[发明专利]异常文件的检测方法、装置、设备、存储介质及程序产品

权利要求书

1.一种异常文件的检测方法，其特征在于，所述方法包括：

获取文件生成日志，所述文件生成日志中包含至少一个生成文件的生成记录；

基于所述生成记录指示的机器标识以及文件生成路径，确定所述生成文件的文件活跃特征，所述机器标识是所述生成文件所属机器的标识，所述文件活跃特征用于指示所述生成文件在不同机器以及不同路径上生成的活跃性；

基于所述生成记录指示的内容修改次数，确定所述生成文件的文件修改特征，所述内容修改次数根据所述生成文件在相同生成位置下的内容变化次数确定；

基于所述文件活跃特征以及所述文件修改特征，对至少一个所述生成文件过滤，得到异常文件。

2.根据权利要求1所述的方法，其特征在于，所述文件活跃特征包括机器活跃特征与路径活跃特征，所述生成记录中包含所述机器标识、所述文件生成路径与所述生成文件的内容标识之间的对应关系；

所述基于所述生成记录指示的机器标识以及文件生成路径，确定所述生成文件的文件活跃特征，包括：

基于所述机器标识与所述内容标识的对应关系，确定所述机器活跃特征；

基于所述文件生成路径与所述内容标识的对应关系，确定所述路径活跃特征。

3.根据权利要求2所述的方法，其特征在于，所述机器活跃特征包括生成广度特征以及生成热度特征，所述路径活跃特征包括文件名活跃特征以及目录活跃特征；

所述基于所述机器标识与所述内容标识的对应关系，确定所述机器活跃特征，包括：

基于所述生成文件的内容标识对应的机器标识，确定所述生成文件的生成广度特征以及生成热度特征，所述生成广度特征用于指示所述生成文件属于不同机器的机器数量，所述生成热度特征用于指示所述生成文件在机器上的生成次数；

所述基于所述文件生成路径与所述内容标识的对应关系，确定所述路径活跃特征，包括：

基于所述生成文件的所述内容标识对应的不同文件名数量，确定所述文件名活跃特征，所述文件生成路径中指示有文件名；

基于所述生成文件的所述内容标识对应的不同生成目录数量，确定所述目录活跃特征，所述文件生成路径中指示有生成目录。

4.根据权利要求3所述的方法，其特征在于，所述基于所述生成记录指示的内容修改次数，确定所述生成文件的文件修改特征，包括：

基于所述生成记录中同一机器内相同文件生成路径对应的内容标识的变化次数，确定第一文件修改特征；

基于所述生成记录中同一机器内相同生成目录对应的内容标识的变化次数，确定第二文件修改特征；

基于所述生成记录中同一机器内相同生成文件名对应的内容标识的变化次数，确定第三文件修改特征。

5.根据权利要求4所述的方法，其特征在于，所述基于所述文件活跃特征以及所述文件修改特征，对至少一个所述生成文件过滤，得到异常文件，包括：

在所述文件活跃特征指示所述生成文件为隐匿型文件的情况下，将所述生成文件确定为第一异常文件；

在所述文件修改特征指示所述生成文件的修改次数低于次数阈值的情况下，将所述生成文件确定为第二异常文件；

基于所述第一异常文件与所述第二异常文件的交集文件，确定所述异常文件。

6.根据权利要求5所述的方法，其特征在于，所述在所述文件活跃特征指示所述生成文件为隐匿型文件的情况下，将所述生成文件确定为第一异常文件，包括：

在所述生成广度特征指示的生成广度低于广度阈值且所述生成热度特征指示的生成热度低于热度阈值的情况下，确定所述生成文件为所述隐匿型文件，将所述生成文件确定为所述第一异常文件；

在所述文件名活跃特征指示的文件名数量与所述目录活跃特征指示的生成目录数量大于生成数量阈值的情况下，确定所述生成文件为隐匿型文件，将所述生成文件确定为所述第一异常文件；

所述在所述文件修改特征指示所述生成文件的修改次数低于次数阈值的情况下，将所述生成文件确定为第二异常文件，包括：

在所述第一文件修改特征、所述第二文件修改特征以及所述第三文件修改特征指示的内容修改次数小于所述次数阈值的情况下，将所述生成文件确定为所述第二异常文件。