一种网络病毒检测方法及网络设备技术

本申请提供了一种网络病毒检测方法及网络设备，所述方法包括：获取通过网络设备进行传输的待传输文件，获取待传输文件的目标字节片段；将目标字节片段通过布隆过滤器进行过滤，以进行网络病毒的预检测；布隆过滤器是根据多个病毒文件的字节片段构建的；如果过滤结果显示存在与目标字节片段相匹配的病毒文件的字节片段，缓存待传输文件；缓存后计算待传输文件的哈希值；将哈希值与参考哈希值进行匹配；参考哈希值存储在预设病毒库中；如果存在与哈希值相匹配的参考哈希值，则确认待传输文件为病毒文件。本申请的方法可以及时对待传输文件进行病毒的预检测，节约网络设备的内存，同时能够减轻网络设备CPU的压力，减少无效哈希。希。希。

【技术实现步骤摘要】
一种网络病毒检测方法及网络设备


[0001]本申请涉及网络病毒检测领域，尤其涉及一种网络病毒检测方法及网络设备。

技术介绍

[0002]网络病毒是一种通过网络传播的病毒，在传播过程中，网络病毒会破坏网络设备，例如，破坏服务器、交换机以及路由设备等。一般的，在客户端利用网络设备进行数据传输时，病毒文件会混合在正常文件中进入网络设备。因此，选择在网络设备中进行病毒查杀是一种可行的网络病毒检测方法。
[0003]目前，网络病毒检测的过程一般如下：网络设备获取正在传输的文件，并对文件进行缓存，缓存后计算完整缓存文件的哈希值，将该哈希值与病毒库中存储的网络病毒的哈希值进行匹配，如果得到与该哈希值相匹配的网络病毒的哈希值，则确认该缓存文件为病毒文件。
[0004]但是，对完整文件进行缓存并进行哈希计算，一方面，会大量占用网络设备的内存，对存储造成压力。另一方面，完整文件的哈希计算会增加网络设备CPU（central processing unit，中央处理器）的压力。由于网络病毒与正常文件的比例较小，对完整文件进行缓存及哈希计算，会导致病毒检测的效率低下。

技术实现思路

[0005]本申请实施例提供了一种网络病毒检测方法及网络设备，以解决传统网络病毒检测方法缓存完整病毒文件造成的病毒检测效率低下的问题。
[0006]第一方面，本申请实施例提供一种网络病毒检测方法，包括：获取通过网络设备进行传输的待传输文件，以及，获取待传输文件的目标字节片段；将目标字节片段通过布隆过滤器进行过滤，以进行网络病毒的预检测；布隆过滤器是根据多个病毒文件的字节片段构建的，且布隆过滤器存储在预设病毒库中；如果过滤结果显示存在与目标字节片段相匹配的病毒文件的字节片段，缓存待传输文件；缓存后计算待传输文件的哈希值；将哈希值与参考哈希值进行匹配；参考哈希值存储在预设病毒库中；如果存在与哈希值相匹配的参考哈希值，则确认待传输文件为病毒文件。
[0007]在一种实现方式中，获取待传输文件的目标字节片段的步骤包括：在待传输文件开始传输时，缓存目标字节片段；目标字节片段为待传输文件首个报文的前N个字节，N小于等于首个报文的总长度。
[0008]在一种实现方式中，获取网络设备间进行传输的传输文件的步骤包括：获取网络设备传输数据流；在传输数据流中，识别出在通过网络设备进行传输的待传输文件。
[0009]在一种实现方式中，缓存后计算待传输文件的哈希值的步骤前，方法还包括：
计算待传输文件的文件大小；如果预设病毒库中存在与待传输文件的文件大小相匹配的预设病毒文件，则继续计算待传输文件的哈希值；如果预设病毒库中不存在与待传输文件的文件大小相匹配的预设病毒文件，则确认待传输文件不是病毒文件。
[0010]在一种实现方式中，如果预设病毒库中存在与待传输文件的文件大小相匹配的预设病毒文件，则继续计算待传输文件的哈希值的步骤后，还包括：在预设病毒库中，根据预设病毒文件的文件大小与哈希值的对应关系，获取与待传输文件的文件大小相匹配的预设病毒文件的哈希值，以作为参考哈希值。
[0011]在一种实现方式中，方法还包括：构建预设病毒库；计算预设病毒文件的文件大小及哈希值；将文件大小存入预设病毒库；对所有文件大小进行范围划分，以形成不同的文件大小范围；按照文件大小范围，将不同文件大小范围对应的哈希值存入预设病毒库中，以建立文件大小与哈希值的对应关系。
[0012]在一种实现方式中，方法还包括：获取预设病毒文件的字节片段存入预设病毒库；预设病毒文件的字节片段，与目标字节片段长度相等。
[0013]在一种实现方式中，如果过滤结果显示不存在与目标字节片段相匹配的病毒文件的字节片段，则确认待传输文件不是病毒文件。
[0014]在一种实现方式中，如果不存在与哈希值相匹配的参考哈希值，则确认待传输文件不是病毒文件。
[0015]第二方面，本申请实施例还提供一种网络设备，包括存储器和处理器，存储器用于存储程序指令，处理器用于通过运行程序指令，以执行下述步骤：获取通过网络设备进行传输的待传输文件，以及，获取待传输文件的目标字节片段；将目标字节片段通过布隆过滤器进行过滤，以进行网络病毒的预检测；布隆过滤器是根据多个病毒文件的字节片段构建的，且布隆过滤器存储在预设病毒库中；如果过滤结果显示存在与目标字节片段相匹配的病毒文件的字节片段，缓存待传输文件；缓存后计算待传输文件的哈希值；将哈希值与参考哈希值进行匹配；参考哈希值存储在预设病毒库中；如果存在与哈希值相匹配的参考哈希值，则确认待传输文件为病毒文件。
[0016]由以上技术方案可知，本申请实施例提供了一种网络病毒检测方法及网络设备，所述方法包括：获取通过网络设备进行传输的待传输文件，获取待传输文件的目标字节片段；将目标字节片段通过布隆过滤器进行过滤，以进行网络病毒的预检测；布隆过滤器是根据多个病毒文件的字节片段构建的，且布隆过滤器存储在预设病毒库中；如果过滤结果显示存在与目标字节片段相匹配的病毒文件的字节片段，缓存待传输文件；缓存后计算待传
输文件的哈希值；将哈希值与参考哈希值进行匹配；参考哈希值存储在预设病毒库中；如果存在与哈希值相匹配的参考哈希值，则确认待传输文件为病毒文件。本申请实施例提供的方法可以及时对待传输文件进行病毒的预检测，节约网络设备的内存同时能够减轻网络设备CPU的压力，减少无效哈希。
附图说明
[0017]为了更清楚地说明本申请的技术方案，下面将对实施例中所需要使用的附图作简单地介绍，显而易见地，对于本领域普通技术人员而言，在不付出创造性劳动性的前提下，还可以根据这些附图获得其他的附图。
[0018]图1为本申请实施例提供的网络病毒检测方法流程示意图；图2为本申请实施例提供的网络病毒检测方法的又一种流程示意图；图3为本申请实施例提供的构建预设病毒库的流程示意图。
具体实施方式
[0019]为了使本
的人员更好地理解本申请方案，下面将结合本申请实施例中的附图，对本申请实施例中的技术方案进行清楚、完整地描述。
[0020]需要说明的是，本文中的“第一”、“第二”等描述，是用于区分不同的消息、设备、模块等，不代表先后顺序，也不限定“第一”和“第二”是不同的类型。
[0021]下面将结合本申请实施例中的附图，对本申请实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本申请一部分实施例，而不是全部的实施例。基于本申请中的实施例，本领域技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都属于本申请保护的范围。
[0022]网络病毒（network virus）：广义上认为，可以通过网络传播，同时破坏某些网络组件（服务器、客户端、交换和路由设备）的病毒就是网络病毒。狭义上认为，局限于网络范围的病毒就是网络病毒，即网络病毒应该是充分利用网络协议及网络体系结构作为其传播途径或机制，同时网络病毒的破坏也应是针对网络的。
[0023]布隆过滤器（bloom fil本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种网络病毒检测方法，其特征在于，包括：获取通过网络设备进行传输的待传输文件，以及，获取所述待传输文件的目标字节片段；将所述目标字节片段通过布隆过滤器进行过滤，以进行网络病毒的预检测；所述布隆过滤器是根据多个病毒文件的字节片段构建的，且所述布隆过滤器存储在预设病毒库中；如果过滤结果显示存在与所述目标字节片段相匹配的病毒文件的字节片段，缓存所述待传输文件；缓存后计算所述待传输文件的哈希值；将所述哈希值与参考哈希值进行匹配；所述参考哈希值存储在所述预设病毒库中；如果存在与所述哈希值相匹配的参考哈希值，则确认所述待传输文件为病毒文件。2.根据权利要求1所述的网络病毒检测方法，其特征在于，获取所述待传输文件的目标字节片段的步骤包括：在所述待传输文件开始传输时，缓存所述目标字节片段；所述目标字节片段为所述待传输文件首个报文的前N个字节，N小于等于所述首个报文的总长度。3.根据权利要求1所述的网络病毒检测方法，其特征在于，获取网络设备间进行传输的传输文件的步骤包括：获取网络设备传输数据流；在所述传输数据流中，识别出在通过网络设备进行传输的待传输文件。4.根据权利要求1所述的网络病毒检测方法，其特征在于，缓存后计算所述待传输文件的哈希值的步骤前，所述方法还包括：计算所述待传输文件的文件大小；如果所述预设病毒库中存在与所述待传输文件的文件大小相匹配的预设病毒文件，则继续计算所述待传输文件的哈希值；如果所述预设病毒库中不存在与所述待传输文件的文件大小相匹配的预设病毒文件，则确认所述待传输文件不是病毒文件。5.根据权利要求4所述的网络病毒检测方法，其特征在于，如果所述预设病毒库中存在与所述待传输文件的文件大小相匹配的预设病毒文件，则继续计算所述待传输文件的哈希值的步骤后，还包括：在所述预设病毒库中，根据所述预设病毒文件的文件大小与哈...

【专利技术属性】
技术研发人员：张晓东，
申请(专利权)人：北京安博通科技股份有限公司，
类型：发明
国别省市：