[发明专利]一种检测文件的方法及装置

权利要求书

1.一种检测文件的方法，其特征在于，包括：

获取第一文件的第一特征信息；

判断所述第一特征信息是否与第一特征数据集中相应信息匹配；其中，所述相应信息与程序类别相关联，所述程序类别包括安全文件类别和恶意文件类别；

若是，则获得与所述相应信息相关联的所述第一文件的程序类别；

若否，则根据预设规则及所述第一文件获得所述第一文件的程序类别。

2.根据权利要求1所述的方法，其特征在于，所述第一特征信息，包括：所述第一文件的二进制码的第一校验信息和所述第一文件的名称信息；所述第一特征数据集，包括：第一校验数据集；

所述判断所述第一特征信息是否与第一特征数据集中相应信息匹配，包括：

判断所述第一校验信息和所述第一文件的名称信息是否与所述第一校验数据集中相应信息匹配。

3.根据权利要求2所述的方法，其特征在于，所述第一特征信息，包括：所述第一文件的名称信息；所述第一特征数据集，包括：第一黑白名单数据集；

所述判断所述第一特征信息是否与第一特征数据集中相应信息匹配，包括：

判断所述名称信息是否与所述第一黑白名单数据集中相应信息匹配。

4.根据权利要求3所述的方法，其特征在于，所述第一特征信息，包括：所述第一文件的名称信息和数字证书信息；所述第一特征数据集，包括：第一数字证书数据集；

所述判断所述第一特征信息是否与第一特征数据集中相应信息匹配，包括：

判断所述数字证书信息是否与所述第一数字证书数据集中相应信息匹配。

5.根据权利要求1所述的方法，其特征在于，所述预设规则，包括：预设第二特征规则；

所述根据预设规则及所述第一文件获得所述第一文件的程序类别，包括：

获取第一文件的第二特征信息；

根据所述预设第二特征规则及所述第二特征信息获得所述第一文件的程序类别的最大权重值；

根据所述程序类别的最大权重值获得所述第一文件的程序类别。

6.根据权利要求5所述的方法，其特征在于，所述预设规则，包括：预设机器学习模型；

所述根据预设规则及所述第一文件获得所述第一文件的程序类别，包括：

根据所述预设机器学习模型及所述第一文件获得所述第一文件的程序类别的权重值及最大权重值；

根据所述程序类别的最大权重值获得所述第一文件的程序类别。

7.根据权利要求6所述的方法，其特征在于，所述预设规则，包括：预设动态行为规则；

所述根据预设规则及所述第一文件获得所述第一文件的程序类别，包括：

根据所述预设动态行为规则及所述第一文件获得所述第一文件的动态行为恶意程度的权重值；

根据所述权重值获得所述第一文件的程序类别。

8.根据权利要求6所述的方法，其特征在于，所述预设规则，包括：预设动态行为规则和预设综合规则；

所述根据预设规则及所述第一文件获得所述第一文件的程序类别，包括：

根据所述预设动态行为规则及所述第一文件获得所述第一文件的动态行为恶意程度的权重值；

根据所述预设综合规则及所述第一文件的程序类别的权重值和所述第一文件的动态行为恶意程度的权重值获得所述第一文件的程序类别。

9.根据权利要求1-8任一项所述的方法，其特征在于，所述方法还包括：

根据所述第一文件的程序类别调整所述第一特征数据集和/或预设规则。

10.一种检测文件的装置，其特征在于，包括：

获取单元，用于获取第一文件的第一特征信息；

判断单元，用于判断所述第一特征信息是否与第一特征数据集中相应信息匹配；其中，所述相应信息与程序类别相关联，所述程序类别包括安全文件类别和恶意文件类别；

匹配单元，用于若所述判断单元的输出结果为“是”，则获得与所述相应信息相关联的所述第一文件的程序类别；

非匹配单元，用于所述判断单元的输出结果为“否”，则根据预设规则及所述第一文件获得所述第一文件的程序类别。