CN115495740A - 一种病毒检测方法和装置 - Google Patents
一种病毒检测方法和装置 Download PDFInfo
- Publication number
- CN115495740A CN115495740A CN202211142196.9A CN202211142196A CN115495740A CN 115495740 A CN115495740 A CN 115495740A CN 202211142196 A CN202211142196 A CN 202211142196A CN 115495740 A CN115495740 A CN 115495740A
- Authority
- CN
- China
- Prior art keywords
- detection
- detected
- virus
- file
- files
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/562—Static detection
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/566—Dynamic detection, i.e. detection performed at run-time, e.g. emulation, suspicious activities
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N20/00—Machine learning
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/145—Countermeasures against malicious traffic the attack involving the propagation of malware through the network, e.g. viruses, trojans or worms
Abstract
本发明公开了一种病毒检测方法和装置,涉及计算机技术领域。该方法的一具体实施方式包括:响应于病毒检测请求,从待检测目录中选出所有网页文件作为待检测文件;对于每一待检测文件,使用不少于一种检测方式对待检测文件进行病毒检测,得到待检测文件的检测总分数,检测方式包括通过病毒检测规则进行规则匹配的方式;根据检测总分数确定目标病毒文件,并生成目标病毒文件的告警信息。该实施方式可以仅对网页文件进行病毒检测,能够减少病毒检测所占用资源,提高主机的稳定性,避免主机业务中断的问题,通过多种检测方式对文件进行检测,提高病毒检测的效率和准确性,可以及时并且准确地检测到病毒文件,保证主机的安全性。
Description
技术领域
本发明涉及计算机技术领域,尤其涉及一种病毒检测方法和装置。
背景技术
当前计算机网络被广泛应用,云主机多种应用依赖于计算机网络环境,网络环境的病毒也越来越多。目前对云主机的病毒检测方案为利用浏览器浏览含有病毒程序的网页,通过对系统进程的调度、内存变化等行为,来检测网页中是否含有病毒。
在实现本发明过程中,发明人发现现有技术中至少存在如下问题:
病毒检测所占用资源较多,影响主机的稳定性,容易造成主机业务中断的问题,病毒检测的效率低,并且准确性低,无法及时并且准确地检测到病毒文件,不能保证主机的安全性。
发明内容
有鉴于此,本发明实施例提供一种病毒检测方法和装置,可以仅对网页文件进行病毒检测,能够减少病毒检测所占用资源,提高主机的稳定性,避免主机业务中断的问题,通过多种检测方式对文件进行检测,提高病毒检测的效率和准确性,可以及时并且准确地检测到病毒文件,保证主机的安全性。
为实现上述目的,根据本发明实施例的一个方面,提供了一种病毒检测方法。
一种病毒检测方法,包括:响应于病毒检测请求,从待检测目录中选出所有网页文件作为待检测文件;对于每一所述待检测文件,使用不少于一种检测方式对所述待检测文件进行病毒检测,得到所述待检测文件的检测总分数,所述检测方式包括通过病毒检测规则进行规则匹配的方式;根据所述检测总分数确定目标病毒文件,并生成所述目标病毒文件的告警信息。
可选地,所述从待检测目录中选出所有网页文件作为待检测文件,包括:根据文件的后缀名,从待检测目录中选出所有网页文件作为所述待检测文件。
可选地,所述生成所述目标病毒文件的告警信息之后,还包括:将所述告警信息存储在分布式全文检索系统中,并通过所述分布式全文检索系统对所述告警信息进行冗余信息清理以得到所述目标病毒文件的检测时间和文件唯一值。
可选地,所述病毒检测规则通过以下方式生成:预先构建病毒样本库,所述病毒样本库包括多个病毒样本;对于每一所述病毒样本,对所述病毒样本进行特征提取,并根据提取的特征构建正则表达式以生成对应的病毒检测规则。
可选地,所述检测方式还包括如下的一种或多种:模糊哈希检测、机器学习检测、沙箱检测、污点分析检测;其中,所述模糊哈希检测通过模糊哈希算法和病毒样本的哈希值对所述待检测文件进行检测,得到所述待检测文件的模糊哈希检测分数;所述机器学习检测通过机器学习模型和所述病毒样本对所述待检测文件进行检测,得到所述待检测文件的机器学习检测分数;所述沙箱检测通过在沙箱中运行所述待检测文件,并根据运行结果确定所述待检测文件的沙箱检测分数;所述污点分析检测通过将所述待检测文件标记为污点并进行处理,根据所述污点的处理结果得到所述待检测文件的污点分析检测分数。
可选地,所述使用不少于一种检测方式对所述待检测文件进行病毒检测,得到所述待检测文件的检测总分数,包括:使用不少于一种检测方式分别对所述待检测文件进行病毒检测,并得到每种检测方式对应的检测分数;根据设定规则和每种检测方式对应的检测分数得到所述待检测文件的检测总分数;所述根据所述检测总分数确定目标病毒文件,包括:将超过预设分数阈值的检测总分数对应的待检测文件确定为所述目标病毒文件。
可选地,所述病毒检测请求以任务的形式保存在任务存储系统中,且被设置为定时执行,所述病毒检测规则通过云端数据库进行一键部署和更新。
根据本发明实施例的另一方面,提供了一种病毒检测装置。
一种病毒检测装置,包括:待检测文件确定模块,用于响应于病毒检测请求,从待检测目录中选出所有网页文件作为待检测文件;检测总分数确定模块,用于对于每一所述待检测文件,使用不少于一种检测方式对所述待检测文件进行病毒检测,得到所述待检测文件的检测总分数,所述检测方式包括通过病毒检测规则进行规则匹配的方式;告警信息生成模块,用于根据所述检测总分数确定目标病毒文件,并生成所述目标病毒文件的告警信息。
可选地,所述待检测文件确定模块还用于:根据文件的后缀名,从待检测目录中选出所有网页文件作为所述待检测文件。
可选地,还包括告警信息存储模块,用于:将所述告警信息存储在分布式全文检索系统中,并通过所述分布式全文检索系统对所述告警信息进行冗余信息清理以得到所述目标病毒文件的检测时间和文件唯一值。
可选地,所述病毒检测规则通过以下方式生成:预先构建病毒样本库,所述病毒样本库包括多个病毒样本;对于每一所述病毒样本,对所述病毒样本进行特征提取,并根据提取的特征构建正则表达式以生成对应的病毒检测规则。
可选地,所述检测方式还包括如下的一种或多种:模糊哈希检测、机器学习检测、沙箱检测、污点分析检测;其中,所述模糊哈希检测通过模糊哈希算法和病毒样本的哈希值对所述待检测文件进行检测,得到所述待检测文件的模糊哈希检测分数;所述机器学习检测通过机器学习模型和所述病毒样本对所述待检测文件进行检测,得到所述待检测文件的机器学习检测分数;所述沙箱检测通过在沙箱中运行所述待检测文件,并根据运行结果确定所述待检测文件的沙箱检测分数;所述污点分析检测通过将所述待检测文件标记为污点并进行处理,根据所述污点的处理结果得到所述待检测文件的污点分析检测分数。
可选地,所述检测总分数确定模块还用于:使用不少于一种检测方式分别对所述待检测文件进行病毒检测,并得到每种检测方式对应的检测分数;根据设定规则和每种检测方式对应的检测分数得到所述待检测文件的检测总分数;所述告警信息生成模块还用于:将超过预设分数阈值的检测总分数对应的待检测文件确定为所述目标病毒文件。
可选地,所述病毒检测请求以任务的形式保存在任务存储系统中,且被设置为定时执行,所述病毒检测规则通过云端数据库进行一键部署和更新。
根据本发明实施例的又一方面,提供了一种电子设备。
一种电子设备,包括:一个或多个处理器;存储器,用于存储一个或多个程序,当所述一个或多个程序被所述一个或多个处理器执行时,使得所述一个或多个处理器实现本发明实施例所提供的病毒检测方法。
根据本发明实施例的又一方面,提供了一种计算机可读介质。
一种计算机可读介质,其上存储有计算机程序,所述计算机程序被处理器执行时实现本发明实施例所提供的病毒检测方法。
上述发明中的一个实施例具有如下优点或有益效果:通过响应于病毒检测请求,从待检测目录中选出所有网页文件作为待检测文件;对于每一待检测文件,使用不少于一种检测方式对待检测文件进行病毒检测,得到待检测文件的检测总分数,检测方式包括通过病毒检测规则进行规则匹配的方式;根据检测总分数确定目标病毒文件,并生成目标病毒文件的告警信息的技术方案,可以仅对网页文件进行病毒检测,能够减少病毒检测所占用资源,提高主机的稳定性,避免主机业务中断的问题,通过多种检测方式对文件进行检测,提高病毒检测的效率和准确性,可以及时并且准确地检测到病毒文件,保证主机的安全性。
上述的非惯用的可选方式所具有的进一步效果将在下文中结合具体实施方式加以说明。
附图说明
附图用于更好地理解本发明,不构成对本发明的不当限定。其中:
图1是根据本发明一个实施例的病毒检测方法的主要步骤示意图;
图2是根据本发明一个实施例的病毒检测方法的流程示意图;
图3是根据本发明一个实施例的病毒检测装置的主要模块示意图;
图4是本发明实施例可以应用于其中的示例性系统架构图;
图5是适于用来实现本发明实施例的终端设备或服务器的计算机系统的结构示意图。
具体实施方式
以下结合附图对本发明的示范性实施例做出说明,其中包括本发明实施例的各种细节以助于理解,应当将它们认为仅仅是示范性的。因此,本领域普通技术人员应当认识到,可以对这里描述的实施例做出各种改变和修改,而不会背离本发明的范围和精神。同样,为了清楚和简明,以下的描述中省略了对公知功能和结构的描述。
图1是根据本发明一个实施例的病毒检测方法的主要步骤示意图。
如图1所示,本发明一个实施例的病毒检测方法主要包括如下的步骤S101至步骤S103。
步骤S101:响应于病毒检测请求,从待检测目录中选出所有网页文件作为待检测文件。
在一个实施例中,病毒检测请求可以以任务的形式保存在任务存储系统中,且可以被设置为定时执行,病毒检测规则可以通过云端数据库进行一键部署和更新。
具体地,用户在云平台管理系统中触发病毒检测任务,会触发用户账号下管理的所有云主机的病毒检测任务,将包括云主机唯一标识的病毒检测任务保存至redis(一个key-value存储系统)中,任务调度中心对redis中的任务进行调度,将病毒检测任务下发到指定的云主机,即将病毒检测请求发送至云主机唯一标识对应的云主机。其中,可以通过定时任务或者用户触发对病毒检测任务进行调度。
云主机在检测到云端数据库中的病毒检测规则更新时,会立即更新云主机的病毒检测规则,例如云主机现有的病毒检测规则版本为v5.0,在云端数据库中的病毒检测规则的版本从v5.0更新为v6.0时,云主机会自动拉取v6.0版本的病毒检测规则,在云主机中可以定时检测已安装版本是否比云端版本落后,若落后会自动拉取最新版本的病毒检测规则进行更新。
在一个实施例中,从待检测目录中选出所有网页文件作为待检测文件,可以包括:根据文件的后缀名,从待检测目录中选出所有网页文件作为待检测文件。
具体地,从待检测目录中筛选出文件的后缀名为预设后缀名的文件,作为病毒检测请求的待检测文件。其中,预设后缀名根据经验确定,预设后缀名可以包括php、asp、jsp、aspx等,php是一种创建动态交互性站点的强有力的服务器端脚本语言,asp是一种网页的页面格式,jsp文件是一种嵌入式网页脚本,aspx文件是在服务器端运行的动态网页文件。通过根据文件后缀名来筛选网页文件,并且针对网页文件进行病毒检测,一方面可以减少病毒检测所占用资源,提高主机的稳定性,避免主机业务中断的问题;另一方面可以不依赖于对系统进程的调度、内存变化等行为来确定检测文件,从而提高了病毒检测的效率和准确性,可以及时并且准确地检测到病毒文件,保证主机的安全性。
步骤S102:对于每一待检测文件,使用不少于一种检测方式对待检测文件进行病毒检测,得到待检测文件的检测总分数,检测方式可以包括通过病毒检测规则进行规则匹配的方式。
在一个实施例中,病毒检测规则可以通过以下方式生成:预先构建病毒样本库,病毒样本库包括多个病毒样本;对于每一病毒样本,对病毒样本进行特征提取,并根据提取的特征构建正则表达式以生成对应的病毒检测规则。
具体地,通过公布和收集的病毒文件构建病毒样本库,并对各病毒样本进行特征提取生成各病毒样本的正则表达式,从而生成病毒检测规则。
在一个实施例中,检测方式还可以包括如下的一种或多种:模糊哈希检测、机器学习检测、沙箱检测、污点分析检测;其中,模糊哈希检测通过模糊哈希算法和病毒样本的哈希值对待检测文件进行检测,得到待检测文件的模糊哈希检测分数;机器学习检测通过机器学习模型和病毒样本对待检测文件进行检测,得到待检测文件的机器学习检测分数;沙箱检测通过在沙箱中运行待检测文件,并根据运行结果确定待检测文件的沙箱检测分数;污点分析检测通过将待检测文件标记为污点并进行处理,根据污点的处理结果得到待检测文件的污点分析检测分数。
在一个实施例中,对于每一待检测文件,使用病毒检测规则进行规则匹配的方式对待检测文件进行病毒检测,得到待检测文件的规则检测分数。具体地,对于每一待检测文件,通过各病毒样本库的正则表达式对该待检测文件进行匹配,生成该待检测文件的规则检测分数。
在一个实施例中,对于每一待检测文件,使用模糊哈希检测的方式对待检测文件进行病毒检测,得到模糊哈希检测的检测分数。具体地,通过病毒样本库中的各病毒样本得到各病毒样本对应的哈希值,对于每一待检测文件,通过各病毒样本库的哈希值对该待检测文件进行模糊哈希,生成该待检测文件的模糊哈希的检测分数。其中,模糊哈希是基于内容分割的分片哈希算法,主要用于文件的相似性比较,模糊哈希的主要原理是,使用一个弱哈希计算文件局部内容,在特定条件下对文件进行分片,然后使用一个强哈希对文件每片计算哈希值,取这些值的一部分并连接起来,与分片条件一起构成一个模糊哈希结果。使用一个字符串相似性对比算法判断两个模糊哈希值的相似度有多少,从而判断两个文件的相似程度。
在一个实施例中,对于每一待检测文件,使用机器学习检测的方式对待检测文件进行机器学习检测,得到机器学习检测的检测分数。具体地,通过多层次的机器学习引擎和病毒样本库中的各病毒样本,对该待检测文件进行特征匹配,得到机器学习检测的检测分数。其中,机器学习可以为newTextStat特征学习(一种利用文本可读性计算包的计算方法)。
在一个实施例中,对于每一待检测文件,使用机器沙箱检测的方式对待检测文件进行沙箱检测,得到沙箱检测的检测分数。具体地,沙箱(Sandboxie)是一个虚拟系统程序、一种安全机制,为运行中的程序提供的隔离环境,沙箱指在隔离环境中,用以测试不受信任的、具破坏力的或无法判定程序意图的程序行为的工具。对于每一待检测文件,通过在沙箱中运行该待检测文件生成运行结果,并根据运行结果确定待检测文件的沙箱检测分数。
在一个实施例中,对于每一待检测文件,使用污点分析检测的方式对待检测文件进行污点分析检测,得到污点分析检测的检测分数。具体地,污点分析指分析程序中由污点源引入的数据是否能够不经过无害处理,而直接传播到污点汇聚点,如果不能,说明信息流失安全的;否则,说明系统产生了隐私数据泄露或危险数据操作等问题。对于每一待检测文件,通过将该待检测文件标记为污点并进行处理,如利用污点进行风险操作,根据污点的处理结果得到该待检测文件的污点分析检测分数。
在一个实施例中,使用不少于一种检测方式对待检测文件进行病毒检测,得到待检测文件的检测总分数,可以包括:使用不少于一种检测方式分别对待检测文件进行病毒检测,并得到每种检测方式对应的检测分数;根据设定规则和每种检测方式对应的检测分数得到待检测文件的检测总分数。
具体地,对于每一待检测文件,通过该待检测文件的规则检测分数、模糊哈希的检测分数、机器学习检测的检测分数、沙箱检测的检测分数、污点分析检测的检测分数计算该待检测文件的文件总分数,其中,设定规则可以为加权平均的计算方式。
步骤S103:根据检测总分数确定目标病毒文件,并生成目标病毒文件的告警信息。
在一个实施例中,根据检测总分数确定目标病毒文件,可以包括:将超过预设分数阈值的检测总分数对应的待检测文件确定为目标病毒文件。具体地,根据预设分数阈值,从所有待检测文件中选出待检测总分数超过预设分数阈值的待检测文件作为病毒检测请求的目标病毒文件。
在一个实施例中,生成目标病毒文件的告警信息之后,还可以包括:将告警信息存储在分布式全文检索系统中,并通过分布式全文检索系统对告警信息进行冗余信息清理以得到目标病毒文件的检测时间和文件唯一值。具体地,分布式全文检索系统可以为es集群(一个基于开源、分布式的全文搜索引擎),文件唯一值可以为通过MD5信息摘要算法(一种被广泛使用的密码散列函数)对目标病毒文件进行计算得到。通过分布式全文检索系统es集群来进行数据存储,可以将数据拆分成多个节点进行存放,易查询,高并发,且便于进行数据处理。
图2是根据本发明一个实施例的病毒检测方法的流程示意图。
如图2所示,在一个实施例中,接收病毒检测请求,根据病毒检测请求的云主机唯一标识确实待检测目录,从待检测目录中选出所有网页文件作为待检测文件,对于每一待检测文件,通过多种检测方式对待检测文件进行病毒检测,得到待检测文件的检测总分数,根据检测总分数确定目标病毒文件,并生成目标病毒文件的告警信息,将告警信息存储在分布式全文检索系统中。
本发明实施例可以克服现有技术中海量云主机网页木马扫描占用较多资源,网页木马扫描速度慢,网页木马扫描频繁导致增大主机设备载荷风险的缺陷,以及海量云主机网页木马扫描方式以及网页木马结果的存储问题。
图3是根据本发明一个实施例的病毒检测装置的主要模块示意图。
如图3所示,本发明一个实施例的病毒检测装置300主要包括:待检测文件确定模块301、检测总分数确定模块302、告警信息生成模块303。
待检测文件确定模块301,用于响应于病毒检测请求,从待检测目录中选出所有网页文件作为待检测文件。
检测总分数确定模块302,用于对于每一待检测文件,使用不少于一种检测方式对待检测文件进行病毒检测,得到待检测文件的检测总分数,检测方式可以包括通过病毒检测规则进行规则匹配的方式。
告警信息生成模块303,用于根据检测总分数确定目标病毒文件,并生成目标病毒文件的告警信息。
在一个实施例中,待检测文件确定模块301具体用于:根据文件的后缀名,从待检测目录中选出所有网页文件作为待检测文件。
在一个实施例中,还包括告警信息存储模块(图中未示出),用于:将告警信息存储在分布式全文检索系统中,并通过分布式全文检索系统对告警信息进行冗余信息清理以得到目标病毒文件的检测时间和文件唯一值。
在一个实施例中,病毒检测规则可以通过以下方式生成:预先构建病毒样本库,病毒样本库包括多个病毒样本;对于每一病毒样本,对病毒样本进行特征提取,并根据提取的特征构建正则表达式以生成对应的病毒检测规则。
在一个实施例中,检测方式还可以包括如下的一种或多种:模糊哈希检测、机器学习检测、沙箱检测、污点分析检测;其中,模糊哈希检测通过模糊哈希算法和病毒样本的哈希值对待检测文件进行检测,得到待检测文件的模糊哈希检测分数;机器学习检测通过机器学习模型和病毒样本对待检测文件进行检测,得到待检测文件的机器学习检测分数;沙箱检测通过在沙箱中运行待检测文件,并根据运行结果确定待检测文件的沙箱检测分数;污点分析检测通过将待检测文件标记为污点并进行处理,根据污点的处理结果得到待检测文件的污点分析检测分数。
在一个实施例中,检测总分数确定模块302具体用于:使用不少于一种检测方式分别对待检测文件进行病毒检测,并得到每种检测方式对应的检测分数;根据设定规则和每种检测方式对应的检测分数得到待检测文件的检测总分数;告警信息生成模块303具体用于:将超过预设分数阈值的检测总分数对应的待检测文件确定为目标病毒文件。
在一个实施例中,病毒检测请求可以以任务的形式保存在任务存储系统中,且被设置为定时执行,病毒检测规则通过云端数据库进行一键部署和更新。
另外,在本发明实施例中病毒检测装置的具体实施内容,在上面病毒检测方法中已经详细说明了,故在此重复内容不再说明。
图4示出了可以应用本发明实施例的病毒检测方法或病毒检测装置的示例性系统架构400。
如图4所示,系统架构400可以包括终端设备401、402、403,网络404和服务器405。网络404用以在终端设备401、402、403和服务器405之间提供通信链路的介质。网络404可以包括各种连接类型,例如有线、无线通信链路或者光纤电缆等等。
用户可以使用终端设备401、402、403通过网络404与服务器405交互,以接收或发送消息等。终端设备401、402、403上可以安装有各种通讯客户端应用,例如病毒检测类应用、网页浏览器应用、搜索类应用、即时通信工具、邮箱客户端、社交平台软件等(仅为示例)。
终端设备401、402、403可以是具有显示屏并且支持网页浏览的各种电子设备,包括但不限于智能手机、平板电脑、膝上型便携计算机和台式计算机等等。
服务器405可以是提供各种服务的服务器,例如对用户利用终端设备401、402、403所浏览的病毒检测类网站提供支持的后台管理服务器(仅为示例)。后台管理服务器可以对接收到的病毒检测请求等数据进行响应于病毒检测请求,从待检测目录中选出所有网页文件作为待检测文件;对于每一待检测文件,使用不少于一种检测方式对待检测文件进行病毒检测,得到待检测文件的检测总分数,检测方式包括通过病毒检测规则进行规则匹配的方式;根据检测总分数确定目标病毒文件,并生成目标病毒文件的告警信息等处理,并将处理结果(例如病毒检测结果--仅为示例)反馈给终端设备。
需要说明的是,本发明实施例所提供的病毒检测方法一般由服务器405执行,相应地,病毒检测装置一般设置于服务器405中。
应该理解,图4中的终端设备、网络和服务器的数目仅仅是示意性的。根据实现需要,可以具有任意数目的终端设备、网络和服务器。
下面参考图5,其示出了适于用来实现本发明实施例的终端设备或服务器的计算机系统500的结构示意图。图5示出的终端设备或服务器仅仅是一个示例,不应对本发明实施例的功能和使用范围带来任何限制。
如图5所示,计算机系统500包括中央处理单元(CPU)501,其可以根据存储在只读存储器(ROM)502中的程序或者从存储部分508加载到随机访问存储器(RAM)503中的程序而执行各种适当的动作和处理。在RAM 503中,还存储有系统500操作所需的各种程序和数据。CPU 501、ROM 502以及RAM 503通过总线504彼此相连。输入/输出(I/O)接口505也连接至总线504。
以下部件连接至I/O接口505:包括键盘、鼠标等的输入部分506;包括诸如阴极射线管(CRT)、液晶显示器(LCD)等以及扬声器等的输出部分507;包括硬盘等的存储部分508;以及包括诸如LAN卡、调制解调器等的网络接口卡的通信部分509。通信部分509经由诸如因特网的网络执行通信处理。驱动器510也根据需要连接至I/O接口505。可拆卸介质511,诸如磁盘、光盘、磁光盘、半导体存储器等等,根据需要安装在驱动器510上,以便于从其上读出的计算机程序根据需要被安装入存储部分508。
特别地,根据本发明公开的实施例,上文参考流程图描述的过程可以被实现为计算机软件程序。例如,本发明公开的实施例包括一种计算机程序产品,其包括承载在计算机可读介质上的计算机程序,该计算机程序包含用于执行流程图所示的方法的程序代码。在这样的实施例中,该计算机程序可以通过通信部分509从网络上被下载和安装,和/或从可拆卸介质511被安装。在该计算机程序被中央处理单元(CPU)501执行时,执行本发明的系统中限定的上述功能。
需要说明的是,本发明所示的计算机可读介质可以是计算机可读信号介质或者计算机可读存储介质或者是上述两者的任意组合。计算机可读存储介质例如可以是——但不限于——电、磁、光、电磁、红外线、或半导体的系统、装置或器件,或者任意以上的组合。计算机可读存储介质的更具体的例子可以包括但不限于:具有一个或多个导线的电连接、便携式计算机磁盘、硬盘、随机访问存储器(RAM)、只读存储器(ROM)、可擦式可编程只读存储器(EPROM或闪存)、光纤、便携式紧凑磁盘只读存储器(CD-ROM)、光存储器件、磁存储器件、或者上述的任意合适的组合。在本发明中,计算机可读存储介质可以是任何包含或存储程序的有形介质,该程序可以被指令执行系统、装置或者器件使用或者与其结合使用。而在本发明中,计算机可读的信号介质可以包括在基带中或者作为载波一部分传播的数据信号,其中承载了计算机可读的程序代码。这种传播的数据信号可以采用多种形式,包括但不限于电磁信号、光信号或上述的任意合适的组合。计算机可读的信号介质还可以是计算机可读存储介质以外的任何计算机可读介质,该计算机可读介质可以发送、传播或者传输用于由指令执行系统、装置或者器件使用或者与其结合使用的程序。计算机可读介质上包含的程序代码可以用任何适当的介质传输,包括但不限于:无线、电线、光缆、RF等等,或者上述的任意合适的组合。
附图中的流程图和框图,图示了按照本发明各种实施例的系统、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上,流程图或框图中的每个方框可以代表一个模块、程序段、或代码的一部分,上述模块、程序段、或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意,在有些作为替换的实现中,方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如,两个接连地表示的方框实际上可以基本并行地执行,它们有时也可以按相反的顺序执行,这依所涉及的功能而定。也要注意的是,框图或流程图中的每个方框、以及框图或流程图中的方框的组合,可以用执行规定的功能或操作的专用的基于硬件的系统来实现,或者可以用专用硬件与计算机指令的组合来实现。
描述于本发明实施例中所涉及到的模块可以通过软件的方式实现,也可以通过硬件的方式来实现。所描述的模块也可以设置在处理器中,例如,可以描述为:一种处理器包括待检测文件确定模块、检测总分数确定模块、告警信息生成模块。其中,这些模块的名称在某种情况下并不构成对该模块本身的限定,例如,待检测文件确定模块还可以被描述为“用于响应于病毒检测请求,从待检测目录中选出所有网页文件作为待检测文件的模块”。
作为另一方面,本发明还提供了一种计算机可读介质,该计算机可读介质可以是上述实施例中描述的设备中所包含的;也可以是单独存在,而未装配入该设备中。上述计算机可读介质承载有一个或者多个程序,当上述一个或者多个程序被一个该设备执行时,使得该设备包括:响应于病毒检测请求,从待检测目录中选出所有网页文件作为待检测文件;对于每一待检测文件,使用不少于一种检测方式对待检测文件进行病毒检测,得到待检测文件的检测总分数,检测方式包括通过病毒检测规则进行规则匹配的方式;根据检测总分数确定目标病毒文件,并生成目标病毒文件的告警信息。
根据本发明实施例的技术方案,响应于病毒检测请求,从待检测目录中选出所有网页文件作为待检测文件;对于每一待检测文件,使用不少于一种检测方式对待检测文件进行病毒检测,得到待检测文件的检测总分数,检测方式包括通过病毒检测规则进行规则匹配的方式;根据检测总分数确定目标病毒文件,并生成目标病毒文件的告警信息。可以仅对网页文件进行病毒检测,能够减少病毒检测所占用资源,提高主机的稳定性,避免主机业务中断的问题,通过多种检测方式对文件进行检测,提高病毒检测的效率和准确性,可以及时并且准确地检测到病毒文件,保证主机的安全性。
上述具体实施方式,并不构成对本发明保护范围的限制。本领域技术人员应该明白的是,取决于设计要求和其他因素,可以发生各种各样的修改、组合、子组合和替代。任何在本发明的精神和原则之内所作的修改、等同替换和改进等,均应包含在本发明保护范围之内。
Claims (10)
1.一种病毒检测方法,其特征在于,包括:
响应于病毒检测请求,从待检测目录中选出所有网页文件作为待检测文件;
对于每一所述待检测文件,使用不少于一种检测方式对所述待检测文件进行病毒检测,得到所述待检测文件的检测总分数,所述检测方式包括通过病毒检测规则进行规则匹配的方式;
根据所述检测总分数确定目标病毒文件,并生成所述目标病毒文件的告警信息。
2.根据权利要求1所述的方法,其特征在于,所述从待检测目录中选出所有网页文件作为待检测文件,包括:
根据文件的后缀名,从待检测目录中选出所有网页文件作为所述待检测文件。
3.根据权利要求1所述的方法,其特征在于,所述生成所述目标病毒文件的告警信息之后,还包括:
将所述告警信息存储在分布式全文检索系统中,并通过所述分布式全文检索系统对所述告警信息进行冗余信息清理以得到所述目标病毒文件的检测时间和文件唯一值。
4.根据权利要求1所述的方法,其特征在于,所述病毒检测规则通过以下方式生成:
预先构建病毒样本库,所述病毒样本库包括多个病毒样本;
对于每一所述病毒样本,对所述病毒样本进行特征提取,并根据提取的特征构建正则表达式以生成对应的病毒检测规则。
5.根据权利要求4所述的方法,其特征在于,所述检测方式还包括如下的一种或多种:模糊哈希检测、机器学习检测、沙箱检测、污点分析检测;
其中,所述模糊哈希检测通过模糊哈希算法和病毒样本的哈希值对所述待检测文件进行检测,得到所述待检测文件的模糊哈希检测分数;
所述机器学习检测通过机器学习模型和所述病毒样本对所述待检测文件进行检测,得到所述待检测文件的机器学习检测分数;
所述沙箱检测通过在沙箱中运行所述待检测文件,并根据运行结果确定所述待检测文件的沙箱检测分数;
所述污点分析检测通过将所述待检测文件标记为污点并进行处理,根据所述污点的处理结果得到所述待检测文件的污点分析检测分数。
6.根据权利要求5所述的方法,其特征在于,所述使用不少于一种检测方式对所述待检测文件进行病毒检测,得到所述待检测文件的检测总分数,包括:
使用不少于一种检测方式分别对所述待检测文件进行病毒检测,并得到每种检测方式对应的检测分数;
根据设定规则和每种检测方式对应的检测分数得到所述待检测文件的检测总分数;
所述根据所述检测总分数确定目标病毒文件,包括:
将超过预设分数阈值的检测总分数对应的待检测文件确定为所述目标病毒文件。
7.根据权利要求1所述的方法,其特征在于,所述病毒检测请求以任务的形式保存在任务存储系统中,且被设置为定时执行,所述病毒检测规则通过云端数据库进行一键部署和更新。
8.一种病毒检测装置,其特征在于,包括:
待检测文件确定模块,用于响应于病毒检测请求,从待检测目录中选出所有网页文件作为待检测文件;
检测总分数确定模块,用于对于每一所述待检测文件,使用不少于一种检测方式对所述待检测文件进行病毒检测,得到所述待检测文件的检测总分数,所述检测方式包括通过病毒检测规则进行规则匹配的方式;
告警信息生成模块,用于根据所述检测总分数确定目标病毒文件,并生成所述目标病毒文件的告警信息。
9.一种电子设备,其特征在于,包括:
一个或多个处理器;
存储装置,用于存储一个或多个程序,
当所述一个或多个程序被所述一个或多个处理器执行,使得所述一个或多个处理器实现如权利要求1-7中任一所述的方法。
10.一种计算机可读介质,其上存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现如权利要求1-7中任一所述的方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202211142196.9A CN115495740A (zh) | 2022-09-20 | 2022-09-20 | 一种病毒检测方法和装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202211142196.9A CN115495740A (zh) | 2022-09-20 | 2022-09-20 | 一种病毒检测方法和装置 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN115495740A true CN115495740A (zh) | 2022-12-20 |
Family
ID=84470141
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202211142196.9A Pending CN115495740A (zh) | 2022-09-20 | 2022-09-20 | 一种病毒检测方法和装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN115495740A (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN116366377A (zh) * | 2023-06-02 | 2023-06-30 | 深信服科技股份有限公司 | 恶意文件检测方法、装置、设备及存储介质 |
-
2022
- 2022-09-20 CN CN202211142196.9A patent/CN115495740A/zh active Pending
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN116366377A (zh) * | 2023-06-02 | 2023-06-30 | 深信服科技股份有限公司 | 恶意文件检测方法、装置、设备及存储介质 |
| CN116366377B (zh) * | 2023-06-02 | 2023-11-07 | 深信服科技股份有限公司 | 恶意文件检测方法、装置、设备及存储介质 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10474817B2 (en) | Dynamically optimizing performance of a security appliance | |
| US11310248B2 (en) | Computer-security event analysis | |
| JP6126672B2 (ja) | 悪性コード検出方法及びシステム | |
| RU2573265C2 (ru) | Способ выявления ложных положительных результатов сканирования файлов на вредоносное по | |
| CN109471783B (zh) | 预测任务运行参数的方法和装置 | |
| CN107506256B (zh) | 一种崩溃数据监控的方法和装置 | |
| US9355250B2 (en) | Method and system for rapidly scanning files | |
| US10454967B1 (en) | Clustering computer security attacks by threat actor based on attack features | |
| US10754830B2 (en) | Activity information schema discovery and schema change detection and notification | |
| WO2018085499A1 (en) | Techniques for classifying a web page based upon functions used to render the web page | |
| CN110858172A (zh) | 一种自动化测试代码生成方法和装置 | |
| EP3637292B1 (en) | Determination device, determination method, and determination program | |
| US11934287B2 (en) | Method, electronic device and computer program product for processing data | |
| CN110795315A (zh) | 监控业务的方法和装置 | |
| CN115562992A (zh) | 一种文件检测方法、装置、电子设备及存储介质 | |
| CN115495740A (zh) | 一种病毒检测方法和装置 | |
| US11662927B2 (en) | Redirecting access requests between access engines of respective disk management devices | |
| CN112988441B (zh) | 异常处理方法和装置 | |
| US11196766B2 (en) | Detecting denial of service attacks in serverless computing | |
| CN111290870A (zh) | 一种检测异常的方法和装置 | |
| CN111898046B (zh) | 重定向管理的方法和装置 | |
| CN111339453A (zh) | 导航页的判别方法和装置 | |
| CN113239687B (zh) | 一种数据处理方法和装置 | |
| CN112948830B (zh) | 文件风险识别的方法和装置 | |
| CN112965747B (zh) | 挖掘代码漏洞的方法、装置、设备和计算机可读介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |