。当检测任务调度模块获取的检测结果信息中该“uuid”字段的值为第二值为“7654321”时,检测任务调度模块获取“7654321”,并将该第二值、检测任务以及待检测对象的标识对应记录。
当检测结果信息中存在检测任务信息中未包括的第二字段时,检测任务调度模块获取第二字段对应的第三值,并将第三值、检测任务以及待检测对象的标识对应记录。
在一个例子中,检测任务信息对应的第一字段为:“uuid”,检测任务调度模块给“uuid”字段赋值为“1234567”,则“uuid”字段为非空值。当检测任务调度模块获取的检测结果信息中该“uuid”字段的值为第二值为“7654321”时,检测任务调度模块获取“7654321”,并将该第二值、检测任务以及待检测对象的标识对应记录。
本实施例中,第一字段为非组合字段、或唯一标志字段(也称为字典)、或数组。
如果第一字段为非组合字段,即不可被修改的字段(如字符串、int等),则在检测结果信息中存在该字段的值时,直接利用该值替换;
如果第一字段为字典,在检测结果信息中存在该字段的值时,则直接利用该值替换,在检测任务信息中未存在该字段时,则进行添加;
如果第一字段为数组,则对数组中的每个项,判断该项是否存在,对不存在的项进行添加,对存在的项直接利用该值替换。
本实施例,检测任务调度模块从任务文件样本中,提取到待检测对象后,生成对应的检测任务,并将检测任务存入对应的消息队列中。这样,使得鉴定器从对应的消息队列中获取检测任务,并对待检测对象进行检测处理。在得到分析结果后,将分析结果存入对应的消息队列中。检测任务调度模块再从消息队列中获取分析结果,将分析结果包括的检测结果信息进行记录。前述方案能够解决现有的检测任务调度机制中检测任务的派发机制无法复用,以及不同鉴定器返回的检测结果的格式不统一,导致的开发效率低,无法有效维护的问题。实现了对派发机制的复用,且鉴定器返回的检测结果格式统一,提高了开发效率,降低了维护难度。
本发明实施例提供的检测任务的处理方法,检测任务调度模块通过利用JSONPointer规范进行检测任务的分发。通过利用该规范回收分析结果,检测任务调度模块无需为每一种鉴定器编写特定的任务分发和回收机制,满足了关联检测对象任务分发和结果整合的需求,开发效率高,而且不同鉴定器返回的检测结果的格式相对统一。检测任务调度模块无需编写复杂的任务派发机制,代码更简洁,运行更流畅,降低了维护成本,提高了该机制的扩展性。
图4为本发明实施例提供的一种检测任务的处理装置结构示意图,如图4所示,本实施例的检测任务的处理装置可以包括:提取单元410、生成单元420、以及处理单元430。
其中,所述提取单元410,用于从已获取的任务文件样本中,提取待检测对象;
生成单元420,用于生成与所述待检测对象对应的检测任务,所述检测任务包括第一全要素字段,所述第一全要素字段包括待检测对象标识以及检测任务信息;
处理单元430,用于将所述检测任务存入消息队列中,以使鉴定器从所述消息队列中获取所述检测任务,根据所述待检测对象标识以及检测任务信息对所述待检测对象进行检测处理,并将检测后的分析结果存入所述消息队列中,所述消息队列与所述鉴定器一一对应。
进一步地,所述装置还包括:匹配单元(图中未示出),用于对所述待检测对象进行字段匹配,并根据匹配结果,确定可用于存放所述检测任务的所述消息队列。
进一步地,所述匹配单元具体用于,判断所述待检测对象中是否包括预设的特征字段;如果所述待检测对象中包括所述特征字段,则确定所述待检测对象的检测类型;根据所述检测类型,确定与所述检测类型匹配的所述鉴定器以及与所述鉴定器对应的所述消息队列的标识。
进一步地,所述第一全要素字段还包括所述消息队列的标识;所述处理单元430具体用于,根据所述消息队列的标识,将所述检测任务存入所述消息队列。
进一步地,所述装置还包括:获取单元(图中未示出),用于从所述消息队列中,获取所述鉴定器存入的所述分析结果,所述分析结果包括第二全要素字段,所述第二全要素字段包括所述待检测对象标识以及检测任务的检测结果信息;
记录单元(图中未示出),用于对所述待检测对象标识、所述检测任务以及所述检测结果信息进行对应记录。
进一步地,所述记录单元具体用于,
当所述检测任务信息对应的第一字段为空值,且所述检测结果信息中存在所述第一字段的第一值时,获取所述第一值,并将所述第一值、所述检测任务以及所述待检测对象的标识对应记录;
