恶意文件检测方法、装置、设备及存储介质与流程

本申请涉及网络安全领域，尤其涉及恶意文件检测方法、装置、设备及存储介质。

背景技术：

1、随着通信和互联网技术的快速发展，信息交互更加频繁，各类恶意文件也越来越多，目前，为了提高检出率，往往对不同的恶意文件采用不同的检测方法进行“同时检测或者顺序检测”来确定最终的检测结果。然而，若采用同时检测，资源消耗比较大；若采用顺序检测，则在某些情况下影响检测效率。因此，如何兼顾检测效率以及资源占用已成为亟待解决的问题。

技术实现思路

1、有鉴于此，本申请实施例提供了一种恶意文件检测方法、装置、设备及存储介质，旨在保证检测效率的同时，兼顾资源占用率。

2、本申请实施例的技术方案是这样实现的：

3、第一方面，本申请实施例提供了一种恶意文件检测的方法，包括：

4、获取待检测文件的特征信息；

5、基于所述特征信息，确定所述待检测文件的检测路径；

6、基于所述检测路径，选取与所述检测路径对应的检测子系统对所述待检测文件进行恶意检测。

7、上述方案中，所述基于所述特征信息，确定所述待检测文件的检测路径，包括：

8、将所述特征信息输入至ai（artificial intelligence，人工智能）模型中，得到所述ai模型输出的检测路径。

9、上述方案中，所述检测路径用于指示：多种不同的检测子系统以及各个检测子系统的检测顺序；或者，多种不同的检测子系统以及各个检测子系统的检测结果考虑权重。

10、上述方案中，当检测子系统包括多个不同的检测模块时；所述检测路径用于指示：检测子系统中所选择的检测模块。

11、上述方案中，所述方法包括：

12、基于当前的检测子系统的检测结果确定是否结束检测过程；

13、若否，则重新确定所述待检测文件的检测路径，并基于重新确定的所述检测路径对应的检测子系统进行检测，返回执行所述基于当前的检测子系统的检测结果确定是否结束检测过程的步骤，直至基于当前的检测子系统的检测结果确定检测结束，或者，循环次数达到设定次数。

14、上述方案中，所述选取与所述检测路径对应的检测子系统对所述待检测文件进行恶意检测，包括以下之一：

15、若所述检测子系统包括指纹证书子系统，则通过指纹证书子系统，基于信誉库检测和根证书验证对所述待检测文件进行分析；

16、若所述检测子系统包括解包分析子系统，则通过解包分析子系统，基于虚拟执行技术分析所述待检测文件的动态行为；

17、若所述检测子系统包括规则检测子系统，则通过规则检测子系统，基于启发式检测技术利用写入的规则对所述待检测文件进行分析；

18、若所述检测子系统包括本地ai检测子系统，则通过ai检测子系统，基于ai技术对所述待检测文件进行分析；

19、若所述检测子系统包括云查云鉴子系统，则通过云查云鉴子系统，在云服务器上对所述待检测文件进行分析。

20、上述方案中，所述基于ai技术对所述待检测文件进行分析，包括：

21、基于静态分析得到所述待检测文件的静态特征；

22、基于ai技术和所述静态特征得到所述待检测文件的深度特征；

23、基于所述深度特征分析得到所述待检测文件的检测结果。

24、第二方面，本申请实施例提供了一种恶意文件检测装置，包括：

25、获取模块，用于获取待检测文件的特征信息；

26、确定模块，用于基于所述特征信息，确定所述待检测文件的检测路径；

27、检测模块，用于基于所述检测路径，选取与所述检测路径对应的检测子系统对所述待检测文件进行恶意检测。

28、第三方面，本申请实施例提供了一种恶意文件检测设备，包括：处理器和用于存储能够在处理器上运行的计算机程序的存储器，其中，所述处理器，用于运行计算机程序时，执行本申请第一方面所述方法的步骤。

29、第四方面，本申请实施例提供了一种计算机存储介质，所述计算机存储介质上存储有计算机程序，所述计算机程序被处理器执行时实现上述第一方面提供的恶意文件检测方法的步骤。

30、本申请实施例提供的技术方案，获取待检测文件的特征信息；基于所述特征信息，确定所述待检测文件的检测路径；基于所述检测路径，选取与所述检测路径对应的检测子系统对所述待检测文件进行恶意检测，能够准确地选取针对恶意文件进行检测的检测路径，基于所述检测路径对应的检测子系统对所述待检测文件进行恶意检测，显然，该方案可实现尽量无需遍历系统中所有的检测子系统，只需选择与待检测文件相适配的检测子系统即可。因此，由于所采用的检测算法的减少，使得资源占用有所降低，并且检测效率有所提高，进而能够在保证检测效率的同时，兼顾资源占用率。

技术特征：

1.一种恶意文件检测方法，其特征在于，包括：

2.根据权利要求1所述的方法，其特征在于，所述基于所述特征信息，确定所述待检测文件的检测路径，包括：

3.根据权利要求1所述的方法，其特征在于，所述检测路径用于指示：多种不同的检测子系统以及各个检测子系统的检测顺序；或者，多种不同的检测子系统以及各个检测子系统的检测结果考虑权重。

4.根据权利要求1所述的方法，其特征在于，当检测子系统包括多个不同的检测模块时；

5.根据权利要求1所述的方法，其特征在于，所述方法还包括：

6.根据权利要求1所述的方法，其特征在于，所述选取与所述检测路径对应的检测子系统对所述待检测文件进行恶意检测，包括以下之一：

7.根据权利要求6所述的方法，其特征在于，所述基于ai技术对所述待检测文件进行分析，包括：

8.一种恶意文件检测装置，其特征在于，包括：

9.一种恶意文件检测设备，其特征在于，包括：处理器和用于存储能够在处理器上运行的计算机程序的存储器，其中，

10.一种计算机存储介质，所述存储介质上存储有计算机程序，其特征在于，所述计算机程序被处理器执行时，实现权利要求1至7任一项所述方法的步骤。

技术总结
本申请公开了一种恶意文件检测方法、装置、设备及存储介质，该方法包括：获取待检测文件的特征信息；基于所述特征信息，确定所述待检测文件的检测路径；基于所述检测路径，选取与所述检测路径对应的检测子系统对所述待检测文件进行恶意检测，能够准确地选取针对恶意文件进行检测的检测路径，基于所述检测路径对应的检测子系统对所述待检测文件进行恶意检测，进而能够在保证检测效率的同时，兼顾资源占用率。

技术研发人员：徐敬蘅,鲍旭华,宋汝鹏,孔勇,江达强,姜正文
受保护的技术使用者：深信服科技股份有限公司
技术研发日：
技术公布日：2024/1/13