基于沙箱矩阵的文件检测方法、装置、设备和存储介质与流程

1.本技术涉及网络安全技术领域，特别是涉及一种基于沙箱矩阵的文件检测方法、装置、计算机设备和存储介质。


背景技术：

2.随着计算机技术的发展，网络安全也越来越重要。例如在局域网中，若其中一台设备遭受恶意文件攻击，那么全网的安全将会受到重大影响甚至会让整个网络全面瘫痪。对此，沙箱可被用于对网络中的文件进行隔离与保护。其中，沙箱通过搭建模拟计算机环境，让可疑文件在该模拟环境中运行，监测该文件的运行情况并据此判别该文件的恶意程度，进而可以从中筛选出威胁网络安全的文件。
3.目前的技术中，用户将待检测文件上传到鉴定器沙箱，鉴定器沙箱检测后返回检测结果，但这种技术利用单一的鉴定器沙箱对文件进行分析检测，容易发生对待检测文件的分析存在误报、漏报等情况，导致这种技术存在检测结果不够准确的技术问题。


技术实现要素：

4.基于此，有必要针对上述技术问题，提供一种基于沙箱矩阵的文件检测方法、装置、计算机设备和存储介质。
5.一种基于沙箱矩阵的文件检测方法，所述方法包括：
6.获取待检测文件；
7.将所述待检测文件送入鉴定器沙箱矩阵，以使所述鉴定器沙箱矩阵中各鉴定器沙箱分别对所述待检测文件进行检测；
8.获取所述各鉴定器沙箱的鉴定器权重；
9.根据所述各鉴定器沙箱的鉴定器权重以及所述各鉴定器沙箱分别对所述待检测文件的检测结果，得到所述鉴定器沙箱矩阵对所述待检测文件的检测结果。
10.一种基于沙箱矩阵的文件检测装置，包括：
11.文件获取模块，用于获取待检测文件；
12.文件送入模块，用于将所述待检测文件送入鉴定器沙箱矩阵，以使所述鉴定器沙箱矩阵中各鉴定器沙箱分别对所述待检测文件进行检测；
13.权重获取模块，用于获取所述各鉴定器沙箱的鉴定器权重；
14.结果确定模块，用于根据所述各鉴定器沙箱的鉴定器权重以及所述各鉴定器沙箱分别对所述待检测文件的检测结果，得到所述鉴定器沙箱矩阵对所述待检测文件的检测结果。
15.一种计算机设备，包括存储器和处理器，所述存储器存储有计算机程序，所述处理器执行所述计算机程序时实现以下步骤：
16.获取待检测文件；将所述待检测文件送入鉴定器沙箱矩阵，以使所述鉴定器沙箱矩阵中各鉴定器沙箱分别对所述待检测文件进行检测；获取所述各鉴定器沙箱的鉴定器权
重；根据所述各鉴定器沙箱的鉴定器权重以及所述各鉴定器沙箱分别对所述待检测文件的检测结果，得到所述鉴定器沙箱矩阵对所述待检测文件的检测结果。
17.一种计算机可读存储介质，其上存储有计算机程序，所述计算机程序被处理器执行时实现以下步骤：
18.获取待检测文件；将所述待检测文件送入鉴定器沙箱矩阵，以使所述鉴定器沙箱矩阵中各鉴定器沙箱分别对所述待检测文件进行检测；获取所述各鉴定器沙箱的鉴定器权重；根据所述各鉴定器沙箱的鉴定器权重以及所述各鉴定器沙箱分别对所述待检测文件的检测结果，得到所述鉴定器沙箱矩阵对所述待检测文件的检测结果。
19.上述基于沙箱矩阵的文件检测方法、装置、计算机设备和存储介质，获取待检测文件，将文件送入鉴定器沙箱矩阵以使鉴定器沙箱矩阵所包含的各鉴定器沙箱分别对该待检测文件进行检测，最后根据各鉴定器沙箱的鉴定器权重以及各鉴定器沙箱分别对待检测文件的检测结果，得到鉴定器沙箱矩阵对待检测文件的检测结果。该方案能够自动将待检测文件送入鉴定器沙箱矩阵内进行检测，鉴定器沙箱矩阵可自动将文件送入多个鉴定器沙箱，根据各鉴定器沙箱的权重进行综合计算，最终判断文件是否可疑，提高文件检测准确率。
附图说明