当所述检测任务信息对应的第一字段为非空值,且所述检测结果信息中存在所述第一字段的第二值时,获取所述第二值,并根据所述第二值更新所述非空值,将所述第二值、所述检测任务以及所述待检测对象的标识对应记录。
进一步地,所述记录单元海具体用于,
当所述检测结果信息中存在所述检测任务信息中未包括的第二字段时,获取所述第二字段对应的第三值,并将所述第三值、所述检测任务以及所述待检测对象的标识对应记录。
进一步地,所述第一字段为非组合字段、或唯一标志字段、或数组。
本实施例的装置,可以用于执行图1、图2、图3所示方法实施例的技术方案,其实现原理和技术效果类似,此处不再赘述。
相应地,本发明实施例提供的一种检测任务的处理装置还可用另一种结构实现,即用一种电子设备来实现。图5为本发明提供的一个电子设备实施例的硬件结构示意图,可以实现本发明图1-3所示实施例的流程,如图5所示,上述电子设备可以包括:壳体51、处理器52、存储器53、电路板54和电源电路55。其中,电路板54安置在壳体51围成的空间内部,处理器52和存储器53设置在电路板54上;电源电路55,用于为上述装置的各个电路或器件供电;存储器53用于存储可执行程序代码;处理器52通过读取存储器53中存储的可执行程序代码来运行与可执行程序代码对应的程序,用于执行前述实施例所述的方法。
处理器52对上述步骤的具体执行过程以及处理器52通过运行可执行程序代码来进一步执行的步骤,可以参见本发明图1-3所示实施例的描述,在此不再赘述。
该电子设备:提供计算服务的设备,电子设备的构成包括处理器、硬盘、内存、系统总线等,装置和通用的计算机架构类似,但是由于需要提供高可靠的服务,因此在处理能力、稳定性、可靠性、安全性、可扩展性、可管理性等方面要求较高。
本发明实施例还提供一种计算机可读存储介质,所述计算机可读存储介质存储有一个或者多个程序,所述一个或者多个程序可被一个或者多个处理器执行,以实现前述任一实施方式所述的方法。
需要说明的是,在本文中,诸如术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个......”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
本说明书中的各个实施例均采用相关的方式描述,各个实施例之间相同相似的部分互相参见即可,每个实施例重点说明的都是与其他实施例的不同之处。
尤其,对于装置实施例而言,由于其基本相似于方法实施例,所以描述的比较简单,相关之处参见方法实施例的部分说明即可。
在流程图中表示或在此以其他方式描述的逻辑和/或步骤,例如,可以被认为是用于实现逻辑功能的可执行指令的定序列表,可以具体实现在任何计算机可读介质中,以供指令执行系统、装置或设备(如基于计算机的系统、包括处理器的系统或其他可以从指令执行系统、装置或设备取指令并执行指令的系统)使用,或结合这些指令执行系统、装置或设备而使用。就本说明书而言,″计算机可读介质″可以是任何可以包含、存储、通信、传播或传输程序以供指令执行系统、装置或设备或结合这些指令执行系统、装置或设备而使用的装置。
计算机可读介质的更具体的示例(非穷尽性列表)包括以下:具有一个或多个布线的电连接部(电子装置),便携式计算机盘盒(磁装置),随机存取存储器(RAM),只读存储器(ROM),可擦除可编辑只读存储器(EPROM或闪速存储器),光纤装置,以及便携式光盘只读存储器(CDROM)。另外,计算机可读介质甚至可以是可在其上打印所述程序的纸或其他合适的介质,因为可以例如通过对纸或其他介质进行光学扫描,接着进行编辑、解译或必要时以其他合适方式进行处理来以电子方式获得所述程序,然后将其存储在计算机存储器中。
应当理解,本发明的各部分可以用硬件、软件、固件或它们的组合来实现。
在上述实施方式中,多个步骤或方法可以用存储在存储器中且由合适的指令执行系统执行的软件或固件来实现。例如,如果用硬件来实现,和在另一实施方式中一样,可用本领域公知的下列技术中的任一项或他们的组合来实现:具有用于对数据信号实现逻辑功能的逻辑门电路的离散逻辑电路,具有合适的组合逻辑门电路的专用集成电路,可编程门阵列(PGA),现场可编程门阵列(FPGA)等。
本技术领域的普通技术人员可以理解实现上述实施例方法携带的全部或部分步骤是可以通过程序来指令相关的硬件完成,所述的程序可以存储于一种计算机可读存储介质中,该程序在执行时,包括方法实施例的步骤之一或其组合。
为了描述的方便,描述以上装置是以功能分为各种单元/模块分别描述。当然,在实施本发明时可以把各单元/模块的功能在同一个或多个软件和/或硬件中实现。
