恶意数据检测方法、终端设备以及存储介质技术

本申请公开了一种恶意数据检测方法、终端设备以及存储介质，该方法包括：获取待检测的目标数据；通过多个引擎对目标数据以异步任务队列方式进行检测，得到多个引擎检测结果；基于预设的融合算法对多个引擎检测结果进行融合处理，得到最终告警结果。本发明专利技术方案极大程度的解决了高负载流量下，使用多引擎对恶意流量/文件检测时，产生大量重复、低质量、误报的告警，极大的提高了检测准确率，同时本方法既能方便安全设备厂商不断更新检测手段、类型来抵制新的攻击，也能方便用户现场特殊的环境下通过算法不断修正来不断的提高多引擎检测准确率。确率。确率。

【技术实现步骤摘要】
恶意数据检测方法、终端设备以及存储介质


[0001]本申请涉及网络安全
，尤其涉及一种恶意数据检测方法、终端设备以及存储介质。

技术介绍

[0002]随着信息化高速发展，互联网中承载的数据量越来越庞大，随之而来的恶意文件、流量也越来越多，企业的信息化安全也变得越来越重要，因此网络安全设备也变得越来越重要。
[0003]为保证企业信息安全，对恶意数据的检测方法日趋多样化。检测方法和检测手段的多样化，同时伴随着检测结果过于复杂，无法直观的判断文件、流量的检测结果、恶意程度等。目前对恶意数据的检测通常是通过多个引擎对文件、流量进行检测，基于各个引擎的检测结果，以少数服从多数原则，判断文件、流量是否为恶意数据。但传统方式中，通过多个引擎对文件、流量的检测会产生大量重复、低质量、误报的告警，并且在网络安全设备工作的过程中，不可避免的会有引擎升级、引擎的开关、病毒库更新等操作，此时传统方法无法适配，从而导致检测结果失真，因此检测的准确率较低。
[0004]因此针对恶意数据检测准确率低的问题，有必要提出一种提高检测恶意数据准确率的方法。

技术实现思路

[0005]本申请的主要目的在于提供一种恶意数据检测方法、终端设备以及存储介质，旨在提高恶意数据检测的准确率。
[0006]为实现上述目的，本申请提供一种恶意数据检测方法，所述恶意数据检测方法包括：获取待检测的目标数据；通过多个引擎对所述目标数据以异步任务队列方式进行检测，得到多个引擎检测结果；基于预设的融合算法对所述多个引擎检测结果进行融合处理，得到最终告警结果。
[0007]可选地，所述通过多个引擎对所述目标数据以异步任务队列方式进行检测，得到多个引擎检测结果的步骤包括：通过多个引擎对所述目标数据的任务队列进行异步检测；在每个引擎检测完成后，将各引擎的检测结果放入预设的引擎检测结果队列中，得到多个引擎检测结果。
[0008]可选地，所述基于预设的融合算法对所述多个引擎检测结果进行融合处理的步骤之前还包括：从所述引擎检测结果队列中获取所述目标数据对应的当前检测结果；
分析所述当前检测结果；根据分析结果判断所述目标数据是否被所有引擎检测完毕；若所述目标数据已被所有引擎检测完毕，则执行步骤：基于预设的融合算法对所述多个引擎检测结果进行融合处理；若所述目标数据未被所有引擎检测完毕，则判断所述当前检测结果中是否存在恶意数据；若所述当前检测结果中存在恶意数据，则将所述当前检测结果放置于临时告警缓存队列，并在前端页面进行临时告警；在融合算法处理结束后，在前端生成最终的正式告警，并删除临时告警缓存队列中的告警，下发最终告警结果。
[0009]可选地，所述从所述引擎检测结果队列中获取所述目标数据对应的当前检测结果的步骤之后还包括：读取当前检测结果对应的当前引擎状态，基于所述当前引擎状态，动态加载当前引擎配置；根据用户的操作指令进行以下操作中的一种或多种：关闭当前检测引擎；开启当前检测引擎；添加新的检测引擎；在所述引擎检测结果队列中更新检测结果；在所述引擎检测结果队列中创建新的检测结果。
[0010]可选地，所述基于预设的融合算法对所述多个引擎检测结果进行融合处理的步骤包括：基于预设的融合算法，从多维度对所述多个引擎检测结果进行融合处理，其中，多维度至少包括：目标数据中流量/文件的类型、大小，触发的规则集，引擎的特性。
[0011]可选地，所述方法还包括：根据预设条件，更新所述融合算法。
[0012]可选地，所述根据预设条件，更新所述融合算法的步骤包括：在升级引擎、更新病毒库，和/或新增流量/文件检测类型操作时，生成引擎检测算法报告；根据所述引擎检测算法报告更新所述融合算法的配置；根据更新后的融合算法的配置，重置融合算法基线；对所述融合算法重新初始化以加载新的算法基线，得到更新后的融合算法。
[0013]可选地，所述方法还包括：根据前端研判结果反馈的告警结果修正所述算法基线；和/或将所述最终告警结果存入数据库。
[0014]本申请实施例还提出一种终端设备，所述终端设备包括存储器、处理器及存储在所述存储器上并可在所述处理器上运行的恶意数据检测程序，所述恶意数据检测程序被所述处理器执行时实现如上所述的恶意数据检测方法的步骤。
[0015]本申请实施例还提出一种计算机可读存储介质，所述计算机可读存储介质上存储有恶意数据检测程序，所述恶意数据检测程序被处理器执行时实现如上所述的恶意数据检测方法的步骤。
[0016]本申请实施例提出的恶意数据检测方法、终端设备以及存储介质，通过获取待检
测的目标数据；通过多个引擎对所述目标数据以异步任务队列方式进行检测，得到多个引擎检测结果；基于预设的融合算法对所述多个引擎检测结果进行融合处理，得到最终告警结果。由此，通过多个引擎对目标数据以异步任务队列方式进行检测，并结合预设的融合算法对多个引擎检测结果进行融合处理，极大程度的解决了高负载流量下，使用多引擎对恶意流量/文件检测时，产生大量重复、低质量、误报的告警，极大的提高了检测准确率，同时本方法既能方便安全设备厂商不断更新检测手段、类型来抵制新的攻击，也能方便用户现场特殊的环境下通过算法不断修正来不断的提高多引擎检测准确率。
附图说明
[0017]图1为本申请恶意数据检测装置所属终端设备的功能模块示意图；图2为本申请恶意数据检测方法一示例性实施例的流程示意图；图3为本申请恶意数据检测方法另一示例性实施例的流程示意图；图4为本申请恶意数据检测方法实施例的整体流程示意图；图5为本申请恶意数据检测方法实施例的具体流程示意图；图6为本申请恶意数据检测方法又一示例性实施例的流程示意图。
[0018]本申请目的的实现、功能特点及优点将结合实施例，参照附图做进一步说明。
具体实施方式
[0019]应当理解，此处所描述的具体实施例仅仅用以解释本申请，并不用于限定本申请。
[0020]本申请实施例的主要解决方案是：通过获取待检测的目标数据；通过多个引擎对所述目标数据以异步任务队列方式进行检测，得到多个引擎检测结果；基于预设的融合算法对所述多个引擎检测结果进行融合处理，得到最终告警结果。由此，通过多个引擎对目标数据以异步任务队列方式进行检测，并结合预设的融合算法对多个引擎检测结果进行融合处理，极大程度的解决了高负载流量下，使用多引擎对恶意流量/文件检测时，产生大量重复、低质量、误报的告警，极大的提高了检测准确率，同时本方法既能方便安全设备厂商不断更新检测手段、类型来抵制新的攻击，也能方便用户现场特殊的环境下通过算法不断修正来不断的提高多引擎检测准确率。
[0021]本申请实施例考虑到，目前对恶意数据的检测通常是通过多个引擎对文件、流量进行检测，基于各个引擎的检测结果，以少数服从多数原则，判断文件、流量是否为恶意数据。但传统方式中，通过多个引擎对文件、流量的检测会产生大量重复、低质量、误报的告警，并且在网络安全设备工作的过程中，不可避免的会有引擎升级、引擎的开关、病毒库更新等操作，本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种恶意数据检测方法，其特征在于，所述恶意数据检测方法包括：获取待检测的目标数据；通过多个引擎对所述目标数据以异步任务队列方式进行检测，得到多个引擎检测结果；基于预设的融合算法对所述多个引擎检测结果进行融合处理，得到最终告警结果。2.根据权利要求1所述的恶意数据检测方法，其特征在于，所述通过多个引擎对所述目标数据以异步任务队列方式进行检测，得到多个引擎检测结果的步骤包括：通过多个引擎对所述目标数据的任务队列进行异步检测；在每个引擎检测完成后，将各引擎的检测结果放入预设的引擎检测结果队列中，得到多个引擎检测结果。3.根据权利要求2所述的恶意数据检测方法，其特征在于，所述基于预设的融合算法对所述多个引擎检测结果进行融合处理的步骤之前还包括：从所述引擎检测结果队列中获取所述目标数据对应的当前检测结果；分析所述当前检测结果；根据分析结果判断所述目标数据是否被所有引擎检测完毕；若所述目标数据已被所有引擎检测完毕，则执行步骤：基于预设的融合算法对所述多个引擎检测结果进行融合处理；若所述目标数据未被所有引擎检测完毕，则判断所述当前检测结果中是否存在恶意数据；若所述当前检测结果中存在恶意数据，则将所述当前检测结果放置于临时告警缓存队列，并在前端页面进行临时告警；在融合算法处理结束后，在前端生成最终的正式告警，并删除临时告警缓存队列中的告警，下发最终告警结果。4.根据权利要求3所述的恶意数据检测方法，其特征在于，所述从所述引擎检测结果队列中获取所述目标数据对应的当前检测结果的步骤之后还包括：读取当前检测结果对应的当前引擎状态，基于所述当前引擎状态，动态加载当前引擎配置；根据用户的操作指令进行以下操作中的一种或多种：关闭当前检测引擎；开启当前检测引擎；添加新的检测引...

【专利技术属性】
技术研发人员：刘凯，
申请(专利权)人：北京六方云科技有限公司，
类型：发明
国别省市：