20.图1为一个实施例中基于沙箱矩阵的文件检测方法的应用环境图；
21.图2为一个实施例中确定各鉴定器沙箱的优劣参考值步骤的流程示意图；
22.图3为一个实施例中基于沙箱矩阵的文件检测装置的结构框图；
23.图4为一个实施例中计算机设备的内部结构图。
具体实施方式
24.为了使本技术的目的、技术方案及优点更加清楚明白，以下结合附图及实施例，对本技术进行进一步详细说明。应当理解，此处描述的具体实施例仅仅用以解释本技术，并不用于限定本技术。
25.在一个实施例中，如图1所示，提供了一种基于沙箱矩阵的文件检测方法，该方法可以应用于服务器等计算机设备，该方法具体包括以下步骤：
26.步骤s101，获取待检测文件；
27.本步骤中，服务器可以获取通过流量抓包还原出来的文件作为待检测文件。
28.步骤s102，将待检测文件送入鉴定器沙箱矩阵，以使鉴定器沙箱矩阵中各鉴定器沙箱分别对待检测文件进行检测；
29.本步骤，服务器可将通过流量抓包还原出来的待检测文件送入文件送检队列，由消费程序消费文件队列送入鉴定器沙箱矩阵内，该鉴定器沙箱矩阵包括多个鉴定器沙箱，文件送入鉴定器沙箱矩阵后，可在该鉴定器沙箱矩阵内对送入的文件进行交错检测，使得鉴定器沙箱矩阵中各鉴定器沙箱分别对待检测文件进行检测。
30.在实际应用中，用户可以对鉴定器沙箱矩阵中各鉴定器沙箱(或简称鉴定器)进行管理，可以包括增删改查、送检配置、启动、关闭、鉴定器状态等功能的管理。可以在用户终端上展示鉴定器管理页面，以供用户在鉴定器管理页面上对各鉴定器进行管理，以下部分
主要描述用户可在页面上实施的操作。
31.具体的，对于鉴定器增删改查管理：用户可在页面上点击“新增鉴定器”按钮，输入鉴定器名称、鉴定器ip、鉴定器类型、版本号、选择厂商等信息；用户可在页面上点击“编辑鉴定器”按钮，弹出编辑界面对鉴定器名称、鉴定器ip、鉴定器url地址、鉴定器类型、版本号、厂商等信息进行编辑后点击“保存”按钮进行编辑保存操作；用户可在页面上点选工作状态为“已关闭”的一个或多个鉴定器，弹出提示“是否确定删除鉴定器？”，选择确定后删除鉴定器，并可同步更新所有鉴定器对应的鉴定器权重(在后续部分介绍)；鉴定器管理页面还支持点击操作列详情按钮查看鉴定器的历史操作详情(如展示三个月内的操作)；在页面上还支持鉴定器启动、关闭、鉴定器编辑等操作。其中，鉴定器编辑还支持展示多个操作项包括鉴定器名称、鉴定器ip、鉴定器类型、厂商、版本号。
32.另外，对于送检配置。用户可在页面上通过点击选择一个工作状态为“已关闭”的文件鉴定器，点击“送检配置”按钮，在弹出的送检配置界面选择送检配置的方式。其中，送检配置的方式可以包括白名单和黑名单；白名单：过滤文件格式输入的为需要送检的文件格式即只有匹配输入的文件类型才送检到该鉴定器中；黑名单：过滤文件格式输入的为无需送检的文件格式即默认全部类型文件都送检，只有匹配输入的文件类型才不送检到该鉴定器中。
33.步骤s103，获取各鉴定器沙箱的鉴定器权重；
34.鉴定器沙箱矩阵包含多个鉴定器沙箱，每个鉴定器沙箱均可对待检测文件进行检测从而会得到多个检测结果，为综合各待检测文件的检测结果，本步骤可获取鉴定器沙箱矩阵中每一鉴定器沙箱的鉴定器权重，该权重可用以表征相应鉴定器沙箱所得到的检测结果在鉴定器沙箱矩阵获得对该文件的最终检测结果的过程的影响程度大小，鉴定器权重越大对最终检测结果的影响程度越大。
35.步骤s104，根据各鉴定器沙箱的鉴定器权重以及各鉴定器沙箱分别对待检测文件的检测结果，得到鉴定器沙箱矩阵对待检测文件的检测结果。
36.服务器可综合鉴定器沙箱矩阵中每一鉴定器沙箱各自对待检测文件的检测结果，最终得到对待检测文件的检测结果。具体的，服务器根据每一鉴定器沙箱的鉴定器权重及其所获得的检测结果，得到鉴定器沙箱矩阵这一整体对待检测文件的检测结果。在具体实现中，每一鉴定器沙箱所获得的检测结果可以视为该文件属于恶意文件的概率值，由此可根据各鉴定器沙箱的鉴定器权重对这些概率值进行加权求和处理，最终得到鉴定器沙箱矩阵整体对该待检测文件属于恶意文件的概率值，进而可当该概率值大于一定阈值时将其作为恶意文件。
37.上述基于沙箱矩阵的文件检测方法，获取待检测文件，将文件送入鉴定器沙箱矩阵以使鉴定器沙箱矩阵所包含的各鉴定器沙箱分别对该待检测文件进行检测，最后根据各鉴定器沙箱的鉴定器权重以及各鉴定器沙箱分别对待检测文件的检测结果，得到鉴定器沙箱矩阵对待检测文件的检测结果。该方案能够自动将待检测文件送入鉴定器沙箱矩阵内进行检测，鉴定器沙箱矩阵可自动将文件送入多个鉴定器沙箱，根据各鉴定器沙箱的权重进行综合计算，最终判断文件是否可疑，提高文件检测准确率。
38.在一个实施例中，步骤s103中的获取各鉴定器沙箱的鉴定器权重，具体包括：
39.获取各鉴定器沙箱的优劣参考值，针对属于同一鉴定器类型的各鉴定器沙箱中的
每一鉴定器沙箱，将每一鉴定器沙箱对应的优劣参考值比值与同一鉴定器类型的权重总和的乘积作为每一鉴定器沙箱各自的鉴定器权重。
40.本实施例中，优劣参考值是指用于评估该鉴定器沙箱的优劣质程度的参考值。在计算鉴定器沙箱各自的鉴定器权重时，需确定属于同一鉴定器类型的各鉴定器沙箱，在同一类型当中进行计算，同一鉴定器类型对应同一权重总和，该权重总和可以设置为10，示例性的，鉴定器类型可以包括：报文鉴定器、通信域鉴定器和文件鉴定器等。由此，针对属于同一鉴定器类型的各鉴定器沙箱中的每一鉴定器沙箱，可先计算该每一鉴定器沙箱对应的优劣参考值比值，优劣参考值比值是指每一鉴定器沙箱的优劣参考值分别与同一鉴定器类型的各鉴定器沙箱的优劣参考值总和的比值，优劣参考值总和可将该同一鉴定器类型的各鉴定器沙箱的优劣参考值进行求和得到。得到每一鉴定器沙箱对应的优劣参考值比值后，将该每一鉴定器沙箱对应的优劣参考值比值与前述权重总和的乘积作为该每一鉴定器沙箱各自的鉴定器权重。
41.进一步的，在一个实施例中，上述获取各鉴定器沙箱的优劣参考值，具体包括：
42.获取各鉴定器沙箱对应多个检测指标项的检测指标数据，基于检测指标数据，确定各鉴定器沙箱的优劣参考值。
43.其中，检测指标项是指用于评估鉴定器沙箱的某些检测性能表现的指标项目，检测指标数据是指鉴定器沙箱在这些检测指标项下的具体指标数据。示例性的，该多个检测指标项可以包括：检测效率、误报率、故障率和检出速率等。其中，检测效率可以是近若干个月送检有结果数量与该近若干个月送检数量的比值；误报率可以是近若干个月送检结果误报数量与该近若干个月送检有结果数量的比值；故障率可以是近若干个月按每日若干个点探测失败的点占比等。
44.本实施例可依据每个鉴定器沙箱对应多个检测指标项的检测指标数据，科学客观地对每个鉴定器沙箱的优劣进行评估，从而确定各鉴定器沙箱的优劣参考值。其中，对于在多个检测指标项的性能表现越好的鉴定器沙箱，其所具有的优劣参考值也越高，反之亦然。
45.对于鉴定器沙箱的优劣参考值的计算，在一些实施例中，如图2所示，上述实施例中的基于检测指标数据，确定各鉴定器沙箱的优劣参考值，进一步包括：
46.步骤s201，针对属于同一鉴定器类型的各鉴定器沙箱中的每一鉴定器沙箱，构建原始矩阵。
47.其中，原始矩阵的第一维度为属于同一鉴定器类型的各鉴定器沙箱中的每一鉴定器沙箱，该原始矩阵的第二维度为前述多个检测指标项，例如检测效率、误报率、故障率和检出速率等，该原始矩阵的矩阵元素为前述每一鉴定器沙箱对应该多个检测指标项的检测指标数据。
48.示例性的，原始矩阵的第一维度和第二维度可以对应为矩阵的行和列，以下部分以第一维度为矩阵的行，第二维度为矩阵的列，以及检测指标项包括检测效率、误报率、故障率和检出速率该四项为基础进行描述。具体的，可基于各鉴定器沙箱的各检测指标数据构建原始矩阵，矩阵每行为每个鉴定器的各项检测指标数据，每列为鉴定器分别对应每一鉴定器在相应检测指标项的检测指标数据。
49.步骤s202，基于原始矩阵，获取最优鉴定器沙箱矩阵和最劣鉴定器沙箱矩阵；
50.其中，最优鉴定器沙箱矩阵是指其所包含的矩阵元素能够用于表征该鉴定器类型
中具有最优性能的鉴定器(即最优鉴定器沙箱)的矩阵，最劣鉴定器沙箱矩阵则为其所包含的矩阵元素能够用于表征该鉴定器类型中具有最劣性能的鉴定器(即最劣鉴定器沙箱)的矩阵。
51.在一个实施例中，步骤s202具体包括：
52.对原始矩阵进行正向同向化和无量纲化处理并获取对应的规范矩阵；将规范矩阵中各矩阵元素与相应检测指标项对应的指标项权重相乘并除以相应检测指标项对应的范数，得到标准化矩阵；根据标准化矩阵中在第二维度的各检测指标项中具有最大值的矩阵元素，构建最优鉴定器沙箱矩阵；根据标准化矩阵中在第二维度的各检测指标项中具有最小值的矩阵元素，构建最劣鉴定器沙箱矩阵。
53.具体的，可对检测指标项中误报率和故障率两个检测指标项的数据做正向化处理，可采用100-x，x表示在误报率和故障率两个检测指标项下的检测指标数据；对各检测指标项的数据做无量纲处理，可采用(x-min)/(max-min)，min为数据列最小值，max为数据列最大值，从而得到处理后的原始矩阵x如：
[0054][0055]
根据处理后的原始矩阵x构造对应的规范矩阵z’，属性进行向量规范化，即规范矩阵z’的每一列元素都乘以指标权重并除以当前列向量的范数(使用余弦距离度量)：
[0056][0057]
其中，ωj标识第j个检测指标项的指标权重(重要程度)，指标权重可根据熵权法或专家评估确定，由此得到标准化矩阵z：
[0058][0059]
由此，可以确定最优鉴定器沙箱矩阵z
+
：
[0060][0061]
以及确定最劣鉴定器沙箱矩阵z
—
：
[0062][0063]
其中，max{}表示其中具有最大值的矩阵元素，min{}表示其中具有最小值的矩阵
元素，从而可以获得最优鉴定器沙箱矩阵z
+
以及最劣鉴定器沙箱矩阵z
—
。
[0064]
在一些实施例中，如上实施例中的指标权重可以在获取标准化矩阵之前进行计算，具体步骤包括：
[0065]
基于前述规范矩阵，利用熵权法计算得到各检测指标项对应的指标项权重。
[0066]
具体的，可根据规范矩阵z’计算概率矩阵p，其矩阵元素p
ij
为：
[0067][0068]
接着，计算每个检测指标项的信息熵，并计算信息效用值，并归一化得到每个检测指标项的熵权。其中，对第j个检测指标项而言，其信息熵的方式为：
[0069][0070]ej
越大，第j个检测指标项的信息熵越大，其对应信息量越小。然后可计算信息效用值，定义信息效用值向量d，则每一项信息效用值dj为：
[0071]dj
＝1-ej；
[0072]
最后进行信息效用值归一化，得到熵权向量w，每一项所表征的指标项权重wj为：
[0073][0074]
通过本实施例提供的方案能够计算得到各检测指标项对应的指标项权重。
[0075]
步骤s203，根据最优鉴定器沙箱矩阵和最劣鉴定器沙箱矩阵，确定每一鉴定器沙箱与最优鉴定器沙箱的第一接近程度值以及与最劣鉴定器沙箱的第二接近程度值；
[0076]
本步骤主要是在获得最优鉴定器沙箱矩阵z+和最劣鉴定器沙箱矩阵z—后，判断各鉴定器沙箱与最优鉴定器沙箱以及最劣鉴定器沙箱的接近程度，并分别用第一接近程度值和第二接近程度值来衡量。
[0077]
具体的，在一些实施例中，步骤s203包括：
[0078]
从标准化矩阵中分别获取表征每一鉴定器沙箱的子标准化矩阵；针对每一鉴定器沙箱的子标准化矩阵，根据子标准化矩阵的矩阵元素与最优鉴定器沙箱矩阵的矩阵元素的差平方和的开平方，得到第一接近程度值；针对每一鉴定器沙箱的子标准化矩阵，根据子标准化矩阵的矩阵元素与最劣鉴定器沙箱矩阵的矩阵元素的差平方和的开平方，得到第二接近程度值。
[0079]
其中，标准化矩阵z中每一行向量可分别作为每一鉴定器沙箱的子标准化矩阵。本实施例计算各鉴定器与最优、最劣鉴定器的接近程度值，具体可采用如下两式进行计算：
[0080]
针对第i个鉴定器沙箱的第一接近程度值
[0081][0082]
针对第i个鉴定器沙箱的第二接近程度值
[0083][0084]
步骤s204，根据第一接近程度值和第二接近程度值，获取优劣参考值。
[0085]
具体的，对于各鉴定器沙箱的优劣参考值的计算，可采用下式进行：
[0086]
针对第i个鉴定器沙箱的优劣参考值ci：
[0087][0088]
其中，0≤ci≤1，优劣参考值ci越接近1，则该鉴定器沙箱越优质，据此也可以根据每个鉴定器沙箱的优劣参考值ci的大小进行排序得出排名。
[0089]
在实际应用中，可在用户终端提供鉴定器权重的管理页面，具体可以包括如鉴定器序号、鉴定器名称(支持点击跳转到对应鉴定器url地址)、鉴定器ip、鉴定器类型、优劣排名、优劣参考值、鉴定器权重等内容。其中，优劣排名、优劣参考值、鉴定器权重由利用如上实施例所述的方式对各鉴定器进行综合评价计算得出。用户可以新增鉴定器沙箱，新增鉴定器的鉴定器权重可设为0，支持用户根据实际情况进行主动调整，调整完成后点击保存校验同类所有鉴定器的鉴定器权重和为10。
[0090]
下面以4个鉴定器和4项检测指标数据(检测效率、误报率、故障率和检出速率)为基础从整体角度描述本技术从鉴定器的各项检测指标数据到获得该4个鉴定器的优劣参考值的示例性实施过程：
[0091]
首先，对4个项检测指标数据(检测效率、误报率、故障率、检出速率)进行正向化、无量纲化处理，得到处理后的原始矩阵x如下，其中列代表指标，行代表鉴定器：
[0092][0093]
然后根据处理后的原始矩阵x先得到规范矩阵z’，再利用熵权法计算加权向量w：
[0094][0095]
w＝(0.23 0.22 0.12 0.15)；
[0096]
接着利用规范矩阵z’和加权向量w利用余弦距离度量进行向量规范化得到标准化矩阵z：
[0097][0098]
然后根据对标准化矩阵z的各列数据确定最优鉴定器矩阵z
+
和最劣鉴定器矩阵z-；
[0099]z+
＝(0.1323 0.0523 0.0523 0.0723)，
[0100]
z-＝(0.0623 0.0023 0.0023 0.0023)；
[0101]
然后对4个鉴定器在标准化矩阵z的行分别与最优鉴定器矩阵z
+
以及最劣鉴定器矩阵z-做差平方和的开平方，计算得到第一接近程度值以及第二接近程度值
