文件的检测方法及装置的制造方法
【专利说明】
【技术领域】
[0001]本发明涉及计算机技术,尤其涉及一种文件的检测方法及装置。
【【背景技术】】
[0002]病毒是编制或者在应用程序中插入的破坏终端功能的数据,其会影响应用程序的正常使用并且能够自我复制,通常以一组指令或者程序代码的形式呈现。病毒具有破坏性,复制性和传染性的特点。终端可以利用杀毒引擎对文件进行基于特征匹配的数值运算,进而,根据数值运算的运算结果,检测文件是否为病毒文件。这个方法同样适用于其他文件的检测,只要根据检测需求,合理挖掘匹配的特征即可。
[0003]然而,由于数值运算较为复杂,因此,可能需要较多的处理资源,这样,会占用终端的大量处理资源,从而导致终端的处理性能降低。
【
【发明内容】
】
[0004]本发明的多个方面提供一种文件的检测方法及装置,用以提高终端的处理性能。
[0005]本发明的一方面,提供一种文件的检测方法,包括:
[0006]利用M个指定特征,对待测文件进行匹配处理,以获得所述M个指定特征中每个指定特征的匹配结果,M为大于或等于I的整数;
[0007]对所述每个指定特征的匹配结果,进行预先设置的逻辑运算;
[0008]根据所述逻辑运算的运算结果,获得所述待测文件的检测结果。
[0009]如上所述的方面和任一可能的实现方式,进一步提供一种实现方式,所述待测文件的检测结果为:
[0010]病毒文件;或者
[0011]正常文件;或者
[0012]非病毒文件;或者
[0013]非正常文件。
[0014]如上所述的方面和任一可能的实现方式,进一步提供一种实现方式,所述利用M个指定特征,对待测文件进行匹配处理,以获得所述M个指定特征中每个指定特征的匹配结果之前,还包括:
[0015]获取P个样本文件,P为大于或等于I的整数;
[0016]对所述P个样本文件中每个样本文件进行分段处理,以获得N个文件片段,N为大于或等于2的整数;
[0017]根据所述N个文件片段,获得所述M个指定特征;所述每个指定特征包括至少一个文件片段。
[0018]如上所述的方面和任一可能的实现方式,进一步提供一种实现方式,所述对所述P个样本文件中每个样本文件进行分段处理,以获得N个文件片段,包括:
[0019]对所述每个样本文件的指定部分进行分段处理,以获得所述N个文件片段。
[0020]如上所述的方面和任一可能的实现方式,进一步提供一种实现方式,所述根据所述N个文件片段,获得所述M个指定特征,包括:
[0021]根据所述每个样本文件的标注结果和所述P个样本文件,获得所述N个文件片段中每个文件片段在标注结果为第一类型文件的样本文件中出现的第一出现次数,以及所述每个文件片段在标注结果为第二类型文件的样本文件中出现的第二出现次数;
[0022]根据所述每个文件片段、所述第一出现次数和所述第二出现次数,从所述N个文件片段中,选择R个文件片段,R为大于或等于I,且小于或等于N的整数;
[0023]根据所述R个文件片段,获得Q个组合片段,Q为大于或等于M的整数;所述Q个组合片段中每个组合片段包括至少一个文件片段;
[0024]根据所述每个样本文件的标注结果和所述P个样本文件,获得所述每个组合片段在标注结果为所述第一类型文件的样本文件中出现的第三出现次数,以及所述每个组合片段在标注结果为第二类型文件的样本文件中出现的第四出现次数;
[0025]根据所述每个组合片段、所述第三出现次数和所述第四出现次数,从所述Q个组合片段中,选择M个组合片段,以作为所述M个指定特征。
[0026]如上所述的方面和任一可能的实现方式,进一步提供一种实现方式,
[0027]所述第一类型文件为病毒文件;所述第二类型文件为正常文件;或者
[0028]所述第一类型文件为正常文件;所述第二类型文件为病毒文件。
[0029]本发明的另一方面,提供一种文件的检测装置,包括:
[0030]特征匹配单元,用于利用M个指定特征,对待测文件进行匹配处理,以获得所述M个指定特征中每个指定特征的匹配结果,M为大于或等于I的整数;
[0031]逻辑运算单元,用于对所述每个指定特征的匹配结果,进行预先设置的逻辑运算;
[0032]结果获得单元,用于根据所述逻辑运算的运算结果,获得所述待测文件的检测结果O
[0033]如上所述的方面和任一可能的实现方式,进一步提供一种实现方式,所述待测文件的检测结果为:
[0034]病毒文件;或者
[0035]正常文件;或者
[0036]非病毒文件;或者
[0037]非正常文件。
[0038]如上所述的方面和任一可能的实现方式,进一步提供一种实现方式,所述装置还包括特征挖掘单元,用于
[0039]获取P个样本文件,P为大于或等于I的整数;
[0040]对所述P个样本文件中每个样本文件进行分段处理,以获得N个文件片段,N为大于或等于2的整数;以及
[0041]根据所述N个文件片段,获得所述M个指定特征;所述每个指定特征包括至少一个文件片段。
[0042]如上所述的方面和任一可能的实现方式,进一步提供一种实现方式,所述特征挖掘单元,进一步包括分段子单元,用于
[0043]对所述每个样本文件的指定部分进行分段处理,以获得所述N个文件片段。
[0044]如上所述的方面和任一可能的实现方式,进一步提供一种实现方式,所述特征挖掘单元,进一步包括:
[0045]第一统计子单元,用于根据所述每个样本文件的标注结果和所述P个样本文件,获得所述N个文件片段中每个文件片段在标注结果为第一类型文件的样本文件中出现的第一出现次数,以及所述每个文件片段在标注结果为第二类型文件的样本文件中出现的第二出现次数;
[0046]第一选择子单元,用于根据所述每个文件片段、所述第一出现次数和所述第二出现次数,从所述N个文件片段中,选择R个文件片段,R为大于或等于I,且小于或等于N的整数;
[0047]组合子单元,用于根据所述R个文件片段,获得Q个组合片段,Q为大于或等于M的整数;所述Q个组合片段中每个组合片段包括至少一个文件片段;
[0048]第二统计子单元,用于根据所述每个样本文件的标注结果和所述P个样本文件,获得所述每个组合片段在标注结果为所述第一类型文件的样本文件中出现的第三出现次数,以及所述每个组合片段在标注结果为第二类型文件的样本文件中出现的第四出现次数;以及
[0049]第二选择子单元,用于根据所述每个组合片段、所述第三出现次数和所述第四出现次数,从所述Q个组合片段中,选择M个组合片段,以作为所述M个指定特征。
[0050]如上所述的方面和任一可能的实现方式,进一步提供一种实现方式,
[0051]所述第一类型文件为病毒文件;所述第二类型文件为正常文件;或者
[0052]所述第一类型文件为正常文件;所述第二类型文件为病毒文件。
[0053]由上述技术方案可知,本发明实施例通过利用一个或多个指定特征,对待测文件进行匹配处理,以获得所述一个或多个指定特征中每个指定特征的匹配结果,进而对所述每个指定特征的匹配结果,进行预先设置的逻辑运算,使得能够根据所述逻辑运算的运算结果,获得所述待测文件的检测结果,由于采用基于特征匹配的逻辑运算,相比数值运算简单很多,不需要较多的处理资源,因此,不会占用终端的大量处理资源,从而提高了终端的处理性能。
[0054]另外,采用本发明提供的技术方案,由于指定特征包括对样本文件进行分段处理所获得的一个或多个文件片段,使得指定特征能够丰富地表达文件特征,能够有效降低文件检测的误报率。
[0055]另外,采用本发明提供的技术方案,对样本文件所进行的挖掘处理,无需人工参与,操作简单,而且正确率高,从而提高了文件检测的效率和可靠性。
【【附图说明】】
[0056]为了更清楚地说明本发明实施例中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作一简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
[0057]图1为本发明一实施例提供的文件的检测方法的流程示意图;
[0058]图2为本发明另一实施例提供的文件的检测方法的流程示意图;
[0059]图3为本发明另一实施例提供的文件的检测装置的结构示