本申请实施例公开了一种文件检测方法,所述方法包括:对待测文件进行分割处理,得到至少一个第一文件块;确定所述第一文件块与样本文件块的块相似度;根据所述块相似度,确定所述第一文件块是否是与所述样本文件块相匹配的目标文件块;根据所述目标文件块的数量,确定所述待测文件是否是目标文件。本申请实施例还公开了一种文件检测装置、设备和存储介质。设备和存储介质。设备和存储介质。
【技术实现步骤摘要】
文件检测方法及装置、设备、存储介质
[0001]本申请实施例涉及信息安全
,涉及但不限于文件检测方法及装置、设备、存储介质。
技术介绍
[0002]现有技术对文件的检测局限性较大,容易出现误检问题。例如,不是恶意文件的文件被确定为恶意文件,导致告警频发;或者,恶意文件没有被检测到,导致隐私泄露、设备损害等。
技术实现思路
[0003]有鉴于此,本申请实施例提供的文件检测方法及装置、设备、存储介质,能够提高文件检测准确率,减少误检概率。本申请实施例提供的文件检测方法及装置、设备、存储介质是这样实现的:
[0004]第一方面,一种文件检测方法,所述方法包括:
[0005]对待测文件进行分割处理,得到至少一个第一文件块;
[0006]确定所述第一文件块与样本文件块的块相似度;
[0007]根据所述块相似度,确定所述第一文件块是否是与所述样本文件块相匹配的目标文件块;
[0008]根据所述目标文件块的数量,确定所述待测文件是否是目标文件。可见,对比确定的是待测文件的局部,即第一文件块,而不是待测文件的整体;如此,即使第一文件块轻微改变,也不会影响该文件块的匹配结果,因此能够更好地应对不同版本文件之间的变化,也就是提高文件检测的准确率,降低误检概率。
[0009]可选地,在所述对待测文件进行分割处理,得到至少一个第一文件块之前,所述方法还包括:
[0010]对所述待测文件进行至少一次检测,在检测到所述待测文件不是目标文件的情况下,执行所述对待测文件进行分割处理,得到至少一个第一文件块的步骤。如此,对待测文件进行多次检测,能够进一步提高文件检测的准确率。
[0011]可选地,所述对所述待测文件进行至少一次检测,包括:
[0012]利用哈希算法,确定所述待测文件的精确哈希值;
[0013]如果样本哈希值库中没有所述精确哈希值,利用所述模糊哈希算法,确定所述待测文件与样本文件的文件相似度;
[0014]如果所述文件相似度不满足相似条件,确定所述待测文件不是所述目标文件。如此,对待测文件先进行一次精确检测,如果精确检测不通过,再进行一次模糊检测,能够进一步提高文件检测的准确率。
[0015]可选地,所述对待测文件进行分割处理,得到至少一个第一文件块,包括:
[0016]对所述待测文件进行反汇编处理,得到至少一个第二文件块;
[0017]对所述第二文件块进行泛化处理,得到对应的所述第一文件块。如此,通过泛化第二文件块中干扰块相似度确定的特征,能够对使用不同语法、语言表达的同一文件进行准确检测,从而能够应对同一文件内容的不同表达方式的检测,提高文件检测的准确率。
[0018]可选地,所述第二文件块为以下至少之一:控制流图、函数、函数组合、基本块、基本块组合。如此,能够提高本方法的适用范围和使用的灵活性。
[0019]可选地,所述根据所述目标文件块的数量,确定所述待测文件是否是目标文件,包括:在所述目标文件块的数量或者所述目标文件块的数量在所述至少一个第一文件块中的占比大于或等于对应阈值的情况下,确定所述待测文件为所述目标文件。
[0020]如此,即使待测文件中的部分文件块不是目标文件块,只要目标文件块数量或者所述目标文件块的数量在所述至少一个第一文件块中的占比大于或等于对应阈值,仍能够确定待测文件是目标文件,进一步提高文件检测的准确率。
[0021]可选地,所述样本文件块是正常样本文件的文件块,相应地,所述方法还包括:如果所述待测文件不是与所述正常样本文件相匹配的所述目标文件,进行告警提示;或者,
[0022]所述样本文件块是异常样本文件的文件块,相应地,所述方法还包括:如果所述待测文件是与所述异常样本文件相匹配的所述目标文件,进行告警提示。如此,能够及时发出告警提示,提醒用户及时处理。
[0023]第二方面,一种文件检测装置,所述装置包括:处理单元和确定单元;其中:
[0024]所述处理单元,用于对待测文件进行分割处理,得到至少一个第一文件块;
[0025]所述确定单元,用于确定所述第一文件块与样本文件块的块相似度;
[0026]所述确定单元,还用于根据所述块相似度,确定所述第一文件块是否是与所述样本文件块相匹配的目标文件块;
[0027]所述确定单元,还用于根据所述目标文件块的数量,确定所述待测文件是否是目标文件。
[0028]第三方面,一种电子设备,所述设备包括:存储器、处理器和通信总线;其中:
[0029]所述存储器,用于存储可执行指令;
[0030]所述通信总线,用于实现所述处理器和所述存储器之间的通信连接;
[0031]所述处理器,用于执行所述存储器中存储的文件检测程序,实现如上述任一项所述的方法。
[0032]第四方面,一种计算机可读存储介质,所述计算机可读存储介质上存储有计算机程序,该计算机程序被处理器执行时实现本申请实施例提供的所述的方法。
附图说明
[0033]此处的附图被并入说明书中并构成本说明书的一部分,这些附图示出了符合本申请的实施例,并与说明书一起用于说明本申请的技术方案。
[0034]图1为本申请实施例提供的文件检测方法的实现流程示意图;
[0035]图2为本申请实施例提供的另一文件检测方法的实现流程示意图;
[0036]图3为本申请实施例提供的再一文件检测方法的实现流程示意图;
[0037]图4为本申请实施例提供的又一文件检测方法的实现流程示意图;
[0038]图5为本申请实施例文件检测装置的结构示意图;
[0039]图6为本申请实施例提供的电子设备的结构示意图。
具体实施方式
[0040]为使本申请实施例的目的、技术方案和优点更加清楚,下面将结合本申请实施例中的附图,对本申请的具体技术方案做进一步详细描述。以下实施例用于说明本申请,但不用来限制本申请的范围。
[0041]除非另有定义,本文所使用的所有的技术和科学术语与属于本申请的
的技术人员通常理解的含义相同。本文中所使用的术语只是为了描述本申请实施例的目的,不是旨在限制本申请。
[0042]在以下的描述中,涉及到“一些实施例”,其描述了所有可能实施例的子集,但是可以理解,“一些实施例”可以是所有可能实施例的相同子集或不同子集,并且可以在不冲突的情况下相互结合。
[0043]需要指出,本申请实施例所涉及的术语“第一\第二\第三”用以区别类似或不同的对象,不代表针对对象的特定排序,可以理解地,“第一\第二\第三”在允许的情况下可以互换特定的顺序或先后次序,以使这里描述的本申请实施例能够以除了在这里图示或描述的以外的顺序实施。
[0044]本申请实施例提供一种文件检测方法,该方法应用于电子设备,该电子设备在实施的过程中可以为各种类型的具有信息处理能力的设备,例如所述电子设备可以包括手机、平板电脑、个人计算机、笔记本电脑、服务本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种文件检测方法,其特征在于,所述方法包括:对待测文件进行分割处理,得到至少一个第一文件块;确定所述第一文件块与样本文件块的块相似度;根据所述块相似度,确定所述第一文件块是否是与所述样本文件块相匹配的目标文件块;根据所述目标文件块的数量,确定所述待测文件是否是目标文件。2.根据权利要求1所述的方法,其特征在于,在所述对待测文件进行分割处理,得到至少一个第一文件块之前,所述方法还包括:对所述待测文件进行至少一次检测,在检测到所述待测文件不是目标文件的情况下,执行所述对待测文件进行分割处理,得到至少一个第一文件块的步骤。3.根据权利要求2所述的方法,其特征在于,所述对所述待测文件进行至少一次检测,包括:利用哈希算法,确定所述待测文件的精确哈希值;如果样本哈希值库中没有所述精确哈希值,利用所述模糊哈希算法,确定所述待测文件与样本文件的文件相似度;如果所述文件相似度不满足相似条件,确定所述待测文件不是所述目标文件。4.根据权利要求1或2所述的方法,其特征在于,所述对待测文件进行分割处理,得到至少一个第一文件块,包括:对所述待测文件进行反汇编处理,得到至少一个第二文件块;对所述第二文件块进行泛化处理,得到对应的所述第一文件块。5.根据权利要求4所述的方法,其特征在于,所述第二文件块为以下至少之一:控制流图、函数、函数组合、基本块、基本块组合。6.根据权利要求1所述的方法,其特征在于,所述根据所述目标文件块的数量,确定所述待测文件是否是目标文件,包括:...
【专利技术属性】
技术研发人员:刘彦南,位凯志,高智,
申请(专利权)人:深信服科技股份有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。