文件危害级别的确定方法、装置、电子设备及介质与流程

1.本公开涉及计算机技术领域，更具体地，涉及一种文件危害级别的确定方法、装置、电子设备及介质。


背景技术：

2.随着互联网技术的发展，各类文件的上传和下载成为普遍现象，为了确保电子设备的安全，下载文件到电子设备时需要识别所下载的文件是否具有危害性，通常会在电子设备上安装杀毒软件来进行识别，在杀毒软件确定所下载的文件不具有危害性的情况下才会实施下载操作。
3.在实现本公开构思的过程中，发明人发现现有技术中至少存在如下问题：(1)目前对于文件的危害性的识别结果非黑即白，无法做精细化分级；(2)由于文件的危害级别识别需经过鉴定器扫描、分析等复杂流程的操作，且样本量巨大，现有技术全局只有一套识别结果，扩展不同的计算策略困难，无法满足不同客户对于样本危险级别的个性化需求；(3)在同一个电子设备上存在多个鉴定器的情况下，不同的鉴定器的识别结果不一致，无法输出统一的结果。


技术实现要素：

4.有鉴于此，本公开提供了一种文件危害级别的确定方法、装置、电子设备及介质。
5.本公开的第一个方面提供了一种文件危害级别的确定方法。上述确定方法包括：获取需要确定危害级别的待判定文件的信息和待判定文件的运行平台所属对象的信息。上述确定方法还包括：确定数据库中是否存在与待判定文件名称匹配的第一样本文件，数据库中预先存储有：样本文件库中的样本文件与危害级别的映射关系，危害级别为样本文件由默认规则集和n个个性规则集分别处理后得到，n≥1，n个个性规则集属于不同的对象。上述确定方法还包括：如果数据库中存在第一样本文件，则根据映射关系和待判定文件的运行平台所属对象的信息确定待判定文件由运行平台所属对象对应的规则集处理后得到的危害级别，运行平台所属对象对应的规则集为默认规则集或个性规则集。
6.根据本公开的实施例，上述确定方法还包括：构建映射关系。上述构建映射关系包括：获取样本文件库中每个样本文件的属性信息。属性信息包括以下至少一种：m个杀毒软件名称及由m个杀毒软件所检测出的样本文件中的病毒名称，t个沙箱软件名称及由t个沙箱软件所检测出的样本文件的行为信息，以及样本文件的静态信息，m≥2，t≥2。上述构建映射关系还包括：将每个样本文件的属性信息分别输入至默认规则集和n个个性规则集中。上述构建映射关系还包括：在默认规则集和n个个性规则集中针对输入的属性信息输入至一级规则组进行一级规则判定，一级规则组的输出作为二级规则组的输入，在二级规则组中进行二级规则判定，命中一级规则的属性信息添加上文件危害级别、文件危害子级别和危害类型后进行二级规则判定，文件危害级别和文件危害子级别均具有多个层级；基于二级规则使得一级规则判定得到的不同的杀毒软件和/或不同的沙箱软件的输出结果进行整
合，以输出样本文件的危害级别。
7.根据本公开的实施例，默认规则集和n个个性规则集中的一级规则基于病毒名称、样本文件的行为信息和样本文件的静态信息至少之一与危害程度的关联预先设定。n个个性规则集中的二级规则基于m个杀毒软件和/或t个沙箱软件的信任度，以及n个个性规则集所属对象所要求的安全等级进行设定，默认规则集中的二级规则基于m个杀毒软件和/或t个沙箱软件的信任度进行设定。
8.根据本公开的实施例，默认规则集和n个个性规则集中，一级规则组中的各个一级规则设定有优先级顺序，二级规则组中的各个二级规则设定有优先级顺序，优先级高的一级规则如果命中，则优先级低的针对同一种属性信息的一级规则不再进行判定；优先级高的二级规则如果命中，则优先级低的针对同一种属性信息的二级规则不再进行判定。
9.根据本公开的实施例，根据映射关系和待判定文件的运行平台所属对象的信息确定待判定文件由运行平台所属对象对应的规则集处理后得到的危害级别包括：根据待判定文件的运行平台所属对象的信息确定n个个性规则集所属的对象是否包括待判定文件的运行平台所属对象。如果n个个性规则集所属的对象包括待判定文件的运行平台所属对象，则根据映射关系确定待判定文件由待判定文件的运行平台所属对象对应的个性规则集处理后得到的危害级别。如果n个个性规则集所属的对象不包括待判定文件的运行平台所属对象，则根据映射关系确定待判定文件由默认规则集处理后对应的危害级别。
10.根据本公开的实施例，上述确定方法还包括：对个性规则集进行更新，所述更新包括：在n个个性规则集的基础上新增或删除个性规则集；或者，对n个个性规则集中的规则进行删除、增加以及修改。上述映射关系包括：样本文件库中的样本文件与更新后危害级别的映射关系，所述更新后危害级别为样本文件由更新后的个性规则集处理后得到。
11.根据本公开的实施例，上述确定方法还包括：如果所述数据库中不存在第一样本文件，则反馈暂时无法查询，将所述待判定文件作为新的样本文件添加至样本文件库中，并建立所述待判定文件由默认规则集和n个个性规则集处理后得到的危害级别的映射关系。
