计算机病毒检索方法、装置、计算机设备及存储介质制造方法及图纸

本申请提供了一种计算机病毒检索方法、装置、计算机设备及存储介质，涉及计算安全技术领域，用于提高计算机病毒的检索效率。方法主要包括：建立检索中间层，并基于所述检索中间层判断威胁情报库中是否包含待检测文件的病毒情报信息。毒情报信息。毒情报信息。

【技术实现步骤摘要】
计算机病毒检索方法、装置、计算机设备及存储介质


[0001]本申请涉及网络安全
，尤其涉及一种计算机病毒检索方法、装置、计算机设备及存储介质。

技术介绍

[0002]传统的根据计算机病毒的特征码检测法进行病毒检测，原理是将所有病毒的特征加以剖析，并将这些计算机病毒的特征码搜集起来，保存到一个病毒特征资料库中，检测时以扫描的方式将待检测文件与病毒库中的病毒特征码进行一一对比，如果发现相同的特征码，则可判定该文已遭病毒感染，然后进行威胁数据丰富化处理，即将该病毒特征码在威胁情报库中进行遍历检索，从而得到更为详细的病毒描述信息，最后输出威胁检出结果。
[0003]但在传统的根据计算机病毒的特征码进行威胁情报库检索的数据丰富化过程中，处理效率受威胁情报库数据量所影响。随着信息时代的飞速发展，病毒的种类、特征、行为等信息在大量增加，导致威胁情报库数据不断增加，体积也在不断增大，从而影响了计算机病毒在威胁情报库中的检索效率。

