一种多进程检测系统、电子设备及存储介质技术方案

本发明专利技术提供了一种多进程检测系统、电子设备及存储介质，涉及安全检测领域，该系统包括检测顺序确定模块和n个检测进程，每一检测进程具有其唯一对应的检测队列和目标恶意检测规则；检测顺序确定模块中存储有每一目标恶意检测规则对应的恶意样本向量；检测进程用于从其对应的检测队列中获取待检测文件，并根据其对应的目标恶意检测规则对获取到的待检测文件进行恶意检测。本发明专利技术根据每一恶意样本向量，确定对应的检测进程对待检测文件的检测顺序，待检测文件根据需要调用的目标恶意检测规则确定检测进程，检测进程在接收到待检测文件后，只需调用对应的目标恶意检测规则对待检测文件进行恶意检测，节省了每个检测进程的存储空间和检测算力。空间和检测算力。空间和检测算力。

【技术实现步骤摘要】
一种多进程检测系统、电子设备及存储介质


[0001]本专利技术涉及安全检测领域，特别是涉及一种多进程检测系统、电子设备及存储介质。

技术介绍

[0002]目前对文件进行恶意检测的检测系统大多为单进程结构，即需要进行恶意检测的若干待检测文件均通过一个进程进行检测，且单进程检测系统中存储有针对不同类型的待检测文件的检测规则，由于每个待检测文件所应用的检测规则不同，所以，单进程检测系统每对一个待检测文件进行检测时，均需要调用对应的检测规则，对进程的运行负载带来一定的压力，且当待检测文件的数量较多时，由于待检测文件的文件大小和恶意检测的处理时间的不同，会造成进程堵塞，影响其他文件的正常检测。

技术实现思路

[0003]有鉴于此，本专利技术提供一种多进程检测系统、电子设备及存储介质，至少部分解决现有技术中单进程检测系统存在的检测规则调用繁琐及进程堵塞的技术问题，本专利技术采用的技术方案为：根据本申请的一个方面，提供一种多进程检测系统，包括检测顺序确定模块和n个检测进程，每一检测进程具有其唯一对应的检测队列和目标恶意检测规则；检测顺序确定模块中存储有每一目标恶意检测规则对应的恶意样本向量；检测进程用于从其对应的检测队列中获取待检测文件，并根据其对应的目标恶意检测规则对获取到的待检测文件进行恶意检测。
[0004]其中，检测顺序确定模块用于执行以下步骤：步骤S100、根据每一恶意样本向量，确定对应的目标恶意检测规则对待检测文件的检测顺序；步骤S200、根据检测顺序，确定待检测文件对应的检测队列标识集A=(A1,A2,...,A
i
,...,A
n
)；其中，i=1,2,...,n；A
i
为检测顺序在第i位的检测队列对应的检测队列标识；步骤S300、根据检测队列标识集A，将待检测文件依次发送到至少部分检测队列中。
[0005]在本申请的一种示例性实施例中，在待检测文件被发送至A
i
对应的检测队列中后，仅在接收到A
i
对应的检测进程返回的检测结果为第一结果时，将待检测文件发送至A
i+1
对应的检测队列中；其中，第一结果表征待检测文件为非恶意文件。
[0006]在本申请的一种示例性实施例中，若A
i
对应的检测进程返回的检测结果为第二结果时，则结束对待检测文件的恶意检测；其中，第二结果表征待检测文件为恶意文件。
[0007]在本申请的一种示例性实施例中，步骤S300包括：步骤S310、获取i=1；步骤S320、确定A
i
对应的检测队列是否为空；若为空，则将待检测文件发送至A
i
对
应的检测队列中，并执行步骤S330；否则，根据预设更新规则对i进行更新处理；步骤S330、在接收到A
i
对应的检测进程返回的检测结果为第一结果时，获取i=i+1，并执行步骤S320。
[0008]在本申请的一种示例性实施例中，根据预设更新规则对i进行更新处理，包括：步骤S321、获取A
i
对应的检测队列中每一历史待检测文件的文件大小L
i1
,L
i2
,...,L
ij
,...,L
if(i)
；其中，j=1,2,...,f(i)；f(i)为A
i
对应的检测队列中的历史待检测文件的数量；L
ij
为A
i
对应的检测队列中第j个历史待检测文件的文件大小；步骤S322、获取A
i
对应的目标恶意检测规则的目标检测效率P
i
；步骤S323、确定A
i
对应的检测队列的目标等待时长；步骤S324、若M
i
＜M0，则将待检测文件发送至A
i
对应的检测队列中，并执行步骤S330；其中，M0为预设等待时长阈值。
[0009]在本申请的一种示例性实施例中，步骤S324还包括：若M
i
≥M0，则执行步骤S340；步骤S340、获取r=1；步骤S341、获取A
i+r
对应的检测队列中每一历史待检测文件的文件大小K
(i+r)1
,K
(i+r)2
,...,K
(i+r)e
,...,K
(i+r)f(i+r)
；其中，e=1,2,...,f(i+r)；f(i+r)为A
i+r
对应的检测队列中的历史待检测文件的数量；K
(i+r)e
为A
i+r
对应的检测队列中第e个历史待检测文件的文件大小；步骤S342、获取A
i+r
对应的目标恶意检测规则的目标检测效率P
i+r
；步骤S343、确定A
i+r
对应的检测队列的目标等待时长；其中，T0为待检测文件的检测时长；步骤S344、若M
i+r
＜M
i
，则将待检测文件发送至A
i+r
对应的检测队列中，并执行步骤S345；步骤S345、将A
i+r
从检测队列标识集A中删除，并执行步骤S346；步骤S346、在接收到A
i+r
对应的检测进程返回的检测结果为第一结果时，执行步骤S320。
[0010]在本申请的一种示例性实施例中，步骤S344还包括：若M
i+r
≥M
i
，则获取r=r+1，并执行步骤S341。
[0011]在本申请的一种示例性实施例中，检测进程在接收到待检测文件时执行以下步骤：步骤S400、获取待检测文件对应的IDB文件；步骤S410、对IDB文件进行解析，得到目标json文件；目标json文件中包含待检测文件中的若干PE文件信息；PE文件信息包含目标指令信息和目标指令信息对应的目标相对存储地址字段；每一目标指令信息具有对应的目标指令信息类型；步骤S420、从目标json文件中的若干PE文件信息内确定出若干目标指令信息，以得到目标指令信息列表；目标指令信息列表中的目标指令信息根据对应的目标相对存储地址的先后顺序排列；步骤S430、根据对应的目标恶意检测规则对目标指令信息列表进行恶意检测，得
到并返回待检测文件对应的检测结果。
[0012]在本申请的一种示例性实施例中，步骤S100包括：步骤S110、根据目标json文件对应的若干目标指令信息类型，确定目标json文件对应的目标指令向量；步骤S120、根据目标指令向量与若干恶意样本向量的匹配度，确定若干目标恶意检测规则对待检测文件的检测顺序。
[0013]在本申请的一种示例性实施例中，目标指令向量通过以下步骤确定：步骤S111、根据h个第一指令信息类型，得到第一初始特征向量E=(E1,E2,...,E
a
,...,E
h
)；其中，a=1,2,...,h；E
...

【技术保护点】

【技术特征摘要】
1.一种多进程检测系统，其特征在于，包括检测顺序确定模块和n个检测进程，每一所述检测进程具有其唯一对应的检测队列和目标恶意检测规则；所述检测顺序确定模块中存储有每一所述目标恶意检测规则对应的恶意样本向量；所述检测进程用于从其对应的检测队列中获取待检测文件，并根据其对应的目标恶意检测规则对获取到的待检测文件进行恶意检测；所述检测顺序确定模块用于执行以下步骤：步骤S100、根据每一所述恶意样本向量，确定对应的所述目标恶意检测规则对所述待检测文件的检测顺序；步骤S200、根据所述检测顺序，确定所述待检测文件对应的检测队列标识集A=(A1,A2,...,A
i
,...,A
n
)；其中，i=1,2,...,n；A
i
为检测顺序在第i位的检测队列对应的检测队列标识；步骤S300、根据检测队列标识集A，将所述待检测文件依次发送到至少部分检测队列中；其中，所述步骤S100包括：步骤S110、根据目标json文件对应的若干目标指令信息类型，确定所述目标json文件对应的目标指令向量；所述目标json文件通过对所述待检测文件进行解析得到；步骤S120、根据所述目标指令向量与若干所述恶意样本向量的匹配度，确定若干目标恶意检测规则对所述待检测文件的检测顺序；其中，所述步骤S300包括：步骤S310、获取i=1；步骤S320、确定A
i
对应的检测队列是否为空；若为空，则将所述待检测文件发送至A
i
对应的检测队列中，并执行步骤S330；否则，根据预设更新规则对i进行更新处理；步骤S330、在接收到A
i
对应的检测进程返回的检测结果为第一结果时，获取i=i+1，并执行步骤S320；其中，第一结果表征所述待检测文件为非恶意文件。2.根据权利要求1所述的一种多进程检测系统，其特征在于，在所述待检测文件被发送至A
i
对应的检测队列中后，仅在接收到A
i
对应的检测进程返回的检测结果为第一结果时，将所述待检测文件发送至A
i+1
对应的检测队列中。3.根据权利要求2所述的一种多进程检测系统，其特征在于，若A
i
对应的检测进程返回的检测结果为第二结果时，则结束对所述待检测文件的恶意检测；其中，第二结果表征所述待检测文件为恶意文件。4.根据权利要求1所述的一种多进程检测系统，其特征在于，所述根据预设更新规则对i进行更新处理，包括：步骤S321、获取A
i
对应的检测队列中每一历史待检测文件的文件大小L
i1
,L
i2
,...,L
ij
,...,L
if(i)
；其中，j=1,2,...,f(i)；f(i)为A
i
对应的检测队列中的历史待检测文件的数量；L
ij
为A
i
对应的检测队列中第j个历史待检测文件的文件大小；步骤S322、获取A
i
对应的目标恶意检测规则的目标检测效率P
i
；步骤S323、确定A
i
对应的检测队列的目标等待时长；步骤S324、若M
i
＜M0，则将所述待检测文件发送至A
i
对应的检测队列中，并执行步骤
S330；其中，M0为预设等待时长阈值。5.根据权利要求4所述的一种多进程检测系统，其特征在于，所述步骤S324还包括：若M
i
≥M0，则执行步骤S340；步骤S...

【专利技术属性】
技术研发人员：李建平，李石磊，肖新光，
申请(专利权)人：北京安天网络安全技术有限公司，
类型：发明
国别省市：