12.本公开的第二个方面提供了一种文件危害级别的确定装置。上述确定装置包括：文件信息获取模块、文件确定模块以及危害级别确定模块。文件信息获取模块用于获取需要确定危害级别的待判定文件的信息和待判定文件的运行平台所属对象的信息。文件确定模块用于确定数据库中是否存在与待判定文件名称匹配的第一样本文件。数据库中预先存储有：样本文件库中的样本文件与危害级别的映射关系，危害级别为样本文件由默认规则集和n个个性规则集分别处理后得到，n≥1，n个个性规则集属于不同的对象。危害级别确定模块用于在数据库中存在第一样本文件的情况下，根据映射关系和待判定文件的运行平台所属对象的信息确定待判定文件由运行平台所属对象对应的规则集处理后得到的危害级别，运行平台所属对象对应的规则集为默认规则集或个性规则集。
13.根据本公开的实施例，上述确定装置还包括：映射关系构建模块，用于构建映射关系。上述映射关系构建模块包括：文件信息获取子模块、默认规则集构建子模块和个性规则集构建子模块。默认规则集构建子模块用于新建默认规则集。个性规则集构建子模块用于新建个性规则集，进一步，还可以用于更新个性规则集。默认规则集和n个个性规则集均包括：一级规则组和二级规则组，一级规则组的输出作为二级规则组的输入，一级规则组包括至少2个规则；二级规则组包括至少2个规则。文件信息获取子模块用于获取样本文件库中
每个样本文件的属性信息，以及将每个样本文件的属性信息分别输入至默认规则集和n个个性规则集中。属性信息包括以下至少一种：m个杀毒软件名称及由m个杀毒软件所检测出的样本文件中的病毒名称，t个沙箱软件名称及由t个沙箱软件所检测出的样本文件的行为信息，以及样本文件的静态信息，m≥2，t≥2。在默认规则集和n个个性规则集中针对输入的属性信息进行一级规则判定和二级规则判定，命中一级规则的属性信息添加上文件危害级别、文件危害子级别和危害类型后进行二级规则判定，以输出样本文件的危害级别。每个样本文件的属性信息分别输入至默认规则集和n个个性规则集的一级规则组中，命中一级规则的属性信息添加上文件危害级别、文件危害子级别和危害类型从一级规则组输出至二级规则组，基于二级规则使得一级规则判定得到的不同的杀毒软件和/或不同的沙箱软件的输出结果进行整合，以输出样本文件的危害级别。
14.本公开的第三个方面提供了一种电子设备。上述电子设备包括：一个或多个处理器；以及用于存储一个或多个程序的存储装置。其中，当一个或多个程序被一个或多个处理器执行时，使得一个或多个处理器实现如上所述的任一种确定方法。
15.本公开的第四个方面提供了一种计算机可读存储介质。上述计算机可读存储介质上存储有可执行指令，该指令被处理器执行时使处理器实现如上所述的任一种确定方法。
16.本公开的第五个方面提供了一种计算机程序产品，包括计算机可读指令，其中，计算机可读指令被执行时用于实现如上所述的任一种确定方法。
17.根据本公开的实施例，在数据库中预先存储有样本文件库的样本文件与危害级别的映射关系，上述危害级别为样本文件由默认规则集和至少一个个性规则集分别处理后得到，在用户查询某个文件的危害程度时，在查询的文件属于样本文件库的情况下，可以针对查询的文件的运行平台所属对象对应的规则集在上述映射关系中查询到个性化的危害程度输出，一方面基于默认规则集和不同的个性规则集，满足了不同用户在各个场景下的需求，避免了现有技术中针对所有的文件判定结果是唯一并且扩展不同的判定方法困难的问题；另外一方面，基于映射关系的预先存储，在用户使用时结果返回速度快，查询高效，避免了实时计算导致的危害结果查询响应速度慢的现象，在百亿级样本库的前提下可以为不同的对象提供不同的安全等级在线实时查询；此外，输出结果不只表明查询文件是否有危害还体现危害程度，实现了危害识别的精细化分级。
附图说明
18.通过以下参照附图对本公开实施例的描述，本公开的上述以及其他目的、特征和优点将更为清楚，在附图中：
19.图1示意性示出了根据本公开实施例的文件危害级别的确定方法、装置、电子设备及介质的应用场景示意图；
20.图2示意性示出了根据本公开一实施例的文件危害级别的确定方法的流程图；
21.图3示意性示出了根据本公开另一实施例的文件危害级别的确定方法的流程图；
22.图4示意性示出了根据本公开实施例的构建映射关系的过程示意图；
23.图5示意性示出了根据本公开实施例的获取样本文件的属性信息的示例；
24.图6示意性示出了根据本公开实施例的对个性规则集进行更新的场景示意图；
25.图7示意性示出了根据本公开实施例的文件危害级别的确定装置的结构框图；以
及
26.图8示意性示出了根据本公开实施例的电子设备的结构框图。
具体实施方式
27.以下，将参照附图来描述本公开的实施例。但是应该理解，这些描述只是示例性的，而并非要限制本公开的范围。在下面的详细描述中，为便于解释，阐述了许多具体的细节以提供对本公开实施例的全面理解。然而，明显地，一个或多个实施例在没有这些具体细节的情况下也可以被实施。此外，在以下说明中，省略了对公知结构和技术的描述，以避免不必要地混淆本公开的概念。
28.在此使用的术语仅仅是为了描述具体实施例，而并非意在限制本公开。在此使用的术语“包括”、“包含”等表明了所述特征、步骤、操作和/或部件的存在，但是并不排除存在或添加一个或多个其他特征、步骤、操作或部件。
