一种文件检测方法技术

本发明专利技术提供了一种文件检测方法，涉及安全检测领域，包括：获取目标PE文件对应的目标指令向量；根据目标指令向量与每一恶意样本向量对应的向量匹配度，得到每一目标恶意检测规则对应的向量匹配度列表；确定目标恶意检测规则对应的目标匹配度；将每一目标匹配度的排列顺序确定为对应的目标恶意检测规则的检测顺序；根据检测顺序，依次使用每一目标恶意检测规则对目标PE文件进行恶意检测，得到目标PE文件对应的恶意检测结果。与现有的PE文件恶意检测方法相比，本发明专利技术通过对不同类组的恶意样本文件进行聚类，得到每一目标恶意检测规则的检测顺序，可以更快的检测出目标PE文件是否为恶意文件，节省了系统算力，且缩短了检测时间。且缩短了检测时间。且缩短了检测时间。

【技术实现步骤摘要】
一种文件检测方法


[0001]本专利技术涉及安全检测领域，特别是涉及一种文件检测方法。

技术介绍

[0002]目前的PE文件的检测方法的检测规则是固定的，需要根据特定顺序的若干检测规则对待检测PE文件进行检测，由于检测规则的检测顺序是固定的，会存在待检测PE文件的恶意类型与检测顺序的检测规则不匹配的情况，导致相关性较差，造成了系统的检测算力的浪费。

技术实现思路

[0003]有鉴于此，本专利技术提供一种文件检测方法，至少部分解决现有技术中存在的由于检测规则的固定检测顺序导致检测算力的浪费的技术问题，本专利技术采用的技术方案为：根据本申请的一个方面，提供一种文件检测方法，应用于恶意检测系统，恶意检测系统中存储有若干目标恶意检测规则；每一目标恶意检测规则具有对应的若干恶意样本向量；所述方法包括如下步骤：响应于接收到目标PE文件，获取目标PE文件对应的目标指令向量；根据目标指令向量与每一恶意样本向量对应的向量匹配度，得到每一目标恶意检测规则对应的向量匹配度列表；任一向量匹配度列表中包含同一目标恶意检测规则对应的所有恶意样本向量与目标指令向量的向量匹配度；将目标恶意检测规则对应的向量匹配度列表中的最大值确定为该目标恶意检测规则对应的目标匹配度；根据数值递减顺序，对每一目标匹配度进行排列，并将每一目标匹配度的排列顺序确定为对应的目标恶意检测规则的检测顺序；根据检测顺序，依次使用每一目标恶意检测规则对目标PE文件进行恶意检测，得到目标PE文件对应的恶意检测结果。
[0004]在本申请的一种示例性实施例中，恶意样本向量通过以下步骤确定：获取若干恶意样本文件；每一恶意样本文件至少对应一个目标恶意检测规则；获取每一目标恶意检测规则对应的恶意样本文件列表；任意恶意样本文件均能够被其所在的恶意样本文件列表对应的目标恶意检测规则识别为恶意文件；对每一恶意样本文件列表进行第一特征向量确定处理，以得到每一目标恶意检测规则对应的若干恶意样本向量。
[0005]在本申请的一种示例性实施例中，第一特征向量确定处理，包括：使用预设聚类算法对当前的恶意样本文件列表中的若干恶意样本文件进行聚类，得到若干个样本文件组；其中，第p个目标恶意检测规则对应的第q个样本文件组符合以下条件：
；其中，p=1,2,...,t；t为目标恶意检测规则的数量；q=1,2,...,Y(p)；Y(p)为第p个目标恶意检测规则对应的样本文件组的数量；V(pq)为第p个目标恶意检测规则对应的第q个样本文件组中包含的恶意样本文件的数量；G(p)为第p个目标恶意检测规则对应的恶意样本文件的数量；对每一样本文件组进行第二特征向量确定处理，以得到当前的恶意样本文件列表对应的若干恶意样本向量。
[0006]在本申请的一种示例性实施例中，第二特征向量确定处理，包括：获取当前的样本文件组中每一恶意样本文件对应的文件特征向量；根据当前的样本文件组对应的每一文件特征向量，得到当前的样本文件组对应的恶意样本向量。
[0007]在本申请的一种示例性实施例中，获取当前的样本文件组中每一恶意样本文件对应的文件特征向量，包括：获取第p个目标恶意检测规则对应的第二初始特征向量组W
p1
,W
p2
,...,W
pq
,...,W
pY(p)
；W
pq
=(W
pq1
,W
pq2
,...,W
pqx
,...,W
pqV(pq)
)；W
pqx
=(W
pqx1
,W
pqx2
,...,W
pqxa
,...,W
pqxh
)；其中，W
pq
为第p个目标恶意检测规则对应的第q个样本文件组的第二初始特征向量列表；x=1,2,...,V(pq)；W
pqx
为第p个目标恶意检测规则对应的第q个样本文件组包含的第x个恶意样本文件的第二初始特征向量；a=1,2,...,h；h为第一指令信息类型的数量；W
pqxa
为W
pqx
中第a个第一指令信息类型对应的特征信息；W
pqxa
的初始值为NULL；获取第p个目标恶意检测规则对应的第q个样本文件组包含的每一恶意样本文件的若干样本指令信息类型，得到样本指令信息类型集M
pq
=(M
pq1
,M
pq2
,...,M
pqx
,...,M
pqV(pq)
)；M
pqx
=(M
pqx1
,M
pqx2
,...,M
pqxr
,...,M
pqxD(pqx)
)；其中，r=1,2,...,D(pqx)；D(pqx)为第p个目标恶意检测规则对应的第q个样本文件组包含的第x个恶意样本文件的样本指令信息类型的数量；M
pqx
为第p个目标恶意检测规则对应的第q个样本文件组包含的第x个恶意样本文件的样本指令信息类型列表；M
pqxr
为第p个目标恶意检测规则对应的第q个样本文件组包含的第x个恶意样本文件的第r个样本指令信息类型；遍历W
pqx
，若W
pqxa
对应的第一指令信息类型存在于M
pqx
中，则将W
pqxa
确定为1；否则，将W
pqxa
确定为0；将赋值后的W
pqx
确定为第p个目标恶意检测规则对应的第q个样本文件组包含的第x个恶意样本文件的文件特征向量。
[0008]在本申请的一种示例性实施例中，根据当前的样本文件组对应的每一文件特征向量，得到当前的样本文件组对应的恶意样本向量，包括：确定第p个目标恶意检测规则对应的第q个样本文件组的恶意样本向量Z
pq
=(Z
pq1
,Z
pq2
,...,Z
pqa
,...,Z
pqh
)；；其中，Z
pqa
为Z
pq
中第a个特征信息。
[0009]在本申请的一种示例性实施例中，获取目标PE文件对应的目标指令向量，包括：将目标PE文件输入至IDA解析工具中，得到目标PE文件对应的IDB文件；对IDB文件进行解析处理，得到若干个PE文件信息；根据若干个PE文件信息，得到目标json文件；根据目标json文件对应的若干目标指令信息类型，确定目标json文件对应的目标
指令向量。
[0010]在本申请的一种示例性实施例中，目标指令向量通过以下步骤确定：根据h个第一指令信息类型，得到第一初始特征向量E=(E1,E2,...,E
a
,...,E
h
)；其中，a=1,2,...,h；E
a
为E中第a个第一指令信息类型对应的特征信本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种文件检测方法，其特征在于，应用于恶意检测系统，所述恶意检测系统中存储有若干目标恶意检测规则；每一所述目标恶意检测规则具有对应的若干恶意样本向量；所述方法包括如下步骤：响应于接收到目标PE文件，获取所述目标PE文件对应的目标指令向量；根据所述目标指令向量与每一所述恶意样本向量对应的向量匹配度，得到每一所述目标恶意检测规则对应的向量匹配度列表；任一所述向量匹配度列表中包含同一所述目标恶意检测规则对应的所有所述恶意样本向量与所述目标指令向量的向量匹配度；将所述目标恶意检测规则对应的向量匹配度列表中的最大值确定为该目标恶意检测规则对应的目标匹配度；根据数值递减顺序，对每一所述目标匹配度进行排列，并将每一所述目标匹配度的排列顺序确定为对应的所述目标恶意检测规则的检测顺序；根据所述检测顺序，依次使用每一目标恶意检测规则对所述目标PE文件进行恶意检测，得到所述目标PE文件对应的恶意检测结果。2.根据权利要求1所述的方法，其特征在于，所述恶意样本向量通过以下步骤确定：获取若干恶意样本文件；每一所述恶意样本文件至少对应一个目标恶意检测规则；获取每一所述目标恶意检测规则对应的恶意样本文件列表；任意所述恶意样本文件均能够被其所在的恶意样本文件列表对应的目标恶意检测规则识别为恶意文件；对每一所述恶意样本文件列表进行第一特征向量确定处理，以得到每一所述目标恶意检测规则对应的若干恶意样本向量。3.根据权利要求2所述的方法，其特征在于，所述第一特征向量确定处理，包括：使用预设聚类算法对当前的恶意样本文件列表中的若干恶意样本文件进行聚类，得到若干个样本文件组；其中，第p个目标恶意检测规则对应的第q个所述样本文件组符合以下条件：；其中，p=1,2,...,t；t为目标恶意检测规则的数量；q=1,2,...,Y(p)；Y(p)为第p个目标恶意检测规则对应的样本文件组的数量；V(pq)为第p个目标恶意检测规则对应的第q个样本文件组中包含的恶意样本文件的数量；G(p)为第p个目标恶意检测规则对应的恶意样本文件的数量；对每一所述样本文件组进行第二特征向量确定处理，以得到当前的恶意样本文件列表对应的若干恶意样本向量。4.根据权利要求3所述的方法，其特征在于，所述第二特征向量确定处理，包括：获取当前的样本文件组中每一所述恶意样本文件对应的文件特征向量；根据当前的样本文件组对应的每一所述文件特征向量，得到当前的样本文件组对应的恶意样本向量。5.根据权利要求4所述的方法，其特征在于，所述获取当前的样本文件组中每一所述恶意样本文件对应的文件特征向量，包括：获取第p个目标恶意检测规则对应的第二初始特征向量组W
p1
,W
p2
,...,W
pq
,...,W
pY(p)
；W
pq
=(W
pq1
,W
pq2
,...,W
pqx
,...,W
pqV(pq)
)；W
pqx
=(W
pqx1
,W
pqx2
,...,W
pqxa
,...,W
pqxh
)；其中，W
pq
为第p个目标恶意检测规则对应的第q个样本文件组的第二初始特征向量列表；x=1,2,...,V
(pq)；W
pqx
为第p个目标恶意检测规则对应的第q个样本文件组包含的第x个恶意样本文件的第二初始特征向量；a=1,2,...,h；h为第一指令信息类型的数量；W
pqxa
为W
pqx
中第a个第一指令信息类型对应的特征信息；W
pqxa
的初始值为NULL；获取第p个目标恶意检测规则对应的第q个样本文件组包含的每一恶意样本文件的若干样本指令信息类型，得到样本指令信息类型集M
pq
=(M
pq1
,M
pq2
,...,M
pqx
,...,M
pqV(pq)
)；M
pqx
=(M
pqx1
,M
pqx2
,...,M
pqxr
,...,M
pqxD(pqx)
)；其中，r=1,2,...,D(pqx)；D(pqx)为第p个目标恶意检测规则对应的第q个样本文件组包含的第x个恶意样本文件的样本指令信息类型的数量；M
pqx
为第p个目标恶意检测规则对应的第q个样本文件组包含的第x个恶意样本文件的样本指令信息类型列表；M
pqxr
为第p个目标恶意检测规则对应的第q个样本文件组包含的第x个恶意样本文件的第r个样本指令信息类型；遍历W<...

【专利技术属性】
技术研发人员：李建平，李石磊，肖新光，
申请(专利权)人：北京安天网络安全技术有限公司，
类型：发明
国别省市：