通过以上的实施方式的描述可知,本领域的技术人员可以清楚地了解到本发明可借助软件加必需的通用硬件平台的方式来实现。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品可以存储在存储介质中,如ROM/RAM、磁碟、光盘等,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例或者实施例的某些部分所述的方法。
Claims (18)
1.一种病毒检测任务的处理方法,其特征在于,应用于检测任务调度模块,所述方法包括:
从已获取的任务文件样本中,提取待检测对象;
利用JSON Pointer规范生成与所述待检测对象对应的检测任务,所述检测任务包括第一全要素字段,所述第一全要素字段包括待检测对象标识以及检测任务信息;
将所述检测任务存入消息队列中,以使鉴定器从所述消息队列中获取所述检测任务,根据所述待检测对象标识以及检测任务信息对所述待检测对象进行检测处理,并将检测后的分析结果存入所述消息队列中,所述消息队列与所述鉴定器的数量均为多个且一一对应;所述分析结果存入的消息队列与所述鉴定器获取检测任务的消息队列为同一消息队列;所述分析结果包括第二全要素字段,该第二全要素字段包括待检测对象标识以及检测任务的检测结果信息;
利用JSON Pointer规范从所述消息队列中,获取所述鉴定器存入的分析结果。
2.根据权利要求1所述的方法,其特征在于,所述将所述检测任务存入消息队列中之前,所述方法还包括:
对所述待检测对象进行字段匹配,并根据匹配结果,确定可用于存放所述检测任务的所述消息队列。
3.根据权利要求2所述的方法,其特征在于,所述对所述待检测对象进行字段匹配,并根据匹配结果,确定可用于存放所述检测任务的所述消息队列具体包括:
判断所述待检测对象中是否包括预设的特征字段;
如果所述待检测对象中包括所述特征字段,则确定所述待检测对象的检测类型;
根据所述检测类型,确定与所述检测类型匹配的所述鉴定器以及与所述鉴定器对应的所述消息队列的标识。
4.根据权利要求3所述的方法,其特征在于,所述第一全要素字段还包括所述消息队列的标识;
所述将所述检测任务存入消息队列中,具体包括:
根据所述消息队列的标识,将所述检测任务存入所述消息队列。
5.根据权利要求1所述的方法,其特征在于,所述方法还包括:
从所述消息队列中,获取所述鉴定器存入的所述分析结果,所述分析结果包括第二全要素字段,所述第二全要素字段包括所述待检测对象标识以及检测任务的检测结果信息;
对所述待检测对象标识、所述检测任务以及所述检测结果信息进行对应记录。
6.根据权利要求5所述的方法,其特征在于,所述对所述待检测对象标识、所述检测任务以及所述检测结果信息进行对应记录,具体包括:
当所述检测任务信息对应的第一字段为空值,且所述检测结果信息中存在所述第一字段的第一值时,获取所述第一值,并将所述第一值、所述检测任务以及所述待检测对象的标识对应记录;
当所述检测任务信息对应的第一字段为非空值,且所述检测结果信息中存在所述第一字段的第二值时,获取所述第二值,并根据所述第二值更新所述非空值,将所述第二值、所述检测任务以及所述待检测对象的标识对应记录。
7.根据权利要求6所述的方法,其特征在于,所述对所述待检测对象标识、所述检测任务以及所述检测结果信息进行对应记录,具体包括:
当所述检测结果信息中存在所述检测任务信息中未包括的第二字段时,获取所述第二字段对应的第三值,并将所述第三值、所述检测任务以及所述待检测对象的标识对应记录。
8.根据权利要求6或7所述的方法,其特征在于,所述第一字段为非组合字段、或唯一标志字段、或数组。
9.一种病毒检测任务的处理装置,其特征在于,所述装置包括:
提取单元,用于从已获取的任务文件样本中,提取待检测对象;
生成单元,用于利用JSON Pointer规范生成与所述待检测对象对应的检测任务,所述检测任务包括第一全要素字段,所述第一全要素字段包括待检测对象标识以及检测任务信息;
处理单元,用于将所述检测任务存入消息队列中,以使鉴定器从所述消息队列中获取所述检测任务,根据所述待检测对象标识以及检测任务信息对所述待检测对象进行检测处理,并将检测后的分析结果存入所述消息队列中,所述消息队列与所述鉴定器的数量均为多个且一一对应;所述分析结果存入的消息队列与所述鉴定器获取检测任务的消息队列为同一消息队列;所述分析结果包括第二全要素字段,该第二全要素字段包括待检测对象标识以及检测任务的检测结果信息;
