(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202210916688.2 (22)申请日 2022.08.01 (71)申请人 北京天融信网络安全技 术有限公司 地址 100085 北京市海淀区上地 东路1号院 3号楼四层 申请人 北京天融信科技有限公司 　 北京天融信软件 有限公司 (72)发明人 袁欢　寇增杰　 (74)专利代理 机构 北京友谊嘉知识产权代理事 务所(普通 合伙) 16075 专利代理师 孙剑锋 (51)Int.Cl. H04L 9/40(2022.01) (54)发明名称 基于拟态防御机制的病毒过滤方法及病毒 过滤装置 (57)摘要 本公开实施例公开了一种基于拟态防御机 制的病毒过滤方法及病毒 过滤装置。 所述方法包 括： 在网络装置的输入端获取数据报文， 对所述 数据报文进行特征提取以得到特征报文； 从异构 执行体集合中确定与所述特征报文对应的多个 目标异构执行体； 其中， 所述目标异构执行体的 当前状态 为第一状态； 所述第一状态用于表征对 应的异构执行体 当前可用； 将所述特征报文分别 发送至多个所述目标异构执行体， 以得到多个匹 配结果； 利用裁决算法对所述多个匹配结果进行 计算， 以得到裁决结果； 根据所述裁决结果和所 述匹配结果对 所述数据报文执行过滤处理； 根据 所述裁决结果和所述匹配结果对所述目标异构 执行体的当前状态进行调整。 权利要求书2页 说明书9页 附图2页 CN 115333812 A 2022.11.11 CN 115333812 A 1.一种基于拟态防御机制的病毒过 滤方法， 其特 征在于， 包括： 在网络装置的输入端获取 数据报文， 对所述数据报文 进行特征提取以得到特 征报文； 从异构执行体集合中确定与所述特征报文对应的多个目标异构执行体； 其中， 所述目 标异构执行体的当前状态为第一状态； 所述第一状态用于表征对应的异构执行体当前可 用； 将所述特 征报文分别发送至多个所述目标异构执 行体， 以得到多个匹配结果； 利用裁决算法对所述多个匹配结果进行计算， 以得到 裁决结果； 根据所述裁决结果和所述匹配结果对所述数据报文执 行过滤处理； 根据所述裁决结果和所述匹配结果对所述目标异构执 行体的当前状态进行调整。 2.根据权利要求1所述的病毒过滤方法， 其特征在于， 所述获取网络中的数据报文， 对 所述数据报文 进行特征提取以得到特 征报文的步骤 包括： 获取所述数据报文对应的第一协议类型； 根据预设的协议类型和特征项目之间的匹配关系， 确定所述第 一协议类型对应的第 一 特征项目； 从所述数据报文中提取 所述第一特 征项目以生成所述特 征报文。 3.根据权利要求2所述的病毒过滤方法， 其特征在于， 所述匹配结果包括匹配或不匹 配， 所述利用裁决算法对所述多个匹配结果进行计算， 以得到 裁决结果的步骤 包括： 在多个所述目标异构执 行体的匹配结果全部一 致的情况 下， 得到裁决结果 为通过； 在多个所述目标异构执行体的匹配结果不全部一致的情况下， 得到裁决结果为不通 过。 4.根据权利要求2所述的病毒过滤方法， 其特征在于， 所述匹配结果包括匹配或不匹 配， 所述利用裁决算法对所述多个匹配结果进行计算， 以得到 裁决结果的步骤 包括： 获取匹配结果为不匹配的目标异构执行体的第 一数量， 将所述第 一数量与 预设的第 一 阈值进行对比； 在所述第一数量大于或等于所述第一阈值的情况 下， 得到裁决结果 为通过； 在所述第一数量小于所述第一阈值的情况 下， 得到裁决结果 为不通过。 5.根据权利要求3或4所述的病毒过滤方法， 其特征在于， 所述根据所述裁决结果对所 述数据报文执 行过滤处理的步骤 包括： 在所述裁决结果为通过且所述匹配结果不是全部为匹配的情况下， 将所述数据报文转 发至所述网络装置； 在所述裁决结果为通过且所述匹配结果全部为匹配的情况下， 或者在所述裁决结果为 不通过的情况下， 根据所述匹配结果中不匹配的结果数量确定对所述数据报文执行允许传 输、 告警或阻断传输中的任一种动作。 6.根据权利要求3所述的病 毒过滤方法， 其特征在于， 所述根据 所述裁决结果和所述匹 配结果对所述目标异构执 行体的当前状态进行调整的步骤 包括： 在所述裁决结果为通过且所述匹配结果全部为匹配的情况下， 确定全部所述目标异构 执行体疑似受到攻击； 在所述裁决结果 为不通过的情况 下， 确定全部所述目标异构执 行体疑似受到攻击 。 7.根据权利要求4所述的病 毒过滤方法， 其特征在于， 所述根据 所述裁决结果和所述匹权　利　要　求　书 1/2 页 2 CN 115333812 A 2配结果对所述目标异构执 行体的当前状态进行调整的步骤 包括： 在所述裁决结果 为不通过的情况 下， 确定全部所述目标异构执 行体疑似受到攻击 。 8.根据权利要求6或7所述的病毒过滤方法， 其特征在于， 所述根据所述裁决结果和所 述匹配结果对所述目标异构执 行体的当前状态进行调整的步骤 还包括： 将确定为疑似受到攻击的目标执行体的当前状态从第 一状态调整为第 二状态， 并对所 述确定为疑似受到攻击的目标执行体进行清洗； 其中， 所述第二状态用于表征对应的异构 执行体当前不可用。 9.根据权利要求8所述的病 毒过滤方法， 其特征在于， 所述根据 所述裁决结果和所述匹 配结果对所述目标异构执 行体的当前状态进行调整的步骤 还包括： 获取未确定为疑似受到攻击的其它目标执行体处于第 一状态的时长信 息， 将所述 时长 信息与预设的第二阈值进行对比； 在所述时长信息大于或等于所述第 二阈值的情况下， 将所述其它目标执行体的当前状 态从第一状态调整为第二状态。 10.一种基于拟态防御机制的病毒过 滤装置， 其特 征在于， 包括： 特征提取模块， 适用于在网络装置的输入端获取数据报文， 对所述数据报文进行特征 提取以得到特 征报文； 执行体确定模块， 适用于从异构执行体集合中确定与 所述特征报文对应的多个目标异 构执行体； 其中， 所述目标异构执行体的当前状态为第一状态； 所述第一状态用于表征对应 的异构执 行体当前 可用； 病毒匹配模块， 适用于将所述特征报文分别发送至多个所述目标异构执行体， 以得到 多个匹配结果； 裁决模块， 利用裁决算法对所述多个匹配结果进行计算， 以得到 裁决结果； 报文过滤模块， 根据所述裁决结果和所述匹配结果对所述数据报文执 行过滤处理； 动态调整模块， 适用于根据 所述裁决结果和所述匹配结果对所述目标异构执行体的当 前状态进行调整。 11.一种电子设备， 其特 征在于， 所述电子设备包括： 至少一个处 理器； 以及， 与所述至少一个处 理器通信连接的存 储器； 其中， 所述存储器存储有可被所述至少一个处理器执行的指令， 所述指令被所述至少一个处 理器执行， 以使所述至少一个处 理器能够执 行权利要求1 ‑9任一所述的病毒过 滤方法。 12.一种计算机可读存储介质， 其特征在于， 该计算机可读存储介质存储计算机指令， 该计算机指令用于使计算机执 行权利要求1 ‑9任一所述的病毒过 滤方法。权　利　要　求　书 2/2 页 3 CN 115333812 A 3