本发明专利技术实施例适用于计算机安全技术领域,提供了一种病毒检测方法、装置、电子设备及存储介质,其中,病毒检测方法包括:基于布隆过滤器集群对待测文件进行处理,布隆过滤器集群包括至少两级布隆过滤器,至少两级布隆过滤器中的各级布隆过滤器分别对应病毒规则库中不同长度的规则片段,各级布隆过滤器依次用于检测待测文件是否匹配所对应的规则片段;基于待测文件的匹配结果确定是否需要通过病毒规则库进行病毒检测。本发明专利技术提高了病毒检测的效率,缩短了病毒检测的时间。缩短了病毒检测的时间。缩短了病毒检测的时间。
【技术实现步骤摘要】
一种病毒检测方法、装置、电子设备及存储介质
[0001]本专利技术涉及计算机安全
,尤其涉及一种病毒检测方法、装置、电子设备及存储介质。
技术介绍
[0002]相关技术在进行病毒检测时,由病毒分析师人工地或由算法自动地对病毒样本做分析,提取病毒样本中的病毒规则。病毒规则是一个连续字符串。将大量的病毒规则聚集在一起,形成病毒规则库。在对未知文件做病毒检测时,将未知文件中的字符串与病毒规则库中的病毒规则做匹配,如果匹配成功,则认为未知文件是病毒文件。相关技术中,随着病毒规则库的不断扩大,病毒检测耗时越来越长。
技术实现思路
[0003]为了解决上述问题,本专利技术实施例提供了一种病毒检测方法、装置、电子设备及存储介质,以至少解决相关技术由于病毒规则库中规则数量过多导致的检测耗时长的问题。
[0004]本专利技术的技术方案是这样实现的:
[0005]第一方面,本专利技术实施例提供了一种病毒检测方法,该方法包括:
[0006]基于布隆过滤器集群对待测文件进行处理,所述布隆过滤器集群包括至少两级布隆过滤器,所述至少两级布隆过滤器中的各级布隆过滤器分别对应病毒规则库中不同长度的规则片段,所述各级布隆过滤器依次用于检测所述待测文件是否匹配所对应的规则片段;
[0007]基于所述待测文件的匹配结果确定是否需要通过所述病毒规则库进行病毒检测。
[0008]上述方案中,所述基于所述待测文件的匹配结果确定是否需要通过所述病毒规则库进行病毒检测,包括:
[0009]在所述匹配结果表征所述待测文件与所述各级布隆过滤器所对应的规则片段都匹配的情况下,基于所述病毒规则库对所述待测文件进行病毒检测。
[0010]上述方案中,所述基于所述待测文件的匹配结果确定是否需要通过所述病毒规则库进行病毒检测,包括:
[0011]在所述匹配结果表征所述待测文件与所述各级布隆过滤器中的任意一级布隆过滤器所对应的规则片段不匹配的情况下,确定所述待测文件为正常文件。
[0012]上述方案中,所述基于所述病毒规则库对所述待测文件进行病毒检测,包括:
[0013]接收来自所述病毒规则库的检测结果;所述病毒规则库用于检测所述待测文件是否匹配所述病毒规则库中的病毒规则。
[0014]上述方案中,所述基于布隆过滤器集群对待测文件进行处理,包括:
[0015]在所述布隆过滤器集群中的任意一级布隆过滤器检测到所述待测文件匹配所对应的规则片段的情况下,由下一级布隆过滤器进行匹配。
[0016]上述方案中,在基于布隆过滤器集群对待测文件进行处理之前,所方法还包括:
[0017]基于所述病毒规则库创建所述至少两级布隆过滤器;
[0018]基于所述各级布隆过滤器对应的规则片段的长度,按照长度从短至长的顺序对所述至少两级布隆过滤器进行拼接,得到所述布隆过滤器集群。
[0019]上述方案中,在各级布隆过滤器检测所述待测文件是否匹配所对应的规则片段时,所述方法包括:
[0020]基于滑动窗口获取所述待测文件中的连续字符串,将所述连续字符串与各级布隆过滤器对应的规则片段进行匹配,以确定所述待测文件是否匹配所对应的规则片段;所述滑动窗口的窗口宽度与各级布隆过滤器对应的规则片段的长度相同。
[0021]第二方面,本专利技术实施例提供了一种病毒检测装置,该装置包括:
[0022]处理模块,用于基于布隆过滤器集群对待测文件进行处理,所述布隆过滤器集群包括至少两级布隆过滤器,所述至少两级布隆过滤器中的各级布隆过滤器分别对应病毒规则库中不同长度的规则片段,所述各级布隆过滤器依次用于检测所述待测文件是否匹配所对应的规则片段;
[0023]确定模块,用于基于所述待测文件的匹配结果确定是否需要通过所述病毒规则库进行病毒检测。
[0024]第三方面,本专利技术实施例提供了一种电子设备,包括处理器和存储器,所述处理器和存储器相互连接,其中,所述存储器用于存储计算机程序,所述计算机程序包括程序指令,所述处理器被配置用于调用所述程序指令,执行本专利技术实施例第一方面提供的病毒检测方法的步骤。