所述处理单元,还用于利用JSON Pointer规范从所述消息队列中,获取所述鉴定器存入的分析结果。
10.根据权利要求9所述的装置,其特征在于,所述装置还包括:
匹配单元,用于对所述待检测对象进行字段匹配,并根据匹配结果,确定可用于存放所述检测任务的所述消息队列。
11.根据权利要求10所述的装置,其特征在于,所述匹配单元具体用于,判断所述待检测对象中是否包括预设的特征字段;
如果所述待检测对象中包括所述特征字段,则确定所述待检测对象的检测类型;
根据所述检测类型,确定与所述检测类型匹配的所述鉴定器以及与所述鉴定器对应的所述消息队列的标识。
12.根据权利要求11所述的装置,其特征在于,所述第一全要素字段还包括所述消息队列的标识;
所述处理单元具体,用于根据所述消息队列的标识,将所述检测任务存入所述消息队列。
13.根据权利要求9所述的装置,其特征在于,所述装置还包括:
获取单元,用于从所述消息队列中,获取所述鉴定器存入的所述分析结果,所述分析结果包括第二全要素字段,所述第二全要素字段包括所述待检测对象标识以及检测任务的检测结果信息;
记录单元,用于对所述待检测对象标识、所述检测任务以及所述检测结果信息进行对应记录。
14.根据权利要求13所述的装置,其特征在于,所述记录单元具体用于,
当所述检测任务信息对应的第一字段为空值,且所述检测结果信息中存在所述第一字段的第一值时,获取所述第一值,并将所述第一值、所述检测任务以及所述待检测对象的标识对应记录;
当所述检测任务信息对应的第一字段为非空值,且所述检测结果信息中存在所述第一字段的第二值时,获取所述第二值,并根据所述第二值更新所述非空值,将所述第二值、所述检测任务以及所述待检测对象的标识对应记录。
15.根据权利要求14所述的装置,其特征在于,所述记录单元海具体用于,
当所述检测结果信息中存在所述检测任务信息中未包括的第二字段时,获取所述第二字段对应的第三值,并将所述第三值、所述检测任务以及所述待检测对象的标识对应记录。
16.根据权利要求14或15所述的装置,其特征在于,所述第一字段为非组合字段、或唯一标志字段、或数组。
17.一种电子设备,其特征在于,所述电子设备包括:壳体、处理器、存储器、电路板和电源电路,其中,电路板安置在壳体围成的空间内部,处理器和存储器设置在电路板上;电源电路,用于为上述电子设备的各个电路或器件供电;存储器用于存储可执行程序代码;处理器通过读取存储器中存储的可执行程序代码来运行与可执行程序代码对应的程序,用于执行前述权利要求1-8中任一项所述的方法。
18.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质存储有一个或者多个程序,所述一个或者多个程序可被一个或者多个处理器执行,以实现前述权利要求1-8中任一项所述的方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201711498286.0A CN108881150B (zh) | 2017-12-29 | 2017-12-29 | 一种检测任务的处理方法、装置、电子设备及存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201711498286.0A CN108881150B (zh) | 2017-12-29 | 2017-12-29 | 一种检测任务的处理方法、装置、电子设备及存储介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN108881150A CN108881150A (zh) | 2018-11-23 |
| CN108881150B true CN108881150B (zh) | 2021-03-23 |
Family
ID=64325843
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201711498286.0A Active CN108881150B (zh) | 2017-12-29 | 2017-12-29 | 一种检测任务的处理方法、装置、电子设备及存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN108881150B (zh) |