29.在此使用的所有术语(包括技术和科学术语)具有本领域技术人员通常所理解的含义，除非另外定义。应注意，这里使用的术语应解释为具有与本说明书的上下文相一致的含义，而不应以理想化或过于刻板的方式来解释。
30.在使用类似于“a、b和c等中至少一个”这样的表述的情况下，一般来说应该按照本领域技术人员通常理解该表述的含义来予以解释(例如，“具有a、b和c中至少一个的系统”应包括但不限于单独具有a、单独具有b、单独具有c、具有a和b、具有a和c、具有b和c、和/或具有a、b、c的系统等)。在使用类似于“a、b或c等中至少一个”这样的表述的情况下，一般来说应该按照本领域技术人员通常理解该表述的含义来予以解释(例如，“具有a、b或c中至少一个的系统”应包括但不限于单独具有a、单独具有b、单独具有c、具有a和b、具有a和c、具有b和c、和/或具有a、b、c的系统等)。
31.本公开的实施例提供了一种文件危害级别的确定方法。上述确定方法中，获取需要确定危害级别的待判定文件的信息和待判定文件的运行平台所属对象的信息。确定数据库中是否存在与待判定文件名称匹配的第一样本文件。数据库中预先存储有：样本文件库中的样本文件与危害级别的映射关系，上述危害级别为样本文件由默认规则集和n个个性规则集分别处理后得到，n≥1，n个个性规则集属于不同的对象。如果数据库中存在第一样本文件，则根据映射关系和待判定文件的运行平台所属对象的信息确定待判定文件由运行平台所属对象对应的规则集处理后得到的危害级别，运行平台所属对象对应的规则集为默认规则集或个性规则集。
32.本公开的第一个示例性实施例提供了一种文件危害级别的确定方法。
33.图1示意性示出了根据本公开实施例的文件危害级别的确定方法、装置、电子设备及介质的应用场景示意图。
34.需要注意的是，图1所示仅为可以应用本公开实施例的应用场景的示例，以帮助本领域技术人员理解本公开的技术内容，但并不意味着本公开实施例不可以用于其他场景。应该理解，图1中的对象、运行平台和杀毒软件的数目仅仅是示意性的。
35.参照图1所示，在图1中以对象a、对象b和对象c作为不同对象的示例，对象a具有运行平台a1，对象b具有运行平台b1，对象c具有运行平台c1和c2，相关技术中，通常是在运行平台上安装有文件鉴定器，例如杀毒软件来实施对文件是否有危害的识别/鉴定。各个运行
平台的杀毒软件的种类和个数根据其所属对象的实际需求会进行设置。示例性的，运行平台a1具有两款杀毒软件：杀毒软件m1和m2，运行平台b1具有杀毒软件m3，运行平台c1具有两款杀毒软件：杀毒软件m1和m4，运行平台c2具有杀毒软件m3。
36.对象可以是企业、特定部门、组织、机构或者个人等相关用户。运行平台可以是能够安装文件并对文件中的信息进行加载和运行文件的设备，例如为：台式计算机、笔记本电脑、平板电脑、智能手机或智能音响等。文件可以是各种类型的文件形式，例如压缩文件、图像类型文件、文本类型文件、文档文件、音频格式文件、视频格式文件或应用程序安装包文件等。
37.针对同一个文件要在不同对象的运行平台上进行运行的场景，继续参照图1所示，对比对象a、对象b和对象c的识别结果与实际需求，对象a的运行平台a1的杀毒软件m1的识别结果为有危害，杀毒软件m2的识别结果为无危害；对象a的实际需求是：不允许文件x运行，由于多个杀毒软件无法产生一致的识别结果，因此不能给对象a提供文件x是否有危害以及危害程度的参考，识别结果也无法与对象a的实际需求进行匹配。对象b的运行平台b1的杀毒软件m3的识别结果为有危害，对象b的实际需求是：不允许文件x运行，上述识别结果与对象b的实际需求是一致的。对象c的运行平台c1的杀毒软件m1和m4的识别结果均为有危害，对象c的运行平台c2的杀毒软件m3的识别结果为有危害，而对象c的实际需求是：允许文件x运行，上述识别结果无法与对象c的实际需求进行匹配。
38.基于上述，针对同一个文件要在不同对象的运行平台上进行运行的场景，可能存在鉴定器输出的识别结果是唯一的，识别结果无法满足不同对象的实际需求的问题。更进一步的，在多个鉴定器输出的识别结果存在矛盾，导致没有识别结果输出的情况下，无法给对象提供文件是否有危害以及危害程度的参考。
39.有鉴于此，本公开提出了一种文件危害级别的确定方法、装置、电子设备及介质，基于默认规则集和不同的个性规则集，满足了不同用户在各个场景下的需求，避免了现有技术中针对所有的文件判定结果是唯一并且扩展不同的判定方法困难的问题；另外一方面，基于映射关系的预先存储，在用户使用时结果返回速度快，查询高效，避免了实时计算导致的危害结果查询响应速度慢的现象，在百亿级样本库的前提下可以为不同的对象提供不同的安全等级在线实时查询；此外，输出结果不只表明查询文件是否有危害还体现危害程度，实现了危害识别的精细化分级。
40.图2示意性示出了根据本公开一实施例的文件危害级别的确定方法的流程图。
41.参照图2所示，上述确定方法包括以下操作：s11、s12和s13a。
42.在操作s11，获取需要确定危害级别的待判定文件的信息和待判定文件的运行平台所属对象的信息。运行平台所属对象可以是企业、特定部门、组织机构或者个人等相关用户。