[0025]第四方面,本专利技术实施例提供了一种计算机可读存储介质,包括:所述计算机可读存储介质存储有计算机程序。所述计算机程序被处理器执行时实现如本专利技术实施例第一方面提供的病毒检测方法的步骤。
[0026]本专利技术实施例基于布隆过滤器集群对待测文件进行处理,布隆过滤器集群包括至少两级布隆过滤器,至少两级布隆过滤器中的各级布隆过滤器分别对应病毒规则库中不同长度的规则片段,各级布隆过滤器依次用于检测待测文件是否匹配所对应的规则片段。基于待测文件的匹配结果确定是否需要通过病毒规则库进行病毒检测。本专利技术实施例通过至少两级布隆过滤器对待测文件进行处理,在进行病毒检测时,可以将大多数不是病毒文件的被测文件尽早排除掉,提高了病毒检测的效率,减少了病毒检测的时间。
附图说明
[0027]图1是相关技术进行病毒检测的流程示意图;
[0028]图2是本专利技术实施例提供的一种病毒检测方法的实现流程示意图;
[0029]图3是本专利技术实施例提供的一种布隆过滤器集群的示意图;
[0030]图4是本专利技术实施例提供的另一种病毒检测方法的实现流程示意图;
[0031]图5是本专利技术应用实施例提供的一种多级布隆过滤器的架构示意图;
[0032]图6是本专利技术应用实施例提供的一种多级布隆过滤器的创建流程图;
[0033]图7是本专利技术应用实施例提供的一种病毒检测流程示意图;
[0034]图8是本专利技术实施例提供的一种病毒检测装置的示意图;
[0035]图9是本专利技术一实施例提供的电子设备的示意图。
具体实施方式
[0036]下面将结合本专利技术实施例中的附图,对本专利技术实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本专利技术一部分实施例,而不是全部的实施例。基于本专利技术中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本专利技术保护的范围。
[0037]参考图1,图1是相关技术进行病毒检测的流程示意图。相关技术通过对已知的病毒样本做分析,提取病毒样本中的病毒规则,病毒规则即为病毒样本中的一段连续的字符串,将大量的病毒规则聚集在一起,形成一个病毒规则库。在对未知文件做病毒检测时,提取未知文件中设定长度的连续字符串,将设定长度的连续字符串与病毒规则库中的病毒规则进行匹配,如果匹配成功,说明未知文件中包含了病毒规则,该未知文件是病毒文件。但是,随着不同种类的病毒越来越多,病毒规则库中的病毒规则数量越来越多。在病毒检测时,对病毒规则的匹配,一般采用经典多模匹配算法,例如Aho
‑
Corasick算法和Boyer
‑
Moore算法。当病毒规则库中的病毒规则数量较多时,多模匹配算法的cache命中率降低,甚至出现内存抖动,导致极大的时间性能开销,病毒检测时间较长,影响用户体验。...
【技术保护点】
【技术特征摘要】
1.一种病毒检测方法,其特征在于,所述方法包括:基于布隆过滤器集群对待测文件进行处理,所述布隆过滤器集群包括至少两级布隆过滤器,所述至少两级布隆过滤器中的各级布隆过滤器分别对应病毒规则库中不同长度的规则片段,所述各级布隆过滤器依次用于检测所述待测文件是否匹配所对应的规则片段;基于所述待测文件的匹配结果确定是否需要通过所述病毒规则库进行病毒检测。2.根据权利要求1所述的方法,其特征在于,所述基于所述待测文件的匹配结果确定是否需要通过所述病毒规则库进行病毒检测,包括:在所述匹配结果表征所述待测文件与所述各级布隆过滤器所对应的规则片段都匹配的情况下,基于所述病毒规则库对所述待测文件进行病毒检测。3.根据权利要求1所述的方法,其特征在于,所述基于所述待测文件的匹配结果确定是否需要通过所述病毒规则库进行病毒检测,包括:在所述匹配结果表征所述待测文件与所述各级布隆过滤器中的任意一级布隆过滤器所对应的规则片段不匹配的情况下,确定所述待测文件为正常文件。4.根据权利要求2所述的方法,其特征在于,所述基于所述病毒规则库对所述待测文件进行病毒检测,包括:接收来自所述病毒规则库的检测结果;所述病毒规则库用于检测所述待测文件是否匹配所述病毒规则库中的病毒规则。5.根据权利要求1至2任一项所述的方法,其特征在于,所述基于布隆过滤器集群对待测文件进行处理,包括:在所述布隆过滤器集群中的任意一级布隆过滤器检测到所述待测文件匹配所对应的规则片段的情况下,由下一级布隆过滤器进行匹配。6.根据权利要求1所述的方法,其特征在于,在基于布隆...
【专利技术属性】
技术研发人员:闫华,位凯志,古亮,
申请(专利权)人:深信服科技股份有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。