[发明专利]一种网络病毒检测方法及网络设备

权利要求书

1.一种网络病毒检测方法，其特征在于，包括：

获取通过网络设备进行传输的待传输文件，以及，在所述待传输文件传输过程中获取所述待传输文件的目标字节片段，所述目标字节片段为所述待传输文件首个报文的前N个字节，N小于等于所述首个报文的总长度；

将所述目标字节片段通过布隆过滤器进行过滤，以进行网络病毒的预检测；所述布隆过滤器是根据多个病毒文件的字节片段构建的，且所述布隆过滤器存储在预设病毒库中；

如果过滤结果显示存在与所述目标字节片段相匹配的病毒文件的字节片段，缓存所述待传输文件；

缓存后计算所述待传输文件的哈希值；

将所述哈希值与参考哈希值进行匹配；所述参考哈希值存储在所述预设病毒库中；

如果存在与所述哈希值相匹配的参考哈希值，则确认所述待传输文件为病毒文件。

2.根据权利要求1所述的网络病毒检测方法，其特征在于，获取网络设备间进行传输的传输文件的步骤包括：

获取网络设备传输数据流；

在所述传输数据流中，识别出在通过网络设备进行传输的待传输文件。

3.根据权利要求1所述的网络病毒检测方法，其特征在于，缓存后计算所述待传输文件的哈希值的步骤前，所述方法还包括：

计算所述待传输文件的文件大小；

如果所述预设病毒库中存在与所述待传输文件的文件大小相匹配的预设病毒文件，则继续计算所述待传输文件的哈希值；

如果所述预设病毒库中不存在与所述待传输文件的文件大小相匹配的预设病毒文件，则确认所述待传输文件不是病毒文件。

4.根据权利要求3所述的网络病毒检测方法，其特征在于，如果所述预设病毒库中存在与所述待传输文件的文件大小相匹配的预设病毒文件，则继续计算所述待传输文件的哈希值的步骤后，还包括：

在所述预设病毒库中，根据所述预设病毒文件的文件大小与哈希值的对应关系，获取与所述待传输文件的文件大小相匹配的所述预设病毒文件的哈希值，以作为所述参考哈希值。

5.根据权利要求4所述的网络病毒检测方法，其特征在于，所述方法还包括：

构建预设病毒库；

计算预设病毒文件的文件大小及哈希值；

将所述文件大小存入所述预设病毒库；

对所有所述文件大小进行范围划分，以形成不同的文件大小范围；

按照文件大小范围，将不同文件大小范围对应的哈希值存入所述预设病毒库中，以建立所述文件大小与所述哈希值的对应关系。

6.根据权利要求5所述的网络病毒检测方法，其特征在于，所述方法还包括：

获取所述预设病毒文件的字节片段存入所述预设病毒库；所述预设病毒文件的字节片段，与所述目标字节片段长度相等。

7.根据权利要求1所述的网络病毒检测方法，其特征在于，如果过滤结果显示不存在与所述目标字节片段相匹配的病毒文件的字节片段，则确认所述待传输文件不是病毒文件。

8.根据权利要求1所述的网络病毒检测方法，其特征在于，如果不存在与所述哈希值相匹配的参考哈希值，则确认所述待传输文件不是病毒文件。

9.一种网络设备，其特征在于，包括存储器和处理器，所述存储器用于存储程序指令，所述处理器用于通过运行所述程序指令，以执行下述步骤：

获取通过网络设备进行传输的待传输文件，以及，获取所述待传输文件的目标字节片段；

将所述目标字节片段通过布隆过滤器进行过滤，以进行网络病毒的预检测；所述布隆过滤器是根据多个病毒文件的字节片段构建的，且所述布隆过滤器存储在预设病毒库中；

如果过滤结果显示存在与所述目标字节片段相匹配的病毒文件的字节片段，缓存所述待传输文件；

缓存后计算所述待传输文件的哈希值；

将所述哈希值与参考哈希值进行匹配；所述参考哈希值存储在所述预设病毒库中；

如果存在与所述哈希值相匹配的参考哈希值，则确认所述待传输文件为病毒文件。