CN111259398B - 病毒防御方法、装置、设备和可读存储介质 - Google Patents

病毒防御方法、装置、设备和可读存储介质 Download PDF

Info

Publication number
CN111259398B
CN111259398B CN202010116835.9A CN202010116835A CN111259398B CN 111259398 B CN111259398 B CN 111259398B CN 202010116835 A CN202010116835 A CN 202010116835A CN 111259398 B CN111259398 B CN 111259398B
Authority
CN
China
Prior art keywords
information
resource
virus
response information
total size
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202010116835.9A
Other languages
English (en)
Other versions
CN111259398A (zh
Inventor
杜振宇
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Sangfor Technologies Co Ltd
Original Assignee
Sangfor Technologies Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Sangfor Technologies Co Ltd filed Critical Sangfor Technologies Co Ltd
Priority to CN202010116835.9A priority Critical patent/CN111259398B/zh
Publication of CN111259398A publication Critical patent/CN111259398A/zh
Application granted granted Critical
Publication of CN111259398B publication Critical patent/CN111259398B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/562Static detection

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Software Systems (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Virology (AREA)
  • Health & Medical Sciences (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • General Health & Medical Sciences (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)
  • Computer And Data Communications (AREA)

Abstract

本发明公开了一种病毒防御方法,该方法包括:在向服务器发送资源请求信息后,获取服务器基于资源请求信息返回的响应信息;确定所述响应信息中实体标签的标志位;根据所述标志位分析所述响应信息对应的资源的病毒防御方式;按照所述病毒防御方式处理所述响应信息对应的资源。本发明还公开了病毒防御装置、病毒防御设备和可读存储介质。本发明旨在提高病毒防御过程对请求资源处置的准确性。

Description

病毒防御方法、装置、设备和可读存储介质
技术领域
本发明涉及信息安全技术领域,尤其涉及病毒防御方法、病毒防御装置、病毒防御设备和可读存储介质。
背景技术
目前,防火墙在对下载的文件进程查杀完毕后,会对下载该文件的网址信息、病毒结果(黑、白、灰)、文件大小等缓存到杀毒记录中,这样当下次有相同的下载请求时,便可依据杀毒记录对资源进行处理。
然而,当前仅依据杀毒记录中的文件大小与当前请求网址对应的资源的大小作比较,只要大小一致便不会对请求网址所对应的资源再次杀毒,按照之前的病毒结果处理当前所获取的资源。这样会导致杀毒记录网址信息对应的病毒结果为有毒时,即使请求网址对应的资源变化为没毒,只要文件大小不变,也会按照杀毒记录对资源进行拦截;另外,杀毒记录网址信息对应的病毒结果为无毒时,只要文件大小不变,即使请求网址对应的资源变化为有毒,也会按照杀毒记录放行资源,等等。由此可见,当前仅仅依据文件大小分析资源的防御方式的病毒防御机制无法准确地对终端所请求的资源进行处置。
上述内容仅用于辅助理解本发明的技术方案,并不代表承认上述内容是现有技术。
发明内容
本发明的主要目的在于提供一种病毒防御方法,旨在提高病毒防御过程对请求资源处置的准确性。
为实现上述目的,本发明提供一种病毒防御方法,所述病毒防御方法包括以下步骤:
在向服务器发送资源请求信息后,获取所述服务器基于所述资源请求信息返回的响应信息;
确定所述响应信息中实体标签的标志位;
根据所述标志位分析所述响应信息对应的资源的病毒防御方式;
按照所述病毒防御方式处理所述响应信息对应的资源。
可选地,所述根据所述标志位,分析所述响应信息对应的资源的病毒防御方式的步骤包括:
当所述标志位为第一标志位时,提取所述响应信息中的实体标签作为第一实体标签,获取所述资源请求信息对应的历史杀毒信息中的第二实体标签;
若所述第一实体标签与所述第二实体标签不一致,则确定所述病毒防御方式为所述响应信息对应的资源进行病毒查杀;
若所述第一实体标签与所述第二实体标签一致,则确定所述病毒防御方式为按照所述历史杀毒信息处理所述响应信息对应的资源。
可选地,所述根据所述标志位,分析所述响应信息对应的资源的病毒防御方式的步骤包括:
当所述标志位为第二标志位时,获取所述响应信息对应的资源的第一总大小,获取所述资源请求信息对应的历史杀毒信息中资源的第二总大小;
若所述第一总大小与所述第二总大小不一致,则确定所述病毒防御方式为对所述响应信息中的资源进行病毒查杀;
若所述第一总大小与所述第二总大小一致时,则确定所述病毒防御方式为按照所述历史杀毒信息处理所述响应信息对应的资源。
可选地,所述获取所述响应信息对应的资源的第一总大小的步骤包括:
基于所述服务器的资源传输方式,获取所述响应信息对应的资源的第一总大小。
可选地,所述基于所述服务器的资源传输方式,获取所述响应信息对应的资源的第一总大小的步骤包括:
判断所述响应信息是否包括断点续传方式对应的第一特征字段;
当所述响应信息包括所述第一特征字段时,解析所述第一特征字段,确定所述第一总大小;
当所述响应信息不包括所述第一特征字段时,提取所述响应信息中的第二特征字段;
解析所述第二特征字段,确定所述第一总大小。
可选地,所述获取所述资源请求信息对应的历史杀毒信息中资源的第二总大小的步骤包括:
提取所述历史杀毒信息中的第三特征字段;
解析所述第三特征字段,确定所述第二总大小。
可选地,所述根据所述标志位,分析所述响应信息对应的资源的病毒防御方式的步骤之前,还包括:
判断是否存在所述资源请求信息对应的历史杀毒信息;
当存在所述资源请求信息对应的历史杀毒信息时,执行所述根据所述标志位,分析所述响应信息对应的资源的病毒防御方式的步骤;
当不存在所述资源请求信息对应的历史杀毒信息时,对所述响应信息对应的资源进行病毒查杀。
可选地,所述按照所述病毒防御方式处理所述响应信息对应的资源的步骤之后,还包括:
获取所述资源请求信息对应的地址信息,获取所述响应信息对应的资源的查杀结果,获取所述响应信息对应的资源的大小信息;
根据所述查杀结果、所述大小信息和所述地址信息更新所述历史杀毒信息。
此外,为了实现上述目的,本申请还提出一种病毒防御装置,所述病毒防御装置包括:
第一处理模块,所述第一处理模块用于在向服务器发送资源请求信息后,获取所述服务器基于所述资源请求信息返回的响应信息;
识别模块,所述识别模块用于确定所述响应新中实体标签的标志位;
分析模块,所述分析模块用于根据所述标志位分析所述响应信息对应的资源的病毒防御方式;
防御模块,所述防御模块用于按照所述病毒防御方式处理所述响应信息对应的资源。
此外,为了实现上述目的,本申请还提出一种病毒防御设备,所述病毒防御设备包括:存储器、处理器及存储在所述存储器上并可在所述处理器上运行的病毒防御程序,所述病毒防御程序被所述处理器执行时实现如上任一项所述的病毒防御方法的步骤。
此外,为了实现上述目的,本申请还提出一种可读存储介质,所述可读存储介质上存储有病毒防御程序,所述病毒防御程序被处理器执行时实现如上任一项所述的病毒防御方法的步骤。
本发明提出的一种病毒防御方法,该方法向服务器发送资源请求信息后,获取服务器基于该资源请求信息返回的响应信息,确定响应信息中实体标签的标志位,根据标志位分析响应信息对应的资源的病毒防御方式,按照病毒防御方式处理响应信息对应的资源。其中,由于资源没有发生变化,则其对应的实体标签不变,而实体标签的标志位表征的是响应信息中实体标签的不同状态,基于响应信息中实体标签的不同状态适应性的采用不同方式分析病毒防御方式,而不单一地依据文件大小进行分析,可贴合服务器所提供资源的实际情况进行病毒防御方式的准确分析,从而实现对当前响应信息所对应的资源的正确处置,提高病毒防御过程对请求资源处置的准确性。
附图说明
图1是本发明病毒防御设备一实施例运行涉及的硬件结构示意图;
图2为本发明病毒防御方法第一实施例的流程示意图;
图3为本发明病毒防御方法第二实施例的流程示意图;
图4为本发明病毒防御方法第三实施例的流程示意图;
图5为本发明病毒防御方法第四实施例的流程示意图;
图6为本发明病毒防御方法第五实施例的流程示意图;
图7为本发明病毒防御方法第六实施例的流程示意图。
本发明目的的实现、功能特点及优点将结合实施例,参照附图做进一步说明。
具体实施方式
应当理解,此处所描述的具体实施例仅仅用以解释本发明,并不用于限定本发明。
本发明实施例的主要解决方案是:在向服务器发送资源请求信息后,获取所述服务器基于所述资源请求信息返回的响应信息;确定所述响应信息中实体标签的标志位;根据所述标志位分析所述响应信息对应的资源的病毒防御方式;按照所述病毒防御方式处理所述响应信息对应的资源。
由于现有技术中,仅仅依据文件大小分析资源的防御方式的病毒防御机制无法准确地对终端所请求的资源进行处置。
本发明提供上述的解决方案,旨在提高病毒防御过程对请求资源处置的准确性。
本发明提出一种病毒防御设备,应用于请求资源时的病毒防御,具体可以是安装有防火墙的设备等。
在本发明实施例中,参照图1,病毒防御设备包括:处理器1001,例如CPU,存储器1002等。处理器1001与存储器1002连接。存储器1002可以是高速RAM存储器,也可以是稳定的存储器(non-volatile memory),例如磁盘存储器。存储器1002可选的还可以是独立于前述处理器1001的存储装置。
本领域技术人员可以理解,图1中示出的装置结构并不构成对装置的限定,可以包括比图示更多或更少的部件,或者组合某些部件,或者不同的部件布置。
如图1所示,作为一种可读存储介质的存储器1002中可以包括病毒防御程序。在图1所示的装置中,处理器1001可以用于调用存储器1002中存储的病毒防御程序,并执行以下实施例中病毒防御方法的相关步骤操作。
本发明还提供一种病毒防御方法。
参照图2,提出本发明病毒防御方法第一实施例,所述病毒防御方法包括:
步骤S10,在向服务器发送资源请求信息后,获取所述服务器基于所述资源请求信息返回的响应信息;
当设备需要向服务器请求资源时,可基于网络地址向服务器发送资源请求信息,服务器在接收到资源请求信息后进行响应并返回相应的数据,获取服务器基于资源请求信息所返回的数据作为这里的响应信息。
其中,当服务器接收到设备发送资源请求信息后,若资源请求信息中包含有实体标签,则表明设备不是第一次访问该网络地址对应的资源,因此可将资源请求信息中的实体标签与服务器中资源所对应的实体标签进行比对,比对一致则表明设备中之前缓存的资源与服务器中的资源一致,则响应信息可包括不带任何内容的304未修改状态,以使设备接收到响应信息后知晓其之前所缓存的网络地址所对应的资源可用;此外,若比对不一致或资源请求信息中不包含有实体标签,则表明设备中之前缓存的资源与服务器中的资源不一致,响应信息中可包括资源请求信息对应的网络地址所对应的资源及其当前的实体标签。
步骤S20,确定所述响应信息中实体标签的标志位;