43.在操作s12，确定数据库中是否存在与待判定文件名称匹配的第一样本文件。数据库中预先存储有：样本文件库中的样本文件与危害级别的映射关系，危害级别为样本文件由默认规则集和n个个性规则集处理后得到对应的危害级别的映射关系，n≥1，n个个性规则集属于不同的对象。与待判定文件名称匹配的含义可以是与待判定文件名称相同或者相似，可以采用精确匹配或模糊匹配来实现上述匹配过程。
44.在操作s13a，如果数据库中存在第一样本文件，则根据映射关系和待判定文件的
运行平台所属对象的信息确定待判定文件由运行平台所属对象对应的规则集处理后得到的危害级别，运行平台所属对象对应的规则集为默认规则集或个性规则集。
45.在上述操作s11中，待判定文件的信息包括：待判定文件的名称。待判定文件的信息和待判定文件的运行平台所属对象的信息可以通过读取待判定文件的属性信息来获取。例如，对于某一个文档类型文件，在计算机上采用鼠标右键读取该文档类型文件的属性信息，可以获取得到该文档类型文件的名称，文件类型，以及该文档运行平台所属对象：组或用户名的信息。
46.在上述操作s12中，数据库中预先存储有：样本文件库中的样本文件与危害级别的映射关系，危害级别为样本文件由默认规则集和至少一个个性规则集分别处理后得到，样本文件库可以是百亿级别的海量文件库，可以涵盖各种已知的样本文件。
47.在样本文件库中，预先建立了样本文件
→
规则集(默认规则集和个性规则集)
→
危害级别的映射关系，在后续查询时，如果待判定文件属于样本文件库，即，数据库中存在与待判定文件名称匹配的第一样本文件，那么可以根据待判定文件的运行平台所属对象的信息从上述海量的映射关系中查询到待判定文件由运行平台所属对象对应的规则集处理后得到的危害级别。
48.根据本公开的实施例，根据映射关系和待判定文件的运行平台所属对象的信息确定待判定文件由运行平台所属对象对应的规则集处理后得到的危害级别的操作s13a包括以下子操作：s131a、s132a和s133a。
49.在子操作s131a，根据待判定文件的运行平台所属对象的信息确定n个个性规则集所属的对象是否包括待判定文件的运行平台所属对象。
50.在子操作s132a，如果n个个性规则集所属的对象包括待判定文件的运行平台所属对象，则根据映射关系确定待判定文件由待判定文件的运行平台所属对象对应的个性规则集处理后得到的危害级别。
51.在子操作s133a，如果n个个性规则集所属的对象不包括待判定文件的运行平台所属对象，则根据映射关系确定待判定文件由默认规则集处理后对应的危害级别。
52.在用户查询时，同时查询个性规则集的映射关系和个性规则集的映射关系，如果存在待判定文件的运行平台所属对象对应的个性规则集的映射关系，则直接基于上述查询到的映射关系得到危害级别，否则采用默认规则集的映射关系得到的危害级别进行输出，简化了搜索逻辑，提升了查询的效率。
53.由于在数据库中预先存储有样本文件库的样本文件由默认规则集和至少一个个性规则集处理后得到对应的危害级别的映射关系，在用户查询某个文件的危害程度时，在查询的文件属于样本文件库的情况下，可以针对查询的文件的运行平台所属对象对应的规则集在上述映射关系中查询到个性化的危害程度输出，一方面基于默认规则集和不同的个性规则集，满足了不同用户在各个场景下的需求，避免了现有技术中针对所有的文件判定结果是唯一并且扩展不同的判定方法困难的问题；另外一方面，基于映射关系的预先存储，在用户使用时结果返回速度快，查询高效，避免了实时计算导致的危害结果查询响应速度慢的现象，在百亿级样本库的前提下可以为不同的对象提供不同的安全等级在线实时查询；此外，输出结果不只表明查询文件是否有危害还体现危害程度，实现了危害识别的精细化分级。
54.根据本公开的实施例，参照图2所示，上述确定方法还包括操作s13b：如果数据库中不存在第一样本文件，则反馈暂时无法查询，将待判定文件作为新的样本文件添加至样本文件库中，并建立待判定文件由默认规则集和n个个性规则集分别处理后得到的危害级别的映射关系。
55.由于上述映射关系的建立需要经过个性化规则集和默认规则集的计算，计算量很大，为了实现高效、实时的查询结果输出，在数据库中不存在第一样本文件的情况下，可以响应于查询操作反馈：暂时无法查询的结果，并且直接将待判定文件作为新的样本文件添加至样本文件库中。在后续服务器处于闲置状态或者资源相对充足的情况下，可以建立待判定文件由默认规则集和n个个性规则集分别处理后得到的危害级别的映射关系，下一次再进行上述待判定文件的查询，就可以直接查询到结果。
56.图3示意性示出了根据本公开另一实施例的文件危害级别的确定方法的流程图。
57.根据本公开的实施例，参照图3中虚线框所示，上述确定方法还包括操作s102：构建映射关系。
58.图4示意性示出了根据本公开实施例的构建映射关系的过程示意图。
59.参照图4所示，上述构建映射关系的操作s102包括以下子操作s1021、s1022和s1023。
60.在子操作s1021，获取样本文件库中每个样本文件的属性信息。
61.图4中以样本文件库中的样本文件1进行示例，其他样本文件的操作与样本文件1相同。
