【技术实现步骤摘要】
本公开涉及网络安全,尤其涉及一种恶意文件检测方法及系统、电子设备、存储设备。
技术介绍
1、在工控入侵检测、防病毒网关系统、数据防泄漏等产品中,需要判断网络传输的文件是否为恶意文件。传统的检测方式将恶意文件的规则库加载进内存中,计算出文件的哈希值以后,在内存中加载规则库,如果文件的哈希值在规则库中,则判定为恶意文件。但是规则库的数量级多数在千万级,加载在内存后会占用大量内存,造成系统性能下降、不稳定,其他运行在同一系统上的应用程序也会受到影响。
技术实现思路
1、有鉴于此,本公开实施例提供了一种恶意文件检测方法及系统、电子设备、存储设备,能够使用硬盘的空间替代内存的空间,避免在将检测恶意文件时将恶意文件知识库加载到内存时,减少内存的占用,提高系统的性能。
2、第一方面,本公开实施例提供了一种恶意文件检测方法,采用如下技术方案:
3、获取恶意文件知识库,读取所述恶意文件知识库中每条记录的第一哈希值,根据所述第一哈希值创建多层目录;
4、获取网络文件,计算所述网络文件的第二哈希值,根据所述第二哈希值生成路径;
5、基于所述多层目录和所述路径确定所述网络文件是否为恶意文件。
6、可选地,所述根据所述第一哈希值创建多层目录,包括:
7、遍历所述第一哈希值的所有字符,从根目录开始,分别以每个字符创建一层目录,得到所述多层目录。
8、可选地,所述根据所述第二哈希值生成路径,包括:
9、遍历所述第二哈
10、可选地,所述基于所述多层目录和所述路径确定所述网络文件是否为恶意文件,包括:
11、若存在与所述路径相匹配的多层目录,则确定所述网络文件为恶意文件;
12、若不存在与所述路径相匹配的多层目录,则确定所述网络文件为恶意文件。
13、可选地,所述恶意文件检测方法还包括:
14、采用access函数检测是否存在与所述路径相匹配的多层目录;
15、若所述access函数返回的值为0,则表示存在与所述路径相匹配的多层目录;
16、若所述access函数返回的值为-1,则表示不存在与所述路径相匹配的多层目录。
17、可选地,所述恶意文件检测方法还包括:
18、读取所述记录中的属性信息,将所述属性信息写入到属性文件中;
19、将所述属性文件存储到对应的多层目录下。
20、可选地,在所述确定所述网络文件为恶意文件之后,还包括:
21、读取与所述路径相匹配的多层目录下的属性文件,将所述属性文件中的属性信息发送到运维人员终端并发出告警。
22、可选地,所述恶意文件检测方法还包括:
23、设置硬盘缓存,如果所述网络文件为恶意文件,则将与所述恶意文件对应的多层目录存储到所述硬盘缓存中;
24、当有新的网络文件时,基于所述新的网络文件生成新的路径;
25、如果在所述硬盘缓存中存在与所述新的路径相匹配的多层目录,则确定所述新的网络文件为恶意文件。
26、第二方面,本公开实施例还提供了一种恶意文件检测系统,采用如下技术方案:
27、创建模块,用于获取恶意文件知识库,读取所述恶意文件知识库中每条记录的第一哈希值,根据所述第一哈希值创建多层目录;
28、生成模块,用于获取网络文件,计算所述网络文件的第二哈希值,根据所述第二哈希值生成路径;
29、确定模块,用于基于所述多层目录和所述路径确定所述网络文件是否为恶意文件。
30、第三方面,本公开实施例还提供了一种电子设备,采用如下技术方案:
31、所述电子设备包括:
32、至少一个处理器;以及,
33、与所述至少一个处理器通信连接的存储器;其中,
34、所述存储器存储有可被所述至少一个处理器执行的指令,所述指令被所述至少一个处理器执行,以使所述至少一个处理器能够执行以上任一所述的恶意文件检测方法。
35、第四方面,本公开实施例还提供了一种计算机可读存储介质,该计算机可读存储介质存储计算机指令,该计算机指令用于使计算机执行以上任一所述的恶意文件检测方法。
36、本公开实施例提供的恶意文件检测方法,通过将恶意文件知识库中的哈希值构建成多层目录的形式,把网络文件计算的哈希值生成对应的路径,然后基于多层目录和路径判断网络文件是否为恶意文件,目录树的结构是存储在硬盘中的,该方法通过将恶意文件知识库中大量的记录映射为系统的一个个多层目录,使用硬盘的空间替代了内存的空间,基于多层目录和路径判断网络文件是否为恶意文件的方式可以大大降低了对内存的消耗,进而减少对系统性能的影响,降低系统的不稳定性,降低对其他运行在同一系统上的应用程序的影响。
37、上述说明仅是本公开技术方案的概述,为了能更清楚了解本公开的技术手段,而可依照说明书的内容予以实施,并且为让本公开的上述和其他目的、特征和优点能够更明显易懂,以下特举较佳实施例,并配合附图,详细说明如下。
本文档来自技高网...【技术保护点】
1.一种恶意文件检测方法,其特征在于,包括:
2.根据权利要求1所述的恶意文件检测方法,其特征在于,所述根据所述第一哈希值创建多层目录,包括:
3.根据权利要求1所述的恶意文件检测方法,其特征在于,所述根据所述第二哈希值生成路径,包括:
4.根据权利要求1所述的恶意文件检测方法,其特征在于,所述基于所述多层目录和所述路径确定所述网络文件是否为恶意文件,包括:
5.根据权利要求4所述的恶意文件检测方法,其特征在于,还包括:
6.根据权利要求4所述的恶意文件检测方法,其特征在于,还包括:
7.根据权利要求6所述的恶意文件检测方法,其特征在于,在所述确定所述网络文件为恶意文件之后,还包括:
8.一种恶意文件检测系统,其特征在于,包括:
9.一种电子设备,其特征在于,所述电子设备包括:
10.一种计算机可读存储介质,其特征在于,该计算机可读存储介质存储计算机指令,该计算机指令用于使计算机执行权利要求1-7任一所述的恶意文件检测方法。
【技术特征摘要】
1.一种恶意文件检测方法,其特征在于,包括:
2.根据权利要求1所述的恶意文件检测方法,其特征在于,所述根据所述第一哈希值创建多层目录,包括:
3.根据权利要求1所述的恶意文件检测方法,其特征在于,所述根据所述第二哈希值生成路径,包括:
4.根据权利要求1所述的恶意文件检测方法,其特征在于,所述基于所述多层目录和所述路径确定所述网络文件是否为恶意文件,包括:
5.根据权利要求4所述的恶意文件检测方法,其特征在于,还包括:...
【专利技术属性】
技术研发人员:陈阳,
申请(专利权)人:北京天融信网络安全技术有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。