据运算结果,就能够获得待测文件的检测结果,即运算结果为1,待测文件为病毒文件;运算结果为0,待测文件为非病毒文件。
[0135]对比1:
[0136]若采用方法一,检测到待测文件为病毒文件,那么,可以得到[ABC D]*k> = O ;
[0137]若采用方法二,检测到待测文件为病毒文件,那么,可以得到A+B> = O ;
[0138]若采用方法一,检测到待测文件为非病毒文件,那么,可以得到[ABC D]*k〈0 ;
[0139]若采用方法二,检测到待测文件为非病毒文件,那么,可以得到A+C〈0 ;
[0140]综上,可以得到B>C。
[0141]对比2:
[0142]若采用方法一,检测到待测文件为病毒文件,那么,可以得到[ABC D]*k> = O ;
[0143]若采用方法二,检测到待测文件为病毒文件,那么,可以得到D+C> = O ;
[0144]若采用方法一,检测到待测文件为非病毒文件,那么,可以得到[ABC D]*k〈0 ;
[0145]若采用方法二,检测到待测文件为非病毒文件,那么,可以得到D+B〈0 ;
[0146]综上,可以得到B〈C。
[0147]由于上述两个对比之后的结果是矛盾的,因此,根本不存在数值运算的匹配结果[ABC D],也就是说,逻辑运算能够检测出来的检测结果,数值运算并不能检测出来,说明了采用逻辑运算的检测方法的检出率比采用数值运算的检测方法的检出率要高。
[0148]可选地,在本实施例的一个可能的实现方式中,如果最终的检测结果为待测文件是否为病毒文件,那么,利用标注结果为正常文件的样本文件(即白样本文件)作为待检测文件,执行101?103,根据103所获得的检测结果,统计误报率。若误报率大于或等于预先设置的误报阈值,则对所述M个指定特征、预先设置的逻辑运算进行调整处理。
[0149]在一个具体的实现过程中,如果最终的检测结果为待测文件是否为病毒文件,假设M个指定特征所对应的逻辑运算为或运算,那么,具体可以利用标注结果为正常文件的样本文件(即白样本文件)作为待检测文件,执行101?103,根据103所获得的检测结果,统计M个指定特征中每个指定特征的误报率。若某个指定特征的误报率大于或等于预先设置的误报阈值,则删除该指定特征。
[0150]本实施例中,通过利用一个或多个指定特征,对待测文件进行匹配处理,以获得所述一个或多个指定特征中每个指定特征的匹配结果,进而对所述每个指定特征的匹配结果,进行预先设置的逻辑运算,使得能够根据所述逻辑运算的运算结果,获得所述待测文件的检测结果,由于采用基于特征匹配的逻辑运算,相比数值运算简单很多,不需要较多的处理资源,因此,不会占用终端的大量处理资源,从而提高了终端的处理性能。
[0151]另外,采用本发明提供的技术方案,由于指定特征包括对样本文件进行分段处理所获得的一个或多个文件片段,使得指定特征能够丰富地表达文件特征,能够有效降低文件检测的误报率。
[0152]另外,采用本发明提供的技术方案,对样本文件所进行的挖掘处理,无需人工参与,操作简单,而且正确率高,从而提高了文件检测的效率和可靠性。
[0153]需要说明的是,对于前述的各方法实施例,为了简单描述,故将其都表述为一系列的动作组合,但是本领域技术人员应该知悉,本发明并不受所描述的动作顺序的限制,因为依据本发明,某些步骤可以采用其他顺序或者同时进行。其次,本领域技术人员也应该知悉,说明书中所描述的实施例均属于优选实施例,所涉及的动作和模块并不一定是本发明所必须的。
[0154]在上述实施例中,对各个实施例的描述都各有侧重,某个实施例中没有详述的部分,可以参见其他实施例的相关描述。
[0155]图3为本发明另一实施例提供的文件的检测装置的结构示意图,如图3所示。本实施例的文件的检测装置可以包括特征匹配单元31、逻辑运算单元32和结果获得单元33。其中,特征匹配单元31,用于利用M个指定特征,对待测文件进行匹配处理,以获得所述M个指定特征中每个指定特征的匹配结果,M为大于或等于I的整数;逻辑运算单元32,用于对所述每个指定特征的匹配结果,进行预先设置的逻辑运算;结果获得单元33,用于根据所述逻辑运算的运算结果,获得所述待测文件的检测结果。
[0156]其中,所述待测文件的检测结果可以包括但不限于如下内容:
[0157]病毒文件;或者
[0158]正常文件;或者
[0159]非病毒文件;或者
[0160]非正常文件。
[0161]需要说明的是,本实施例所提供的文件的检测装置的部分或全部可以为位于本地终端的应用,或者还可以为位于本地终端的应用中的插件或软件开发工具包(SoftwareDevelopment Kit,SDK)等功能单元,或者还可以为位于网络侧的服务器中的处理引擎,或者还可以为位于网络侧的分布式系统,本实施例对此不进行特别限定,本实施例对此不进行特别限定。
[0162]可以理解的是,所述应用可以是安装在终端上的本地程序(nativeApp),或者还可以是终端上的浏览器的一个网页程序(webApp),只要能够实现文件的检测,以提供安全的系统环境的客观存在形式都可以,本实施例对此不进行特别限定。
[0163]可选地,在本实施例的一个可能的实现方式中,如图4所示,本实施例所提供的文件的检测装置还可以进一步包括特征挖掘单元41,具体可以用于获取P个样本文件,P为大于或等于I的整数;对所述P个样本文件中每个样本文件进行分段处理,以获得N个文件片段,N为大于或等于2的整数;以及根据所述N个文件片段,获得所述M个指定特征;所述每个指定特征包括至少一个文件片段。
[0164]在一个具体的实现过程中,如图5所示,所述特征挖掘单元41,进一步包括分段子单元51,用于对所述每个样本文件的指定部分进行分段处理,以获得所述N个文件片段。其中,所述指定部分可以为人工根据经验进行手动设置,或者还可以为自动根据策略进行自动设置,本实施例对此不进行特别限定。
[0165]这样,由于只对样本文件的指定部分进行分段处理,而不需要对样本文件的全部部分都进行分段处理,能够避免由于对每个样本文件的全部部分进行分段处理而导致的占用终端较多的处理资源的问题,从而提高了终端的处理性能。
[0166]在另一个具体的实现过程中,如图6所示,所述特征挖掘单元41,进一步包括:
[0167]第一统计子单元61,具体可以用于根据所述每个样本文件的标注结果和所述P个样本文件,获得所述N个文件片段中每个文件片段在标注结果为第一类型文件的样本文件中出现的第一出现次数,以及所述每个文件片段在标注结果为第二类型文件的样本文件中出现的第二出现次数;
[0168]第一选择子单元62,具体可以用于根据所述每个文件片段、所述第一出现次数和所述第二出现次数,从所述N个文件片段中,选择R个文件片段,R为大于或等于1,且小于或等于N的整数;
[0169]组合子单元63,具体可以用于根据所述R个文件片段,获得Q个组合片段,Q为大于或等于M的整数;所述Q个组合片段中每个组合片段包括至少一个文件片段;
[0170]第二统计子单元64,具体可以用于根据所述每个样本文件的标注结果和所述P个样本文件,获得所述每个组合片段在标注结果为所述第一类型文件的样本文件中出现的第三出现次数,以及所述每个组合片段在标注结果为第二类型文件的样本文件中出现的第四出现次数;以及
[0171]第二选择子单元65,具体可以用于根据所述每个组合片段、所述第三出现次数和所述第四出现次数,从所述Q个组合片段中,选择M个组合片段,以作为所述M个指定特征。
[0172]在一个具体的实现过程中,所述第一类型文件可以为病毒文件;相应地,所述第二类型文件可以为正常文件。
[0173]在另一个具体的实现过程中,所述第一类型文件可以为正常文件;相应地,所述第二类型文件可以为病毒文件。
[0174]需要说明的是,图1和图2对应的实施例中方法,可以由本实施例提供的文件的检测装置实现。详细描述可以参见图1和图2对应的实施例中的相关内容,此处不再赘述。
[0175]本实施例中,通过特征匹配单元利用一个或多个指定特征,对待测文件进行匹配处理,以获得所述一个或多个指定特征中每个指定特征的匹配结果,进而由逻辑运算单元对所述每个指定特征的匹配结果,进行预先设置的逻辑运算,使得结果获得单元能够根据所述逻辑运算的运算结果,获得所述待测文件的检测结果,由于采用基于特征匹配的逻辑运算,相比数值运算简单很多,不需要较多的处理资源,因此,不