[发明专利]文件检测的方法、装置

说明书

本发明提供一种文件检测的方法、装置，能够提高对文件检测的效率和正确率，保证检测的时效性。本发明的文件检测的方法包括：对待检测文件是否加壳进行检测，得到待检测文件的静态权重值；获取待检测文件的行为，基于待检测文件的行为解析得到待检测文件的行为特征信息；根据待检测文件的行为特征信息对待检测文件进行权重计算，得到待检测文件的动态权重值；以及，将静态权重值与动态权重值的加权和与预设阀值进行比对，确定待检测文件的类型。

技术领域

本发明涉及计算机技术领域，尤其涉及一种文件检测的方法、装置。

背景技术

随着计算机技术的发展，我们的生活、工作、社交等和计算机技术有着千丝万缕的联系，我们希望自己的隐私被保护、数据更安全、工作更高效，这样就要求有一个安全、可靠的计算机操作环境。但是，有一些网民却以窃取他人隐私，干扰他人生活为乐趣，在网络上非法制造和传播各种恶意文件，给广大网民的网络安全和计算机安全构成了巨大的威胁。

目前，很多从事信息安全和计算机安全的工作人员一直在致力于研究检测恶意文件的方法，这些检测技术中对可执行文件的各个属性进行检测，包括文件加壳属性、文件内容、文件行为等。

在实现本发明过程中，发明人发现现有技术中至少存在如下问题：现有的文件检测方法是基于某单一的行为特征或文件包含的一些静态特征进行文件检测的，如文件行为、创建行为、一些引用标签等。但是，随着恶意文件的攻击行为的演变和进化，这些单一的行为检测方法在面对花样百出的攻击行为时，检测的效率和正确率明显降低，且无法保证检测的时效性。

发明内容

有鉴于此，本发明实施例提供一种文件检测的方法、装置、电子设备和可读存储介质，能够提高对文件检测的效率和正确率，保证检测的时效性。

为实现上述目的，根据本发明实施例的一个方面，提供了一种文件检测的方法。

本发明实施例的一种文件检测的方法包括下列步骤：对待检测文件是否加壳进行检测，得到所述待检测文件的静态权重值；获取所述待检测文件的行为，基于所述待检测文件的行为解析得到所述待检测文件的行为特征信息；根据所述待检测文件的行为特征信息对所述待检测文件进行权重计算，得到所述待检测文件的动态权重值；以及，将所述静态权重值与所述动态权重值的加权和与预设阀值进行比对，确定所述待检测文件的类型。

可选地，获取所述待检测文件的行为包括：获取应用程序编程接口API行为、文件行为、进程行为、网络行为、注册表行为中的至少一个。

可选地，对所述待检测文件进行权重计算包括：根据所述API行为、所述文件行为、所述进程行为、所述网络行为和所述注册表行为的行为特征信息得到相应的所述API行为、所述文件行为、所述进程行为、所述网络行为和所述注册表行为的敏感度；将所述API行为的敏感度、所述文件行为的敏感度、所述进程行为的敏感度、所述网络行为的敏感度、所述注册表行为的敏感度中的一项或多项加权求和得到所述待检测文件的动态权重值。

可选地，所述预设阀值根据所述待检测文件包含的所述API行为、所述文件行为、所述进程行为、所述网络行为和所述注册表行为来设置。

可选地，所述待检测文件的类型包括：恶意文件、未知文件、安全文件。

为实现上述目的，根据本发明实施例的另一方面，提供了一种文件检测的装置。

本发明实施例的一种文件检测的装置包括：加壳检测模块，用于对待检测文件是否加壳进行检测，得到所述待检测文件的静态权重值；解析模块，获取所述待检测文件的行为，基于所述待检测文件的行为解析得到所述待检测文件的行为特征信息；计算模块，用于根据所述待检测文件的行为特征信息对所述待检测文件进行权重计算，得到所述待检测文件的动态权重值；比对模块，用于将所述静态权重值与所述动态权重值的加权和与预设阀值进行比对，确定所述待检测文件的类型。