(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202211142196.9 (22)申请日 2022.09.20 (71)申请人 京东科技信息技 术有限公司 地址 100176 北京市北京经济技 术开发区 科创十一 街18号院2号楼6层6 01 (72)发明人 刘桂霞　 (74)专利代理 机构 中原信达知识产权代理有限 责任公司 1 1219 专利代理师 韩黎捷　张效荣 (51)Int.Cl. G06F 21/56(2013.01) G06N 20/00(2019.01) H04L 9/40(2022.01) (54)发明名称 一种病毒检测方法和装置 (57)摘要 本发明公开了一种病毒检测方法和装置， 涉 及计算机技术领域。 该方法的一具体实施方式包 括： 响应于病毒检测请求， 从待检测目录中选出 所有网页文件作为待检测文件； 对于每一待检测 文件， 使用不少于一种检测方式对待检测文件进 行病毒检测， 得到待检测文件的检测总分数， 检 测方式包括通过病毒检测规则进行规则匹配的 方式； 根据检测总分数确定目标病毒文件， 并生 成目标病毒文件的告警信息。 该实施方式可以仅 对网页文件进行病毒检测， 能够减少病毒检测所 占用资源， 提高主机的稳定性， 避免主机业务中 断的问题， 通过多种检测方式对文件进行检测， 提高病毒检测的效率和准确性， 可以及时并且准 确地检测到病毒 文件， 保证主机的安全性。 权利要求书2页 说明书9页 附图4页 CN 115495740 A 2022.12.20 CN 115495740 A 1.一种病毒检测方法， 其特 征在于， 包括： 响应于病毒检测请求， 从待检测目录中选出 所有网页文件作为待检测文件； 对于每一所述待检测文件， 使用不少于一种检测方式对所述待检测文件进行病毒检 测， 得到所述待检测文件的检测总分数， 所述检测方式包括通过病毒检测规则进行规则匹 配的方式； 根据所述检测总分数确定目标病毒 文件， 并生成所述目标病毒 文件的告警信息 。 2.根据权利要求1所述的方法， 其特征在于， 所述从待检测目录中选出所有 网页文件作 为待检测文件， 包括： 根据文件的后缀名， 从待检测目录中选出 所有网页文件作为所述待检测文件。 3.根据权利要求1所述的方法， 其特征在于， 所述生成所述目标病 毒文件的告警信 息之 后， 还包括： 将所述告警信 息存储在 分布式全文检索系统中， 并通过所述分布式全文检索系统对所 述告警信息进行冗余信息清理以得到所述目标病毒 文件的检测时间和文件唯一 值。 4.根据权利要求1所述的方法， 其特 征在于， 所述病毒检测规则通过以下 方式生成： 预先构建病毒样本库， 所述病毒样本库包括多个病毒样本； 对于每一所述病毒样本， 对所述病毒样本进行特征提取， 并根据提取的特征构建正则 表达式以生成对应的病毒检测规则。 5.根据权利要求4所述的方法， 其特征在于， 所述检测方式还包括如下的一种或多种： 模糊哈希检测、 机器学习检测、 沙箱检测、 污点分析检测； 其中， 所述模糊哈希检测通过模糊哈希算法和病 毒样本的哈希值对所述待检测文件进 行检测， 得到所述待检测文件的模糊哈希检测分数； 所述机器学习检测通过机器学习模型和所述病 毒样本对所述待检测文件进行检测， 得 到所述待检测文件的机器学习检测分数； 所述沙箱检测通过在沙箱中运行所述待检测文件， 并根据运行结果确定所述待检测文 件的沙箱检测分数； 所述污点分析检测通过将所述待检测文件标记为污点并进行处理， 根据 所述污点的处 理结果得到所述待检测文件的污点分析检测分数。 6.根据权利要求5所述的方法， 其特征在于， 所述使用不少于一种检测方式对所述待检 测文件进行病毒检测， 得到所述待检测文件的检测总分数， 包括： 使用不少于一种检测方式分别对所述待检测文件进行病 毒检测， 并得到每种检测方式 对应的检测分数； 根据设定规则和每种检测方式对应的检测分数 得到所述待检测文件的检测总分数； 所述根据所述检测总分数确定目标病毒 文件， 包括： 将超过预设分数阈值的检测总分数对应的待检测文件确定为所述目标病毒 文件。 7.根据权利要求1所述的方法， 其特征在于， 所述病 毒检测请求以任务的形式保存在任 务存储系统中， 且被设置为定时执行， 所述病毒检测 规则通过云端数据库进行一键部署和 更新。 8.一种病毒检测装置， 其特 征在于， 包括： 待检测文件确定模块， 用于响应于病毒检测请求， 从待检测目录中选出所有网页文件权　利　要　求　书 1/2 页 2 CN 115495740 A 2作为待检测文件； 检测总分数确定模块， 用于对于每一所述待检测文件， 使用不少于一种检测方式对所 述待检测文件进行病毒检测， 得到所述待检测文件的检测总分数， 所述检测方式包括通过 病毒检测规则进行规则匹配的方式； 告警信息生成模块， 用于根据所述检测总分数确定目标病毒文件， 并生成所述目标病 毒文件的告警信息 。 9.一种电子设备， 其特 征在于， 包括： 一个或多个处 理器； 存储装置， 用于存 储一个或多个程序， 当所述一个或多个程序被所述一个或多个处理器执行， 使得所述一个或多个处理器实 现如权利要求1 ‑7中任一所述的方法。 10.一种计算机可读介质， 其上存储有计算机程序， 其特征在于， 所述计算机程序被处 理器执行时实现如权利要求1 ‑7中任一所述的方法。权　利　要　求　书 2/2 页 3 CN 115495740 A 3