[發(fā)明專利]文件檢測方法、可讀存儲介質(zhì)及電子設(shè)備有效
| 申請?zhí)枺?/td> | 202310847689.0 | 申請日: | 2023-07-12 |
| 公開(公告)號: | CN116578537B | 公開(公告)日: | 2023-09-22 |
| 發(fā)明(設(shè)計)人: | 呂經(jīng)祥;李石磊;肖新光 | 申請(專利權(quán))人: | 北京安天網(wǎng)絡(luò)安全技術(shù)有限公司 |
| 主分類號: | G06F16/16 | 分類號: | G06F16/16;G06F21/56 |
| 代理公司: | 北京鍾維聯(lián)合知識產(chǎn)權(quán)代理有限公司 11579 | 代理人: | 謝沙沙 |
| 地址: | 100195 北京市海淀區(qū)玉泉山閔莊路3號*** | 國省代碼: | 北京;11 |
| 權(quán)利要求書: | 查看更多 | 說明書: | 查看更多 |
| 摘要: | |||
| 搜索關(guān)鍵詞: | 文件 檢測 方法 可讀 存儲 介質(zhì) 電子設(shè)備 | ||
1.一種文件檢測方法,其特征在于,包括:
獲取待檢測文件;其中,所述待檢測文件中包括若干段結(jié)構(gòu)化數(shù)據(jù)和若干段非結(jié)構(gòu)化數(shù)據(jù);所述結(jié)構(gòu)化數(shù)據(jù)和所述非結(jié)構(gòu)化數(shù)據(jù)交替排列;
根據(jù)所述若干段結(jié)構(gòu)化數(shù)據(jù),獲取所述待檢測文件對應(yīng)的結(jié)構(gòu)化輪廓特征信息;所述結(jié)構(gòu)化輪廓特征信息包括所述若干段結(jié)構(gòu)化數(shù)據(jù)的段數(shù),以及每一段結(jié)構(gòu)化數(shù)據(jù)的起始地址和長度;
根據(jù)所述結(jié)構(gòu)化輪廓特征信息和第一預(yù)設(shè)檢測方法,確定所述待檢測文件為惡意文件的概率是否大于預(yù)設(shè)概率閾值;
若是,則基于第二預(yù)設(shè)檢測方法,對若干段結(jié)構(gòu)化數(shù)據(jù)的內(nèi)容進(jìn)行處理,以確定所述待檢測文件是否為惡意文件;其中,實(shí)施所述第二預(yù)設(shè)檢測方法所需要的計算機(jī)資源大于實(shí)施所述第一預(yù)設(shè)檢測方法所需要的計算機(jī)資源;
其中,所述結(jié)構(gòu)化輪廓特征信息為A=(a,DA1,LA1,DA2,LA2,...,DAb,LAb,...,DAa,LAa),b=1,2,...,a;其中,a為結(jié)構(gòu)化數(shù)據(jù)的段數(shù),DAb為第b段結(jié)構(gòu)化數(shù)據(jù)的起始地址,LAb為第b段結(jié)構(gòu)化數(shù)據(jù)的長度;
所述根據(jù)所述結(jié)構(gòu)化輪廓特征信息和第一預(yù)設(shè)檢測方法,確定所述待檢測文件為惡意文件的概率是否大于預(yù)設(shè)概率閾值,包括:
根據(jù)預(yù)設(shè)結(jié)構(gòu)化輪廓特征信息集B=(B1,B2,...,Bc,...,Bd),獲取結(jié)構(gòu)化輪廓匹配度集C=(C1,C2,...,Cc,...,Cd),c=1,2,...,d;其中,d為預(yù)設(shè)結(jié)構(gòu)化輪廓特征信息的數(shù)量;Bc為第c個預(yù)設(shè)結(jié)構(gòu)化輪廓特征信息;Cc為A與Bc的匹配度;
若Cc大于預(yù)設(shè)匹配度閾值,則確定所述待檢測文件為惡意文件的概率大于預(yù)設(shè)概率閾值;
所述根據(jù)所述結(jié)構(gòu)化輪廓特征信息和第一預(yù)設(shè)檢測方法,確定所述待檢測文件為惡意文件的概率是否大于預(yù)設(shè)概率閾值,包括:
獲取A的哈希值A(chǔ)D;
若AD和預(yù)設(shè)結(jié)構(gòu)化輪廓特征哈希值集D=(D1,D2,...,De,...,Df)中的De相同,則確定所述待檢測文件為惡意文件的概率大于預(yù)設(shè)概率閾值;其中,e=1,2,...,f,f為預(yù)設(shè)結(jié)構(gòu)化輪廓特征哈希值的數(shù)量,De為第e個預(yù)設(shè)結(jié)構(gòu)化輪廓特征哈希值。
2.如權(quán)利要求1所述的文件檢測方法,其特征在于,在所述獲取待檢測文件之后,所述文件檢測方法還包括:
根據(jù)所述若干段非結(jié)構(gòu)化數(shù)據(jù),獲取所述待檢測文件對應(yīng)的非結(jié)構(gòu)化輪廓特征信息;所述非結(jié)構(gòu)化輪廓特征信息包括所述若干段非結(jié)構(gòu)化數(shù)據(jù)的段數(shù),以及每一段非結(jié)構(gòu)化數(shù)據(jù)的起始地址和長度;
根據(jù)所述非結(jié)構(gòu)化輪廓特征信息和第三預(yù)設(shè)檢測方法,確定所述待檢測文件為惡意文件的概率是否大于預(yù)設(shè)概率閾值;
若是,則基于第四預(yù)設(shè)檢測方法,對若干段非結(jié)構(gòu)化數(shù)據(jù)的內(nèi)容進(jìn)行處理,以確定所述待檢測文件是否為惡意文件;其中,實(shí)施所述第四預(yù)設(shè)檢測方法所需要的計算機(jī)資源大于實(shí)施所述第三預(yù)設(shè)檢測方法所需要的計算機(jī)資源。
3.如權(quán)利要求2所述的文件檢測方法,其特征在于,所述非結(jié)構(gòu)化輪廓特征信息為E=(g,DE1,LE1,DE2,LE2,...,DEh,LEh,...,DEg,LEg),h=1,2,...,g;其中,g為非結(jié)構(gòu)化數(shù)據(jù)的段數(shù);g=a或g=a-1或g=a+1;DEh為第h段非結(jié)構(gòu)化數(shù)據(jù)的起始地址,LEh為第h段非結(jié)構(gòu)化數(shù)據(jù)的長度。
4.如權(quán)利要求3所述的文件檢測方法,其特征在于,所述根據(jù)所述非結(jié)構(gòu)化輪廓特征信息和第三預(yù)設(shè)檢測方法,確定所述待檢測文件為惡意文件的概率是否大于預(yù)設(shè)概率閾值,包括:
根據(jù)預(yù)設(shè)非結(jié)構(gòu)化輪廓特征信息集F=(F1,F2,...,Fi,...,Fj),獲取非結(jié)構(gòu)化輪廓匹配度集G=(G1,G2,...,Gi,...,Gj),i=1,2,...,j;其中,j為預(yù)設(shè)非結(jié)構(gòu)化輪廓特征信息的數(shù)量;Fi為第i個預(yù)設(shè)非結(jié)構(gòu)化輪廓特征信息;Gi為E與Fi的匹配度;
若Gi大于預(yù)設(shè)匹配度閾值,則確定所述待檢測文件為惡意文件的概率大于預(yù)設(shè)概率閾值。
該專利技術(shù)資料僅供研究查看技術(shù)是否侵權(quán)等信息,商用須獲得專利權(quán)人授權(quán)。該專利全部權(quán)利屬于北京安天網(wǎng)絡(luò)安全技術(shù)有限公司,未經(jīng)北京安天網(wǎng)絡(luò)安全技術(shù)有限公司許可,擅自商用是侵權(quán)行為。如果您想購買此專利、獲得商業(yè)授權(quán)和技術(shù)合作,請聯(lián)系【客服】
本文鏈接:http://www.szxzyx.cn/pat/books/202310847689.0/1.html,轉(zhuǎn)載請聲明來源鉆瓜專利網(wǎng)。
