CN117633788A - 文件检测方法、装置、设备及存储介质 - Google Patents
文件检测方法、装置、设备及存储介质 Download PDFInfo
- Publication number
- CN117633788A CN117633788A CN202210960264.6A CN202210960264A CN117633788A CN 117633788 A CN117633788 A CN 117633788A CN 202210960264 A CN202210960264 A CN 202210960264A CN 117633788 A CN117633788 A CN 117633788A
- Authority
- CN
- China
- Prior art keywords
- file
- virus
- target
- detection
- identifiers
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000001514 detection method Methods 0.000 title claims abstract description 215
- 241000700605 Viruses Species 0.000 claims abstract description 310
- 238000000034 method Methods 0.000 claims abstract description 47
- 238000012545 processing Methods 0.000 claims description 33
- 230000003612 virological effect Effects 0.000 claims description 15
- 238000004891 communication Methods 0.000 description 10
- 238000013461 design Methods 0.000 description 10
- 230000006870 function Effects 0.000 description 10
- 238000010586 diagram Methods 0.000 description 6
- 230000002159 abnormal effect Effects 0.000 description 5
- 238000004590 computer program Methods 0.000 description 3
- 238000005516 engineering process Methods 0.000 description 2
- 238000004519 manufacturing process Methods 0.000 description 2
- 230000003287 optical effect Effects 0.000 description 2
- 230000002093 peripheral effect Effects 0.000 description 2
- 230000003068 static effect Effects 0.000 description 2
- 238000011161 development Methods 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 238000000802 evaporation-induced self-assembly Methods 0.000 description 1
- 239000013307 optical fiber Substances 0.000 description 1
- 239000004065 semiconductor Substances 0.000 description 1
- 230000035945 sensitivity Effects 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
Landscapes
- Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
Abstract
本申请公开了一种文件检测方法、装置、设备及存储介质,涉及网络安全技术领域,用于提高检测电子设备中的文件是否为病毒文件的准确度,该方法包括:基于多个病毒库对目标文件进行病毒检测,得到多个检测结果,一个病毒库对应一个检测结果,一个检测结果用于指示目标文件为病毒文件或者目标文件为非病毒文件,每个病毒库中包括至少一个病毒文件;确定多个检测结果中,指示目标文件为病毒文件的检测结果的目标数量,并确定目标数量与多个检测结果的总数量之间的目标比值;在确定目标比值大于预设阈值的情况下,确定目标文件为病毒文件。本申请应用于对电子设备中的文件进行病毒检测的场景中。
Description
技术领域
本申请涉及网络安全技术领域,尤其涉及一种文件检测方法、装置、设备及存储介质。
背景技术
随着信息技术的不断发展,电子设备已经应用到了日常生活中的各方面,例如:办公系统、自动化生产系统、娱乐系统等。而电子设备中的病毒文件作为一种能够对电子设备造成严重危害的恶意文件,会导致电子设备中的应用程序无法正常运行,甚至会导致电子设备中的应用程序或者电子设备内存储的文件异常(损坏或丢失),从而影响电子设备的正常使用,甚至会影响企业的正常生产经营。通常,通过本地安装的病毒查杀软件来实现对电子设备中的文件的病毒检测,或者通过病毒查杀软件的网页来实现对电子设备中的文件的病毒检测。
