[发明专利]一种检测文件的方法及装置

说明书

本申请提供了一种检测文件的方法和装置，所述方法包括：获取第一文件的第一特征信息；判断所述第一特征信息是否与第一特征数据集中相应信息匹配；其中，所述相应信息与程序类别相关联，所述程序类别包括安全文件类别和恶意文件类别；若是，则获得与所述相应信息相关联的所述第一文件的程序类别；若否，则根据预设规则及所述第一文件获得所述第一文件的程序类别。本申请提出多维度静态分析，集成每种分析方式的检测能力，综合提高判定方法最终的检测率。通过增加最先匹配更新速度快的误报MD5库，有效降低判定方法的误报率。具有自我修正能力，判定模块可以对产生误报的文件进行增量学习，不断修正检测误差，同时有效避免误报md5库的过度增多。

技术领域

本申请涉及计算机安全领域，具体涉及检测文件的方法，以及检测文件的装置。

背景技术

目前，病毒、蠕虫和特洛伊木马程序等恶意软件，传播速度快、影响范围广，严重威胁网络环境安全。

所述恶意软件，是指编制者在计算机程序中插入的破坏计算机功能或者数据的代码，能影响计算机使用，能自我复制的一组计算机指令或者程序代码。其在计算机系统上执行恶意任务、通过破坏软件进程来实施控制的病毒、蠕虫和特洛伊木马程序等。

行为分析，通过模拟软件的一系列的动作特征来判断其行为是否构成威胁，是软件检测中的重要手段。

但由于软件变种频繁，对运行环境的特殊要求以及逃逸机制使得有时收集的行为不够全面，因此只通过行为分析检测软件会有一定的限制。

目前，许多病毒生成工具只是简单修改无用字符，即可使其MD5值完全不同而逃脱静态过滤方法，因此病毒库需要及时添加大量病毒变种的MD5值。但是，由于病毒库更新不及时，无法对病毒变种及时识别，导致较高的漏报率。

发明内容

本申请提供一种检测文件的方法，一种检测文件的装置；以解决检测文件灵活性差及误报率高的问题。

为了解决上述技术问题，本申请实施例提供了如下的技术方案：

本申请提供了一种检测文件的方法，包括：

获取第一文件的第一特征信息；

判断所述第一特征信息是否与第一特征数据集中相应信息匹配；其中，所述相应信息与程序类别相关联，所述程序类别包括安全文件类别和恶意文件类别；

若是，则获得与所述相应信息相关联的所述第一文件的程序类别；

若否，则根据预设规则及所述第一文件获得所述第一文件的程序类别。

优选的，所述第一特征信息，包括：所述第一文件的二进制码的第一校验信息和所述第一文件的名称信息；所述第一特征数据集，包括：第一校验数据集；

所述判断所述第一特征信息是否与第一特征数据集中相应信息匹配，包括：

判断所述第一校验信息和所述第一文件的名称信息是否与所述第一校验数据集中相应信息匹配。

进一步的，所述第一特征信息，包括：所述第一文件的名称信息；所述第一特征数据集，包括：第一黑白名单数据集；

所述判断所述第一特征信息是否与第一特征数据集中相应信息匹配，包括：

判断所述名称信息是否与所述第一黑白名单数据集中相应信息匹配。

进一步的，所述第一特征信息，包括：所述第一文件的名称信息和数字证书信息；所述第一特征数据集，包括：第一数字证书数据集；

所述判断所述第一特征信息是否与第一特征数据集中相应信息匹配，包括：

判断所述数字证书信息是否与所述第一数字证书数据集中相应信息匹配。