1.一種檢測惡意文件的方法，所述方法包括：

由硬件處理器分析文件來識別至少一個或多個類別和包含在所述一個或多個類別中的一個或多個方法；

由所述硬件處理器識別各個識別的方法的字節碼數組；

由所述硬件處理器通過從各個方法的所述字節碼數組識別對應的操作碼來確定各個方法中包含的指令；

由所述硬件處理器基于所述指令間的功能性的相似性來將各個方法的所確定的指令分成多個群組；

由所述硬件處理器基于將所述指令分成所述多個群組的結果來形成各個方法的矢量；

由所述硬件處理器將所分析的文件的所述方法的所形成矢量與儲存在數據庫中的已知惡意文件的多個矢量相比較來確定所比較的矢量之間的相似性；以及

由所述硬件處理器基于所比較矢量之間的相似性確定所分析的文件是惡意的或是干凈的。

2.根據權利要求1所述的方法，其中分析文件包括反匯編和反編譯所述文件中的一個或多個。

3.根據權利要求1所述的方法，其中所述指令基于所述字節碼數組的語義值分成群組。

4.根據權利要求1所述的方法，其中所述多個群組包括以下的一個或多個群組：沒有邏輯意義的指令、以常數工作的指令、以字段工作的指令、屬于呼叫或攔截的指令。

5.根據權利要求1所述的方法，其中比較矢量包括比較n維歐幾里得空間中的其兩個相關聯的點之間的距離。

6.根據權利要求1所述的方法，其中比較矢量包括執行以下的一個或多個：

從所述比較中排除屬于標準庫程序包的類別和方法；

從所述比較中排除不包含單個方法的類別；

從所述比較中排除包含兩個指令或更少的方法；

如果這些文件的類別和方法的總數與檢查的文件的類別和方法的總數的比較相差超過25％，則從進一步比較中排除其矢量保存在所述數據庫中的文件；

如果正在比較的類別或方法的大小相差超過25％，則從所述比較中排除比較的文件的類別或方法而不進行進一步比較；以及

從所述比較中排除僅包含在單個類別中的方法的矢量。

7.一種檢測惡意文件的系統，所述系統包括：

硬件處理器，其配置為：

分析文件以識別至少一個或多個類別和包含在所述一個或多個類別中的一個或多個方法；

識別各個識別的方法的字節碼數組；

通過從各個方法的所述字節碼數組識別對應的操作代碼來確定各個方法中包含的指令；

基于所述指令間的功能性的相似性來將各個方法的所確定的指令分成多個群組；

基于將所述指令分成所述多個群組的結果來形成各個方法的矢量；

將所分析的文件的所述方法的所形成矢量與儲存在數據庫中的已知惡意文件的多個矢量相比較來確定所比較的矢量之間的相似性；以及

基于所比較的矢量之間的相似性來確定所分析的文件是惡意的或是干凈的。

8.根據權利要求7所述的系統，其中分析文件包括反匯編和反編譯所述文件中的一個或多個。

9.根據權利要求7所述的系統，其中所述指令基于所述字節碼數組的語義值分成群組。

10.根據權利要求7所述的系統，其中所述多個群組包括以下的一個或多個群組：沒有邏輯意義的指令、以常數工作的指令、以字段工作的指令、屬于呼叫或攔截的指令。

11.根據權利要求7所述的系統，其中比較矢量包括比較n維歐幾里得空間中的其兩個相關聯的點之間的距離。

12.根據權利要求7所述的系統，其特征在于，其中比較矢量包括執行以下的一個或多個：

從所述比較中排除屬于標準庫程序包的類別和方法；

從所述比較中排除不包含單個方法的類別；

從所述比較中排除包含兩個指令或更少的方法；

如果這些文件的類別和方法的總數與檢查的文件的類別和方法的總數的比較相差超過25％，則從進一步比較中排除其矢量保存在所述數據庫中的文件；

如果正在比較的類別或方法的大小相差超過25％，則從所述比較中排除比較的文件的類別或方法而不進行進一步比較；以及

從所述比較中排除僅包含在單個類別中的方法的矢量。