[发明专利]一种文件检测方法及装置

说明书

本申请提供一种文件检测方法及装置，可包括：接收文件；计算所述文件的第一哈希值；根据所述第一哈希值构造所述文件的第二哈希值；所述第二哈希值的字节数少于第一哈希值；检查本地记录的第二哈希特征库是否包含所述文件的第二哈希值；如果本地记录的第二哈希特征库包含所述文件的第二哈希值，则确定所述文件的第一哈希值是否命中预设的第一哈希特征库；若所述文件的第一哈希值命中预设的第一哈希特征库，确定所述文件为攻击文件。使用本申请提供的方法，可提高文件的识别率同时，提高文件检测的效率。

技术领域

本申请涉及计算机通信领域，尤其涉及一种文件检测方法及装置。

背景技术

为了维护网络安全，通常会在内部网络与外部网络之间、或者在不同信任域网络之间，部署网络安全设备，来对要进入被保护网络的数据流进行安全检测，并对检测出的攻击文件进行相应处理。

然而随着互联网的发展，互联网中的攻击文件也大幅度增多，如何提高恶意文件的识别率以及检测效率成为业界持续研究的问题。

发明内容

有鉴于此，本申请提供一种文件检测方法及装置，用以提高文件的识别率同时，提高文件检测的效率。

具体地，本申请是通过如下技术方案实现的：

根据本申请的第一方面，提供一种文件检测方法，所述方法应用于网络安全设备，包括：

接收文件；

计算所述文件的第一哈希值；

根据所述第一哈希值构造所述文件的第二哈希值；所述第二哈希值的字节数少于第一哈希值；

检查本地记录的第二哈希特征库是否包含所述文件的第二哈希值；所述第二哈希特征库中的第二哈希值是依据样本攻击文件的第一哈希值构造得到的；

如果本地记录的第二哈希特征库包含所述文件的第二哈希值，则确定所述文件的第一哈希值是否命中预设的第一哈希特征库；

若所述文件的第一哈希值命中预设的第一哈希特征库，确定所述文件为攻击文件；所述第一哈希特征库记录了样本攻击文件的第一哈希值。

根据本申请的第二方面，提供一种文件检测装置，所述装置应用于网络安全设备，包括：

接收单元，用于接收文件；

计算单元，用于计算所述文件的第一哈希值；

构造单元，用于根据所述第一哈希值构造所述文件的第二哈希值；所述第二哈希值的字节数少于第一哈希值；

检查单元，用于检查本地记录的第二哈希特征库是否包含所述文件的第二哈希值；所述第二哈希特征库中的第二哈希值是依据样本攻击文件的第一哈希值构造得到的；

确定单元，用于如果本地记录的第二哈希特征库包含所述文件的第二哈希值，则确定所述文件的第一哈希值是否命中预设的第一哈希特征库；若所述文件的第一哈希值命中预设的第一哈希特征库，确定所述文件为攻击文件；所述第一哈希特征库记录了样本攻击文件的第一哈希值。

本申请提出一种文件检测方法，第一方面，由于本地储存的第二哈希特征库中记录了样本攻击文件的字节数较短的第二哈希值，使得在网络安全设备存储空间和设备资源有限的情况下，由于特征库中存储的每个哈希值所占用的空间变小了，所以特征库中所能存储的样本攻击文件的哈希值的数量就会大大增加，而攻击文件的识别率与特征库中储存的样本攻击文件的哈希值的数量成正比，因此可以大大提高攻击文件的识别效率。

第二方面，网络安全设备通过字节数较短的第二哈希值在第二哈希值特征库中检查该第二哈希值特征库是否包含该文件的第二哈希值来判断文件是否为攻击文件，由于采用了较短的第二哈希值，大大提高了第二哈希值查找匹配的效率。