[发明专利]一种病毒检测方法及装置

说明书

本申请实施例提供了一种病毒检测方法及装置，包括：确定通过预设端口与第一节点通信的第二节点的个数；若所确定的个数大于预设个数阈值，则判断所述第一节点利用预设端口与每一第二节点的通信行为的相似度是否大于预设相似度阈值；若大于预设相似度阈值，则确定第一节点感染病毒。应用本申请实施例提供的技术方案，不需要预先获知病毒的特征，可实现对未知的蠕虫病毒的检测；另外，也不需要与大量已知病毒的特征进行比对，提高了病毒检测效率。

技术领域

本申请涉及网络安全领域，特别是涉及一种病毒检测方法及装置。

背景技术

蠕虫病毒是一种通过网络传播的恶性病毒。蠕虫病毒的泛滥，能够造成操作系统被滥用或重复重启，让网络的流量突然暴涨，且持续不断地进行大量的网络扫描行为，形成对网络使用量的阻断攻击。因此，需要一种方法能有效的对蠕虫病毒进行检测。

目前，采用净荷特征比对的方法对蠕虫病毒进行检测。具体的过程为：获取节点发送的流量包，将流量包中的载荷与特征库中的特征逐一匹配。若特征库中存在与流量包中的载荷匹配的特征，则确定该流量包为蠕虫病毒，该节点被蠕虫病毒感染。

为了准确的识别出蠕虫病毒，特征库中需要存储大量的已知蠕虫病毒的特征。这使得逐一匹配特征的时间会很长，病毒检测效率较低。并且，对于未知的蠕虫病毒，采用上述蠕虫病毒检测方法无法准确的检测出。

发明内容

本申请实施例的目的在于提供一种病毒检测方法及装置，以实现对未知的蠕虫病毒的检测，并提高病毒检测效率。具体技术方案如下：

第一方面，本申请实施例提供了一种病毒检测方法，所述方法包括：

确定通过预设端口与第一节点通信的第二节点的个数；

若所述个数大于预设个数阈值，则判断所述第一节点利用所述预设端口与每一第二节点下的通信行为的相似度是否大于预设相似度阈值；

若大于所述预设相似度阈值，则确定所述第一节点感染病毒。

第二方面，本申请实施例提供了一种病毒检测装置，所述装置包括：

确定单元，用于确定通过预设端口与第一节点通信的第二节点的个数；

判断单元，用于若所述个数大于预设个数阈值，则判断所述第一节点利用所述预设端口与每一第二节点的通信行为的相似度是否大于预设相似度阈值；

处理单元，用于若大于所述预设相似度阈值，则确定所述第一节点感染病毒。

第三方面，本申请实施例提供了一种网络设备，包括处理器和机器可读存储介质，所述机器可读存储介质存储有能够被所述处理器执行的机器可执行指令，所述处理器被所述机器可执行指令促使：实现上述病毒检测方法的任一步骤。

第四方面，本申请实施例提供了一种机器可读存储介质，所述机器可读存储介质存储有能够被处理器执行的机器可执行指令，所述处理器被所述机器可执行指令促使：实现上述病毒检测方法的任一步骤。

本申请实施例提供的病毒检测方法及装置，基于第一节点与各个第二节点的通信行为，确定第一节点是否感染病毒，而不是利用病毒的特征确定第一节点是否感染病毒，因此，不需要预先获知病毒的特征，可实现对未知的蠕虫病毒的检测。另外，本申请实施例提供的技术方案中，不需要基于已知病毒的特征构建特征库，也不需要与大量已知病毒的特征进行比对，仅仅是基于第一节点与各个第二节点的通信行为，确定第一节点是否感染病毒，提高了病毒检测效率。当然，实施本申请的任一产品或方法必不一定需要同时达到以上所述的所有优点。

附图说明