本發(fā)明公開了一種文件檢測的方法，包括：獲取待檢測文件的目標行為日志，其中，目標行為日志包括N條動態(tài)行為，動態(tài)行為用于表示與操作關聯(lián)的信息，N為大于或等于1的整數(shù)；將目標行為日志中的每條動態(tài)行為與策略集合中每個策略所對應的每條規(guī)則進行匹配，得到匹配結(jié)果，其中，策略集合包括預先配置的M個策略，每個策略對應至少一條規(guī)則，且每條策略對應于一個惡意分數(shù)，M為大于或等于1的整數(shù)；根據(jù)匹配結(jié)果生成目標行為日志所對應的目標惡意分數(shù)；若目標惡意分數(shù)達到惡意分數(shù)閾值，則確定待檢測文件為病毒文件。本發(fā)明還公開了一種文件檢測裝置。本發(fā)明對文件的動態(tài)行為進行檢測，不會受到病毒特征變形的影響，從而降低病毒誤報率。

技術領域

本發(fā)明涉及互聯(lián)網(wǎng)安全領域，尤其涉及一種文件檢測的方法以及相關裝置。

背景技術

隨著互聯(lián)網(wǎng)不斷與人類生活融合，經(jīng)濟和文化等人類現(xiàn)實社會的主體已經(jīng)與互聯(lián)網(wǎng)這個虛擬的世界不斷地關聯(lián)和接軌了，現(xiàn)實社會的主要元素與互聯(lián)網(wǎng)這個虛擬化的社會界限也越來越模糊。隨之而來的是現(xiàn)實世界的問題也在虛擬的互聯(lián)網(wǎng)中出現(xiàn)和爆發(fā)。其中安全就是一個非常關鍵和敏感的互聯(lián)網(wǎng)問題，而病毒則是這一問題的一個主要的源頭和推動者。目前，安全防御與病毒之間的對抗已經(jīng)越來越激烈。

在傳統(tǒng)的防御方法中，主要是對病毒進行特征碼掃描識別。即先提取病毒文件的特征，根據(jù)病毒特征人工提取出該病毒的一處或多處二進制碼，該二進制碼為該類病毒的身份標識，即特征碼，然后將特征碼更新到云端數(shù)據(jù)庫中。在進行文件檢測的時候，通過對比特征碼來判斷是否為病毒。

然而，掃描特征碼雖然可以對已知的病毒進行準確的識別，但是對于未知的病毒或者變形的病毒則難以識別，導致病毒誤報率較高。

發(fā)明內(nèi)容

本發(fā)明實施例提供了一種文件檢測的方法以及相關裝置，可以在進行文件安全性檢測的過程中，不再對文件的靜態(tài)特征進行檢測，而是對文件的動態(tài)行為進行檢測，由此不會受到病毒特征變形的影響，對未知病毒也具有較強的查殺能力，從而降低病毒誤報率。

有鑒于此，本發(fā)明第一方面提供一種文件檢測的方法，包括：

獲取待檢測文件的目標行為日志，其中，所述目標行為日志包括N條動態(tài)行為，所述動態(tài)行為用于表示與操作關聯(lián)的信息，所述N為大于或等于1的整數(shù)；

將所述目標行為日志中的每條動態(tài)行為與策略集合中每個策略所對應的每條規(guī)則進行匹配，得到匹配結(jié)果，其中，所述策略集合包括預先配置的M個策略，所述每個策略對應至少一條規(guī)則，且所述每條策略對應于一個惡意分數(shù)，所述M為大于或等于1的整數(shù)；

根據(jù)所述匹配結(jié)果生成所述目標行為日志所對應的目標惡意分數(shù)；

若所述目標惡意分數(shù)達到惡意分數(shù)閾值，則確定所述待檢測文件為病毒文件。

本發(fā)明第二方面提供一種文件檢測裝置，包括：

獲取模塊，用于獲取待檢測文件的目標行為日志，其中，所述目標行為日志包括N條動態(tài)行為，所述動態(tài)行為用于表示與操作關聯(lián)的信息，所述N為大于或等于1的整數(shù)；

匹配模塊，用于將所述獲取模塊獲取的所述目標行為日志中的每條動態(tài)行為與策略集合中每個策略所對應的每條規(guī)則進行匹配，得到匹配結(jié)果，其中，所述策略集合包括預先配置的M個策略，所述每個策略對應至少一條規(guī)則，且所述每條策略對應于一個惡意分數(shù)，所述M為大于或等于1的整數(shù)；

生成模塊，用于根據(jù)所述匹配模塊得到的所述匹配結(jié)果生成所述目標行為日志所對應的目標惡意分數(shù)；

確定模塊，用于若所述生成模塊生成的所述目標惡意分數(shù)達到惡意分數(shù)閾值，則確定所述待檢測文件為病毒文件。

在一種可能的設計中，在本發(fā)明實施例的第二方面的第一種實現(xiàn)方式中，所述動態(tài)行為至少包括操作者以及應用程序編程接口API；