【技術領域】

本發明涉及計算機技術領域，尤其涉及一種文件掃描方法及裝置。

【背景技術】

基于機器學習的文件掃描方法，其基本思想是：計算已知類型的文件的特征向量，然后利用特征向量進行機器訓練，獲得判斷模型，利用判斷模型來判斷未知類型的文件的類型，以檢測出其中的惡意文件。

然而，隨著時間的推移會不斷出現新的惡意文件，而且基于機器學習的訓練方法中，獲得的判斷模型都是單個模型，因此，現有技術中文件掃描中所使用的判斷模型在面對新出現的惡意文件時，對惡意文件的檢測性能較低。

【發明內容】

有鑒于此，本發明實施例提供了一種文件掃描方法及裝置，可以實現提高文件掃描過程中判斷模型對惡意文件的檢測性能。

本發明實施例的一方面，提供一種文件掃描方法，包括：

利用M個第一模型分別判斷待檢測文件的類型，以獲得M個判斷結果，M為大于或者等于2的整數；

依據所述M個判斷結果，獲得將所述待檢測文件判定為惡意文件的第一模型的數目；

依據所述將所述待檢測文件判定為惡意文件的第一模型的數目，獲得所述待檢測文件的類型。

如上所述的方面和任一可能的實現方式，進一步提供一種實現方式，所述依據所述將所述待檢測文件判定為惡意文件的第一模型的數目，獲得所述待檢測文件的類型，包括：

比較將所述待檢測文件判定為惡意文件的第一模型的數目與預設的第一閾值的大小；

若將所述待檢測文件判定為惡意文件的第一模型的數目小于所述第一閾值，確定所述待測試文件為正常文件；

若將所述待檢測文件判定為惡意文件的第一模型的數目大于或者等于所述第一閾值，確定所述待測試文件為惡意文件。

如上所述的方面和任一可能的實現方式，進一步提供一種實現方式，所述方法還包括：

獲得新出現的惡意文件，以作為訓練樣本；

利用所述訓練樣本進行機器訓練，以生成第二模型；

利用所述第二模型對所述M個第一模型進行調整。

如上所述的方面和任一可能的實現方式，進一步提供一種實現方式，所述M個第一模型組成第一集合；所述利用所述第二模型對所述M個第一模型進行調整，包括：

將所述第二模型添加到預設的第二集合，所述第二集合包含K個第二模型，K為大于0的整數；

依據所述第二集合中的一個第二模型以及所述第一集合中的一個第一模型，生成P個模型組，P大于0且小于或者等于M與K的乘積；

利用每個所述模型組中的第二模型，在所述第一集合中替換屬于該模型組的第一模型，以獲得P個第三集合；

獲得每個所述第三集合的惡意文件檢出率和惡意文件錯誤率；

依據每個所述第三集合的惡意文件檢出率和惡意文件錯誤率，選出一個所述第三集合；

利用選出的所述第三集合對應的模型組中的第二模型對所述第一集合進行調整。

如上所述的方面和任一可能的實現方式，進一步提供一種實現方式，所述利用選出的所述第三集合對應的模型組中的第二模型對所述第一集合進行調整，包括：

比較選出的所述第三集合的惡意文件檢出率與所述第一集合的惡意文件檢出率的大小，以及比較選出的所述第三集合的惡意文件錯誤率與所述第一集合的惡意文件錯誤率的大小；

若選出的所述第三集合的惡意文件檢出率大于所述第一集合的惡意文件檢出率，且選出的所述第三集合的惡意文件錯誤率大于所述第一集合的惡意文件錯誤率，利用所述第三集合對應的模型組中的第二模型，在所述第一集合中替換屬于該模型組的第一模型，或者，在所述第一集合中增加所述第三集合對應的模型組中的第二模型。

本發明實施例的一方面，提供一種文件掃描裝置，包括：

類型判斷單元，用于利用M個第一模型分別判斷待檢測文件的類型，以獲得M個判斷結果，M為大于或者等于2的整數；

結果統計單元，用于依據所述M個判斷結果，獲得將所述待檢測文件判定為惡意文件的第一模型的數目；

類型確定單元，用于依據所述將所述待檢測文件判定為惡意文件的第一模型的數目，獲得所述待檢測文件的類型。

如上所述的方面和任一可能的實現方式，進一步提供一種實現方式，所述類型確定單元，具體用于：

比較將所述待檢測文件判定為惡意文件的第一模型的數目與預設的第一閾值的大小；

若將所述待檢測文件判定為惡意文件的第一模型的數目小于所述第一閾值，確定所述待測試文件為正常文件；