CN115562992A - 一种文件检测方法、装置、电子设备及存储介质 - Google Patents
一种文件检测方法、装置、电子设备及存储介质 Download PDFInfo
- Publication number
- CN115562992A CN115562992A CN202211225043.0A CN202211225043A CN115562992A CN 115562992 A CN115562992 A CN 115562992A CN 202211225043 A CN202211225043 A CN 202211225043A CN 115562992 A CN115562992 A CN 115562992A
- Authority
- CN
- China
- Prior art keywords
- file
- target
- size information
- information
- website
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/36—Preventing errors by testing or debugging software
- G06F11/3668—Software testing
- G06F11/3672—Test management
- G06F11/3688—Test management for test execution, e.g. scheduling of test suites
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/36—Preventing errors by testing or debugging software
- G06F11/3668—Software testing
- G06F11/3696—Methods or tools to render software testable
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Computer Hardware Design (AREA)
- Quality & Reliability (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Information Transfer Between Computers (AREA)
Abstract
本申请提供一种文件检测方法、装置、电子设备及存储介质,该方法包括:获取目标文件集合;根据网址访问快捷方式对应的网址信息和目标文件名进行网页搜索,确定若干目标网页;每一目标网页均能够提供文件名中包含目标文件名的可下载文件的下载链接;获取每一目标网页对应的可下载文件的文件大小信息,以得到若干文件大小信息;若每一文件大小信息与目标文件大小信息的差异均符合第二预设规则,则将待检测文件集合确定为异常文件集合。本申请中,可以通过确定目标网页中每一所述文件大小信息与目标文件大小信息的差异是否均符合第二预设规则,快速的确定出目标文件集合是否为异常文件集合,以完成对目标文件集合的安全性的检测。
Description
技术领域
本申请涉及网络安全领域,尤其涉及一种文件检测方法、装置、电子设备及存储介质。
背景技术
下载站,即用于提供多种可执行文件(如软件或安装包等)的功能性网站。现今很多用户在下载一些可执行文件时,不会通过官网进行下载,而是通过软件下载站进行下载。但由于下载站的用户数量庞大,很多攻击者会将攻击性代码(如病毒或木马)伪装成多种正常软件上传到公开下载站。用户一旦下载并执行这种伪装好的攻击性代码,攻击性代码将会长时间潜伏在用户系统中,执行多种破坏行为,给用户财产造成损失。而非专业用户也很难识别出自己下载得到的可执行文件是否是由攻击性代码伪装成的。
发明内容
有鉴于此,本申请提供一种文件检测方法、装置、电子设备及存储介质,至少部分解决现有技术中存在的问题。
在本申请的一方面,提供一种文件检测方法,包括:
获取目标文件集合;所述目标文件集合内包括目标文件和网址访问快捷方式;
根据所述网址访问快捷方式对应的网址信息和目标文件名进行网页搜索,确定若干目标网页;每一所述目标网页均能够提供文件名中包含所述目标文件名的可下载文件的下载链接;
获取每一目标网页对应的可下载文件的文件大小信息,以得到若干文件大小信息;
若每一所述文件大小信息与目标文件大小信息的差异均符合第二预设规则,则将所述待检测文件集合确定为异常文件集合。
在本申请的一种示例性实施例中,所述获取目标文件集合,包括:
获取待检测文件集合;
若所述待检测文件集合内同时具有目标文件以及网址访问快捷方式,则确定所述网址访问快捷方式的文件名是否符合第一预设规则;
若符合,则将所述待检测文件集合确定为目标文件集合。
在本申请的一种示例性实施例中,所述确定所述网址访问快捷方式的文件名是否符合第一预设规则,包括:
确定所述网址访问快捷方式的文件名中是否包含第一类设定字符串;
若包含,则符合所述第一预设规则。
在本申请的一种示例性实施例中,在所述若所述待检测文件集合内同时具有目标文件以及网址访问快捷方式,则确定所述网址访问快捷方式的文件名是否符合第一预设规则之前,所述方法还包括:
确定所述待检测文件集合的文件集合大小信息是否小于第一设定阈值;
若是,则确定所述待检测文件集合内是否同时具有目标文件以及网址访问快捷方式。
在本申请的一种示例性实施例中,根据所述网址访问快捷方式对应的网址信息和所述目标文件名进行网页搜索,确定若干目标网页,包括:
将所述网址信息和所述目标文件名输入网页搜索引擎,得到若干候选网页;
根据所述若干候选网页的排序,从所述若干候选网页中确定出设定数量的目标网页。
在本申请的一种示例性实施例中,所述将所述网址信息和所述目标文件名输入网页搜索引擎,包括:
在所述网址信息前添加设定指令字符,得到目标网址信息;
将所述目标网址信息和所述目标文件名共同作为检索关键字输入网页搜索引擎。
在本申请的一种示例性实施例中,所述获取每一目标网页对应的可下载文件的文件大小信息,以得到若干文件大小信息,包括:
提取每一目标网页内的文本信息;
对每一文本信息进行字符串识别;
若识别到第二类字符串,则将识别到的第二类字符串之后的字符串确定为所述文件大小信息。
在本申请的一种示例性实施例中,所述第二预设规则包括:
所述文件大小信息与所述目标文件大小信息的比值大于第二设定阈值;
和/或,
所述文件大小信息小于所述目标文件大小信息,且所述文件大小信息与所述目标文件大小信息的差值大于第三设定阈值。
在本申请的另一方面,提供一种文件检测装置,包括:
第一获取模块,用于获取目标文件集合;所述目标文件集合内包括目标文件和网址访问快捷方式;
第一确定模块,用于根据所述网址访问快捷方式对应的网址信息和目标文件名进行网页搜索,确定若干目标网页;每一所述目标网页均能够提供文件名中包含所述目标文件名的可下载文件的下载链接;
第二获取模块,用于获取每一目标网页对应的可下载文件的文件大小信息,以得到若干文件大小信息;
第二确定模块,用于若每一所述文件大小信息与目标文件大小信息的差异均符合第二预设规则,则将所述待检测文件集合确定为异常文件集合。
在本申请的另一方面,提供一种电子设备,包括处理器和存储器;
所述处理器通过调用所述存储器存储的程序或指令,用于执行上述任一项所述方法的步骤。
在本申请的另一方面,提供一种非瞬时性计算机可读存储介质,所述非瞬时性计算机可读存储介质存储程序或指令,所述程序或指令使计算机执行上述任一项所述方法的步骤。
本申请提供的文件检测方法,在获取到目标文件集合后,会根据其中的目标文件文件(如安装程序或脚本程序等可执行文件)的文件名,和网址访问快捷方式(如Internet快捷方式)对应的网址信息(如url)进行网页搜索。如此确定出能够提供文件名中包含所述目标文件名的可下载文件的下载链接的目标网页,并获取每一目标网页对应的可下载文件的文件大小信息。其中,文件名中包含所述目标文件名的可下载文件即为有较大概率与目标文件集合中目标文件为相同类别或完全相同的文件。由于大多数的由攻击性代码伪装成的可执行文件,由于攻击性代码的数据量相对较小,会导致其伪装成可执行文件的文件大小较小。而通过从互联网上的相同的可下载文件的文件大小信息,确定出当前下载到本地的可执行文件的文件大小是否正常。
故而,本申请中,可以通过确定目标网页中每一所述文件大小信息与目标文件大小信息的差异是否均符合第二预设规则,快速的确定出目标文件集合是否为异常文件集合,以完成对目标文件集合的安全性的检测。
附图说明
为了更清楚地说明本申请实施例的技术方案,下面将对实施例中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其它的附图。
图1为本申请实施例提供的一种文件检测方法的流程图;
图2为本申请实施例提供的一种文件检测装置的结构框图。
具体实施方式
下面结合附图对本申请实施例进行详细描述。
需说明的是,在不冲突的情况下,以下实施例及实施例中的特征可以相互组合;并且,基于本公开中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本公开保护的范围。
需要说明的是,下文描述在所附权利要求书的范围内的实施例的各种方面。应显而易见,本文中所描述的方面可体现于广泛多种形式中,且本文中所描述的任何特定结构及/或功能仅为说明性的。基于本公开,所属领域的技术人员应了解,本文中所描述的一个方面可与任何其它方面独立地实施,且可以各种方式组合这些方面中的两者或两者以上。举例来说,可使用本文中所阐述的任何数目个方面来实施设备及/或实践方法。另外,可使用除了本文中所阐述的方面中的一或多者之外的其它结构及/或功能性实施此设备及/或实践此方法。
请参考图1所示,在本申请的一方面,提供一种文件检测方法,包括以下步骤:
S100,获取目标文件集合。所述目标文件集合内包括目标文件和网址访问快捷方式。
其中,所述目标文件为可执行文件,可执行文件可以为脚本文件、安装包或其他可执行文件。网址访问快捷方式可以为Internet快捷方式等。目标文件集合可以为压缩包或文件夹等。本实施例中,目标文件集合以压缩包的形式存在。
S200,根据所述网址访问快捷方式对应的网址信息和所述目标文件名进行网页搜索,确定若干目标网页。所述目标文件名为所述目标文件的文件名;每一所述目标网页均能够提供文件名中包含所述目标文件名的可下载文件的下载链接。具体的,网址信息可以是网址访问快捷方式的属性信息中的url键内的信息(即url)。故而,在通过网址信息和目标文件名进行网页搜索时,能够搜索到用于提供文件名中包含所述目标文件名的可下载文件的下载站的网页,即目标网页。
S300,获取每一目标网页对应的可下载文件的文件大小信息,以得到若干文件大小信息。文件大小信息可以通过目标网页的网页内容进行提取。
S400,若每一所述文件大小信息与目标文件大小信息的差异均符合第二预设规则,则将所述待检测文件集合确定为异常文件集合;所述目标文件大小信息为所述目标文件的文件大小信息。
在通常情况下,攻击者为了规避检测,且为了进一步获取用户信任,攻击者通常会将攻击性代码的名称伪装成实用软件的名称,并将下载站的快捷方式、使用说明、技术文档等文件和攻击性代码一起进行压缩,诱导用户执行。
本实施例提供的文件检测方法,在获取到目标文件集合后,会根据其中的目标文件(如安装程序或脚本程序等可执行文件)的文件名,和网址访问快捷方式(如Internet快捷方式)对应的网址信息(如url)进行网页搜索。如此确定出能够提供文件名中包含所述目标文件名的可下载文件的下载链接的目标网页。其中,文件名中包含所述目标文件名的可下载文件,即为有较大概率与目标文件集合中目标文件为相同类别或完全相同的文件。并获取每一目标网页对应的可下载文件的文件大小信息。
由于大多数的由攻击性代码伪装成的可执行文件,攻击性代码的数据量相对较小,会导致其伪装成可执行文件文件大小较小。而通过从互联网上的相同的可下载文件的文件大小信息,确定出当前下载到本地的可执行文件的文件大小是否正常。具体的,由于攻击性代码通常不包括图形界面、功能组件等文件,所以文件大小与正常实用软件会有很大不同,故可通过比较下载站标注的软件大小和实际下载的软件大检测下载的软件是否为攻击性代码。
故而,本实施例中,可以通过确定目标网页中每一所述文件大小信息与目标文件大小信息的差异是否均符合第二预设规则,快速的确定出目标文件集合是否为异常文件集合,以完成对目标文件集合的安全性的检测。
同时,通过本方法进行目标文件集合的检测,由于不需要进行文件深层特征的提取,也不需要对病毒库进行查询,其检测所需要的处理量和速度都优于传统的直接使用病毒引擎等检测方法。同时,确定出的异常文件集合,还可以再次输入病毒引擎等进行检测,如此,也可以减少使用病毒引擎等进行检测的文件的数量,提高效率。
在本申请的一种示例性实施例中,所述步骤S100,具体可以包括以下步骤:
S110,获取待检测文件集合。待检测文件集合可以为通过下载引擎下载到的新的文件集合,也可以是用户指定的文件夹或磁盘内指定的文件集合。
S120,若所述待检测文件集合内同时具有目标文件(可执行文件)以及网址访问快捷方式,则确定所述网址访问快捷方式的文件名是否符合第一预设规则。若不同时具有,则停止执行后续步骤。
由前文内容可知,攻击者为了规避检测,且为了进一步获取用户信任,攻击者通常会将攻击性代码的名称伪装成实用软件的名称,并将下载站的快捷方式、使用说明、技术文档等文件和攻击性代码一起进行压缩。故而,若待检测文件集合内同时具有可执行文件以及网址访问快捷方式,其大概率可以确定为是从下载站下载到的文件集合(下载站下载的文件集合的安全性远低于从官网等途径下载的文件集合)。具体的,可以通过识别待检测文件集合中文件的后缀名,确定其内是否包含可执行文件或网址访问快捷方式,如若识别到后缀名为“.exe”的文件,则可确定其内包括可执行文件,或识别到后缀名为“.url”或“.htm”等的文件,则可确定其内包括网址访问快捷方式。
S130,若符合,则将所述待检测文件集合确定为目标文件集合。若不符合,则停止执行后续步骤。
在下载站下载到的文件集合中的网址访问快捷方式多采用有限的几种命名方式,故而在待检测文件集合内同时具有可执行文件以及网址访问快捷方式,且网址访问快捷方式的文件名是否符合第一预设规则时,则可确定当前的待检测文件集合是从下载站下载得到的。此时可将其确定为目标文件集合进行后续的检测步骤。
