【技术实现步骤摘要】
一种文件检测方法
[0001]本专利技术涉及安全检测领域,特别是涉及一种文件检测方法。
技术介绍
[0002]目前的PE文件的检测方法的检测规则是固定的,需要根据特定顺序的若干检测规则对待检测PE文件进行检测,由于检测规则的检测顺序是固定的,会存在待检测PE文件的恶意类型与检测顺序的检测规则不匹配的情况,导致相关性较差,造成了系统的检测算力的浪费。
技术实现思路
[0003]有鉴于此,本专利技术提供一种文件检测方法,至少部分解决现有技术中存在的由于检测规则的固定检测顺序导致检测算力的浪费的技术问题,本专利技术采用的技术方案为:根据本申请的一个方面,提供一种文件检测方法,应用于恶意检测系统,恶意检测系统中存储有若干目标恶意检测规则;每一目标恶意检测规则具有对应的若干恶意样本向量;所述方法包括如下步骤:响应于接收到目标PE文件,获取目标PE文件对应的目标指令向量;根据目标指令向量与每一恶意样本向量对应的向量匹配度,得到每一目标恶意检测规则对应的向量匹配度列表;任一向量匹配度列表中包含同一目标恶意检测规则对应的所有恶意样本向量与目标指令向量的向量匹配度;将目标恶意检测规则对应的向量匹配度列表中的最大值确定为该目标恶意检测规则对应的目标匹配度;根据数值递减顺序,对每一目标匹配度进行排列,并将每一目标匹配度的排列顺序确定为对应的目标恶意检测规则的检测顺序;根据检测顺序,依次使用每一目标恶意检测规则对目标PE文件进行恶意检测,得到目标PE文件对应的恶意检测结果。
[0004]在本申请的一种示例性实施例中, ...
【技术保护点】
【技术特征摘要】
1.一种文件检测方法,其特征在于,应用于恶意检测系统,所述恶意检测系统中存储有若干目标恶意检测规则;每一所述目标恶意检测规则具有对应的若干恶意样本向量;所述方法包括如下步骤:响应于接收到目标PE文件,获取所述目标PE文件对应的目标指令向量;根据所述目标指令向量与每一所述恶意样本向量对应的向量匹配度,得到每一所述目标恶意检测规则对应的向量匹配度列表;任一所述向量匹配度列表中包含同一所述目标恶意检测规则对应的所有所述恶意样本向量与所述目标指令向量的向量匹配度;将所述目标恶意检测规则对应的向量匹配度列表中的最大值确定为该目标恶意检测规则对应的目标匹配度;根据数值递减顺序,对每一所述目标匹配度进行排列,并将每一所述目标匹配度的排列顺序确定为对应的所述目标恶意检测规则的检测顺序;根据所述检测顺序,依次使用每一目标恶意检测规则对所述目标PE文件进行恶意检测,得到所述目标PE文件对应的恶意检测结果。2.根据权利要求1所述的方法,其特征在于,所述恶意样本向量通过以下步骤确定:获取若干恶意样本文件;每一所述恶意样本文件至少对应一个目标恶意检测规则;获取每一所述目标恶意检测规则对应的恶意样本文件列表;任意所述恶意样本文件均能够被其所在的恶意样本文件列表对应的目标恶意检测规则识别为恶意文件;对每一所述恶意样本文件列表进行第一特征向量确定处理,以得到每一所述目标恶意检测规则对应的若干恶意样本向量。3.根据权利要求2所述的方法,其特征在于,所述第一特征向量确定处理,包括:使用预设聚类算法对当前的恶意样本文件列表中的若干恶意样本文件进行聚类,得到若干个样本文件组;其中,第p个目标恶意检测规则对应的第q个所述样本文件组符合以下条件:;其中,p=1,2,...,t;t为目标恶意检测规则的数量;q=1,2,...,Y(p);Y(p)为第p个目标恶意检测规则对应的样本文件组的数量;V(pq)为第p个目标恶意检测规则对应的第q个样本文件组中包含的恶意样本文件的数量;G(p)为第p个目标恶意检测规则对应的恶意样本文件的数量;对每一所述样本文件组进行第二特征向量确定处理,以得到当前的恶意样本文件列表对应的若干恶意样本向量。4.根据权利要求3所述的方法,其特征在于,所述第二特征向量确定处理,包括:获取当前的样本文件组中每一所述恶意样本文件对应的文件特征向量;根据当前的样本文件组对应的每一所述文件特征向量,得到当前的样本文件组对应的恶意样本向量。5.根据权利要求4所述的方法,其特征在于,所述获取当前的样本文件组中每一所述恶意样本文件对应的文件特征向量,包括:获取第p个目标恶意检测规则对应的第二初始特征向量组W
p1
,W
p2
,...,W
pq
,...,W
pY(p)
;W
pq
=(W
pq1
,W
pq2
,...,W
pqx
,...,W
pqV(pq)
);W
pqx
=(W
pqx1
,W
pqx2
,...,W
pqxa
,...,W
pqxh
);其中,W
pq
为第p个目标恶意检测规则对应的第q个样本文件组的第二初始特征向量列表;x=1,2,...,V
(pq);W
pqx
为第p个目标恶意检测规则对应的第q个样本文件组包含的第x个恶意样本文件的第二初始特征向量;a=1,2,...,h;h为第一指令信息类型的数量;W
pqxa
为W
pqx
中第a个第一指令信息类型对应的特征信息;W
pqxa
的初始值为NULL;获取第p个目标恶意检测规则对应的第q个样本文件组包含的每一恶意样本文件的若干样本指令信息类型,得到样本指令信息类型集M
pq
=(M
pq1
,M
pq2
,...,M
pqx
,...,M
pqV(pq)
);M
pqx
=(M
pqx1
,M
pqx2
,...,M
pqxr
,...,M
pqxD(pqx)
);其中,r=1,2,...,D(pqx);D(pqx)为第p个目标恶意检测规则对应的第q个样本文件组包含的第x个恶意样本文件的样本指令信息类型的数量;M
pqx
为第p个目标恶意检测规则对应的第q个样本文件组包含的第x个恶意样本文件的样本指令信息类型列表;M
pqxr
为第p个目标恶意检测规则对应的第q个样本文件组包含的第x个恶意样本文件的第r个样本指令信息类型;遍历W<...
【专利技术属性】
技术研发人员:李建平,李石磊,肖新光,
申请(专利权)人:北京安天网络安全技术有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。