本申请涉及信息安全领域,特别涉及一种病毒检测方法及装置。
背景技术:
::网络攻击随着网络的发展变得越来越严重,网络攻击通常会携带破坏数据和网络业务的病毒。常见的病毒检测方法是根据预设的校验值算法对目标文件进行计算,得到校验数据,然后将该校验数据写入目标文件。当需要使用该目标文件时,先根据预设的校验值算法计算得到校验数据,将该校验数据与该目标文件携带的校验数据进行验证,如果验证通过,则该目标文件未携带病毒;否则说明该目标文件已被病毒感染。然而,目标文件发生任何变动都会被判定为受病毒感染,而有些目标文件经常会发生正常的变动,在这种情况下,会造成错误的判断。技术实现要素:有鉴于此,本申请提供一种病毒检测方法及装置,用于解决相关技术在病毒检测时做出错误的判断的问题。具体地,本申请是通过如下技术方案实现的:一种病毒检测方法,应用于安全设备,所述安全设备连接于文件服务端,包括:接收所述文件服务端下发至用户的目标文件;其中,所述目标文件包括免检字段,以及基于所述免检字段以外的非免检字段计算出的第一校验值;基于所述目标文件中的所述非免检字段计算第二校验值;比较所述第一校验值和所述第二校验值是否一致,如果是,确定所述目标文件没有感染病毒;如果不一致,确定所述目标文件已感染病毒。在所述病毒检测方法中,还包括:接收管理员上传的所述目标文件,确定管理员指定的所述目标文件中的免检字段;以及,读取所述目标文件的类型标识,将所述类型标识在本地预配置的免检特征库中进行匹配,获得对应于所述目标文件中的免检字段。在所述病毒检测方法中,还包括:基于所述免检字段确定所述目标文件中的非免检字段;根据预设的校验值算法,针对所述目标文件中的非免检字段进行校验值计算,得到所述第一校验值;将所述第一校验值添加到所述目标文件中,并向所述文件服务端上传所述目标文件。在所述病毒检测方法中,还包括:确定出所述目标文件的所述免检字段后,在本地保存所述目标文件的类型标识与所述免检字段的映射关系。在所述病毒检测方法中,所述基于所述目标文件中的所述非免检字段计算第二校验值,包括:读取所述目标文件的类型标识,确定所述目标文件的文件类型;根据所述目标文件的类型标识,查找已保存的所述映射关系,确定所述目标文件中的免检字段;基于所述免检字段进一步确定所述目标文件中的非免检字段;根据预设的校验值算法,针对所述目标文件中的非免检字段进行校验值计算,得到所述第二校验值。一种病毒检测装置,应用于安全设备,所述安全设备连接于文件服务端,包括:接收单元,用于接收所述文件服务端下发至用户的目标文件;其中,所述目标文件包括免检字段,以及基于所述免检字段以外的非免检字段计算出的第一校验值;计算单元,用于基于所述目标文件中的所述非免检字段计算第二校验值;确定单元,用于比较所述第一校验值和所述第二校验值是否一致,如果是,确定所述目标文件没有感染病毒;如果不一致,确定所述目标文件已感染病毒。在所述病毒检测装置中,还包括:所述接收单元,进一步用于接收管理员上传的所述目标文件,确定管理员指定的所述目标文件中的免检字段;以及,读取所述目标文件的类型标识,将所述类型标识在本地预配置的免检特征库中进行匹配,获得对应于所述目标文件中的免检字段。在所述病毒检测装置中,还包括:所述确定单元,进一步用于基于所述免检字段确定所述目标文件中的非免检字段;所述计算单元,进一步用于根据预设的校验值算法,针对所述目标文件中的非免检字段进行校验值计算,得到所述第一校验值;上传单元,用于将所述第一校验值添加到所述目标文件中,并向所述文件服务端上传所述目标文件。在所述病毒检测装置中,还包括:保存单元,用于确定出所述目标文件的所述免检字段后,在本地保存所述目标文件的类型标识与所述免检字段的映射关系。在所述病毒检测装置中,所述计算单元,进一步用于:读取所述目标文件的类型标识,确定所述目标文件的文件类型;根据所述目标文件的类型标识,查找已保存的所述映射关系,确定所述目标文件中的免检字段;基于所述免检字段进一步确定所述目标文件中的非免检字段;根据预设的校验值算法,针对所述目标文件中的非免检字段进行校验值计算,得到所述第二校验值。在本申请实施例中,安全设备接收文件服务端下发至用户的目标文件,其中,所述目标文件包括免检字段,以及基于所述免检字段以外的非免检字段计算出的第一校验值,基于所述目标文件中的所述非免检字段计算第二校验值,然后比较所述第一校验值和所述第二校验值是否一致,如果是,确定所述目标文件没有感染病毒,如果不一致,则确定所述目标文件已感染病毒。由于在本申请中,将所述目标文件中不会被病毒感染的免检字段和可能被病毒感染的非免检字段区分开来,在计算校验数据时,只计算非免检字段;因此,如果免检字段发生变化,对判断所述目标文件是否被病毒感染无影响,有效降低了在病毒检测时做出错误判断的几率。附图说明图1是本申请示出的一种病毒检测方法的流程图;图2是本申请示出的一种病毒检测方法的示意图;图3是本申请示出的一种病毒检测装置的实施例框图;图4是本申请示出的一种病毒检测装置的硬件结构图。具体实施方式为了使本
技术领域:
:的人员更好地理解本发明实施例中的技术方案,并使本发明实施例的上述目的、特征和优点能够更加明显易懂,下面结合附图对现有技术方案和本发明实施例中的技术方案作进一步详细的说明。在相关技术中,安全设备在对目标文件进行病毒防护时,需根据预设的校验值算法对该目标文件进行校验值计算,获得第一校验值,然后将该第一校验值写入上述目标文件。当需要使用上述目标文件时,重新根据预设的校验值算法对上述目标文件进行校验值计算,获得第二校验值。安全设备通过比较上述第一校验值和上述第二校验值,确定上述目标文件是否感染病毒。上述方案的缺陷在于,目标文件发生任何变动都会被安全设备判定为感染病毒。而实际应用中,目标文件即使没有感染病毒,也可能发生正常变动。例如,目标文件的名称和与时间相关的内容可能发生改变。在这种情况下,安全设备在对目标文件检测病毒时,会做出错误的判断。有鉴于此,本申请实施例的技术方案,将目标文件预先划分出免检字段和非免检字段,其中,免检字段指的是不会感染病毒的字段,安全设备在计算校验值时可以跳过免检字段,仅选择非免检字段进行计算。因此,当免检字段发生改变时,不会对安全设备对目标文件检测病毒造成影响,降低了在病毒检测时做出错误判断的几率。参见图1,为本申请示出的一种病毒检测方法的流程图,该方法的执行主体是安全设备,该安全设备连接于文件服务端;所述方法包括以下步骤:步骤101:接收所述文件服务端下发至用户的目标文件;其中,所述目标文件包括免检字段,以及基于所述免检字段以外的非免检字段计算出的第一校验值。步骤102:基于所述目标文件中的所述非免检字段计算第二校验值。步骤103:比较所述第一校验值和所述第二校验值是否一致,如果是,确定所述目标文件没有感染病毒;如果不一致,确定所述目标文件已感染病毒。上述安全设备,包括对文件服务端的文件进行病毒防护的设备,例如IPS(IntrusionPreventionSystem,入侵防御系统)设备和WAF(WebApplicationFirewall,网站应用级入侵防御系统)设备。上述文件服务端,包括保存文件的网站的服务器或服务器集群。参见图2,为本申请示出的一种病毒检测方法的示意图。如图2所示,安全设备处于文件服务端与网络连接的路由上,因此,管理员上传目标文件和用户下载目标文件时,目标文件都会经过安全设备,以由安全设备对该目标文件进行相应的处理,完成病毒检测。其中,免检字段,包括各类型文件中可以被任意修改也不会被病毒感染的字段,例如:exe(executableprogram,可执行程序)文件的PE(PortableExecutable,可移植的可执行文件)头结构中的数据。免检字段的来源由两部分构成:一是管理员在将目标文件上传时,可以指定目标文件中的免检字段;二是安全设备根据本地预配置的免检特征库进行匹配,获得目标文件中的免检字段。其中,免检特征库内存在大量常见文件的免检字段,例如:doc、excel文件管理结构文本的文本内容字段。而非免检字段就是各类型文件中除了免检字段以外的其它字段,非免检字段的数据可能会被修改并感染病毒。在本申请实施例中,当管理员向文件服务端上传目标文件时,安全设备会接收到该目标文件。安全设备接收到该目标文件后,可以根据管理员的操作确定上述目标文件的免检字段;此外,安全设备可以读取该目标文件的类型标识,然后将该类型标识在本地预配置的免检特征库中进行匹配,获得对应于上述目标文件的免检字段。其中,上述免检特征库中存在大量常见的文件的类型标识与免检字段的映射关系。如果管理员预先未指定上述目标文件中的免检字段,则安全设备确定的上述目标文件中的免检字段是在免检特征库中匹配到的免检字段;如果管理员预先指定了上述目标文件中的免检字段,则安全设备确定的上述目标文件中的免检字段是管理员预先指定的免检字段与在免检特征库中匹配到的免检字段的集合。在本申请实施例中,安全设备确定出上述目标文件中的免检字段后,可以保存该目标文件的类型标识与上述免检字段的映射关系,该映射关系用于在后续检测病毒时,确定该目标文件的免检字段和非免检字段,然后基于非免检字段计算校验值。在本申请实施例中,安全设备确定上述目标文件中的免检字段后,根据免检字段确定上述目标文件中的非免检字段,然后可以基于预设的校验值算法,针对上述非免检字段进行校验值计算,得到第一校验值。其中,预设的校验值算法可以包括MD5(MessageDigestAlgorithmMD5,消息摘要算法)、RSA加密算法和用户自定义算法等。安全设备计算出上述第一校验值后,可以将该第一校验值添加到上述目标文件中,并向上述文件服务端上传上述目标文件。在本申请实施例中,安全设备将上述目标文件上传至上述文件服务端后,用户可以从上述文件服务端获取上述目标文件。当用户需要上述目标文件时,可以向上述文件服务端发送下载请求,上述文件服务端接收到下载请求后,向用户下发上述目标文件。安全设备接收上述文件服务端下发至用户的目标文件后,可以通过计算该目标文件中的非免检字段,检测该目标文件是否感染病毒。在示出的一种实施方式中,安全设备可以读取上述目标文件的类型标识,确定该目标文件的文件类型。安全设备获得上述目标文件的类型标识后,可以根据该目标文件的类型标识,查找已保存的类型标识与免检字段的映射关系,确定该目标文件的免检字段,进而确定该目标文件的非免检字段。安全设备确定上述目标文件的非免检字段后,可以根据预设的校验值算法,针对该非免检字段进行校验值计算,得到第二校验值。其中,预设的校验值算法为安全设备在从接收到管理员上传的目标文件时,为目标文件计算上述第一校验值所采用的算法。在本申请实施例中,安全设备计算得到上述第二校验值后,可以比较上述第二校验值与上述第一校验值是否一致。在正常情况下,上述目标文件的非免检字段在文件服务端上保存时不会有变化,此时,上述第一校验值与上述第二校验值相同。当上述目标文件在文件服务端被病毒感染时,该目标文件的非免检字段会发生变化,此时,安全设备根据变化后的非免检字段计算出的上述第二校验值与上述第一校验值不同。可见,在比较完成后,如果上述第一校验值与上述第二校验值一致,则可以确定上述目标文件没有感染病毒,在这种情况下,安全设备可以将上述目标文件下发至用户;如果上述第一校验值与上述第二校验值不一致,则可以确定上述目标文件已经感染病毒,在这种情况下,安全设备可以禁止用户下载该目标文件。综上所述,在本申请实施例中,安全设备在接收到管理员上传的目标文件后,通过管理员指定以及根据该目标文件的类型标识在免检特征库中匹配的方式,确定该目标文件的免检字段,并进而确定该目标文件的非免检字段。安全设备基于非免检字段计算得到第一校验值,然后将第一校验值写入上述目标文件,并将上述目标文件上传至文件服务端。当用户从文件服务端下载上述目标文件时,文件服务端向用户下发上述目标文件。安全设备接收到上述目标文件后,基于非免检字段计算获得第二校验值,然后比较上述第一校验值与上述第二校验值是否一致,如果是,确定上述目标文件没有感染病毒;如果不一致,则确定上述目标文件已感染病毒。由于本申请实施例的技术方案,将目标文件中不会被病毒感染的免检字段和可能被病毒感染的非免检字段区分开来,在计算校验数据时,只计算非免检字段;因此,如果免检字段发生变化,对判断所述目标文件是否被病毒感染无影响,有效降低了在病毒检测时做出错误判断的几率,解决了相关技术在病毒检测是做出错误的判断的问题。与本申请病毒检测方法的实施例相对应,本申请还提供了用于执行上述方法实施例的装置的实施例。参见图3,为本申请病毒检测装置的一个实施例框图:如图3所述,该病毒检测装置30包括:接收单元310,用于接收所述文件服务端下发至用户的目标文件;其中,所述目标文件包括免检字段,以及基于所述免检字段以外的非免检字段计算出的第一校验值。计算单元320,用于基于所述目标文件中的所述非免检字段计算第二校验值。确定单元330,用于比较所述第一校验值和所述第二校验值是否一致,如果是,确定所述目标文件没有感染病毒;如果不一致,确定所述目标文件已感染病毒。在本例中,所述装置还包括:所述接收单元310,进一步用于接收管理员上传的所述目标文件,确定管理员指定的所述目标文件中的免检字段;以及,读取所述目标文件的类型标识,将所述类型标识在本地预配置的免检特征库中进行匹配,获得对应于所述目标文件中的免检字段。在本例中,所述装置还包括:所述确定单元330,进一步用于基于所述免检字段确定所述目标文件中的非免检字段。所述计算单元320,进一步用于根据预设的校验值算法,针对所述目标文件中非免检字段进行校验值计算,得到所述第一校验值。上传单元340,用于将所述第一校验值添加到所述目标文件中,并向所述文件服务端上传所述目标文件。在本例中,所述装置还包括:保存单元350,用于确定出所述目标文件的所述免检字段后,在本地保存所述目标文件的类型标识与所述免检字段的映射关系。在本例中,所述计算单元320,进一步用于:读取所述目标文件的类型标识,确定所述目标文件的文件类型;根据所述目标文件的类型标识,查找已保存的所述映射关系,确定所述目标文件中的免检字段;基于所述免检字段进一步确定所述目标文件中的非免检字段;根据预设的校验值算法,针对所述目标文件中的非免检字段进行校验值计算,得到所述第二校验值。本申请病毒检测装置的实施例可以应用在安全设备上。装置实施例可以通过软件实现,也可以通过硬件或者软硬件结合的方式实现。以软件实现为例,作为一个逻辑意义上的装置,是通过其所在安全设备的处理器将非易失性存储器中对应的计算机程序指令读取到内存中运行形成的。从硬件层面而言,如图4所示,为本申请病毒检测装置所在安全设备的一种硬件结构图,除了图4所示的处理器、内存、网络接口、以及非易失性存储器之外,实施例中装置所在的安全设备通常根据该病毒检测装置的实际功能,还可以包括其他硬件,对此不再赘述。上述装置中各个单元的功能和作用的实现过程具体详见上述方法中对应步骤的实现过程,在此不再赘述。对于装置实施例而言,由于其基本对应于方法实施例,所以相关之处参见方法实施例的部分说明即可。以上所描述的装置实施例仅仅是示意性的,其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本申请方案的目的。本领域普通技术人员在不付出创造性劳动的情况下,即可以理解并实施。以上所述仅为本申请的较佳实施例而已,并不用以限制本申请,凡在本申请的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本申请保护的范围之内。当前第1页1 2 3 当前第1页1 2 3