【技术实现步骤摘要】
一种文件检测方法、设备和计算机可读存储介质
[0001]本申请涉及计算机
,尤其涉及一种文件检测方法
、
设备和计算机可读存储介质
。
技术介绍
[0002]可移植文件
(Portable Executable
,
PE)
是视窗
(Windows)
操作系统中的程序文件
。
一般,病毒程序会采取代码模糊技术将恶意代码隐藏在
PE
文件中,以躲避防病毒软件的检测,从而导致计算机被病毒入侵
。
相关技术中,为了识别
PE
文件是否被病毒入侵,会将
PE
文件输入到神经网络模型中进行模型训练得到检测模型,之后基于检测模型来确定待处理的
PE
文件是否被病毒入侵
。
但是,相关技术中是在不对
PE
文件进行处理的情况下,直接将
PE
文件输入到神经网络模型进行模型训练的,需要结构较为复杂的神经网络模型才能学习到
PE
文件的特征,存在模型复杂度较高和训练周期长的问题,且模型检测准确率较低
。
技术实现思路
[0003]为解决上述技术问题,本申请实施例期望提供一种文件检测方法
、
设备和计算机可读存储介质,解决了相关技术中直接将
PE
文件输入到神经网络模型进行模型训练的方案存在模型复杂度较高和训练周期长的问题,提高了模型检测准确率
【技术保护点】
【技术特征摘要】
1.
一种文件检测方法,其特征在于,所述方法包括:获取待训练的可移植文件;对所述待训练的可移植文件进行分析,得到所述待训练的可移植文件的目标特征信息;其中,所述目标特征信息表征所述待训练的可移植文件中字符的分布情况
、
地址信息的跳转情况以及节的属性信息;基于所述目标特征信息进行模型训练,得到检测模型;基于所述检测模型对待处理的可移植文件进行检测,确定所述待处理的可移植文件是否被病毒入侵
。2.
根据权利要求1所述的方法,其特征在于,所述对所述待训练的可移植文件进行分析,得到所述待训练的可移植文件的目标特征信息,包括:对所述待训练的可移植文件中的字符进行分析,得到所述待训练的可移植文件的第一特征信息;其中,所述第一特征信息表征所述待训练的可移植文件中字符的分布情况;对所述待训练的可移植文件中的地址信息进行分析,得到所述待训练的可移植文件的第二特征信息;其中,所述第二特征信息表征所述待训练的可移植文件中地址信息的跳转情况;基于所述待训练的可移植文件中的节的属性信息,确定所述待训练的可移植文件的第三特征信息;其中,所述目标特征信息包括所述第一特征信息
、
所述第二特征信息和所述第三特征信息
。3.
根据权利要求2所述的方法,其特征在于,所述对所述待训练的可移植文件中的字符进行分析,得到所述待训练的可移植文件的第一特征信息,包括:对所述待训练的可移植文件进行解析,得到所述待训练的可移植文件的结构信息和可识别字符串;统计所述待训练的可移植文件中每个字符出现的次数,并对所述次数进行标准化处理;基于处理后的所述次数,得到所述待训练的可移植文件的第一子特征信息;基于可移植文件被病毒入侵的方式对所述结构信息和所述可识别字符串进行分析,得到所述待训练的可移植文件的第二子特征信息;其中,所述第一特征信息包括所述第一子特征信息和所述第二子特征信息
。4.
根据权利要求3所述的方法,其特征在于,所述基于可移植文件被病毒入侵的方式对所述结构信息和所述可识别字符串进行分析,得到所述待训练的可移植文件的第二子特征信息,包括:从所述结构信息和所述可识别字符串中,确定字符串长度大于第一目标长度的目标字符串;对所述目标字符串进行分析,得到所述目标字符串的基础特征信息;其中,所述基础特征信息表征所述目标字符串的数量特征;将所述目标字符串映射到多个第一集合;对所述第一集合的字符进行分析,得到所述目标字符串的中间特征信息;其中,所述第二子特征信息包括所述基础特征信息和所述中间特征信息
。5.
根据权利要求4所述的方法,其特征在于,所述对所述第一集合的字符进行分析,得
到所述目标字符串的中间特征信息,包括:确定所述第一集合的字符的数量,并对所述第一集合的字符的数量进行标准化处理;基于处理后的所述第一集合的字符的数量,确定所述目标字符串的第一中间特征信息;计算每一所述第一集合的字符的数量占所述目标字符串的字符的数量的比例,并基于所述比例确定所述第一集合的信息熵;基于所述第一集合的信息熵确定所述目标字符串的第二...
【专利技术属性】
技术研发人员:李朝竟,
申请(专利权)人:深信服科技股份有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。