【技术实现步骤摘要】
恶意文件检测方法、装置、电子装置及存储介质
[0001]本申请涉及信息安全
,特别是涉及恶意文件检测方法、装置、电子装置及存储介质。
技术介绍
[0002]在计算机、服务器等设备的运行过程中,可能遭受恶意文件的破坏,恶意文件指的是能够攻击设备对设备造成破坏的文件,为了保护设备的安全,需要对恶意文件进行检测。
[0003]现有技术中,恶意文件检测方式主要是以文件内容,文件行为为基础特征,通过规则、关键字匹配、机器学习等方式检测文件是否为恶意。但无论是文件内容信息还是文件执行行为,在恶意文件检测场景中,特别是webshell类型恶意文件检测,和文件内容信息有比较强的关联,由于恶意文件大多是脚本文件,无需编译,所以文件内容和代码形式灵活多变,攻击者在保证核心恶意代码正常运行基础上,对文件内容进行混淆以绕过检测引擎的检测,因此现有恶意文件检测技术无法检测出混淆型的恶意脚本文件,计算机、服务器等设备仍存在被恶意文件破坏风险。
[0004]针对相关技术中存在现有恶意文件检测技术无法检测出混淆型的恶意脚本文件,计算机...
【技术保护点】
【技术特征摘要】
1.一种恶意文件检测方法,其特征在于,包括:基于文件生成日志,按预设第一周期获取目标的第一特征数据;按预设时间窗口期对所述第一特征数据进行累积处理,得到第二特征数据;对所述第一特征数据和所述第二特征数据进行多维处理,得到目标特征数据;将所述目标特征数据输入训练完备的预测模型,得到多条预测结果,并将多条所述预测结果进行合并,得到目标预测结果;根据所述目标预测结果,判定所述目标特征数据对应的文件是否为恶意文件。2.根据权利要求1所述的恶意文件检测方法,其特征在于,所述目标为主机、目录以及文件;所述按预设第一周期获取目标的第一特征数据,包括:利用主机特征计算器,按预设第一周期获取所述主机的主机特征数据;利用目录特征计算器,按预设第一周期获取所述目录的目录特征数据;利用文件特征计算器,按预设第一周期获取所述文件的文件特征数据。3.根据权利要求2所述的恶意文件检测方法,其特征在于,所述按预设时间窗口期对所述第一特征数据进行累积处理,得到第二特征数据,包括:基于累积主机特征计算器和所述主机特征数据,得到主机特征累积数据;基于累积目录特征计算器和所述目录特征数据,得到目录特征累积数据;基于累积文件特征计算器和所述文件特征数据,得到文件特征累积数据。4.根据权利要求3所述的恶意文件检测方法,其特征在于,所述得到第二特征数据后,还包括:计算所述目录特征累积数据对应的目录是否为新安装程序目录。5.根据权利要求3所述的恶意文件检测方法,其特征在于,所述对所述第一特征数据和所述第二特征数据进行多维处理,得到目标特征数据,包括:合并所述主机特征数据和所述主机特征累积数据,得到第一合并数据;合并所述目录特征数据和所述目录特征累积数据,得到第二合并数据;合并所述文件特征数据和所述文...
【专利技术属性】
技术研发人员:韩孟玲,白冰,王之宇,张兴明,张音捷,黎海燕,陈岱渊,刘恬,孙才俊,孙天宁,申大坤,徐昊天,范逸飞,夏俊伟,杨钢,
申请(专利权)人:之江实验室,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。