Families Citing this family (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111797392B (zh) * | 2019-04-09 | 2023-08-08 | 国家计算机网络与信息安全管理中心 | 一种控制衍生文件无限分析的方法、装置及存储介质 |
| CN112491782B (zh) * | 2020-09-29 | 2022-05-27 | 新华三信息安全技术有限公司 | 一种安全检测分析方法及装置 |
| CN114745441A (zh) * | 2020-12-23 | 2022-07-12 | 网神信息技术(北京)股份有限公司 | 鉴定任务调度方法和调度组件 |
| CN112818411A (zh) * | 2021-01-22 | 2021-05-18 | 深圳市今日投资数据科技有限公司 | 数据检测方法及装置 |
Citations (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103294533A (zh) * | 2012-10-30 | 2013-09-11 | 北京安天电子设备有限公司 | 任务流控制方法及系统 |
| CN103473138A (zh) * | 2013-09-18 | 2013-12-25 | 柳州市博源环科科技有限公司 | 基于线程池的多任务队列调度方法 |
| EP2895954A1 (en) * | 2012-09-12 | 2015-07-22 | Salesforce.com, Inc. | Auction-based resource sharing for message queues in an on-demand services environment |
| CN105117289A (zh) * | 2015-09-30 | 2015-12-02 | 北京奇虎科技有限公司 | 基于云测试平台的任务分配方法、装置及系统 |
| CN105183564A (zh) * | 2015-09-30 | 2015-12-23 | 北京奇虎科技有限公司 | 基于云测试平台的设备调度方法、装置及系统 |
| CN105279017A (zh) * | 2015-09-30 | 2016-01-27 | 北京奇虎科技有限公司 | 基于云测试平台的任务分配方法、装置及系统 |
| CN105760219A (zh) * | 2016-01-29 | 2016-07-13 | 中国人民解放军信息工程大学 | 基于多Agent分布式调度的并行符号执行系统 |
| CN106547608A (zh) * | 2016-09-09 | 2017-03-29 | 北京安天电子设备有限公司 | 一种基于内存页主动合并技术的沙箱并发方法及系统 |
| CN107171894A (zh) * | 2017-06-15 | 2017-09-15 | 北京奇虎科技有限公司 | 终端设备、分布式云端检测系统以及样本检测的方法 |
-
2017
- 2017-12-29 CN CN201711498286.0A patent/CN108881150B/zh active Active
Patent Citations (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP2895954A1 (en) * | 2012-09-12 | 2015-07-22 | Salesforce.com, Inc. | Auction-based resource sharing for message queues in an on-demand services environment |
| CN103294533A (zh) * | 2012-10-30 | 2013-09-11 | 北京安天电子设备有限公司 | 任务流控制方法及系统 |
| CN103473138A (zh) * | 2013-09-18 | 2013-12-25 | 柳州市博源环科科技有限公司 | 基于线程池的多任务队列调度方法 |
| CN105117289A (zh) * | 2015-09-30 | 2015-12-02 | 北京奇虎科技有限公司 | 基于云测试平台的任务分配方法、装置及系统 |