62.图5示意性示出了根据本公开实施例的获取样本文件的属性信息的示例。
63.参照图5所示，上述属性信息包括以下至少一种：m个杀毒软件名称及由m个杀毒软件所检测出的样本文件中的病毒名称，t个沙箱软件名称及由t个沙箱软件所检测出的样本文件的行为信息，以及样本文件的静态信息，m≥2，t≥2。
64.样本文件的静态信息包括以下信息至少一种：文件类型、文件头的时间戳、文件大小、占用空间以及文件权限等。
65.在图4中，以属性信息包括m个杀毒软件名称及由m个杀毒软件所检测出的样本文件中的病毒名称作为示例，上述属性信息以结构体的数据形式进行输入，图4中以大括号示意结构体的形式。
66.在子操作s1022，将每个样本文件的属性信息分别输入至默认规则集和n个个性规则集中。
67.在子操作s1023，在默认规则集和n个个性规则集中针对输入的属性信息输入至一级规则组进行一级规则判定，一级规则组的输出作为二级规则组的输入，在二级规则组中进行二级规则判定，命中一级规则的属性信息添加上文件危害级别level、文件危害子级别sublevel和危害类型class后进行二级规则判定，文件危害级别和文件危害子级别均具有多个层级；基于二级规则使得一级规则判定得到的不同的杀毒软件和/或不同的沙箱软件的输出结果进行整合，以输出样本文件的危害级别。
68.根据本公开的实施例，文件危害级别level具有多个层级，在一示例性实例中，文件危害级别有7个层级，分别为：level 10，表示纯白级别；level 20，表示白色级别；level 30，表示灰色级别；level 40，表示未知级别；level 50，表示低风险级别；level 60，表示中
风险或高危级别；level 70，表示病毒或木马级别。文件危害级别的从属分类级别为文件危害子级别sublevel，例如在level 20下会有sublevel 128，表示不可信任白，且不可进入启动项。文件危害子级别sublevel具有多个层级，示例性的，在level 50下会有sublevel 151和sublevel 152，sublevel 151表示低风险，且不可进入启动项；sublevel 152表示低风险，且可以进入启动项。
69.参照图4所示，在默认规则集中，包括一级规则组和二级规则组，一级规则组包括：多条一级规则，分别以一级规则r
011
、r
012
进行示例，二级规则组包括：多条二级规则，分别以二级规则r
021
、r
022
、r
023
进行示例。
70.根据本公开的实施例，默认规则集中的一级规则基于病毒名称、样本文件的行为信息和样本文件的静态信息至少之一与危害程度的关联预先设定。
71.示例性的，在默认规则集中，一级规则组中的其中一条一级规则可以是：病毒名称为空的情况下，将文件危害级别level赋值为50，sublevel赋值为xxx，危害类型为x，针对该条规则，会对所有的属性信息进行筛选，以确定命中上述规则的属性信息。例如，m＝3，杀毒软件名称分别为g
11
、g
12
和g
13
，结构体为：{g
11
：a
11
；g
12
：a
12
；g
13
：a
13
}，在杀毒软件g
11
的识别结果为无病毒，病毒名称a
11
为空的情况下命中上述规则，该条属性信息经过一级规则组进行判定后的输出为：g
11
：空(a
11
)、50(level
11
)、xxx(sublevel
11
)、x(class
11
)。其他的规则按照相同的方式对所有的属性信息进行判定。一般而言，针对一条属性信息，会有一个或者多个规则进行判定。
72.输入的结构体会计算一级规则组中的所有规则。一级规则组中的一级规则用于对各个属性信息进行文件危害级别level、文件危害子级别sublevel和危害类型class的添加判定。通常在一些场景中，会存在不同的杀毒软件之间、不同的沙箱软件之间或者杀毒软件和沙箱软件之间对于是否存在病毒的认定不一致的情况，例如上述结构体经过一级规则组的一级规则判定后输出为：
73.{g
11
：空(a
11
)、50(level
11
)、xxx(sublevel
11
)、x(class
11
)；
74.g
12
：病毒名称a
12
、70(level
12
)、yyy(sublevel
12
)、y(class
12
)；
75.g
13
：病毒名称a
13
、10(level
12
)、zzz(sublevel
12
)、z(class
12
)}，
76.此时，可以基于二级规则进行进一步判定，使得一级规则判定得到的不同的杀毒软件和/或不同的沙箱软件的输出结果进行整合，以输出样本文件的危害级别。
77.根据本公开的实施例，默认规则集中的二级规则基于m个杀毒软件和/或t个沙箱软件的信任度进行设定。
78.示例性的，在默认规则集中，二级规则组中的其中一条二级规则可以是：选择信任度最高的杀毒软件和/或沙箱软件的输出结果中的文件危害级别作为样本文件的危害级别。
79.例如上述各个杀毒软件g
11
、g
12
和g
13
中，信任度的排序为：g
11
＞g
12
＞g
13
