[发明专利]检测恶意文件的方法和设备

权利要求书

1.一种检测恶意文件的方法，其特征在于，包括：

获取待检测的文件；

若解析出所述文件中包含引用标签，将所述引用标签包含的属性值与预置的恶意文件判定模型进行匹配，若匹配成功，则确定所述文件为恶意文件或疑似恶意文件。

2.根据权利要求1所述的方法，其特征在于，

所述引用标签包含标签显示尺度属性值，

所述恶意文件判定模型包含标签显示尺度属性值阈值；

所述将所述引用标签包含的属性值与预置的恶意文件判定模型进行匹配包括：

将所述引用标签包含的标签显示尺度属性值，与所述恶意文件判定模型所包含的标签显示尺度属性值阈值进行比较，若所述标签显示尺度属性值小于或等于所述标签显示尺度属性值阈值，则确定所述引用标签包含的标签显示尺度属性值与所述恶意文件判定模型匹配成功。

3.根据权利要求1所述的方法，其特征在于，

所述引用标签包含源地址属性值，

所述恶意文件判定模型包含域名信任度阈值；

所述将所述引用标签包含的属性值与预置的恶意文件判定模型进行匹配包括：

获得所述引用标签包含的源地址属性值所对应域名的信任度，将获得的所述信任度与所述恶意文件判定模型包含的域名信任度阈值进行比较，若获得的所述信任度小于或等于所述域名信任度阈值，则确定所述引用标签包含的源地址属性值与所述恶意文件判定模型匹配成功。

4.根据权利要求1所述的方法，其特征在于，

所述引用标签包含标签显示尺度属性值和源地址属性值，

所述恶意文件判定模型包含域名信任度阈值和标签显示尺度属性值阈值，

所述将所述引用标签包含的属性值与预置的恶意文件判定模型进行匹配包括：

将所述引用标签包含的标签显示尺度属性值，与所述恶意文件判定模型所包含的标签显示尺度属性值阈值进行比较；获得所述引用标签包含的源地址属性值所对应域名的信任度，将获得的所述信任度与所述恶意文件判定模型包含的域名信任度阈值进行比较，若所述标签显示尺度属性值小于或等于所述标签显示尺度属性值阈值，和/或，若所述信任度小于或等于所述恶意文件判定模型包含的域名信任度阈值，则确定所述引用标签包含的属性值与所述恶意文件判定模型匹配成功。

5.根据权利要求1至4任一项所述的方法，其特征在于，

所述方法还包括：若解析出所述文件中不包含引用标签，则计算出所述文件的第一哈希值，将所述第一哈希值与存储的至少1个恶意文件的哈希值进行比较，若所述第一哈希值与至少1个恶意文件的哈希值的其中1个相同，则确定所述文件为恶意文件；

或者，

若解析出所述文件中不包含引用标签，则提取所述文件包含的第一特征字符串，将提取的第一特征字符串与恶意文件特征字符库中的特征字符串进行匹配，若匹配出所述第一特征字符串与所述恶意文件特征字符库中的第二特征字符串相同，则确定所述文件为恶意文件；

或者，

若所述引用标签包含的属性值与预置的恶意文件判定模型匹配失败，则计算出所述文件的第一哈希值，将所述第一哈希值与存储的至少1个恶意文件的哈希值进行比较，若所述第一哈希值与所述至少1个恶意文件的哈希值的其中1个相同，则确定所述文件为恶意文件；

或者，

若所述引用标签包含的属性值与预置的恶意文件判定模型匹配失败，则提取所述文件包含的第一特征字符串，将提取的第一特征字符串与恶意文件特征字符库中的特征字符串进行匹配，若匹配出所述第一特征字符串与所述恶意文件特征字符库中的第二特征字符串相同，则确定所述文件为恶意文件。

6.根据权利要求1至4任一项所述的方法，其特征在于，

所述文件为动画文件。

7.一种用户终端，其特征在于，包括：

获取单元，用于获取待检测的文件；

匹配单元，若解析出所述获取单元获取的文件中包含引用标签，将所述引用标签包含的属性值与预置的恶意文件判定模型进行匹配；

确定单元，用于若所述匹配单元匹配成功，则确定所述文件为恶意文件或疑似恶意文件。