【技術領域】

本發(fā)明涉及計算機技術，尤其涉及一種文件的檢測方法及裝置。

【背景技術】

病毒是編制或者在應用程序中插入的破壞終端功能的數(shù)據(jù)，其會影響應用程序的正常使用并且能夠自我復制，通常以一組指令或者程序代碼的形式呈現(xiàn)。病毒具有破壞性，復制性和傳染性的特點。終端可以利用殺毒引擎對文件進行基于特征匹配的數(shù)值運算，進而，根據(jù)數(shù)值運算的運算結果，檢測文件是否為病毒文件。這個方法同樣適用于其他文件的檢測，只要根據(jù)檢測需求，合理挖掘匹配的特征即可。

然而，由于數(shù)值運算較為復雜，因此，可能需要較多的處理資源，這樣，會占用終端的大量處理資源，從而導致終端的處理性能降低。

【發(fā)明內(nèi)容】

本發(fā)明的多個方面提供一種文件的檢測方法及裝置，用以提高終端的處理性能。

本發(fā)明的一方面，提供一種文件的檢測方法，包括：

利用M個指定特征，對待測文件進行匹配處理，以獲得所述M個指定特征中每個指定特征的匹配結果，M為大于或等于1的整數(shù)；

對所述每個指定特征的匹配結果，進行預先設置的邏輯運算；

根據(jù)所述邏輯運算的運算結果，獲得所述待測文件的檢測結果。

如上所述的方面和任一可能的實現(xiàn)方式，進一步提供一種實現(xiàn)方式，所述待測文件的檢測結果為：

病毒文件；或者

正常文件；或者

非病毒文件；或者

非正常文件。

如上所述的方面和任一可能的實現(xiàn)方式，進一步提供一種實現(xiàn)方式，所述利用M個指定特征，對待測文件進行匹配處理，以獲得所述M個指定特征中每個指定特征的匹配結果之前，還包括：

獲取P個樣本文件，P為大于或等于1的整數(shù)；

對所述P個樣本文件中每個樣本文件進行分段處理，以獲得N個文件片段，N為大于或等于2的整數(shù)；

根據(jù)所述N個文件片段，獲得所述M個指定特征；所述每個指定特征包括至少一個文件片段。

如上所述的方面和任一可能的實現(xiàn)方式，進一步提供一種實現(xiàn)方式，所述對所述P個樣本文件中每個樣本文件進行分段處理，以獲得N個文件片段，包括：

對所述每個樣本文件的指定部分進行分段處理，以獲得所述N個文件片段。

如上所述的方面和任一可能的實現(xiàn)方式，進一步提供一種實現(xiàn)方式，所述根據(jù)所述N個文件片段，獲得所述M個指定特征，包括：

根據(jù)所述每個樣本文件的標注結果和所述P個樣本文件，獲得所述N個文件片段中每個文件片段在標注結果為第一類型文件的樣本文件中出現(xiàn)的第一出現(xiàn)次數(shù)，以及所述每個文件片段在標注結果為第二類型文件的樣本文件中出現(xiàn)的第二出現(xiàn)次數(shù)；

根據(jù)所述每個文件片段、所述第一出現(xiàn)次數(shù)和所述第二出現(xiàn)次數(shù)，從所述N個文件片段中，選擇R個文件片段，R為大于或等于1，且小于或等于N的整數(shù)；

根據(jù)所述R個文件片段，獲得Q個組合片段，Q為大于或等于M的整數(shù)；所述Q個組合片段中每個組合片段包括至少一個文件片段；

根據(jù)所述每個樣本文件的標注結果和所述P個樣本文件，獲得所述每個組合片段在標注結果為所述第一類型文件的樣本文件中出現(xiàn)的第三出現(xiàn)次數(shù)，以及所述每個組合片段在標注結果為第二類型文件的樣本文件中出現(xiàn)的第四出現(xiàn)次數(shù)；

根據(jù)所述每個組合片段、所述第三出現(xiàn)次數(shù)和所述第四出現(xiàn)次數(shù)，從所述Q個組合片段中，選擇M個組合片段，以作為所述M個指定特征。

如上所述的方面和任一可能的實現(xiàn)方式，進一步提供一種實現(xiàn)方式，

所述第一類型文件為病毒文件；所述第二類型文件為正常文件；或者

所述第一類型文件為正常文件；所述第二類型文件為病毒文件。

本發(fā)明的另一方面，提供一種文件的檢測裝置，包括：

特征匹配單元，用于利用M個指定特征，對待測文件進行匹配處理，以獲得所述M個指定特征中每個指定特征的匹配結果，M為大于或等于1的整數(shù)；

邏輯運算單元，用于對所述每個指定特征的匹配結果，進行預先設置的邏輯運算；

結果獲得單元，用于根據(jù)所述邏輯運算的運算結果，獲得所述待測文件的檢測結果。

如上所述的方面和任一可能的實現(xiàn)方式，進一步提供一種實現(xiàn)方式，所述待測文件的檢測結果為：

病毒文件；或者

正常文件；或者

非病毒文件；或者

非正常文件。

如上所述的方面和任一可能的實現(xiàn)方式，進一步提供一種實現(xiàn)方式，所述裝置還包括特征挖掘單元，用于