识别恶意文件的方法、装置、电子设备及存储介质制造方法及图纸

本公开提供了一种识别恶意文件的方法、装置、电子设备及存储介质，所述方法包括：对待识别文件的数据分组，组成待识别文件元素矩阵；基于待识别文件元素矩阵中每一第一类元素集合，生成该第一类元素集合的第一向量，并基于待识别文件元素矩阵中每一第二类元素集合，生成该第二类元素集合的第二向量；对第一向量的组合向量求摘要，得到待识别文件的第一摘要；对第二向量的组合向量求摘要，得到待识别文件的第二摘要；对待识别文件的第一摘要和第二摘要的组合向量求摘要，得到待识别文件的索引摘要；将待识别文件的索引摘要与预设恶意文件库中恶意文件的索引摘要对比，从而确定待识别文件是否为恶意文件。本公开实施例能够提高识别恶意文件的效率。

Methods, devices, electronic devices and storage media for identifying malicious files

【技术实现步骤摘要】
识别恶意文件的方法、装置、电子设备及存储介质
本公开涉及网络安全领域，具体涉及一种识别恶意文件的方法、装置、电子设备及存储介质。
技术介绍
在互联网遍及生活各个角落的今天，用户的个人终端常常会遭到不法人员的攻击，例如，不法人员于用户的个人终端中植入病毒文件、木马文件之类的恶意文件，从而破坏用户的个人终端的正常运行、或者窃取用户的隐私信息。为了保护用户免于恶意文件的危害，需要对恶意文件进行识别，从而对恶意文件进行打击。现有技术中，识别恶意文件多是基于如MD5算法之类的高复杂度的摘要算法计算得到待识别文件的摘要，再将其与恶意文件的摘要进行对比，从而进行识别。但由于如MD5算法之类的高复杂度的摘要算法常常需要极大的运算能力，会给用户的个人终端造成极大的负担，从而导致恶意文件的识别效率低下。
技术实现思路
本公开的一个目的在于提出一种识别恶意文件的方法、装置、电子设备及存储介质，能够提高识别恶意文件的效率。根据本公开实施例的一方面，公开了一种识别恶意文件的方法，包括：根据预定数据分组规则对待识别文件的数据分组，分成的每一组数据作为待识别文件元素矩阵中的一个元素，组成待识别文件元素矩阵；基于所述待识别文件元素矩阵中每一第一类元素集合，生成该第一类元素集合的第一向量，并基于所述待识别文件元素矩阵中每一第二类元素集合，生成该第二类元素集合的第二向量，其中，第一类元素集合、第二类元素集合是根据预定元素划分规则对所述待识别文件元素矩阵中的元素进行划分确定的；对各第一类元素集合的第一向量的组合向量求摘要，得到所述待识别文件的第一摘要；对各第二类元素集合的第二向量的组合向量求摘要，得到所述待识别文件的第二摘要；对待识别文件的第一摘要和第二摘要的组合向量求摘要，得到所述待识别文件的索引摘要；将所述待识别文件的索引摘要与预设恶意文件库中恶意文件的索引摘要对比，从而确定所述待识别文件是否为恶意文件。根据本公开实施例的一方面，公开了一种识别恶意文件的装置，包括：分组模块，配置为根据预定数据分组规则对待识别文件的数据分组，分成的每一组数据作为待识别文件元素矩阵中的一个元素，组成待识别文件元素矩阵；元素集合向量生成模块，配置为基于所述待识别文件元素矩阵中每一第一类元素集合，生成该第一类元素集合的第一向量，并基于所述待识别文件元素矩阵中每一第二类元素集合，生成该第二类元素集合的第二向量，其中，第一类元素集合、第二类元素集合是根据预定元素划分规则对所述待识别文件元素矩阵中的元素进行划分确定的；第一摘要生成模块，配置为对各第一类元素集合的第一向量的组合向量求摘要，得到所述待识别文件的第一摘要；第二摘要生成模块，配置为对各第二类元素集合的第二向量的组合向量求摘要，得到所述待识别文件的第二摘要；索引摘要生成模块，配置为对待识别文件的第一摘要和第二摘要的组合向量求摘要，得到所述待识别文件的索引摘要；对比模块，配置为将所述待识别文件的索引摘要与预设恶意文件库中恶意文件的索引摘要对比，从而确定所述待识别文件是否为恶意文件。根据本公开实施例的一方面，公开了一种识别恶意文件的电子设备，包括：存储器，存储有计算机可读指令；处理器，读取存储器存储的计算机可读指令，以执行如上所述的方法。根据本公开实施例的一方面，公开了一种计算机程序介质，其上存储有计算机可读指令，当所述计算机可读指令被计算机的处理器执行时，使计算机执行如上所述的方法。本公开实施例在计算待识别文件以及恶意文件的索引摘要时：对文件(待识别文件、或者恶意文件)的数据进行分组，基于分组后的数据建立文件元素矩阵，再对文件元素矩阵进行信息的压缩、组合、多次摘要，由于经过了这些分组、压缩、组合等过程，就可以采用低复杂度、对运算力要求低的摘要算法，仍然能够得到文件的有区分度的索引摘要。进而在识别恶意文件时，通过该有区分度的索引摘要的对比来确定待识别文件是否为恶意文件。由于进行摘要时可以采用低复杂度、对运算力要求低的摘要算法，且对文件元素矩阵进行了信息的压缩、组合、多次摘要，使得本公开实施例得到的文件的索引摘要在保证了安全性的同时，降低了计算索引摘要对终端运算能力的要求，从而提高了识别恶意文件的效率。本公开的其他特性和优点将通过下面的详细描述变得显然，或部分地通过本公开的实践而习得。应当理解的是，以上的一般描述和后文的细节描述仅是示例性的，并不能限制本公开。附图说明通过参考附图详细描述其示例实施例，本公开的上述和其它目标、特征及优点将变得更加显而易见。图1示出了根据本公开一个实施例的识别恶意文件的方法的体系构架图。图2A-2G示出了根据本公开一个实施例的识别恶意文件过程中各终端的显示界面图，这些界面图展示了识别恶意文件的大体过程。图3示出了根据本公开一个实施例的识别恶意文件的方法的流程图。图4示出了根据本公开一个实施例的识别单个特定恶意文件的场景下的流程图。图5示出了根据本公开一个实施例的建立恶意文件库的流程图。图6示出了根据本公开一个实施例的恶意文件库中存储的信息的构成示意图。图7示出了根据本公开一个实施例的实际环境中恶意文件库中存储的信息的示意图。图8示出了根据本公开一个实施例的索引摘要列表的示意图。图9示出了根据本公开一个实施例的识别恶意文件的整体流程图。图10示出了根据本公开一个实施例的各终端的通信交互示意图。图11示出了根据本公开一个实施例的攻击传统摘要计算的示意图。图12示出了根据本公开一个实施例的攻击本公开实施例的索引摘要计算的示意图。图13示出了根据本公开一个实施例的识别恶意文件的终端的模块图。图14示出了根据本公开一个实施例的识别恶意文件的终端的硬件结构图。具体实施方式现在将参考附图更全面地描述示例实施方式。然而，示例实施方式能够以多种形式实施，且不应被理解为限于在此阐述的范例；相反，提供这些示例实施方式使得本公开的描述将更加全面和完整，并将示例实施方式的构思全面地传达给本领域的技术人员。附图仅为本公开的示意性图解，并非一定是按比例绘制。图中相同的附图标记表示相同或类似的部分，因而将省略对它们的重复描述。此外，所描述的特征、结构或特性可以以任何合适的方式结合在一个或更多示例实施方式中。在下面的描述中，提供许多具体细节从而给出对本公开的示例实施方式的充分理解。然而，本领域技术人员将意识到，可以实践本公开的技术方案而省略所述特定细节中的一个或更多，或者可以采用其它的方法、组元、步骤等。在其它情况下，不详细示出或描述公知结构、方法、实现或者操作以避免喧宾夺主而使得本公开的各方面变得模糊。附图中所示的一些方框图是功能实体，不一定必须与物理或逻辑上独立的实体相对应。可以采用软件形式来实现这些功能实体，或在一个或多个硬件模块或集成电路中实现这些功能实体，或在不同网络和/或处理器装置和/或微控制器装置中实现这些功能实体。下面首先参考图1描述本公开实施例应用的体系构架。图1示出了本公开实施例所应用的体系构架：恶意文件库100中存储着恶意文件的索引摘要值。识别服务器200连接着各个客户端300、以及恶意文件库100。识别恶意文件时，客户端300根据本公开实施例所示的方法计算待识别文件的索引摘要值，将待识别文件的索引摘要值上传到识别服务器200，由识别服务器200将其与恶意文件库100进行对比，确定待识本文档来自技高网...

【技术保护点】
1.一种识别恶意文件的方法，其特征在于，所述方法包括：根据预定数据分组规则对待识别文件的数据分组，分成的每一组数据作为待识别文件元素矩阵中的一个元素，组成待识别文件元素矩阵；基于所述待识别文件元素矩阵中每一第一类元素集合，生成该第一类元素集合的第一向量，并基于所述待识别文件元素矩阵中每一第二类元素集合，生成该第二类元素集合的第二向量，其中，第一类元素集合、第二类元素集合是根据预定元素划分规则对所述待识别文件元素矩阵中的元素进行划分确定的；对各第一类元素集合的第一向量的组合向量求摘要，得到所述待识别文件的第一摘要；对各第二类元素集合的第二向量的组合向量求摘要，得到所述待识别文件的第二摘要；对待识别文件的第一摘要和第二摘要的组合向量求摘要，得到所述待识别文件的索引摘要；将所述待识别文件的索引摘要与预设恶意文件库中恶意文件的索引摘要对比，从而确定所述待识别文件是否为恶意文件。

【技术特征摘要】
1.一种识别恶意文件的方法，其特征在于，所述方法包括：根据预定数据分组规则对待识别文件的数据分组，分成的每一组数据作为待识别文件元素矩阵中的一个元素，组成待识别文件元素矩阵；基于所述待识别文件元素矩阵中每一第一类元素集合，生成该第一类元素集合的第一向量，并基于所述待识别文件元素矩阵中每一第二类元素集合，生成该第二类元素集合的第二向量，其中，第一类元素集合、第二类元素集合是根据预定元素划分规则对所述待识别文件元素矩阵中的元素进行划分确定的；对各第一类元素集合的第一向量的组合向量求摘要，得到所述待识别文件的第一摘要；对各第二类元素集合的第二向量的组合向量求摘要，得到所述待识别文件的第二摘要；对待识别文件的第一摘要和第二摘要的组合向量求摘要，得到所述待识别文件的索引摘要；将所述待识别文件的索引摘要与预设恶意文件库中恶意文件的索引摘要对比，从而确定所述待识别文件是否为恶意文件。2.根据权利要求1所述的方法，其特征在于，预设恶意文件库中恶意文件的索引摘要预先通过以下方式获得：根据预定数据分组规则对恶意文件的数据分组，分成的每一组数据作为恶意文件元素矩阵中的一个元素，组成恶意文件元素矩阵；基于所述恶意文件元素矩阵中每一第一类元素集合，生成该第一类元素集合的第一向量，并基于所述恶意文件元素矩阵中每一第二类元素集合，生成该第二类元素集合的第二向量，其中，第一类元素集合、第二类元素集合是根据预定元素划分规则对所述恶意文件元素矩阵中的元素进行划分确定的；对各第一类元素集合的第一向量的组合向量求摘要，得到所述恶意文件的第一摘要；对各第二类元素集合的第二向量的组合向量求摘要，得到所述恶意文件的第二摘要；对恶意文件的第一摘要和第二摘要的组合向量求摘要，得到所述恶意文件的索引摘要。3.根据权利要求1所述的方法，其特征在于，所述待识别文件的数据包括待识别文件的二进制表示中的字节，所述根据预定数据分组规则对待识别文件的数据分组，分成的每一组数据作为待识别文件元素矩阵中的一个元素，组成待识别文件元素矩阵，包括：从所述待识别文件的二进制表示中按顺序将每预定数目个字节，作为一个元素取出，按自上而下、从左到右的顺序填入预设矩阵宽度的空白矩阵中。4.根据权利要求1所述的方法，其特征在于，所述待识别文件的数据包括待识别文件的字符，所述根据预定数据分组规则对待识别文件的数据分组，分成的每一组数据作为待识别文件元素矩阵中的一个元素，组成待识别文件元素矩阵，包括：从所述待识别文件中按顺序将预定数目个字符，并转换成比特串作为一个元素取出，按自上而下、从左到右的顺序填入预设矩阵宽度的空白矩阵中。5.根据权利要求3或4所述的方法，其特征在于，在按自上而下、从左到右的顺序填入预设矩阵宽度的空白矩阵中之后，所述方法还包括：如果对于所述待识别文件，所有元素已取出完毕，在所述空白矩阵中未填充的位置填入预定占位符。6.根据权利要求1所述的方法，其特征在于，在根据预定数据分组规则对待识别文件的数据分组，分成的每一组数据作为待识别文件元素矩阵中的一个元素，组成待识别文件元素矩阵之后，所述方法还包括：在待识别文件元素矩阵中引入第一混淆因子，所述第一混淆因子包括以下中的至少一项：待识别文件元素矩阵中每个元素后拼接的预设比特；在待识别文件元素矩阵中预定行数位置增加的预设的元素行。7.根据权利要求1所述的方法，其特征在于，根据预定的元素划分规则将所述待识别文件元素矩阵中每一行元素确定为对应的第一类元素集合，将所述待识别文件元素矩阵中每一列元素确定为对应的第二类元素集合，所述基于所述待识别文件元素矩阵中每一第一类元素集合，生成该第一类元素集合的第一向量，并基于所述待识别文件元素矩阵中每一第二类元素集合，生成该第二类元素集合的第二向量，包括：基于所述待识别文件元素矩阵中行的元素，生成该...

【专利技术属性】
技术研发人员：朱学文，罗丹，
申请(专利权)人：深圳市腾讯网域计算机网络有限公司，
类型：发明
国别省市：广东,44