风险文件检测方法、装置及计算机设备
阅读:69发布:2020-05-13
专利汇可以提供风险文件检测方法、装置及计算机设备专利检索,专利查询,专利分析的服务。并且本 申请 公开了一种 风 险文件检测方法、装置及计算机设备,该方法包括:获取待检测的目标文件的文件哈希值,该文件哈希值为基于该目标文件的文件内容确定出的哈希值;依据统计得到的不同文件哈希值与文件名称数量的对应关系,确定该目标文件的文件哈希值对应的文件名称的总数量;在该文件名称的总数量大于预设的名称数量 阈值 的情况下,确定该目标文件属于风险文件。本申请 实施例 的方案有利于减少 计算机病毒 漏检的情况。,下面是风险文件检测方法、装置及计算机设备专利的具体信息内容。
1.一种风险文件检测方法,其特征在于,包括:
获取待检测的目标文件的文件哈希值,所述文件哈希值为基于所述目标文件的文件内容确定出的哈希值;
依据统计得到的不同文件哈希值与文件名称数量的对应关系,确定所述目标文件的文件哈希值对应的文件名称的总数量;
在所述文件名称的总数量大于预设的名称数量阈值的情况下,确定所述目标文件属于风险文件。
2.根据权利要求1所述的风险文件检测方法,其特征在于,所述在所述文件名称的总数量大于预设的名称数量阈值的情况下,确定所述目标文件属于风险文件,包括:
在所述文件名称的总数量大于预设的名称数量阈值的情况下,依据所述目标文件的文件哈希值,确定具有所述目标文件的客户端的总数量;
在具有所述目标文件的客户端的总数量表征所述目标文件的分布广度小于预设的广度阈值的情况下,确定所述目标文件属于风险文件。
3.根据权利要求1或2所述的风险文件检测方法,其特征在于,还包括:
在所述文件名称的总数量不大于所述预设的名称数量阈值的情况下,确定所述目标文件的文件属性信息,并检测病毒特征库中是否存在所述目标文件的文件属性信息;
当所述病毒特征库中存在所述目标文件的文件属性信息时,依据所述目标文件的文件哈希值,确定具有该目标文件的客户端的总数量;
当具有所述目标文件的客户端的总数量表征所述目标文件的分布广度小于预设的广度阈值,确定所述目标文件属于风险文件。
4.根据权利要求1所述的风险文件检测方法,其特征在于,所述依据统计得到的不同文件哈希值与文件名称数量的对应关系,确定所述目标文件的文件哈希值对应的文件名称的总数量,包括:
依据多个不同文件哈希值聚类与文件名称数量的对应关系,确定目标文件哈希值聚类对应的文件名称的总数量,所述目标文件哈希值聚类为所述多个不同文件哈希值聚类中,目标文件的文件哈希值所属的文件哈希值聚类。
5.根据权利要求1所述的风险文件检测方法,其特征在于,在所述确定所述目标文件的文件哈希值对应的文件名称的总数量之前,还包括:
检测病毒哈希库中是否存在目标文件的文件哈希值对应的病毒属性,其中,所述病毒哈希库中存储有不同文件哈希值对应的病毒属性,病毒属性用于表征该文件哈希值对应的文件是否属于病毒文件;
所述依据统计得到的不同文件哈希值与文件名称数量的对应关系,确定所述目标文件的文件哈希值对应的文件名称的总数量,包括:
在满足预设条件的情况下,依据统计得到的不同文件哈希值与文件名称数量的对应关系,确定所述目标文件的文件哈希值对应的文件名称的总数量,其中,所述预设条件至少包括:所述病毒哈希库中未存储有所述目标文件的文件哈希值对应的病毒属性;或者,所述病毒哈希库中所述目标文件的文件哈希值的病毒属性为未知。
6.根据权利要求5所述的风险文件检测方法,其特征在于,在所述依据统计得到的不同文件哈希值与文件名称数量的对应关系,确定所述目标文件的文件哈希值对应的文件名称的总数量之前,还包括:
获得所述目标文件与静态特征库的特征匹配结果,所述静态特征库位于所述目标文件所属的目标客户端,且所述静态特征库中包括所述目标客户端统计得到的病毒文件以及非病毒文件的静态特征;
所述预设条件还包括:所述特征匹配结果表征基于所述静态特征库确定出所述目标文件的病毒属性为未知,或者,基于所述静态特征库无法确定所述目标文件的病毒属性。
7.根据权利要求3所述的风险文件检测方法,其特征在于,所述具有所述目标文件的客户端的总数量表征所述目标文件的分布广度小于预设的广度阈值,包括:
具有所述目标文件的客户端的总数量小于预设的广度阈值。
8.根据权利要求1所述的风险文件检测方法,其特征在于,在所述确定所述目标文件属于风险文件之后,还包括:
输出针对所述目标文件的风险提示,所述风险提示用于提示用户所述目标文件存在风险;
获得用户针对所述目标文件输入的文件处理方式,所述文件处理方式包括:删除文件或者忽略文件风险;
在所述文件处理方式为删除文件的情况下,将所述目标文件处理为不可运行状态,并在指定存储区存储所述目标文件。
9.一种风险文件检测装置,其特征在于,包括:
哈希获取单元,用于获取待检测的目标文件的文件哈希值,所述文件哈希值为基于所述目标文件的文件内容确定出的哈希值;
名称数量确定单元,用于依据统计得到的不同文件哈希值与文件名称数量的对应关系,确定所述目标文件的文件哈希值对应的文件名称的总数量;
风险识别单元,用于在所述文件名称的总数量大于预设的名称数量阈值的情况下,确定所述目标文件属于风险文件。
10.一种计算机设备,其特征在于,包括:处理器和存储器;
其中,所述处理器用于执行所述存储器中存储的程序;
所述存储器用于存储程序,所述程序至少用于:
获取待检测的目标文件的文件哈希值,所述文件哈希值为基于所述目标文件的文件内容确定出的哈希值;
依据统计得到的不同文件哈希值与文件名称数量的对应关系,确定所述目标文件的文件哈希值对应的文件名称的总数量;
在所述文件名称的总数量大于预设的名称数量阈值的情况下,确定所述目标文件属于风险文件。
风险文件检测方法、装置及计算机设备
技术领域
[0001] 本申请涉及病毒检测技术领域,尤其涉及一种风险文件检测方法、装置及计算机设备。
背景技术
[0002] 为了提高手机、个人计算机等计算机设备的安全性,需要对计算机设备中的文件进行病毒检测,以及时发现并处理计算机设备中的病毒文件。
[0003] 目前,一般会基于病毒特征库检测计算机设备中的文件是否属于病毒文件。其中,病毒特征库是基于已知的计算机病毒构建的。然而,由于计算机病毒的形式具有多变性,基于已知的计算机病毒构建的病毒特征库很难全面覆盖所有的计算机病毒,从而无法检测出某些计算机病毒,导致计算机病毒漏检的情况较多。发明内容
[0004] 有鉴于此,本申请提供了一种风险文件检测方法、装置及计算机设备,有利于减少计算机病毒漏检的情况。
[0005] 为实现上述目的,一方面,本申请提供了一种风险文件检测方法,包括:
[0006] 获取待检测的目标文件的文件哈希值,所述文件哈希值为基于所述目标文件的文件内容确定出的哈希值;
[0007] 依据统计得到的不同文件哈希值与文件名称数量的对应关系,确定所述目标文件的文件哈希值对应的文件名称的总数量;
[0008] 在所述文件名称的总数量大于预设的名称数量阈值的情况下,确定所述目标文件属于风险文件。
[0009] 在一种可能的实现方式中,所述在所述文件名称的总数量大于预设的名称数量阈值的情况下,确定所述目标文件属于风险文件,包括:
[0010] 在所述文件名称的总数量大于预设的名称数量阈值的情况下,依据所述目标文件的文件哈希值,确定具有所述目标文件的客户端的总数量;
[0011] 在具有所述目标文件的客户端的总数量表征所述目标文件的分布广度小于预设的广度阈值的情况下,确定所述目标文件属于风险文件。
[0012] 在又一种可能的实现方式中,还包括:
[0013] 在所述文件名称的总数量不大于所述预设的名称数量阈值的情况下,确定所述目标文件的文件属性信息,并检测病毒特征库中是否存在所述目标文件的文件属性信息;
[0014] 当所述病毒特征库中存在所述目标文件的文件属性信息时,依据所述目标文件的文件哈希值,确定具有该目标文件的客户端的总数量;
[0015] 当具有所述目标文件的客户端的总数量表征所述目标文件的分布广度小于预设的广度阈值,确定所述目标文件属于风险文件。
[0016] 在又一种可能的实现方式中,在所述确定所述目标文件的文件哈希值对应的文件名称的总数量之前,还包括:
[0017] 检测病毒哈希库中是否存在目标文件的文件哈希值对应的病毒属性,其中,所述病毒哈希库中存储有不同文件哈希值对应的病毒属性,病毒属性用于表征该文件哈希值对应的文件是否属于病毒文件;
[0018] 所述依据统计得到的不同文件哈希值与文件名称数量的对应关系,确定所述目标文件的文件哈希值对应的文件名称的总数量,包括:
[0019] 在满足预设条件的情况下,依据统计得到的不同文件哈希值与文件名称数量的对应关系,确定所述目标文件的文件哈希值对应的文件名称的总数量,其中,所述预设条件至少包括:所述病毒哈希库中未存储有所述目标文件的文件哈希值对应的病毒属性;或者,所述病毒哈希库中所述目标文件的文件哈希值的病毒属性为未知。
[0020] 在又一种可能的实现方式中,在所述依据统计得到的不同文件哈希值与文件名称数量的对应关系,确定所述目标文件的文件哈希值对应的文件名称的总数量之前,还包括:
[0021] 获得所述目标文件与静态特征库的特征匹配结果,所述静态特征库位于所述目标文件所属的目标客户端,且所述静态特征库中包括所述目标客户端统计得到的病毒文件以及非病毒文件的静态特征;
[0022] 所述预设条件还包括:所述特征匹配结果表征基于所述静态特征库确定出所述目标文件的病毒属性为未知,或者,基于所述静态特征库无法确定所述目标文件的病毒属性。
[0023] 又一方面,本申请还提供了一种风险文件检测装置,包括:
[0024] 哈希获取单元,用于获取待检测的目标文件的文件哈希值,所述文件哈希值为基于所述目标文件的文件内容确定出的哈希值;
[0025] 名称数量确定单元,用于依据统计得到的不同文件哈希值与文件名称数量的对应关系,确定所述目标文件的文件哈希值对应的文件名称的总数量;
[0026] 风险识别单元,用于在所述文件名称的总数量大于预设的名称数量阈值的情况下,确定所述目标文件属于风险文件。
[0027] 又一方面,本申请还提供了一种计算机设备,包括:处理器和存储器;
[0028] 其中,所述处理器用于执行所述存储器中存储的程序;
[0029] 所述存储器用于存储程序,所述程序至少用于:
[0030] 获取待检测的目标文件的文件哈希值,所述文件哈希值为基于所述目标文件的文件内容确定出的哈希值;
[0031] 依据统计得到的不同文件哈希值与文件名称数量的对应关系,确定所述目标文件的文件哈希值对应的文件名称的总数量;
[0032] 在所述文件名称的总数量大于预设的名称数量阈值的情况下,确定所述目标文件属于风险文件。
[0033] 可见,在本申请实施例中对于待检测的文件,会获得该文件的文件内容对应的文件哈希值,并根据统计得到的不同文件哈希值与文件名称数量的对应关系,确定出该文件的文件哈希值对应的文件名称的总数量。由于病毒文件经常会通过变换随机名的方式来逃避检测,即由于病毒文件的文件名称不断变化导致基于已知的病毒特征库可能无法检测出这些名称不断变化的病毒文件,而本申请考虑到虽然病毒文件的名称具有多变性,但是病毒文件的文件内容却基本不变,基于此,如果该文件的文件哈希值对应的文件名称的总数量大于预设的名称数量阈值,则可以判定该目标文件属于风险文件,从而可以有效检测出随机变换名称的病毒文件,减少病毒文件漏检的情况。附图说明
[0034] 为了更清楚地说明本申请实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请的实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据提供的附图获得其他的附图。
[0035] 图1示出了本申请实施例中一种风险文件检测方法的一种应用场景的组成结构示意图;
[0036] 图2示出了本申请实施例中一种风险文件检测方法的一种流程示意图;
[0037] 图3示出了本申请实施例中一种风险文件检测方法的又一种流程示意图;
[0038] 图4示出了本申请实施例中一种风险文件检测方法的又一种流程示意图;
[0039] 图5示出了本申请实施例中一种风险文件检测方法的一种流程交互示意图;
[0040] 图6示出了本申请实施例中风险提示界面的一种示意图;
[0041] 图7示出了本申请实施例中用于查询隔离区文件的一种界面示意图;
[0042] 图8示出了本申请实施例中一种风险文件检测装置的一种组成结构示意图;
[0043] 图9示出了本申请实施例中一种风险文件检测方法所适用的计算机设备的一种组成结构示意图。
具体实施方式
[0044] 本申请的风险文件检测方法可以应用于对计算机设备中的文件进行风险检测,以有利于有效检测出不断变化随机名的病毒文件,降低经常变化随机名的病毒文件被漏检的情况。
[0045] 本申请的发明人经过研究发现:正常的操作系统文件或者应用的文件等文件的文件名一般是固定的,而一些病毒文件为了躲避杀毒软件的查杀,采用随机名(也称为随机文件名)形式释放文件。如果病毒文件采用随机名形式释放文件,那么同一种病毒文件在不同计算机设备中的文件名就可能不同;而且,对于病毒文件所在的计算机设备而言,每次重启该计算机设备,该计算机设备中的该病毒文件都会改变随机名。
[0046] 如,随机名生成可以两个步骤:首先,生成随机字符,如,调用操作系统的应用程序编程接口(Application Programming Interface,API)生成随机数字(0-9)以及随机字符(例如,字母a-z等)中的一种或者多种。其次,拼接随机字符,即拼接上一步中生成的随机数字以及随机字符,以得到随机文件名。例如,随机文件名可以为:zg18yhz.sys。
[0047] 而目前病毒特征库都是基于已知的病毒的特征构建,如果病毒文件不同改变其文件名,则会导致基于病毒特征库无法检测出该病毒文件的情况,出现病毒文件的漏检。
[0048] 基于此,本申请的发明人想到,基于病毒文件的文件名称不断变化性,如果能够识别出不同文件名称所指向的同一个文件,这样,根据同一个文件所具有的文件名称的数量便可以判断出该文件是否为病毒文件。相应的,考虑到病毒文件的文件名称不断变化并不会影响到病毒文件的文件内容,因此,如果文件的内容相同但是该文件的名称不同,那么文件的文件哈希值也是相同的,从而可以基于文件的文件哈希值来确定出该文件所对应的文件名称的数量,这样,便可以分析同一文件对应的文件名称的数量是否超过设定阈值,进而可以分析该文件是否属于存在病毒风险的风险文件。
[0049] 为了便于理解本申请的方案,先对本申请实施例的风险文件检测方法所适用的应用场景进行介绍。
[0050] 如图1,在图1所示的应用场景中可以包括:多个客户端101,以及服务器 102。其中,该客户端101与服务器102之间可以通过网络连接。
[0051] 其中,该客户端可以为应用所在的计算机设备,而该服务器可以为该应用所对应的服务器。其中,该应用可以为用于确定客户端中的文件是否为风险文件的病毒查杀或者防护等类型的应用。
[0052] 相应的,在该客户端上可以包括待进行风险检测的目标文件,如,在客户端上下载了该目标文件对应的文件包,或者,客户端中安装或者运行了该目标文件对应的程序包等。如,该客户端可以为安装并运行有目标文件的手机、笔记本电脑或者台式电脑等等。
[0053] 在本申请实施例中,该风险文件检测方法可以在该服务器侧执行,也可以是在该客户端中执行。为了便于区分,本申请也将待进行文件的风险检测的客户端称为目标客户端。
[0054] 结合以上共性,下面对本申请实施例的风险文件检测方法进行介绍,如,参见图2,其示出了本申请一种风险文件检测方法一个实施例的流程示意图,本实施例可以应用于计算机设备,该计算机设备可以为上面提到的服务器或者目标客户端。
[0055] 本实施例的方法可以包括:
[0056] S201,获取待检测的目标文件的文件哈希值。
[0057] 在本申请实施例中,为了便于区分,将待检测的文件称为目标文件。其中,该目标文件的文件类型可以有多种可能,对此不加限制。
[0058] 可选的,考虑到大部分病毒文件都是可移植的可执行(Portable Executable,PE)文件,如常见的PE文件可以为EXE、DLL、COM等格式的文件,因此,在本申请实施例中,该目标文件可以为PE文件。
[0059] 其中,该文件哈希值为基于该目标文件的文件内容确定出的哈希值。可以理解的是,在目标文件固定的情况下,基于该目标文件的文件内容确定文件哈希值的方式可以有多种,本申请对此不加限制。
[0060] 如,在目标客户端执行该方法的情况下,可以是目标客户端基于该目标文件的文件内容计算出该目标文件的文件哈希值。
[0061] 又如,在服务器侧执行该方法的情况下,可以是服务器获得该目标客户端发送的目标文件的文件哈希值。
[0062] S202,依据统计得到的不同文件哈希值与文件名称数量的对应关系,确定该目标文件的文件哈希值对应的文件名称的总数量。
[0064] 可以理解的是,当一个文件的文件内容不变的情况下,即使该文件的文件名称发生变化,基于该文件的文件内容计算出的文件哈希值也是相同或者相似的,因此,本申请可以预先通过大数据统计出大量的文件,并依据分别确定各个文件的文件名以及文件的文件哈希值,从而统计出不同文件哈希值对应的文件名称数量。
[0065] 如,可以预先获得数据源,数据源为包含大量文件的文件数据库,例如大量PE文件构成的文件数据库,在此基础上,可以依据文件数据库中各个文件的文件名称以及文件哈希值,确定出不同文件哈希值所对应的文件名称数量。例如,文件哈希值M对应的20个文件名称;而文件哈希值N对应2300 个文件名称。
[0066] 相应的,基于不同文件哈希值与文件名称数量的对应关系,可以确定出该目标文件的文件哈希值对应的文件名称的总数量。
[0067] 可以理解的是,考虑到计算的精准度,不同次针对同一文件计算出的文件哈希值有可能会存在较小差别;而且,病毒等风险文件的多变性,很多情况下,属于同一种文件的两份文件之间也可能存在细小差别等等原因,在本申请实施例中同一文件哈希值可以认为是文件哈希值相同或者相似,如,文件哈希值相同或者文件哈希值的差值小于预设值就可以认为是同一个文件哈希值。
[0068] 可选的,为了能够更为精准度定位到同一个文件,在本申请实施例中,不同文件哈希值与文件名称数量的对应关系可以为多个不同文件哈希值聚类与文件名称数量的对应关系。也就是说,在预先获取到文件数据库之后,可以对文件数据库中各个文件的文件哈希值进行聚类,以将文件数据库中的所有文件聚类为多个聚类。其中,聚类出的每个聚类就是一个文件哈希值聚类,而每个文件哈希值聚类内包含的所有文件的文件名称的总数量就是该文件哈希值聚类对应的文件名称数量。
[0069] 如,假设以PE文件数据库为例,并假设PE文件数据库中的所有PE文件的文件哈希值进行聚类,得到三个文件哈希值聚类,其中,一个文件哈希值聚类包括300个文件,且该300个文件对应了260个文件名称,则该文件哈希值聚类对应的文件名称数量为260个。相应的,对于另外两个文件哈希值聚类,也可以根据其包含的文件以及文件的文件名称,确定出这两个文件哈希值聚类各自对应的文件名称数量。
[0070] 相应的,可以依据多个不同文件哈希值聚类与文件名称数量的对应关系,确定目标文件的文件哈希值所属的目标文件哈希值聚类,并得到该目标文件哈希值聚类对应的文件名称的总数量。其中,该目标文件哈希值聚类为该多个不同文件哈希值聚类中,该目标文件的文件哈希值所属的文件哈希值聚类。如,可以依据该目标文件的文件哈希值,将该目标文件的文件哈希值与该多个文件哈希值聚类进行聚类,以确定该目标文件的文件哈希值所属的目标文件哈希值聚类。
[0071] 可以理解的是,随着服务器获取到的文件数量的不断增多,文件数据库也会不断更新,相应的,该文件哈希值(或者文件哈希值聚类)对应的文件名称数量也会不断被更新。
[0072] 可以理解的是,在本实施例的方法由服务器侧执行时,该服务器可以直接查询不同文件哈希值(或者文件哈希值聚类)与文件名称数量的对应关系,并最终确定该目标文件的文件哈希值对应的文件名称数量。
[0073] 在本实施例的方法由目标客户端侧执行的情况下,目标客户端可以获得服务器返回该目标文件的文件哈希值对应的文件名称数量。
[0074] S203,在该文件名称的总数量大于预设的名称数量阈值的情况下,确定该目标文件属于风险文件。
[0075] 其中,该预设的名称数量阈值可以根据需要设定,如,可以根据病毒文件的随机名称更新情况来设定。例如,该预设的名称数量阈值可以为500。
[0076] 可以理解的是,如果目标文件的文件哈希值对应的文件名称的总数量大于该预设的名称数量阈值,则说明该目标文件的文件名称被更新的频率过于频率,该目标文件已经具备了符合病毒文件更新随机名称的条件,在该种情况下,则可以判定该目标文件属于风险文件。
[0077] 可选的,在确定该目标文件属于风险文件的情况下,还可以输出针对该目标文件的风险提示,如,服务器向目标客户端输出针对该目标文件的风险提示;或者,目标客户端输出该目标文件的风险提示。该风险提示用于提示用户该目标文件存在风险。例如,该风险提示可以为该目标文件属于病毒文件,可能会窃取您的个人信息等。
[0078] 可见,在本申请实施例中对于待检测的文件,会获得基于该文件的文件内容确定出的文件哈希值,并根据统计得到的不同文件哈希值与文件名称数量的对应关系,确定出该文件的文件哈希值对应的文件名称的总数量。由于病毒文件经常会通过变换随机名的方式来逃避检测,即由于病毒文件的文件名称不断变化导致基于已知的病毒特征库可能无法检测出这些名称不断变化的病毒文件,而本申请考虑到病毒文件的名称具有多变性但是病毒文件的文件内容却基本不变,因此,如果该文件的文件哈希值对应的文件名称的总数量大于预设的名称数量阈值,则可以判定该目标文件属于风险文件,从而可以有效检测出随机变换名称的病毒文件,减少病毒文件漏检的情况。
[0079] 可以理解的是,有些情况下,一个正常的文件也可能会存在频繁更名的可能性,因此,单独依据文件对应的文件名称的数量来判断一个文件是否具有风险,有可能会造成误判。为了减少误判,在本申请实施例还可以结合该目标文件在不同客户端上的分布广度,来辅助分析该目标文件是否属于风险文件。
[0080] 可以理解的是,正常情况下,相对于不具有风险文件的客户端的数量,具有病毒等风险文件的客户端数量只是较小的一部分,因此,如果一个目标文件存在于大部分客户端中,则说明该目标文件属于风险文件的可能性较低,在该种情况下,则可以排除该目标文件属于风险文件的可能。
[0081] 如,参见图3,其示出了本申请一种风险文件检测方法又一个实施例的流程示意图,本实施例的方法同样可以应用于目标客户端或者服务器,本实施例的方法可以包括:
[0082] S301,获取待检测的目标文件的文件哈希值。
[0083] 其中,该文件哈希值为基于该目标文件的文件内容确定出的哈希值。
[0084] S302,依据统计得到的不同文件哈希值与文件名称数量的对应关系,确定该目标文件的文件哈希值对应的文件名称的总数量。
[0085] 如上步骤S301到S302可以参见前面实施例的相关介绍,在此不再赘述。
[0086] S303,检测该文件名称的总数量是否大于预设的名称数量阈值,如果是,则执行步骤S304;如果否,则执行步骤S306。
[0087] S304,在该文件名称的总数量大于预设的名称数量阈值的情况下,依据该目标文件的文件哈希值,确定具有该目标文件的客户端的总数量。
[0088] 其中,具有该目标文件的客户端是指服务器关联的所有客户端中,具有该目标文件的客户端。如,服务器关联的客户端可以为安装有该服务器对应的应用的客户端,例如,服务器为病毒查杀应用的服务器,则该服务器关联的客户端可以为所有安装有该病毒查杀应用,具备与服务器通信以完成病毒查杀的客户端。
[0089] 相应的,如果客户端中具有与该目标文件的文件哈希值相同的文件,则说明该客户端具有该目标文件。需要说明的是,此处所提到的文件哈希值相同可以认为是文件哈希值相同或者两个文件的文件哈希值之间的差值小于预设值。
[0090] 其中,客户端具有该目标文件可以是客户端安装有该目标文件、保存有已下载的该目标文件以及运行有该目标文件等等。
[0091] 可以理解的是,在本实施例的方法由服务器侧执行的情况下,服务器可以根据该目标文件的文件哈希值,查询该服务器关联的各个客户端是否具有与该目标文件的文件哈希值对应的文件,并最终确定具有与该目标文件的文件哈希值对应的文件的客户端的总数量。如,服务器可以向该服务器关联的所有客户端下发文件查询请求,该文件查询请求用于指示客户端反馈该客户端是否具有该目标文件的文件哈希值对应的文件;服务器根据各个客户端反馈的文件具有情况,可以统计出具有目标文件的客户端的数量。
[0092] 在本申请实施例的方法由目标客户端侧执行的情况下,目标客户端通过服务器确定具有该目标文件的客户端的总数量。如,目标客户端可以向服务器发送文件分布查询请求,该文件发布查询请求携带有该目标文件的文件哈希值,且该文件发布查询请求用于请求服务器确定具有该目标文件的客户端的总数量;相应的,目标客户端可以接收服务器反馈的具有该目标文件的客户端的总数量。
[0093] S305,在具有该目标文件的客户端的总数量表征该目标文件的分布广度小于预设的广度阈值的情况下,则确定该目标文件属于风险文件。
[0094] 其中,根据具有该目标文件的客户端的总数量可以反映出该目标文件在该服务器关联的所有客户端上的分布广度。
[0095] 可以理解的是,在目标文件对应的文件名称数量相对较多的情况下,如果该目标文件的分布广度越大,则说明该目标文件属于病毒等风险文件的可能性越低;相应的,如果该目标文件的分布广度越小,则说明该目标文件属于病毒等风险文件的可能性越高。基于此,如果该目标文件的分布广度小于该预设的广度阈值,则可以确定该目标文件属于风险文件。
[0096] 可以理解的是,依据具有该目标文件的客户端的总数量确定目标文件的分布广度的方式可以有多种,相应的,该预设的广度阈值也会有多种可能情况。
[0097] 如,在一种可能的情况中,具有该目标文件的客户端的总数量便可以直接用于表征该目标文件的分布广度。在该种情况下,该目标文件的分布广度实际上反映的是该目标文件在各个客户端中出现的总次数,因此,具有该目标文件的客户端的总数量越大,该目标文件的分布广度越高。相应的,如果具有该目标文件的客户端的总数量小于预设的广度阈值,则确定该目标文件属于风险文件。
[0098] 在该种情况中,该广度阈值可以为根据病毒等风险文件在各个客户端中分布的数量情况来决定,如该广度阈值可以为5000。
[0099] 在又一种可能的情况中,可以通过具有该目标文件的客户端的总数量对应的数量占比来反映该目标文件的分布广度。该数量占比为:具有该目标文件的客户端的总数量与服务器关联的所有客户端的总数量之间的比值。可以理解的是,如果该数量占比越大,则说明该目标文件的分布广度越高,该目标文件的风险性越低。
[0100] 相应的,如果具有该目标文件的客户端的总数据量对应的数据占比小于预设的广度阈值,则说明该目标文件属于风险文件。在该种情况下,该广度阈值为大于0小于1的数值,如该广度阈值可以为0.8。
[0101] 可以理解的是,在具有该目标文件的客户端的总数量表征该目标文件的分布广度不小于预设的广度阈值的情况下,则可以认为该目标文件不属于风险文件。
[0102] S306,在该文件名称的总数量不大于该预设的名称数量阈值的情况下,确定该目标文件的文件属性信息,并检测病毒特征库中是否存在该目标文件的文件属性信息。
[0103] 其中,该文件属性信息可以为该目标文件所固定或者关联一些属性信息。如,该文件的文件属性信息可以为文件的文件签名、文件所属的公司名以及文件路径信息等中的一种或者多种。其中,文件路径信息可以为程序数据库文件(Program Database File,PDB)路径。
[0104] 如,目标客户端可以解析该目标文件,并获得该目标文件的文件属性信息;
[0105] 又如,服务器可以从目标客户端获得该目标客户端解析出的该目标文件的文件属性信息。
[0106] 可以理解的是,在文件名称的总数量不大于该预设的名称数量阈值的情况下,为了进一步减少病毒等风险文件的漏报情况,还可以获取该目标文件的文件属性信息,以便检测该文件属性信息是否存在于病毒特征库中。
[0107] 其中,该病毒特征库可以存储有已知的病毒的文件属性。
[0108] 在一种可能的实现方式中,检测该病毒特征库中是否存在该目标文件的文件属性信息可以是,检测该目标文件的至少一个文件属性信息是否属于该病毒特征库,如果该病毒特征库中存在该目标文件的至少一个文件属性信息,则可以确认该病毒特征库中存在该目标文件的文件属性信息。
[0109] 当然,也可以根据需要设定,在病毒特征库中具有该目标文件的多种文件属性信息,才确定该病毒特征库中存在该目标文件的文件属性信息。
[0110] 其中,该病毒特征库可以位于该目标文件所属的该目标客户端中,也可以是位于该服务器中。
[0111] 可选的,该病毒特征库可以为位于该目标客户端。如,该目标客户端可以在每次扫描出病毒等风险文件的情况下,提取出已识别出的风险文件中的文件属性信息并存储到病毒特征库中。
[0112] 当然,目标客户端维护的该病毒特征库还可以是按照其他方式生成并构建,本申请对此不加限制。
[0113] 如,以病毒特征库在目标客户端为例,则在本申请实施例的方法应用于客户端的情况下,该客户端即为该目标客户端,在该种情况下,该目标客户端可以解析出该目标文件的文件属性信息,并检测本地的该病毒特征库中是否存在该目标文件的文件属性信息。
[0114] 相应的,在本申请实施例的方法应用于服务器侧的情况下,该服务器可以通过客户端检测该病毒特征库中是否存在该目标文件的文件属性信息。
[0115] 如,服务器可以向目标客户端发送该目标文件的文件属性匹配指示,该文件属性匹配指示用于指示目标客户端确定该目标文件的文件属性并检测该目标客户端中的病毒特征库中是否存在该目标文件的文件属性;相应的,服务器可以获得目标客户端针对该文件属性匹配指示返回的文件属性匹配结果,这样,通过该文件属性匹配结果可以反映出该病毒特征库中是否包含该目标文件的文件属性信息。
[0116] S307,当该病毒特征库中存在该目标文件的文件属性信息时,依据该目标文件的文件哈希值,确定具有该目标文件的客户端的总数量。
[0117] S308,当具有该目标文件的客户端的总数量表征该目标文件的分布广度小于预设的广度阈值,则确定该目标文件属于风险文件。
[0118] 其中,该步骤S307和S308中确定具有该目标文件的客户端的总数量以及判断目标文件的分布广度的具体过程可以参见前面步骤S304和S305的相关介绍,在此不再赘述。
[0119] 需要说明的是,在本申请实施例中步骤S306到步骤S308为可选步骤,其目的是为了进一步减少漏报而执行的操作。
[0120] 可以理解的是,在本申请以上实施例的基础上,为了进一步提高检测风险文件的精准度,在基于目标文件的文件哈希值对应的文件名称数量识别风险文件之前,还可以先依据服务器中已构建的病毒哈希库和/或客户端的静态特征库,检测该目标文件是否属于风险文件。其中,病毒哈希库为利用已知的病毒文件的文件哈希值构建出的。
[0121] 如果基于病毒哈希库以及该静态特征库中的一种或者两种确定出该目标文件的病毒属性为未知或者无法确定该目标文件的病毒属性,则可以基于目标文件的文件哈希值对应的文件名称数量识别风险文件,以提高风险文件识别的精准度,并减少漏报情况。
[0122] 如,参见图4,其示出了本申请一种风险文件检测方法又一个实施例的流程示意图,本实施例的方法可以应用于目标客户端或者服务器,本实施例的方法可以包括:
[0123] S401,获取待检测的目标文件的文件哈希值。
[0124] 该步骤S401可以参见前面实施例的相关介绍,在此不再赘述。
[0125] S402,检测病毒哈希库中是否存在目标文件的文件哈希值对应的病毒属性。
[0126] 其中,该病毒哈希库为基于已知的病毒文件以及非病毒文件构建出的,,在该病毒哈希库存储有不同文件哈希值对应的病毒属性。其中,病毒属性用于表征该文件哈希值对应的文件是否属于病毒文件。其中,非病毒文件包括:不存在病毒等风险的正常文件以及风险情况未知的文件。
[0127] 相应的,该病毒哈希库中的病毒属性可以包括病毒、安全(或者说非病毒)以及未知三大类。其中,病毒属性为病毒则表征文件属于病毒文件;如果文件的病毒属性为安全,则说明该文件不属于病毒文件;如果该文件的病毒属性为未知,则表征该文件是否具有病毒是未知的。
[0128] 举例说明,病毒特征库中存储有文件哈希值S1的属性为黑色,则表征该文件哈希值S1对应的病毒属性为病毒;而病毒特征库中存储有文件哈希值S2 的属性为白色,则表征该文件哈希值S2对应的病毒属性为安全;如果病毒特征库中存储有该文件哈希值S3的属性为灰色,则表征该文件哈希值S3对应的病毒属性为未知。
[0129] 作为一种可选方式,该病毒哈希库可以由服务器侧维护。
[0130] 如,在本实施例的方法由服务器侧执行的情况下,服务器可以依据该目标文件的文件哈希值,检测该病毒哈希值库是否存在该文件哈希值,如果存在该文件哈希值,则获取该文件哈希值对应的病毒属性。
[0131] 在本实施例的方法由目标客户端侧执行的情况下,目标客户端可以从服务器维护的病毒哈希库中查询是否存在目标文件的文件哈希值对应的病毒属性。如,目标客户端请求服务器检测该病毒哈希库中是否存在该目标文件的文件哈希值对应的病毒属性,并获得服务器返回的该目标文件的文件哈希值对应的病毒属性查询结果。
[0132] S403,获得该目标文件与静态特征库的特征匹配结果。
[0133] 其中,该静态特征库位于该目标文件所在的目标客户端,且该静态特征库中包括该目标客户端统计得到的病毒文件的静态特征。其中,病毒文件的静态特征可以从病毒文件的文件内容以及属性信息中提取出的。该静态特征库中还包括:非病毒文件的静态特征。
[0134] 其中,该静态特征库可以为本申请提到的病毒特征库的一部分。在本申请实施例中,通过将该目标文件与该静态特征库进行特征匹配,目的是基于该静态特征库检测该目标文件是否属于病毒文件。
[0135] 相应的,该特征匹配结果可以表征该目标文件在该静态特征库中的病毒属性。该病毒属性的含义与步骤S402相似。
[0136] 其中,基于静态特征库确定目标文件的病毒属性的具体方式可以有多种,在实际应用中,该静态特征库中会存在一个静态特征集对应的病毒属性,每个静态特征集一般会包括多个静态特征,每个静态特征集可以对应一个病毒属性。相应的,只有该目标文件的多个静态特征均与某一个静态特征集内的多个静态特征匹配,则可以从该静态特征库中匹配出该目标文件对应的病毒属性。
[0137] 其中,在本实施例的方法由服务器侧执行时,服务器可以获得目标客户端反馈的该目标文件与静态特征库的特征匹配结果。相应的,如果本实施例的方法由目标客户端侧执行,则目标客户端可以将该目标文件与该静态特征库进行特征匹配,以得到特征匹配结果。
[0138] 需要说明的是,在本申请实施例中,该步骤S402和S403的顺序可以同时执行,也可以先执行步骤S403再执行步骤S402,对此不加限制。
[0139] 另外,本实施例是以风险文件检测方法中均需要执行该步骤S402和S403 为例说明,但是可以理解的是,在实际应用中,也可以仅执行该步骤S402和 S403中的一个步骤。
[0140] S404,在满足预设条件的情况下,依据统计得到的不同文件哈希值与文件名称数量的对应关系,确定该目标文件的文件哈希值对应的文件名称的总数量。
[0141] 其中,该预设条件可以包括以下任意一种或者多种:
[0142] 病毒哈希库中未存储有该目标文件的文件哈希值对应的病毒属性;
[0143] 该病毒哈希库中该目标文件的文件哈希值的病毒属性为未知;
[0144] 特征匹配结果表征基于所述静态特征库确定出该目标文件的病毒属性为未知;
[0145] 特征匹配结果基于该静态特征库无法确定该目标文件的病毒属性。
[0146] 作为一种可选方式,预设条件可以仅仅包括其中的一种即可。
[0147] 其中,病毒哈希库中未存储有该目标文件的文件哈希值,说明从该病毒哈希库中查询不到该目标文件的文件哈希值对应的病毒属性。
[0148] 相应的,如果该静态特征库中未存储有该目标文件具有的静态特征所对应的病毒属性,则基于该静态特征库无法确定出该目标文件的病毒属性。
[0149] 可以理解的是,在不满足该预设条件的情况可以分为两种:一种为:该病毒哈希库中该目标文件的文件哈希值的病毒属性为安全,和/或,特征匹配结果表征基于所述静态特征库确定出该目标文件的病毒属性为安全,在该种情况下,可以认为该目标文件属于安全文件;另一种为:该病毒哈希库中该目标文件的文件哈希值的病毒属性为病毒,和/或,特征匹配结果表征基于所述静态特征库确定出该目标文件的病毒属性为病毒,则可以确定该目标文件属于风险文件,从而直接输出该目标文件的风险提示。
[0150] S405,检测该文件名称的总数量是否大于预设的名称数量阈值,如果是,则执行步骤S406;如果否,则执行步骤S408。
[0151] S406,在该文件名称的总数量大于预设的名称数量阈值的情况下,依据该目标文件的文件哈希值,确定具有该目标文件的客户端的总数量。
[0152] S407,在具有该目标文件的客户端的总数量表征该目标文件的分布广度小于预设的广度阈值的情况下,则确定该目标文件属于风险文件。
[0153] S408,在该文件名称的总数量不大于该预设的名称数量阈值的情况下,确定该目标文件的文件属性信息,并检测病毒特征库中是否存在该目标文件的文件属性信息。
[0154] S409,当该病毒特征库中存在该目标文件的文件属性信息时,依据该目标文件的文件哈希值,确定具有该目标文件的客户端的总数量。
[0155] S410,当具有该目标文件的客户端的总数量表征该目标文件的分布广度小于预设的广度阈值,则确定该目标文件属于风险文件。
[0156] 其中,该步骤S405到步骤S410可以参见前面实施例的相关介绍,在此不再赘述。
[0157] 为了便于理解本申请的方案,下面以一种应用场景为例对本申请实施例的风险文件检测方法进行介绍。在该应用场景中,以由服务器侧识别风险文件为例进行说明。
[0158] 为了便于理解,本申请实施例以待进行检测的目标文件为PE文件进行说明。
[0159] 如,参见图5,其示出了本申请一种风险文件检测方法的一种流程交互示意图,本实施例的方法可以包括:
[0160] S501,目标客户端确定待进行风险检测的目标PE文件,计算该目标PE 文件的文件哈希值,并将该目标PE文件的文件哈希值发送给服务器。
[0161] 为了便于区分,本实施例将需要检测文件风险的客户端称为目标客户端。
[0162] 可以理解的是,目标客户端确定需要进行风险检测的目标PE文件的具体方式可以有多种,下面以几种情况说明:
[0163] 在一种可能的情况中,目标客户端检测到该目标客户端下载了PE文件时,将当前下载的PE文件确定为待进行风险检测的目标PE文件。即在俗称的文件落地时,将该文件确定为待检测到的目标文件。
[0164] 在又一种可能的情况中,目标客户端检测到该目标客户端运行了PE文件,则将当前运行的PE文件确定为待进行风险检测的目标PE文件。
[0165] 在又一种可能的情况中,目标客户端在检测到文件检测指令时,将该文件检测指令所指向的PE文件作为待进行检测的目标PE文件。如,目标客户端检测到用户选择扫描某个存储区或者磁盘中的文件,则会将该存储区或者磁盘中的PE文件作为目标PE文件。
[0166] 可以理解的是,目标客户端确定出的待进行检测的目标PE文件可以有多个,但是对于每个目标PE文件的处理过程相同,且均可以采用本申请实施例的方法进行风险检测,本实施例以对于一个目标PE文件的处理进行描述。
[0167] S502,目标客户端提取该目标PE文件的静态特征,并依据目标PE文件的静态特征以及该目标客户端中的静态特征库,确定目标PE文件在该静态特征库的特征匹配结果,并将特征匹配结果发送给服务器。
[0168] S503,服务器检测病毒哈希库中该目标PE文件的文件哈希值对应的病毒属性,得到哈希匹配结果。
[0169] S504,服务器基于该特征匹配结果和该哈希匹配结果,判断该目标PE文件是否属于病毒文件,如果无法判断出该目标PE文件的病毒属性,则执行步骤S505;如果判断出该目标PE文件属于病毒文件,则执行步骤S510;
[0170] 其中,特征匹配结果表征的是基于静态特征库判断出的该目标PE文件的病毒属性,而哈希匹配结果表征是基于病毒哈希库判断出该目标PE文件的文件哈希值所具有的病毒属性。
[0171] 可以理解的是,在特征匹配结果以及哈希匹配结果中任意一个表征该目标PE文件对应病毒属性为病毒的情况下,可以确定该目标PE文件属于病毒文件。或者是,在该特征匹配结果以及该哈希匹配结果均表征该目标PE文件对应的病毒属性为病毒的情况下,确定该目标PE文件属于病毒文件。
[0172] 在确定该目标PE文件属于病毒文件之后,则可以直接执行步骤S510以便向客户端输出风险提示。
[0173] 相应的,如果该特征匹配结果以及哈希匹配结果中至少有一个表征该目标PE文件对应的病毒属性未知或者无法查询到该目标PE文件对应的病毒属性,则可以执行本实施例的步骤S505及后续操作,以便进一步判断该目标PE 文件是否属于病毒等风险文件。
[0174] S505,服务器依据多个不同文件哈希值聚类与文件名称数量的对应关系,从多个不同文件哈希值聚类中,确定出目标PE文件的文件哈希值所属的目标文件哈希值聚类,并确定该目标文件哈希值聚类对应的文件名称的总数量。
[0175] 在本实施例中,是服务器中维护多个不同文件哈希值聚类与文件名称数量的对应关系为例说明,但是对于服务器直接依据不同文件哈希值与文件名称数量的对应关系,来确定该目标PE文件的文件哈希值对应的文件名称的总数量也同样适用于本实施例。
[0176] S506,服务器检测该文件名称的总数量是否大于预设的名称数量阈值,如果是,则执行步骤S508;如果否,则执行步骤S507。
[0177] S507,在该文件名称的总数量不大于该预设的名称数量阈值的情况下,服务器检测目标客户端的病毒特征库中是否存在该目标PE文件的文件属性信息,如果是,则执行步骤S508;如果否,则确定目标文件不存在风险并结束流程。
[0178] 如,服务器指示目标客户端解析该目标PE文件的文件属性,并检测该目标客户端的病毒特征库中是否存在该目标PE文件的文件属性信息。
[0179] 可以理解的是,如果该目标客户端的病毒特征库中存在该目标PE文件的文件属性信息,则说明该目标PE文件仍具备属于风险文件的可能性,在该种情况下,则需要进一步判断该目标PE文件的分布广度。
[0180] S508,服务器依据该目标PE文件的文件哈希值,确定该服务器关联的客户端中,具有该目标PE文件的客户端的总数量。
[0181] 在本实施例中,如果目标PE文件的文件哈希值对应的文件名称的总数量大于预设的名称数量阈值;或者,虽然目标PE文件的文件哈希值对应的文件名称的总数量不大于该名称数量阈值,但是该目标客户端的病毒特征库中存在该目标PE文件的文件属性信息,则均会执行该步骤S508,以确定目标PE 文件的分布广度。
[0182] S509,在具有该目标PE文件的客户端的总数量小于预设的广度阈值的情况下,则确定该目标文件属于风险文件。
[0183] 本实施例以具有该目标PE文件的客户端的总数量作为表征该目标PE文件的分布广度的信息,但是对于前面提到的其他情况也同样适用于本实施例。
[0184] S510,向目标客户端反馈该目标PE文件属于风险文件的风险提示。
[0185] 其中,风险提示用于提示用户所述目标文件存在风险。
[0186] 在本申请以上任意一个实施例中,在目标客户端输出了风险提示之后,该目标客户端还可以获得用户针对该目标文件输入的文件处理方式。其中,文件处理方式包括:删除文件或者忽略文件风险。
[0187] 如,参见图6,其示出了风险提示界面的一种示意图。由图6可以看出,在该风险提示界面中具有文件处理方式下拉菜单601,在该文件处理方式下拉菜单中用户可以选择对该目标文件的处理方式。
[0188] 如,如果用户选择暂不处理,则表征文件处理方式为忽略文件风险,在该种情况下,目标客户端不会删除该目标文件。
[0189] 又如,如果用户选择立即处理,则确定用户输入的文件处理文件为删除文件。
[0190] 在目标客户端确定该文件处理方式为删除文件的情况下,可以是直接删除该目标文件。可选的,为了后续用户再需要恢复该目标文件的情况下,可以便捷的恢复出该目标文件,在本申请实施例中,还可以是将该目标文件处理为不可运行状态,并在指定存储区存储目标文件。
[0191] 其中,该指定存储区可以认为是目标客户端中设定的文件隔离区。
[0192] 如,参见图7,其示出了用于查询隔离区文件的一种界面示意图。由图7 可以看出,如果用户希望在客户端查询已删除的目标文件,则可以选择“隔离区”,则该客户端会在图7的界面中展现出隔离区所包含的所有文件的列表。
[0193] 对应本申请一种风险文件检测方法,本申请实施例还提供了一种风险文件检测装置。
[0194] 如,参见图8,其示出了本申请一种风险文件检测装置的一种组成结构示意图,在本实施例中该装置可以包括:
[0195] 哈希获取单元801,用于获取待检测的目标文件的文件哈希值,所述文件哈希值为基于所述目标文件的文件内容确定出的哈希值;
[0196] 名称数量确定单元802,用于依据统计得到的不同文件哈希值与文件名称数量的对应关系,确定所述目标文件的文件哈希值对应的文件名称的总数量;
[0197] 风险识别单元803,用于在所述文件名称的总数量大于预设的名称数量阈值的情况下,确定所述目标文件属于风险文件。
[0198] 可选的,所述名称数量确定单元具体为,用于依据多个不同文件哈希值聚类与文件名称数量的对应关系,确定目标文件哈希值聚类对应的文件名称的总数量,所述目标文件哈希值聚类为所述多个不同文件哈希值聚类中,目标文件的文件哈希值所属的文件哈希值聚类。
[0199] 在一种可能的实现方式中,所述风险识别单元,包括:
[0200] 分布数量确定单元,用于在所述文件名称的总数量大于预设的名称数量阈值的情况下,依据所述目标文件的文件哈希值,确定具有所述目标文件的客户端的总数量;
[0201] 广度风险识别单元,用于在具有所述目标文件的客户端的总数量表征所述目标文件的分布广度小于预设的广度阈值的情况下,确定所述目标文件属于风险文件。
[0202] 可选的,本申请以上的装置中,还包括:
[0203] 属性检测单元,用于在所述文件名称的总数量不大于所述预设的名称数量阈值的情况下,确定所述目标文件的文件属性信息,并检测病毒特征库中是否存在所述目标文件的文件属性信息;
[0204] 分布数量确定单元,当所述病毒特征库中存在所述目标文件的文件属性信息时,依据所述目标文件的文件哈希值,确定具有该目标文件的客户端的总数量;
[0205] 广度风险识别单元,用于当具有所述目标文件的客户端的总数量表征所述目标文件的分布广度小于预设的广度阈值,确定所述目标文件属于风险文件。
[0206] 可选的,所述广度风险识别单元中具有所述目标文件的客户端的总数量表征所述目标文件的分布广度小于预设的广度阈值具体为:具有所述目标文件的客户端的总数量小于预设的广度阈值;或者,具有所述目标文件的客户端的总数量对应的数量占比小于预设的广度阈值,所述数量占比为具有所述目标文件的客户端的总数量与服务器关联的所有客户端的总数量的比值。
[0207] 可选的,本申请以上实施例的装置中,还可以包括:
[0208] 第一属性检测单元,用于在所述名称数量确定单元确定所述目标文件的文件哈希值对应的文件名称的总数量之前,检测病毒哈希库中是否存在目标文件的文件哈希值对应的病毒属性,其中,所述病毒哈希库中存储有不同文件哈希值对应的病毒属性,病毒属性用于表征该文件哈希值对应的文件是否属于病毒文件;
[0209] 所述名称数量确定单元具体为,用于在满足预设条件的情况下,依据统计得到的不同文件哈希值与文件名称数量的对应关系,确定所述目标文件的文件哈希值对应的文件名称的总数量,其中,所述预设条件至少包括:所述病毒哈希库中未存储有所述目标文件的文件哈希值对应的病毒属性;或者,所述病毒哈希库中所述目标文件的文件哈希值的病毒属性为未知。
[0210] 可选的,该装置还可以包括:第二属性检测单元,用于在所述名称数量确定单元确定所述目标文件的文件哈希值对应的文件名称的总数量之前,获得所述目标文件与静态特征库的特征匹配结果,所述静态特征库位于所述目标文件所属的目标客户端,且所述静态特征库中包括所述目标客户端统计得到的病毒文件以及非病毒文件的静态特征;
[0211] 所述名称确定单元中的所述预设条件还包括:所述特征匹配结果表征基于所述静态特征库确定出所述目标文件的病毒属性为未知,或者,基于所述静态特征库无法确定所述目标文件的病毒属性。
[0212] 可选的,该装置还可以包括:
[0213] 风险提示单元,用于在所述风险识别单元确定所述目标文件属于风险文件之后,输出针对所述目标文件的风险提示,所述风险提示用于提示用户所述目标文件存在风险;
[0214] 处理方式获得单元,用于获得用户针对所述目标文件输入的文件处理方式,所述文件处理方式包括:删除文件或者忽略文件风险;
[0215] 文件处理单元,用于在所述文件处理方式为删除文件的情况下,将所述目标文件处理为不可运行状态,并在指定存储区存储所述目标文件。
[0216] 为了便于理解,参见图9,其示出了本申请实施例的风险文件检测方法所适用的计算机设备的一种组成结构示意图。在图9中,该计算机设备900可以包括:处理器901、存储器902、通信接口903、输入单元904和显示器905和通信总线906。
[0217] 处理器901、存储器902、通信接口903、输入单元904、显示器905、均通过通信总线906完成相互间的通信。
[0219] 该处理器可以调用存储器902中存储的程序,具体的,可以处理器可以执行如图2以及图5中客户端或者服务器侧所执行的操作。
[0220] 存储器902中用于存放一个或者一个以上程序,程序可以包括程序代码,所述程序代码包括计算机操作指令,在本申请实施例中,该存储器中至少存储有用于实现以下功能的程序:
[0221] 获取待检测的目标文件的文件哈希值,所述文件哈希值为基于所述目标文件的文件内容确定出的哈希值;
[0222] 依据统计得到的不同文件哈希值与文件名称数量的对应关系,确定所述目标文件的文件哈希值对应的文件名称的总数量;
[0223] 在所述文件名称的总数量大于预设的名称数量阈值的情况下,确定所述目标文件属于风险文件。
[0224] 在一种可能的实现方式中,该存储器902可包括存储程序区和存储数据区,其中,存储程序区可存储操作系统、以及至少一个功能(比如声音播放功能、图像播放功能等)所需的应用程序等;存储数据区可存储根据计算机的使用过程中所创建的数据,比如,用户数据以及音频数据等等。
[0226] 该通信接口903可以为通信模块的接口,如GSM模块的接口。
[0228] 当然,图9所示的计算机设备结构并不构成对本申请实施例中计算机设备的限定,在实际应用中计算机设备可以包括比图9所示的更多或更少的部件,或者组合某些部件。
[0229] 另一方面,本申请还提供了一种存储介质,该存储介质中存储有计算机程序,所述计算机程序被处理器加载并执行时,实现如上任意一个实施例中所描述的风险文件检测方法。
[0230] 需要说明的是,本说明书中的各个实施例均采用递进的方式描述,每个实施例重点说明的都是与其他实施例的不同之处,各个实施例之间相同相似的部分互相参见即可。对于装置类实施例而言,由于其与方法实施例基本相似,所以描述的比较简单,相关之处参见方法实施例的部分说明即可。
[0231] 最后,还需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括要素的过程、方法、物品或者设备中还存在另外的相同要素。
[0232] 对所公开的实施例的上述说明,使本领域技术人员能够实现或使用本发明。对这些实施例的多种修改对本领域技术人员来说将是显而易见的,本文中所定义的一般原理可以在不脱离本发明的精神或范围的情况下,在其它实施例中实现。因此,本发明将不会被限制于本文所示的这些实施例,而是要符合与本文所公开的原理和新颖特点相一致的最宽的范围。
[0233] 以上仅是本发明的优选实施方式,应当指出,对于本技术领域的普通技术人员来说,在不脱离本发明原理的前提下,还可以做出若干改进和润饰,这些改进和润饰也应视为本发明的保护范围。
| 标题 | 发布/更新时间 | 阅读量 |
|---|---|---|
| 一种基于组件化与服务化的制造执行系统架构 | 2020-05-13 | 871 |
| 一种计算机病毒处理方法 | 2020-05-17 | 75 |
| 一种在虚拟机中基于数据块的病毒扫描方法和系统 | 2020-05-14 | 804 |
| 一种城市运营中心系统架构和工程系统 | 2020-05-16 | 723 |
| 一种基于云计算的计算机病毒识别方法及系统 | 2020-05-17 | 272 |
| 基于局部邻居信息的大规模复杂网络社团发现方法及应用 | 2020-05-11 | 401 |
| 一种针对计算机病毒的文件修复方法及相关设备 | 2020-05-11 | 848 |
| 计算机病毒的检测方法、装置、存储介质和计算机设备 | 2020-05-08 | 539 |
| 计算机病毒运行的演示方法及服务器、终端、系统 | 2020-05-11 | 551 |
| 一种多系统物理切换装置及计算机 | 2020-05-18 | 335 |
高效检索全球专利专利汇是专利免费检索,专利查询,专利分析-国家发明专利查询检索分析平台,是提供专利分析,专利查询,专利检索等数据服务功能的知识产权数据服务商。
我们的产品包含105个国家的1.26亿组数据,免费查、免费专利分析。
分析报告
专利汇分析报告产品可以对行业情报数据进行梳理分析,涉及维度包括行业专利基本状况分析、地域分析、技术分析、发明人分析、申请人分析、专利权人分析、失效分析、核心专利分析、法律分析、研发重点分析、企业专利处境分析、技术处境分析、专利寿命分析、企业定位分析、引证分析等超过60个分析角度,系统通过AI智能系统对图表进行解读,只需1分钟,一键生成行业专利分析报告。
计算机病毒热门专利
QQ群二维码
意见反馈
意见反馈