第二模型Backup [j]。
[0093]需要说明的是,对于每个模型组都进行该处理,以生成相应的第三集合,所以有P个模型组,就有P个第三集合。
[0094]最后,利用每个第三集合对若干未知类型的文件进行文件类型的判定,以获得每个所述第三集合的恶意文件检出率和恶意文件错误率。然后,依据每个所述第三集合的恶意文件检出率和恶意文件错误率,选出一个所述第三集合。并利用选出的所述第三集合对应的模型组中的第二模型对所述第一集合进行调整。
[0095]其中,恶意文件检出率等于第三集合对若干未知类型的文件进行文件类型的判定时,正确检测出的恶意文件的数目与未知类型的文件中恶意文件总数的比值,恶意文件检出率越高,表示第三集合能够检测出越多的恶意文件。
[0096]其中,恶意文件错误率等于第三集合对未知类型的文件进行文件类型的判定时,将正常文件判定为恶意文件的数目与未知类型的文件的总数的比值,恶意文件错误率越低,表示第三集合检测恶意文件的准确率越高。
[0097]优选的,依据每个所述第三集合的恶意文件检出率和恶意文件错误率,选出一个所述第三集合的方法可以包括但不限于:依据每个第三集合的恶意文件检出率与恶意文件错误率的比值,获得每个第三集合的效能比。然后依据效能比由大到小的顺序,对P个第三集合进行排序,以获得排序结果,选择排序结果中排在第一位的第三集合,即在P个第三集合中找到效能比最大的第三集合New [i,j]。
[0098]优选的,利用选出的所述第三集合New[i,j]对应的模型组中的第二模型Backup [j]对所述第一集合Online进行调整的方法可以包括但不限于:
[0099]比较选出的所述第三集合New[i,j]的恶意文件检出率与所述第一集合Online的恶意文件检出率的大小,以及比较选出的所述第三集合New[i,j]的恶意文件错误率与所述第一集合Online的恶意文件错误率的大小。
[0100]若选出的所述第三集合New[i,j]的恶意文件检出率大于所述第一集合Online的恶意文件检出率,且选出的所述第三集合New[i,j]的恶意文件错误率大于所述第一集合Online的恶意文件错误率,表示第三集合New[i,j]的恶意文件检出率以及恶意文件错误率都优于当前使用的第一集合Online的恶意文件检出率以及恶意文件错误率,则需要利用选出的所述第三集合New[i,j]对应的模型组{Online [i],Backup [j]}中的第二模型Backup [j],对所述第一集合Online进行调整,该调整可以包括:若第一集合Online中的第一模型Online[i]的数目达到预设的模型阈值,则利用第三集合New[i,j]对应的模型组{Online [i], Backup[j]}中的第二模型Backup [j],在所述第一集合Online中替换属于该模型组的第一模型Online[i]。或者,若第一集合Online中的第一模型Online[i]的数目还没有达到预设的模型阈值,可以在第一集合Online中直接增加第三集合New[i,j]对应的模型组{Online [i], Backup [j]}中的第二模型 Backup [j]。
[0101]反之,若选出的所述第三集合New[i,j]的恶意文件检出率小于或者等于所述第一集合Online的恶意文件检出率,和/或,选出的所述第三集合New[i,j]的恶意文件错误率小于或者等于所述第一集合Online的恶意文件错误率,表示第三集合New[i,j]的恶意文件检出率和/或恶意文件错误率没有优于当前使用的第一集合Online的恶意文件检出率以及恶意文件错误率,则不利用选出的第三集合New[i,j]对应的模型组中的第二模型对第一集合Online进行调整,保持当前第一集合Online不变。
[0102]需要说明的是,本发明实施例中所涉及的终端可以包括但不限于个人计算机(Personal Computer, PC)、个人数字助理(Personal Digital Assistant,PDA)、无线手持设备、平板电脑(Tablet Computer)、手机、MP3播放器、MP4播放器等。
[0103]需要说明的是,上述文件扫描方法的执行主体可以为文件扫描装置,该装置可以位于本地终端的应用,或者还可以为位于本地终端的应用中的插件或软件开发工具包(Software Development Kit,SDK)等功能单元,本发明实施例对此不进行特别限定。
[0104]可以理解的是,所述应用可以是安装在终端上的应用程序(nativeApp),或者还可以是终端上的浏览器的一个网页程序(webApp),本发明实施例对此不进行限定。
[0105]本发明实施例进一步给出实现上述方法实施例中各步骤及方法的装置实施例。
[0106]请参考图4,其为本发明实施例所提供的文件扫描装置的功能方块图。如图所示,该装置包括:
[0107]类型判断单元401,用于利用M个第一模型分别判断待检测文件的类型,以获得M个判断结果,M为大于或者等于2的整数;
[0108]结果统计单元402,用于依据所述M个判断结果,获得将所述待检测文件判定为恶意文件的第一模型的数目;
[0109]类型确定单元403,用于依据所述将所述待检测文件判定为恶意文件的第一模型的数目,获得所述待检测文件的类型。
[0110]优选的,所述类型确定单元403,具体用于:
[0111]比较将所述待检测文件判定为恶意文件的第一模型的数目与预设的第一阈值的大小;
[0112]若将所述待检测文件判定为恶意文件的第一模型的数目小于所述第一阈值,确定所述待测试文件为正常文件;
[0113]若将所述待检测文件判定为恶意文件的第一模型的数目大于或者等于所述第一阈值,确定所述待测试文件为恶意文件。
[0114]优选的,所述装置还包括:
[0115]文件获取单元404,用于获得新出现的恶意文件,以作为训练样本;
[0116]模型生成单元405,用于利用所述训练样本进行机器训练,以生成第二模型;
[0117]模型调整单元406,用于利用所述第二模型对所述M个第一模型进行调整。
[0118]优选的,所述M个第一模型组成第一集合;所述模型调整单元406,具体用于:
[0119]将所述第二模型添加到预设的第二集合,所述第二集合包含K个第二模型,K为大于O的整数;
[0120]依据所述第二集合中的一个第二模型以及所述第一集合中的一个第一模型,生成P个模型组,P大于O且小于或者等于M与K的乘积;
[0121]利用每个所述模型组中的第二模型,在所述第一集合中替换属于该模型组的第一模型,以获得P个第三集合;
[0122]获得每个所述第三集合的恶意文件检出率和恶意文件错误率;
[0123]依据每个所述第三集合的恶意文件检出率和恶意文件错误率,选出一个所述第三集合;
[0124]利用选出的所述第三集合对应的模型组中的第二模型对所述第一集合进行调整。
[0125]优选的,所述模型调整单元406用于利用选出的所述第三集合对应的模型组中的第二模型对所述第一集合进行调整时,具体用于:
[0126]比较选出的所述第三集合的恶意文件检出率与所述第一集合的恶意文件检出率的大小,以及比较选出的所述第三集合的恶意文件错误率与所述第一集合的恶意文件错误率的大小;
[0127]若选出的所述第三集合的恶意文件检出率大于所述第一集合的恶意文件检出率,且选出的所述第三集合的恶意文件错误率大于所述第一集合的恶意文件错误率,利用所述第三集合对应的模型组中的第二模型,在所述第一集合中替换属于该模型组的第一模型,或者,在所述第一集合中增加所述第三集合对应的模型组中的第二模型。
[0128]由于本实施例中的各单元能够执行图1?图3所示的方法,本实施例未详细描述的部分,可参考对图1?图3的相关说明。
[0129]本发明实施例的技术方案具有以下有益效果:
[0130]本发明实施例通过利用M个第一模型分别判断待检测文件的类型,以获得M个判断结果,M为大于或者等于2的整数;从而,依据所述M个判断结果,获得将所述待检测文件判定为恶意文件的第一模型的数目;进而,依据所述将所述待检测文件判定为恶意文件的第一模型的数目,获得所述待检测文件的类型。
[0131]因此,本发明实施例提供的技术方案中,利用多个模型进行待检测文件的类型判定,并依据多个模型的判定结果对待检测文件的类型进行综合判断,从而可以实现提高文件扫描过程中判断模型对恶意文件的检测性能,提高判断模型对恶意文件的检测准确率。
[0132]另外,采用多个模型进行待检测文件的类型判