，则上述一级规则组的输出作为二级规则组的输入，在上述二级规则的判定下，会输出杀毒软件g
11
的判定结果作为该文件的危害级别，得到该文件的危害级别为50(level
11
)、危害子级别为xxx(sublevel
11
)和危害类型为x(class
11
)。
80.n个个性规则集中，每个个性规则集包括一级规则组和二级规则组。上述一级规则组中，包括多个一级规则，二级规则组中包括多个二级规则。
81.n个个性规则集中的一级规则基于病毒名称、样本文件的行为信息和样本文件的静态信息至少之一与危害程度的关联，以及n个个性规则集所属对象针对所述病毒名称的历史识别数据预先设定。
82.示例性，默认情况下，对于远程控制类软件，规则会判定为黑，例如文件危害级别level为50，进行弹窗提示并禁止运行，但某企业的内部业务需要使用这类软件，则个性化规则在制定时将此类软件判定level为30。
83.默认情况下，杀毒软件g
11
的检出在业界信任度较高，对某报出病毒信息则可认为该样本为黑，但该企业历史上使用过该软件，认为其中报的某些病毒名认为是误报，则可以在该企业的规则中将该杀软的这些病毒名增加规则，判定为30。
84.n个个性规则集中的二级规则基于m个杀毒软件和/或t个沙箱软件的信任度，以及n个个性规则集所属对象所要求的安全等级进行设定。
85.示例性的，安全等级例如为10级，数值越大表示安全等级越高，对于安全性要求很高，安全等级在7以上的企业而言，二级规则组中一条二级规则可以设定为：不论各个杀毒软件/沙箱软件的信任度高低，只要存在一款杀毒软件报出存在病毒，则输出level为高风险以上的值，例如输出level为50、60或70。
86.在另一场景中，对于安全性要求相对弱一些的企业而言，例如安全等级在3～6之间，针对不是病毒的判定，示例性的，需要有一家高信任度的杀毒软件报出不是病毒才输出level为10或20；或者需要有至少3个(数量可以变化)低信任度的杀毒软件报出不是病毒。企业可以根据实际需要对上述个性化规则进行自行设定。
87.根据本公开的实施例，默认规则集和n个个性规则集中，一级规则组中的各个一级规则设定有优先级顺序，二级规则组中的各个二级规则设定有优先级顺序，优先级高的一级规则如果命中，则优先级低的针对同一种属性信息的一级规则不再进行判定；优先级高的二级规则如果命中，则优先级低的针对同一种属性信息的二级规则不再进行判定。
88.需要说明的是，上述实施例以默认规则集和n个个性规则集包含两级规则组的示例来描述，在其它的变形实施方式中，在一级或多级规则组中实现一级规则组功能的结构形式也可以等同于一级规则组，在一级或多级规则组中实现二级规则组功能的结构形式也可以等同于二级规则组。比如在其它实施例中，默认规则集可以有三级规则组，其中第一级规则组实现如上所述的一级规则组的功能，第二级规则组和第三级规则组实现如上所述的二级规则组的功能。
89.上述文件危害级别level的数据按照不同对象进行分表存储，如果针对同一个样本文件，由个性规则集处理得到的文件危害级别level的结果与由默认规则集的处理得到的的文件危害级别level的结果一致，则不重复存储，减少重复数据的冗余，既减少了存储量，也提高了查询速度。
90.在一实例中，为了提高查询速度，在存储映射表时，如果由个性规则集处理得到的文件危害级别level的结果为自动产出，由默认规则集处理得到的文件危害级别level的结果为人工产出，则可以定义人工产出的优先级高，默认规则集处理得到的文件危害级别level的结果可以覆盖个性规则集处理得到的文件危害级别level的结果。
91.在一实例中，为了提高查询速度，在存储映射表时，如果由个性规则集处理得到的文件危害级别level的结果为自动产出，由默认规则集处理得到的文件危害级别level的结
果为白：level 20或者纯白：level 10，则可以覆盖个性规则集的产出。需要说明的是，本实例的默认规则集为标准规则集，只有标准规则集具有产白逻辑。
92.图6示意性示出了根据本公开实施例的对个性规则集进行更新的场景示意图。
93.根据本公开的实施例，参照图3中虚线框和图6所示，上述确定方法还包括操作s101：对个性规则集进行更新，上述更新包括：在n个个性规则集的基础上新增或删除个性规则集；或者，对n个个性规则集中的规则进行删除、增加以及修改。例如图6中以删除了个性规则集1中一级规则组的一级规则r
111
，修改一级规则r
112
为一级规则r
112’，还增加了一级规则r
113
作为对个性规则集中的规则进行更新的示例，图6中还示意了在n个个性规则集的基础上新增或删除个性规则集，得到n’个性规则集的更新情形。
94.在包含对个性规则集进行更新的方案中，上述映射关系包括：样本文件库中的样本文件与更新后危害级别的映射关系，更新后危害级别为样本文件由更新后的个性规则集处理后得到。如此一来，个性化规则集可以实现动态更新，以满足不同对象在不同场景和不同时间段内的需求，使得数据库中存储的映射关系也会随着个性规则集的变化而进行动态变化，在用户端查询文件的危害级别时根据文件的运行平台所属对象可以得到动态的、个性化的输出。
95.本公开的第二个示例性实施例提供了一种文件危害级别的确定装置。
96.图7示意性示出了根据本公开实施例的文件危害级别的确定装置的结构框图。
97.参照图7所示，本实施例的确定装置2包括：文件信息获取模块21、文件确定模块22以及危害级别确定模块23。
98.文件信息获取模块21用于获取需要确定危害级别的待判定文件的信息和待判定文件的运行平台所属对象的信息。
99.文件确定模块22用于确定数据库中是否存在与待判定文件名称匹配的第一样本文件。数据库中预先存储有：样本文件库中的样本文件与危害级别的映射关系，危害级别为样本文件由默认规则集和n个个性规则集分别处理后得到，n≥1，n个个性规则集属于不同的对象。
100.危害级别确定模块23用于在数据库中存在第一样本文件的情况下，根据映射关系和待判定文件的运行平台所属对象的信息确定待判定文件由运行平台所属对象对应的规则集处理后得到的危害级别，运行平台所属对象对应的规则集为默认规则集或个性规则集。
101.上述危害级别确定模块23还用于在数据库中不存在第一样本文件的情况，反馈暂时无法查询，将待判定文件作为新的样本文件添加至样本文件库中，并建立待判定文件由默认规则集和n个个性规则集分别处理后得到的危害级别的映射关系。
102.根据本公开的实施例，参照图7所示，上述确定装置2还包括：映射关系构建模块20，用于构建映射关系。上述映射关系构建模块20包括：文件信息获取子模块201、默认规则集构建子模块202和个性规则集构建子模块203。
103.文件信息获取子模块201用于获取样本文件库中每个样本文件的属性信息，以及将每个样本文件的属性信息分别输入至默认规则集和n个个性规则集中，n≥1。
104.属性信息包括以下至少一种：m个杀毒软件名称及由m个杀毒软件所检测出的样本文件中的病毒名称，t个沙箱软件名称及由t个沙箱软件所检测出的样本文件的行为信息，
以及样本文件的静态信息，m≥2，t≥2。
105.默认规则集和n个个性规则集均包括：一级规则组和二级规则组，一级规则组的输出作为二级规则组的输入，一级规则组包括至少2个规则；二级规则组包括至少2个规则。
106.默认规则集构建子模块202用于新建默认规则集。
107.个性规则集构建子模块203用于新建个性规则集，进一步，个性规则集构建子模块203还可以用于更新个性规则集，更新的方法可以参照第一实施例描述的操作s101所示。
108.在默认规则集和n个个性规则集中针对输入的属性信息进行一级规则判定和二级规则判定，命中一级规则的属性信息添加上文件危害级别、文件危害子级别和危害类型后进行二级规则判定，以输出样本文件的危害级别。每个样本文件的属性信息分别输入至默认规则集和n个个性规则集的一级规则组中，命中一级规则的属性信息添加上文件危害级别、文件危害子级别和危害类型从一级规则组输出至二级规则组，基于二级规则使得一级规则判定得到的不同的杀毒软件和/或不同的沙箱软件的输出结果进行整合，以输出样本文件的危害级别。
109.根据本公开的实施例的模块、子模块、单元、子单元中的任意多个、或其中任意多个的至少部分功能可以在一个模块中实现。根据本公开实施例的模块、子模块、单元、子单元中的任意一个或多个可以被拆分成多个模块来实现。例如，映射关系构建模块20、文件信息获取模块21、文件确定模块22以及危害级别确定模块23中的任意多个、或其中任意多个的至少部分功能可以在一个模块中实现，或者，映射关系构建模块20、文件信息获取模块21、文件确定模块22以及危害级别确定模块23中的任意一个或多个可以被拆分成多个模块来实现。
110.根据本公开实施例的模块、子模块、单元、子单元中的任意一个或多个可以至少被部分地实现为硬件电路，例如映射关系构建模块20、文件信息获取模块21、文件确定模块22以及危害级别确定模块23中可以至少被部分地实现为现场可编程门阵列(fpga)、可编程逻辑阵列(pla)、片上系统、基板上的系统、封装上的系统、专用集成电路(asic)，或可以通过对电路进行集成或封装的任何其他的合理方式的硬件或固件来实现，或以软件、硬件以及固件三种实现方式中任意一种或以其中任意几种的适当组合来实现。或者，根据本公开实施例的映射关系构建模块20、文件信息获取模块21、文件确定模块22以及危害级别确定模块23中的一个或多个可以至少被部分地实现为计算机程序模块，当该计算机程序模块被运行时，可以执行相应的功能。
111.本公开的第三个示例性实施例提供了一种电子设备，上述电子设备包括：一个或多个处理器；以及用于存储一个或多个程序的存储装置。其中，当一个或多个程序被一个或多个处理器执行时，使得一个或多个处理器实现如上所述的任一种确定方法。
112.图8示意性示出了根据本公开实施例的电子设备的结构框图。
113.参照图8所示，根据本公开实施例的电子设备3包括处理器301，其可以根据存储在只读存储器(rom)302中的程序或者从存储部分308加载到随机访问存储器(ram)303中的程序而执行各种适当的动作和处理。处理器301例如可以包括通用微处理器(例如cpu)、指令集处理器和/或相关芯片组和/或专用微处理器(例如，专用集成电路(asic))，等等。处理器301还可以包括用于缓存用途的板载存储器。处理器301可以包括用于执行根据本公开实施例的方法流程的不同动作的单一处理单元或者是多个处理单元。
114.在ram 303中，存储有电子设备3操作所需的各种程序和数据。处理器301、rom 302以及ram 303通过总线304彼此相连。处理器301通过执行rom 302和/或ram 303中的程序来执行根据本公开实施例的方法流程的各种操作。需要注意，所述程序也可以存储在除rom 302和ram 303以外的一个或多个存储器中。处理器301也可以通过执行存储在所述一个或多个存储器中的程序来执行根据本公开实施例的方法流程的各种操作。
115.根据本公开的实施例，电子设备3还可以包括输入/输出(i/o)接口305，输入/输出(i/o)接口305也连接至总线304。电子设备3还可以包括连接至i/o接口305的以下部件中的一项或多项：包括键盘、鼠标等的输入部分306；包括诸如阴极射线管(crt)、液晶显示器(lcd)等以及扬声器等的输出部分307；包括硬盘等的存储部分308；以及包括诸如局域网卡、调制解调器等的网络接口卡的通信部分309。通信部分309经由诸如因特网的网络执行通信处理。驱动器310也根据需要连接至i/o接口305。可拆卸介质311，诸如磁盘、光盘、磁光盘、半导体存储器等等，根据需要安装在驱动器310上，以便于从其上读出的计算机程序根据需要被安装入存储部分308。
116.本公开的第四个示例性实施例提供了一种计算机可读存储介质。上述计算机可读存储介质上存储有可执行指令，该指令被处理器执行时使处理器实现如上所述的任一种确定方法。
117.该计算机可读存储介质可以是上述实施例中描述的装置中所包含的；也可以是单独存在，而未装配入该装置中。上述计算机可读存储介质承载有一个或者多个程序，当上述一个或者多个程序被执行时，实现根据本公开实施例的确定方法。
118.根据本公开的实施例，计算机可读存储介质可以是非易失性的计算机可读存储介质，例如可以包括但不限于：便携式计算机磁盘、硬盘、随机访问存储器(ram)、只读存储器(rom)、可擦式可编程只读存储器(eprom或闪存)、便携式紧凑磁盘只读存储器(cd-rom)、光存储器件、磁存储器件、或者上述的任意合适的组合。在本公开中，计算机可读存储介质可以是任何包含或存储程序的有形介质，该程序可以被指令执行系统、装置或者器件使用或者与其结合使用。例如，根据本公开的实施例，计算机可读存储介质可以包括上文描述的rom 302和/或ram 303和/或rom 302和ram 303以外的一个或多个存储器。
119.本公开的第五个示例性实施例提供了一种计算机程序产品，包括计算机可读指令，其中，计算机可读指令被执行时用于实现如上所述的任一种确定方法。
120.根据本公开实施例的方法流程可以被实现为计算机软件程序。例如，本公开的实施例包括一种计算机程序产品，其包括承载在计算机可读存储介质上的计算机程序，该计算机程序包含用于执行流程图所示的方法的程序代码。在这样的实施例中，该计算机程序可以通过通信部分309从网络上被下载和安装，和/或从可拆卸介质311被安装。在该计算机程序被处理器301执行时，执行本公开实施例的系统中限定的上述功能。根据本公开的实施例，上文描述的系统、设备、装置、模块、单元等可以通过计算机程序模块来实现。
121.附图中的流程图和框图，图示了按照本公开各种实施例的系统、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上，流程图或框图中的每个方框可以代表一个模块、程序段、或代码的一部分，上述模块、程序段、或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意，在有些作为替换的实现中，方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如，两个接连地表示的方框实际
上可以基本并行地执行，它们有时也可以按相反的顺序执行，这依所涉及的功能而定。也要注意的是，框图或流程图中的每个方框、以及框图或流程图中的方框的组合，可以用执行规定的功能或操作的专用的基于硬件的系统来实现，或者可以用专用硬件与计算机指令的组合来实现。
122.本领域技术人员可以理解，本公开的各个实施例和/或权利要求中记载的特征可以进行多种组合和/或结合，即使这样的组合或结合没有明确记载于本公开中。特别地，在不脱离本公开精神和教导的情况下，本公开的各个实施例和/或权利要求中记载的特征可以进行多种组合和/或结合。所有这些组合和/或结合均落入本公开的范围。
123.以上对本公开的实施例进行了描述。但是，这些实施例仅仅是为了说明的目的，而并非为了限制本公开的范围。尽管在以上分别描述了各实施例，但是这并不意味着各个实施例中的措施不能有利地结合使用。本公开的范围由所附权利要求及其等同物限定。不脱离本公开的范围，本领域技术人员可以做出多种替代和修改，这些替代和修改都应落在本公开的范围之内。