[发明专利]文件检测方法、装置及设备

权利要求书

1.一种文件检测方法，其特征在于，包括：

通过调用容器引擎对应的远程接口，获取容器引擎中运行的文件信息；

基于预先搭建的数据分析平台，对所述容器引擎中运行的文件信息进行规则关联，判断所述文件信息中是否存在恶意文件；

若存在，则生成并传输恶意文件的告警信息；

所述基于预先搭建的数据分析平台，对所述容器引擎中运行的文件信息进行规则关联，判断所述文件信息中是否存在恶意文件，具体包括：

利用预先搭建的数据分析平台，按照预设时间间隔提取并存储所述容器引擎中运行的文件信息；

将所述容器引擎中运行的文件信息与所述数据分析平台中恶意代码规则库所配置的规则进行关联分析，得到关联分析结果；

通过将关联分析结果形成的相似度与预先设置的相似度阈值进行比较，判断所述文件信息中是否存在恶意文件。

2.根据权利要求1所述的方法，其特征在于，所述通过调用容器引擎对应的远程接口，获取容器引擎内运行的文件信息，具体包括：

通过调用容器引擎对应的远程接口，获取容器引擎的运行状态；

基于所述容器引擎的运行状态，获取正在运行中的容器列表，所述容器列表中记录有运行中容器的详细信息；

根据所述运行中容器的详细信息，确定容器引擎内运行的文件信息。

3.根据权利要求2所述的方法，其特征在于，所述根据所述运行中容器的详细信息，确定容器引擎内运行的文件信息，具体包括：

根据所述运行中容器的详细信息，读取由运行中容器启动的进程信息；

从所述由运行中容器启动的进程信息中提取文件改动信息，并根据文件改动信息中记录当前文件状态，确定容器引擎内运行的文件信息。

4.根据权利要求1所述的方法，其特征在于，在所述将所述容器引擎中运行的文件信息与所述数据分析平台中恶意代码规则库所配置的规则进行关联分析，得到关联分析结果之前，所述方法还包括：

汇总从多个资源库所收集的恶意样本，构建恶意代码规则库，所述恶意代码规则库中记录有从恶意代码抽取的字符串形成的规则。

5.根据权利要求1所述的方法，其特征在于，所述预先构建的数据分析平台包括数据收集引擎、搜索服务引擎以及可视化平台，所述利用预先搭建的数据分析平台，按照预设时间间隔提取并存储所述容器引擎中运行的文件信息，具体包括：

将所述容器引擎中运行的文件信息以日志数据的形式导入至数据收集引擎中，所述数据收集引擎用于从容器引擎中拉取日志数据，并将所述日志数据转发到搜索服务引擎；

对所述容器引擎中运行的文件信息进行数据处理后存储至搜索服务引擎，并创建文件信息对应的索引。

6.根据权利要求1所述的方法，其特征在于，所述将所述容器引擎中运行的文件信息与所述数据分析平台中恶意代码规则库所配置的规则进行关联分析，得到关联分析结果，具体包括：

对所述容器引擎中运行的文件信息进行预处理，形成与规则统一数据格式的文件特征代码；

将所述文件特征代码与所述恶意代码规则库所配置的规则对应的字符串进行模式匹配，得到关联分析结果。

7.根据权利要求6所述的方法，其特征在于，所述将所述文件特征代码与所述恶意代码规则库所配置的规则对应的字符串进行模式匹配，得到关联分析结果，具体包括：

以所述文件特征代码作为待匹配的主串，所述恶意代码规则库所配置规则对应的字符串作为待匹配的模式串，遍历所述主串中每个位置上的字符；

将所述主串中每个位置上的字符与所述模式串进行匹配，得到关联分析结果。

8.根据权利要求1-7中任一项所述的方法，其特征在于，在所述若存在，则生成并传输恶意文件的告警信息之后，所述方法还包括：

根据所述告警信息追踪所述恶意文件，捕获并删除所述恶意文件。