(19)中华 人民共和国 国家知识产权局 (12)发明 专利 (10)授权公告 号 (45)授权公告日 (21)申请 号 202111606921.9 (22)申请日 2021.12.27 (65)同一申请的已公布的文献号 申请公布号 CN 113973019 A (43)申请公布日 2022.01.25 (73)专利权人 北京安博通科技股份有限公司 地址 100120 北京市西城区德胜门东滨河 路3号6号楼C 0310室 (72)发明人 张晓东　 (74)专利代理 机构 北京弘权知识产权代理有限 公司 11363 代理人 郭放　许伟群 (51)Int.Cl. H04L 9/40(2022.01) H04L 67/06(2022.01)G06F 16/13(2019.01) G06F 16/14(2019.01) (56)对比文件 CN 113051568 A,2021.0 6.29 CN 102609654 A,2012.07.25 CN 103780676 A,2014.0 5.07 CN 101359325 A,20 09.02.04 CN 104298711 A,2015.01.21 审查员 何思佳 (54)发明名称 一种网络病毒检测方法及网络设备 (57)摘要 本申请提供了一种网络病毒检测方法及网 络设备， 所述方法包括： 获取通过网络设备进行 传输的待传输文件， 获取待传输文件的目标字节 片段； 将目标字节片段通过布隆过滤器进行过 滤， 以进行网络病毒的预检测； 布隆过滤器是根 据多个病毒文件的字节片段构建的； 如果过滤结 果显示存在与 目标字节片段相 匹配的病毒文件 的字节片段， 缓存待传输文件； 缓存后计算待传 输文件的哈希 值； 将哈希值与参考哈希值进行匹 配； 参考哈希值存储在预设病毒库中； 如果存在 与哈希值相匹配的参考哈希值， 则确认待传输文 件为病毒文件。 本申请的方法可以及时对待传输 文件进行病毒的预检测， 节约网络设备的内存， 同时能够减轻网络设备CPU的压力， 减少无效哈 希。 权利要求书2页 说明书8页 附图3页 CN 113973019 B 2022.04.01 CN 113973019 B 1.一种网络病毒检测方法， 其特 征在于， 包括： 获取通过网络设备进行传输的待传输文件， 以及， 在所述待传输文件传输过程中获取 所述待传输文件的目标字节片段， 所述 目标字节片段为所述待传输文件首个报文的前N个 字节， N小于等于所述首个报文的总长度； 将所述目标字节片段通过布隆过滤器进行过滤， 以进行网络病毒的预检测； 所述布隆 过滤器是根据多个病毒 文件的字节片段构建的， 且所述布隆过 滤器存储在预设病毒库中； 如果过滤结果显示存在与 所述目标字节片段相匹配的病 毒文件的字节片段， 缓存所述 待传输文件； 缓存后计算所述待传输文件的哈希值； 将所述哈希值与参 考哈希值进行匹配； 所述 参考哈希值存 储在所述预设病毒库中； 如果存在与所述哈希值相匹配的参 考哈希值， 则确认所述待传输文件为病毒 文件。 2.根据权利要求1所述的网络病 毒检测方法， 其特征在于， 获取网络设备间进行传输的 传输文件的步骤 包括： 获取网络设备传输数据流； 在所述传输数据流中， 识别出在通过网络设备进行传输的待传输文件。 3.根据权利要求1所述的网络病 毒检测方法， 其特征在于， 缓存后计算所述待传输文件 的哈希值的步骤前， 所述方法还 包括： 计算所述待传输文件的文件大小； 如果所述预设病 毒库中存在与所述待传输文件的文件大小相匹配的预设病 毒文件， 则 继续计算所述待传输文件的哈希值； 如果所述预设病 毒库中不存在与 所述待传输文件的文件大小相匹配的预设病 毒文件， 则确认所述待传输文件不是病毒 文件。 4.根据权利要求3所述的网络病 毒检测方法， 其特征在于， 如果所述预设病 毒库中存在 与所述待传输文件的文件大小相匹配的预设病毒文件， 则继续计算所述待传输文件的哈希 值的步骤后， 还 包括： 在所述预设病毒库中， 根据所述预设病毒文件的文件大小与哈希值的对应关系， 获取 与所述待传输文件的文件大小相匹配的所述预设病毒文件的哈希值， 以作为所述参考哈希 值。 5.根据权利要求 4所述的网络病毒检测方法， 其特 征在于， 所述方法还 包括： 构建预设病毒库； 计算预设病毒 文件的文件大小及哈希值； 将所述文件大小存 入所述预设病毒库； 对所有所述文件大小 进行范围划分， 以形成不同的文件大小范围； 按照文件大小范围， 将不同文件大小范围对应的哈希值存入所述预设病毒库中， 以建 立所述文件大小与所述哈希值的对应关系。 6.根据权利要求5所述的网络病毒检测方法， 其特 征在于， 所述方法还 包括： 获取所述预设病 毒文件的字节片段存入所述预设病 毒库； 所述预设病 毒文件的字节片 段， 与所述目标字节片段长度相等。 7.根据权利要求1所述的网络病 毒检测方法， 其特征在于， 如果过滤结果显示不存在与权　利　要　求　书 1/2 页 2 CN 113973019 B 2所述目标字节片段相匹配的病毒 文件的字节片段， 则确认所述待传输文件不是病毒 文件。 8.根据权利要求1所述的网络病 毒检测方法， 其特征在于， 如果不存在与所述哈希值相 匹配的参 考哈希值， 则确认所述待传输文件不是病毒 文件。 9.一种网络设备， 其特征在于， 包括存储器和 处理器， 所述存储器用于存储程序指令， 所述处理器用于通过运行 所述程序指令， 以执 行下述步骤： 获取通过网络设备进行传输的待传输文件， 以及， 获取所述待传输文件的目标字节片 段； 将所述目标字节片段通过布隆过滤器进行过滤， 以进行网络病毒的预检测； 所述布隆 过滤器是根据多个病毒 文件的字节片段构建的， 且所述布隆过 滤器存储在预设病毒库中； 如果过滤结果显示存在与 所述目标字节片段相匹配的病 毒文件的字节片段， 缓存所述 待传输文件； 缓存后计算所述待传输文件的哈希值； 将所述哈希值与参 考哈希值进行匹配； 所述 参考哈希值存 储在所述预设病毒库中； 如果存在与所述哈希值相匹配的参 考哈希值， 则确认所述待传输文件为病毒 文件。权　利　要　求　书 2/2 页 3 CN 113973019 B 3