| CN105183564A (zh) * | 2015-09-30 | 2015-12-23 | 北京奇虎科技有限公司 | 基于云测试平台的设备调度方法、装置及系统 |
| CN105279017A (zh) * | 2015-09-30 | 2016-01-27 | 北京奇虎科技有限公司 | 基于云测试平台的任务分配方法、装置及系统 |
| CN105760219A (zh) * | 2016-01-29 | 2016-07-13 | 中国人民解放军信息工程大学 | 基于多Agent分布式调度的并行符号执行系统 |
| CN106547608A (zh) * | 2016-09-09 | 2017-03-29 | 北京安天电子设备有限公司 | 一种基于内存页主动合并技术的沙箱并发方法及系统 |
| CN107171894A (zh) * | 2017-06-15 | 2017-09-15 | 北京奇虎科技有限公司 | 终端设备、分布式云端检测系统以及样本检测的方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN108881150A (zh) | 2018-11-23 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN108881150B (zh) | 一种检测任务的处理方法、装置、电子设备及存储介质 | |
| CN108092962B (zh) | 一种恶意url检测方法及装置 | |
| CN111917740B (zh) | 一种异常流量告警日志检测方法、装置、设备及介质 | |
| CN111460446B (zh) | 基于模型的恶意文件检测方法及装置 | |
| CN109951435B (zh) | 一种设备标识提供方法及装置和风险控制方法及装置 | |
| EP2693356A2 (en) | Detecting pirated applications | |
| CN110868378A (zh) | 钓鱼邮件检测方法、装置、电子设备及存储介质 | |
| CN107395650B (zh) | 基于沙箱检测文件识别木马回连方法及装置 | |
| EP3486809A1 (en) | Classification device, classification method, and classification program | |
| CN111191201A (zh) | 基于数据埋点的用户识别方法、装置、设备及存储介质 | |
| CN110543506A (zh) | 数据分析方法、装置、电子设备及存储介质 | |
| CN114244611B (zh) | 异常攻击检测方法、装置、设备及存储介质 | |
| CN111625826A (zh) | 云服务器中的恶意软件检测方法、装置及可读存储介质 | |
| US20210034740A1 (en) | Threat analysis system, threat analysis method, and threat analysis program | |
| CN112256635A (zh) | 一种识别文件类型的方法及装置 | |
| CN114282212A (zh) | 流氓软件识别方法、装置、电子设备及存储介质 | |
| CN110245059B (zh) | 一种数据处理方法、设备及存储介质 | |
| CN110210216B (zh) | 一种病毒检测的方法以及相关装置 | |
| CN108182363A (zh) | 嵌入式office文档的检测方法、系统及存储介质 | |
| CN111027072B (zh) | Linux下基于elf二进制标准解析的内核Rootkit检测方法及装置 | |
| CN113110965A (zh) | 异常信息的监控方法及装置、计算机存储介质、终端 | |
| CN107992538B (zh) | 报文日志生成方法、装置、查询方法及信息处理系统 | |
| CN114065202B (zh) | 一种恶意代码检测方法、装置、电子设备及存储介质 | |
| CN114884686A (zh) | 一种php威胁识别方法及装置 | |
| CN109214212B (zh) | 信息防泄露方法及装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |