CN115470491A - 文件检测方法和装置 - Google Patents
文件检测方法和装置 Download PDFInfo
- Publication number
- CN115470491A CN115470491A CN202211198941.1A CN202211198941A CN115470491A CN 115470491 A CN115470491 A CN 115470491A CN 202211198941 A CN202211198941 A CN 202211198941A CN 115470491 A CN115470491 A CN 115470491A
- Authority
- CN
- China
- Prior art keywords
- engine
- detection
- file
- target
- result
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/562—Static detection
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/10—File systems; File servers
- G06F16/16—File or folder operations, e.g. details of user interfaces specifically adapted to file systems
- G06F16/162—Delete operations
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/10—File systems; File servers
- G06F16/17—Details of further file system functions
- G06F16/172—Caching, prefetching or hoarding of files
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Computer Security & Cryptography (AREA)
- Physics & Mathematics (AREA)
- Databases & Information Systems (AREA)
- Data Mining & Analysis (AREA)
- Computer Hardware Design (AREA)
- Software Systems (AREA)
- Health & Medical Sciences (AREA)
- Human Computer Interaction (AREA)
- General Health & Medical Sciences (AREA)
- Virology (AREA)
- Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
Abstract
本发明公开了一种文件检测方法和装置,涉及计算机技术领域。该方法的一具体实施方式包括:接收针对目标文件的文件检测任务;确定多个文件检测引擎;获取各所述文件检测引擎针对所述目标文件的检测结果;根据各所述文件检测引擎对应的检测结果及引擎权重,确定所述目标文件的文件检测结果。该实施方式基于多个文件检测引擎提供的检测结果,能够全面准确地获取到文件检测结果。
Description
技术领域
本发明涉及计算机技术领域,尤其涉及一种文件检测方法和装置。
背景技术
存在着勒索病毒、挖矿程序等顽固型病毒的恶意文件,严重地威胁着网络安全。实时或定时的对系统内可疑文件进行检测,是保证系统正常运行的重要措施。由于恶意文件的多样性和多变性,采用传统的防病毒系统检测文件的形式,已无法全面准确地获取到文件检测结果。
发明内容
有鉴于此,本发明实施例提供一种文件检测方法和装置,基于多个文件检测引擎提供的检测结果,能够全面准确地获取到文件检测结果。
第一方面,本发明实施例提供了一种文件检测方法,包括:
接收针对目标文件的文件检测任务;
确定多个文件检测引擎;
获取各所述文件检测引擎针对所述目标文件的检测结果;
根据各所述文件检测引擎对应的检测结果及引擎权重,确定所述目标文件的文件检测结果。
可选地,所述获取各所述文件检测引擎针对所述目标文件的检测结果之后,还包括:
确定所述目标文件的散列值;
确定所述文件检测引擎的引擎标识;
生成缓存结果记录,所述缓存结果记录包括:所述散列值、所述引擎标识及所述检测引擎针对所述目标文件的检测结果;
将所述缓存结果记录保存至缓存结果中。
可选地,所述获取各所述文件检测引擎针对所述目标文件的检测结果,包括:
确定所述目标文件的散列值;
确定所述文件检测引擎的引擎标识;
确定缓存结果中是否存在与所述散列值及所述引擎标识匹配的缓存结果记录;
响应于存在所述缓存结果记录,从所述缓存结果记录中获取所述检测引擎针对所述目标文件的检测结果;
响应于不存在所述缓存结果记录,将所述文件检测任务发送给所述文件检测引擎,并接收所述文件检测引擎针对所述文件检测任务返回的检测结果。
可选地,所述确定多个文件检测引擎之前,还包括:
接收来自目标检测引擎的心跳信息;
根据所述心跳信息,更新引擎列表;
所述确定多个文件检测引擎,包括:
从所述引擎列表中,确定出所述多个文件检测引擎。
可选地,所述根据所述心跳信息,更新引擎列表,包括:
确定所述引擎列表中是否存在所述目标检测引擎对应的引擎信息;
响应于不存在所述目标检测引擎对应的引擎信息,获取所述心跳信息对应的引擎信息,将所述心跳信息对应的引擎信息存储至所述引擎列表中;
响应于存在所述目标检测引擎对应的引擎信息,确定所述目标检测引擎对应的引擎信息与所述心跳信息对应的引擎信息是否匹配;在所述目标检测引擎对应的引擎信息与所述心跳信息对应的引擎信息不匹配的情况下,利用所述心跳信息对应的引擎信息,更新所述引擎列表中的所述目标检测引擎对应的引擎信息。
可选地,还包括:
从引擎列表中,确定出目标检测引擎;
确定在预设时间段内是否接收到来自所述目标检测引擎的心跳信息;
响应于在预设时间段内未接收到来自目标检测引擎的心跳信息,从所述引擎列表中删除所述目标检测引擎的引擎信息。
可选地,还包括:
接收来自目标检测引擎的心跳信息,所述心跳信息包括:第一版本号;
从引擎列表中,确定所述目标检测引擎对应的第二版本号;
响应于所述第一版本号大于所述第二版本号,从缓存结果中删除所述目标检测引擎对应的缓存结果记录。
第二方面,本发明实施例提供了一种文件检测装置,包括:
任务接收模块,用于接收针对目标文件的文件检测任务;
引擎确定模块,用于确定多个文件检测引擎;
结果获取模块,用于获取各所述文件检测引擎针对所述目标文件的检测结果;
结果确定模块,用于根据各所述文件检测引擎对应的检测结果及引擎权重,确定所述目标文件的文件检测结果。
第三方面,本发明实施例提供了一种电子设备,包括:
一个或多个处理器;
存储装置,用于存储一个或多个程序,
当所述一个或多个程序被所述一个或多个处理器执行,使得所述一个或多个处理器实现上述任一实施例所述的方法。
第四方面,本发明实施例提供了一种计算机可读介质,其上存储有计算机程序,所述程序被处理器执行时实现上述任一实施例所述的方法。
上述发明中的一个实施例具有如下优点或有益效果:不同的文件检测引擎对应于不同的防病毒系统、病毒特征库或检测方式。通过综合多个文件检测引擎的文件检测结果,确定最终的文件检测结果。相比采用单一的检测引擎进行文件检测的方式,本发明实施例的方案利用多个文件检测引擎进行文件检测,覆盖的恶意文件类型更广,能够提供更全面准确的文件检测结果。
上述的非惯用的可选方式所具有的进一步效果将在下文中结合具体实施方式加以说明。
附图说明
附图用于更好地理解本发明,不构成对本发明的不当限定。其中:
图1是本发明的一个实施例提供的一种文件检测方法的流程的示意图;
图2是本发明的一个实施例提供的另一种文件检测方法的流程的示意图;
图3是本发明的一个实施例提供的又一种文件检测方法的流程的示意图;
图4是本发明的一个实施例提供的一种文件检测方法的应用场景的示意图;
图5是本发明的一个实施例提供的一种文件检测装置的结构示意图;
图6是适于用来实现本发明实施例的终端设备或服务器的计算机系统的结构示意图。
具体实施方式
以下结合附图对本发明的示范性实施例做出说明,其中包括本发明实施例的各种细节以助于理解,应当将它们认为仅仅是示范性的。因此,本领域普通技术人员应当认识到,可以对这里描述的实施例做出各种改变和修改,而不会背离本发明的范围和精神。同样,为了清楚和简明,以下的描述中省略了对公知功能和结构的描述。
图1是本发明的一个实施例提供的一种文件检测方法的流程的示意图。如图1所示,该方法包括:
步骤101:接收针对目标文件的文件检测任务。
文件检测任务用于检测目标文件是否恶意文件。恶意文件可包括:病毒文件、木马文件等。文件检测任务中可包括:文件下载地址、文件路径信息、文件名称等。
步骤102:确定多个文件检测引擎。
不同的文件检测引擎对应于不同的防病毒系统、病毒特征库或文件检测方式。文件检测方式可包括:本地检测方式及远程检测方式。本地检测方式为利用本地的病毒样本库进行文件检测。远程检测方式将文件发送至防病毒系统的服务器端,统一在防病毒系统的服务器端对文件进行检测。
步骤103:获取各文件检测引擎针对目标文件的检测结果。
分别利用多个文件检测引擎对目标文件进行检测,得到多个检测结果。
步骤104:根据各文件检测引擎对应的检测结果及引擎权重,确定目标文件的文件检测结果。
检测结果可采用检测评分的形式来表示。评分可采用三分值、五分制、十分制等。引擎权重用于表征文件检测引擎得到的检测结果的准确性。文件检测引擎的引擎权重越高,该文件检测引擎的权威性越高,该文件检测引擎得到的检测结果的准确性也越高。可根据各文件检测引擎的引擎权重,计算各文件检测引擎的检测结果的统计值,并将统计值确定为目标文件的文件检测结果。统计值可包括:加权平均值、加权和等。
如果目标文件的文件检测结果大于安全阈值,则表征目标文件为恶意文件的风险较大,可将目标文件进行查杀、隔离、删除等操作,以保证系统安全。
在本发明实施例中,不同的文件检测引擎对应于不同的防病毒系统、病毒特征库或检测方式。通过综合多个文件检测引擎的文件检测结果,确定最终的文件检测结果。相比采用单一的检测引擎进行文件检测的方式,本发明实施例的方案利用多个文件检测引擎进行文件检测,覆盖的恶意文件类型更广,能够提供更全面准确的文件检测结果。
图2是本发明的一个实施例提供的另一种文件检测方法的流程的示意图。如图2所示,该方法包括:
步骤201:接收针对目标文件的文件检测任务。
步骤202:确定多个文件检测引擎。
步骤203:获取各文件检测引擎针对目标文件的检测结果。
步骤204:确定目标文件的散列值及文件检测引擎的引擎标识。
散列值为利用散列函数处理目标文件得到的值,如MD5值等。散列值可用于标识目标文件。一旦目标文件被更改,目标文件的散列值也会发生变化。
步骤205:生成缓存结果记录,缓存结果记录包括:散列值、引擎标识及检测引擎针对目标文件的检测结果;将缓存结果记录保存至缓存结果中。
缓存结果用于保存已完成检测的文件的检测结果。缓存结果中包括多条检测结果记录,不同的检测结果记录用于保存不同的文件检测结果。缓存结果可保存在数据库、表格及文本文件中。
步骤206:根据各文件检测引擎对应的检测结果及引擎权重,确定目标文件的文件检测结果。
在本发明的一个实施例中,可通过如下方式获取文件检测引擎针对目标文件的检测结果:确定所述目标文件的散列值;确定所述文件检测引擎的引擎标识;确定缓存结果中是否存在与所述散列值及所述引擎标识匹配的缓存结果记录;响应于存在所述缓存结果记录,从所述缓存结果记录中获取所述检测引擎针对所述目标文件的检测结果;响应于不存在所述缓存结果记录,将所述文件检测任务发送给所述文件检测引擎,并接收所述文件检测引擎针对所述文件检测任务返回的检测结果。
根据目标文件的散列值及引擎标识,确定缓存结果中是否存在与散列值及引擎标识匹配的缓存结果记录。如果存在,则直接从匹配的缓存结果记录中获取检测结果。如果不存在,将文件检测任务发送给文件检测引擎,以获取检测结果。
在本发明实施例中,获取到文件检测引擎针对目标文件的检测结果之后,将文件的散列值、引擎标识及检测结果,存储在缓存结果中。后续再需利用该文件检测引擎对目标文件进行检测时,可直接从缓存结果中获取检测结果,以减少重复检测,提升文件检测效率。
图3是本发明的一个实施例提供的又一种文件检测方法的流程的示意图。如图3所示,该方法包括:
步骤301:接收来自目标检测引擎的心跳信息;根据心跳信息,更新引擎列表。
文件检测引擎定时发送心跳信息。心跳信息为与文件检测引擎相关的信息。心跳信息可包括:引擎标识,引擎名称,引擎权重,引擎版本等。可根据心跳信息,在引擎列表中插入新的文件检测引擎的引擎信息,也可以更新引擎列表中文件检测引擎的引擎信息。
在接收来自目标检测引擎的心跳信息之后,确定引擎列表中是否存在目标检测引擎对应的引擎信息。如果不存在目标检测引擎对应的引擎信息,获取心跳信息对应的引擎信息,将心跳信息对应的引擎信息存储至引擎列表中。
如果存在目标检测引擎对应的引擎信息,确定目标检测引擎对应的引擎信息与心跳信息对应的引擎信息是否匹配。如果目标检测引擎对应的引擎信息与心跳信息对应的引擎信息匹配,则引擎列表中的目标检测引擎对应的引擎信息为最新信息,无需更新。如果目标检测引擎对应的引擎信息与心跳信息对应的引擎信息不匹配,则引擎列表中的目标检测引擎对应的引擎信息已过期,利用心跳信息对应的引擎信息,更新引擎列表中的目标检测引擎对应的引擎信息。
在本发明的一个实施例中,该方法还包括:从引擎列表中,确定出目标检测引擎;确定在预设时间段内是否接收到来自目标检测引擎的心跳信息;响应于在预设时间段内未接收到来自目标检测引擎的心跳信息,从引擎列表中删除目标检测引擎的引擎信息。长时间未收到目标检测引擎的心跳信息,目标检测引擎可能出现宕机等故障,从引擎列表中删除该目标检测引擎,避免继续调用目标检测引擎进行文件检测。
步骤302:接收针对目标文件的文件检测任务。
步骤303:从引擎列表中,确定出多个文件检测引擎。
步骤304:获取各文件检测引擎针对目标文件的检测结果。
步骤305:根据各文件检测引擎对应的检测结果及引擎权重,确定目标文件的文件检测结果。
在本发明实施例的方案中,系统中设置引擎列表,引擎列表用于存储各文件检测引擎的引擎信息。文件检测引擎发送心跳信息,系统根据心跳信息更新引擎列表中的引擎信息,以保证引擎列表能够及时被更新。
在本发明的一个实施例中,还包括:接收来自目标检测引擎的心跳信息,心跳信息包括:第一版本号;从引擎列表中,确定目标检测引擎对应的第二版本号;响应于第一版本号大于第二版本号,从缓存结果中删除目标检测引擎对应的缓存结果记录。
由于病毒木马等不断变化,文件检测引擎也需要不断地升级更新后的文件检测引擎会具有更高的版本号。心跳信息中的第一版本号大于引擎列表中的目标检测引擎的第二版本号,则目标检测引擎已完成升级,缓存结果中关于该目标检测引擎的结果记录已经过时,需要从缓存结果中删除已过时的缓存结果记录。
图4是本发明的一个实施例提供的一种文件检测方法的应用场景的示意图。如图4所示,文件检测引擎包括:引擎A、引擎B……引擎N。服务器从消息队列中获取文件检测任务,并将最终的文件检测结果回传给消息队列。服务器在接收到文件检测任务之后,先从缓存结果中查询是否存在当前文件检测引擎对应文件检测任务的检测结果。如果存在,直接从缓存结果中获取检测结果;如果不存在,则将文件检测任务分发给当前文件检测引擎,以获取检测结果。本发明实施例提供的文件检测方法包括如下步骤:
步骤S01:通过消息队列向服务端下发文件检测任务,文件检测任务中包括文件下载地址。
步骤S02:服务端通过消息队列获取到文件检测任务后,根据文件的MD5值查询缓存结果中是否已存在当前文件检测引擎对应的检测结果。存储结果可基于redis数据库构建。
步骤S03:如果存在检测结果,则直接跳过该检测任务,从缓存结果中返回检测结果。
步骤S04:如果不存在检测结果,服务端从当前文件检测引擎中选出一个执行引擎,将任务下发到选中的执行引擎。
步骤S05:引擎检测结束后将检测结果回传至服务端,同时缓存检测结果至缓存结果中。
步骤S06:当所有引擎均完成检测后,服务端根据引擎权重计算最终的文件检测结果,计算方式如下:
文件检测结果存在安全、可疑、恶意三种结果,分别对应的检测评分为0、1、2,每个引擎的检测评分记为En。文件检测引擎的权重存在低、中、高三个级别,分别对应分值为1、2、3,每个引擎的权重记为Wn,则文件最终的检测评分为:
文件的检测评分越高,表示该文件为恶意文件的概率越高。
步骤S07:文件检测评分计算完成后,将结果通过消息队列传给客户。
本发明实施例的方法采用远程文件检测的方式,设置了多个文件检测引擎,并将文件检测引擎的相关信息存储在引擎列表中。通过文件检测引擎发出的心跳信息,支持针对引擎列表的动态注册删除。本发明实施例的方法能够快速有效地应对多变的恶意文件的威胁。
图5是本发明的一个实施例提供的一种文件检测装置的结构示意图。如图5所示,该装置包括:
任务接收模块501,用于接收针对目标文件的文件检测任务;
引擎确定模块502,用于确定多个文件检测引擎;
结果获取模块503,用于获取各所述文件检测引擎针对所述目标文件的检测结果;
结果确定模块504,用于根据各所述文件检测引擎对应的检测结果及引擎权重,确定所述目标文件的文件检测结果。
可选地,该装置还包括:
结果缓存模块505,用于确定所述目标文件的散列值;
确定所述文件检测引擎的引擎标识;
生成缓存结果记录,所述缓存结果记录包括:所述散列值、所述引擎标识及所述检测引擎针对所述目标文件的检测结果;
将所述缓存结果记录保存至缓存结果中。
可选地,所述结果获取模块503具体用于:
确定所述目标文件的散列值;
确定所述文件检测引擎的引擎标识;
确定缓存结果中是否存在与所述散列值及所述引擎标识匹配的缓存结果记录;
响应于存在所述缓存结果记录,从所述缓存结果记录中获取所述检测引擎针对所述目标文件的检测结果;
响应于不存在所述缓存结果记录,将所述文件检测任务发送给所述文件检测引擎,并接收所述文件检测引擎针对所述文件检测任务返回的检测结果。
可选地,该装置还包括:
更新模块506,用于接收来自目标检测引擎的心跳信息;
根据所述心跳信息,更新引擎列表;
所述引擎确定模块502具体用于:
从所述引擎列表中,确定出所述多个文件检测引擎。
可选地,所述更新模块506具体用于:
确定所述引擎列表中是否存在所述目标检测引擎对应的引擎信息;
响应于不存在所述目标检测引擎对应的引擎信息,获取所述心跳信息对应的引擎信息,将所述心跳信息对应的引擎信息存储至所述引擎列表中;
响应于存在所述目标检测引擎对应的引擎信息,确定所述目标检测引擎对应的引擎信息与所述心跳信息对应的引擎信息是否匹配;在所述目标检测引擎对应的引擎信息与所述心跳信息对应的引擎信息不匹配的情况下,利用所述心跳信息对应的引擎信息,更新所述引擎列表中的所述目标检测引擎对应的引擎信息。
可选地,更新模块506还用于:
从引擎列表中,确定出目标检测引擎;
确定在预设时间段内是否接收到来自所述目标检测引擎的心跳信息;
响应于在预设时间段内未接收到来自目标检测引擎的心跳信息,从所述引擎列表中删除所述目标检测引擎的引擎信息。
可选地,该装置还包括:
删除模块507,用于接收来自目标检测引擎的心跳信息,所述心跳信息包括:第一版本号;
从引擎列表中,确定所述目标检测引擎对应的第二版本号;
响应于所述第一版本号大于所述第二版本号,从缓存结果中删除所述目标检测引擎对应的缓存结果记录。
本发明实施例提供了一种电子设备,包括:
一个或多个处理器;
存储装置,用于存储一个或多个程序,
当一个或多个程序被一个或多个处理器执行,使得一个或多个处理器实现上述任一实施例的方法。
下面参考图6,其示出了适于用来实现本发明实施例的终端设备的计算机系统600的结构示意图。图6示出的终端设备仅仅是一个示例,不应对本发明实施例的功能和使用范围带来任何限制。
如图6所示,计算机系统600包括中央处理单元(CPU)601,其可以根据存储在只读存储器(ROM)602中的程序或者从存储部分608加载到随机访问存储器(RAM)603中的程序而执行各种适当的动作和处理。在RAM 603中,还存储有系统600操作所需的各种程序和数据。CPU 601、ROM 602以及RAM 603通过总线604彼此相连。输入/输出(I/O)接口605也连接至总线604。
以下部件连接至I/O接口605:包括键盘、鼠标等的输入部分606;包括诸如阴极射线管(CRT)、液晶显示器(LCD)等以及扬声器等的输出部分607;包括硬盘等的存储部分608;以及包括诸如LAN卡、调制解调器等的网络接口卡的通信部分609。通信部分609经由诸如因特网的网络执行通信处理。驱动器610也根据需要连接至I/O接口605。可拆卸介质611,诸如磁盘、光盘、磁光盘、半导体存储器等等,根据需要安装在驱动器610上,以便于从其上读出的计算机程序根据需要被安装入存储部分608。
特别地,根据本发明公开的实施例,上文参考流程图描述的过程可以被实现为计算机软件程序。例如,本发明公开的实施例包括一种计算机程序产品,其包括承载在计算机可读介质上的计算机程序,该计算机程序包含用于执行流程图所示的方法的程序代码。在这样的实施例中,该计算机程序可以通过通信部分609从网络上被下载和安装,和/或从可拆卸介质611被安装。在该计算机程序被中央处理单元(CPU)601执行时,执行本发明的系统中限定的上述功能。
需要说明的是,本发明所示的计算机可读介质可以是计算机可读信号介质或者计算机可读存储介质或者是上述两者的任意组合。计算机可读存储介质例如可以是——但不限于——电、磁、光、电磁、红外线、或半导体的系统、装置或器件,或者任意以上的组合。计算机可读存储介质的更具体的例子可以包括但不限于:具有一个或多个导线的电连接、便携式计算机磁盘、硬盘、随机访问存储器(RAM)、只读存储器(ROM)、可擦式可编程只读存储器(EPROM或闪存)、光纤、便携式紧凑磁盘只读存储器(CD-ROM)、光存储器件、磁存储器件、或者上述的任意合适的组合。在本发明中,计算机可读存储介质可以是任何包含或存储程序的有形介质,该程序可以被指令执行系统、装置或者器件使用或者与其结合使用。而在本发明中,计算机可读的信号介质可以包括在基带中或者作为载波一部分传播的数据信号,其中承载了计算机可读的程序代码。这种传播的数据信号可以采用多种形式,包括但不限于电磁信号、光信号或上述的任意合适的组合。计算机可读的信号介质还可以是计算机可读存储介质以外的任何计算机可读介质,该计算机可读介质可以发送、传播或者传输用于由指令执行系统、装置或者器件使用或者与其结合使用的程序。计算机可读介质上包含的程序代码可以用任何适当的介质传输,包括但不限于:无线、电线、光缆、RF等等,或者上述的任意合适的组合。
附图中的流程图和框图,图示了按照本发明各种实施例的系统、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上,流程图或框图中的每个方框可以代表一个模块、程序段、或代码的一部分,上述模块、程序段、或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意,在有些作为替换的实现中,方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如,两个接连地表示的方框实际上可以基本并行地执行,它们有时也可以按相反的顺序执行,这依所涉及的功能而定。也要注意的是,框图或流程图中的每个方框、以及框图或流程图中的方框的组合,可以用执行规定的功能或操作的专用的基于硬件的系统来实现,或者可以用专用硬件与计算机指令的组合来实现。
描述于本发明实施例中所涉及到的模块可以通过软件的方式实现,也可以通过硬件的方式来实现。所描述的模块也可以设置在处理器中,例如,可以描述为:任务接收模块、引擎确定模块、结果获取模块及结果确定模块。其中,这些模块的名称在某种情况下并不构成对该模块本身的限定,例如,任务接收模块还可以被描述为“接收针对目标文件的文件检测任务的模块”。
作为另一方面,本发明还提供了一种计算机可读介质,该计算机可读介质可以是上述实施例中描述的设备中所包含的;也可以是单独存在,而未装配入该设备中。上述计算机可读介质承载有一个或者多个程序,当上述一个或者多个程序被一个该设备执行时,使得该设备包括:
接收针对目标文件的文件检测任务;
确定多个文件检测引擎;
获取各所述文件检测引擎针对所述目标文件的检测结果;
根据各所述文件检测引擎对应的检测结果及引擎权重,确定所述目标文件的文件检测结果。
根据本发明实施例的技术方案,不同的文件检测引擎对应于不同的防病毒系统、病毒特征库或检测方式。通过综合多个文件检测引擎的文件检测结果,确定最终的文件检测结果。相比采用单一的检测引擎进行文件检测的方式,本发明实施例的方案利用多个文件检测引擎进行文件检测,覆盖的恶意文件类型更广,能够提供更全面准确的文件检测结果。
上述具体实施方式,并不构成对本发明保护范围的限制。本领域技术人员应该明白的是,取决于设计要求和其他因素,可以发生各种各样的修改、组合、子组合和替代。任何在本发明的精神和原则之内所作的修改、等同替换和改进等,均应包含在本发明保护范围之内。
Claims (10)
1.一种文件检测方法,其特征在于,包括:
接收针对目标文件的文件检测任务;
确定多个文件检测引擎;
获取各所述文件检测引擎针对所述目标文件的检测结果;
根据各所述文件检测引擎对应的检测结果及引擎权重,确定所述目标文件的文件检测结果。
2.根据权利要求1所述的方法,其特征在于,所述获取各所述文件检测引擎针对所述目标文件的检测结果之后,还包括:
确定所述目标文件的散列值;
确定所述文件检测引擎的引擎标识;
生成缓存结果记录,所述缓存结果记录包括:所述散列值、所述引擎标识及所述检测引擎针对所述目标文件的检测结果;
将所述缓存结果记录保存至缓存结果中。
3.根据权利要求1所述的方法,其特征在于,所述获取各所述文件检测引擎针对所述目标文件的检测结果,包括:
确定所述目标文件的散列值;
确定所述文件检测引擎的引擎标识;
确定缓存结果中是否存在与所述散列值及所述引擎标识匹配的缓存结果记录;
响应于存在所述缓存结果记录,从所述缓存结果记录中获取所述检测引擎针对所述目标文件的检测结果;
响应于不存在所述缓存结果记录,将所述文件检测任务发送给所述文件检测引擎,并接收所述文件检测引擎针对所述文件检测任务返回的检测结果。
4.根据权利要求1所述的方法,其特征在于,所述确定多个文件检测引擎之前,还包括:
接收来自目标检测引擎的心跳信息;
根据所述心跳信息,更新引擎列表;
所述确定多个文件检测引擎,包括:
从所述引擎列表中,确定出所述多个文件检测引擎。
5.根据权利要求4所述的方法,其特征在于,所述根据所述心跳信息,更新引擎列表,包括:
确定所述引擎列表中是否存在所述目标检测引擎对应的引擎信息;
响应于不存在所述目标检测引擎对应的引擎信息,获取所述心跳信息对应的引擎信息,将所述心跳信息对应的引擎信息存储至所述引擎列表中;
响应于存在所述目标检测引擎对应的引擎信息,确定所述目标检测引擎对应的引擎信息与所述心跳信息对应的引擎信息是否匹配;在所述目标检测引擎对应的引擎信息与所述心跳信息对应的引擎信息不匹配的情况下,利用所述心跳信息对应的引擎信息,更新所述引擎列表中的所述目标检测引擎对应的引擎信息。
6.根据权利要求1所述的方法,其特征在于,还包括:
从引擎列表中,确定出目标检测引擎;
确定在预设时间段内是否接收到来自所述目标检测引擎的心跳信息;
响应于在预设时间段内未接收到来自所述目标检测引擎的心跳信息,从所述引擎列表中删除所述目标检测引擎的引擎信息。
7.根据权利要求1所述的方法,其特征在于,还包括:
接收来自目标检测引擎的心跳信息,所述心跳信息包括:第一版本号;
从引擎列表中,确定所述目标检测引擎对应的第二版本号;
响应于所述第一版本号大于所述第二版本号,从缓存结果中删除所述目标检测引擎对应的缓存结果记录。
8.一种文件检测装置,其特征在于,包括:
任务接收模块,用于接收针对目标文件的文件检测任务;
引擎确定模块,用于确定多个文件检测引擎;
结果获取模块,用于获取各所述文件检测引擎针对所述目标文件的检测结果;
结果确定模块,用于根据各所述文件检测引擎对应的检测结果及引擎权重,确定所述目标文件的文件检测结果。
9.一种电子设备,其特征在于,包括:
一个或多个处理器;
存储装置,用于存储一个或多个程序,
当所述一个或多个程序被所述一个或多个处理器执行,使得所述一个或多个处理器实现如权利要求1-7中任一所述的方法。
10.一种计算机可读介质,其上存储有计算机程序,其特征在于,所述程序被处理器执行时实现如权利要求1-7中任一所述的方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202211198941.1A CN115470491A (zh) | 2022-09-29 | 2022-09-29 | 文件检测方法和装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202211198941.1A CN115470491A (zh) | 2022-09-29 | 2022-09-29 | 文件检测方法和装置 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN115470491A true CN115470491A (zh) | 2022-12-13 |
Family
ID=84334585
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202211198941.1A Pending CN115470491A (zh) | 2022-09-29 | 2022-09-29 | 文件检测方法和装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN115470491A (zh) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN116185772A (zh) * | 2023-02-10 | 2023-05-30 | 安芯网盾(北京)科技有限公司 | 文件批量检测方法及装置 |
| CN117056926A (zh) * | 2023-10-09 | 2023-11-14 | 深圳安天网络安全技术有限公司 | 一种文件检测系统、电子设备及存储介质 |
-
2022
- 2022-09-29 CN CN202211198941.1A patent/CN115470491A/zh active Pending
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN116185772A (zh) * | 2023-02-10 | 2023-05-30 | 安芯网盾(北京)科技有限公司 | 文件批量检测方法及装置 |
| CN116185772B (zh) * | 2023-02-10 | 2023-09-19 | 安芯网盾(北京)科技有限公司 | 文件批量检测方法及装置 |
| CN117056926A (zh) * | 2023-10-09 | 2023-11-14 | 深圳安天网络安全技术有限公司 | 一种文件检测系统、电子设备及存储介质 |
| CN117056926B (zh) * | 2023-10-09 | 2024-01-26 | 深圳安天网络安全技术有限公司 | 一种文件检测系统、电子设备及存储介质 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| EP2452287B1 (en) | Anti-virus scanning | |
| US10474817B2 (en) | Dynamically optimizing performance of a security appliance | |
| US9715589B2 (en) | Operating system consistency and malware protection | |
| CN115470491A (zh) | 文件检测方法和装置 | |
| US9953162B2 (en) | Rapid malware inspection of mobile applications | |
| CN102982284B (zh) | 用于恶意程序查杀的扫描设备、云端管理设备及方法和系统 | |
| CN109997139B (zh) | 利用基于散列的指纹检测恶意软件 | |
| JP5963008B2 (ja) | コンピュータシステムの分析方法および装置 | |
| US10027704B2 (en) | Malicious program finding and killing device, method and server based on cloud security | |
| CN103034808B (zh) | 扫描方法、设备和系统以及云端管理方法和设备 | |
| US10127382B2 (en) | Malware detection method | |
| US9787712B2 (en) | Controlling a download source of an electronic file | |
| US20180082061A1 (en) | Scanning device, cloud management device, method and system for checking and killing malicious programs | |
| CN110023938B (zh) | 利用函数长度统计确定文件相似度的系统和方法 | |
| US9071639B2 (en) | Unauthorized application detection system and method | |
| US8813229B2 (en) | Apparatus, system, and method for preventing infection by malicious code | |
| CN110209925B (zh) | 应用推送方法、装置、计算机设备和存储介质 | |
| CN109492399A (zh) | 风险文件检测方法、装置及计算机设备 | |
| JP6169497B2 (ja) | 接続先情報判定装置、接続先情報判定方法、及びプログラム | |
| CN114491533B (zh) | 数据处理方法、装置、服务器及存储介质 | |
| JP6378808B2 (ja) | 接続先情報判定装置、接続先情報判定方法、及びプログラム | |
| CN112580038A (zh) | 反病毒数据的处理方法、装置及设备 | |
| US20240333729A1 (en) | Connection destination malignancy determination system, connection destination malignancy determination program, and connection destination malignancy determination method | |
| CN117892303A (zh) | 免杀场景下防病毒产品的防御方法及系统 | |
| CN117857209A (zh) | 一种邮件安全检测方法、装置和系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |