CN116992450B - 一种文件检测规则确定方法及装置、电子设备及存储介质 - Google Patents
一种文件检测规则确定方法及装置、电子设备及存储介质 Download PDFInfo
- Publication number
- CN116992450B CN116992450B CN202311254333.2A CN202311254333A CN116992450B CN 116992450 B CN116992450 B CN 116992450B CN 202311254333 A CN202311254333 A CN 202311254333A CN 116992450 B CN116992450 B CN 116992450B
- Authority
- CN
- China
- Prior art keywords
- target
- file
- sample
- files
- malicious
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000001514 detection method Methods 0.000 title claims abstract description 319
- 238000000034 method Methods 0.000 title claims abstract description 84
- 238000012795 verification Methods 0.000 claims abstract description 70
- 238000012163 sequencing technique Methods 0.000 claims description 6
- 230000000153 supplemental effect Effects 0.000 claims description 5
- 230000004044 response Effects 0.000 claims description 4
- 239000013589 supplement Substances 0.000 claims description 2
- 241000700605 Viruses Species 0.000 description 8
- 230000003287 optical effect Effects 0.000 description 3
- 239000013598 vector Substances 0.000 description 3
- 230000000295 complement effect Effects 0.000 description 2
- 239000013307 optical fiber Substances 0.000 description 2
- 230000000644 propagated effect Effects 0.000 description 2
- 230000001502 supplementing effect Effects 0.000 description 2
- 238000003491 array Methods 0.000 description 1
- 230000006399 behavior Effects 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 238000004364 calculation method Methods 0.000 description 1
- 238000004891 communication Methods 0.000 description 1
- 238000004590 computer program Methods 0.000 description 1
- 238000010586 diagram Methods 0.000 description 1
- 238000000605 extraction Methods 0.000 description 1
- 230000006870 function Effects 0.000 description 1
- 230000002093 peripheral effect Effects 0.000 description 1
- 230000011218 segmentation Effects 0.000 description 1
- 239000004065 semiconductor Substances 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
- 230000002123 temporal effect Effects 0.000 description 1
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/562—Static detection
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Virology (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
Abstract
本发明提供了一种文件检测规则确定方法及装置、电子设备及存储介质,涉及数据处理领域,该方法包括:根据若干目标检测恶意文件,确定第一初始检测规则;对预设的若干验证样本文件进行恶意检测,以得到第一初始检测规则对应的检测准确度;若检测准确度小于预设检测准确度阈值,则获取补充样本文件;重新确定第二初始检测规则,若第二初始检测规则对应的检测准确度大于等于预设检测准确度阈值,则将第二初始检测规则确定为恶意检测规则。本发明通过补充样本文件对确定的初始检测规则进行重新确定,以提高根据目标恶意文件和目标相似样本文件确定的初始检测规则的检测精度。
Description
技术领域
本发明涉及数据处理领域,特别是涉及一种文件检测规则确定方法及装置、电子设备及存储介质。
背景技术
目前的恶意文件检测规则通过获取已知恶意攻击类型的历史恶意文件进行统计确定,或通过对若干历史恶意文件的文件特征进行编码向量,将得到的编码向量输入向量模型中得到对应的同种攻击类型的恶意文件检测规则。目前的文件检测规则的确定方法只适用于历史恶意文件的数量较少且历史恶意文件的攻击类型已知的情况,当历史恶意文件的数量较多或历史恶意文件的攻击类型未知时,会增大系统的使用算力,且得到的恶意文件检测规则的检测精度较低。
发明内容
有鉴于此,本发明提供一种文件检测规则确定方法及装置、电子设备及存储介质,至少部分解决现有技术中存在的无法适用于历史恶意文件的数量较多或历史恶意文件的攻击类型未知的情况的技术问题,本发明采用的技术方案为:
根据本申请的一个方面,提供一种文件检测规则确定方法,所述方法包括如下步骤:
根据若干目标检测恶意文件,确定第一初始检测规则;若干目标检测恶意文件之间符合预设相似规则;若干目标检测恶意文件包括目标恶意文件和若干目标相似样本文件;
根据第一初始检测规则,对预设的若干验证样本文件进行恶意检测,以得到第一初始检测规则对应的检测准确度;
若检测准确度小于预设检测准确度阈值,则获取补充样本文件;
根据补充样本文件、若干目标检测恶意文件,重新确定第二初始检测规则;若第二初始检测规则对应的检测准确度大于等于预设检测准确度阈值,则将第二初始检测规则确定为恶意检测规则。
在本申请的一种示例性实施例中,获取补充样本文件,包括:
从若干目标相似样本文件中确定出若干关键样本文件;关键样本文件为符合预设名称匹配度规则的目标相似样本文件;
根据每一关键样本文件,从若干历史样本文件中确定对应的若干关键相似样本文件,得到每一关键样本文件对应的关键相似样本文件集;
将若干关键相似样本文件集进行交集处理后得到的若干关键相似样本文件确定为补充样本文件。
在本申请的一种示例性实施例中,根据若干目标检测恶意文件,确定第一初始检测规则,包括:
步骤S110、响应于接收到目标恶意文件,根据目标恶意文件,确定若干目标相似样本文件;
步骤S120、获取每一目标数据源对目标恶意文件设置的名称字符串和每一目标数据源对每一目标相似样本文件设置的名称字符串;
步骤S130、根据每一目标恶意文件对应的名称字符串和每一目标相似样本文件对应的若干名称字符串,确定目标恶意文件与每一目标相似样本文件对应的样本匹配度;
步骤S140、根据每一目标相似样本文件对应的样本匹配度的递减顺序,对每一目标相似样本文件进行排序,得到排序后相似样本文件列表T1,T2,...,Tn,...,Tq;其中,n=1,2,...,q;q为目标相似样本文件的数量;Tn为根据样本匹配度排序后的第n个目标相似样本文件;
步骤S150、令n=1;
步骤S160、若n≤q,则根据T1,...,Tn包含的文件特征和目标恶意文件包含的文件特征,得到候选检测规则;
步骤S170、根据候选检测规则,对Tn+1,...,Tq进行恶意检测,得到对应的q-n个恶意检测结果;
步骤S180、若每一恶意检测结果均表征对应的目标相似样本文件为恶意文件,则将候选检测规则确定为第一初始检测规则;否则,令n=n+1,并返回步骤S160。
在本申请的一种示例性实施例中,根据第一初始检测规则,对预设的若干验证样本文件进行恶意检测,以得到第一初始检测规则对应的检测准确度,包括:
获取每一验证样本文件包含的文件特征,得到验证文件特征列表集W=(W1,W2,...,Wp,...,Wr);Wp=(Wp1,Wp2,...,Wpv,...,Wpx(p));其中,p=1,2,...,r;r为验证样本文件的数量;Wp为第p个验证样本文件对应的文件特征列表;v=1,2,...,x(p);x(p)为第p个验证样本文件中包含的文件特征的数量;Wpv为第p个验证样本文件中包含的第v个文件特征;
根据第一初始检测规则,对Wp1,Wp2,...,Wpv,...,Wpx(p)依次进行检测,得到Wp对应的验证结果;
获取每一验证样本文件的检测结果,得到检测结果集Z=(Z1,Z2,...,Zp,...,Zr);其中,Zp为第p个验证样本文件的检测结果;
遍历检测结果集Z,若Wp对应的验证结果与Zp相同,则将第p个验证样本文件确定为目标验证样本文件,得到y个目标验证样本文件;
将y/r确定为第一初始检测规则对应的检测准确度。
在本申请的一种示例性实施例中,补充样本文件通过以下步骤确定:
步骤S301、获取第一初始检测规则的确定时间t;
步骤S302、依次获取在t至当前时间接收到的待检测文件,得到待检测文件集Y=(Y1,Y2,...,Yk,...,Yu);其中,k=1,2,...,u;u为在t至当前时间接收到的待检测文件的数量;Yk为在t至当前时间接收到的第k个待检测文件;
步骤S303、令k=1;
步骤S304、若k≤u,则根据第一初始检测规则,对Yk包含的文件特征进行相似检测,得到对应的相似检测结果;
步骤S305、若相似检测结果表征Yk为相似文件,则将Yk确定为补充样本文件;否则,令k=k+1,并返回步骤S304。
在本申请的一种示例性实施例中,根据目标恶意文件,确定若干目标相似样本文件,包括:
根据目标恶意文件,从若干历史样本文件中确定出若干目标样本文件;
根据每一目标恶意文件对应的名称字符串和每一目标样本文件对应的若干名称字符串,确定目标恶意文件与每一目标样本文件之间的名称匹配度;
根据每一名称匹配度,确定目标恶意文件与每一目标样本文件之间的样本匹配度;
根据每一样本匹配度,从若干目标样本文件中确定出与目标恶意文件对应的若干目标相似样本文件。
在本申请的一种示例性实施例中,从若干历史样本文件中确定出若干目标样本文件,包括:
根据每一目标数据源对应的预设字符,对目标恶意文件对应的名称字符串进行字符串拆分,得到每一目标数据源对应的目标候选字符串数量;
根据每一目标数据源对应的预设字符,对每一历史样本文件对应的名称字符串进行字符串拆分,得到每一历史样本文件对应的历史样本字符串数量;
若历史样本字符串数量大于等于若干目标候选字符串数量的最小值,且小于等于若干目标候选字符串数量的最大值,则将该历史样本字符串数量对应的历史样本文件确定为目标样本文件。
根据本申请的一个方面,提供一种文件检测规则确定装置,包括:
第一初始检测规则确定模块,用于根据若干目标检测恶意文件,确定第一初始检测规则;若干目标检测恶意文件之间符合预设相似规则;
检测准确度确定模块,用于根据第一初始检测规则,对预设的若干验证样本文件进行恶意检测,得到第一初始检测规则对应的检测准确度;
补充样本文件获取模块,用于当检测准确度小于预设检测准确度阈值时,获取补充样本文件;
恶意检测规则确定模块,用于根据补充样本文件、若干目标检测恶意文件,重新确定第二初始检测规则;若第二初始检测规则对应的检测准确度大于等于预设检测准确度阈值,则将第二初始检测规则确定为恶意检测规则。
根据本申请的一个方面,提供一种非瞬时性计算机可读存储介质,所述存储介质中存储有至少一条指令或至少一段程序,所述至少一条指令或所述至少一段程序由处理器加载并执行以实现前述的文件检测规则确定方法。
根据本申请的一个方面,提供一种电子设备,包括处理器和前述的非瞬时性计算机可读存储介质。
本发明至少具有以下有益效果:
本发明根据目标恶意文件,确定与目标恶意文件对应的若干目标相似样本文件,根据目标恶意文件和若干目标相似样本文件,确定第一初始检测规则,根据第一初始检测规则,对预设的若干验证样本文件进行恶意检测,以得到第一初始检测规则对应的检测准确度,若检测准确度小于预设检测准确度阈值,则表示第一初始检测规则的检测准确度未达到验证标准,此时通过获取补充样本文件,再根据补充样本文件、目标恶意文件和若干目标相似样本文件,重新确定第二初始检测规则,再将第二初始检测规则对应的检测准确度与预设检测准确度阈值进行比较,若此时的检测准确度大于等于预设检测准确度阈值,则表示第二初始检测规则达到了验证标准,将第二初始检测规则确定为恶意检测规则。通过补充样本文件对确定的初始检测规则进行重新确定,以提高根据目标恶意文件和目标相似样本文件确定的初始检测规则的检测精度。
附图说明
为了更清楚地说明本发明实施例中的技术方案,下面将对实施例描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例提供的文件检测规则确定方法的流程图;
图2为本发明实施例提供的文件检测规则确定装置的框图;
图3为本发明实施例提供的第一初始检测规则的确定方法的流程图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
一种文件检测规则确定方法,如图1所示,所述方法包括如下步骤:
步骤S100、根据若干目标检测恶意文件,确定第一初始检测规则;若干目标检测恶意文件之间符合预设相似规则;若干目标检测恶意文件包括目标恶意文件和若干目标相似样本文件;
目标恶意文件为确定文件检测规则和查找相似样本文件的恶意文件,文件检测规则即可以检测出与目标恶意文件相似的恶意文件的恶意检测规则,在确定文件检测规则前,为了提高确定出的文件检测规则的检测准确度,需要扩大规则检测样本的数量,所以,根据接收到的目标恶意文件,确定与目标恶意文件对应的若干目标相似样本文件,目标相似样本文件为与目标恶意文件相似的样本文件,由于目标相似样本文件与目标恶意文件的特征相似,即攻击类型相同或属于同一个病毒家族,所以,目标相似样本文件与目标恶意文件属于同类型文件,通过确定出的目标相似样本文件和目标恶意文件,确保文件检测规则的确定样本数量。
第一初始检测规则为根据目标恶意文件和若干目标相似样本文件确定出的检测规则,用来检测与目标恶意文件和目标相似样本文件同类型的文件的恶意行为。
进一步,步骤S100中,根据若干目标检测恶意文件,确定第一初始检测规则,如图3所示,包括:
步骤S110、响应于接收到目标恶意文件,根据目标恶意文件,确定若干目标相似样本文件;
其中,步骤S110中,根据目标恶意文件,确定若干目标相似样本文件,包括:
步骤S111、根据目标恶意文件,从若干历史样本文件中确定出若干目标样本文件;
目标相似样本文件为根据目标恶意文件从若干历史样本文件中确定出若干目标样本文件,历史样本文件为已经通过检测的样本文件,其中包括恶意样本文件和非恶意样本文件。
其中,步骤S111中,从若干历史样本文件中确定出若干目标样本文件,包括:
步骤S1111、根据每一目标数据源对应的预设字符,对目标恶意文件对应的名称字符串进行字符串拆分,得到每一目标数据源对应的目标候选字符串数量;
目标数据源即历史样本文件的供应厂商,每一目标数据源对应有一检测规则,目标数据源通过对应的检测规则对待检测文件进行恶意检测,且每一目标数据源对应有若干预设字符,预设字符表示为对应的名称字符串中的分割字符,名称字符串为对应的目标恶意文件中病毒的病毒名称的字符串,名称字符串中包含病毒的攻击类型字符串、病毒家族字符串、应用平台字符串、病毒变种字符串等等,由于每一目标数据源的名称字符串的提取方法不同,所以,不同的目标数据源提取的同一文件的名称字符串中的信息顺序有可能是不同的,故,通过目标数据源对应的预设字符,对目标恶意文件对应的名称字符串进行字符串拆分,得到每一目标数据源对应的若干目标候选字符串,目标候选字符串即攻击类型字符串、病毒家族字符串、应用平台字符串、病毒变种字符串等。
步骤S1112、根据每一目标数据源对应的预设字符,对每一历史样本文件对应的名称字符串进行字符串拆分,得到每一历史样本文件对应的历史样本字符串数量;
由于历史样本文件的数量较大,若通过每一目标数据源对每一历史样本文件对应的名称字符串进行拆分,会导致数据处理量的大幅增加,所以,历史样本文件对应的名称字符串只通过现有的公众的拆分规则对其进行字符串拆分,得到每一历史样本文件对应的历史样本字符串的数量,降低了数据处理量的同时,也能对数量庞大的历史样本文件进行初步筛选。
步骤S1113、若历史样本字符串数量大于等于若干目标候选字符串数量的最小值,且小于等于若干目标候选字符串数量的最大值,则将该历史样本字符串数量对应的历史样本文件确定为目标样本文件。
若历史样本字符串数量处于若干目标候选字符串数量的最小值和若干目标候选字符串数量的最大值的范围内,则表示对应的历史样本文件符合目标候选字符串数量的标准,则将其确定为目标样本文件。
步骤S112、根据每一目标恶意文件对应的名称字符串和每一目标样本文件对应的若干名称字符串,确定目标恶意文件与每一目标样本文件之间的名称匹配度;
其中,目标恶意文件与每一目标样本文件之间的名称匹配度通过以下步骤确定:
步骤S1121、获取每一目标数据源对目标恶意文件设置的名称字符串,以得到第一名称字符串列表F=(F1,F2,...,Fj,...,Fm);其中,j=1,2,...,m;m为目标数据源的数量;Fj为第j个目标数据源对目标恶意文件设置的名称字符串;
步骤S1122、获取每一目标数据源对每一目标样本文件设置的名称字符串,以得到第二名称字符串列表集G=(G1,G2,...,Ga,...,Gb);Ga=(Ga1,Ga2,...,Gaj,...,Gam);其中,a=1,2,...,b;b为目标样本文件的数量;Ga为第a个目标样本文件对应的名称字符串列表;Gaj为第j个目标数据源对第a个目标样本文件设置的名称字符串;
步骤S1123、根据第一名称字符串列表F和第二名称字符串列表集G,确定名称匹配度列表集E=(E1,E2,...,Ea,...,Eb);Ea=(Ea1,Ea2,...,Eaj,...,Eam);其中,Ea为第a个目标样本文件与目标恶意文件对应的名称匹配度列表;Eaj为Gaj与Fj之间的名称匹配度;
其中,Eaj通过以下步骤确定:
步骤S11231、根据第j个目标数据源对应的预设字符,对Fj进行字符串拆分,得到Fj对应的i个目标候选字符串;
步骤S11232、根据第j个目标数据源对应的预设字符,对Gaj进行字符串拆分,得到Gaj对应的i个样本候选字符串;
步骤S11233、根据预设字符串顺序,对Fj对应的i个目标候选字符串排序,得到目标候选字符串列表Fj1,Fj2,...,Fjz,...,Fji;其中,z=1,2,...,i;Fjz为排序后得到的Fj对应的第z个目标候选字符串;
预设字符串顺序为预设的不同类型的字符串的排列顺序,由于每一目标数据源对应的同一文件的若干目标候选字符串的排列顺序不同,为了便于进行字符串匹配,就要将同一文件的不同目标候选字符串的顺序进行调整,使同一位置的目标候选字符串表示的类型相同。
步骤S11234、根据预设字符串顺序,对Gaj对应的i个样本候选字符串排序,得到样本候选字符串列表Gaj1,Gaj2,...,Gajz,...,Gaji;其中,Gajz为排序后得到的Gaj对应的第z个样本候选字符串;
步骤S11235、若Gajz与Fjz相同,则将1确定为Gajz与Fjz之间的字符串匹配度Jajz;否则,将0确定为Gajz与Fjz之间的字符串匹配度Jajz;
步骤S11236、确定Eaj=∑i z=1Jajz。
步骤S113、根据每一名称匹配度,确定目标恶意文件与每一目标样本文件之间的样本匹配度;
其中,目标恶意文件与每一目标样本文件之间的样本匹配度通过以下步骤确定:
根据名称匹配度列表集E,确定样本匹配度列表H=(H1,H2,...,Ha,...,Hb);其中,Ha为根据Ea得到的第a个目标样本文件与目标恶意文件之间的样本匹配度;Ha=(∑m j=1Eaj)/m;
样本匹配度表示目标恶意文件与对应的目标样本文件之间的相似程度,样本匹配度越大,表示目标恶意文件与对应的目标样本文件越相似。
步骤S114、根据每一样本匹配度,从若干目标样本文件中确定出与目标恶意文件对应的若干目标相似样本文件。
将样本匹配度与预设样本匹配度阈值进行比对,若样本匹配度大于等于预设样本匹配度阈值,则将对应的目标样本文件确定为与目标恶意文件对应的目标相似样本文件。
步骤S120、获取每一目标数据源对目标恶意文件设置的名称字符串和每一目标数据源对每一目标相似样本文件设置的名称字符串;
步骤S130、根据每一目标恶意文件对应的名称字符串和每一目标相似样本文件对应的若干名称字符串,确定目标恶意文件与每一目标相似样本文件对应的样本匹配度;
步骤S140、根据每一目标相似样本文件对应的样本匹配度的递减顺序,对每一目标相似样本文件进行排序,得到排序后相似样本文件列表T1,T2,...,Tn,...,Tq;其中,n=1,2,...,q;q为目标相似样本文件的数量;Tn为根据样本匹配度排序后的第n个目标相似样本文件;
根据样本匹配度对目标相似样本文件排序,得到排序后相似样本文件列表,排序后相似样本文件列表中位置越靠后的目标相似样本文件与目标恶意文件的相似度越低。
步骤S150、令n=1;
步骤S160、若n≤q,则根据T1,...,Tn包含的文件特征和目标恶意文件包含的文件特征,得到候选检测规则;
步骤S170、根据候选检测规则,对Tn+1,...,Tq进行恶意检测,得到对应的q-n个恶意检测结果;
步骤S180、若每一恶意检测结果均表征对应的目标相似样本文件为恶意文件,则将候选检测规则确定为第一初始检测规则;否则,令n=n+1,并返回步骤S160。
步骤S150-步骤S180为第一初始检测规则的确定方法,为了进一步降低数据处理量,在确定候选检测规则时,按照样本匹配度由高到低的顺序,取目标相似样本文件与目标恶意文件的文件特征得到对应的候选检测规则,再对得到的候选检测规则进行验证,即对Tn+1,...,Tq进行恶意检测,得到对应的恶意检测结果。由于目标相似样本文件为目标恶意文件的相似样本文件,所以,目标相似样本文件也均为恶意文件,若每一恶意检测结果均表征对应的目标相似样本文件为恶意文件,则表示候选检测规则通过了验证检测,将其确定为第一初始检测规则,否则,则继续取下一样本匹配度的目标相似样本文件的文件特征确定候选检测规则,再接着对得到的候选检测规则进行验证,直至验证通过或所有目标相似样本文件的文件特征全部取完。
步骤S200、根据第一初始检测规则,对预设的若干验证样本文件进行恶意检测,以得到第一初始检测规则对应的检测准确度;
验证样本文件为用于进行规则验证的样本文件。
进一步,步骤S200中,根据第一初始检测规则,对预设的若干验证样本文件进行恶意检测,以得到第一初始检测规则对应的检测准确度,包括:
步骤S210、获取每一验证样本文件包含的文件特征,得到验证文件特征列表集W=(W1,W2,...,Wp,...,Wr);Wp=(Wp1,Wp2,...,Wpv,...,Wpx(p));其中,p=1,2,...,r;r为验证样本文件的数量;Wp为第p个验证样本文件对应的文件特征列表;v=1,2,...,x(p);x(p)为第p个验证样本文件中包含的文件特征的数量;Wpv为第p个验证样本文件中包含的第v个文件特征;
步骤S220、根据第一初始检测规则,对Wp1,Wp2,...,Wpv,...,Wpx(p)依次进行检测,得到Wp对应的验证结果;
验证结果即根据第一初始检测规则对每一文件特征进行检测得到的结果。
步骤S230、获取每一验证样本文件的检测结果,得到检测结果集Z=(Z1,Z2,...,Zp,...,Zr);其中,Zp为第p个验证样本文件的检测结果;
由于验证样本文件为进行验证的文件,所以其检测结果是已知的,检测结果为恶意文件或非恶意文件。
步骤S240、遍历检测结果集Z,若Wp对应的验证结果与Zp相同,则将第p个验证样本文件确定为目标验证样本文件,得到y个目标验证样本文件;
若Wp对应的验证结果与Zp相同,则表示Wp对应的验证样本文件的验证结果是正确的,则将其确定为目标验证样本文件。
步骤S250、将y/r确定为第一初始检测规则对应的检测准确度。
步骤S300、若检测准确度小于预设检测准确度阈值,则获取补充样本文件;
若检测准确度小于预设检测准确度阈值,则表示第一初始检测规则的检测准确度较低,则再通过获取补充样本文件,重新确定第二初始检测规则。
进一步,步骤S300中,补充样本文件的获取方法的第一实施例,包括:
步骤S301、获取第一初始检测规则的确定时间t;
步骤S302、依次获取在t至当前时间接收到的待检测文件,得到待检测文件集Y=(Y1,Y2,...,Yk,...,Yu);其中,k=1,2,...,u;u为在t至当前时间接收到的待检测文件的数量;Yk为在t至当前时间接收到的第k个待检测文件;
步骤S303、令k=1;
步骤S304、若k≤u,则根据第一初始检测规则,对Yk包含的文件特征进行相似检测,得到对应的相似检测结果;
步骤S305、若相似检测结果表征Yk为相似文件,则将Yk确定为补充样本文件;否则,令k=k+1,并返回步骤S304。
第一初始检测规则的检测准确度小于预设检测准确度阈值可能是由于历史样本文件的获取时间太早导致参考价值过低造成的,所以,选择第一初始检测规则确定时间之后获取的首个相似文件作为补充样本文件。
进一步,步骤S300中,补充样本文件的获取方法的第二实施例,包括:
步骤S311、从若干目标相似样本文件中确定出若干关键样本文件;关键样本文件为符合预设名称匹配度规则的目标相似样本文件;
步骤S312、根据每一关键样本文件,从若干历史样本文件中确定对应的若干关键相似样本文件,得到每一关键样本文件对应的关键相似样本文件集;
步骤S313、将若干关键相似样本文件集进行交集处理后得到的若干关键相似样本文件确定为补充样本文件。
第一初始检测规则的检测准确度小于预设检测准确度阈值还有可能是由于选择的目标相似样本文件的数量过少或选择的目标相似样本文件的匹配度过低造成的,所以,补充样本文件的获取方法的第二实施例中,通过将符合预设名称匹配度规则的目标相似样本文件确定为关键样本文件,根据每一关键样本文件,从若干历史样本文件中确定出与该关键样本文件对应的若干关键相似样本文件,再对每一关键样本文件对应的若干关键相似样本文件取交集,将相交的关键相似样本文件确定为补充样本文件,通过扩大补充样本文件的数量和提高补充样本文件的匹配度,来提高确定的第一初始检测规则的检测准确度。
预设名称匹配度规则为名称匹配度大于等于预设名称匹配度阈值的规则,即关键样本文件为名称匹配度大于等于预设名称匹配度阈值的目标相似样本文件。
步骤S400、根据补充样本文件、若干目标检测恶意文件,重新确定第二初始检测规则;若第二初始检测规则对应的检测准确度大于等于预设检测准确度阈值,则将第二初始检测规则确定为恶意检测规则。
通过确定出的补充样本文件与目标恶意文件和若干目标相似样本文件,重新确定第二初始检测规则,再根据验证样本文件对第二初始检测规则进行验证,若其对应的检测准确度仍小于预设检测准确度阈值,则再获取新的补充样本文件,重新确定第三初始检测规则,直至初始检测规则对应的检测准确度大于等于预设检测准确度阈值,则表示此时的初始检测规则达到了检测验证要求,将其确定为恶意检测规则。
本发明根据目标恶意文件,确定与目标恶意文件对应的若干目标相似样本文件,根据目标恶意文件和若干目标相似样本文件,确定第一初始检测规则,根据第一初始检测规则,对预设的若干验证样本文件进行恶意检测,以得到第一初始检测规则对应的检测准确度,若检测准确度小于预设检测准确度阈值,则表示第一初始检测规则的检测准确度未达到验证标准,此时通过获取补充样本文件,再根据补充样本文件、目标恶意文件和若干目标相似样本文件,重新确定第二初始检测规则,再将第二初始检测规则对应的检测准确度与预设检测准确度阈值进行比较,若此时的检测准确度大于等于预设检测准确度阈值,则表示第二初始检测规则达到了验证标准,将第二初始检测规则确定为恶意检测规则。通过补充样本文件对确定的初始检测规则进行重新确定,以提高根据目标恶意文件和目标相似样本文件确定的初始检测规则的检测精度。
一种文件检测规则确定装置100,如图2所示,包括:
第一初始检测规则确定模块110,用于根据若干目标检测恶意文件,确定第一初始检测规则;若干目标检测恶意文件之间符合预设相似规则;
检测准确度确定模块120,用于根据第一初始检测规则,对预设的若干验证样本文件进行恶意检测,得到第一初始检测规则对应的检测准确度;
补充样本文件获取模块130,用于当检测准确度小于预设检测准确度阈值时,获取补充样本文件;
恶意检测规则确定模块140,用于根据补充样本文件、若干目标检测恶意文件,重新确定第二初始检测规则;若第二初始检测规则对应的检测准确度大于等于预设检测准确度阈值,则将第二初始检测规则确定为恶意检测规则。
本发明的实施例还提供一种计算机程序产品,其包括程序代码,当所述程序产品在电子设备上运行时,所述程序代码用于使该电子设备执行本说明书上述描述的根据本发明各种示例性实施方式的方法中的步骤。
此外,尽管在附图中以特定顺序描述了本公开中方法的各个步骤,但是,这并非要求或者暗示必须按照该特定顺序来执行这些步骤,或是必须执行全部所示的步骤才能实现期望的结果。附加的或备选的,可以省略某些步骤,将多个步骤合并为一个步骤执行,以及/或者将一个步骤分解为多个步骤执行等。
通过以上的实施方式的描述,本领域的技术人员易于理解,这里描述的示例实施方式可以通过软件实现,也可以通过软件结合必要的硬件的方式来实现。因此,根据本公开实施方式的技术方案可以以软件产品的形式体现出来,该软件产品可以存储在一个非易失性存储介质(可以是CD-ROM,U盘,移动硬盘等)中或网络上,包括若干指令以使得一台计算设备(可以是个人计算机、服务器、移动终端、或者网络设备等)执行根据本公开实施方式的方法。
在本公开的示例性实施例中,还提供了一种能够实现上述方法的电子设备。
所属技术领域的技术人员能够理解,本发明的各个方面可以实现为系统、方法或程序产品。因此,本发明的各个方面可以具体实现为以下形式,即:完全的硬件实施方式、完全的软件实施方式(包括固件、微代码等),或硬件和软件方面结合的实施方式,这里可以统称为“电路”、“模块”或“系统”。
根据本发明的这种实施方式的电子设备。电子设备仅仅是一个示例,不应对本发明实施例的功能和使用范围带来任何限制。
电子设备以通用计算设备的形式表现。电子设备的组件可以包括但不限于:上述至少一个处理器、上述至少一个储存器、连接不同系统组件(包括储存器和处理器)的总线。
其中,所述储存器存储有程序代码,所述程序代码可以被所述处理器执行,使得所述处理器执行本说明书上述“示例性方法”部分中描述的根据本发明各种示例性实施方式的步骤。
储存器可以包括易失性储存器形式的可读介质,例如随机存取储存器(RAM)和/或高速缓存储存器,还可以进一步包括只读储存器(ROM)。
储存器还可以包括具有一组(至少一个)程序模块的程序/实用工具,这样的程序模块包括但不限于:操作系统、一个或者多个应用程序、其它程序模块以及程序数据,这些示例中的每一个或某种组合中可能包括网络环境的实现。
总线可以为表示几类总线结构中的一种或多种,包括储存器总线或者储存器控制器、外围总线、图形加速端口、处理器或者使用多种总线结构中的任意总线结构的局域总线。
电子设备也可以与一个或多个外部设备(例如键盘、指向设备、蓝牙设备等)通信,还可与一个或者多个使得用户能与该电子设备交互的设备通信,和/或与使得该电子设备能与一个或多个其它计算设备进行通信的任何设备(例如路由器、调制解调器等等)通信。这种通信可以通过输入/输出(I/O)接口进行。并且,电子设备还可以通过网络适配器与一个或者多个网络(例如局域网(LAN),广域网(WAN)和/或公共网络,例如因特网)通信。如图所示,网络适配器通过总线与电子设备的其它模块通信。应当明白,尽管图中未示出,可以结合电子设备使用其它硬件和/或软件模块,包括但不限于:微代码、设备驱动器、冗余处理器、外部磁盘驱动阵列、RAID系统、磁带驱动器以及数据备份存储系统等。
通过以上的实施方式的描述,本领域的技术人员易于理解,这里描述的示例实施方式可以通过软件实现,也可以通过软件结合必要的硬件的方式来实现。因此,根据本公开实施方式的技术方案可以以软件产品的形式体现出来,该软件产品可以存储在一个非易失性存储介质(可以是CD-ROM,U盘,移动硬盘等)中或网络上,包括若干指令以使得一台计算设备(可以是个人计算机、服务器、终端装置、或者网络设备等)执行根据本公开实施方式的方法。
在本公开的示例性实施例中,还提供了一种计算机可读存储介质,其上存储有能够实现本说明书上述方法的程序产品。在一些可能的实施方式中,本发明的各个方面还可以实现为一种程序产品的形式,其包括程序代码,当所述程序产品在终端设备上运行时,所述程序代码用于使所述终端设备执行本说明书上述“示例性方法”部分中描述的根据本发明各种示例性实施方式的步骤。
所述程序产品可以采用一个或多个可读介质的任意组合。可读介质可以是可读信号介质或者可读存储介质。可读存储介质例如可以为但不限于电、磁、光、电磁、红外线、或半导体的系统、装置或器件,或者任意以上的组合。可读存储介质的更具体的例子(非穷举的列表)包括:具有一个或多个导线的电连接、便携式盘、硬盘、随机存取存储器(RAM)、只读存储器(ROM)、可擦式可编程只读存储器(EPROM或闪存)、光纤、便携式紧凑盘只读存储器(CD-ROM)、光存储器件、磁存储器件、或者上述的任意合适的组合。
计算机可读信号介质可以包括在基带中或者作为载波一部分传播的数据信号,其中承载了可读程序代码。这种传播的数据信号可以采用多种形式,包括但不限于电磁信号、光信号或上述的任意合适的组合。可读信号介质还可以是可读存储介质以外的任何可读介质,该可读介质可以发送、传播或者传输用于由指令执行系统、装置或者器件使用或者与其结合使用的程序。
可读介质上包含的程序代码可以用任何适当的介质传输,包括但不限于无线、有线、光缆、RF等等,或者上述的任意合适的组合。
可以以一种或多种程序设计语言的任意组合来编写用于执行本发明操作的程序代码,所述程序设计语言包括面向对象的程序设计语言—诸如Java、C++等,还包括常规的过程式程序设计语言—诸如“C”语言或类似的程序设计语言。程序代码可以完全地在用户计算设备上执行、部分地在用户设备上执行、作为一个独立的软件包执行、部分在用户计算设备上部分在远程计算设备上执行、或者完全在远程计算设备或服务器上执行。在涉及远程计算设备的情形中,远程计算设备可以通过任意种类的网络,包括局域网(LAN)或广域网(WAN),连接到用户计算设备,或者,可以连接到外部计算设备(例如利用因特网服务提供商来通过因特网连接)。
此外,上述附图仅是根据本发明示例性实施例的方法所包括的处理的示意性说明,而不是限制目的。易于理解,上述附图所示的处理并不表明或限制这些处理的时间顺序。另外,也易于理解,这些处理可以是例如在多个模块中同步或异步执行的。
应当注意,尽管在上文详细描述中提及了用于动作执行的设备的若干模块或者单元,但是这种划分并非强制性的。实际上,根据本公开的实施方式,上文描述的两个或更多模块或者单元的特征和功能可以在一个模块或者单元中具体化。反之,上文描述的一个模块或者单元的特征和功能可以进一步划分为由多个模块或者单元来具体化。
以上所述,仅为本发明的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到的变化或替换,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应以权利要求的保护范围为准。
Claims (8)
1.一种文件检测规则确定方法,其特征在于,所述方法包括如下步骤:
根据若干目标检测恶意文件,确定第一初始检测规则;若干所述目标检测恶意文件之间符合预设相似规则;若干所述目标检测恶意文件包括目标恶意文件和若干目标相似样本文件;
根据所述第一初始检测规则,对预设的若干验证样本文件进行恶意检测,以得到所述第一初始检测规则对应的检测准确度;
若所述检测准确度小于预设检测准确度阈值,则获取补充样本文件;
根据所述补充样本文件、若干所述目标检测恶意文件,重新确定第二初始检测规则;若所述第二初始检测规则对应的检测准确度大于等于预设检测准确度阈值,则将所述第二初始检测规则确定为恶意检测规则;
其中,所述根据若干目标检测恶意文件,确定第一初始检测规则,包括:
步骤S110、响应于接收到目标恶意文件,根据所述目标恶意文件,确定若干目标相似样本文件;
步骤S120、获取每一目标数据源对所述目标恶意文件设置的名称字符串和每一目标数据源对每一所述目标相似样本文件设置的名称字符串;
步骤S130、根据每一所述目标恶意文件对应的名称字符串和每一所述目标相似样本文件对应的若干名称字符串,确定所述目标恶意文件与每一所述目标相似样本文件对应的样本匹配度;
步骤S140、根据每一所述目标相似样本文件对应的样本匹配度的递减顺序,对每一所述目标相似样本文件进行排序,得到排序后相似样本文件列表T1,T2,...,Tn,...,Tq;其中,n=1,2,...,q;q为所述目标相似样本文件的数量;Tn为根据样本匹配度排序后的第n个目标相似样本文件;
步骤S150、令n=1;
步骤S160、若n≤q,则根据T1,...,Tn包含的文件特征和所述目标恶意文件包含的文件特征,得到候选检测规则;
步骤S170、根据所述候选检测规则,对Tn+1,...,Tq进行恶意检测,得到对应的q-n个恶意检测结果;
步骤S180、若每一所述恶意检测结果均表征对应的目标相似样本文件为恶意文件,则将所述候选检测规则确定为第一初始检测规则;否则,令n=n+1,并返回步骤S160;
其中,根据所述目标恶意文件,确定若干目标相似样本文件,包括:
根据所述目标恶意文件,从若干历史样本文件中确定出若干目标样本文件;
根据每一所述目标恶意文件对应的名称字符串和每一所述目标样本文件对应的若干名称字符串,确定所述目标恶意文件与每一所述目标样本文件之间的名称匹配度;
根据每一所述名称匹配度,确定所述目标恶意文件与每一所述目标样本文件之间的样本匹配度;
根据每一所述样本匹配度,从若干目标样本文件中确定出与所述目标恶意文件对应的若干目标相似样本文件;
其中,目标恶意文件与每一目标样本文件之间的名称匹配度通过以下步骤确定:
步骤S1121、获取每一目标数据源对目标恶意文件设置的名称字符串,以得到第一名称字符串列表F=(F1,F2,...,Fj,...,Fm);其中,j=1,2,...,m;m为目标数据源的数量;Fj为第j个目标数据源对目标恶意文件设置的名称字符串;
步骤S1122、获取每一目标数据源对每一目标样本文件设置的名称字符串,以得到第二名称字符串列表集G=(G1,G2,...,Ga,...,Gb);Ga=(Ga1,Ga2,...,Gaj,...,Gam);其中,a=1,2,...,b;b为目标样本文件的数量;Ga为第a个目标样本文件对应的名称字符串列表;Gaj为第j个目标数据源对第a个目标样本文件设置的名称字符串;
步骤S1123、根据第一名称字符串列表F和第二名称字符串列表集G,确定名称匹配度列表集E=(E1,E2,...,Ea,...,Eb);Ea=(Ea1,Ea2,...,Eaj,...,Eam);其中,Ea为第a个目标样本文件与目标恶意文件对应的名称匹配度列表;Eaj为Gaj与Fj之间的名称匹配度;
其中,Eaj通过以下步骤确定:
步骤S11231、根据第j个目标数据源对应的预设字符,对Fj进行字符串拆分,得到Fj对应的i个目标候选字符串;
步骤S11232、根据第j个目标数据源对应的预设字符,对Gaj进行字符串拆分,得到Gaj对应的i个样本候选字符串;
步骤S11233、根据预设字符串顺序,对Fj对应的i个目标候选字符串排序,得到目标候选字符串列表Fj1,Fj2,...,Fjz,...,Fji;其中,z=1,2,...,i;Fjz为排序后得到的Fj对应的第z个目标候选字符串;
步骤S11234、根据预设字符串顺序,对Gaj对应的i个样本候选字符串排序,得到样本候选字符串列表Gaj1,Gaj2,...,Gajz,...,Gaji;其中,Gajz为排序后得到的Gaj对应的第z个样本候选字符串;
步骤S11235、若Gajz与Fjz相同,则将1确定为Gajz与Fjz之间的字符串匹配度Jajz;否则,将0确定为Gajz与Fjz之间的字符串匹配度Jajz;
步骤S11236、确定Eaj=∑i z=1Jajz。
2.根据权利要求1所述的方法,其特征在于,所述获取补充样本文件,包括:
从若干所述目标相似样本文件中确定出若干关键样本文件;所述关键样本文件为符合预设名称匹配度规则的目标相似样本文件;
根据每一所述关键样本文件,从若干历史样本文件中确定对应的若干关键相似样本文件,得到每一所述关键样本文件对应的关键相似样本文件集;
将若干所述关键相似样本文件集进行交集处理后得到的若干关键相似样本文件确定为补充样本文件。
3.根据权利要求1所述的方法,其特征在于,所述根据所述第一初始检测规则,对预设的若干验证样本文件进行恶意检测,以得到所述第一初始检测规则对应的检测准确度,包括:
获取每一所述验证样本文件包含的文件特征,得到验证文件特征列表集W=(W1,W2,...,Wp,...,Wr);Wp=(Wp1,Wp2,...,Wpv,...,Wpx(p));其中,p=1,2,...,r;r为所述验证样本文件的数量;Wp为第p个验证样本文件对应的文件特征列表;v=1,2,...,x(p);x(p)为第p个验证样本文件中包含的文件特征的数量;Wpv为第p个验证样本文件中包含的第v个文件特征;
根据所述第一初始检测规则,对Wp1,Wp2,...,Wpv,...,Wpx(p)依次进行检测,得到Wp对应的验证结果;
获取每一所述验证样本文件的检测结果,得到检测结果集Z=(Z1,Z2,...,Zp,...,Zr);其中,Zp为第p个验证样本文件的检测结果;
遍历所述检测结果集Z,若Wp对应的验证结果与Zp相同,则将第p个验证样本文件确定为目标验证样本文件,得到y个目标验证样本文件;
将y/r确定为所述第一初始检测规则对应的检测准确度。
4.根据权利要求1所述的方法,其特征在于,所述补充样本文件通过以下步骤确定:
步骤S301、获取所述第一初始检测规则的确定时间t;
步骤S302、依次获取在t至当前时间接收到的待检测文件,得到待检测文件集Y=(Y1,Y2,...,Yk,...,Yu);其中,k=1,2,...,u;u为在t至当前时间接收到的待检测文件的数量;Yk为在t至当前时间接收到的第k个待检测文件;
步骤S303、令k=1;
步骤S304、若k≤u,则根据所述第一初始检测规则,对Yk包含的文件特征进行相似检测,得到对应的相似检测结果;
步骤S305、若所述相似检测结果表征Yk为相似文件,则将Yk确定为补充样本文件;否则,令k=k+1,并返回步骤S304。
5.根据权利要求1所述的方法,其特征在于,所述从若干历史样本文件中确定出若干目标样本文件,包括:
根据每一目标数据源对应的预设字符,对所述目标恶意文件对应的名称字符串进行字符串拆分,得到每一目标数据源对应的目标候选字符串数量;
根据每一目标数据源对应的预设字符,对每一历史样本文件对应的名称字符串进行字符串拆分,得到每一历史样本文件对应的历史样本字符串数量;
若所述历史样本字符串数量大于等于若干目标候选字符串数量的最小值,且小于等于若干目标候选字符串数量的最大值,则将该所述历史样本字符串数量对应的历史样本文件确定为目标样本文件。
6.一种文件检测规则确定装置,其特征在于,包括:
第一初始检测规则确定模块,用于根据若干目标检测恶意文件,确定第一初始检测规则;若干目标检测恶意文件之间符合预设相似规则;
检测准确度确定模块,用于根据第一初始检测规则,对预设的若干验证样本文件进行恶意检测,得到第一初始检测规则对应的检测准确度;
补充样本文件获取模块,用于当检测准确度小于预设检测准确度阈值时,获取补充样本文件;
恶意检测规则确定模块,用于根据补充样本文件、若干目标检测恶意文件,重新确定第二初始检测规则;若第二初始检测规则对应的检测准确度大于等于预设检测准确度阈值,则将第二初始检测规则确定为恶意检测规则;
其中,根据若干目标检测恶意文件,确定第一初始检测规则,包括:
步骤S110、响应于接收到目标恶意文件,根据目标恶意文件,确定若干目标相似样本文件;
步骤S120、获取每一目标数据源对目标恶意文件设置的名称字符串和每一目标数据源对每一目标相似样本文件设置的名称字符串;
步骤S130、根据每一目标恶意文件对应的名称字符串和每一目标相似样本文件对应的若干名称字符串,确定目标恶意文件与每一目标相似样本文件对应的样本匹配度;
步骤S140、根据每一目标相似样本文件对应的样本匹配度的递减顺序,对每一目标相似样本文件进行排序,得到排序后相似样本文件列表T1,T2,...,Tn,...,Tq;其中,n=1,2,...,q;q为目标相似样本文件的数量;Tn为根据样本匹配度排序后的第n个目标相似样本文件;
步骤S150、令n=1;
步骤S160、若n≤q,则根据T1,...,Tn包含的文件特征和目标恶意文件包含的文件特征,得到候选检测规则;
步骤S170、根据候选检测规则,对Tn+1,...,Tq进行恶意检测,得到对应的q-n个恶意检测结果;
步骤S180、若每一恶意检测结果均表征对应的目标相似样本文件为恶意文件,则将候选检测规则确定为第一初始检测规则;否则,令n=n+1,并返回步骤S160;
其中,根据目标恶意文件,确定若干目标相似样本文件,包括:
根据目标恶意文件,从若干历史样本文件中确定出若干目标样本文件;
根据每一目标恶意文件对应的名称字符串和每一目标样本文件对应的若干名称字符串,确定目标恶意文件与每一目标样本文件之间的名称匹配度;
根据每一名称匹配度,确定目标恶意文件与每一目标样本文件之间的样本匹配度;
根据每一样本匹配度,从若干目标样本文件中确定出与目标恶意文件对应的若干目标相似样本文件;
其中,目标恶意文件与每一目标样本文件之间的名称匹配度通过以下步骤确定:
步骤S1121、获取每一目标数据源对目标恶意文件设置的名称字符串,以得到第一名称字符串列表F=(F1,F2,...,Fj,...,Fm);其中,j=1,2,...,m;m为目标数据源的数量;Fj为第j个目标数据源对目标恶意文件设置的名称字符串;
步骤S1122、获取每一目标数据源对每一目标样本文件设置的名称字符串,以得到第二名称字符串列表集G=(G1,G2,...,Ga,...,Gb);Ga=(Ga1,Ga2,...,Gaj,...,Gam);其中,a=1,2,...,b;b为目标样本文件的数量;Ga为第a个目标样本文件对应的名称字符串列表;Gaj为第j个目标数据源对第a个目标样本文件设置的名称字符串;
步骤S1123、根据第一名称字符串列表F和第二名称字符串列表集G,确定名称匹配度列表集E=(E1,E2,...,Ea,...,Eb);Ea=(Ea1,Ea2,...,Eaj,...,Eam);其中,Ea为第a个目标样本文件与目标恶意文件对应的名称匹配度列表;Eaj为Gaj与Fj之间的名称匹配度;
其中,Eaj通过以下步骤确定:
步骤S11231、根据第j个目标数据源对应的预设字符,对Fj进行字符串拆分,得到Fj对应的i个目标候选字符串;
步骤S11232、根据第j个目标数据源对应的预设字符,对Gaj进行字符串拆分,得到Gaj对应的i个样本候选字符串;
步骤S11233、根据预设字符串顺序,对Fj对应的i个目标候选字符串排序,得到目标候选字符串列表Fj1,Fj2,...,Fjz,...,Fji;其中,z=1,2,...,i;Fjz为排序后得到的Fj对应的第z个目标候选字符串;
步骤S11234、根据预设字符串顺序,对Gaj对应的i个样本候选字符串排序,得到样本候选字符串列表Gaj1,Gaj2,...,Gajz,...,Gaji;其中,Gajz为排序后得到的Gaj对应的第z个样本候选字符串;
步骤S11235、若Gajz与Fjz相同,则将1确定为Gajz与Fjz之间的字符串匹配度Jajz;否则,将0确定为Gajz与Fjz之间的字符串匹配度Jajz;
步骤S11236、确定Eaj=∑i z=1Jajz。
7.一种非瞬时性计算机可读存储介质,所述存储介质中存储有至少一条指令或至少一段程序,其特征在于,所述至少一条指令或所述至少一段程序由处理器加载并执行以实现如权利要求1-5中任意一项所述的方法。
8.一种电子设备,其特征在于,包括处理器和权利要求7中所述的非瞬时性计算机可读存储介质。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202311254333.2A CN116992450B (zh) | 2023-09-27 | 2023-09-27 | 一种文件检测规则确定方法及装置、电子设备及存储介质 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202311254333.2A CN116992450B (zh) | 2023-09-27 | 2023-09-27 | 一种文件检测规则确定方法及装置、电子设备及存储介质 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN116992450A CN116992450A (zh) | 2023-11-03 |
CN116992450B true CN116992450B (zh) | 2024-01-23 |
Family
ID=88534224
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202311254333.2A Active CN116992450B (zh) | 2023-09-27 | 2023-09-27 | 一种文件检测规则确定方法及装置、电子设备及存储介质 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN116992450B (zh) |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US10148673B1 (en) * | 2015-09-30 | 2018-12-04 | EMC IP Holding Company LLC | Automatic selection of malicious activity detection rules using crowd-sourcing techniques |
CN110827036A (zh) * | 2019-11-07 | 2020-02-21 | 深圳乐信软件技术有限公司 | 一种欺诈交易的检测方法、装置、设备及存储介质 |
CN114257386A (zh) * | 2020-09-10 | 2022-03-29 | 华为技术有限公司 | 检测模型的训练方法、系统、设备及存储介质 |
CN116614306A (zh) * | 2023-06-26 | 2023-08-18 | 北京天融信网络安全技术有限公司 | 一种攻击检测规则生成方法、装置、电子设备及存储介质 |
-
2023
- 2023-09-27 CN CN202311254333.2A patent/CN116992450B/zh active Active
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US10148673B1 (en) * | 2015-09-30 | 2018-12-04 | EMC IP Holding Company LLC | Automatic selection of malicious activity detection rules using crowd-sourcing techniques |
CN110827036A (zh) * | 2019-11-07 | 2020-02-21 | 深圳乐信软件技术有限公司 | 一种欺诈交易的检测方法、装置、设备及存储介质 |
CN114257386A (zh) * | 2020-09-10 | 2022-03-29 | 华为技术有限公司 | 检测模型的训练方法、系统、设备及存储介质 |
CN116614306A (zh) * | 2023-06-26 | 2023-08-18 | 北京天融信网络安全技术有限公司 | 一种攻击检测规则生成方法、装置、电子设备及存储介质 |
Also Published As
Publication number | Publication date |
---|---|
CN116992450A (zh) | 2023-11-03 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN115221516B (zh) | 恶意应用程序识别方法及装置、存储介质、电子设备 | |
CN111933214B (zh) | 用于检测rna水平体细胞基因变异的方法、计算设备 | |
CN115098292B (zh) | 应用程序崩溃根原因识别方法、装置及电子设备 | |
CN116992450B (zh) | 一种文件检测规则确定方法及装置、电子设备及存储介质 | |
CN113886821A (zh) | 基于孪生网络的恶意进程识别方法、装置、电子设备及存储介质 | |
CN113408280A (zh) | 负例构造方法、装置、设备和存储介质 | |
CN110704614B (zh) | 对应用中的用户群类型进行预测的信息处理方法及装置 | |
CN115858776B (zh) | 一种变体文本分类识别方法、系统、存储介质和电子设备 | |
CN116015861A (zh) | 一种数据检测方法、装置、电子设备及存储介质 | |
CN112149828A (zh) | 基于深度学习框架的算子精度检测方法和装置 | |
CN115037790B (zh) | 异常注册识别方法、装置、设备及存储介质 | |
CN116992448B (zh) | 基于数据源重要程度的样本确定方法及装置、设备及介质 | |
CN116992449B (zh) | 一种相似样本文件确定方法及装置、电子设备及存储介质 | |
CN113316786B (zh) | 用于识别漏洞利用工具包的方法 | |
CN116910756B (zh) | 一种恶意pe文件的检测方法 | |
CN117009961B (zh) | 一种行为检测规则的确定方法及装置、设备及介质 | |
CN117034275B (zh) | 基于Yara引擎的恶意文件检测方法、设备及介质 | |
CN112307183A (zh) | 搜索数据识别方法、装置、电子设备以及计算机存储介质 | |
CN116405551B (zh) | 基于社交平台的数据推送方法、系统及云平台 | |
CN114420204B (zh) | 用于预测待测基因的拷贝数的方法、计算设备和存储介质 | |
CN116760644B (zh) | 一种终端异常判定方法、系统、存储介质及电子设备 | |
CN104123320A (zh) | 一种获取与输入问题相对应的相关问题的方法与设备 | |
CN111881679B (zh) | 文本的标准化处理方法、装置、电子设备及计算机介质 | |
CN110797087B (zh) | 测序序列处理方法及装置、存储介质、电子设备 | |
CN109524026B (zh) | 提示音的确定方法及装置、存储介质、电子装置 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |