会占用终端的大量处理资源,从而提高了终端的处理性能。
[0176]另外,采用本发明提供的技术方案,由于指定特征包括对样本文件进行分段处理所获得的一个或多个文件片段,使得指定特征能够丰富地表达文件特征,能够有效降低文件检测的误报率。
[0177]另外,采用本发明提供的技术方案,对样本文件所进行的挖掘处理,无需人工参与,操作简单,而且正确率高,从而提高了文件检测的效率和可靠性。
[0178]所属领域的技术人员可以清楚地了解到,为描述的方便和简洁,上述描述的系统,设备和单元的具体工作过程,可以参考前述方法实施例中的对应过程,在此不再赘述。
[0179]在本发明所提供的几个实施例中,应该理解到,所揭露的系统,设备和方法,可以通过其它的方式实现。例如,以上所描述的设备实施例仅仅是示意性的,例如,所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,设备或单元的间接耦合或通信连接,可以是电性,机械或其它的形式。
[0180]所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
[0181]另外,在本发明各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现,也可以采用硬件加软件功能单元的形式实现。
[0182]上述以软件功能单元的形式实现的集成的单元,可以存储在一个计算机可读取存储介质中。上述软件功能单元存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)或处理器(processor)执行本发明各个实施例所述方法的部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(Read-Only Memory, ROM)、随机存取存储器(Random Access Memory, RAM)、磁碟或者光盘等各种可以存储程序代码的介质。
[0183]最后应说明的是:以上实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。
【主权项】
1.一种文件的检测方法,其特征在于,包括: 利用M个指定特征,对待测文件进行匹配处理,以获得所述M个指定特征中每个指定特征的匹配结果,M为大于或等于I的整数; 对所述每个指定特征的匹配结果,进行预先设置的逻辑运算; 根据所述逻辑运算的运算结果,获得所述待测文件的检测结果。
2.根据权利要求1所述的方法,其特征在于,所述待测文件的检测结果为: 病毒文件;或者 正常文件;或者 非病毒文件;或者 非正常文件。
3.根据权利要求1或2所述的方法,其特征在于,所述利用M个指定特征,对待测文件进行匹配处理,以获得所述M个指定特征中每个指定特征的匹配结果之前,还包括: 获取P个样本文件,P为大于或等于I的整数; 对所述P个样本文件中每个样本文件进行分段处理,以获得N个文件片段,N为大于或等于2的整数; 根据所述N个文件片段,获得所述M个指定特征;所述每个指定特征包括至少一个文件片段。
4.根据权利要求3所述的方法,其特征在于,所述对所述P个样本文件中每个样本文件进行分段处理,以获得N个文件片段,包括: 对所述每个样本文件的指定部分进行分段处理,以获得所述N个文件片段。
5.根据权利要求3所述的方法,其特征在于,所述根据所述N个文件片段,获得所述M个指定特征,包括: 根据所述每个样本文件的标注结果和所述P个样本文件,获得所述N个文件片段中每个文件片段在标注结果为第一类型文件的样本文件中出现的第一出现次数,以及所述每个文件片段在标注结果为第二类型文件的样本文件中出现的第二出现次数; 根据所述每个文件片段、所述第一出现次数和所述第二出现次数,从所述N个文件片段中,选择R个文件片段,R为大于或等于I,且小于或等于N的整数; 根据所述R个文件片段,获得Q个组合片段,Q为大于或等于M的整数;所述Q个组合片段中每个组合片段包括至少一个文件片段; 根据所述每个样本文件的标注结果和所述P个样本文件,获得所述每个组合片段在标注结果为所述第一类型文件的样本文件中出现的第三出现次数,以及所述每个组合片段在标注结果为第二类型文件的样本文件中出现的第四出现次数; 根据所述每个组合片段、所述第三出现次数和所述第四出现次数,从所述Q个组合片段中,选择M个组合片段,以作为所述M个指定特征。
6.根据权利要求5所述的方法,其特征在于, 所述第一类型文件为病毒文件;所述第二类型文件为正常文件;或者 所述第一类型文件为正常文件;所述第二类型文件为病毒文件。
7.一种文件的检测装置,其特征在于,包括: 特征匹配单元,用于利用M个指定特征,对待测文件进行匹配处理,以获得所述M个指定特征中每个指定特征的匹配结果,M为大于或等于I的整数; 逻辑运算单元,用于对所述每个指定特征的匹配结果,进行预先设置的逻辑运算; 结果获得单元,用于根据所述逻辑运算的运算结果,获得所述待测文件的检测结果。
8.根据权利要求7所述的装置,其特征在于,所述待测文件的检测结果为: 病毒文件;或者 正常文件;或者 非病毒文件;或者 非正常文件。
9.根据权利要求7或8所述的装置,其特征在于,所述装置还包括特征挖掘单元,用于 获取P个样本文件,P为大于或等于I的整数; 对所述P个样本文件中每个样本文件进行分段处理,以获得N个文件片段,N为大于或等于2的整数;以及 根据所述N个文件片段,获得所述M个指定特征;所述每个指定特征包括至少一个文件片段。
10.根据权利要求9所述的装置,其特征在于,所述特征挖掘单元,进一步包括分段子单元,用于 对所述每个样本文件的指定部分进行分段处理,以获得所述N个文件片段。
11.根据权利要求9所述的装置,其特征在于,所述特征挖掘单元,进一步包括: 第一统计子单元,用于根据所述每个样本文件的标注结果和所述P个样本文件,获得所述N个文件片段中每个文件片段在标注结果为第一类型文件的样本文件中出现的第一出现次数,以及所述每个文件片段在标注结果为第二类型文件的样本文件中出现的第二出现次数; 第一选择子单元,用于根据所述每个文件片段、所述第一出现次数和所述第二出现次数,从所述N个文件片段中,选择R个文件片段,R为大于或等于I,且小于或等于N的整数;组合子单元,用于根据所述R个文件片段,获得Q个组合片段,Q为大于或等于M的整数;所述Q个组合片段中每个组合片段包括至少一个文件片段;第二统计子单元,用于根据所述每个样本文件的标注结果和所述P个样本文件,获得所述每个组合片段在标注结果为所述第一类型文件的样本文件中出现的第三出现次数,以及所述每个组合片段在标注结果为第二类型文件的样本文件中出现的第四出现次数;以及第二选择子单元,用于根据所述每个组合片段、所述第三出现次数和所述第四出现次数,从所述Q个组合片段中,选择M个组合片段,以作为所述M个指定特征。
12.根据权利要求11所述的装置,其特征在于, 所述第一类型文件为病毒文件;所述第二类型文件为正常文件;或者 所述第一类型文件为正常文件;所述第二类型文件为病毒文件。
【专利摘要】本发明实施例提供一种文件的检测方法及装置。本发明实施例通过利用M个指定特征,对待测文件进行匹配处理,以获得所述M个指定特征中每个指定特征的匹配结果,M为大于或等于1的整数;对所述每个指定特征的匹配结果,进行预先设置的逻辑运算;根据所述逻辑运算的运算结果,获得所述待测文件的检测结果。由于采用基于特征匹配的逻辑运算,相比数值运算简单很多,不需要较多的处理资源,因此,不会占用终端的大量处理资源,从而提高了终端的处理性能。
【IPC分类】G06F21-56
【公开号】CN104680067
【申请号】CN201510082108
【发明人】熊蜀光, 冯侦探, 曹德强, 邓小路, 王新
【申请人】安一恒通(北京)科技有限公司
【公开日】2015年6月3日
【申请日】2015年2月15日