[发明专利]一种病毒检测方法和装置

权利要求书

1.一种病毒检测方法，其特征在于，包括：

响应于病毒检测请求，从待检测目录中选出所有网页文件作为待检测文件；

对于每一所述待检测文件，使用不少于一种检测方式对所述待检测文件进行病毒检测，得到所述待检测文件的检测总分数，所述检测方式包括通过病毒检测规则进行规则匹配的方式；

根据所述检测总分数确定目标病毒文件，并生成所述目标病毒文件的告警信息。

2.根据权利要求1所述的方法，其特征在于，所述从待检测目录中选出所有网页文件作为待检测文件，包括：

根据文件的后缀名，从待检测目录中选出所有网页文件作为所述待检测文件。

3.根据权利要求1所述的方法，其特征在于，所述生成所述目标病毒文件的告警信息之后，还包括：

将所述告警信息存储在分布式全文检索系统中，并通过所述分布式全文检索系统对所述告警信息进行冗余信息清理以得到所述目标病毒文件的检测时间和文件唯一值。

4.根据权利要求1所述的方法，其特征在于，所述病毒检测规则通过以下方式生成：

预先构建病毒样本库，所述病毒样本库包括多个病毒样本；

对于每一所述病毒样本，对所述病毒样本进行特征提取，并根据提取的特征构建正则表达式以生成对应的病毒检测规则。

5.根据权利要求4所述的方法，其特征在于，所述检测方式还包括如下的一种或多种：模糊哈希检测、机器学习检测、沙箱检测、污点分析检测；

其中，所述模糊哈希检测通过模糊哈希算法和病毒样本的哈希值对所述待检测文件进行检测，得到所述待检测文件的模糊哈希检测分数；

所述机器学习检测通过机器学习模型和所述病毒样本对所述待检测文件进行检测，得到所述待检测文件的机器学习检测分数；

所述沙箱检测通过在沙箱中运行所述待检测文件，并根据运行结果确定所述待检测文件的沙箱检测分数；

所述污点分析检测通过将所述待检测文件标记为污点并进行处理，根据所述污点的处理结果得到所述待检测文件的污点分析检测分数。

6.根据权利要求5所述的方法，其特征在于，所述使用不少于一种检测方式对所述待检测文件进行病毒检测，得到所述待检测文件的检测总分数，包括：

使用不少于一种检测方式分别对所述待检测文件进行病毒检测，并得到每种检测方式对应的检测分数；

根据设定规则和每种检测方式对应的检测分数得到所述待检测文件的检测总分数；

所述根据所述检测总分数确定目标病毒文件，包括：

将超过预设分数阈值的检测总分数对应的待检测文件确定为所述目标病毒文件。

7.根据权利要求1所述的方法，其特征在于，所述病毒检测请求以任务的形式保存在任务存储系统中，且被设置为定时执行，所述病毒检测规则通过云端数据库进行一键部署和更新。

8.一种病毒检测装置，其特征在于，包括：

待检测文件确定模块，用于响应于病毒检测请求，从待检测目录中选出所有网页文件作为待检测文件；

检测总分数确定模块，用于对于每一所述待检测文件，使用不少于一种检测方式对所述待检测文件进行病毒检测，得到所述待检测文件的检测总分数，所述检测方式包括通过病毒检测规则进行规则匹配的方式；

告警信息生成模块，用于根据所述检测总分数确定目标病毒文件，并生成所述目标病毒文件的告警信息。

9.一种电子设备，其特征在于，包括：

一个或多个处理器；

存储装置，用于存储一个或多个程序，

当所述一个或多个程序被所述一个或多个处理器执行，使得所述一个或多个处理器实现如权利要求1-7中任一所述的方法。

10.一种计算机可读介质，其上存储有计算机程序，其特征在于，所述计算机程序被处理器执行时实现如权利要求1-7中任一所述的方法。