通过上述方法,在通过本地安装的病毒查杀软件进行文件的检测时,病毒查杀软件对应的病毒库并不是实时更新的,无法准确、快速的检测电子设备中的文件是否存在病毒文件;并且在通过病毒查杀软件的网页进行文件的检测时,会受到文件数据量大小的限制,无法满足正常的使用需求。从而在检测电子设备中的文件是否存在病毒文件时,对文件的检测效率较差、准确度较低。
发明内容
本申请提供一种文件检测方法、装置、设备及存储介质,用于提高检测电子设备中的文件是否为病毒文件的准确度。
为达到上述目的,本申请采用如下技术方案:
第一方面,提供了一种文件检测方法,该方法包括:基于多个病毒库对目标文件进行病毒检测,得到多个检测结果,一个病毒库对应一个检测结果,一个检测结果用于指示目标文件为病毒文件或者目标文件为非病毒文件,每个病毒库中包括至少一个病毒文件;确定多个检测结果中,指示目标文件为病毒文件的检测结果的目标数量,并确定目标数量与多个检测结果的总数量之间的目标比值;在确定目标比值大于预设阈值的情况下,确定目标文件为病毒文件。
作为一种可能的实现方式,区块链中包括目标列表,目标列表中包括多个第一标识和第一指示信息,多个第一标识对应指示多个文件,第一指示信息用于指示多个第一标识对应的多个文件为病毒文件;基于多个病毒库对目标文件进行病毒检测,得到多个检测结果之前,方法还包括:生成目标文件对应的标识,并确定目标列表中是否包括目标文件对应的标识;基于多个病毒库对目标文件进行病毒检测,得到多个检测结果,包括:在确定目标列表中不包括目标文件对应的标识时,基于多个病毒库对目标文件进行病毒检测,得到多个检测结果。
作为一种可能的实现方式,方法还包括:在确定目标文件为病毒文件之后,将目标文件对应的标识添加至多个第一标识中。
作为一种可能的实现方式,目标列表中还包括多个第二标识和第二指示信息,多个第二标识对应指示多个文件,第二指示信息用于指示多个第二标识对应的多个文件为非病毒文件;方法还包括:在确定目标文件为非病毒文件之后,将目标文件对应的标识添加至多个第二标识中。
作为一种可能的实现方式,基于多个病毒库对目标文件进行病毒检测,得到多个检测结果之前,方法还包括:获取目标文件的特征信息,特征信息包括以下至少一项:文件大小、文件类型、访问权限;基于多个病毒库对目标文件进行病毒检测,得到多个检测结果,包括:分别将每个病毒库中包括的每个病毒文件的特征信息与目标文件的特征信息作对比,得到多个对比结果,并根据多个对比结果确定多个检测结果。
第二方面,提供了一种文件检测装置,该文件检测装置包括:检测单元和处理单元,检测单元,用于基于多个病毒库对目标文件进行病毒检测,得到多个检测结果,一个检测结果用于指示目标文件为病毒文件或者目标文件为非病毒文件,每个病毒库中包括至少一个病毒文件;处理单元,用于确定多个检测结果中,指示目标文件为病毒文件的检测结果的目标数量,并确定目标数量与多个检测结果的总数量之间的目标比值;处理单元,用于在确定目标比值大于预设阈值的情况下,确定目标文件为病毒文件。
作为一种可能的实现方式,区块链中包括目标列表,目标列表中包括多个第一标识和第一指示信息,多个第一标识对应指示多个文件,第一指示信息用于指示多个第一标识对应的多个文件为病毒文件;文件检测装置还包括:生成单元;生成单元,用于生成目标文件对应的标识;处理单元,用于确定目标列表中是否包括目标文件对应的标识;检测单元,用于在确定目标列表中不包括目标文件对应的标识时,基于多个病毒库对目标文件进行病毒检测,得到多个检测结果。
作为一种可能的实现方式,处理单元,用于在确定目标文件为病毒文件之后,将目标文件对应的标识添加至多个第一标识中。
作为一种可能的实现方式,目标列表中还包括多个第二标识和第二指示信息,多个第二标识对应指示多个文件,第二指示信息用于指示多个第二标识对应的多个文件为非病毒文件;处理单元,用于在确定目标文件为非病毒文件之后,将目标文件对应的标识添加至多个第二标识中。
作为一种可能的实现方式,文件检测装置还包括:获取单元;获取单元,用于获取目标文件的特征信息,特征信息包括以下至少一项:文件大小、文件类型、访问权限;检测单元,用于分别将每个病毒库中包括的每个病毒文件的特征信息与目标文件的特征信息作对比,得到多个对比结果,并根据多个对比结果确定多个检测结果。
第三方面,提供了一种电子设备,包括:处理器以及存储器;其中,存储器用于存储一个或多个程序,一个或多个程序包括计算机执行指令,当电子设备运行时,处理器执行存储器存储的计算机执行指令,以使电子设备执行如第一方面的文件检测方法。
第四方面,提供了一种存储一个或多个程序的计算机可读存储介质,一个或多个程序包括指令,上述指令当被计算机执行时使计算机执行如第一方面的文件检测方法。
本申请提供了一种文件检测方法、装置、设备及存储介质,用于提高检测电子设备中的文件是否存在病毒文件的准确度。在需要检测电子设备中的文件是否存在病毒文件时,可以基于已有的多个病毒库分别对目标文件进行病毒检测,得到每个病毒库对应的目标文件是否为病毒文件的检测结果;进一步的,确定通过多个病毒库得到的多个检测结果中,指示目标文件为病毒文件的检测结果所占的目标比值,并在目标比值大于预先设置的阈值的情况下,确定目标文件为病毒文件。通过上述方法,可以在检测电子设备中的文件是否存在病毒文件时,通过多个病毒库对目标文件进行病毒检测,以根据多个病毒库得到的多个检测结果进一步的确定目标文件是否为病毒文件,从而可以提高检测电子设备中的文件是否为病毒文件的准确度。
附图说明
图1为本申请的实施例提供的一种文件检测系统结构示意图;
图2为本申请的实施例提供的一种文件检测方法流程示意图一;
图3为本申请的实施例提供的一种文件检测方法流程示意图二;
图4为本申请的实施例提供的一种文件检测方法流程示意图三;
图5为本申请的实施例提供的一种文件检测方法流程示意图四;
图6为本申请的实施例提供的一种文件检测方法流程示意图五;
图7为本申请的实施例提供的一种文件检测方法流程示意图六;
图8为本申请的实施例提供的一种文件检测装置结构示意图;
图9为本申请的实施例提供的一种电子设备结构示意图。
具体实施方式
下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行描述。
在本申请的描述中,除非另有说明,“/”表示“或”的意思,例如,A/B可以表示A或B。本文中的“和/或”仅仅是一种描述关联对象的关联关系,表示可以存在三种关系,例如,A和/或B,可以表示:单独存在A,同时存在A和B,单独存在B这三种情况。此外,“至少一个”“多个”是指两个或两个以上。“第一”、“第二”等字样并不对数量和执行次序进行限定,并且“第一”、“第二”等字样也并不限定一定不同。
本申请实施例提供的一种文件检测方法,可以适用于文件检测系统。图1示出了该文件检测系统的一种结构示意图。如图1所示,文件检测系统10包括:文件处理平台11和文件检测平台12,文件检测平台12可以包括多个病毒库121。
文件处理平台11和文件检测平台12之间相互连接。文件处理平台11和文件检测平台12之间可以采用有线方式连接,也可以采用无线方式连接,本申请实施例对此不作限定。
文件处理平台11可以用于物联网,与文件检测平台12连接,用于生成目标文件对应的标识,以及获取目标文件的特征信息。
文件检测平台12可以用于物联网,与文件处理平台11连接,文件检测平台12可以包括多个病毒库121,多个病毒库121之间可以通过区块链连接,文件检测平台12用于对目标文件对应的标识进行识别,并在确定目标列表中含有目标文件对应的标识时,根据目标列表内标识对应的指示信息,输出检测结果,该目标列表可以存储在区块链中。
文件检测平台12还用于,当确定目标列表中不包括目标文件对应的标识时,通过多个病毒库121对目标文件的特征信息进行病毒检测,或者通过多个病毒库121对目标文件进行病毒检测,并通过多个病毒库121对应的多个检测结果以及区块链中预先设置的预设阈值,确定目标文件是否为病毒文件。
需要说明的是,目标文件的特征信息或者目标文件可以通过区块链传输至病毒库121。
需要说明的,文件处理平台11和文件检测平台12可以为相互独立的设备,也可以集成于同一设备中,本申请对此不作具体限定。
当文件处理平台11和文件检测平台12集成于同一设备时,文件处理平台11和文件检测平台12的通信方式为该设备内部模块之间的通信。这种情况下,二者之间的通信流程与“文件处理平台11和文件检测平台12之间相互独立的情况下,二者之间的通信流程”相同。
在本申请提供的以下实施例中,本申请以文件处理平台11和文件检测平台12相互独立设置为例进行说明。
下面结合附图对本申请实施例提供的一种文件检测方法进行描述。
如图2所示,本申请实施例提供的一种文件检测方法,包括S201-S203:
S201、基于多个病毒库对目标文件进行病毒检测,得到多个检测结果。
其中,一个病毒库对应一个检测结果,一个检测结果用于指示目标文件为病毒文件或者目标文件为非病毒文件,每个病毒库中包括至少一个病毒文件。
可选的,多个病毒库可以为多个记录有至少一个病毒特征码的病毒文件的数据库,多个检测结果用于确定目标文件是否为病毒文件。
可选的,目标文件可以为电子设备中的待检测文件,电子设备包括但不限于手机、平板电脑、笔记本电脑、台式电脑等。
具体的,可以通过将目标文件的代码与病毒库中的记录有病毒特征码的病毒文件进行对比,当发现有相同的代码时,确定目标文件为病毒文件。
可以理解,一个病毒库对目标文件进行病毒检测,得到一个检测结果,该检测结果可以指示目标文件为病毒文件,也可以指示目标文件为非病毒文件,多个病毒库对目标文件进行病毒检测,可以得到多个目标文件是否为病毒文件的检测结果。
示例性的,假设多个病毒库中包括有a个病毒库,则得到的检测结果中包括有a个指示目标文件是否为病毒文件的检测结果,a为正整数。
可以理解,由于多个病毒库中检测病毒的种类不同,多个病毒库对应的多个检测结果也并不一致,因此需要结合多个检测结果进一步的判断目标文件是否为病毒文件。
可选的,多个病毒库可以通过区块链连接,目标文件通过区块链传输到各个病毒库中,并在得到检测结果后将目标文件从多个病毒库中删除。
S202、确定多个检测结果中,指示目标文件为病毒文件的检测结果的目标数量,并确定目标数量与多个检测结果的总数量之间的目标比值。
可选的,可以通过区块链汇总多个病毒库对应的多个检测结果,得到指示目标文件为病毒文件的检测结果的目标数量,并确定目标数量与多个检测结果的总数量之间的目标比值。
S203、在确定目标比值大于预设阈值的情况下,确定目标文件为病毒文件。
可选的,预设阈值可以为在区块链中预先设置的数值。
可选的,通过区块链比较目标比值与预设阈值的大小,当目标比值大于预设阈值时,确定目标文件为病毒文件;当目标比值小于或等于预设阈值时,确定目标文件为非病毒文件。
示例性的,在预设阈值为80%的情况下,当a个检测结果中存在至少b个检测结果指示目标文件为病毒文件,且b/a大于80%时,确定目标文件为病毒文件,其中b为小于或等于a的正整数。
可选的,可以根据病毒检测的实际使用需要,主动调整预设阈值的大小,例如,当需要病毒检测具有较高的准确性时,可以设置较大的预设阈值,即预设阈值随着对病毒检测的准确性要求的增高而增大;当需要病毒检测具有较高的敏感度时,可以设置较小的预设阈值。
本申请实施例提供了一种文件检测方法,用于提高检测电子设备中的文件是否为病毒文件的准确度。在需要检测电子设备中的文件是否存在病毒文件时,可以基于已有的多个病毒库分别对目标文件进行病毒检测,得到每个病毒库对应的目标文件是否为病毒文件的检测结果;进一步的,确定通过多个病毒库得到的多个检测结果中,指示目标文件为病毒文件的检测结果所占的目标比值,并在目标比值大于预先设置的阈值的情况下,确定目标文件为病毒文件。通过上述方法,可以在检测电子设备中的文件是否存在病毒文件时,通过多个病毒库对目标文件进行病毒检测,以根据多个病毒库得到的多个检测结果进一步的确定目标文件是否为病毒文件,从而可以提高检测电子设备中的文件是否为病毒文件的准确度。
在一种设计中,区块链中包括目标列表,目标列表中包括多个第一标识和第一指示信息,多个第一标识对应指示多个文件,第一指示信息用于指示多个第一标识对应的多个文件为病毒文件;如图3所示,本申请实施例提供的一种文件检测方法中,上述步骤S201之前,方法还包括S301;并且,上述步骤S201,具体可以包括下述S2011:
S301、生成目标文件对应的标识,并确定目标列表中是否包括目标文件对应的标识。
具体的,一个目标文件对应一个标识,目标文件对应的标识为能够唯一指示目标文件的一个身份标识号,例如,目标文件的校验码(例如64位的校验码)、目标文件的通用唯一标识符(Universally Unique Identifier,UUID)、对目标文件的编号等。
可选的,可以通过将目标文件对应的标识与目标列表中的多个第一标识依次进行比对,从而确定目标列表中是否包括目标文件对应的标识。
可选的,第一标识为已知的病毒文件对应的标识,可以是进行病毒检测之后确定为病毒文件的文件对应的标识,也可以是通过其他方法确定为病毒文件的文件对应的标识(例如在相关技术中已经公开过的病毒文件对应的标识)。
S2011、在确定目标列表中不包括目标文件对应的标识时,基于多个病毒库对目标文件进行病毒检测,得到多个检测结果。
可选的,可以通过将目标文件对应的标识与目标列表中的多个第一标识依次进行比对,当确定目标文件对应的标识与目标列表中的任一第一标识均不相同时,确定目标列表中不包括目标文件对应的标识。
可以理解,在确定目标列表中不包括目标文件对应的标识时,目标文件不是已知的病毒文件,需要进一步的基于多个病毒库对目标文件进行病毒检测,从而确定目标文件是否为病毒文件。
可选的,可以在确定目标列表中包括目标文件对应的标识时,确定目标文件为病毒文件。
具体的,可以通过将目标文件对应的标识与目标列表中的多个第一标识依次进行比对,当确定目标文件对应的标识与目标列表中的任一第一标识相同时,确定目标列表中包括目标文件对应的标识。
可以理解,由于标识的唯一指定性,当目标文件对应的标识为目标列表中的第一标识(即病毒文件对应的标识)时,可以确定目标文件为病毒文件。
本申请实施例提供的一种文件检测方法,在通过已有的多个病毒库对目标文件进行检测之前,可以预先确定含有多个指示病毒文件的第一标识的目标列表中,是否包括目标文件对应的标识,并在确定目标列表中不包括目标文件对应的标识的情况下,再进一步的通过已有的多个病毒库对目标文件进行病毒检测,从而避免对已知的病毒文件的重复检测,以提高病毒检测的效率。
在一种设计中,如图4所示,本申请实施例提供的一种文件检测方法,还可以包括步骤S401:
S401、在确定目标文件为病毒文件之后,将目标文件对应的标识添加至多个第一标识中。
可选的,可以在确定目标列表中不包括目标文件对应的标识时,通过多个病毒库对目标文件进行检测,并在确定目标文件为病毒文件的情况下,将目标文件对应的标识添加至目标列表中,并将目标文件对应的标识确定为多个第一标识中的标识。
可选的,目标列表内含有第一集合,第一集合为多个第一标识组成的集合,第一指示信息用于指示第一集合中的标识对应的文件为病毒文件。
可以理解,在目标列表中不包括目标文件对应的标识,且通过多个病毒库对目标进行病毒检测的得到的病毒检测结果指示目标文件为病毒文件的情况下,表明该目标文件为通过病毒检测新检测出的病毒文件,可以将目标文件对应的标识添加至目标列表的第一集合中。
具体的,当确定目标列表中的第一集合中不包括目标文件对应的标识,并通过多个病毒库对目标文件进行病毒检测确定目标文件为病毒文件的情况下,将目标文件对应的标识添加到目标列表的第一集合中。
本申请实施例提供的一种文件检测方法,当确定目标列表中的多个即病毒文件对应的第一标识中包括目标文件对应的标识时,确定目标文件为病毒文件,可以不再通过多个病毒库进行病毒检测,从而提高病毒检测效率;或者,在目标列表中的多个第一标识(即第一集合)中不包括目标文件对应的标识且通过多个病毒库确定目标文件为病毒文件的情况下,将目标文件的目标文件对应的标识添加至目标列表中,并确定目标文件对应的标识为第一标识,从而实现对目标列表中的病毒文件对应的标识(即目标列表中第一集合内的标识)的实时更新,进一步的,在后续对相同的目标文件进行病毒检测时,能够直接确定目标文件为病毒文件,可以不再通过多个病毒库进行病毒检测,以提高对目标文件进行病毒检测的效率。
在一种设计中,目标列表中还包括多个第二标识和第二指示信息,多个第二标识对应指示多个文件,第二指示信息用于指示多个第二标识对应的多个文件为非病毒文件;如图5所示,本申请实施例提供的一种文件检测方法中,还包括步骤S501:
S501、在确定目标文件为非病毒文件之后,将目标文件对应的标识添加至多个第二标识中。
可选的,需要预先判断在目标列表中是否包括目标文件对应的标识,当确定目标列表中包括目标文件对应的标识、且目标文件对应的标识为多个第二标识中的标识时,可以直接确定目标文件为非病毒文件。
具体的,可以通过将目标文件对应的标识与目标列表中的多个第二标识依次进行比对,当确定目标文件对应的标识与目标列表中的任一第二标识相同时,确定目标列表中包括目标文件对应的标识,且目标文件对应的标识为多个第二标识中的标识。
可以理解,由于标识的唯一指定性,当目标文件对应的标识为目标列表中的第二标识(即非病毒文件对应的标识)时,可以确定目标文件为非病毒文件。
可选的,第二标识为已知的非病毒文件对应的标识,可以是进行病毒检测之后确定为非病毒文件的文件对应的标识,也可以是通过其他方法得到的非病毒文件对应的标识(例如在相关技术中已经公开过的非病毒文件对应的标识)。
可选的,可以在确定目标列表中不包括目标文件对应的标识时,通过多个病毒库对目标文件进行病毒检测,并在确定目标文件为非病毒文件的情况下,将目标文件对应的标识添加至目标列表中,并将目标文件对应的标识确定为多个第二标识中的标识。
可选的,目标列表内含有第二集合,第二集合为多个第二标识组成的集合,第二指示信息用于指示第二集合中的标识对应的文件为非病毒文件。
具体的,当确定目标列表中的第二集合中不包括目标文件对应的标识且目标文件为非病毒文件时,将目标文件对应的标识添加到目标列表的第二集合中。
本申请实施例提供的一种文件检测方法,当确定目标列表中的多个非病毒文件对应的第二标识中包括目标文件对应的标识时,确定目标文件为非病毒文件,可以不再通过多个病毒库进行病毒检测,从而提高病毒检测效率;或者,在目标列表中的多个第二标识(即第二集合)中不包括目标文件对应的标识且通过多个病毒库确定目标文件为非病毒文件的情况下,将目标文件对应的标识添加至目标列表中,并确定目标文件对应的标识为第二标识,从而实现对目标列表中的非病毒文件对应的标识(即目标列表中第二集合内的标识)的实时更新,进一步的,在后续对相同的目标文件进行病毒检测时,能够直接确定目标文件为非病毒文件,可以不再通过多个病毒库进行病毒检测,以提高对目标文件进行病毒检测的效率。
在一种设计中,如图6所示,本申请实施例提供的一种文件检测方法中,上述步骤S201之前,方法还包括S601;并且,上述步骤S201,具体可以包括下述S602:
S601、获取目标文件的特征信息。
其中,特征信息包括以下至少一项:文件大小、文件类型、访问权限。
可选的,目标文件可以对应一个属性信息,目标文件的特征信息可以从目标文件的属性信息中获取到。
可选的,还可以通过对目标文件进行解析处理,得到目标文件的特征信息。
可选的,目标文件的文件类型可以是文本文件、压缩包文件、视频文件、音频文件、目录文件、应用程序等文件;目标文件的访问权限指对文件的操作权限,例如是否可以读取目标文件内容、是否可以修改目标文件以及是否可以执行目标文件等。
S602、分别将每个病毒库中包括的每个病毒文件的特征信息与目标文件的特征信息作对比,得到多个对比结果,并根据多个对比结果确定多个检测结果。
可选的,可以通过将病毒库中每个病毒文件的特征信息与目标文件的特征信息进行对比,得到目标文件与每个病毒文件对应的相似度(即多个对比结果),进一步的判断每个病毒文件与目标文件对应的相似度与预设相似度之间的大小关系,当确定病毒文件与目标文件对应的相似度大于预设相似度时,可以确定目标文件为病毒文件。
可选的,目标文件与任一病毒文件对应的相似度,可以通过目标文件对应的文件代码与病毒文件对应的文件代码之间的相似度确定,并进一步的结合目标文件的文件大小与病毒文件的文件大小之间的大小关系、目标文件的文件类型与病毒文件的文件类型是否相同、目标文件的访问权限与病毒文件的访问权限是否相同来确定。
示例性的,当确定目标文件对应的文件代码与病毒文件对应的文件代码之间的相似度大于预设相似度,且目标文件的文件大小与病毒文件的文件大小之间的差值小于预设差值、目标文件的文件类型与病毒文件的文件类型相同、目标文件的访问权限与病毒文件的访问权限相同,则确定目标文件与病毒文件对应的相似度大于预设相似度,目标文件为病毒文件。
可选的,目标文件的特征信息可以通过区块链传输到各个病毒库中,并在得到检测结果后将目标文件的特征信息从多个病毒库中删除。
可选的,病毒库可以根据目标文件的特征信息判断目标文件是否异常,从而确定目标文件是否为病毒文件。
示例性的,根据目标文件的特征信息判断目标文件是否异常可以理解为:目标文件的特征信息与正常文件的特征信息进行对比,从而判断目标文件是否异常。例如,当目标文件为文本文件时,若该目标文件具有较大的数据量(如文件大小在1GB以上)且无法进行读取和修改,则判定该目标文件为异常文件,进而确定该目标文件为病毒文件。
示例性的,如图7所示,在需要检测电子设备中的文件是否存在病毒文件时,可以预先生成目标文件对应的标识,并确定含有多个病毒文件的第一标识的目标列表中,是否包括目标文件对应的标识。并在确定目标列表中包括目标文件对应的标识的情况下,确定目标文件为病毒文件,输出文件检测结果。以及,在确定目标列表中不包括目标文件对应的标识的情况下,通过多个已有的病毒库分别对目标文件进行病毒检测,得到每个病毒库对应的目标文件是否为病毒文件的检测结果。进一步的,确定通过多个病毒库得到的多个检测结果中,指示目标文件为病毒文件的检测结果所占的目标比值,并在目标比值小于或等于预先设置的阈值的情况下,确定目标文件为非病毒文件,输出文件检测结果。从而,在目标比值大于预先设置的阈值的情况下,确定目标文件为病毒文件,将目标文件对应的标识添加到含有多个病毒文件的第一标识的目标列表中,并返回结果。
本申请实施例提供的一种文件检测方法,首先获取目标文件的特征信息,并分别将每个病毒库中包括的每个病毒文件的特征信息与目标文件的特征信息作对比,并得到多个对比结果,从而根据多个对比结果确定多个检测结果;进一步的,确定通过多个病毒库得到的多个检测结果中,指示目标文件为病毒文件的检测结果所占的目标比值,并在目标比值大于预先设置的阈值的情况下,确定目标文件为病毒文件。通过上述方法,可以在检测电子设备中的文件是否存在病毒文件时,通过多个病毒库以及目标文件的特征信息对目标文件进行病毒检测,以根据多个病毒库得到的多个检测结果进一步的确定目标文件是否为病毒文件,从而可以提高检测电子设备中的文件是否为病毒文件的准确度。
上述主要从方法的角度对本申请实施例提供的方案进行了介绍。为了实现上述功能,其包含了执行各个功能相应的硬件结构和/或软件模块。本领域技术人员应该很容易意识到,结合本文中所公开的实施例描述的各示例的单元及算法步骤,本申请实施例能够以硬件或硬件和计算机软件的结合形式来实现。某个功能究竟以硬件还是计算机软件驱动硬件的方式来执行,取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能,但是这种实现不应认为超出本申请的范围。
本申请实施例可以根据上述方法示例对一种文件检测装置进行功能模块的划分,例如,可以对应各个功能划分各个功能模块,也可以将两个或两个以上的功能集成在一个处理模块中。上述集成的模块既可以采用硬件的形式实现,也可以采用软件功能模块的形式实现。可选的,本申请实施例中对模块的划分是示意性的,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式。
图8为本申请实施例提供的一种文件检测装置的结构示意图。如图8所示,一种文件检测装置40,用于提高检测电子设备中的文件是否为病毒文件的检测效率和准确度,例如用于执行图2所示的一种文件检测方法。文件检测装置40包括:检测单元401和处理单元402。
检测单元401,用于基于多个病毒库对目标文件进行病毒检测,得到多个检测结果,一个检测结果用于指示目标文件为病毒文件或者目标文件为非病毒文件,每个病毒库包括至少一个病毒文件。
处理单元402,用于确定多个检测结果中,指示目标文件为病毒文件的检测结果的目标数量,并确定目标数量与多个检测结果的总数量之间的目标比值。
处理单元402,用于在确定目标比值大于预设阈值的情况下,确定目标文件为病毒文件。
在一种设计中,区块链中包括目标列表,目标列表中包括多个第一标识和第一指示信息,多个第一标识对应指示多个文件,第一指示信息用于指示多个第一标识对应的多个文件为病毒文件;如图8所示,文件检测装置还包括:生成单元403。
生成单元403,用于生成目标文件对应的标识。
处理单元402,用于确定目标列表中是否包括目标文件对应的标识。
检测单元401,用于在确定目标列表中不包括目标文件对应的标识时,基于多个病毒库对目标文件进行病毒检测,得到多个检测结果。
在一种设计中,处理单元402,用于在确定目标文件为病毒文件之后,将目标文件对应的标识添加至多个第一标识中。
在一种设计中,目标列表中还包括多个第二标识和第二指示信息,多个第二标识对应指示多个文件,第二指示信息用于指示多个第二标识对应的多个文件为非病毒文件。
处理单元402,用于在确定目标文件为非病毒文件时,将目标文件对应的标识添加至多个第二标识中。
在一种设计中,如图8所示,文件检测装置还包括:获取单元404;获取单元404,用于获取目标文件的特征信息,特征信息包括以下至少一项:文件大小、文件类型、访问权限。
检测单元401,用于分别将每个病毒库中包括的每个病毒文件的特征信息与目标文件的特征信息作对比,得到多个对比结果,并根据多个对比结果确定多个检测结果。
在采用硬件的形式实现上述集成的模块的功能的情况下,本申请实施例提供了上述实施例中所涉及的电子设备的另外一种可能的结构示意图。如图9所示,一种电子设备60,用于提高检测电子设备中的文件是否为病毒文件的检测效率和准确度,例如用于执行图2所示的一种文件检测方法。该电子设备60包括处理器601,存储器602以及总线603。处理器601与存储器602之间可以通过总线603连接。
处理器601是通信装置的控制中心,可以是一个处理器,也可以是多个处理元件的统称。例如,处理器601可以是一个通用中央处理单元(central processing unit,CPU),也可以是其他通用处理器等。其中,通用处理器可以是微处理器或者是任何常规的处理器等。
作为一种实施例,处理器601可以包括一个或多个CPU,例如图9中所示的CPU 0和CPU 1。
存储器602可以是只读存储器(read-only memory,ROM)或可存储静态信息和指令的其他类型的静态存储设备,随机存取存储器(random access memory,RAM)或者可存储信息和指令的其他类型的动态存储设备,也可以是电可擦可编程只读存储器(electricallyerasable programmable read-only memory,EEPROM)、磁盘存储介质或者其他磁存储设备、或者能够用于携带或存储具有指令或数据结构形式的期望的程序代码并能够由计算机存取的任何其他介质,但不限于此。
作为一种可能的实现方式,存储器602可以独立于处理器601存在,存储器602可以通过总线603与处理器601相连接,用于存储指令或者程序代码。处理器601调用并执行存储器602中存储的指令或程序代码时,能够实现本申请实施例提供的一种文件检测方法。
另一种可能的实现方式中,存储器602也可以和处理器601集成在一起。
总线603,可以是工业标准体系结构(Industry Standard Architecture,ISA)总线、外围设备互连(Peripheral Component Interconnect,PCI)总线或扩展工业标准体系结构(Extended Industry Standard Architecture,EISA)总线等。该总线可以分为地址总线、数据总线、控制总线等。为便于表示,图9中仅用一条粗线表示,但并不表示仅有一根总线或一种类型的总线。
需要指出的是,图9示出的结构并不构成对该电子设备60的限定。除图9所示部件之外,该电子设备60可以包括比图示更多或更少的部件,或者组合某些部件,或者不同的部件布置。
作为一个示例,结合图8,电子设备中的检测单元401、处理单元402、生成单元403和获取单元404实现的功能与图9中的处理器601的功能相同。
可选的,如图9所示,本申请实施例提供的电子设备60还可以包括通信接口604。
通信接口604,用于与其他设备通过通信网络连接。该通信网络可以是以太网,无线接入网,无线局域网(wireless local area networks,WLAN)等。通信接口604可以包括用于接收数据的接收单元,以及用于发送数据的发送单元。
在一种设计中,本申请实施例提供的电子设备中,通信接口还可以集成在处理器中。
通过以上的实施方式的描述,所属领域的技术人员可以清楚地了解到,为描述的方便和简洁,仅以上述各功能单元的划分进行举例说明。在实际应用中,可以根据需要而将上述功能分配由不同的功能单元完成,即将装置的内部结构划分成不同的功能单元,以完成以上描述的全部或者部分功能。上述描述的系统,装置和单元的具体工作过程,可以参考前述方法实施例中的对应过程,在此不再赘述。
本申请实施例还提供一种计算机可读存储介质,计算机可读存储介质中存储有指令,当计算机执行该指令时,该计算机执行上述方法实施例所示的方法流程中的各个步骤。
本申请的实施例提供一种包含指令的计算机程序产品,当指令在计算机上运行时,使得计算机执行上述方法实施例中的一种文件检测方法。
其中,计算机可读存储介质,例如可以是但不限于电、磁、光、电磁、红外线、或半导体的系统、装置或器件,或者任意以上的组合。计算机可读存储介质的更具体的例子(非穷举的列表)包括:具有一个或多个导线的电连接、便携式计算机磁盘、硬盘。随机存取存储器(Random Access Memory,RAM)、只读存储器(Read-Only Memory,ROM)、可擦式可编程只读存储器(Erasable Programmable Read Only Memory,EPROM)、寄存器、硬盘、光纤、便携式紧凑磁盘只读存储器(Compact Disc Read-Only Memory,CD-ROM)、光存储器件、磁存储器件、或者上述的人以合适的组合、或者本领域数值的任何其他形式的计算机可读存储介质。一种示例性的存储介质耦合至处理器,从而使处理器能够从该存储介质读取信息,且可向该存储介质写入信息。当然,存储介质也可以是处理器的组成部分。处理器和存储介质可以位于特定用途集成电路(Application Specific Integrated Circuit,ASIC)中。在本申请实施例中,计算机可读存储介质可以是任何包含或存储程序的有形介质,该程序可以被指令执行系统、装置或者器件使用或者与其结合使用。
由于本申请的实施例中的电子设备、计算机可读存储介质、计算机程序产品可以应用于上述方法,因此,其所能获得的技术效果也可参考上述方法实施例,本申请实施例在此不再赘述。
以上,仅为本申请的具体实施方式,但本申请的保护范围并不局限于此,任何在本申请揭露的技术范围内的变化或替换,都应涵盖在本申请的保护范围之内。
Claims (12)
1.一种文件检测方法,其特征在于,所述方法包括:
基于多个病毒库对目标文件进行病毒检测,得到多个检测结果,一个病毒库对应一个检测结果,一个检测结果用于指示所述目标文件为病毒文件或者所述目标文件为非病毒文件,每个病毒库中包括至少一个病毒文件;
确定所述多个检测结果中,指示所述目标文件为病毒文件的检测结果的目标数量,并确定所述目标数量与所述多个检测结果的总数量之间的目标比值;
在确定所述目标比值大于预设阈值的情况下,确定所述目标文件为病毒文件。
2.根据权利要求1所述的文件检测方法,其特征在于,区块链中包括目标列表,所述目标列表中包括多个第一标识和第一指示信息,所述多个第一标识对应指示多个文件,所述第一指示信息用于指示所述多个第一标识对应的多个文件为病毒文件;
所述基于多个病毒库对目标文件进行病毒检测,得到多个检测结果之前,所述方法还包括:
生成所述目标文件对应的标识,并确定所述目标列表中是否包括所述目标文件对应的标识;
所述基于多个病毒库对目标文件进行病毒检测,得到多个检测结果,包括:
在确定所述目标列表中不包括所述目标文件对应的标识时,基于所述多个病毒库对所述目标文件进行病毒检测,得到所述多个检测结果。
3.根据权利要求2所述的文件检测方法,其特征在于,所述方法还包括:
在确定所述目标文件为病毒文件之后,将所述目标文件对应的标识添加至所述多个第一标识中。
4.根据权利要求2所述的文件检测方法,其特征在于,所述目标列表中还包括多个第二标识和第二指示信息,所述多个第二标识对应指示多个文件,所述第二指示信息用于指示所述多个第二标识对应的多个文件为非病毒文件;所述方法还包括:
在确定所述目标文件为非病毒文件之后,将所述目标文件对应的标识添加至所述多个第二标识中。
5.根据权利要求1至4中任一项所述的文件检测方法,其特征在于,所述基于多个病毒库对目标文件进行病毒检测,得到多个检测结果之前,所述方法还包括:
获取所述目标文件的特征信息,所述特征信息包括以下至少一项:文件大小、文件类型、访问权限;
所述基于多个病毒库对目标文件进行病毒检测,得到多个检测结果,包括:
分别将每个病毒库中包括的每个病毒文件的特征信息与所述目标文件的特征信息作对比,得到多个对比结果,并根据所述多个对比结果确定所述多个检测结果。
6.一种文件检测装置,其特征在于,所述文件检测装置包括:检测单元和处理单元;
所述检测单元,用于基于多个病毒库对目标文件进行病毒检测,得到多个检测结果,一个检测结果用于指示所述目标文件为病毒文件或者所述目标文件为非病毒文件,每个病毒库中包括至少一个病毒文件;
所述处理单元,用于确定所述多个检测结果中,指示所述目标文件为病毒文件的检测结果的目标数量,并确定所述目标数量与所述多个检测结果的总数量之间的目标比值;
所述处理单元,用于在确定所述目标比值大于预设阈值的情况下,确定所述目标文件为病毒文件。
7.根据权利要求6所述的文件检测装置,其特征在于,区块链中包括目标列表,所述目标列表中包括多个第一标识和第一指示信息,所述多个第一标识对应指示多个文件,所述第一指示信息用于指示所述多个第一标识对应的多个文件为病毒文件,所述文件检测装置还包括:生成单元;
所述生成单元,用于生成所述目标文件对应的标识;
所述处理单元,用于确定所述目标列表中是否包括所述目标文件对应的标识;
所述检测单元,用于在确定所述目标列表中不包括所述目标文件对应的标识时,基于所述多个病毒库对所述目标文件进行病毒检测,得到所述多个检测结果。
8.根据权利要求7所述的文件检测装置,其特征在于,所述处理单元,用于在确定所述目标文件为病毒文件之后,将所述目标文件对应的标识添加至所述多个第一标识中。
9.根据权利要求7所述的文件检测装置,其特征在于,所述目标列表中还包括多个第二标识和第二指示信息,所述多个第二标识对应指示多个文件,所述第二指示信息用于指示所述多个第二标识对应的多个文件为非病毒文件;
所述处理单元,用于在确定所述目标文件为非病毒文件之后,将所述目标文件对应的标识添加至所述多个第二标识中。
10.根据权利要求6至9中任一项所述的文件检测装置,其特征在于,所述文件检测装置还包括:获取单元;
所述获取单元,用于获取所述目标文件的特征信息,所述特征信息包括以下至少一项:文件大小、文件类型、访问权限;
所述检测单元,用于分别将每个病毒库中包括的每个病毒文件的特征信息与所述目标文件的特征信息作对比,得到多个对比结果,并根据所述多个对比结果确定多个检测结果。
11.一种电子设备,其特征在于,包括:处理器以及存储器;其中,所述存储器用于存储一个或多个程序,所述一个或多个程序包括计算机执行指令,当所述电子设备运行时,处理器执行所述存储器存储的所述计算机执行指令,以使所述电子设备执行权利要求1-5中任一项所述的文件检测方法。
12.一种存储一个或多个程序的计算机可读存储介质,其特征在于,所述一个或多个程序包括指令,所述指令当被计算机执行时使所述计算机执行如权利要求1-5中任一项所述的文件检测方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202210960264.6A CN117633788A (zh) | 2022-08-11 | 2022-08-11 | 文件检测方法、装置、设备及存储介质 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202210960264.6A CN117633788A (zh) | 2022-08-11 | 2022-08-11 | 文件检测方法、装置、设备及存储介质 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN117633788A true CN117633788A (zh) | 2024-03-01 |
Family
ID=90034339
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202210960264.6A Pending CN117633788A (zh) | 2022-08-11 | 2022-08-11 | 文件检测方法、装置、设备及存储介质 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN117633788A (zh) |
-
2022
- 2022-08-11 CN CN202210960264.6A patent/CN117633788A/zh active Pending
Similar Documents
Publication | Publication Date | Title |
---|---|---|
KR20160140316A (ko) | 악성코드를 검출하는 방법 및 시스템 | |
US9268939B2 (en) | Method and apparatus for determining virus-infected files | |
EP3220307A1 (en) | System and method of performing an antivirus scan of a file on a virtual machine | |
TWI622894B (zh) | 電子裝置及偵測惡意檔案的方法 | |
CN113961919A (zh) | 恶意软件检测方法和装置 | |
JP6322240B2 (ja) | フィッシング・スクリプトを検出するためのシステム及び方法 | |
US10049113B2 (en) | File scanning method and apparatus | |
CN114329469A (zh) | Api异常调用行为检测方法、装置、设备及存储介质 | |
CN111460448B (zh) | 一种恶意软件家族检测方法及装置 | |
US9787699B2 (en) | Malware detection | |
CN113051571B (zh) | 一种误报漏洞的检测方法、装置及计算机设备 | |
CN108763053B (zh) | 埋点名称的生成方法及终端设备 | |
US9104866B2 (en) | Pattern matching engine, terminal apparatus using the same, and method thereof | |
CN117633788A (zh) | 文件检测方法、装置、设备及存储介质 | |
CN116028917A (zh) | 权限检测方法及装置、存储介质及电子设备 | |
US10579794B1 (en) | Securing a network device by automatically identifying files belonging to an application | |
CN112379967B (zh) | 模拟器检测方法、装置、设备及介质 | |
CN114936368A (zh) | 一种Java内存木马检测方法、终端设备及存储介质 | |
CN108650249A (zh) | Poc攻击检测方法、装置、计算机设备和存储介质 | |
CN106203087B (zh) | 注入防护方法、系统、终端以及存储介质 | |
CN112948831A (zh) | 应用程序风险识别的方法和装置 | |
CN113010885A (zh) | 一种检测伪装起始地址的内核线程的方法及装置 | |
CN108205624B (zh) | 电子装置及检测恶意文件的方法 | |
CN110674501A (zh) | 恶意驱动检测方法、装置、设备及介质 | |
EP3823326A1 (en) | System and method for detecting bluetooth security threat, and computer readable medium therefor |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination |