本申請實施例公開一種惡意文件檢測方法及裝置。該方法中，首先將待檢測的文件存儲至待查文件庫中；然后識別待查文件庫中各個文件的文件類型，根據(jù)文件類型生成檢測任務列表；在獲取待查文件庫中的目標文件之后，根據(jù)檢測任務列表確定目標文件的運行環(huán)境，據(jù)此確定目標文件對應的文件檢測器，該文件檢測器設置在容器中；然后調用目標文件對應的文件檢測器對目標文件進行檢測。通過本申請實施例公開的方案，能夠通過設置在容器中的文件檢測器進行檢測，而容器能夠隔離待檢測的文件和系統(tǒng)，即容器起到環(huán)境隔離的作用。因此，通過本申請實施例公開的方案進行惡意文件的檢測，不會對系統(tǒng)造成損害，相對于現(xiàn)有技術，提高了系統(tǒng)的安全性。

技術領域

本申請涉及網(wǎng)絡安全技術領域，尤其涉及一種惡意文件檢測方法及裝置。

背景技術

惡意文件為惡意代碼和惡意軟件的統(tǒng)稱，通常指未明確提示用戶或未經(jīng)用戶許可的情況下，在終端(例如個人計算機、服務器和手機等)上運行，并在運行過程中破壞終端的系統(tǒng)及盜取用戶信息的軟件文件。其中，常見的惡意文件包括病毒、木馬、蠕蟲、掛馬腳本和流氓軟件等。為了保障終端的安全性，需要對惡意文件進行檢測。

目前常用的惡意文件檢測技術通常為啟發(fā)式檢測技術和主動防御檢測技術。惡意文件運行時的行為模式和正常文件運行時的行為模式通常不同，例如，通過統(tǒng)計大量惡意文件的運行行為，發(fā)現(xiàn)惡意文件在運行時通常具有自啟動、傳播和文件竊取等行為。啟發(fā)式檢測技術利用惡意文件運行時的行為模式與正常文件運行時的行為模式的區(qū)別對各文件進行檢測，確定各文件中是否存在惡意文件。另外，惡意文件在運行時，往往會調用系統(tǒng)中的部分應用程序編程接口(Application Programming Interface,API)，將這部分API稱為關鍵API，主動防御技術通過對關鍵API進行hook，獲取調用關鍵API的各個程序的參數(shù)，并根據(jù)該參數(shù)確定所述各個程序是否為惡意文件。

但是，發(fā)明人在本申請的研究過程中發(fā)現(xiàn)，若通過現(xiàn)有技術檢測惡意文件，當檢測到惡意文件時，惡意文件已經(jīng)在系統(tǒng)中運行，運行過程中通常會對系統(tǒng)造成損害，降低了系統(tǒng)的安全性。

發(fā)明內容

為了解決通過現(xiàn)有技術檢測惡意文件時，對系統(tǒng)造成損害，降低系統(tǒng)安全性的問題，本申請通過以下各個實施例公開一種惡意文件檢測方法及裝置。

在本發(fā)明的第一方面，公開一種惡意文件檢測方法，包括：

將待檢測的文件存儲至待查文件庫中；

識別所述待查文件庫中各個文件的文件類型，并根據(jù)所述文件類型生成檢測任務列表，其中，所述檢測任務列表記錄有所述各個文件分別對應的運行環(huán)境；

從所述待查文件庫中依次選擇目標文件，通過所述檢測任務列表中記錄的所述目標文件的運行環(huán)境，確定所述目標文件對應的文件檢測器，其中，所述文件檢測器設置在容器中；

調用所述目標文件對應的文件檢測器對所述目標文件進行檢測。

可選的，在所述識別所述待查文件庫中各個文件的文件類型之前，還包括：

獲取所述待查文件庫中各個文件的哈希值；

將所述各個文件的哈希值分別與已知檢測結果的各個文件的哈希值進行匹配；

若所述待查文件庫中的第一文件的哈希值與已知檢測結果的第二文件的哈希值相同，確定所述第一文件的檢測結果與所述第二文件的檢測結果相同，并將所述第一文件從所述待查文件庫中刪除。

可選的，在所述識別所述待查文件庫中各個文件的文件類型之前，還包括：

檢測所述待查文件庫中各個文件是否包含惡意文件的特征碼；

若所述待查文件庫中的第三文件包含所述惡意文件的特征碼，確定所述第三文件為惡意文件，并將所述第三文件從所述待查文件庫中刪除。