本发明专利技术实施例适用于计算机技术领域,提供了一种病毒检测方法、CEP引擎、电子设备及存储介质,其中,CEP引擎用于执行所述病毒检测方法,病毒检测方法包括:获取第一网络流量的至少两个特征;至少两个特征中的每个特征的类型互不相同;将至少两个特征的每个特征与对应特征类型的数据库中的特征进行匹配,基于CEP引擎对应的CEP规则对匹配结果进行打分,得到每个特征对应的分数;分数表征对应的特征与病毒家族特征的匹配程度;数据库中存储有对应的特征类型的特征;基于至少两个特征的每个特征的分数,判断第一网络流量是否包含病毒家族特征。征。征。
【技术实现步骤摘要】
一种病毒检测方法、CEP引擎、电子设备及存储介质
[0001]本专利技术涉及计算机
,尤其涉及一种病毒检测方法、CEP引擎、电子设备及存储介质。
技术介绍
[0002]网络病毒家族泛指僵尸网络、蠕虫病毒、挖矿病毒和勒索病毒等呈家族式更新迭代的网络攻击病毒,家族内的病毒特征具有相似性。现有的网络病毒家族的检测方法,主要是通过收集网络病毒家族的域名等单维度特征进行匹配检测,当匹配到了对应的流量则产生告警。当病毒家族特征更新时,就无法匹配到特征,检测准确率低。
技术实现思路
[0003]为了解决上述问题,本专利技术实施例提供了一种病毒检测方法、CEP引擎、电子设备及存储介质,以至少解决相关技术对网络病毒家族的检测准确率低的问题。
[0004]本专利技术的技术方案是这样实现的:
[0005]第一方面,本专利技术实施例提供了一种病毒检测方法,应用于复杂事件处理CEP引擎,所述CEP引擎用于执行所述病毒检测方法,所述病毒检测方法包括:
[0006]获取第一网络流量的至少两个特征;所述至少两个特征中的每个特征的类型互不相同;
[0007]将所述至少两个特征的每个特征与对应特征类型的数据库中的特征进行匹配,基于所述CEP引擎对应的CEP规则对匹配结果进行打分,得到每个特征对应的分数;所述分数表征对应的特征与病毒家族特征的匹配程度;所述数据库中存储有对应的特征类型的特征;
[0008]基于所述至少两个特征的每个特征的分数,判断所述第一网络流量是否包含病毒家族特征。
[0009]在上述方案中,所述基于所述至少两个特征中的每个特征的分数,判断所述第一网络流量是否包含病毒家族特征,包括:
[0010]确定所述至少两个特征中的所有特征的分数的累加值;
[0011]在所述累加值大于第一设定值的情况下,得到第一判断结果;所述第一判断结果表征所述第一网络流量包含病毒家族特征;
[0012]在所述累加值小于第一设定值且大于第二设定值的情况下,得到第二判断结果;所述第二判断结果表征所述第一网络流量包含普通病毒特征;
[0013]在所述累加值小于第二设定值的情况下,得到第三判断结果;所述第三判断结果表征所述第一网络流量为正常流量。
[0014]在上述方案中,在确定所述第一网络流量包含病毒家族特征的情况下,所述方法还包括:
[0015]基于分数最高的特征的匹配结果,确定所述病毒家族特征的属性信息。
[0016]在上述方案中,在判断所述第一网络流量是否包含病毒家族特征之后,所述方法还包括:
[0017]在所述第一网络流量包含病毒家族特征的情况下,生成安全告警事件;
[0018]在所述第一网络流量不包含病毒家族特征的情况下,对第一网络流量进行划窗处理,对第二网络流量进行病毒检测。
[0019]在上述方案中,所述至少两个特征至少包括以下任意两项:
[0020]流量特征;
[0021]文件特征;所述文件特征表征所述第一网络流量触发文件下载时下载的文件的特征;
[0022]行为特征;所述行为特征表征所述第一网络流量对应的攻击手法。
[0023]在上述方案中,所述获取第一网络流量的至少两个特征,包括:
[0024]在获取到所述流量特征的情况下,基于所述流量特征确定所述第一网络流量是否会触发文件下载;
[0025]在确定所述第一网络流量会触发文件下载的情况下,预下载对应的文件;
[0026]从预下载的文件中获取所述文件特征。
[0027]在上述方案中,所述基于所述流量特征确定所述第一网络流量是否会触发文件下载,包括:
[0028]将所述流量特征与第一数据库中的日志文件进行匹配;
[0029]在所述第一数据库中匹配到日志文件的情况下,确定匹配到的日志文件中是否存在文件下载链接;
[0030]在存在文件下载链接的情况下,确定所述第一网络流量会触发文件下载。
[0031]在上述方案中,所述将所述至少两个特征的每个特征与对应特征类型的数据库中的特征进行匹配,包括:
[0032]将所述流量特征与对应的第一数据库中的日志文件进行匹配;或,
[0033]将所述文件特征与对应的第二数据库中的文件特征进行匹配;或,
[0034]将所述行为特征与对应的第三数据库中的告警数据进行匹配;所述第三数据库存储有表征攻击手法的告警数据。。
[0035]第二方面,本专利技术实施例提供了一种CEP引擎,该CEP引擎包括:
[0036]获取模块,用于获取第一网络流量的至少两个特征;所述至少两个特征中的每个特征的类型互不相同;
[0037]匹配模块,用于将所述至少两个特征的每个特征与对应特征类型的数据库中的特征进行匹配,基于所述CEP引擎对应的CEP规则对匹配结果进行打分,得到每个特征对应的分数;所述分数表征对应的特征与病毒家族特征的匹配程度;所述数据库中存储有对应的特征类型的特征;
[0038]检测模块,用于基于所述至少两个特征的每个特征的分数,判断所述第一网络流量是否包含病毒家族特征。
[0039]第三方面,本专利技术实施例提供了一种电子设备,包括处理器和存储器,所述处理器和存储器相互连接,其中,所述存储器用于存储计算机程序,所述计算机程序包括程序指令,所述处理器被配置用于调用所述程序指令,执行本专利技术实施例第一方面提供的病毒检
测方法的步骤。
[0040]第四方面,本专利技术实施例提供了一种计算机可读存储介质,包括:所述计算机可读存储介质存储有计算机程序。所述计算机程序被处理器执行时实现如本专利技术实施例第一方面提供的病毒检测方法的步骤。
[0041]本专利技术实施例通过CEP引擎获取第一网络流量的至少两个特征,将至少两个特征的每个特征与对应特征类型的数据库中的特征进行匹配,基于CEP引擎对应的CEP规则对匹配结果进行打分,得到每个特征对应的分数。基于至少两个特征的每个特征的分数,判断所述第一网络流量是否包含病毒家族特征。其中,分数表征特征与病毒家族特征的匹配程度,数据库中存储有对应的特征类型的特征,至少两个特征中的每个特征的类型互不相同。本专利技术实施例采用CEP技术关联了多个类型的特征,根据CEP规则对每个特征进行打分,根据各个特征的分数判断第一网络流量是否包含病毒家族特征。相比现有技术采用单一类型的特征进行病毒检测,本专利技术实施例举证信息更加丰富,能够降低网络病毒家族检测的误报率,有效提高网络病毒家族的检测准确率。
附图说明
[0042]图1是本专利技术实施例提供的一种病毒检测方法的实现流程示意图;
[0043]图2是本专利技术实施例提供的另一种病毒检测方法的实现流程示意图;
[0044]图3是本专利技术实施例提供的另一种病毒检测方法的实现流程示意图;
[0045]图4是本专利技术实施例提供的另一种病毒检测方法的实现流程示意图;
[0046]图5是本专利技术实施例提供的一种CEP处理框架的示意图;
[004本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种病毒检测方法,应用于复杂事件处理CEP引擎,所述CEP引擎用于执行所述病毒检测方法,其特征在于,所述病毒检测方法包括:获取第一网络流量的至少两个特征;所述至少两个特征中的每个特征的类型互不相同;将所述至少两个特征的每个特征与对应特征类型的数据库中的特征进行匹配,基于所述CEP引擎对应的CEP规则对匹配结果进行打分,得到每个特征对应的分数;所述分数表征对应的特征与病毒家族特征的匹配程度;所述数据库中存储有对应的特征类型的特征;基于所述至少两个特征的每个特征的分数,判断所述第一网络流量是否包含病毒家族特征。2.根据权利要求1所述的方法,其特征在于,所述基于所述至少两个特征中的每个特征的分数,判断所述第一网络流量是否包含病毒家族特征,包括:确定所述至少两个特征中的所有特征的分数的累加值;在所述累加值大于第一设定值的情况下,得到第一判断结果;所述第一判断结果表征所述第一网络流量包含病毒家族特征;在所述累加值小于第一设定值且大于第二设定值的情况下,得到第二判断结果;所述第二判断结果表征所述第一网络流量包含普通病毒特征;在所述累加值小于第二设定值的情况下,得到第三判断结果;所述第三判断结果表征所述第一网络流量为正常流量。3.根据权利要求1所述的方法,其特征在于,在确定所述第一网络流量包含病毒家族特征的情况下,所述方法还包括:基于分数最高的特征的匹配结果,确定所述病毒家族特征的属性信息。4.根据权利要求1所述的方法,其特征在于,在判断所述第一网络流量是否包含病毒家族特征之后,所述方法还包括:在所述第一网络流量包含病毒家族特征的情况下,生成安全告警事件;在所述第一网络流量不包含病毒家族特征的情况下,对第一网络流量进行划窗处理,对第二网络流量进行病毒检测。5.根据权利要求1所述的方法,其特征在于,所述至少两个特征至少包括以下任意两项:流量特征;文件特征;所述文件特征表征所述第一网络流量触发文件下载时下载的文件的特征;行为特征;所述行为特征表征所述第一网络流量对应的攻击手法。6.根据权利要求5所述的方法,其特征在于,所述...
【专利技术属性】
技术研发人员:张士峰,
申请(专利权)人:深信服科技股份有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。