技术实现思路

[0004]本申请实施例提供一种计算机病毒检索方法、装置、计算机设备及存储介质，用于提高计算机病毒的检索效率。
[0005]本专利技术实施例提供一种计算机病毒检索方法，所述方法包括：
[0006]建立检索中间层，并基于所述检索中间层判断威胁情报库中是否包含待检测文件的病毒情报信息。
[0007]在一个可选的实施例中，所述基于所述检索中间层判断威胁情报库中是否包含待检测文件的病毒情报信息，包括：
[0008]获取待检测文件的病毒特征码；
[0009]对所述待检测文件的病毒特征码进行多个随机映射函数的哈希计算，得到多个哈希下标；
[0010]根据多个哈希下标查找所述检索中间层中是否包含所述待检测文件的病毒特征码，以确定威胁情报库中是否包含所述待检测文件的病毒情报信息。
[0011]在一个可选的实施例中，所述根据多个哈希下标查找所述检索中间层中是否包含所述待检测文件的病毒特征码，以确定威胁情报库中是否包含所述待检测文件的病毒情报信息，包括：
[0012]获取多个哈希下标在检索中间层二进制位数组中对应的值；
[0013]若多个哈希下标对应值都为1，则确定所述威胁情报库中包含所述待检测文件的病毒情报信息；
[0014]若多个哈希下标对应值中有0，则确定所述威胁情报库中不包含所述待检测文件的病毒情报信息。
[0015]在一个可选的实施例中，所述建立检索中间层，包括：
[0016]初始化一个二进制位数组，各索引位置的值初始为0；
[0017]对多个已知病毒的病毒特征码分别进行多个随机映射函数的哈希计算，得到已知病毒的病毒特征码分别对应的多个哈希下标；
[0018]将多个已知病毒的病毒特征码分别对应的多个哈希下标在二进制位数组对应索引位置的值设置为1。
[0019]在一个可选的实施例中，所述方法还包括：
[0020]若判定威胁情报库中包含所述待检测文件的病毒情报信息，则从威胁情报库中检索所述待检测文件的病毒特征码对应的病毒详细描述信息；
[0021]若判定威胁情报库中不包含所述待检测文件的病毒情报信息，则过滤掉所述待检测文件的病毒检索。
[0022]在一个可选的实施例中，所述方法还包括：
[0023]当威胁情报库新增的已知病毒超过预置数值，判断新增的已知病毒是否在当前检索中间层可容纳存储范围之内；
[0024]若新增的已知病毒在当前检索中间层可容纳存储范围之内，则对新增的已知病毒进行检索中间层原有的所述多个随机映射函数的哈希计算，得到新增的已知病毒的病毒特征码分别对应的多个哈希下标；
[0025]将新增的已知病毒的病毒特征码分别对应的多个哈希下标的对应索引位置设置为1，若对应索引位置的值已为1则略过；若对应索引位置的值为0则将其值置为1，得到更新了新增的已知病毒的病毒特征码对应的二进制位数组；
[0026]将更新后的二进制位数组与原有的所述多个随机映射函数组成更新后的检索中间层。
[0027]在一个可选的实施例中，所述方法还包括：
[0028]若新增的已知病毒不在当前检索中间层可容纳存储范围之内，当前检索中间层二进制位数组已不满足存储需求，则根据新增后的已知病毒的数量重新确定二进制位数组的位数及随机映射函数的数量，重新建立检索中间层。
[0029]本专利技术实施例提供一种计算机病毒检索装置，所述装置包括：
[0030]建立模块，用于建立检索中间层；
[0031]判断模块，用于基于所述检索中间层判断威胁情报库中是否包含待检测文件的病毒情报信息。
[0032]在一个可选的实施例中，判断模块，具体包括：
[0033]获取单元，用于获取待检测文件的病毒特征码；
[0034]计算单元，用于对所述待检测文件的病毒特征码进行多个随机映射函数的哈希计算，得到多个哈希下标；
[0035]确定单元，用于根据多个哈希下标查找所述检索中间层中是否包含所述待检测文件的病毒特征码，以确定威胁情报库中是否包含所述待检测文件的病毒情报信息。
[0036]在一个可选的实施例中，确定单元，具体用于：
[0037]获取多个哈希下标在检索中间层二进制位数组中对应的值；
[0038]若多个哈希下标对应值都为1，则确定所述威胁情报库中包含所述待检测文件的
病毒情报信息；
[0039]若多个哈希下标对应值中有0，则确定所述威胁情报库中不包含所述待检测文件的病毒情报信息。
[0040]在一个可选的实施例中，所述建立模块，具体用于：
[0041]初始化一个二进制位数组，各索引位置的值初始为0；
[0042]对多个已知病毒的病毒特征码分别进行多个随机映射函数的哈希计算，得到已知病毒的病毒特征码分别对应的多个哈希下标；
[0043]将多个已知病毒的病毒特征码分别对应的多个哈希下标在二进制位数组对应索引位置的值设置为1。
[0044]在一个可选的实施例中，所示装置还包括：
[0045]检索模块，用于若判定威胁情报库中包含所述待检测文件的病毒情报信息，则从威胁情报库中检索所述待检测文件的病毒特征码对应的病毒详细描述信息；
[0046]过滤模块，用于若判定威胁情报库中不包含所述待检测文件的病毒情报信息，则过滤掉所述待检测文件的病毒检索。
[0047]在一个可选的实施例中，当威胁情报库新增的已知病毒超过预置数值，判断新增的已知病毒是否在当前检索中间层可容纳存储范围之内；
[0048]若新增的已知病毒在当前检索中间层可容纳存储范围之内，则对新增的已知病毒进行检索中间层原有的所述多个随机映射函数的哈希计算，得到新增的已知病毒的病毒特征码分别对应的多个哈希下标；
[0049]将新增的已知病毒的病毒特征码分别对应的多个哈希下标的对应索引位置设置为1，若对应索引位置的值已为1则略过；若对应索引位置的值为0则将其值置为1，得到更新本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种计算机病毒检索方法，其特征在于，所述方法包括：建立检索中间层，并基于所述检索中间层判断威胁情报库中是否包含待检测文件的病毒情报信息。2.根据权利要求1所述的方法，其特征在于，所述基于所述检索中间层判断威胁情报库中是否包含待检测文件的病毒情报信息，包括：获取待检测文件的病毒特征码；对所述待检测文件的病毒特征码进行多个随机映射函数的哈希计算，得到多个哈希下标；根据多个哈希下标查找所述检索中间层中是否包含所述待检测文件的病毒特征码，以确定威胁情报库中是否包含所述待检测文件的病毒情报信息。3.根据权利要求2所述的方法，其特征在于，所述根据多个哈希下标查找所述检索中间层中是否包含所述待检测文件的病毒特征码，以确定威胁情报库中是否包含所述待检测文件的病毒情报信息，包括：获取多个哈希下标在检索中间层二进制位数组中对应的值；若多个哈希下标对应值都为1，则确定所述威胁情报库中包含所述待检测文件的病毒情报信息；若多个哈希下标对应值中有0，则确定所述威胁情报库中不包含所述待检测文件的病毒情报信息。4.根据权利要求3所述的方法，其特征在于，所述建立检索中间层，包括：初始化一个二进制位数组，各索引位置的值初始为0；对多个已知病毒的病毒特征码分别进行多个随机映射函数的哈希计算，得到已知病毒的病毒特征码分别对应的多个哈希下标；将多个已知病毒的病毒特征码分别对应的多个哈希下标在二进制位数组对应索引位置的值设置为1。5.根据权利要求4所述的方法，其特征在于，所述方法还包括：若判定威胁情报库中包含所述待检测文件的病毒情报信息，则从威胁情报库中检索所述待检测文件的病毒特征码对应的病毒详细描述信息；若判定威胁情报库中不包含所述待检测文件的病毒情报信...

【专利技术属性】
技术研发人员：张越，庞齐，肖新光，
申请(专利权)人：安天科技集团股份有限公司，
类型：发明
国别省市：