[发明专利]文件恶意评分方法、装置、设备及计算机可读存储介质

说明书

本发明公开了一种文件恶意评分方法、装置、设备及计算机可读存储介质，所述文件恶意评分方法包括以下步骤：获取被检测文件对应的文件流水数据；基于所述文件流水数据以及第一预设算法，确定所述被检测文件的文件关联图；基于所述文件关联图以及第二预设算法，确定所述被检测文件中未知文件的文件恶意评分。本发明利用文件与外部事物的关联关系建立文件关联图，提高了对恶意文件的检测能力，同时，对文件关联图应用多种第二预设算法，增加了对未知文件的恶意性评分的可靠性以及可信度，从而更好地识别恶意性文件。

技术领域

本发明涉及信息安全领域，尤其涉及一种文件恶意评分方法、装置、设备及计算机可读存储介质。

背景技术

随着互联网的快速发展，互联网上的各种应用逐渐融入到各行各业中，但是互联网在给人们带来便利的同时，也带来了许多安全问题。黑客利用广泛应用的Web服务作为传播恶意Web文件的平台，非法破坏、窃取各种用户信息，使得企业和用户蒙受很大的损失。因此，如何有效检测Web恶意文件，防止其大量传播，保证Web信息系统安全，成为亟待解决的安全问题之一。

但是，传统的恶意软件检测大多基于Hash、规则或者控制数据流匹配。并且，引入机器学习后，仍然是对软件自身内容或行为进行特征提取从而用机器学习方法进行对恶意文件的分类。因此，现有的恶意文件检测方法普遍容易对抗，对加壳和混淆软件的分析较为困难，或者，对于变种病毒的检测会滞后，导致现有的恶意文件检测方法对加壳和混淆软件以及变种病毒的检测能力较差。

上述内容仅用于辅助理解本发明的技术方案，并不代表承认上述内容是现有技术。

发明内容

本发明的主要目的在于提供一种文件恶意评分方法、装置、设备及计算机可读存储介质，旨在解决现有的恶意文件检测方法对恶意文件的检测能力较差的技术问题。

为实现上述目的，本发明提供一种文件恶意评分方法，所述文件恶意评分方法包括以下步骤：

获取被检测文件对应的文件流水数据；

基于所述文件流水数据以及第一预设算法，确定所述被检测文件的文件关联图；

基于所述文件关联图以及第二预设算法，确定所述被检测文件中未知文件的文件恶意评分。

可选地，所述第二预设算法包括社团发现算法以及扩散算法，所述基于所述文件关联图以及第二预设算法，确定所述被检测文件中未知文件的文件恶意评分的步骤包括：

基于所述文件关联图以及所述社团发现算法，确定所述被检测文件中未知文件的第一恶意评分；

基于所述文件关联图以及所述扩散算法，确定所述被检测文件中未知文件的第二恶意评分；

基于所述第一恶意评分以及所述第二恶意评分，确定所述被检测文件中未知文件的文件恶意评分。

可选地，所述基于所述第一恶意评分以及所述第二恶意评分，确定所述被检测文件中未知文件的文件恶意评分的步骤包括：

基于所述第一恶意评分以及所述第二恶意评分以及第三预设算法，确定所述被检测文件中未知文件的文件恶意评分。

可选地，所述基于所述文件关联图以及所述社团发现算法，确定所述被检测文件中未知文件的第一恶意评分的步骤包括：

基于所述文件关联图以及所述社团发现算法，将被检测文件划分成文件社团，以得到多个文件社团；

基于各个文件社团，确定各个文件社团的社团恶意评分，并将所述社团恶意评分作为所述被检测文件中未知文件的第一恶意评分，其中，各个文件社团中包含所述未知文件的子未知文件。

可选地，所述基于各个文件社团，确定各个文件社团的社团恶意评分，并将所述社团恶意评分作为所述被检测文件中未知文件的第一恶意评分的步骤包括：