[发明专利]一种检测方法和装置

权利要求书

1.一种检测方法，其特征在于，包括：

判断获取的目标文件是否是固态存储器与动画编辑器flash文件；

当判断出所述获取的目标文件是flash文件，将所述目标文件中包含的具有二进制形式的代码的格式进行转换，转换成具有字符串形式的代码；

将位于所述具有字符串形式的代码中的预设位置的代码提取出来，得到待解析代码；

判断所述待解析代码中是否包含有预设的恶意特征中的至少一个恶意特征；预设的恶意特征包括名称特征、恶意行为特征或数据拼接特征；名称特征包括类名；

当判断出所述待解析代码中包含有预设的恶意特征中的至少一个恶意特征，根据所述待解析代码中包含的每一个恶意特征中的待解析字符串，得到与所述每一个恶意特征对应的、能够表示该恶意特征的恶意程度的数值；与所述每一个恶意特征对应的、能够表示该恶意特征的恶意程度的数值与所述待解析代码中包含的每一个恶意特征中的待解析字符串有关联关系；

根据与所述每一个恶意特征对应的、能够表示该恶意特征的恶意程度的数值，采用机器学习算法，判断所述目标文件是否是恶意文件。

2.根据权利要求1所述的检测方法，其特征在于，所述判断获取的目标文件是否是固态存储器与动画编辑器flash文件，包括：

采用文件格式识别方法识别所述目标文件的文件类型，判断所述文件类型是否是flash文件的文件类型。

3.根据权利要求1所述的检测方法，其特征在于，所述将位于所述具有字符串形式的代码中的预设位置的代码提取出来，得到待解析代码，包括：

查找位于所述具有字符串形式的代码中的预设位置中的每个位置的代码；

将所述每个位置的代码提取出来，得到待解析代码。

4.根据权利要求1所述的检测方法，其特征在于，

所述预设的恶意特征包括名称特征、恶意行为特征或数据拼接特征；

相应的，所述根据所述待解析代码中包含的每一个恶意特征中的待解析字符串，得到与所述每一个恶意特征对应的、能够表示该恶意特征的恶意程度的数值，包括：

当所述待解析代码中包含所述名称特征时，根据与所述待解析代码中包含的所述名称特征相匹配的字符串为正常字符串的概率，得到与所述名称特征对应的、能够表示所述名称特征的恶意程度的数值；

当所述待解析代码中包含所述恶意行为特征时，根据所述待解析代码中包含的所述恶意行为特征中的每个特征出现的次数，得到与所述恶意行为特征对应的、能够表示所述恶意行为特征的恶意程度的数值；

当所述待解析代码中包含所述数据拼接特征时，根据所述待解析代码中包含的所述数据拼接特征出现的次数，得到与所述数据拼接特征对应的、能够表示所述数据拼接特征的恶意程度的数值。

5.根据权利要求1所述的检测方法，其特征在于，所述根据与所述每一个恶意特征对应的、能够表示该恶意特征的恶意程度的数值，采用机器学习算法，判断所述目标文件是否是恶意文件，包括：

根据与所述每一个恶意特征对应的、能够表示该恶意特征的恶意程度的数值，采用机器学习算法，计算得到所述目标文件为恶意文件的概率；

根据所述概率，判断所述目标文件是否是恶意文件。