本申请中,通过上述方法,可以筛选出从下载站下载得到的待检测文件集合作为目标文件集合。如此,可以避免对一些不是从下载站下载的待检测文件集合进行后续的检测步骤,降低了无用处理的数量。
在本申请的一种示例性实施例中,所述确定所述网址访问快捷方式的文件名是否符合第一预设规则,包括:
确定所述网址访问快捷方式的文件名中是否包含第一类设定字符串。
若包含,则符合所述第一预设规则。
其中,第一类设定字符串可以为预设的多个字符串,如“下载”或“资源”或其他常见下载站的网站名称等。大部分下载站提供的网址访问都会在其文件名中添加如“XX下载”、“XX资源站”等字符串。
故而,若网址访问快捷方式的文件名中包含任意一个或多个第一类设定字符串时,即可精准的确定其所在的待检测文件集合是从下载站下载得到的。
在本申请的一种示例性实施例中,在所述若所述待检测文件集合内同时具有目标文件(可执行文件)以及网址访问快捷方式,则确定所述网址访问快捷方式的文件名是否符合第一预设规则之前,所述方法还包括:
确定所述待检测文件集合的文件集合大小信息是否小于第一设定阈值。其中,设定阈值可以在1Mb到100Mb之间进行取值。
若是,则确定所述待检测文件集合内是否同时具有目标文件(可执行文件)以及网址访问快捷方式。
由于很多软件的文件大小较大(如1Gb以上的软件),这样不同目标网页中的可下载文件的大小可能会存在较大差异,如此,使用本实施例提供的方法确定是否为异常文件集合,会有一定的误判率。故而,本申请中为了降低误判率,仅对文件集合大小信息小于第一设定阈值的待检测文件进行后续的检测步骤。
在本申请的一种示例性实施例中,根据所述网址访问快捷方式对应的网址信息和所述目标文件名进行网页搜索,确定若干目标网页,包括:
将所述网址信息和所述目标文件名输入网页搜索引擎,得到若干候选网页。候选网页即为网页搜索引擎输出的符合所述网址信息和所述目标文件名的结果。
根据所述若干候选网页的排序,从所述若干候选网页中确定出设定数量的目标网页。设定数量可以为3到10中任意数量。本实施例中,设定数量为5。
具体的,本实施例中,根据所述若干候选网页的排序,从所述若干候选网页中确定排名前设定数量的候选网页为目标网页。由于大部分网页搜索引擎都会根据搜索结果的准确度进行排序,故而选取排名前设定数量的候选网页作为目标网页,以保证确定出的目标网页基本都能够提供和目标文件集合中的可执行文件相同的可下载文件,以提高后续检测的准确度。
在本申请的一种示例性实施例中,所述将所述网址信息和所述目标文件名输入网页搜索引擎,包括:
在所述网址信息前添加设定指令字符,得到目标网址信息。其中,设定指令字符可以为“site:”等能够提升搜索准确度的指令字符。如网址信息为www.xxxx.com时,目标网址信息可以为site:www.xxxx.com。
将所述目标网址信息和所述目标文件名共同作为检索关键字输入网页搜索引擎。
本实施例中,在将网址信息和目标文件名输入搜索引擎前,会在网址信息前添加设定指令字符以提升检索的准确度,从而提供后续检测结果的准确度。
在本申请的一种示例性实施例中,所述获取每一目标网页对应的可下载文件的文件大小信息,以得到若干文件大小信息,包括:
提取每一目标网页内的文本信息。其中,文本信息的提取方法可以通过爬虫或图像识别等方式进行识别和提取。
对每一文本信息进行字符串识别。
若识别到第二类字符串,则将识别到的第二类字符串之后的字符串确定为所述文件大小信息。其中第二类字符串可以为预设的字符串如“软件大小”、“文件大小”或“资源大小”等。在一般的下载站网页中,在上述的字符串后面会跟随具体的可下载文件的大小信息,如“软件大小:15Mb”等。如此,实现快速确定没有目标网页对应的可下载文件的文件大小信息。
在本申请的一种示例性实施例中,所述第二预设规则包括:
所述文件大小信息与所述目标文件大小信息的比值大于第二设定阈值。具体的,第二设定阈值可以为2-10中任意数值,本实施例中,第二设定阈值为4。
和/或,
所述文件大小信息小于所述目标文件大小信息,且所述文件大小信息与所述目标文件大小信息的差值大于第三设定阈值。具体的,第三设定阈值可以为10Mb-50Mb中任意数值,本实施例中,第三设定阈值为20Mb。
本实施例中,需要每一文件大小信息与所述目标文件大小信息的差异均符合第二预设规则,是因为有些下载站对其提供的可下载文件在网页内的文件大小的标注可能是错的或者是未更新到最新的。故而,在目标网页为多个的情况下,若在仅有一个文件大小信息与所述目标文件大小信息的差异符合第二预设规则时,就将目标文件集合确定为异常文件集合,会导致检测结果的准确率大幅度下降,故而本实施例中,只有在每一文件大小信息与所述目标文件大小信息的差异均符合第二预设规则的情况下,才会将目标文件集合确定为异常文件集合。
请参考图2所示,在本申请的另一方面,提供一种文件检测装置,包括:
第一获取模块,用于获取目标文件集合;所述目标文件集合内包括目标文件和网址访问快捷方式。
第一确定模块,用于根据所述网址访问快捷方式对应的网址信息和目标文件名进行网页搜索,确定若干目标网页。所述目标文件名为所述目标文件的文件名;每一所述目标网页均能够提供文件名中包含所述目标文件名的可下载文件的下载链接。
第二获取模块,用于获取每一目标网页对应的可下载文件的文件大小信息,以得到若干文件大小信息。
第二确定模块,用于若每一所述文件大小信息与目标文件大小信息的差异均符合第二预设规则,则将所述待检测文件集合确定为异常文件集合。所述目标文件大小信息为所述目标文件的文件大小信息。
此外,尽管在附图中以特定顺序描述了本公开中方法的各个步骤,但是,这并非要求或者暗示必须按照该特定顺序来执行这些步骤,或是必须执行全部所示的步骤才能实现期望的结果。附加的或备选的,可以省略某些步骤,将多个步骤合并为一个步骤执行,以及/或者将一个步骤分解为多个步骤执行等。
通过以上的实施方式的描述,本领域的技术人员易于理解,这里描述的示例实施方式可以通过软件实现,也可以通过软件结合必要的硬件的方式来实现。因此,根据本公开实施方式的技术方案可以以软件产品的形式体现出来,该软件产品可以存储在一个非易失性存储介质(可以是CD-ROM,U盘,移动硬盘等)中或网络上,包括若干指令以使得一台计算设备(可以是个人计算机、服务器、移动终端、或者网络设备等)执行根据本公开实施方式的方法。
在本公开的示例性实施例中,还提供了一种能够实现上述方法的电子设备。
所属技术领域的技术人员能够理解,本申请的各个方面可以实现为系统、方法或程序产品。因此,本申请的各个方面可以具体实现为以下形式,即:完全的硬件实施方式、完全的软件实施方式(包括固件、微代码等),或硬件和软件方面结合的实施方式,这里可以统称为“电路”、“模块”或“系统”。
根据本申请的这种实施方式的电子设备。电子设备仅仅是一个示例,不应对本申请实施例的功能和使用范围带来任何限制。
电子设备以通用计算设备的形式表现。电子设备的组件可以包括但不限于:上述至少一个处理器、上述至少一个储存器、连接不同系统组件(包括储存器和处理器)的总线。
其中,所述储存器存储有程序代码,所述程序代码可以被所述处理器执行,使得所述处理器执行本说明书上述“示例性方法”部分中描述的根据本申请各种示例性实施方式的步骤。
储存器可以包括易失性储存器形式的可读介质,例如随机存取储存器(RAM)和/或高速缓存储存器,还可以进一步包括只读储存器(ROM)。
储存器还可以包括具有一组(至少一个)程序模块的程序/实用工具,这样的程序模块包括但不限于:操作系统、一个或者多个应用程序、其它程序模块以及程序数据,这些示例中的每一个或某种组合中可能包括网络环境的实现。
总线可以为表示几类总线结构中的一种或多种,包括储存器总线或者储存器控制器、外围总线、图形加速端口、处理器或者使用多种总线结构中的任意总线结构的局域总线。
电子设备也可以与一个或多个外部设备(例如键盘、指向设备、蓝牙设备等)通信,还可与一个或者多个使得用户能与该电子设备交互的设备通信,和/或与使得该电子设备能与一个或多个其它计算设备进行通信的任何设备(例如路由器、调制解调器等等)通信。这种通信可以通过输入/输出(I/O)接口进行。并且,电子设备还可以通过网络适配器与一个或者多个网络(例如局域网(LAN),广域网(WAN)和/或公共网络,例如因特网)通信。网络适配器通过总线与电子设备的其它模块通信。应当明白,尽管图中未示出,可以结合电子设备使用其它硬件和/或软件模块,包括但不限于:微代码、设备驱动器、冗余处理器、外部磁盘驱动阵列、RAID系统、磁带驱动器以及数据备份存储系统等。
通过以上的实施方式的描述,本领域的技术人员易于理解,这里描述的示例实施方式可以通过软件实现,也可以通过软件结合必要的硬件的方式来实现。因此,根据本公开实施方式的技术方案可以以软件产品的形式体现出来,该软件产品可以存储在一个非易失性存储介质(可以是CD-ROM,U盘,移动硬盘等)中或网络上,包括若干指令以使得一台计算设备(可以是个人计算机、服务器、终端装置、或者网络设备等)执行根据本公开实施方式的方法。
在本公开的示例性实施例中,还提供了一种计算机可读存储介质,其上存储有能够实现本说明书上述方法的程序产品。在一些可能的实施方式中,本申请的各个方面还可以实现为一种程序产品的形式,其包括程序代码,当所述程序产品在终端设备上运行时,所述程序代码用于使所述终端设备执行本说明书上述“示例性方法”部分中描述的根据本申请各种示例性实施方式的步骤。
所述程序产品可以采用一个或多个可读介质的任意组合。可读介质可以是可读信号介质或者可读存储介质。可读存储介质例如可以为但不限于电、磁、光、电磁、红外线、或半导体的系统、装置或器件,或者任意以上的组合。可读存储介质的更具体的例子(非穷举的列表)包括:具有一个或多个导线的电连接、便携式盘、硬盘、随机存取存储器(RAM)、只读存储器(ROM)、可擦式可编程只读存储器(EPROM或闪存)、光纤、便携式紧凑盘只读存储器(CD-ROM)、光存储器件、磁存储器件、或者上述的任意合适的组合。
计算机可读信号介质可以包括在基带中或者作为载波一部分传播的数据信号,其中承载了可读程序代码。这种传播的数据信号可以采用多种形式,包括但不限于电磁信号、光信号或上述的任意合适的组合。可读信号介质还可以是可读存储介质以外的任何可读介质,该可读介质可以发送、传播或者传输用于由指令执行系统、装置或者器件使用或者与其结合使用的程序。
可读介质上包含的程序代码可以用任何适当的介质传输,包括但不限于无线、有线、光缆、RF等等,或者上述的任意合适的组合。
可以以一种或多种程序设计语言的任意组合来编写用于执行本申请操作的程序代码,所述程序设计语言包括面向对象的程序设计语言—诸如Java、C++等,还包括常规的过程式程序设计语言—诸如“C”语言或类似的程序设计语言。程序代码可以完全地在用户计算设备上执行、部分地在用户设备上执行、作为一个独立的软件包执行、部分在用户计算设备上部分在远程计算设备上执行、或者完全在远程计算设备或服务器上执行。在涉及远程计算设备的情形中,远程计算设备可以通过任意种类的网络,包括局域网(LAN)或广域网(WAN),连接到用户计算设备,或者,可以连接到外部计算设备(例如利用因特网服务提供商来通过因特网连接)。
此外,上述附图仅是根据本申请示例性实施例的方法所包括的处理的示意性说明,而不是限制目的。易于理解,上述附图所示的处理并不表明或限制这些处理的时间顺序。另外,也易于理解,这些处理可以是例如在多个模块中同步或异步执行的。
应当注意,尽管在上文详细描述中提及了用于动作执行的设备的若干模块或者单元,但是这种划分并非强制性的。实际上,根据本公开的实施方式,上文描述的两个或更多模块或者单元的特征和功能可以在一个模块或者单元中具体化。反之,上文描述的一个模块或者单元的特征和功能可以进一步划分为由多个模块或者单元来具体化。
以上所述,仅为本申请的具体实施方式,但本申请的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本申请揭露的技术范围内,可轻易想到的变化或替换,都应涵盖在本申请的保护范围之内。因此,本申请的保护范围应以权利要求的保护范围为准。
Claims (11)
1.一种文件检测方法,其特征在于,包括:
获取目标文件集合;所述目标文件集合内包括目标文件和网址访问快捷方式;
根据所述网址访问快捷方式对应的网址信息和目标文件名进行网页搜索,确定若干目标网页;每一所述目标网页均能够提供文件名中包含所述目标文件名的可下载文件的下载链接;
获取每一目标网页对应的可下载文件的文件大小信息,以得到若干文件大小信息;
若每一所述文件大小信息与目标文件大小信息的差异均符合第二预设规则,则将所述待检测文件集合确定为异常文件集合。
2.根据权利要求1所述的文件检测方法,其特征在于,所述获取目标文件集合,包括:
获取待检测文件集合;
若所述待检测文件集合内同时具有目标文件以及网址访问快捷方式,则确定所述网址访问快捷方式的文件名是否符合第一预设规则;
若符合,则将所述待检测文件集合确定为目标文件集合。
3.根据权利要求2所述的文件检测方法,其特征在于,所述确定所述网址访问快捷方式的文件名是否符合第一预设规则,包括:
确定所述网址访问快捷方式的文件名中是否包含第一类设定字符串;
若包含,则符合所述第一预设规则。
4.根据权利要求3所述的文件检测方法,其特征在于,在所述若所述待检测文件集合内同时具有目标文件以及网址访问快捷方式,则确定所述网址访问快捷方式的文件名是否符合第一预设规则之前,所述方法还包括:
确定所述待检测文件集合的文件集合大小信息是否小于第一设定阈值;
若是,则确定所述待检测文件集合内是否同时具有目标文件以及网址访问快捷方式。
5.根据权利要求1所述的文件检测方法,其特征在于,根据所述网址访问快捷方式对应的网址信息和目标文件名进行网页搜索,确定若干目标网页,包括:
将所述网址信息和所述目标文件名输入网页搜索引擎,得到若干候选网页;
根据所述若干候选网页的排序,从所述若干候选网页中确定出设定数量的目标网页。
6.根据权利要求5所述的文件检测方法,其特征在于,所述将所述网址信息和所述目标文件名输入网页搜索引擎,包括:
在所述网址信息前添加设定指令字符,得到目标网址信息;
将所述目标网址信息和所述目标文件名共同作为检索关键字输入网页搜索引擎。
7.根据权利要求1所述的文件检测方法,其特征在于,所述获取每一目标网页对应的可下载文件的文件大小信息,以得到若干文件大小信息,包括:
提取每一目标网页内的文本信息;
对每一文本信息进行字符串识别;
若识别到第二类字符串,则将识别到的第二类字符串之后的字符串确定为所述文件大小信息。
8.根据权利要求1所述的文件检测方法,其特征在于,所述第二预设规则包括:
所述文件大小信息与所述目标文件大小信息的比值大于第二设定阈值;
和/或,
所述文件大小信息小于所述目标文件大小信息,且所述文件大小信息与所述目标文件大小信息的差值大于第三设定阈值。
9.一种文件检测装置,其特征在于,包括:
第一获取模块,用于获取目标文件集合;所述目标文件集合内包括目标文件和网址访问快捷方式;
第一确定模块,用于根据所述网址访问快捷方式对应的网址信息和目标文件名进行网页搜索,确定若干目标网页;每一所述目标网页均能够提供文件名中包含所述目标文件名的可下载文件的下载链接;
第二获取模块,用于获取每一目标网页对应的可下载文件的文件大小信息,以得到若干文件大小信息;
第二确定模块,用于若每一所述文件大小信息与目标文件大小信息的差异均符合第二预设规则,则将所述待检测文件集合确定为异常文件集合。
10.一种电子设备,其特征在于,包括处理器和存储器;
所述处理器通过调用所述存储器存储的程序或指令,用于执行如权利要求1至8任一项所述方法的步骤。
11.一种非瞬时性计算机可读存储介质,其特征在于,所述非瞬时性计算机可读存储介质存储程序或指令,所述程序或指令使计算机执行如权利要求1至8任一项所述方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202211225043.0A CN115562992A (zh) | 2022-10-09 | 2022-10-09 | 一种文件检测方法、装置、电子设备及存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202211225043.0A CN115562992A (zh) | 2022-10-09 | 2022-10-09 | 一种文件检测方法、装置、电子设备及存储介质 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN115562992A true CN115562992A (zh) | 2023-01-03 |
Family
ID=84745142
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202211225043.0A Pending CN115562992A (zh) | 2022-10-09 | 2022-10-09 | 一种文件检测方法、装置、电子设备及存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN115562992A (zh) |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN116305129A (zh) * | 2023-05-16 | 2023-06-23 | 北京安天网络安全技术有限公司 | 一种基于vsto的文档检测方法及装置、设备及介质 |
| CN116578536A (zh) * | 2023-07-12 | 2023-08-11 | 北京安天网络安全技术有限公司 | 文件检测方法、存储介质及电子设备 |
| CN116992449A (zh) * | 2023-09-27 | 2023-11-03 | 北京安天网络安全技术有限公司 | 一种相似样本文件确定方法及装置、电子设备及存储介质 |
| CN117056926A (zh) * | 2023-10-09 | 2023-11-14 | 深圳安天网络安全技术有限公司 | 一种文件检测系统、电子设备及存储介质 |
| CN117077138A (zh) * | 2023-08-21 | 2023-11-17 | 北京安天网络安全技术有限公司 | 一种基于浏览器的异常检测方法、系统、介质及设备 |
-
2022
- 2022-10-09 CN CN202211225043.0A patent/CN115562992A/zh active Pending
Cited By (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN116305129A (zh) * | 2023-05-16 | 2023-06-23 | 北京安天网络安全技术有限公司 | 一种基于vsto的文档检测方法及装置、设备及介质 |
| CN116305129B (zh) * | 2023-05-16 | 2023-08-15 | 北京安天网络安全技术有限公司 | 一种基于vsto的文档检测方法及装置、设备及介质 |
| CN116578536A (zh) * | 2023-07-12 | 2023-08-11 | 北京安天网络安全技术有限公司 | 文件检测方法、存储介质及电子设备 |
| CN116578536B (zh) * | 2023-07-12 | 2023-09-22 | 北京安天网络安全技术有限公司 | 文件检测方法、存储介质及电子设备 |
| CN117077138A (zh) * | 2023-08-21 | 2023-11-17 | 北京安天网络安全技术有限公司 | 一种基于浏览器的异常检测方法、系统、介质及设备 |
| CN117077138B (zh) * | 2023-08-21 | 2024-03-08 | 北京安天网络安全技术有限公司 | 一种基于浏览器的异常检测方法、系统、介质及设备 |
| CN116992449A (zh) * | 2023-09-27 | 2023-11-03 | 北京安天网络安全技术有限公司 | 一种相似样本文件确定方法及装置、电子设备及存储介质 |
| CN116992449B (zh) * | 2023-09-27 | 2024-01-23 | 北京安天网络安全技术有限公司 | 一种相似样本文件确定方法及装置、电子设备及存储介质 |
| CN117056926A (zh) * | 2023-10-09 | 2023-11-14 | 深圳安天网络安全技术有限公司 | 一种文件检测系统、电子设备及存储介质 |
| CN117056926B (zh) * | 2023-10-09 | 2024-01-26 | 深圳安天网络安全技术有限公司 | 一种文件检测系统、电子设备及存储介质 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN108763928B (zh) | 一种开源软件漏洞分析方法、装置和存储介质 | |
| CN115562992A (zh) | 一种文件检测方法、装置、电子设备及存储介质 | |
| US11188650B2 (en) | Detection of malware using feature hashing | |
| CN111563015B (zh) | 数据监控方法及装置、计算机可读介质及终端设备 | |
| WO2013139216A1 (zh) | 一种apk病毒特征码的提取方法及装置 | |
| CN112148305B (zh) | 一种应用检测方法、装置、计算机设备和可读存储介质 | |
| EP3637292B1 (en) | Determination device, determination method, and determination program | |
| CN107918674B (zh) | 网页数据的采集方法及其系统、存储介质、电子设备 | |
| CN115033894B (zh) | 一种基于知识图谱的软件组件供应链安全检测方法及装置 | |
| KR20090088687A (ko) | 웹쉘 탐지 시스템 및 웹쉘 탐지 방법 | |
| CN110688096A (zh) | 包含插件的应用程序的构建方法、装置、介质及电子设备 | |
| CN115495740A (zh) | 一种病毒检测方法和装置 | |
| CN115766184A (zh) | 一种网页数据处理方法、装置、电子设备及存储介质 | |
| CN105975302A (zh) | 一种应用安装方法及终端 | |
| CN113067792A (zh) | 一种xss攻击识别方法、装置、设备及介质 | |
| CN109145589B (zh) | 应用程序获取方法及装置 | |
| CN107085684B (zh) | 程序特征的检测方法和装置 | |
| CN114154153A (zh) | 恶意代码检测方法及装置、电子设备、存储介质 | |
| CN114091118A (zh) | 网页防篡改方法、装置、设备及存储介质 | |
| KR101461051B1 (ko) | 웹 기능 분석을 통한 악성 코드 탐지방법 및 그 기록매체 | |
| CN106502707B (zh) | 代码生成方法及装置 | |
| CN105354490A (zh) | 一种处理被劫持浏览器的方法及设备 | |
| KR101595936B1 (ko) | 백신과 컴퓨터 최적화 기능을 구비한 컴퓨터 최적화 방법, 최적화 서버 및 컴퓨터 판독 가능한 기록매체 | |
| CN116305129A (zh) | 一种基于vsto的文档检测方法及装置、设备及介质 | |
| CN115906081A (zh) | 恶意样本文件检测方法、装置、服务器、电子设备及存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |