一种风险文件检测方法、装置、电子设备及存储介质制造方法及图纸

本公开提供了一种风险文件检测方法、装置、电子设备及存储介质，其中，该方法通过多个目标检测引擎对目标文件进行风险检测，再对目标文件及风险检测报告进行特征提取，再利用提取到的各个目标检测引擎分别对应的多个异常维度下的风险信息以及文件属性信息，确定目标文件的风险检测结果，实现对多个目标检测引擎的风险检测报告的整合，使得最终得到的风险检测结果结合多个检测引擎，避免因特定检测引擎自身缺陷，导致对目标文件的风险误判，从而提高风险检测的精确度。高风险检测的精确度。高风险检测的精确度。

【技术实现步骤摘要】
一种风险文件检测方法、装置、电子设备及存储介质


[0001]本公开涉及计算机
，具体而言，涉及一种风险文件检测方法、装置、电子设备及存储介质。

技术介绍

[0002]随着计算机技术的发展，出现各式各样的木马、病毒，这些木马、病毒会隐藏在普通文件之中，对网络安全造成巨大的威胁，因此，风险文件的检测对于安全研究人员来说也是一直以来的研究课题。
[0003]通常，可以使用特定的检测引擎对文件进行风险检测，然而，检测引擎在设计时可能存在盲区或缺陷，因此，利用特定的检测引擎进行风险检测有可能存在风险检测结果疏漏或不准确的情况。

技术实现思路

[0004]本公开实施例至少提供一种风险文件检测方法、装置、电子设备及存储。
[0005]第一方面，本公开实施例提供了一种风险文件检测方法，包括：响应于接收到待检测的目标文件，调用多个目标检测引擎对所述目标文件进行风险检测，得到各个所述目标检测引擎针对所述目标文件的风险检测报告；针对各个所述目标检测引擎对应的所述风险检测报告，确定所述风险检测报告在多个异常维度下的风险信息；以及，确定所述目标文件的文件属性信息；基于各个所述目标检测引擎分别对应的所述多个异常维度下的风险信息，以及所述文件属性信息，确定所述目标文件的风险检测结果。
[0006]一种可选的实施方式中，所述多个异常维度至少包括指示所述目标文件是否异常的维度，以及指示所述目标文件的异常类型的维度；所述文件属性信息至少包括文件类型。
[0007]一种可选的实施方式中，所述基于各个所述目标检测引擎分别对应的所述多个异常维度下的风险信息，以及所述文件属性信息，确定所述目标文件的风险检测结果，包括：基于所述文件属性信息中指示的所述目标文件的文件类型，获取各个所述目标检测引擎在所述文件类型下的检测准确率；基于各个所述目标检测引擎对应的所述检测准确率，确定各个所述目标检测引擎对应的权重；基于各个所述目标检测引擎分别对应的所述多个异常维度下的风险信息、所述文件属性信息、以及各个所述目标检测引擎对应的权重，确定所述目标文件的风险检测结果。
[0008]一种可选的实施方式中，所述基于各个所述目标检测引擎分别对应的所述多个异常维度下的风险信息、所述文件属性信息、以及各个所述目标检测引擎对应的权重，确定所述目标文件的风险检测结果，包括：将各个所述目标检测引擎分别对应的所述多个异常维度下的风险信息、所述文件属性信息、以及各个所述目标检测引擎对应的权重输入至训练的多引擎聚合模型，得到所
述目标文件的风险检测结果；所述多引擎聚合模型用于将所述文件属性信息和各个所述目标检测引擎对应的权重作为聚合影响因素，对多个所述目标检测引擎的风险检测报告进行聚合。
[0009]一种可选的实施方式中，通过以下步骤训练所述多引擎聚合模型：针对获取的多个第一样本文件，分别对每个所述第一样本文件通过所述多个目标检测引擎进行风险检测，得到第一风险检测报告样本；基于所述第一风险检测报告样本、以及所述第一风险检测报告样本对应的真值标签，对所述多引擎聚合模型进行训练。
[0010]一种可选的实施方式中，在调用多个目标检测引擎对所述目标文件进行风险检测之前，所述方法还包括：获取多个第二样本文件中每个第二样本文件分别通过多个待筛选检测引擎进行风险检测后得到的第二风险检测报告样本；基于所述第二风险检测报告样本以及所述第二风险检测报告样本对应的真值标签，确定各个所述待筛选检测引擎的检测准确率；并基于所述第二风险检测报告样本，确定各个所述待筛选检测引擎之间的相似度；基于各个所述待筛选检测引擎的所述检测准确率，以及各个所述待筛选检测引擎之间的相似度，对所述待筛选检测引擎进行筛选，得到多个所述目标检测引擎。
[0011]一种可选的实施方式中，所述第二样本文件为去除证书和/或签名的样本文件。
[0012]第二方面，本公开实施例还提供一种风险文件检测装置，包括：检测模块，用于响应于接收到待检测的目标文件，调用多个目标检测引擎对所述目标文件进行风险检测，得到各个所述目标检测引擎针对所述目标文件的风险检测报告；确定模块，用于针对各个所述目标检测引擎对应的所述风险检测报告，确定所述风险检测报告在多个异常维度下的风险信息；以及，确定所述目标文件的文件属性信息；聚合模块，用于基于各个所述目标检测引擎分别对应的所述多个异常维度下的风险信息，以及所述文件属性信息，确定所述目标文件的风险检测结果。
[0013]一种可选的实施方式中，所述多个异常维度至少包括指示所述目标文件是否异常的维度，以及指示所述目标文件的异常类型的维度；所述文件属性信息至少包括文件类型。
[0014]一种可选的实施方式中，所述聚合模块具体用于：基于所述文件属性信息中指示的所述目标文件的文件类型，获取各个所述目标检测引擎在所述文件类型下的检测准确率；基于各个所述目标检测引擎对应的所述检测准确率，确定各个所述目标检测引擎对应的权重；基于各个所述目标检测引擎分别对应的所述多个异常维度下的风险信息、所述文件属性信息、以及各个所述目标检测引擎对应的权重，确定所述目标文件的风险检测结果。
[0015]一种可选的实施方式中，所述聚合模块具体用于：将各个所述目标检测引擎分别对应的所述多个异常维度下的风险信息、所述文件属性信息、以及各个所述目标检测引擎对应的权重输入至训练的多引擎聚合模型，得到所述目标文件的风险检测结果；所述多引擎聚合模型用于将所述文件属性信息和各个所述目标检测引擎对应的权重作为聚合影响因素，对多个所述目标检测引擎的风险检测报告进行
聚合。
[0016]一种可选的实施方式中，所述装置还包括训练模块，用于：针对获取的多个第一样本文件，分别对每个所述第一样本文件通过所述多个目标检测引擎进行风险检测，得到第一风险检测报告样本；基于所述第一风险检测报告样本、以及所述第一风险检测报告样本对应的真值标签，对所述多引擎聚合模型进行训练。
[0017]一种可选的实施方式中，在调用多个目标检测引擎对所述目标文件进行风险检测之前，所述训练模块还用于：获取多个第二样本文件中每个第二样本文件分别通过多个待筛选检测引擎进行风险检测后得到的第二风险检测报告样本；基于所述第二风险检测报告样本以及所述第二风险检测报告样本对应的真值标签，确定各个所述待筛选检测引擎的检测准确率；并基于所述第二风险检测报告样本，确定各个所述待筛选检测引擎之间的相似度；基于各个所述待筛选检测引擎的所述检测准确率，以及各个所述待筛选检测引擎之间的相似度，对所述待筛选检测引擎进行筛选，得到多个所述目标检测引擎。
[0018]一种可选的实施方式中，所述第二样本文件为去除证书和/或签名的样本文件。
[0019]第三方面，本公开实施例还提供一种电子设备，包括：处理器、存储器和总线，所述存储器存储有所述处理器可执行的机器可读指令，当电子设备运行时，所述处理器与所述存储器之间通过总线通信，所述机器可读指令被所述处理器执行时执行上述第一方面，或第一方面中任一种可能的实施方式中的步骤。
[本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种风险文件检测方法，其特征在于，包括：响应于接收到待检测的目标文件，调用多个目标检测引擎对所述目标文件进行风险检测，得到各个所述目标检测引擎针对所述目标文件的风险检测报告；针对各个所述目标检测引擎对应的所述风险检测报告，确定所述风险检测报告在多个异常维度下的风险信息；以及，确定所述目标文件的文件属性信息；基于各个所述目标检测引擎分别对应的所述多个异常维度下的风险信息，以及所述文件属性信息，确定所述目标文件的风险检测结果。2.根据权利要求1所述的方法，其特征在于，所述多个异常维度至少包括指示所述目标文件是否异常的维度，以及指示所述目标文件的异常类型的维度；所述文件属性信息至少包括文件类型。3.根据权利要求1所述的方法，其特征在于，所述基于各个所述目标检测引擎分别对应的所述多个异常维度下的风险信息，以及所述文件属性信息，确定所述目标文件的风险检测结果，包括：基于所述文件属性信息中指示的所述目标文件的文件类型，获取各个所述目标检测引擎在所述文件类型下的检测准确率；基于各个所述目标检测引擎对应的所述检测准确率，确定各个所述目标检测引擎对应的权重；基于各个所述目标检测引擎分别对应的所述多个异常维度下的风险信息、所述文件属性信息、以及各个所述目标检测引擎对应的权重，确定所述目标文件的风险检测结果。4.根据权利要求3所述的方法，其特征在于，所述基于各个所述目标检测引擎分别对应的所述多个异常维度下的风险信息、所述文件属性信息、以及各个所述目标检测引擎对应的权重，确定所述目标文件的风险检测结果，包括：将各个所述目标检测引擎分别对应的所述多个异常维度下的风险信息、所述文件属性信息、以及各个所述目标检测引擎对应的权重输入至训练的多引擎聚合模型，得到所述目标文件的风险检测结果；所述多引擎聚合模型用于将所述文件属性信息和各个所述目标检测引擎对应的权重作为聚合影响因素，对多个所述目标检测引擎的风险检测报告进行聚合。5.根据权利要求4所述的方法，其特征在于，通过以下步骤训练所述多引擎聚合模型：针对获取的多个第一样本文件，分别对每...

【专利技术属性】
技术研发人员：高志文，陈奇，樊兴华，童兆丰，薛锋，
申请(专利权)人：北京微步在线科技有限公司，
类型：发明
国别省市：