[发明专利]基于日志的病毒发现方法、装置、计算设备及存储介质

说明书

本发明实施例涉及网络安全技术领域，公开了一种基于日志的病毒发现方法、装置、计算设备及存储介质，该方法包括：从传输层设备获取预设时间内的访问日志，其中，每条所述访问日志中记录有源IP地址、源端口、目的IP地址、目的端口以及传输层协议；根据所述访问日志获取所述目标端口的频率和所述目的IP地址的频率；根据所述目标端口的频率和所述目的IP地址的频率计算病毒量化权重指标；根据所述病毒量化权重指标确定是否为疑似病毒。通过上述方式，本发明实施例能够及时发现网络中的计算机病毒，减少病毒的扩散感染，最大程度上保障网络环境的可用性，以及用户数据信息的完整性与保密性。

技术领域

本发明实施例涉及网络安全技术领域，具体涉及一种基于日志的病毒发现方法、装置、计算设备及存储介质。

背景技术

个人PC、办公终端需要安装杀毒软件以应对计算机病毒，针对于企业，企业可能会采购网络防毒墙，终端杀毒软件等应对日常的病毒。无论网络防毒墙还是终端杀毒软件都需要依赖于病毒库，病毒库的更新依赖于出现的病毒样本，对于病毒的发现有一定的延时性。

目前大部分病毒的检测方法是依据病毒特征的。反病毒软件会根据病毒的家族特性进行病毒家族的划分，往往会提取该家族的病毒都存在的特征信息作为病毒的判断依据，从而使得病毒库中的一条记录信息就可以命中该家族的全部病毒。现有的计算机病毒的检查方法通过静态分析待划分病毒文件的二进制数据，从中分析出病毒文件的可移植、可执行PE结构数据，比较待划分病毒文件的PE结构数据，将PE结构数据符合指定相似度的病毒文件划分到同一类别中。

现有的计算机病毒的检查方法需要有大量的病毒样本为支撑，需要从大量的病毒样本中提取出病毒文件的PE结构数据。对应企业来说，如果想自己建立一套病毒样本PE结构库需要耗费大量的人力、财力用于购买、研究病毒样本。这是一个从0到1的过程，中间可能由于技术人员的技术水平不能满足研究病毒样本的需要可能导致此项工作的失败。或者从其他安全公司每年花费一定的费用用于购买病毒样本PE结构库。无论哪种方法都需要投入一定的人力财力。另外，病毒的发现依赖于病毒样本PE结构数据，这就导致了如果想在现有的网络中发现该病毒，需要在病毒爆发后一定时间从其他渠道获取病毒样本或者从其他安全公司获取新的病毒PE结构库，存在一定的延时性。

发明内容

鉴于上述问题，本发明实施例提供了一种基于日志的病毒发现方法、装置、计算设备及存储介质，克服了上述问题或者至少部分地解决了上述问题。

根据本发明实施例的一个方面，提供了一种基于日志的病毒发现方法，所述方法包括：从传输层设备获取预设时间内的访问日志，其中，每条所述访问日志中记录有源IP地址、源端口、目的IP地址、目的端口以及传输层协议；根据所述访问日志获取所述目标端口的频率和所述目的IP地址的频率；根据所述目标端口的频率和所述目的IP地址的频率计算病毒量化权重指标；根据所述病毒量化权重指标确定是否为疑似病毒。

在一种可选的方式中，所述获取预设时间内网络安全设备生成的访问日志，包括：通过所述传输层设备记录个人终端区设备和/或服务器区设备产生的所述访问日志；采集所述传输层设备记录的所述访问日志。

在一种可选的方式中，所述获取预设时间内网络安全设备生成的访问日志，还包括：对采集的所述访问日志进行泛化处理，形成统一格式的所述访问日志。

在一种可选的方式中，所述根据所述访问日志获取所述目标端口的频率和所述目的IP的频率，包括：对泛化处理过的所述访问日志进行存储，并建立索引；计算所述访问日志的总数量；根据所述目的端口以及所述目的IP地址对所述访问日志进行统计；根据所述总数量以及根据所述目的端口和所述目的IP地址统计的所述访问日志计算所述目标端口的频率和所述目的IP地址的频率。

在一种可选的方式中，所述目标端口的频率为所述目的端口的访问日志条数占访问日志总数量的比值，满足以下关系式：