[发明专利]一种病毒检测方法、装置、电子设备及存储介质有效
| 申请号: | 202110335752.3 | 申请日: | 2021-03-29 |
| 公开(公告)号: | CN113051566B | 公开(公告)日: | 2023-07-14 |
| 发明(设计)人: | 闫华;位凯志;古亮 | 申请(专利权)人: | 深信服科技股份有限公司 |
| 主分类号: | G06F21/56 | 分类号: | G06F21/56 |
| 代理公司: | 北京派特恩知识产权代理有限公司 11270 | 代理人: | 周艳;张颖玲 |
| 地址: | 518055 广东省深圳市*** | 国省代码: | 广东;44 |
| 权利要求书: | 查看更多 | 说明书: | 查看更多 |
| 摘要: | |||
| 搜索关键词: | 一种 病毒 检测 方法 装置 电子设备 存储 介质 | ||
本发明实施例适用于计算机安全技术领域,提供了一种病毒检测方法、装置、电子设备及存储介质,其中,病毒检测方法包括:基于布隆过滤器集群对待测文件进行处理,布隆过滤器集群包括至少两级布隆过滤器,至少两级布隆过滤器中的各级布隆过滤器分别对应病毒规则库中不同长度的规则片段,各级布隆过滤器依次用于检测待测文件是否匹配所对应的规则片段;基于待测文件的匹配结果确定是否需要通过病毒规则库进行病毒检测。本发明提高了病毒检测的效率,缩短了病毒检测的时间。
技术领域
本发明涉及计算机安全技术领域,尤其涉及一种病毒检测方法、装置、电子设备及存储介质。
背景技术
相关技术在进行病毒检测时,由病毒分析师人工地或由算法自动地对病毒样本做分析,提取病毒样本中的病毒规则。病毒规则是一个连续字符串。将大量的病毒规则聚集在一起,形成病毒规则库。在对未知文件做病毒检测时,将未知文件中的字符串与病毒规则库中的病毒规则做匹配,如果匹配成功,则认为未知文件是病毒文件。相关技术中,随着病毒规则库的不断扩大,病毒检测耗时越来越长。
发明内容
为了解决上述问题,本发明实施例提供了一种病毒检测方法、装置、电子设备及存储介质,以至少解决相关技术由于病毒规则库中规则数量过多导致的检测耗时长的问题。
本发明的技术方案是这样实现的:
第一方面,本发明实施例提供了一种病毒检测方法,该方法包括:
基于布隆过滤器集群对待测文件进行处理,所述布隆过滤器集群包括至少两级布隆过滤器,所述至少两级布隆过滤器中的各级布隆过滤器分别对应病毒规则库中不同长度的规则片段,所述各级布隆过滤器依次用于检测所述待测文件是否匹配所对应的规则片段;
基于所述待测文件的匹配结果确定是否需要通过所述病毒规则库进行病毒检测。
上述方案中,所述基于所述待测文件的匹配结果确定是否需要通过所述病毒规则库进行病毒检测,包括:
在所述匹配结果表征所述待测文件与所述各级布隆过滤器所对应的规则片段都匹配的情况下,基于所述病毒规则库对所述待测文件进行病毒检测。
上述方案中,所述基于所述待测文件的匹配结果确定是否需要通过所述病毒规则库进行病毒检测,包括:
在所述匹配结果表征所述待测文件与所述各级布隆过滤器中的任意一级布隆过滤器所对应的规则片段不匹配的情况下,确定所述待测文件为正常文件。
上述方案中,所述基于所述病毒规则库对所述待测文件进行病毒检测,包括:
接收来自所述病毒规则库的检测结果;所述病毒规则库用于检测所述待测文件是否匹配所述病毒规则库中的病毒规则。
上述方案中,所述基于布隆过滤器集群对待测文件进行处理,包括:
在所述布隆过滤器集群中的任意一级布隆过滤器检测到所述待测文件匹配所对应的规则片段的情况下,由下一级布隆过滤器进行匹配。
上述方案中,在基于布隆过滤器集群对待测文件进行处理之前,所方法还包括:
基于所述病毒规则库创建所述至少两级布隆过滤器;
基于所述各级布隆过滤器对应的规则片段的长度,按照长度从短至长的顺序对所述至少两级布隆过滤器进行拼接,得到所述布隆过滤器集群。
上述方案中,在各级布隆过滤器检测所述待测文件是否匹配所对应的规则片段时,所述方法包括:
基于滑动窗口获取所述待测文件中的连续字符串,将所述连续字符串与各级布隆过滤器对应的规则片段进行匹配,以确定所述待测文件是否匹配所对应的规则片段;所述滑动窗口的窗口宽度与各级布隆过滤器对应的规则片段的长度相同。
该专利技术资料仅供研究查看技术是否侵权等信息,商用须获得专利权人授权。该专利全部权利属于深信服科技股份有限公司,未经深信服科技股份有限公司许可,擅自商用是侵权行为。如果您想购买此专利、获得商业授权和技术合作,请联系【客服】
本文链接:http://www.vipzhuanli.com/pat/books/202110335752.3/2.html,转载请声明来源钻瓜专利网。
