CN113378161A - 一种安全检测方法、装置、设备及存储介质 - Google Patents
一种安全检测方法、装置、设备及存储介质 Download PDFInfo
- Publication number
- CN113378161A CN113378161A CN202110700433.8A CN202110700433A CN113378161A CN 113378161 A CN113378161 A CN 113378161A CN 202110700433 A CN202110700433 A CN 202110700433A CN 113378161 A CN113378161 A CN 113378161A
- Authority
- CN
- China
- Prior art keywords
- detection
- target file
- file
- processing
- submodel
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/552—Detecting local intrusion or implementing counter-measures involving long-term monitoring or reporting
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/566—Dynamic detection, i.e. detection performed at run-time, e.g. emulation, suspicious activities
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Virology (AREA)
- Debugging And Monitoring (AREA)
Abstract
本申请公开了一种安全检测方法,该方法包括以下步骤:获得待检测的目标文件;通过检测模型对目标文件进行安全检测,检测模型包括多级检测子模型,检测子模型的级别越高,可疑文件检出率越高;在确定目标文件为可疑文件的情况下,对目标文件进行处理。应用本申请所提供的技术方案,检测模型包括多级检测子模型,检测子模型的级别越高,可疑文件检出率越高,通过检测模型中的多级检测子模型可以有效地对目标文件进行安全检测,并在确定目标文件为可疑文件的情况下,及时对目标文件进行处理,保障保障终端的安全性。本申请还公开了一种安全检测装置、设备及存储介质,具有相应技术效果。
Description
技术领域
本申请涉及计算机安全技术领域,特别是涉及一种安全检测方法、装置、 设备及存储介质。
背景技术
随着计算机技术的快速发展,计算机、手机、笔记本电脑等终端的使用范 围越来越广泛,用户对于终端安全问题的关注程度越来越高。在使用终端过程 中,如果终端上运行具有非法行为的文件,比如广告弹窗文件等,将会给用户 带来一定的困扰,影响用户对终端的正常使用。
所以,如何有效地对终端上的文件进行安全检测,保障终端的安全性,是 目前本领域技术人员急需解决的技术问题。
发明内容
本申请的目的是提供一种安全检测方法、装置、设备及存储介质,以有效 地对终端上的文件进行安全检测,保障终端的安全性。
为解决上述技术问题,本申请提供如下技术方案:
一种安全检测方法,包括:
获得待检测的目标文件;
通过检测模型对所述目标文件进行安全检测,所述检测模型包括多级检测 子模型,检测子模型的级别越高,可疑文件检出率越高;
在确定所述目标文件为可疑文件的情况下,对所述目标文件进行处理。
在本申请的一种具体实施方式中,所述检测模型包括的多级检测子模型按 照级别从低到高的顺序构成模型链,所述通过检测模型对所述目标文件进行安 全检测,包括:
将所述目标文件输入到所述模型链进行安全检测;
在通过所述模型链进行安全检测过程中,针对除最高级别的检测子模型外 的其他任意一级别的检测子模型,如果当前级别的检测子模型确定所述目标文 件不是可疑文件,则将所述目标文件传递给所述当前级别的高一级别的检测子 模块进行安全检测。
在本申请的一种具体实施方式中,所述在确定所述目标文件为可疑文件的 情况下,对所述目标文件进行处理,包括:
在确定所述目标文件为可疑文件的情况下,将所述目标文件上报服务器, 获得所述服务器对所述目标文件的检测结果和处理建议;
根据所述检测结果和所述处理建议,对所述目标文件进行处理。
在本申请的一种具体实施方式中,还包括:
基于所述检测结果和所述处理建议,对所述检测模型进行更新。
在本申请的一种具体实施方式中,在所述通过检测模型对所述目标文件进 行安全检测之前,还包括:
基于基础检测库对所述目标文件进行安全检测;
如果所述目标文件未命中所述基础检测库,则执行所述通过检测模型对所 述目标文件进行安全检测的步骤。
在本申请的一种具体实施方式中,还包括:
如果所述目标文件命中所述基础检测库,则根据所述目标文件的属性,确 定对所述目标文件的处理方式;
使用所述处理方式对所述目标文件进行处理。
在本申请的一种具体实施方式中,所述根据所述目标文件的属性,确定对 所述目标文件的处理方式,包括:
根据所述目标文件的属性,确定所述目标文件所属病毒家族;
将预设的所述目标文件所属病毒家族的处理方式确定为对所述目标文件 的处理方式。
在本申请的一种具体实施方式中,还包括:
根据接收到的更新指令,对所述基础检测库和/或预设的各病毒家族的处 理方式进行更新。
在本申请的一种具体实施方式中,所述根据所述目标文件的属性,确定所 述目标文件所属病毒家族,包括:
根据所述目标文件的属性,选择与所述属性对应的多分类模型;
利用所述多分类模型确定所述目标文件所属病毒家族。
一种安全检测装置,包括:
目标文件获得模块,用于获得待检测的目标文件;
文件检测模块,用于通过检测模型对所述目标文件进行安全检测,所述检 测模型包括多级检测子模型,检测子模型的级别越高,可疑文件检出率越高;
文件处理模块,用于在确定所述目标文件为可疑文件的情况下,对所述目 标文件进行处理。
一种安全检测设备,包括:
存储器,用于存储计算机程序;
处理器,用于执行所述计算机程序时实现上述任一项所述安全检测方法的 步骤。
一种计算机可读存储介质,所述计算机可读存储介质上存储有计算机程 序,所述计算机程序被处理器执行时实现上述任一项所述安全检测方法的步 骤。
应用本申请实施例所提供的技术方案,获得待检测的目标文件后,通过检 测模型对目标文件进行安全检测,在确定目标文件为可疑文件的情况下,对目 标文件进行处理。检测模型包括多级检测子模型,检测子模型的级别越高,可 疑文件检出率越高,通过检测模型中的多级检测子模型可以有效地对目标文件 进行安全检测,并在确定目标文件为可疑文件的情况下,及时对目标文件进行 处理,保障保障终端的安全性。
附图说明
为了更清楚地说明本申请实施例或现有技术中的技术方案,下面将对实施 例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述 中的附图仅仅是本申请的一些实施例,对于本领域普通技术人员来讲,在不付 出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本申请实施例中一种安全检测方法的实施流程图;
图2为本申请实施例中安全检测方法的具体实施过程示意图;
图3为本申请实施例中一种安全检测装置的结构示意图;
图4为本申请实施例中一种安全检测设备的结构示意图。
具体实施方式
本申请的核心是提供一种安全检测方法,该方法可以应用于计算机、手机、 平板电脑、笔记本电脑等终端中。在终端中可以部署安全检测客户端,通过安 全检测客户端执行本申请实施例所提供的安全检测方法。
为了使本技术领域的人员更好地理解本申请方案,下面结合附图和具体实 施方式对本申请作进一步的详细说明。显然,所描述的实施例仅仅是本申请一 部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术 人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本申请保 护的范围。
参见图1所示,为本申请实施例所提供的一种安全检测方法的实施流程 图,该方法可以包括以下步骤:
S110:获得待检测的目标文件。
在本申请实施例中,可以在接收到安全检测指令时,触发对终端中所有文 件或者特定文件的安全检测,这样可以逐一将终端中的每个文件或者每个特定 文件作为待检测的目标文件。还可以在检测到终端中有新增文件时,将新增文 件作为待检测的目标文件。
获得待检测的目标文件后,可以继续执行后续步骤的操作。
S120:通过检测模型对目标文件进行安全检测。
检测模型包括多级检测子模型,检测子模型的级别越高,可疑文件检出率 越高。
检测模型可以根据历史数据预先训练获得,具体可以是AI(ArtificialIntelligence,人工智能)模型。检测模型可以包括多级检测子模型,每级检测 子模型均可以根据历史数据预先训练得到。检测子模型的级别越高,可疑文件 检出率越高。较低级别的检测子模型可以为低误报模式的AI模型,其检测出的 可疑文件存在少量的误报,但是检出率较低。较高级别的检测子模型可以为高 误报模式的AI模型,其检测出的可疑文件存在较多误报,但检出率较高,适用 于对检出率要求较高的用户。
需要说明的是,检测模型包括的多级检测子模型是否启用可以由用户根据 实际情况进行设置,并基于用户的设置确定在获得目标文件后,使用哪些检测 子模型进行安全检测。
通过检测模型包括的多级检测子模型对目标文件进行安全检测,可以确定 目标文件是否为可疑文件。