[0102]d+
＝(0.4345 0.0553 0.4514 0.2753)，
[0103]
d-＝(0.6342 0.4523 0.5523 0.6723)；
[0104]
最对4个鉴定器根据和最优、最劣鉴定器的接近程度计算出各自的优劣参考值c：
[0105]
c＝(0.3245 0.5235 0.4632 0.3272)。
[0106]
本技术提供的基于沙箱矩阵的文件检测方法，可具有如下技术效果：
[0107]
服务器系统可直接从抓取的流程中还原出待检测文件，根据配置的送检队列将文件自动发送到鉴定器沙箱，提高检测效率；由多个鉴定器沙箱组成的鉴定器沙箱矩阵对待检测文件进行多源分析检测，多种威胁情报系统整合，以提升整体系统的威胁检测能力，还能够以统一的标准对多家来源情报进行规范，建立起完备的、可考核的情报体系；多源互校、加权投票，提升检测结果的准确度，强化系统对网络安全事件数据的检测能力，提升检测准确率。
[0108]
在实际应用中，可在用户终端提供队列界面，用以展示当天不同鉴定器的文件送检队列任务数据，具体展示内容可以包括：序号、任务状态、鉴定器名称、文件名称、文件路径、md5、文件大小、源ip、目的ip、源站点、目的站点、任务创建时间、任务完成时间、任务操作等内容；对于待检文件的数据来源，可以来源于装置还原文件上送的可疑文件数据；对于数据清除，可设每天23时59分59秒将任务建立时间为当日的任务进行清除操作；对于数据去重，可将当日重复md5值的文件不进行送检操作，检测结果取当天第一条送检记录的结果；提供查询功能，例如支持任务状态(正在处理、等待处理、等待重试、处理失败、处理成功)、鉴定器名称、文件名称；展示任务状态，例如：正在处理即鉴定任务正在执行，等待鉴定器返回鉴定结果、等待处理即鉴定任务还在排队等待执行、等待重试即鉴定命令已经发送执行过一次并且处理失败送入等待处理队列末尾等待重新执行、处理失败即任务已经根据配置重试了n次(次数可由队列配置的自动重试次数决定，默认为3)，最终任务状态仍然是执行失败的、处理成功即鉴定任务已经成功完成；对于已关闭的鉴定器，可仅展示任务状态为“正在处理”及“处理成功”的任务数据，其余状态数据可删除；提供置顶功能：将当前任务置于等待处理任务队列的顶部，使当前任务排在等待处理任务队列的第一位；提供重启任务功能：重新启动鉴定任务，按钮默认置灰，当勾选仅限任务状态为“处理失败”的任务时，点亮按钮，点击后重启勾选任务，任务状态修改为“等待处理”置于等待队列末尾；当多选中存在正在处理、等待处理、等待重试任务时，按钮置灰；提供删除任务功能：删除当前进度任务，按钮默认置灰，勾选任务后(任意一条非“正在处理”状态的任务)，点亮按钮，点击后删除勾选任务；提供列配置功能：针对界面展示的鉴定器进行配置相应，更改队列配置后任务
状态为“正在处理”的任务可不受更改后参数影响，而只影响等待处理任务；其中，可设置鉴定器类型如文件鉴定器，可设置任务分发间隔即任务与任务之间从送检队列送入鉴定器的间隔，输入范围为整数如20至60，默认为30，单位为秒；可设置任务并发数即同时送检到鉴定器的任务数，范围为整数如1至1000，默认为10；可设置自动重试次数即任务首次失败后自动重试次数，输入范围为整数如1-10，默认为3；还提供导出功能：支持点击“导出”按钮将列表数据以例如excel格式导出本地；可展示任务建立时间：指任务创建并进入队列时的时间；可展示任务完成时间：指任务执行完成并返回结果时间。
[0109]
应该理解的是，虽然如上流程图中的各个步骤按照箭头的指示依次显示，但是这些步骤并不是必然按照箭头指示的顺序依次执行。除非本文中有明确的说明，这些步骤的执行并没有严格的顺序限制，这些步骤可以以其它的顺序执行。而且，如上流程图中的至少一部分步骤可以包括多个步骤或者多个阶段，这些步骤或者阶段并不必然是在同一时刻执行完成，而是可以在不同的时刻执行，这些步骤或者阶段的执行顺序也不必然是依次进行，而是可以与其它步骤或者其它步骤中的步骤或者阶段的至少一部分轮流或者交替地执行。
[0110]
在一个实施例中，如图3所示，提供了一种基于沙箱矩阵的文件检测装置，该装置300可以包括：
[0111]
文件获取模块301，用于获取待检测文件；
[0112]
文件送入模块302，用于将所述待检测文件送入鉴定器沙箱矩阵，以使所述鉴定器沙箱矩阵中各鉴定器沙箱分别对所述待检测文件进行检测；
[0113]
权重获取模块303，用于获取所述各鉴定器沙箱的鉴定器权重；
[0114]
结果确定模块304，用于根据所述各鉴定器沙箱的鉴定器权重以及所述各鉴定器沙箱分别对所述待检测文件的检测结果，得到所述鉴定器沙箱矩阵对所述待检测文件的检测结果。
[0115]
在一个实施例中，权重获取模块303，用于获取所述各鉴定器沙箱的优劣参考值；针对属于同一鉴定器类型的各鉴定器沙箱中的每一鉴定器沙箱，将所述每一鉴定器沙箱对应的优劣参考值比值与所述同一鉴定器类型的权重总和的乘积作为所述每一鉴定器沙箱各自的鉴定器权重；其中，所述优劣参考值比值为所述每一鉴定器沙箱的优劣参考值分别与所述同一鉴定器类型的各鉴定器沙箱的优劣参考值总和的比值。
[0116]
在一个实施例中，权重获取模块303，用于获取所述各鉴定器沙箱对应多个检测指标项的检测指标数据；基于所述检测指标数据，确定所述各鉴定器沙箱的优劣参考值。
[0117]
在一个实施例中，权重获取模块303，用于针对属于同一鉴定器类型的各鉴定器沙箱中的每一鉴定器沙箱，构建原始矩阵；所述原始矩阵的第一维度为所述每一鉴定器沙箱，所述原始矩阵的第二维度为所述多个检测指标项，所述原始矩阵的矩阵元素为所述每一鉴定器沙箱对应所述多个检测指标项的检测指标数据；基于所述原始矩阵，获取最优鉴定器沙箱矩阵和最劣鉴定器沙箱矩阵；根据所述最优鉴定器沙箱矩阵和最劣鉴定器沙箱矩阵，确定所述每一鉴定器沙箱与最优鉴定器沙箱的第一接近程度值以及与最劣鉴定器沙箱的第二接近程度值；根据所述第一接近程度值和第二接近程度值，获取所述优劣参考值。
[0118]
在一个实施例中，权重获取模块303，用于对所述原始矩阵进行正向同向化和无量纲化处理并获取对应的规范矩阵；将所述规范矩阵中各矩阵元素与相应检测指标项对应的指标项权重相乘并除以所述相应检测指标项对应的范数，得到标准化矩阵；根据所述标准
化矩阵中在所述第二维度的各检测指标项中具有最大值的矩阵元素，构建所述最优鉴定器沙箱矩阵；根据所述标准化矩阵中在所述第二维度的各检测指标项中具有最小值的矩阵元素，构建所述最劣鉴定器沙箱矩阵。
[0119]
在一个实施例中，权重获取模块303，用于从所述标准化矩阵中分别获取表征所述每一鉴定器沙箱的子标准化矩阵；针对所述每一鉴定器沙箱的子标准化矩阵，根据所述子标准化矩阵的矩阵元素与所述最优鉴定器沙箱矩阵的矩阵元素的差平方和的开平方，得到所述第一接近程度值；针对所述每一鉴定器沙箱的子标准化矩阵，根据所述子标准化矩阵的矩阵元素与所述最劣鉴定器沙箱矩阵的矩阵元素的差平方和的开平方，得到所述第二接近程度值。
[0120]
在一个实施例中，权重获取模块303，还用于基于所述规范矩阵，利用熵权法计算得到所述各检测指标项对应的指标项权重。
[0121]
在一个实施例中，所述各检测指标项包括：检测效率、误报率、故障率和检出速率。
[0122]
关于基于沙箱矩阵的文件检测装置的具体限定可以参见上文中对于基于沙箱矩阵的文件检测方法的限定，在此不再赘述。上述基于沙箱矩阵的文件检测装置中的各个模块可全部或部分通过软件、硬件及其组合来实现。上述各模块可以硬件形式内嵌于或独立于计算机设备中的处理器中，也可以以软件形式存储于计算机设备中的存储器中，以便于处理器调用执行以上各个模块对应的操作。
[0123]
在一个实施例中，提供了一种计算机设备，该计算机设备可以是服务器，其内部结构图可以如图4所示。该计算机设备包括通过系统总线连接的处理器、存储器和网络接口。其中，该计算机设备的处理器用于提供计算和控制能力。该计算机设备的存储器包括非易失性存储介质、内存储器。该非易失性存储介质存储有操作系统、计算机程序和数据库。该内存储器为非易失性存储介质中的操作系统和计算机程序的运行提供环境。该计算机设备的数据库用于存储待检测文件、鉴定器沙箱矩阵、鉴定器权重和检测结果等数据。该计算机设备的网络接口用于与外部的终端通过网络连接通信。该计算机程序被处理器执行时以实现一种基于沙箱矩阵的文件检测方法。
[0124]
本领域技术人员可以理解，图4中示出的结构，仅仅是与本技术方案相关的部分结构的框图，并不构成对本技术方案所应用于其上的计算机设备的限定，具体的计算机设备可以包括比图中所示更多或更少的部件，或者组合某些部件，或者具有不同的部件布置。
[0125]
在一个实施例中，还提供了一种计算机设备，包括存储器和处理器，存储器中存储有计算机程序，该处理器执行计算机程序时实现上述各方法实施例中的步骤。
[0126]
在一个实施例中，提供了一种计算机可读存储介质，其上存储有计算机程序，该计算机程序被处理器执行时实现上述各方法实施例中的步骤。
[0127]
本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程，是可以通过计算机程序来指令相关的硬件来完成，所述的计算机程序可存储于一非易失性计算机可读取存储介质中，该计算机程序在执行时，可包括如上述各方法的实施例的流程。其中，本技术所提供的各实施例中所使用的对存储器、存储、数据库或其它介质的任何引用，均可包括非易失性和易失性存储器中的至少一种。非易失性存储器可包括只读存储器(read-only memory，rom)、磁带、软盘、闪存或光存储器等。易失性存储器可包括随机存取存储器(random access memory，ram)或外部高速缓冲存储器。作为说明而非局限，ram可以是多种
形式，比如静态随机存取存储器(static random access memory，sram)或动态随机存取存储器(dynamic random access memory，dram)等。
[0128]
以上实施例的各技术特征可以进行任意的组合，为使描述简洁，未对上述实施例中的各个技术特征所有可能的组合都进行描述，然而，只要这些技术特征的组合不存在矛盾，都应当认为是本说明书记载的范围。
[0129]
以上所述实施例仅表达了本技术的几种实施方式，其描述较为具体和详细，但并不能因此而理解为对发明专利范围的限制。应当指出的是，对于本领域的普通技术人员来说，在不脱离本技术构思的前提下，还可以做出若干变形和改进，这些都属于本技术的保护范围。因此，本技术专利的保护范围应以所附权利要求为准。