实体标签(ETag,全称Entity Tag)为HTTP协议规格说明定义的被请求变量的实体值,其位于HTTP响应头中,代表资源的特定版本的标识符。若资源发生变化,实体标签也会随之改变;若资源不发生变化,则实体标签不会改变。
实体标签的标志位表征的是响应信息中实体标签存在与否等状态的信息。具体的,标志位为第一标志位(如为1)时,表明响应信息中包含有实体标签,标志位为第二标志位(如为0)时,表明响应信息中未包含有实体标签。
步骤S30,根据所述标志位分析响应信息对应的资源的病毒防御方式;
不同的标志位可对应不同的病毒防御方式的分析方式。具体的,当标志位为第一标志位时(即响应信息中包含有实体标签时),可基于实体标签进行病毒防御方式分析;当标志位为第二标志位时(即响应信息中不包含有实体标签时),可基于实体标签以外的参数(如文件大小)进行病毒防御方式分析。
其中,病毒防御方式可具体包括第一方式和第二方式等。具体的,第一方式为对资源进行重新查杀,按照查杀结果处理资源;第二方式为按照历史杀毒信息中该资源所记录的处理方式对该资源进行处理。此外,在其他实施例中,病毒防御方式还可根据实际需求设置为其他方式,例如按照云端对该资源记录的处置方式进行资源处理。
步骤S40,按照所述病毒防御方式处理所述响应信息对应的资源。
本发明实施例提出的一种病毒防御方法,该方法向服务器发送资源请求信息后,获取服务器基于该资源请求信息返回的响应信息,确定响应信息中实体标签的标志位,根据标志位分析响应信息对应的资源的病毒防御方式,按照病毒防御方式处理响应信息对应的资源。其中,由于资源没有发生变化,则其对应的实体标签不变,而实体标签的标志位表征的是响应信息中实体标签的不同状态,基于响应信息中实体标签的不同状态适应性的采用不同方式分析病毒防御方式,而不单一地依据文件大小进行分析,可贴合服务器所提供资源的实际情况进行病毒防御方式的准确分析,从而实现对当前响应信息所对应的资源的正确处置,提高病毒防御过程对请求资源处置的准确性。
进一步的,基于上述第一实施例,提出本申请病毒防御方法的第二实施例。在第二实施例中,参照图3,所述步骤S30可具体包括:
步骤S31,当所述标志位为第一标志位时,提取所述响应信息中的实体标签作为第一实体标签,获取所述资源请求信息对应的历史杀毒信息中的第二实体标签;
标志位为第一标志位,表明响应信息中包含实体标签,此时可从响应信息中提取其中的实体标签作为第一实体标签。
历史杀毒信息指的是当前时刻之前,对同样的资源请求信息所对应的资源进行查杀后形成的杀毒记录。具体的,历史杀毒信息可具体包括若干个资源对应的网络地址的地址信息(例如是URL的信息摘要值,如MD5值)、资源所对应的实体标签、资源的文件大小信息以及病毒结果等。将当前资源请求信息所对应的地址信息与历史杀毒信息中的地址信息作比对,比对一致的历史杀毒信息则为当前资源请求信息所对应的历史杀毒信息。将当前资源请求信息所对应的历史杀毒信息中所记录的实体标签作为上述的第二实体标签。
步骤S32,判断所述第一实体标签与所述第二实体标签是否一致;若不一致,则执行步骤S33;若一致,则执行步骤S34。
步骤S33,确定所述病毒防御方式为所述响应信息对应的资源进行病毒查杀;
具体的,在响应信息中提取服务器所返回的资源,并按照预设规则进行病毒查杀,判断服务器所返回的资源是否存在病毒。按照病毒查杀结果对该资源进行处理。不同的病毒查杀结果对应不同的资源处置方式。病毒查杀结果具体包括资源存在病毒、资源不存在病毒以及无法判断资源是否存在病毒。其中,当资源存在病毒时,可拦截该资源或将资源进行隔离;当资源不存在病毒时,可放行资源,将资源保存至指定位置;当无法判断资源是否存在病毒时,可放行资源,但对资源进行持续监控。此外,在病毒查杀后可将相应的病毒查杀结果输出相应的提示信息。
步骤S34,确定所述病毒防御方式为按照所述历史杀毒信息处理所述响应信息对应的资源。
当第一实体标签与第二实体标签一致时,响应信息所对应的资源可在响应信息中提取,也可在本地查找基于当前网络地址所缓存的资源。具体的,提取历史杀毒信息中的病毒查杀结果,当病毒查杀结果为资源存在病毒时,可拦截或隔离响应信息中的资源,抑或禁止读取本地所缓存的资源;当病毒查杀结果为资源不存在病毒时,可放行资源,将资源保存至指定位置;当无法判断资源是否存在病毒时,可放行资源,但对资源进行持续监控。此外,在可将相应的病毒查杀结果输出相应的提示信息。
在本实施例中,基于实体标签对病毒防御方式进行分析,其中,由于资源没有发生变化,则其对应的实体标签不变,因此第一实体标签与第二实体标签不一致,则表明所请求的资源与历史杀毒信息对应的资源不同,不能基于历史杀毒信息对当前所请求的资源进行处理,需要重新对资源进行病毒查杀,从而基于查杀结果实现对当前所获取的资源的准确处置,提高病毒防御过程对请求资源处置的准确性。
进一步的,基于上述任一实施例,提出本申请病毒防御方法第三实施例。在第三实施例中,参照图4,步骤S30还包括:
步骤S301,当所述标志位为第二标志位时,获取所述响应信息对应的资源的第一总大小,获取所述资源请求信息对应的历史杀毒信息中资源的第二总大小;
标志位为第二标志位,表明响应信息中未包含有实体标签,此时不能依据实体标签进行病毒防御方式分析,可在响应信息中识别提取服务器所提供资源的总大小,作为第一总大小。第二总大小可解析历史杀毒信息中得到。具体的,历史杀毒信息中的文件总大小可采用第三特征字段进行保存,第三特征字段具体为modify。基于此,所述获取所述资源请求信息对应的历史杀毒信息中资源的第二总大小的步骤包括:提取所述历史杀毒信息中的第三特征字段;解析所述第三特征字段,确定所述第二总大小。
步骤S302,判断所述第一总大小与所述第二总大小是否一致;若所述第一总大小与所述第二总大小不一致,则执行步骤S303;若所述第一总大小与所述第二总大小一致时,则执行步骤S304。
步骤S303,确定所述病毒防御方式为对所述响应信息中的资源进行病毒查杀;
步骤S304,确定所述病毒防御方式为按照所述历史杀毒信息处理所述响应信息对应的资源。
其中,步骤S303和步骤S304的具体实施方式可参照上述的步骤S33和步骤S34,在此不作赘述。
在本实施例中,在无法基于实体标签对资源是否变化进行判断时,基于资源的总大小判断资源请求信息所对应的资源是否发生变化,总大小不一致时表明资源肯定发生变化,则对响应信息中的资源重新进行病毒查杀,以实现有效的病毒防御;若总大小一致,表明资源发生变化的可能性较小,则可按照历史杀毒信息对响应信息对应的资源进行处理,也能一定程度上实现了病毒防御。
进一步的,基于上述第三实施例,提出本申请病毒防御方法第四实施例。在第四实施例中,所述步骤S301中获取所述响应信息对应的资源的第一总大小的步骤包括:
步骤S310,基于所述服务器的资源传输方式,获取所述响应信息对应的资源的第一总大小。
资源传输方式可具体包括非断点续传方式和断点续传方式等。不同的资源传输方式可具体对应不同的第一总大小的获取方式。
具体的,参照图5,步骤S310可具体包括:
步骤S311,判断所述响应信息是否包括断点续传方式对应的第一特征字段;
当所述响应信息包括所述第一特征字段时,执行步骤S312;当所述响应信息不包括所述第一特征字段时,执行步骤S313、步骤S314。
步骤S312,解析所述第一特征字段,确定所述第一总大小;
步骤S313,提取所述响应信息中的第二特征字段;
步骤S314,解析所述第二特征字段,确定所述第一总大小。
第一特征字段具体为断点续传方式用于表征文件总大小的特征字符。第二特征字段具体为非断点续传方式用于表征文件总大小的特征字符。其中,第一特征字段具体为Content-Range,第二特征字段具体为Content-Length。因此,通过解析第一特征字段,便可得到基于断点续传方式传输的资源的总大小作为第一总大小;通过解析第二特征字段,便可得到基于非断点续传方式传输的资源的总大小作为第二总大小。
现有技术中无论服务器采用何种资源传输方式,均采用同样的方式(Content-Length)获取文件的大小,因此无法在服务器采用断点传输方式进行资源传输时,其获取的不是资源的总大小,而是资源在分段传输时部分的大小,因此仅仅进行大小比较无法得到准确的病毒查杀结果。在本实施例中,通过上述方式,不同的资源传输方式采用不同的方式获取文件的总大小,从而实现无论服务器用何种资源传输方式,都可准确的获取到其总大小,从而基于总大小的比较判断历史杀毒信息中的杀毒结果是否能用于处置当前资源请求信息所对应的资源,判断的结果较现有技术的准确,从而实现进一步提高病毒防御过程对请求资源处置的准确性。
进一步的,基于上述第二至四实施例,提出本申请病毒防御方法第五实施例。在第四实施例中,参照图6,步骤S30之前,还包括:
步骤S01,判断是否存在所述资源请求信息对应的历史杀毒信息;
当存在所述资源请求信息对应的历史杀毒信息时,执行步骤S30;当不存在所述资源请求信息对应的历史杀毒信息时,执行步骤S50。
步骤S50,对所述响应信息对应的资源进行病毒查杀。
具体的,可将当前资源请求信息所对应的地址信息与历史杀毒信息中的地址信息作比对,当历史杀毒信息存在与资源请求信息所对应的地址信息一致的地址信息时,判定存在资源请求信息对应的历史杀毒信息;当历史杀毒信息不存在与资源请求信息所对应的地址信息一致的地址信息时,判定不存在资源请求信息对应的历史杀毒信息。
在本实施例中,通过上述方式,可保证即使不存在历史杀毒信息,也可实现对资源请求信息对应的资源进行有效的病毒防御,而且对该资源进行准确的病毒防御处置。
进一步的,基于上述第二至五实施例,提出本申请病毒防御方法第六实施例。在第六实施例中,参照图7,所述步骤S40之后,还包括:
步骤S60,获取所述资源请求信息对应的地址信息,获取所述响应信息对应的资源的查杀结果,获取所述响应信息对应的资源的大小信息;
所述资源请求信息包括地址信息,地址信息具体为请求资源的URL地址,也可为请求资源的URL地址的信息摘要值。查杀结果为表征资源是否有毒的信息,可具体包括资源有毒、资源无毒以及无法判断资源是否有毒的信息。获取响应信息对应的资源的第三总大小,根据第三总大小生成大小信息。第三总大小的获取方式可参照上述实施例中第一总大小的获取方式一致,在此不作赘述。具体的,可获取生成第三总大小的信息摘要值(如MD5值)作为大小信息。
步骤S70,根据所述查杀结果、所述大小信息和所述地址信息更新所述历史杀毒信息。
当历史杀毒信息存在与地址信息一致的地址信息时,在历史杀毒信息中,将与该地址信息关联的查杀结果为当前响应信息对应的资源的查杀结果,将与该地址信息关联的大小信息(modify字段对应的参数值)更新为当前响应信息对应的资源的大小信息;当历史杀毒信息不存在与地址信息一致的地址信息时,则将当前资源请求信息中的地址信息、所述大小信息和查杀结果进行关联存储形成新的历史杀毒信息。
在本实施例中,通过上述方式对历史杀毒信息进行更新,从而实现在设备再次发出相同的资源请求信息时,可基于历史杀毒信息对请求的资源进行准确的病毒防御处置。
此外,本实施例还提出一种病毒防御装置,所述病毒防御装置包括:
第一处理模块,所述第一处理模块用于在向服务器发送资源请求信息后,获取所述服务器基于所述资源请求信息返回的响应信息;
识别模块,所述识别模块用于确定所述响应新中实体标签的标志位;
分析模块,所述分析模块用于根据所述标志位分析所述响应信息对应的资源的病毒防御方式;
防御模块,所述防御模块用于按照所述病毒防御方式处理所述响应信息对应的资源。
由于本实施例中的病毒防御装置采用了上述病毒防御方法所有实施例的全部技术方案,因此至少具有上述病毒防御方法实施例的技术方案所带来的所有有益效果,在此不再一一赘述。
此外,本发明实施例还提出一种可读存储介质,所述可读存储介质上存储有病毒防御程序,所述病毒防御程序被处理器执行时实现如上病毒防御方法任一实施例的相关步骤。
需要说明的是,在本文中,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者系统不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者系统所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括该要素的过程、方法、物品或者系统中还存在另外的相同要素。
上述本发明实施例序号仅仅为了描述,不代表实施例的优劣。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到上述实施例方法可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件,但很多情况下前者是更佳的实施方式。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品存储在如上所述的一个存储介质(如ROM/RAM、磁碟、光盘)中,包括若干指令用以使得一台终端设备(可以是手机,计算机,服务器,病毒防御设备,或者网络设备等)执行本发明各个实施例所述的方法。
以上仅为本发明的优选实施例,并非因此限制本发明的专利范围,凡是利用本发明说明书及附图内容所作的等效结构或等效流程变换,或直接或间接运用在其他相关的技术领域,均同理包括在本发明的专利保护范围内。

Claims (9)

1.一种病毒防御方法,其特征在于,所述病毒防御方法包括以下步骤:
在向服务器发送资源请求信息后,获取所述服务器基于所述资源请求信息返回的响应信息;
确定所述响应信息中实体标签的标志位;
根据所述标志位分析所述响应信息对应的资源的病毒防御方式;
按照所述病毒防御方式处理所述响应信息对应的资源;
所述根据所述标志位,分析所述响应信息对应的资源的病毒防御方式的步骤包括:
当所述标志位为第二标志位时,获取所述响应信息对应的资源的第一总大小,获取所述资源请求信息对应的历史杀毒信息中资源的第二总大小;
若所述第一总大小与所述第二总大小不一致,则确定所述病毒防御方式为对所述响应信息中的资源进行病毒查杀;
若所述第一总大小与所述第二总大小一致时,则确定所述病毒防御方式为按照所述历史杀毒信息处理所述响应信息对应的资源;
所述根据所述标志位,分析所述响应信息对应的资源的病毒防御方式的步骤包括:
当所述标志位为第一标志位时,提取所述响应信息中的实体标签作为第一实体标签,获取所述资源请求信息对应的历史杀毒信息中的第二实体标签;
若所述第一实体标签与所述第二实体标签不一致,则确定所述病毒防御方式为对 所述响应信息对应的资源进行病毒查杀;
若所述第一实体标签与所述第二实体标签一致,则确定所述病毒防御方式为按照所述历史杀毒信息处理所述响应信息对应的资源。
2.如权利要求1所述的病毒防御方法,其特征在于,所述获取所述响应信息对应的资源的第一总大小的步骤包括:
基于所述服务器的资源传输方式,获取所述响应信息对应的资源的第一总大小。
3.如权利要求2所述的病毒防御方法,其特征在于,所述基于所述服务器的资源传输方式,获取所述响应信息对应的资源的第一总大小的步骤包括:
判断所述响应信息是否包括断点续传方式对应的第一特征字段;
当所述响应信息包括所述第一特征字段时,解析所述第一特征字段,确定所述第一总大小;
当所述响应信息不包括所述第一特征字段时,提取所述响应信息中的第二特征字段;
解析所述第二特征字段,确定所述第一总大小。
4.如权利要求1所述的病毒防御方法,其特征在于,所述获取所述资源请求信息对应的历史杀毒信息中资源的第二总大小的步骤包括:
提取所述历史杀毒信息中的第三特征字段;
解析所述第三特征字段,确定所述第二总大小。
5.如权利要求1至4中任一项所述的病毒防御方法,其特征在于,所述根据所述标志位,分析所述响应信息对应的资源的病毒防御方式的步骤之前,还包括:
判断是否存在所述资源请求信息对应的历史杀毒信息;
当存在所述资源请求信息对应的历史杀毒信息时,执行所述根据所述标志位,分析所述响应信息对应的资源的病毒防御方式的步骤;
当不存在所述资源请求信息对应的历史杀毒信息时,对所述响应信息对应的资源进行病毒查杀。
6.如权利要求1至4中任一项所述的病毒防御方法,其特征在于,所述按照所述病毒防御方式处理所述响应信息对应的资源的步骤之后,还包括:
获取所述资源请求信息对应的地址信息,获取所述响应信息对应的资源的查杀结果,获取所述响应信息对应的资源的大小信息;
根据所述查杀结果、所述大小信息和所述地址信息更新所述历史杀毒信息。
7.一种病毒防御装置,其特征在于,所述病毒防御装置包括:
第一处理模块,所述第一处理模块用于在向服务器发送资源请求信息后,获取所述服务器基于所述资源请求信息返回的响应信息;
识别模块,所述识别模块用于确定所述响应信息中实体标签的标志位;
分析模块,所述分析模块用于根据所述标志位分析所述响应信息对应的资源的病毒防御方式;
所述根据所述标志位,分析所述响应信息对应的资源的病毒防御方式的步骤包括:
当所述标志位为第一标志位时,提取所述响应信息中的实体标签作为第一实体标签,获取所述资源请求信息对应的历史杀毒信息中的第二实体标签;
若所述第一实体标签与所述第二实体标签不一致,则确定所述病毒防御方式为对 所述响应信息对应的资源进行病毒查杀;
若所述第一实体标签与所述第二实体标签一致,则确定所述病毒防御方式为按照所述历史杀毒信息处理所述响应信息对应的资源;
当所述标志位为第二标志位时,获取所述响应信息对应的资源的第一总大小,获取所述资源请求信息对应的历史杀毒信息中资源的第二总大小;
若所述第一总大小与所述第二总大小不一致,则确定所述病毒防御方式为对所述响应信息中的资源进行病毒查杀;
若所述第一总大小与所述第二总大小一致时,则确定所述病毒防御方式为按照所述历史杀毒信息处理所述响应信息对应的资源;
防御模块,所述防御模块用于按照所述病毒防御方式处理所述响应信息对应的资源。
8.一种病毒防御设备,其特征在于,所述病毒防御设备包括:存储器、处理器及存储在所述存储器上并可在所述处理器上运行的病毒防御程序,所述病毒防御程序被所述处理器执行时实现如权利要求1至6中任一项所述的病毒防御方法的步骤。
9.一种可读存储介质,其特征在于,所述可读存储介质上存储有病毒防御程序,所述病毒防御程序被处理器执行时实现如权利要求1至6中任一项所述的病毒防御方法的步骤。
CN202010116835.9A 2020-02-25 2020-02-25 病毒防御方法、装置、设备和可读存储介质 Active CN111259398B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202010116835.9A CN111259398B (zh) 2020-02-25 2020-02-25 病毒防御方法、装置、设备和可读存储介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202010116835.9A CN111259398B (zh) 2020-02-25 2020-02-25 病毒防御方法、装置、设备和可读存储介质

Publications (2)

Publication Number Publication Date
CN111259398A CN111259398A (zh) 2020-06-09
CN111259398B true CN111259398B (zh) 2022-11-22

Family

ID=70951193

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202010116835.9A Active CN111259398B (zh) 2020-02-25 2020-02-25 病毒防御方法、装置、设备和可读存储介质

Country Status (1)

Country Link
CN (1) CN111259398B (zh)

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN114257456B (zh) * 2021-12-29 2024-04-12 武汉思普崚技术有限公司 一种基于ftp协议的断点续传文件的控制方法及系统
CN114640530B (zh) * 2022-03-24 2023-12-29 深信服科技股份有限公司 一种数据泄露检测方法、装置、电子设备及可读存储介质

Family Cites Families (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP3408782A4 (en) * 2016-01-26 2019-07-31 Hewlett-Packard Enterprise Development LP MALWARE DETECTION
CN110650117B (zh) * 2019-08-01 2022-03-25 平安科技(深圳)有限公司 跨站攻击防护方法、装置、设备及存储介质

Also Published As

Publication number Publication date
CN111259398A (zh) 2020-06-09

Similar Documents

Publication Publication Date Title
CN107294982B (zh) 网页后门检测方法、装置及计算机可读存储介质
US20150271202A1 (en) Method, device, and system for detecting link layer hijacking, user equipment, and analyzing server
RU2551820C2 (ru) Способ и устройство для проверки файловой системы на наличие вирусов
EP2645292A2 (en) Systems and methods for detecting malicious code
CN108632219B (zh) 一种网站漏洞检测方法、检测服务器、系统及存储介质
CN111259398B (zh) 病毒防御方法、装置、设备和可读存储介质
CN110336835B (zh) 恶意行为的检测方法、用户设备、存储介质及装置
CN114531259B (zh) 攻击结果检测方法、装置、系统、计算机设备和介质
CN109862021B (zh) 威胁情报的获取方法及装置
CN113810381B (zh) 一种爬虫检测方法、web应用云防火墙、装置和存储介质
CN108011898B (zh) 漏洞检测方法、装置、计算机设备和存储介质
CN113518077A (zh) 一种恶意网络爬虫检测方法、装置、设备及存储介质
CN111400712A (zh) 文件的病毒查杀方法、设备、装置以及计算机存储介质
CN113098835A (zh) 基于区块链的蜜罐实现方法、蜜罐客户端和蜜罐系统
CN113190838A (zh) 一种基于表达式的web攻击行为检测方法及系统
CN107623693B (zh) 域名解析防护方法及装置、系统、计算设备、存储介质
CN108667768B (zh) 一种网络应用指纹的识别方法及装置
US10757118B2 (en) Method of aiding the detection of infection of a terminal by malware
CN113992443B (zh) 一种云沙箱流量处理方法及装置
JP2015132942A (ja) 接続先情報判定装置、接続先情報判定方法、及びプログラム
CN112182569A (zh) 一种文件识别方法、装置、设备及存储介质
CN116389031A (zh) 一种恶意邮件检测方法、装置、存储介质及电子设备
CN112202763B (zh) 一种ids策略生成方法、装置、设备及介质
CN114363059A (zh) 一种攻击识别方法、装置及相关设备
CN114301696A (zh) 恶意域名检测方法、装置、计算机设备及存储介质

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant