计算机病毒检索方法、装置、计算机设备及存储介质与流程

1.本技术涉及网络安全技术领域，尤其涉及一种计算机病毒检索方法、装置、计算机设备及存储介质。


背景技术：

2.传统的根据计算机病毒的特征码检测法进行病毒检测，原理是将所有病毒的特征加以剖析，并将这些计算机病毒的特征码搜集起来，保存到一个病毒特征资料库中，检测时以扫描的方式将待检测文件与病毒库中的病毒特征码进行一一对比，如果发现相同的特征码，则可判定该文已遭病毒感染，然后进行威胁数据丰富化处理，即将该病毒特征码在威胁情报库中进行遍历检索，从而得到更为详细的病毒描述信息，最后输出威胁检出结果。
3.但在传统的根据计算机病毒的特征码进行威胁情报库检索的数据丰富化过程中，处理效率受威胁情报库数据量所影响。随着信息时代的飞速发展，病毒的种类、特征、行为等信息在大量增加，导致威胁情报库数据不断增加，体积也在不断增大，从而影响了计算机病毒在威胁情报库中的检索效率。


技术实现要素：

4.本技术实施例提供一种计算机病毒检索方法、装置、计算机设备及存储介质，用于提高计算机病毒的检索效率。
5.本发明实施例提供一种计算机病毒检索方法，所述方法包括：
6.建立检索中间层，并基于所述检索中间层判断威胁情报库中是否包含待检测文件的病毒情报信息。
7.在一个可选的实施例中，所述基于所述检索中间层判断威胁情报库中是否包含待检测文件的病毒情报信息，包括：
8.获取待检测文件的病毒特征码；
9.对所述待检测文件的病毒特征码进行多个随机映射函数的哈希计算，得到多个哈希下标；
10.根据多个哈希下标查找所述检索中间层中是否包含所述待检测文件的病毒特征码，以确定威胁情报库中是否包含所述待检测文件的病毒情报信息。
11.在一个可选的实施例中，所述根据多个哈希下标查找所述检索中间层中是否包含所述待检测文件的病毒特征码，以确定威胁情报库中是否包含所述待检测文件的病毒情报信息，包括：
12.获取多个哈希下标在检索中间层二进制位数组中对应的值；
13.若多个哈希下标对应值都为1，则确定所述威胁情报库中包含所述待检测文件的病毒情报信息；
14.若多个哈希下标对应值中有0，则确定所述威胁情报库中不包含所述待检测文件的病毒情报信息。
15.在一个可选的实施例中，所述建立检索中间层，包括：
16.初始化一个二进制位数组，各索引位置的值初始为0；
17.对多个已知病毒的病毒特征码分别进行多个随机映射函数的哈希计算，得到已知病毒的病毒特征码分别对应的多个哈希下标；
18.将多个已知病毒的病毒特征码分别对应的多个哈希下标在二进制位数组对应索引位置的值设置为1。
19.在一个可选的实施例中，所述方法还包括：
20.若判定威胁情报库中包含所述待检测文件的病毒情报信息，则从威胁情报库中检索所述待检测文件的病毒特征码对应的病毒详细描述信息；
21.若判定威胁情报库中不包含所述待检测文件的病毒情报信息，则过滤掉所述待检测文件的病毒检索。
22.在一个可选的实施例中，所述方法还包括：
23.当威胁情报库新增的已知病毒超过预置数值，判断新增的已知病毒是否在当前检索中间层可容纳存储范围之内；
24.若新增的已知病毒在当前检索中间层可容纳存储范围之内，则对新增的已知病毒进行检索中间层原有的所述多个随机映射函数的哈希计算，得到新增的已知病毒的病毒特征码分别对应的多个哈希下标；
25.将新增的已知病毒的病毒特征码分别对应的多个哈希下标的对应索引位置设置为1，若对应索引位置的值已为1则略过；若对应索引位置的值为0则将其值置为1，得到更新了新增的已知病毒的病毒特征码对应的二进制位数组；
26.将更新后的二进制位数组与原有的所述多个随机映射函数组成更新后的检索中间层。
27.在一个可选的实施例中，所述方法还包括：
28.若新增的已知病毒不在当前检索中间层可容纳存储范围之内，当前检索中间层二进制位数组已不满足存储需求，则根据新增后的已知病毒的数量重新确定二进制位数组的位数及随机映射函数的数量，重新建立检索中间层。
29.本发明实施例提供一种计算机病毒检索装置，所述装置包括：
30.建立模块，用于建立检索中间层；
31.判断模块，用于基于所述检索中间层判断威胁情报库中是否包含待检测文件的病毒情报信息。
32.在一个可选的实施例中，判断模块，具体包括：
33.获取单元，用于获取待检测文件的病毒特征码；
34.计算单元，用于对所述待检测文件的病毒特征码进行多个随机映射函数的哈希计算，得到多个哈希下标；
35.确定单元，用于根据多个哈希下标查找所述检索中间层中是否包含所述待检测文件的病毒特征码，以确定威胁情报库中是否包含所述待检测文件的病毒情报信息。
36.在一个可选的实施例中，确定单元，具体用于：
37.获取多个哈希下标在检索中间层二进制位数组中对应的值；
38.若多个哈希下标对应值都为1，则确定所述威胁情报库中包含所述待检测文件的
病毒情报信息；
39.若多个哈希下标对应值中有0，则确定所述威胁情报库中不包含所述待检测文件的病毒情报信息。
40.在一个可选的实施例中，所述建立模块，具体用于：
41.初始化一个二进制位数组，各索引位置的值初始为0；
42.对多个已知病毒的病毒特征码分别进行多个随机映射函数的哈希计算，得到已知病毒的病毒特征码分别对应的多个哈希下标；
43.将多个已知病毒的病毒特征码分别对应的多个哈希下标在二进制位数组对应索引位置的值设置为1。
44.在一个可选的实施例中，所示装置还包括：
45.检索模块，用于若判定威胁情报库中包含所述待检测文件的病毒情报信息，则从威胁情报库中检索所述待检测文件的病毒特征码对应的病毒详细描述信息；
46.过滤模块，用于若判定威胁情报库中不包含所述待检测文件的病毒情报信息，则过滤掉所述待检测文件的病毒检索。
47.在一个可选的实施例中，当威胁情报库新增的已知病毒超过预置数值，判断新增的已知病毒是否在当前检索中间层可容纳存储范围之内；
48.若新增的已知病毒在当前检索中间层可容纳存储范围之内，则对新增的已知病毒进行检索中间层原有的所述多个随机映射函数的哈希计算，得到新增的已知病毒的病毒特征码分别对应的多个哈希下标；
49.将新增的已知病毒的病毒特征码分别对应的多个哈希下标的对应索引位置设置为1，若对应索引位置的值已为1则略过；若对应索引位置的值为0则将其值置为1，得到更新了新增的已知病毒的病毒特征码对应的二进制位数组；
50.将更新后的二进制位数组与原有的所述多个随机映射函数组成更新后的检索中间层。
51.若新增的已知病毒不在当前检索中间层可容纳存储范围之内，当前检索中间层二进制位数组已不满足存储需求，则根据新增后的已知病毒的数量重新确定二进制位数组的位数及随机映射函数的数量，重新建立检索中间层。
52.一种计算机设备，包括存储器、处理器以及存储在所述存储器中并可在所述处理器上运行的计算机程序，所述处理器执行所述计算机程序时实现上述计算机病毒检索方法。
53.一种计算机可读存储介质，所述计算机可读存储介质存储有计算机程序，所述计算机程序被处理器执行时实现上述计算机病毒检索方法。
54.一种计算机程序产品，所述计算机程序产品包括计算机程序，所述计算机程序被处理器执行时实现上述的计算机病毒检索方法。
55.本发明提供一种计算机病毒检索方法、装置、计算机设备及存储介质，建立检索中间层，并基于所述检索中间层判断威胁情报库中是否包含待检测文件的病毒情报信息。即本发明在病毒特征码与威胁情报库中间设计了检索中间层，可实现对待检测文件的病毒情报信息是否存在威胁情报库中的快速判断，达到大幅度提高病毒检测过程中关于威胁数据的检索效率。
附图说明
56.图1为本技术提供的一种计算机病毒检索方法流程图；
57.图2为本技术提供的判断威胁情报库中是否包含待检测文件的流程图；
58.图3为本技术提供的二进制位数组设置示意图；
59.图4为本技术提供的另一种计算机病毒检索方法流程图；
60.图5为本技术提供的计算机病毒检索装置的结构示意图。
61.图6为本技术提供的计算机设备的一示意图。
具体实施方式
62.为了更好的理解上述技术方案，下面通过附图以及具体实施例对本技术实施例的技术方案做详细的说明，应当理解本技术实施例以及实施例中的具体特征是对本技术实施例技术方案的详细的说明，而不是对本技术技术方案的限定，在不冲突的情况下，本技术实施例以及实施例中的技术特征可以相互组合。
63.请参阅图1，为本发明实施例提供的一种计算机病毒检索方法，该方法具体包括步骤s10-步骤s20：
64.s10，建立检索中间层。
65.其中，检索中间层由一个很长的二进制位数组和一系列的随机映射函数(无偏hash函数)两部分组成的数据结构。二进制位数组用于存储数据病毒特征码哈希处理过后的哈希值对应下标值，随机映射函数用于将样本数据进行哈希运算生成较为均匀的哈希值，使得计算后的哈希值对应下标可以均匀的映射到二进制位数组中。
66.具体的，建立检索中间层包括：初始化一个二进制位数组，各索引位置的值初始为0；对多个已知病毒的病毒特征码分别进行多个随机映射函数的哈希计算，得到已知病毒的病毒特征码分别对应的多个哈希下标；将多个已知病毒的病毒特征码分别对应的多个哈希下标在二进制位数组对应索引位置的值设置为1。其中，所述二进制位数组的位数、所述随机映射函数的数量与所述威胁情报库存中病毒情报信息是否的存在状态的判定准确率成正比。
67.例如，01010101110101101为病毒特征码，那经过哈希随机映射函数处理之后就得到了15的下标，那就将这个病毒特征码存到了检索中间层的二进制位数组的15号索引的位置上上设置为1。
68.s20，基于所述检索中间层判断威胁情报库中是否包含待检测文件的病毒情报信息。
69.在本实施例中，具体可以通过计算待检测文件的病毒特征码对应的多个随机映射函数的哈希值，然后根据哈希值查询二进制位数组对应位置的数值，若对应位置的数值均为1，则确定威胁情报库中包含待检测文件的病毒情报信息，即根据检测出的病毒特征码在威胁情报库中检索出更为详细的病毒描述信息的数据处理流程。其中，威胁情报库存的是很多病毒的详细信息，如：病毒所属家族，病毒行为等等。
70.如图2所示，在本发明提供的可选的实施例中，所述基于所述检索中间层判断威胁情报库中是否包含待检测文件的病毒情报信息，包括：
71.s201，获取待检测文件的病毒特征码。
72.其中，病毒特征码是从病毒体内不同位置提取的该病毒特有的二进制序列。具体的，本实施例可通过病毒特征库确定待检测文件是否为病毒文件，若待检测文件为病毒文件，则获取待检测文件的病毒特征码。
73.s202，对所述待检测文件的病毒特征码进行多个随机映射函数的哈希计算，得到多个哈希下标。
74.如图3所示，为对待检测文件的病毒特征码(对应图中的元素值)进行的多个随机映射函数的哈希计算。即对待检测文件的病毒特征码进行3个随机映射函数的哈希计算，第1个随机映射函数计算的哈希值(哈希下标)为0；第2个随机映射函数计算的哈希值(哈希下标)为3；第3个随机映射函数计算的哈希值(哈希下标)为8。
75.s203，根据多个哈希下标查找所述检索中间层中是否包含所述待检测文件的病毒特征码，以确定威胁情报库中是否包含所述待检测文件的病毒情报信息。
76.在本发明提供的一个可选实施例中，所述根据多个哈希下标查找所述检索中间层中是否包含所述待检测文件的病毒特征码，以确定威胁情报库中是否包含所述待检测文件的病毒情报信息，包括：获取多个哈希下标在检索中间层二进制位数组中对应的值；若多个哈希下标对应值都为1，则确定威胁情报库中包含所述待检测文件的病毒情报信息；若多个哈希下标对应值中有0，则确定威胁情报库中不包含所述待检测文件的病毒情报信息。
77.例如，有3个随机映射函数a、b、c，那首先将病毒特征码01010101110101101，分别经过随机映射函数a、b、c来计算一下，得到的下标分别为5，10，13。那此时这个二进制位数组的第5、10、13位索引位置的值就都置为1。换句话说就可以通过5、10、13来表示01010101110101101的存在了。等检索的时候读到01010101110101101这个特征码时，将该特征码经过函数a、b、c的计算后得到5，10，13。拿着5、10、13去布隆过滤器二进制位数组中去查询结果都为1，则证明01010101110101101存在。如果换了别的病毒特征码110101111经过a、b、c后得到的是3，5，10，那去检索中间层二进制位数组中去查询结果为0，1，1，则证明病毒特征码110101111不存在。
78.例如，把“病毒特征码1”通过随机映射函数的哈希计算得到哈希下标是5，则将二进制位数组的5号索引位置的值置为1。把“病毒特征码2”通过随机映射函数的哈希计算得到哈希下标是1，则将二进制位数组的1号索引位置的值置为1。那此时检索中间层的二进制位数组就是0100010000000000000000000000
……
。当在获取到“病毒特征码1”时，进行随机映射函数运算后得到下标肯定还是5，那去二进制位数组的5号索引位置查一下对应的值是1，则证明“病毒特征码1”存在，“病毒特征码2”同理。
79.在本实施例中，使用多个随机映射函数进行哈希计算得到多个哈希下标是为了提高病毒特征码的检索准确率。例如，“病毒特征码3”通过随机映射函数计算得到下标也是5，去二进制位数组查找到5的位置也是1，那证明“病毒特征码3”也存在(但在建立布隆过滤器的时候并没有存“病毒特征码3”)，这就造成了误判。因此本发明实施例使用多个随机映射函数进行哈希计算。
80.例如，“病毒特征码1”通过多个随机映射函数计算之后得到下标是5，8，“病毒特征码2”通过多个随机映射函数计算之后得到下标是1，2，那此时二进制位数组就是011001001000000000000000000
……
。因为这次布隆过滤器由2个随机映射函数组成，如果再判断“病毒特征码3”，则得到的是5，7。那查找二进制位数组的5，7位置发现，索引5索引7
的位置分别是1和0，不都为1。所以就说明病毒特征码3不存在。这样就降低了误判的记录。
81.在发明提供的一个可选实施例中，当威胁情报库新增的已知病毒超过预置数值，判断新增的已知病毒是否在当前检索中间层可容纳存储范围之内；若新增的已知病毒在当前检索中间层可容纳存储范围之内，则对新增的已知病毒进行检索中间层原有的所述多个随机映射函数的哈希计算，得到新增的已知病毒的病毒特征码分别对应的多个哈希下标；将新增的已知病毒的病毒特征码分别对应的多个哈希下标的对应索引位置设置为1，若对应索引位置的值已为1则略过；若对应索引位置的值为0则将其值置为1，得到更新了新增的已知病毒的病毒特征码对应的二进制位数组；将更新后的二进制位数组与原有的所述多个随机映射函数组成更新后的检索中间层。
82.若新增的已知病毒不在当前检索中间层可容纳存储范围之内，当前检索中间层二进制位数组已不满足存储需求，则根据新增后的已知病毒的数量重新确定二进制位数组的位数及随机映射函数的数量，重新建立检索中间层。
83.例如，威胁情报库中有病毒特征码1和病毒特征码2的详细信息，然后建立检索中间层，“病毒特征码1”多个随机映射函数运算之后得到下标是5，8，“病毒特征码2”多个随机映射函数之后得到1，2，此时二进制位数组就是011001001000000000000000000
……
。此时检索中间层已经完成了，用了一段时间之后，若想在这里面加个“病毒特征码3”，首先将“病毒特征码3的”详细信息加到威胁情报库，然后再将其加入到检索中间层，那“病毒特征码3”用之前的两个随机映射函数计算过后，得到5，7。那去二进制位数组中查一下，发现索引5的值已经是1了，就不用管了，然后索引7的值从0置为1。此时完成了“病毒特征码3”的添加操作。二进制位数组变成了011001011000000000000000000
……
。当再获取到“病毒特征码3”的时候经过两个函数计算肯定还是5、7。那去二进制位数组中查询发现索引5、7位置的值都是1，则证明“病毒特征码3”存在威胁情报库中。
84.在本发明实施例中，将当前威胁情报库中所有的病毒特征码取出，逐一进行布隆过滤器的随机映射函数(无偏hash函数)运算，将得到的哈希值对应哈希下标，存入到布隆过滤器的二进制位数组的对应位置中，形成基于布隆过滤器的病毒库检索中间层。之后再进行病毒检测数据处理丰富化流程中根据病毒特征码检索威胁情报库之前，会经过布隆过滤器检索中间层的判断，从而得知该特征码是否存在于威胁情报库中，若存在，则进行检索得出此病毒的详细描述信息，若不存在，则过滤掉该特征码在情报库中的检索操作。
85.本实施例在病毒特征码与威胁情报库中间，利用布隆过滤器的特性设计了检索中间层，该检索中间层存储了某病毒特征值在威胁情报库中是否存在的状态，可实现快速判断出某病毒特征值是否存在于威胁情报库中，过滤掉对威胁情报库中不存在的病毒特征码的检索操作，可大幅度提高病毒检测中关于威胁数据丰富化处理阶段的效率。
86.本发明提供一种计算机病毒检索方法，首先建立检索中间层，然后基于所述检索中间层判断威胁情报库中是否包含待检测文件的病毒情报信息。即本发明在病毒特征码与威胁情报库中间设计了检索中间层，可实现对待检测文件的病毒情报信息是否存在威胁情报库中的快速判断，达到大幅度提高病毒检测过程中关于威胁数据的检索效率。
87.进一步的如图4所示，在基于所述检索中间层判断威胁情报库中是否包含待检测文件的病毒情报信息之后，本方法还包括：
88.步骤s30，若判定威胁情报库中包含所述待检测文件的病毒情报信息，则从威胁情
报库中检索所述待检测文件的病毒特征码对应的病毒详细描述信息。
89.步骤s40，若判定威胁情报库中不包含所述待检测文件的病毒情报信息，则过滤掉所述待检测文件的病毒检索。
90.在传统方案中，所有扫描出的病毒在进行数据丰富化处理时，都会根据病毒特征码进行威胁情报库的检索操作，但在进入检索流程之前，是不知道该病毒特征码是否存在威胁情报库中的，每个病毒特征码都会遍历一遍威胁情报库，因此造成了数据丰富化处理效率低下以及计算资源浪费的问题。而本发明实施例通过建立检索中间层，该病毒特征码存储了病毒特征值在病毒特征码中是否存在的状态，因此可提前判断出该病毒特征值在威胁情报库中的存在情况，即通过检索中间层和所述待检测文件的病毒特征码，确定威胁情报库中是否包含待检测文件的病毒情报信息，以此过滤掉那些不在情报库中的病毒特征值的检索操作，从而达到提高数据丰富化处理效率的目的。
91.本发明提供一种计算机病毒检索方法，获取待检测文件的病毒特征码；通过检索中间层和所述待检测文件的病毒特征码，确定威胁情报库中是否包含所述待检测文件的病毒情报信息；若判定威胁情报库中包含所述待检测文件的病毒情报信息，则从威胁情报库中检索所述待检测文件的病毒特征码对应的病毒详细描述信息；若判定威胁情报库中不包含所述待检测文件的病毒情报信息，则过滤掉所述待检测文件的病毒检索。即本发明利用布隆过滤器的特性，在病毒特征码与威胁情报库中间，设计了检索中间层，可以实现对病毒特征码是否存在威胁情报库中的快速判断，通过过滤掉不在威胁情报库中的病毒特征码的检索操作，达到大幅度提高病毒检测过程中关于威胁数据的检索效率。
92.应理解，上述实施例中各步骤的序号的大小并不意味着执行顺序的先后，各过程的执行顺序应以其功能和内在逻辑确定，而不应对本发明实施例的实施过程构成任何限定。
93.在一实施例中，提供一种计算机病毒检索装置，该计算机病毒检索装置与上述实施例中计算机病毒检索方法一一对应。如图5所示，所述计算机病毒检索装置各功能模块详细说明如下：
94.建立模块51，用于建立检索中间层；
95.判断模块52，用于基于所述检索中间层判断威胁情报库中是否包含待检测文件的病毒情报信息。
96.在一个可选的实施例中，判断模块52，具体包括：
97.获取单元，用于获取待检测文件的病毒特征码；
98.计算单元，用于对所述待检测文件的病毒特征码进行多个随机映射函数的哈希计算，得到多个哈希下标；
99.确定单元，用于根据多个哈希下标查找所述检索中间层中是否包含所述待检测文件的病毒特征码，以确定威胁情报库中是否包含所述待检测文件的病毒情报信息。
100.在一个可选的实施例中，确定单元，具体用于：
101.获取多个哈希下标在检索中间层二进制位数组中对应的值；
102.若多个哈希下标对应值都为1，则确定所述威胁情报库中包含所述待检测文件的病毒情报信息；
103.若多个哈希下标对应值中有0，则确定所述威胁情报库中不包含所述待检测文件
的病毒情报信息。
104.在一个可选的实施例中，所述建立模块51，具体用于：
105.初始化一个二进制位数组，各索引位置的值初始为0；
106.对多个已知病毒的病毒特征码分别进行多个随机映射函数的哈希计算，得到已知病毒的病毒特征码分别对应的多个哈希下标；
107.将多个已知病毒的病毒特征码分别对应的多个哈希下标在二进制位数组对应索引位置的值设置为1。
108.在一个可选的实施例中，所示装置还包括：
109.检索模块53，用于若判定威胁情报库中包含所述待检测文件的病毒情报信息，则从威胁情报库中检索所述待检测文件的病毒特征码对应的病毒详细描述信息；
110.过滤模块54，用于若判定威胁情报库中不包含所述待检测文件的病毒情报信息，则过滤掉所述待检测文件的病毒检索。
111.在一个可选的实施例中，当威胁情报库新增的已知病毒超过预置数值，判断新增的已知病毒是否在当前检索中间层可容纳存储范围之内；
112.若新增的已知病毒在当前检索中间层可容纳存储范围之内，则对新增的已知病毒进行检索中间层原有的所述多个随机映射函数的哈希计算，得到新增的已知病毒的病毒特征码分别对应的多个哈希下标；
113.将新增的已知病毒的病毒特征码分别对应的多个哈希下标的对应索引位置设置为1，若对应索引位置的值已为1则略过；若对应索引位置的值为0则将其值置为1，得到更新了新增的已知病毒的病毒特征码对应的二进制位数组；
114.将更新后的二进制位数组与原有的所述多个随机映射函数组成更新后的检索中间层。
115.若新增的已知病毒不在当前检索中间层可容纳存储范围之内，当前检索中间层二进制位数组已不满足存储需求，则根据新增后的已知病毒的数量重新确定二进制位数组的位数及随机映射函数的数量，重新建立检索中间层。
116.关于计算机病毒检索装置的具体限定可以参见上文中对于计算机病毒检索方法的限定，在此不再赘述。上述设备中的各个模块可全部或部分通过软件、硬件及其组合来实现。上述各模块可以硬件形式内嵌于或独立于计算机设备中的处理器中，也可以以软件形式存储于计算机设备中的存储器中，以便于处理器调用执行以上各个模块对应的操作。
117.在一个实施例中，提供了一种计算机设备，该计算机设备可以是服务器，其内部结构图可以如图6所示。该计算机设备包括通过系统总线连接的处理器、存储器、网络接口和数据库。其中，该计算机设备的处理器用于提供计算和控制能力。该计算机设备的存储器包括非易失性存储介质、内存储器。该非易失性存储介质存储有操作系统、计算机程序和数据库。该内存储器为非易失性存储介质中的操作系统和计算机程序的运行提供环境。该计算机设备的网络接口用于与外部的终端通过网络连接通信。该计算机程序被处理器执行时以实现一种计算机病毒检索方法。
118.在一个实施例中，提供了一种计算机设备，包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序，处理器执行计算机程序时实现以下步骤：
119.建立检索中间层，并基于所述检索中间层判断威胁情报库中是否包含待检测文件
的病毒情报信息。
120.在一个实施例中，提供了一种计算机可读存储介质，其上存储有计算机程序，计算机程序被处理器执行时实现以下步骤：
121.建立检索中间层，并基于所述检索中间层判断威胁情报库中是否包含待检测文件的病毒情报信息。
122.在一个实施例中，提供了一种计算机程序产品，所述计算机程序产品包括计算机程序，计算机程序被处理器执行实现以下步骤：
123.建立检索中间层，并基于所述检索中间层判断威胁情报库中是否包含待检测文件的病毒情报信息。
124.本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程，是可以通过计算机程序来指令相关的硬件来完成，所述的计算机程序可存储于一非易失性计算机可读取存储介质中，该计算机程序在执行时，可包括如上述各方法的实施例的流程。其中，本技术所提供的各实施例中所使用的对存储器、存储、数据库或其它介质的任何引用，均可包括非易失性和/或易失性存储器。非易失性存储器可包括只读存储器(rom)、可编程rom(prom)、电可编程rom(eprom)、电可擦除可编程rom(eeprom)或闪存。易失性存储器可包括随机存取存储器(ram)或者外部高速缓冲存储器。作为说明而非局限，ram以多种形式可得，诸如静态ram(sram)、动态ram(dram)、同步dram(sdram)、双数据率sdram(ddrsdram)、增强型sdram(esdram)、同步链路(synchlink)dram(sldram)、存储器总线(rambus)直接ram(rdram)、直接存储器总线动态ram(drdram)、以及存储器总线动态ram(rdram)等。
125.所属领域的技术人员可以清楚地了解到，为了描述的方便和简洁，仅以上述各功能单元、模块的划分进行举例说明，实际应用中，可以根据需要而将上述功能分配由不同的功能单元、模块完成，即将所述装置的内部结构划分成不同的功能单元或模块，以完成以上描述的全部或者部分功能。
126.以上实施例仅用以说明本发明的技术方案，而非对其限制；尽管参照前述实施例对本发明进行了详细的说明，本领域的普通技术人员应当理解：其依然可以对前述各实施例所记载的技术方案进行修改，或者对其中部分技术特征进行等同替换；而这些修改或者替换，并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围，均应包含在本发明的保护范围之内。