本申请公开了一种文件检测方法及装置,所述方法包括:响应于待检测文件的加载,基于获取的可交互内容提取特征;根据提取的特征,获取所述待检测文件对应的模拟交互指令;根据模拟交互指令对所述待检测文件进行模拟交互;在所述待检测文件进行模拟交互的过程中,判断所述待检测文件是否为恶意文件。采用本申请所提供的方案,可以基于文件动态行为判断所述待检测文件是否为恶意文件,提升了判定结果的准确度,且通过模拟交互来获取文件动态行为,无需在用户使用过程中获取文件动态行为,提升了安全性。
【技术实现步骤摘要】
一种文件检测方法及装置
本申请涉及网络安全领域,特别涉及一种文件检测方法及装置。
技术介绍
随着互联网的发展,网络中的文件(如软件安装包、数据压缩包、软件等)日益增加,用户对于免杀恶意文件勒索、钓鱼、种植木马后门、恶意推广防不胜防。这也就需要对文件动态行为进行全面的监控和收集,从面判定文件恶意与非恶意。现有技术中,判定文件恶意与非恶意是通过沙箱系统,具体的,在获取到文件之后,收集文件的各类属性,通过文件的各类属性判定文件恶意与否,但是通常情况下,判断文件恶意与否的重要指标是文件动态行为,文件动态行为需要在文件的运行过程中收集,现有技术只能收集到文件的静态属性,对于文件动态行为则需要在用户使用文件的过程中收集,但是在用户文件过程中收集文件动态行为需要用户实际使用该文件,安全性较差,而如果仅使用静态属性判定文件恶意与否,素材不全面,影响判定结果,因此,亟需提供一种检测方案,以提升安全性和判定结果的准确度。
技术实现思路
本申请实施例的目的在于提供一种文件检测方法及装置,以提升安全性和判定结果的准确度。为了解决上述技术问题,本申请的实施例采用了如下技术方案:一种文件检测方法,包括:响应于待检测文件的加载,基于获取的可交互内容提取特征;根据提取的特征,获取所述待检测文件对应的模拟交互指令;根据模拟交互指令对所述待检测文件进行模拟交互;在所述待检测文件进行模拟交互的过程中,判断所述待检测文件是否为恶意文件。本申请的有益效果在于:对待检测文件恶意与否的判定过程中,获取待检测文件对应的模拟交互指令,根据模拟交互指令对所述待检测文件进行模拟交互;在所述待检测文件进行模拟交互的过程中,判断所述待检测文件是否为恶意文件,从而可以基于模拟交互获得文件动态行为,从而可以基于文件动态行为判断所述待检测文件是否为恶意文件,提升了判定结果的准确度,且本申请通过模拟交互,来获取文件动态行为,无需在用户使用过程中获取文件动态行为,提升了安全性。在一个实施例中,所述加载,包括:确定待检测文件的文件类型;根据所述文件类型加载所述待检测文件;获取可交互内容,包括:在所述待检测文件加载完成后,获取所述待检测文件的界面截图。在一个实施例中,获取所述待检测文件的界面截图,包括:通过系统应用程序接口获取窗口属性信息;根据窗口属性信息获取所述待检测文件的界面截图。在一个实施例中,所述获取所述待检测文件对应的模拟交互指令,包括:对所述待检测文件的界面截图进行所述提取特征;将提取的特征与特征库进行匹配以确定所述待检测文件的模拟交互指令。在一个实施例中,所述在所述待检测文件进行模拟交互的过程中,判断所述待检测文件是否为恶意文件,包括:在获取到所述待检测文件对应的模拟交互指令之后,根据所述模拟交互指令对所述待检测文件进行模拟操作;获取所述待检测文件模拟交互过程中所生成的目标数据;根据所述目标数据判断所述待检测文件是否为恶意文件。在一个实施例中,还包括:在根据所述目标数据判断所述待检测文件不是恶意文件的情况下,判断所述待检测文件的模拟交互过程是否结束;在所述待检测文件的模拟交互过程未结束的情况下,继续获取所述待检测文件对应的模拟交互指令。在一个实施例中,还包括:在确定所述待检测文件为恶意文件的情况下,根据相应的防护策略对所述待检测文件进行处理。本申请还提供一种文件检测装置,包括:提取模块,用于响应于待检测文件的加载,基于获取的可交互内容提取特征;获取模块,用于根据提取的特征,获取所述待检测文件对应的模拟交互指令;执行模块,用于根据模拟交互指令对所述待检测文件进行模拟交互;判断模块,用于在所述待检测文件进行模拟交互的过程中,判断所述待检测文件是否为恶意文件。在一个实施例中,所述提取模块,进一步配置为:用于在所述待检测文件加载完成后,获取所述待检测文件的界面截图。在一个实施例中,所述提取模块,进一步配置为:用于通过系统应用程序接口获取窗口属性信息;用于根据窗口属性信息获取所述待检测文件的界面截图。在一个实施例中,所述获取模块,包括:提取子模块,用于对所述待检测文件的界面截图进行所述提取特征;确定子模块,用于将提取的特征与特征库进行匹配以确定所述待检测文件的模拟交互指令。在一个实施例中,判断模块,包括:模拟子模块,用于在获取到所述待检测文件对应的模拟交互指令之后,根据所述模拟交互指令对所述待检测文件进行模拟操作;获取子模块,用于获取所述待检测文件模拟交互过程中所生成的目标数据;判断子模块,用于根据所述目标数据判断所述待检测文件是否为恶意文件。在一个实施例中,所述装置进一步被配置为:在根据所述目标数据判断所述待检测文件不是恶意文件的情况下,判断所述待检测文件的模拟交互过程是否结束;在所述待检测文件的模拟交互过程未结束的情况下,继续获取所述待检测文件对应的模拟交互指令。在一个实施例中,所述装置进一步被配置为:在确定所述待检测文件为恶意文件的情况下,根据相应的防护策略对所述待检测文件进行处理。附图说明图1为本申请一实施例中一种文件检测方法的流程图;图2为本申请另一实施例中一种文件检测方法的流程图;图3为本申请一实施例中一种文件检测装置的框图。具体实施方式此处参考附图描述本申请的各种方案以及特征。应理解的是,可以对此处申请的实施例做出各种修改。因此,上述说明书不应该视为限制,而仅是作为实施例的范例。本领域的技术人员将想到在本申请的范围和精神内的其他修改。包含在说明书中并构成说明书的一部分的附图示出了本申请的实施例,并且与上面给出的对本申请的大致描述以及下面给出的对实施例的详细描述一起用于解释本申请的原理。通过下面参照附图对给定为非限制性实例的实施例的优选形式的描述,本申请的这些和其它特性将会变得显而易见。还应当理解,尽管已经参照一些具体实例对本申请进行了描述,但本领域技术人员能够确定地实现本申请的很多其它等效形式。当结合附图时,鉴于以下详细说明,本申请的上述和其他方面、特征和优势将变得更为显而易见。此后参照附图描述本申请的具体实施例;然而,应当理解,所申请的实施例仅仅是本申请的实例,其可采用多种方式实施。熟知和/或重复的功能和结构并未详细描述以避免不必要或多余的细节使得本申请模糊不清。因此,本文所申请的具体的结构性和功能性细节并非意在限定,而是仅仅作为权利要求的基础和代表性基础用于教导本领域技术人员以实质上任意合适的详细结构多样地使用本申请。本说明书可使用词组“在一种实施例中”、“在另一个实施例中”、“在又一实施例中”或“在其他实施例中”,其均可指代根据本申请的相同或不同实施例中的一个或多个。图1为本文档来自技高网...
【技术保护点】
1.一种文件检测方法,其特征在于,包括:/n响应于待检测文件的加载,基于获取的可交互内容提取特征;/n根据提取的特征,获取所述待检测文件对应的模拟交互指令;/n根据模拟交互指令对所述待检测文件进行模拟交互;/n在所述待检测文件进行模拟交互的过程中,判断所述待检测文件是否为恶意文件。/n
【技术特征摘要】
1.一种文件检测方法,其特征在于,包括:
响应于待检测文件的加载,基于获取的可交互内容提取特征;
根据提取的特征,获取所述待检测文件对应的模拟交互指令;
根据模拟交互指令对所述待检测文件进行模拟交互;
在所述待检测文件进行模拟交互的过程中,判断所述待检测文件是否为恶意文件。
2.如权利要求1所述的方法,其特征在于,
所述加载,包括:
确定待检测文件的文件类型;
根据所述文件类型加载所述待检测文件;
获取可交互内容,包括:
在所述待检测文件加载完成后,获取所述待检测文件的界面截图。
3.如权利要求2所述的方法,其特征在于,获取所述待检测文件的界面截图,包括:
通过系统应用程序接口获取窗口属性信息;
根据窗口属性信息获取所述待检测文件的界面截图。
4.如权利要求3所述的方法,其特征在于,所述获取所述待检测文件对应的模拟交互指令,包括:
对所述待检测文件的界面截图进行所述提取特征;
将提取的特征与特征库进行匹配以确定所述待检测文件的模拟交互指令。
5.如权利要求1所述的方法,其特征在于,所述在所述待检测文件进行模拟交互的过程中,判断所述待检测文件是否为恶意文件,包括:
在获取到所述待检测文件对应的模拟交互指令之后,根据所述模拟交互指令对所述待检测文件进行模拟操作;
获取所述待检测文...
【专利技术属性】
技术研发人员:曹剑锐,
申请(专利权)人:北京微步在线科技有限公司,
类型:发明
国别省市:北京;11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。