[发明专利]一种网络病毒检测方法及网络设备

说明书

本申请提供了一种网络病毒检测方法及网络设备，所述方法包括：获取通过网络设备进行传输的待传输文件，获取待传输文件的目标字节片段；将目标字节片段通过布隆过滤器进行过滤，以进行网络病毒的预检测；布隆过滤器是根据多个病毒文件的字节片段构建的；如果过滤结果显示存在与目标字节片段相匹配的病毒文件的字节片段，缓存待传输文件；缓存后计算待传输文件的哈希值；将哈希值与参考哈希值进行匹配；参考哈希值存储在预设病毒库中；如果存在与哈希值相匹配的参考哈希值，则确认待传输文件为病毒文件。本申请的方法可以及时对待传输文件进行病毒的预检测，节约网络设备的内存，同时能够减轻网络设备CPU的压力，减少无效哈希。

技术领域

本申请涉及网络病毒检测领域，尤其涉及一种网络病毒检测方法及网络设备。

背景技术

网络病毒是一种通过网络传播的病毒，在传播过程中，网络病毒会破坏网络设备，例如，破坏服务器、交换机以及路由设备等。一般的，在客户端利用网络设备进行数据传输时，病毒文件会混合在正常文件中进入网络设备。因此，选择在网络设备中进行病毒查杀是一种可行的网络病毒检测方法。

目前，网络病毒检测的过程一般如下：网络设备获取正在传输的文件，并对文件进行缓存，缓存后计算完整缓存文件的哈希值，将该哈希值与病毒库中存储的网络病毒的哈希值进行匹配，如果得到与该哈希值相匹配的网络病毒的哈希值，则确认该缓存文件为病毒文件。

但是，对完整文件进行缓存并进行哈希计算，一方面，会大量占用网络设备的内存，对存储造成压力。另一方面，完整文件的哈希计算会增加网络设备CPU（centralprocessing unit，中央处理器）的压力。由于网络病毒与正常文件的比例较小，对完整文件进行缓存及哈希计算，会导致病毒检测的效率低下。

发明内容

本申请实施例提供了一种网络病毒检测方法及网络设备，以解决传统网络病毒检测方法缓存完整病毒文件造成的病毒检测效率低下的问题。

第一方面，本申请实施例提供一种网络病毒检测方法，包括：获取通过网络设备进行传输的待传输文件，以及，获取待传输文件的目标字节片段；

将目标字节片段通过布隆过滤器进行过滤，以进行网络病毒的预检测；布隆过滤器是根据多个病毒文件的字节片段构建的，且布隆过滤器存储在预设病毒库中；

如果过滤结果显示存在与目标字节片段相匹配的病毒文件的字节片段，缓存待传输文件；

缓存后计算待传输文件的哈希值；

将哈希值与参考哈希值进行匹配；参考哈希值存储在预设病毒库中；

如果存在与哈希值相匹配的参考哈希值，则确认待传输文件为病毒文件。

在一种实现方式中，获取待传输文件的目标字节片段的步骤包括：

在待传输文件开始传输时，缓存目标字节片段；目标字节片段为待传输文件首个报文的前N个字节，N小于等于首个报文的总长度。

在一种实现方式中，获取网络设备间进行传输的传输文件的步骤包括：

获取网络设备传输数据流；

在传输数据流中，识别出在通过网络设备进行传输的待传输文件。

在一种实现方式中，缓存后计算待传输文件的哈希值的步骤前，方法还包括：

计算待传输文件的文件大小；

如果预设病毒库中存在与待传输文件的文件大小相匹配的预设病毒文件，则继续计算待传输文件的哈希值；

如果预设病毒库中不存在与待传输文件的文件大小相匹配的预设病毒文件，则确认待传输文件不是病毒文件。