本发明专利技术提供了一种恶意文件检测方法、装置、计算设备及存储介质,其中方法包括:检测到接收可执行文件时,确定所述可执行文件的大小以及所述可执行文件对应压缩包的大小;根据所述可执行文件的大小和所述可执行文件对应压缩包的大小的比例关系,确定所述可执行文件是否为恶意文件。本方案,利用文件压缩原理检测可执行文件是否为恶意文件,对可执行文件的大小没有限制,无论可执行文件的大小,本方案均可以对该可执行文件是否为恶意文件进行检测,从而提高设备安全性。从而提高设备安全性。从而提高设备安全性。
【技术实现步骤摘要】
恶意文件检测方法、装置、计算设备及存储介质
[0001]本专利技术实施例涉及安全
,特别涉及一种恶意文件检测方法、装置、计算设备及存储介质。
技术介绍
[0002]随着互联网技术的快速发展和广泛应用,网络安全的维护受到严重的挑战。尤其是计算机病毒和黑客攻击等恶意行为给系统的安全带来非常大的威胁。恶意行为经常以恶意文件的形态传输到设备中,通过在设备上运行该恶意文件,以实现对该设备的攻击。因此,需要对设备从外部接收到的文件进行检测,以确定该文件是否为恶意文件。
[0003]目前,当设备从外部接收到文件之后,一般可以利用沙箱测试、杀毒软件扫描、文件上传查毒网站进行查毒等方式,对文件进行检测。但是这些检测方式都存在对文件大小的限制,当文件大小超出限制时,则无法进行检测,且会返回文件未发现异常的结果。若攻击者将恶意文件的大小增加到超出限制的大小时,则可以避开恶意文件的检测。
[0004]因此,亟需提供一种能够对较大文件进行恶意文件检测的方法。
技术实现思路
[0005]基于现有技术中的检测手段未能对较大文件进行恶意文件有效检测的问题,本专利技术实施例提供了一种恶意文件检测方法、装置、计算设备及存储介质,能够对较大文件进行恶意文件检测,以提高设备安全性。
[0006]第一方面,本专利技术实施例提供了一种恶意文件检测方法,包括:
[0007]检测到接收可执行文件时,确定所述可执行文件的大小以及所述可执行文件对应压缩包的大小;
[0008]根据所述可执行文件的大小和所述可执行文件对应压缩包的大小的比例关系,确定所述可执行文件是否为恶意文件。
[0009]优选地,在所述检测到接收可执行文件之前,还包括:
[0010]检测接收到的待检测文件;
[0011]判断所述待检测文件的格式是否为压缩包格式;若是压缩包格式,则读取所述待检测文件内每一个文件的扩展名,确定是否存在可执行文件;若不是压缩包格式,则根据所述待检测文件的扩展名确定所述待检测文件是否为可执行文件。
[0012]优选地,所述确定所述可执行文件的大小以及所述可执行文件对应压缩包的大小,包括:
[0013]若所述待检测文件的格式是压缩包的格式,读取所述待检测文件中的所述可执行文件,确定所述可执行文件的大小及所述可执行文件对应压缩包的大小。
[0014]优选地,确定所述可执行文件对应压缩包的大小,包括:
[0015]确定所述待检测文件中所有被压缩文件的总大小;
[0016]判断所述可执行文件的大小与所述总大小的比值是否大于第一阈值,若是,则将
所述待检测文件的大小确定为所述可执行文件对应压缩包的大小;若否,则对所述待检测文件进行解压处理得到所述可执行文件,并对所述可执行文件进行压缩处理得到压缩包,将得到的该压缩包的大小确定为所述可执行文件对应压缩包的大小。
[0017]优选地,所述确定所述可执行文件的大小以及所述可执行文件对应压缩包的大小,包括:
[0018]若所述待检测文件的格式不是压缩包格式,则将所述待检测文件的大小确定为所述可执行文件的大小,并将所述待检测文件进行压缩处理得到压缩包,将得到的该压缩包的大小确定为所述可执行文件对应压缩包的大小。
[0019]优选地,所述根据所述可执行文件的大小和所述可执行文件对应压缩包的大小的比例关系,确定所述可执行文件是否为恶意文件,包括:
[0020]判断所述可执行文件对应压缩包的大小与所述可执行文件的大小的比值是否小于第二阈值,若是,则确定所述可执行文件为恶意文件。
[0021]优选地,在所述判断所述可执行文件对应压缩包的大小与所述可执行文件的大小的比值是否小于第二阈值之后,还包括:
[0022]若所述可执行文件对应压缩包的大小与所述可执行文件的大小的比值不小于第二阈值,进一步判断所述可执行文件的大小是否小于第三阈值,若是,则对所述可执行文件进行哈希检测,确定所述可执行文件是否为恶意文件。
[0023]第二方面,本专利技术实施例还提供了一种恶意文件检测装置,包括:
[0024]文件大小确定单元,用于检测到接收可执行文件时,确定所述可执行文件的大小以及所述可执行文件对应压缩包的大小;
[0025]恶意文件确定单元,用于根据所述可执行文件的大小和所述可执行文件对应压缩包的大小的比例关系,确定所述可执行文件是否为恶意文件。
[0026]第三方面,本专利技术实施例还提供了一种计算设备,包括存储器和处理器,所述存储器中存储有计算机程序,所述处理器执行所述计算机程序时,实现本说明书任一实施例所述的方法。
[0027]第四方面,本专利技术实施例还提供了一种计算机可读存储介质,其上存储有计算机程序,当所述计算机程序在计算机中执行时,令计算机执行本说明书任一实施例所述的方法。
[0028]本专利技术实施例提供了一种恶意文件检测方法、装置、计算设备及存储介质,当检测到设备接收可执行文件时,确定该可执行文件的大小和可执行文件对应压缩包的大小,利用二者的比例关系来确定可执行文件是否为恶意文件。可见,本方案利用文件压缩原理检测可执行文件是否为恶意文件,对可执行文件的大小没有限制,无论可执行文件的大小,本方案均可以对该可执行文件是否为恶意文件进行检测,从而能够提高设备安全性。
附图说明
[0029]为了更清楚地说明本专利技术实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图是本专利技术的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
[0030]图1是本专利技术一实施例提供的一种恶意文件检测方法流程图;
[0031]图2是本专利技术一实施例提供的一种计算设备的硬件架构图;
[0032]图3是本专利技术一实施例提供的一种恶意文件检测装置结构图;
[0033]图4是本专利技术一实施例提供的另一种恶意文件检测装置结构图。
具体实施方式
[0034]为使本专利技术实施例的目的、技术方案和优点更加清楚,下面将结合本专利技术实施例中的附图,对本专利技术实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本专利技术一部分实施例,而不是全部的实施例,基于本专利技术中的实施例,本领域普通技术人员在没有做出创造性劳动的前提下所获得的所有其他实施例,都属于本专利技术保护的范围。
[0035]如前所述,当设备从外部接收到文件之后,为保证设备安全,防止恶意文件在设备上运行,需要对该文件进行检测。其中一种方式是将该文件在沙箱环境中运行,由沙箱记录文件运行过程中的所有活动,从而判断该文件是否存在恶意行为。另一种方式是,利用杀毒软件或者将文件上传至查毒网站对文件进行扫描,以检测是否为恶意文件。但是这两种方式中均对文件大小存在限制,当文件大小超出限制时,则无法进行检测,且会返回文件未发现异常的结果。攻击者利用该限制,在恶意文件中填充大量重复的0字节,将恶意文件的大小增加到该限制大本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种恶意文件检测方法,其特征在于,包括:检测到接收可执行文件时,确定所述可执行文件的大小以及所述可执行文件对应压缩包的大小;根据所述可执行文件的大小和所述可执行文件对应压缩包的大小的比例关系,确定所述可执行文件是否为恶意文件。2.根据权利要求1所述的方法,其特征在于,在所述检测到接收可执行文件之前,还包括:检测接收到的待检测文件;判断所述待检测文件的格式是否为压缩包格式;若是压缩包格式,则读取所述待检测文件内每一个文件的扩展名,确定是否存在可执行文件;若不是压缩包格式,则根据所述待检测文件的扩展名确定所述待检测文件是否为可执行文件。3.根据权利要求2所述的方法,其特征在于,所述确定所述可执行文件的大小以及所述可执行文件对应压缩包的大小,包括:若所述待检测文件的格式是压缩包的格式,读取所述待检测文件中的所述可执行文件,确定所述可执行文件的大小及所述可执行文件对应压缩包的大小。4.根据权利要求3所述的方法,其特征在于,确定所述可执行文件对应压缩包的大小,包括:确定所述待检测文件中所有被压缩文件的总大小;判断所述可执行文件的大小与所述总大小的比值是否大于第一阈值,若是,则将所述待检测文件的大小确定为所述可执行文件对应压缩包的大小;若否,则对所述待检测文件进行解压处理得到所述可执行文件,并对所述可执行文件进行压缩处理得到压缩包,将得到的该压缩包的大小确定为所述可执行文件对应压缩包的大小。5.根据权利要求2所述的方法,其特征在于,所述确定所述可执行文件的大小以及所述可执行文件对应压缩包的大小,包括:若所述待检测文件的格式不是压缩包格式,则将所述待检测文件的大小确定为所述可执...
【专利技术属性】
技术研发人员:高泽霖,张慧云,
申请(专利权)人:安天科技集团股份有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。