(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202211322440.X (22)申请日 2022.10.27 (71)申请人 北京六方云信息技 术有限公司 地址 100085 北京市海淀区上地信息路12 号1幢2层C202室 申请人 北京六方云科技有限公司 (72)发明人 刘凯　 (74)专利代理 机构 北京恒程知识产权代理有限 公司 11914 专利代理师 李婷 (51)Int.Cl. H04L 9/40(2022.01) H04L 43/02(2022.01) H04L 43/06(2022.01) (54)发明名称 恶意数据检测方法、 终端设备以及存 储介质 (57)摘要 本申请公开了一种恶意数据检测方法、 终端 设备以及存储介质， 该方法包括： 获取待检测的 目标数据； 通过多个引擎对目标数据以异步任务 队列方式进行检测， 得到多个引擎检测结果； 基 于预设的融合算法对多个引擎检测结果进行融 合处理， 得到最终告警结果。 本发明方案极大程 度的解决了高负载流量下， 使用多引擎对恶意流 量/文件检测时， 产生大量重复、 低质量、 误报 的 告警， 极大的提高了检测准确率， 同时本方法既 能方便安全设备厂商不断更新检测手段、 类型来 抵制新的攻击， 也能方便用户现场特殊的环境下 通过算法不断修正来不断的提高多引擎检测准 确率。 权利要求书2页 说明书9页 附图5页 CN 115378747 A 2022.11.22 CN 115378747 A 1.一种恶意数据检测方法， 其特 征在于， 所述恶意数据检测方法包括： 获取待检测的目标 数据； 通过多个引擎对所述目标数据 以异步任务队列方式进行检测， 得到多个引擎检测结 果； 基于预设的融合 算法对所述多个引擎检测结果进行融合处 理， 得到最终告警结果。 2.根据权利要求1所述的恶意数据检测方法， 其特征在于， 所述通过多个引擎对所述目 标数据以异步任务队列方式进行检测， 得到多个引擎检测结果的步骤 包括： 通过多个引擎对所述目标 数据的任务队列进行异步检测； 在每个引擎检测完成后， 将各引擎的检测结果放入预设的引擎检测结果队列中， 得到 多个引擎检测结果。 3.根据权利要求2所述的恶意数据检测方法， 其特征在于， 所述基于预设的融合算法对 所述多个引擎检测结果进行融合处 理的步骤之前还 包括： 从所述引擎检测结果队列中获取 所述目标 数据对应的当前检测结果； 分析所述当前检测结果； 根据分析 结果判断所述目标 数据是否被所有引擎检测完毕； 若所述目标数据已被所有引擎检测完毕， 则执行步骤： 基于预设的融合算法对所述多 个引擎检测结果进行融合处 理； 若所述目标数据 未被所有引擎检测完毕， 则判断所述当前检测结果中是否存在恶意数 据； 若所述当前检测结果中存在恶意数据， 则将所述当前检测结果放置于临时告警缓存队 列， 并在前端页面进行临时告警； 在融合算法处理结束后， 在前端生成最终的正式告警， 并删除临时告警缓存队列中的 告警， 下发最终告警结果。 4.根据权利要求3所述的恶意数据检测方法， 其特征在于， 所述从所述引擎检测结果队 列中获取 所述目标 数据对应的当前检测结果的步骤之后还 包括： 读取当前检测结果对应的当前引擎状态， 基于所述当前引擎状态， 动态加载当前引擎 配置； 根据用户的操作指令进行以下操作中的一种或多种： 关闭当前检测引擎； 开启当前检测引擎； 添加新的检测引擎； 在所述引擎检测结果队列 中更新检测结果； 在所述引擎检测结果队列中创建新的检测结果。 5.根据权利要求2所述的恶意数据检测方法， 其特征在于， 所述基于预设的融合算法对 所述多个引擎检测结果进行融合处 理的步骤 包括： 基于预设的融合算法， 从多维度对所述多个引擎检测结果进行融合处理， 其中， 多维度 至少包括： 目标 数据中流 量/文件的类型、 大小， 触发的规则集， 引擎的特性。 6.根据权利要求1 ‑5中任一项所述的恶意数据检测方法， 其特征在于， 所述方法还包 括： 根据预设条件， 更新所述融合 算法。 7.根据权利要求6所述的恶意数据检测方法， 其特征在于， 所述根据预设条件， 更新所 述融合算法的步骤 包括：权　利　要　求　书 1/2 页 2 CN 115378747 A 2在升级引擎、 更新病毒库， 和/或新增流量/文件检测类型操作时， 生成引擎检测算法报 告； 根据所述引擎检测算法报告更新所述融合 算法的配置； 根据更新后的融合 算法的配置， 重 置融合算法基线； 对所述融合 算法重新初始化以加载新的算法基线， 得到更新后的融合 算法。 8.根据权利要求7 所述的恶意数据检测方法， 其特 征在于， 所述方法还 包括： 根据前端研判结果反馈的告警结果 修正所述算法基线； 和/或 将所述最终告警结果存 入数据库。 9.一种终端设备， 其特征在于， 所述终端设备包括存储器、 处理器及存储在所述存储器 上并可在所述处理器上运行的恶意数据检测程序， 所述恶意数据检测程序被所述处理器执 行时实现如权利要求1 ‑8中任一项所述的恶意数据检测方法的步骤。 10.一种计算机可读存储介质， 其特征在于， 所述计算机可读存储介质上存储有恶意数 据检测程序， 所述恶意数据检测程序被处理器执行时实现如权利要求1 ‑8中任一项所述的 恶意数据检测方法的步骤。权　利　要　求　书 2/2 页 3 CN 115378747 A 3