S130:在确定目标文件为可疑文件的情况下,对目标文件进行处理。
通过检测模型对目标文件进行安全检测,确定目标文件是否为可疑文件, 如果确定目标文件为可疑文件,则可以根据预设的处理规则对目标文件进行处 理。如可以将目标文件输出给用户,或者将目标文件上报服务器,由服务器进 行进一步检测,或者进一步确定目标文件是否与已被处置的文件具有相同特 征,如果具有相同特征,则可以根据已被处置的文件的处置方式对目标文件进 行处置。
应用本申请实施例所提供的方法,获得待检测的目标文件后,通过检测模 型对目标文件进行安全检测,在确定目标文件为可疑文件的情况下,对目标文 件进行处理。检测模型包括多级检测子模型,检测子模型的级别越高,可疑文 件检出率越高,通过检测模型中的多级检测子模型可以有效地对目标文件进行 安全检测,并在确定目标文件为可疑文件的情况下,及时对目标文件进行处理, 保障保障终端的安全性。
在本申请的一个实施例中,在确定目标文件为可疑文件的情况下,对目标 文件进行处理,可以包括以下步骤:
步骤一:在确定目标文件为可疑文件的情况下,将目标文件上报服务器, 获得服务器对目标文件的检测结果和处理建议;
步骤二:根据检测结果和处理建议,对目标文件进行处理。
为方便描述,将上述两个步骤结合起来进行说明。
在本申请实施例中,通过检测模型对待检测的目标文件进行安全检测,可 能存在两种结果,一种结果为,确定目标文件为可疑文件,另一种结果为,确 定目标文件为正常文件。
在确定目标文件为可疑文件的情况下,可以将目标文件上报服务器,通过 与服务器的交互,获得服务器对目标文件的检测结果和处理建议。服务器可以 部署于云端,与多个终端连接。服务器具有更强的检测能力和更丰富的处理经 验,能够获得更准确的检测结果,且提供出来的处理建议更为合理。
也就是说,在确定目标文件为可疑文件时,并不直接对目标文件进行处理, 而是与服务器交互,获得服务器对目标文件的检测结果和处理建议。
在确定目标文件为正常文件的情况下,可以不对目标文件进行任何处理。
在本申请的一种具体实施方式中,处理建议为:服务器根据可疑文件检测 日志获取到目标文件后确定。
在本申请实施例中,通过检测模型对目标文件进行安全检测,在确定目标 文件为可疑文件的情况下,可以将目标文件的相关信息记录到可疑文件检测日 志中。可以按照设定周期向服务器上报可疑文件检测日志,或者,在接收到服 务器的日志上报指令时,将可疑文件检测日志上报给服务器。服务器根据可疑 文件检测日志可以得到目标文件的相关信息,进而可以根据目标文件的相关信 息,确定服务器中是否存储有目标文件。如果服务器中存储有目标文件,则可 以对目标文件进行安全判定,得到检测结果并确定相应的处理建议。如果服务 器中没有目标文件,则可以向终端下发文件上报指令,终端根据该文件上报指 令,将目标文件上传给服务器,服务器再对目标文件进行安全判定,得到检测 结果并确定相应的处理建议。
获得服务器对目标文件的检测结果和处理建议后,可以根据检测结果和处 理建议,对目标文件进行相应处理。
处理建议可以为直接处置、只识别不处置、只检测不识别中的一种。举例 而言,如果处理建议为直接处置,则可以对目标文件执行删除、关闭等处置操 作;如果处理建议为只识别不处置,则不对目标文件执行删除、关闭等处置操 作,而是对目标文件进行可疑解释,然后将目标文件和可疑解释输出展示给用 户,由用户根据可疑解释确定对目标文件具体进行何种处理。如果处理建议为 只检测不识别,则可以对目标文件不进行任何处理。
服务器对可疑文件的检测能力更强,给出的处理建议更为合理,根据服务 器对目标文件的处理建议,可以对目标文件进行合理处理,有效避免恶意文件 仍存在于终端系统中,可以减少终端系统被感染的风险,保障终端的安全性。
在本申请的一个实施例中,在获得服务器对目标文件的检测结果和处理建 议后,可以基于检测结果和处理建议,对检测模型进行更新。服务器对目标文 件的检测结果与通过检测模型对目标文件进行安全检测得到的检测结果可能 并不相同,服务器给出的对于目标文件的处理建议会更合理,基于获得的服务 器对目标文件的检测结果和处理建议,对检测模型进行更新,可以提高检测模 型的检测准确率和文件处理效率。
在本申请的一个实施例中,检测模型包括的多级检测子模型按照级别从低 到高的顺序构成模型链,通过检测模型对目标文件进行安全检测,可以包括以 下步骤:
第一个步骤:将目标文件输入到模型链进行安全检测;
第二个步骤:在通过模型链进行安全检测过程中,针对除最高级别的检测 子模型外的其他任意一个级别的检测子模型,如果当前级别的检测子模型确定 目标文件不是可疑文件,则将目标文件传递给当前级别的高一级别的检测子模 型进行安全检测。
为便于描述,将上述两个步骤结合起来进行说明。
在本申请实施例中,检测模型包括多级检测子模型,多级检测子模型按照 级别从低到高的顺序构成模型链。获得待检测的目标文件后,可以将目标文件 输入到模型链进行安全检测,首先由模型链中最低级别的检测子模型对目标文 件进行安全检测。在通过模型链进行安全检测过程中,针对除最高级别的检测 子模型外的其他任意一级别的检测子模型,如果当前级别的检测子模型确定目 标文件是可疑文件,则可以直接输出目标文件为可疑文件的最终检测结果,如 果当前级别的检测子模型确定目标文件不是可疑文件,即当前级别的检测子模 型未检测出目标文件是可疑文件,为了提高检测准确性,当前级别的检测子模 型可以将目标文件传递给当前级别的高一级别的检测子模型进行安全检测。当 前级别的高一级别的检测子模型相较于当前级别的检测子模型对于可疑文件 的检出率更高。如果目标文件传递到模型链中最高级别的检测子模型,则以最 高级别的检测子模型的检测结果作为最终检测结果。
以检测模型包括由中级检测子模型和高级检测子模型构成的模型链为例。
获得待检测的目标文件后,可以先使用中级检测子模型对目标文件进行安 全检测。如果中级检测子模型确定目标文件为可疑文件,则不需要再使用高级 检测子模型对目标文件进行安全检测,而是触发对目标文件进行处理的操作, 如通过与服务器的交互,获得服务器对目标文件的检测结果和处理建议,并根 据该检测结果和处理建议,对目标文件进行处理。如果中级检测子模型确定目 标文件不是可疑文件,则可以进一步将目标文件传递给高级检测子模型,通过 高级检测子模型对目标文件进行安全检测。如果高级检测子模型确定目标文件 为可疑文件,则可以触发对目标文件进行处理的操作,如通过与服务器的交互, 获得服务器对目标文件的检测结果和处理建议,并根据该检测结果和处理建 议,对目标文件进行处理。如果高级检测子模型确定目标文件不是可疑文件, 则可以不对目标文件进行任何处理。
通过检测子模型级别从低到高的顺序构成的模型链,对目标文件进行安全 检测。较低级别的检测子模型的检出率较低,但检测占用资源较少,检测速度 较快,如果较低级别的检测子模型能够确定目标文件为可疑文件,则不再进行 后续高级别的检测子模型的安全检测,可以提高检测效率。较高级别的检测子 模型的检出率较高,如果较低级别的检测子模型无法确定目标文件为可疑文 件,则再通过较高级别的检测子模型进行安全检测,可以提高检测准确性。
在本申请的一个实施例中,在通过检测模型对目标文件进行安全检测之 前,该方法还可以包括以下步骤:
基于基础检测库对目标文件进行安全检测,如果目标文件未命中基础检测 库,则执行通过检测模型对目标文件进行安全检测的步骤。
在本申请实施例中,可以预先获得基础检测库,并存储于终端本地。基础 检测库可以包括检测规则、黑白名单的哈希值和签名值。黑白名单的哈希值和 签名值可以保证黑白名单的安全性,防篡改。基础检测库中的检测规则和黑白 名单可以是安全专家提供的,具有较好的可靠性。
获得待检测的目标文件后,可以先基于基础检测库对目标文件进行安全检 测。具体的,可以按照基础检测库中的检测规则,提取目标文件的检测特征, 将提取到的检测特征与黑白名单进行匹配。如果与黑名单或白名单匹配,则可 以认为目标文件命中基础检测库,从而根据命中结果,可以确定目标文件是黑 文件还是白文件,如果与黑名单和白名单均不匹配,则可以认为目标文件未命 中基础检测库。
在目标文件未命中基础检测库的情况下,认为无法通过基础检测库对目标 文件进行安全检测,可以进一步通过检测模型对目标文件进行安全检测。
在目标文件命中基础检测库的情况下,可以进一步根据目标文件的属性, 确定对目标文件的处理方式,并使用该处理方式对目标文件进行处理。目标文 件的属性可以包括操作属性、归属属性、特征属性等。
具体的,如果目标文件命中基础检测库,与白名单匹配,则可以认为目标 文件为白文件,即正常文件,确定的对目标文件的处理方式即为不进行任何处 理。如果目标文件命中基础检测库,与黑名单匹配,则可以认为目标文件为黑 文件,可以进一步根据目标文件的属性,确定对目标文件的处理方式。
在本申请的一种具体实施方式中,可以先根据目标文件的属性,确定目标 文件所属病毒家族,并将预设的目标文件所属病毒家族的处理方式确定为对目 标文件的处理方式。
可以理解的是,属于同一个病毒家族的病毒具有相似或相同的特征,对于 属于同一个病毒家族的病毒可以进行相同处理。通过对历史数据的分析,可以 预先设定对每个病毒家族的处理方式。
可以根据接收到的更新指令,对基础检测库和/或预设的各病毒家族的处 理方式进行更新。更新指令可以是用户发出的,还可以是服务器发出的。对基 础检测库进行更新,可以提高基于基础检测库对文件进行安全检测的检出率, 对各病毒家族的处理方式进行更新,可以使得对可疑文件的处理方式更合理。
在目标文件命中基础检测库的黑名单时,可以确定目标文件所属病毒家 族。具体的,可以根据目标文件的属性,选择与该属性对应的多分类模型,利 用多分类模型确定目标文件所属病毒家族。多分类模型可以根据历史数据预先 训练获得,并可以根据接收到的更新指令,对多分类模型进行更新,以不断提 高对文件的分类准确率。该更新指令可以是用户发出的,还可以是服务器发出 的,可以基于更多的更新数据,对多分类模型进行重新训练。
在目标文件命中基础检测库的黑名单时,还可以根据病毒家族规则、病毒 家族映射表等确定目标文件属于哪个病毒家族。
确定目标文件所属病毒家族后,可以将预设的目标文件所属病毒家族的处 理方式确定为对目标文件的处理方式。
预设的对病毒家族的处理方式可以为直接处置、只识别不处置、只检测不 识别中的一种。举例而言,如果处理建议为直接处置,则可以对目标文件执行 删除、关闭等处置操作;如果处理建议为只识别不处置,则不对目标文件执行 删除、关闭等处置操作,而是对目标文件进行可疑解释,然后将目标文件和可 疑解释输出展示给用户,由用户根据可疑解释确定对目标文件具体进行何种处 理。如果处理建议为只检测不识别,则可以对目标文件不进行任何处理。
为便于理解,以图2所示的具体实施过程对本申请实施例再次进行说明。
图2中,目标文件为待检测的文件,终端先基于基础检测库对目标文件进 行安全检测,基础检测库包括检测规则、黑白名单哈希值和黑白名单签名值。 如果目标文件命中基础检测库,则根据家族规则(病毒家族规则)、多分类模 型、家族映射表(病毒家族映射表)等确定目标文件所属病毒家族,并确定对 目标文件的处理方式,包括直接处置、只识别不处置、只检测不识别等。如果 目标文件未命中基础检测库,则通过检测模型对目标文件进行安全检测。在检 测模型确定目标文件为可疑文件时,将目标文件相关信息记录到检测日志(可 疑文件检测日志)中,通过日志上报或者定时获取检测日志等方式,云端服务 器可以得到可疑文件检测日志,通过可疑文件检测日志可以确定云端是否有目 标文件,如果有,则判定目标文件的黑白,并给出处理建议。如果没有,则云 端服务器可以通过文件收集单元、文件上报单元获取到目标文件,然后判定目 标文件的黑白,并给出处理建议。终端得到云端服务器的处理建议后,根据该 处理建议对目标文件进行处理,如可以进行前端展示和输出病毒解释。云端服 务器还可以更新基础检测库,通过模型与处理更新通道,对处理方式、多分类 模型、基础检测库、检测模型等进行更新。同时,可以离线进行病毒库升级,更新终端本地的黑白名单和多分类模型等。以不断提高可疑文件的检出率和检 测准确率。
相应于上面的方法实施例,本申请实施例还提供了一种安全检测装置,下 文描述的安全检测装置与上文描述的安全检测方法可相互对应参照。
参见图3所示,该装置可以包括以下模块:
文件获得模块310,用于获得待检测的目标文件;
文件检测模块320,用于通过检测模型对目标文件进行安全检测,检测模 型包括多级检测子模型,检测子模型的级别越高,可疑文件检出率越高;
文件处理模块330,用于在确定目标文件为可疑文件的情况下,对目标文 件进行处理。
应用本申请实施例所提供的装置,获得待检测的目标文件后,通过检测模 型对目标文件进行安全检测,在确定目标文件为可疑文件的情况下,对目标文 件进行处理。检测模型包括多级检测子模型,检测子模型的级别越高,可疑文 件检出率越高,通过检测模型中的多级检测子模型可以有效地对目标文件进行 安全检测,并在确定目标文件为可疑文件的情况下,及时对目标文件进行处理, 保障保障终端的安全性。
在本申请的一种具体实施方式中,检测模型包括的多级检测子模型按照级 别从低到高的顺序构成模型链,文件检测模块320,用于:
将目标文件输入到模型链进行安全检测;
在通过模型链进行安全检测过程中,针对除最高级别的检测子模型外的其 他任意一级别的检测子模型,如果当前级别的检测子模型确定目标文件不是可 疑文件,则将目标文件传递给当前级别的高一级别的检测子模块进行安全检 测。
在本申请的一种具体实施方式中,文件处理模块330,用于:
在确定目标文件为可疑文件的情况下,将目标文件上报服务器,获得服务 器对目标文件的检测结果和处理建议;
根据检测结果和处理建议,对目标文件进行处理。
在本申请的一种具体实施方式中,还包括第一更新模块,用于:
基于检测结果和处理建议,对检测模型进行更新。
在本申请的一种具体实施方式中,基础检测模块,用于:
在通过检测模型对目标文件进行安全检测之前,基于基础检测库对目标文 件进行安全检测;
如果目标文件未命中基础检测库,则执行通过检测模型对目标文件进行安 全检测的步骤。
在本申请的一种具体实施方式中,文件处理模块330,还用于:
如果目标文件命中基础检测库,则根据目标文件的属性,确定对目标文件 的处理方式;
使用处理方式对目标文件进行处理。
在本申请的一种具体实施方式中,文件处理模块330,用于:
根据目标文件的属性,确定目标文件所属病毒家族;
将预设的目标文件所属病毒家族的处理方式确定为对目标文件的处理方 式。
在本申请的一种具体实施方式中,还包括第二更新模块,用于:
根据接收到的更新指令,对基础检测库和/或预设的各病毒家族的处理方 式进行更新。
在本申请的一种具体实施方式中,文件处理模块330,用于:
根据目标文件的属性,选择与属性对应的多分类模型;
利用多分类模型确定目标文件所属病毒家族。
相应于上面的方法实施例,本申请实施例还提供了一种安全检测设备,包 括:
存储器,用于存储计算机程序;
处理器,用于执行计算机程序时实现上述安全检测方法的步骤。
如图4所示,为安全检测设备的组成结构示意图,安全检测设备可以包括: 处理器10、存储器11、通信接口12和通信总线13。处理器10、存储器11、 通信接口12均通过通信总线13完成相互间的通信。
在本申请实施例中,处理器10可以为中央处理器(Central Processing Unit,CPU)、特定应用集成电路、数字信号处理器、现场可编程门阵列或者其他可 编程逻辑器件等。
处理器10可以调用存储器11中存储的程序,具体的,处理器10可以执 行安全检测方法的实施例中的操作。
存储器11中用于存放一个或者一个以上程序,程序可以包括程序代码, 程序代码包括计算机操作指令,在本申请实施例中,存储器11中至少存储有 用于实现以下功能的程序:
获得待检测的目标文件;
通过检测模型对目标文件进行安全检测,检测模型包括多级检测子模型, 检测子模型的级别越高,可疑文件检出率越高;
在确定目标文件为可疑文件的情况下,对目标文件进行处理。
在一种可能的实现方式中,存储器11可包括存储程序区和存储数据区, 其中,存储程序区可存储操作系统,以及至少一个功能(比如模型调用功能、 通信功能)所需的应用程序等;存储数据区可存储使用过程中所创建的数据, 如检测结果数据、文件处理数据等。
此外,存储器11可以包括高速随机存取存储器,还可以包括非易失性存 储器,例如至少一个磁盘存储器件或其他易失性固态存储器件。
通信接口12可以为通信模块的接口,用于与其他设备或者系统连接。
当然,需要说明的是,图4所示的结构并不构成对本申请实施例中安全检 测设备的限定,在实际应用中安全检测设备可以包括比图4所示的更多或更少 的部件,或者组合某些部件。
相应于上面的方法实施例,本申请实施例还提供了一种计算机可读存储介 质,计算机可读存储介质上存储有计算机程序,计算机程序被处理器执行时实 现上述安全检测方法的步骤。
本说明书中各个实施例采用递进的方式描述,每个实施例重点说明的都是 与其它实施例的不同之处,各个实施例之间相同或相似部分互相参见即可。
专业人员还可以进一步意识到,结合本文中所公开的实施例描述的各示例 的单元及算法步骤,能够以电子硬件、计算机软件或者二者的结合来实现,为 了清楚地说明硬件和软件的可互换性,在上述说明中已经按照功能一般性地描 述了各示例的组成及步骤。这些功能究竟以硬件还是软件方式来执行,取决于 技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来 使用不同方法来实现所描述的功能,但是这种实现不应认为超出本申请的范 围。
结合本文中所公开的实施例描述的方法或算法的步骤可以直接用硬件、处 理器执行的软件模块,或者二者的结合来实施。软件模块可以置于随机存储器 (RAM)、内存、只读存储器(ROM)、电可编程ROM、电可擦除可编程ROM、 寄存器、硬盘、可移动磁盘、CD-ROM、或技术领域内所公知的任意其它形式 的存储介质中。
本文中应用了具体个例对本申请的原理及实施方式进行了阐述,以上实施 例的说明只是用于帮助理解本申请的技术方案及其核心思想。应当指出,对于 本技术领域的普通技术人员来说,在不脱离本申请原理的前提下,还可以对本 申请进行若干改进和修饰,这些改进和修饰也落入本申请权利要求的保护范围 内。
Claims (12)
1.一种安全检测方法,其特征在于,包括:
获得待检测的目标文件;
通过检测模型对所述目标文件进行安全检测,所述检测模型包括多级检测子模型,检测子模型的级别越高,可疑文件检出率越高;
在确定所述目标文件为可疑文件的情况下,对所述目标文件进行处理。
2.根据权利要求1所述的安全检测方法,其特征在于,所述检测模型包括的多级检测子模型按照级别从低到高的顺序构成模型链,所述通过检测模型对所述目标文件进行安全检测,包括:
将所述目标文件输入到所述模型链进行安全检测;
在通过所述模型链进行安全检测过程中,针对除最高级别的检测子模型外的其他任意一级别的检测子模型,如果当前级别的检测子模型确定所述目标文件不是可疑文件,则将所述目标文件传递给所述当前级别的高一级别的检测子模块进行安全检测。
3.根据权利要求1所述的安全检测方法,其特征在于,所述在确定所述目标文件为可疑文件的情况下,对所述目标文件进行处理,包括:
在确定所述目标文件为可疑文件的情况下,将所述目标文件上报服务器,获得所述服务器对所述目标文件的检测结果和处理建议;
根据所述检测结果和所述处理建议,对所述目标文件进行处理。
4.根据权利要求3所述的安全检测方法,其特征在于,还包括:
基于所述检测结果和所述处理建议,对所述检测模型进行更新。
5.根据权利要求1至4之中任一项所述的安全检测方法,其特征在于,在所述通过检测模型对所述目标文件进行安全检测之前,还包括:
基于基础检测库对所述目标文件进行安全检测;
如果所述目标文件未命中所述基础检测库,则执行所述通过检测模型对所述目标文件进行安全检测的步骤。
6.根据权利要求5所述的安全检测方法,其特征在于,还包括:
如果所述目标文件命中所述基础检测库,则根据所述目标文件的属性,确定对所述目标文件的处理方式;
使用所述处理方式对所述目标文件进行处理。
7.根据权利要求6所述的安全检测方法,其特征在于,所述根据所述目标文件的属性,确定对所述目标文件的处理方式,包括:
根据所述目标文件的属性,确定所述目标文件所属病毒家族;
将预设的所述目标文件所属病毒家族的处理方式确定为对所述目标文件的处理方式。
8.根据权利要求7所述的安全检测方法,其特征在于,还包括:
根据接收到的更新指令,对所述基础检测库和/或预设的各病毒家族的处理方式进行更新。
9.根据权利要求7所述的安全检测方法,其特征在于,所述根据所述目标文件的属性,确定所述目标文件所属病毒家族,包括:
根据所述目标文件的属性,选择与所述属性对应的多分类模型;
利用所述多分类模型确定所述目标文件所属病毒家族。
10.一种安全检测装置,其特征在于,包括:
目标文件获得模块,用于获得待检测的目标文件;
文件检测模块,用于通过检测模型对所述目标文件进行安全检测,所述检测模型包括多级检测子模型,检测子模型的级别越高,可疑文件检出率越高;
文件处理模块,用于在确定所述目标文件为可疑文件的情况下,对所述目标文件进行处理。
11.一种安全检测设备,其特征在于,包括:
存储器,用于存储计算机程序;
处理器,用于执行所述计算机程序时实现如权利要求1至9任一项所述的安全检测方法的步骤。
12.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质上存储有计算机程序,所述计算机程序被处理器执行时实现如权利要求1至9任一项所述的安全检测方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110700433.8A CN113378161A (zh) | 2021-06-23 | 2021-06-23 | 一种安全检测方法、装置、设备及存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110700433.8A CN113378161A (zh) | 2021-06-23 | 2021-06-23 | 一种安全检测方法、装置、设备及存储介质 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN113378161A true CN113378161A (zh) | 2021-09-10 |
Family
ID=77578834
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202110700433.8A Pending CN113378161A (zh) | 2021-06-23 | 2021-06-23 | 一种安全检测方法、装置、设备及存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN113378161A (zh) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN115118514A (zh) * | 2022-07-11 | 2022-09-27 | 深信服科技股份有限公司 | 一种数据检测方法、装置、设备及介质 |
| CN116366377A (zh) * | 2023-06-02 | 2023-06-30 | 深信服科技股份有限公司 | 恶意文件检测方法、装置、设备及存储介质 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104573515A (zh) * | 2014-12-19 | 2015-04-29 | 百度在线网络技术(北京)有限公司 | 一种病毒处理方法、装置和系统 |
| CN106709341A (zh) * | 2016-06-30 | 2017-05-24 | 腾讯科技(深圳)有限公司 | 一种针对文件包的病毒处理方法及装置 |
| CN106845223A (zh) * | 2016-12-13 | 2017-06-13 | 北京三快在线科技有限公司 | 用于检测恶意代码的方法和装置 |
| CN109492399A (zh) * | 2019-01-17 | 2019-03-19 | 腾讯科技(深圳)有限公司 | 风险文件检测方法、装置及计算机设备 |
-
2021
- 2021-06-23 CN CN202110700433.8A patent/CN113378161A/zh active Pending
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104573515A (zh) * | 2014-12-19 | 2015-04-29 | 百度在线网络技术(北京)有限公司 | 一种病毒处理方法、装置和系统 |
| CN106709341A (zh) * | 2016-06-30 | 2017-05-24 | 腾讯科技(深圳)有限公司 | 一种针对文件包的病毒处理方法及装置 |
| CN106845223A (zh) * | 2016-12-13 | 2017-06-13 | 北京三快在线科技有限公司 | 用于检测恶意代码的方法和装置 |
| CN109492399A (zh) * | 2019-01-17 | 2019-03-19 | 腾讯科技(深圳)有限公司 | 风险文件检测方法、装置及计算机设备 |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN115118514A (zh) * | 2022-07-11 | 2022-09-27 | 深信服科技股份有限公司 | 一种数据检测方法、装置、设备及介质 |
| CN116366377A (zh) * | 2023-06-02 | 2023-06-30 | 深信服科技股份有限公司 | 恶意文件检测方法、装置、设备及存储介质 |
| CN116366377B (zh) * | 2023-06-02 | 2023-11-07 | 深信服科技股份有限公司 | 恶意文件检测方法、装置、设备及存储介质 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN107566358B (zh) | 一种风险预警提示方法、装置、介质及设备 | |
| CN107888554B (zh) | 服务器攻击的检测方法和装置 | |
| CN108520180B (zh) | 一种基于多维度的固件Web漏洞检测方法及系统 | |
| CN111368289B (zh) | 一种恶意软件检测方法和装置 | |
| CN116303290B (zh) | 一种office文档检测方法及装置、设备及介质 | |
| CN108399336B (zh) | 一种安卓应用恶意行为的检测方法及装置 | |
| CN110210218B (zh) | 一种病毒检测的方法以及相关装置 | |
| CN113378161A (zh) | 一种安全检测方法、装置、设备及存储介质 | |
| KR20110088042A (ko) | 악성 코드 자동 판별 장치 및 방법 | |
| CN111400707A (zh) | 一种文件宏病毒检测方法、装置、设备及存储介质 | |
| CN116305129B (zh) | 一种基于vsto的文档检测方法及装置、设备及介质 | |
| CN111104670B (zh) | 一种apt攻击的识别和防护方法 | |
| CN112784269A (zh) | 恶意软件检测方法、装置和计算机存储介质 | |
| CN115618283B (zh) | 一种跨站点脚本攻击检测方法、装置、设备及存储介质 | |
| CN111723370A (zh) | 一种容器恶意行为检测的方法和设备 | |
| CN114584391B (zh) | 异常流量处理策略的生成方法、装置、设备及存储介质 | |
| CN115630373A (zh) | 一种云服务安全分析方法、监控设备及分析系统 | |
| CN108509796B (zh) | 一种风险性的检测方法及服务器 | |
| CN115589339A (zh) | 网络攻击类型识别方法、装置、设备以及存储介质 | |
| CN111625825B (zh) | 一种病毒检测方法、装置、设备及存储介质 | |
| CN115643044A (zh) | 数据处理方法、装置、服务器及存储介质 | |
| CN113595797A (zh) | 告警信息的处理方法、装置、电子设备及存储介质 | |
| CN112511568A (zh) | 一种网络安全事件的关联分析方法、装置及存储介质 | |
| CN113055396B (zh) | 一种跨终端溯源分析的方法、装置、系统和存储介质 | |
| CN113596051B (zh) | 检测方法、检测装置、电子设备、介质和计算机程序 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |