This application provides a method and apparatus for detecting documents, which includes: obtaining the first feature information of the first document; determining whether the first feature information matches the corresponding information in the first feature data set; where the corresponding information is associated with the program category, which includes the security file category and the malicious file category; and if so, obtaining the corresponding information. The program category of the first file associated with the corresponding information is described; if not, the program category of the first file is obtained according to the preset rules and the first file. This application proposes multi-dimensional static analysis, which integrates the detection capability of each analysis method, and comprehensively improves the final detection rate of the determination method. The false alarm rate of the decision method can be effectively reduced by adding the false alarm MD5 library which matches and updates fast first. With self-correction ability, the decision module can incrementally learn the files that produce false alarms, constantly correct the detection errors, and effectively avoid the excessive increase of false alarm MD5 libraries.
【技术实现步骤摘要】
一种检测文件的方法及装置
本申请涉及计算机安全领域,具体涉及检测文件的方法,以及检测文件的装置。
技术介绍
目前,病毒、蠕虫和特洛伊木马程序等恶意软件,传播速度快、影响范围广,严重威胁网络环境安全。所述恶意软件,是指编制者在计算机程序中插入的破坏计算机功能或者数据的代码,能影响计算机使用,能自我复制的一组计算机指令或者程序代码。其在计算机系统上执行恶意任务、通过破坏软件进程来实施控制的病毒、蠕虫和特洛伊木马程序等。行为分析,通过模拟软件的一系列的动作特征来判断其行为是否构成威胁,是软件检测中的重要手段。但由于软件变种频繁,对运行环境的特殊要求以及逃逸机制使得有时收集的行为不够全面,因此只通过行为分析检测软件会有一定的限制。目前,许多病毒生成工具只是简单修改无用字符,即可使其MD5值完全不同而逃脱静态过滤方法,因此病毒库需要及时添加大量病毒变种的MD5值。但是,由于病毒库更新不及时,无法对病毒变种及时识别,导致较高的漏报率。
技术实现思路
本申请提供一种检测文件的方法,一种检测文件的装置;以解决检测文件灵活性差及误报率高的问题。为了解决上述技术问题,本申请实施例提供了如...
【技术保护点】
1.一种检测文件的方法,其特征在于,包括:获取第一文件的第一特征信息;判断所述第一特征信息是否与第一特征数据集中相应信息匹配;其中,所述相应信息与程序类别相关联,所述程序类别包括安全文件类别和恶意文件类别;若是,则获得与所述相应信息相关联的所述第一文件的程序类别;若否,则根据预设规则及所述第一文件获得所述第一文件的程序类别。
【技术特征摘要】
1.一种检测文件的方法,其特征在于,包括:获取第一文件的第一特征信息;判断所述第一特征信息是否与第一特征数据集中相应信息匹配;其中,所述相应信息与程序类别相关联,所述程序类别包括安全文件类别和恶意文件类别;若是,则获得与所述相应信息相关联的所述第一文件的程序类别;若否,则根据预设规则及所述第一文件获得所述第一文件的程序类别。2.根据权利要求1所述的方法,其特征在于,所述第一特征信息,包括:所述第一文件的二进制码的第一校验信息和所述第一文件的名称信息;所述第一特征数据集,包括:第一校验数据集;所述判断所述第一特征信息是否与第一特征数据集中相应信息匹配,包括:判断所述第一校验信息和所述第一文件的名称信息是否与所述第一校验数据集中相应信息匹配。3.根据权利要求2所述的方法,其特征在于,所述第一特征信息,包括:所述第一文件的名称信息;所述第一特征数据集,包括:第一黑白名单数据集;所述判断所述第一特征信息是否与第一特征数据集中相应信息匹配,包括:判断所述名称信息是否与所述第一黑白名单数据集中相应信息匹配。4.根据权利要求3所述的方法,其特征在于,所述第一特征信息,包括:所述第一文件的名称信息和数字证书信息;所述第一特征数据集,包括:第一数字证书数据集;所述判断所述第一特征信息是否与第一特征数据集中相应信息匹配,包括:判断所述数字证书信息是否与所述第一数字证书数据集中相应信息匹配。5.根据权利要求1所述的方法,其特征在于,所述预设规则,包括:预设第二特征规则;所述根据预设规则及所述第一文件获得所述第一文件的程序类别,包括:获取第一文件的第二特征信息;根据所述预设第二特征规则及所述第二特征信息获得所述第一文件的程序类别的最大权重值;根据所述程序类别的最大权重值获得所述第一文件的程序...
【专利技术属性】
技术研发人员:王秋雯,张宏君,
申请(专利权)人:北京天融信网络安全技术有限公司,北京天融信科技有限公司,北京天融信软件有限公司,
类型:发明
国别省市:北京,11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。