一种文件检测方法与流程

1.本发明涉及安全检测领域，特别是涉及一种文件检测方法。


背景技术：

2.目前的pe文件的检测方法的检测规则是固定的，需要根据特定顺序的若干检测规则对待检测pe文件进行检测，由于检测规则的检测顺序是固定的，会存在待检测pe文件的恶意类型与检测顺序的检测规则不匹配的情况，导致相关性较差，造成了系统的检测算力的浪费。


技术实现要素：

3.有鉴于此，本发明提供一种文件检测方法，至少部分解决现有技术中存在的由于检测规则的固定检测顺序导致检测算力的浪费的技术问题，本发明采用的技术方案为：根据本技术的一个方面，提供一种文件检测方法，应用于恶意检测系统，恶意检测系统中存储有若干目标恶意检测规则；每一目标恶意检测规则具有对应的若干恶意样本向量；所述方法包括如下步骤：响应于接收到目标pe文件，获取目标pe文件对应的目标指令向量；根据目标指令向量与每一恶意样本向量对应的向量匹配度，得到每一目标恶意检测规则对应的向量匹配度列表；任一向量匹配度列表中包含同一目标恶意检测规则对应的所有恶意样本向量与目标指令向量的向量匹配度；将目标恶意检测规则对应的向量匹配度列表中的最大值确定为该目标恶意检测规则对应的目标匹配度；根据数值递减顺序，对每一目标匹配度进行排列，并将每一目标匹配度的排列顺序确定为对应的目标恶意检测规则的检测顺序；根据检测顺序，依次使用每一目标恶意检测规则对目标pe文件进行恶意检测，得到目标pe文件对应的恶意检测结果。
4.在本技术的一种示例性实施例中，恶意样本向量通过以下步骤确定：获取若干恶意样本文件；每一恶意样本文件至少对应一个目标恶意检测规则；获取每一目标恶意检测规则对应的恶意样本文件列表；任意恶意样本文件均能够被其所在的恶意样本文件列表对应的目标恶意检测规则识别为恶意文件；对每一恶意样本文件列表进行第一特征向量确定处理，以得到每一目标恶意检测规则对应的若干恶意样本向量。
5.在本技术的一种示例性实施例中，第一特征向量确定处理，包括：使用预设聚类算法对当前的恶意样本文件列表中的若干恶意样本文件进行聚类，得到若干个样本文件组；其中，第p个目标恶意检测规则对应的第q个样本文件组符合以下条件：
；其中，p=1,2,...,t；t为目标恶意检测规则的数量；q=1,2,...,y(p)；y(p)为第p个目标恶意检测规则对应的样本文件组的数量；v(pq)为第p个目标恶意检测规则对应的第q个样本文件组中包含的恶意样本文件的数量；g(p)为第p个目标恶意检测规则对应的恶意样本文件的数量；对每一样本文件组进行第二特征向量确定处理，以得到当前的恶意样本文件列表对应的若干恶意样本向量。
6.在本技术的一种示例性实施例中，第二特征向量确定处理，包括：获取当前的样本文件组中每一恶意样本文件对应的文件特征向量；根据当前的样本文件组对应的每一文件特征向量，得到当前的样本文件组对应的恶意样本向量。
7.在本技术的一种示例性实施例中，获取当前的样本文件组中每一恶意样本文件对应的文件特征向量，包括：获取第p个目标恶意检测规则对应的第二初始特征向量组w
p1
,w
p2
,...,w
pq
,...,w
py(p)
；w
pq
=(w
pq1
,w
pq2
,...,w
pqx
,...,w
pqv(pq)
)；w
pqx
=(w
pqx1
,w
pqx2
,...,w
pqxa
,...,w
pqxh
)；其中，w
pq
为第p个目标恶意检测规则对应的第q个样本文件组的第二初始特征向量列表；x=1,2,...,v(pq)；w
pqx
为第p个目标恶意检测规则对应的第q个样本文件组包含的第x个恶意样本文件的第二初始特征向量；a=1,2,...,h；h为第一指令信息类型的数量；w
pqxa
为w
pqx
中第a个第一指令信息类型对应的特征信息；w
pqxa
的初始值为null；获取第p个目标恶意检测规则对应的第q个样本文件组包含的每一恶意样本文件的若干样本指令信息类型，得到样本指令信息类型集m
pq
=(m
pq1
,m
pq2
,...,m
pqx
,...,m
pqv(pq)
)；m
pqx
=(m
pqx1
,m
pqx2
,...,m
pqxr
,...,m
pqxd(pqx)
)；其中，r=1,2,...,d(pqx)；d(pqx)为第p个目标恶意检测规则对应的第q个样本文件组包含的第x个恶意样本文件的样本指令信息类型的数量；m
pqx
为第p个目标恶意检测规则对应的第q个样本文件组包含的第x个恶意样本文件的样本指令信息类型列表；m
pqxr
为第p个目标恶意检测规则对应的第q个样本文件组包含的第x个恶意样本文件的第r个样本指令信息类型；遍历w
pqx
，若w
pqxa
对应的第一指令信息类型存在于m
pqx
中，则将w
pqxa
确定为1；否则，将w
pqxa
确定为0；将赋值后的w
pqx
确定为第p个目标恶意检测规则对应的第q个样本文件组包含的第x个恶意样本文件的文件特征向量。
8.在本技术的一种示例性实施例中，根据当前的样本文件组对应的每一文件特征向量，得到当前的样本文件组对应的恶意样本向量，包括：确定第p个目标恶意检测规则对应的第q个样本文件组的恶意样本向量z
pq
=(z
pq1
,z
pq2
,...,z
pqa
,...,z
pqh
)；；其中，z
pqa
为z
pq
中第a个特征信息。
9.在本技术的一种示例性实施例中，获取目标pe文件对应的目标指令向量，包括：将目标pe文件输入至ida解析工具中，得到目标pe文件对应的idb文件；对idb文件进行解析处理，得到若干个pe文件信息；根据若干个pe文件信息，得到目标json文件；根据目标json文件对应的若干目标指令信息类型，确定目标json文件对应的目标
指令向量。
10.在本技术的一种示例性实施例中，目标指令向量通过以下步骤确定：根据h个第一指令信息类型，得到第一初始特征向量e=(e1,e2,...,ea,...,eh)；其中，a=1,2,...,h；ea为e中第a个第一指令信息类型对应的特征信息；ea的初始值为null；遍历第一初始特征向量e，若目标json文件中包含ea对应的第一指令信息类型的目标指令信息，则将ea确定为1；否则，将ea确定为0；将赋值后的第一初始特征向量e确定为目标json文件对应的目标指令向量。
11.在本技术的一种示例性实施例中，根据检测顺序，依次使用每一目标恶意检测规则对目标pe文件进行恶意检测，得到目标pe文件对应的恶意检测结果，包括：根据目标json文件中包含的目标指令信息和目标指令信息对应的目标相对存储地址，确定目标json文件对应的第一指令信息列表；第一指令信息列表中包含若干第一指令信息，每一第一指令信息对应有一目标指令信息类型；根据检测顺序，依次使用每一目标恶意检测规则对第一指令信息列表进行恶意检测，得到目标pe文件对应的恶意检测结果。
12.在本技术的一种示例性实施例中，第一指令信息列表通过以下步骤确定：获取目标json文件对应的每一pe文件信息类型包含的每一pe文件信息，得到pe文件信息集q=(q1,q2,...,qi,...,qn)；qi=(q
i1
,q
i2
,...,q
id
,...,q
ih(i)
)；其中，i=1,2,...,n；n为目标json文件对应的pe文件信息类型的数量；qi为目标json文件对应的第i个pe文件信息类型的pe文件信息列表；d=1,2,...,h(i)；h(i)为目标json文件对应的第i个pe文件信息类型包含的pe文件信息的数量；q
id
为目标json文件对应的第i个pe文件信息类型包含的第d个pe文件信息；遍历pe文件信息集q，若qi对应的pe文件信息类型为预设指令信息类型，则将qi每一pe文件信息确定为目标指令信息，得到目标指令信息集f=(f1,f2,...,fb,...,fc)；其中，b=1,2,...,c；c为目标json文件确定出的目标指令信息的数量；fb为目标json文件对应的第b个目标指令信息；fb对应有目标相对存储地址nb；根据b个目标相对存储地址由低到高的顺序，对f1,f2,...,fb,...,fc进行排列，得到第一指令信息列表a1,a2,...,ab,...,ac；其中，ab为目标json文件对应的第b个第一指令信息。
13.本发明至少具有以下有益效果：本发明的文件检测方法在接收到目标pe文件后，对目标pe文件进行指令信息解析，得到对应的目标指令向量，根据目标指令向量与每一恶意样本向量的向量匹配度，得到每一目标恶意检测规则对应的向量匹配度列表，恶意样本向量通过对不同目标恶意检测规则对应的若干恶意样本文件进行聚类得到，每一目标恶意检测规则对应有不同类组的恶意样本向量，将目标恶意检测规则对应的向量匹配度列表中的最大值确定为该目标恶意检测规则对应的目标匹配度，并根据数值递减顺序，对每一目标匹配度进行排列，每一目标匹配度的排列顺序即为对应的目标恶意检测规则的检测顺序，检测顺序表示对应的目标恶意检测规则检测目标pe文件为恶意文件的可能性较大，根据检测顺序，依次使用每一目标恶意检测规则对目标pe文件进行恶意检测，得到对应的恶意检测结果，与现有的pe文件恶意检测方法相比，本发明通过对不同类组的恶意样本文件进行聚类，得到每一目标恶意检测规
则的检测顺序，可以更快的检测出目标pe文件是否为恶意文件，节省了系统算力，且缩短了检测时间。
附图说明
14.为了更清楚地说明本发明实施例中的技术方案，下面将对实施例描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。
15.图1为本发明实施例提供的文件检测方法的流程图；图2为本发明实施例提供的第一指令信息列表的确定方法的流程图；图3为本发明实施例提供的恶意样本向量的确定方法的流程图。
具体实施方式
16.下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。
17.一种文件检测方法，应用于恶意检测系统，恶意检测系统中存储有若干目标恶意检测规则；每一目标恶意检测规则具有对应的若干恶意样本向量。
18.每一目标恶意检测规则对应有一恶意类型或恶意指令行为，其用于对属于该恶意类型的目标pe文件进行恶意检测，目标恶意检测规则为用于对目标pe文件进行恶意检测的检测规则，每一目标恶意检测规则对应有若干恶意样本向量，恶意样本向量为根据若干恶意样本文件的样本指令信息类型得到的，通过每一恶意样本向量，可得知通过对应的目标恶意检测规则检测为恶意文件的恶意样本文件中的指令信息的类型。
19.其中，如图3所示，恶意样本向量通过以下步骤确定：步骤s010、获取若干恶意样本文件；每一恶意样本文件至少对应一个目标恶意检测规则；恶意样本文件为确定为恶意文件的pe文件，恶意样本文件对应的目标恶意检测规则表示检测出其为恶意文件的检测规则。
20.步骤s020、获取每一目标恶意检测规则对应的恶意样本文件列表；任意恶意样本文件均能够被其所在的恶意样本文件列表对应的目标恶意检测规则识别为恶意文件；步骤s030、对每一恶意样本文件列表进行第一特征向量确定处理，以得到每一目标恶意检测规则对应的若干恶意样本向量。
21.进一步，步骤s030中，第一特征向量确定处理，包括：步骤s031、使用预设聚类算法对当前的恶意样本文件列表中的若干恶意样本文件进行聚类，得到若干个样本文件组；其中，第p个目标恶意检测规则对应的第q个样本文件组符合以下条件：；其中，p=1,2,...,t；t为目标恶意检测规则的数量；q=1,2,...,y(p)；y(p)为第p个目标恶意检测规则对应的样本文件组的数量；v(pq)为第p个目标
恶意检测规则对应的第q个样本文件组中包含的恶意样本文件的数量；g(p)为第p个目标恶意检测规则对应的恶意样本文件的数量；预设聚类算法可以为根据恶意家族或恶意类型，对每一恶意样本文件列表中的若干恶意样本文件进行聚类的任意算法，以得到每一目标恶意检测规则对应的若干个样本文件组，每个样本文件组中的恶意样本文件的类别相同。
22.步骤s032、对每一样本文件组进行第二特征向量确定处理，以得到当前的恶意样本文件列表对应的若干恶意样本向量。
23.进一步，步骤s032中，第二特征向量确定处理，包括：步骤s0321、获取当前的样本文件组中每一恶意样本文件对应的文件特征向量；步骤s0322、根据当前的样本文件组对应的每一文件特征向量，得到当前的样本文件组对应的恶意样本向量。
24.进一步，步骤s0321中，获取当前的样本文件组中每一恶意样本文件对应的文件特征向量，包括：步骤s03211、获取第p个目标恶意检测规则对应的第二初始特征向量组w
p1
,w
p2
,...,w
pq
,...,w
py(p)
；w
pq
=(w
pq1
,w
pq2
,...,w
pqx
,...,w
pqv(pq)
)；w
pqx
=(w
pqx1
,w
pqx2
,...,w
pqxa
,...,w
pqxh
)；其中，w
pq
为第p个目标恶意检测规则对应的第q个样本文件组的第二初始特征向量列表；x=1,2,...,v(pq)；w
pqx
为第p个目标恶意检测规则对应的第q个样本文件组包含的第x个恶意样本文件的第二初始特征向量；a=1,2,...,h；h为第一指令信息类型的数量；w
pqxa
为w
pqx
中第a个第一指令信息类型对应的特征信息；w
pqxa
的初始值为null；每一恶意样本文件对应的文件特征向量的第一指令信息类型的数量相等，即均为h个，且每一文件特征向量中的同一个位置的特征信息对应的第一指令信息类型相同，便于后续对同一样本文件组中的若干文件特征向量进行处理。
25.步骤s03212、获取第p个目标恶意检测规则对应的第q个样本文件组包含的每一恶意样本文件的若干样本指令信息类型，得到样本指令信息类型集m
pq
=(m
pq1
,m
pq2
,...,m
pqx
,...,m
pqv(pq)
)；m
pqx
=(m
pqx1
,m
pqx2
,...,m
pqxr
,...,m
pqxd(pqx)
)；其中，r=1,2,...,d(pqx)；d(pqx)为第p个目标恶意检测规则对应的第q个样本文件组包含的第x个恶意样本文件的样本指令信息类型的数量；m
pqx
为第p个目标恶意检测规则对应的第q个样本文件组包含的第x个恶意样本文件的样本指令信息类型列表；m
pqxr
为第p个目标恶意检测规则对应的第q个样本文件组包含的第x个恶意样本文件的第r个样本指令信息类型；样本指令信息类型为对应的恶意样本文件中包括的汇编指令信息的类型，如call指令、push指令等。
26.步骤s03213、遍历w
pqx
，若w
pqxa
对应的第一指令信息类型存在于m
pqx
中，则将w
pqxa
确定为1；否则，将w
pqxa
确定为0；步骤s03214、将赋值后的w
pqx
确定为第p个目标恶意检测规则对应的第q个样本文件组包含的第x个恶意样本文件的文件特征向量。
27.进一步，步骤s0322中，根据当前的样本文件组对应的每一文件特征向量，得到当前的样本文件组对应的恶意样本向量，包括：步骤s03221、确定第p个目标恶意检测规则对应的第q个样本文件组的恶意样本向量z
pq
=(z
pq1
,z
pq2
,...,z
pqa
,...,z
pqh
)；；其中，z
pqa
为z
pq
中第a个特征
信息。
28.对同一样本文件组对应的若干文件特征向量进行向量平均处理，得到每一样本文件组对应的恶意样本向量，恶意样本向量可以反映出对应的样本文件组的目标恶意检测规则通过哪些指令信息类型检测出的恶意文件。
29.其中，目标恶意检测规则通过以下步骤确定：步骤s040、获取g个恶意样本文件对应的恶意样本检测规则，得到恶意样本检测规则集l=(l1,l2,...,le,...,lg)；其中，e=1,2,...,g；le为第e个恶意样本文件对应的恶意样本检测规则；步骤s050、对恶意样本检测规则集l进行去重处理，得到t个目标恶意检测规则。
30.一种文件检测方法，如图1所示，包括如下步骤：步骤s100、响应于接收到目标pe文件，获取目标pe文件对应的目标指令向量；目标pe文件为pe文件。
31.进一步，步骤s100中，获取目标pe文件对应的目标指令向量，包括：步骤s110、将目标pe文件输入至ida解析工具中，得到目标pe文件对应的idb文件；步骤s120、对idb文件进行解析处理，得到若干个pe文件信息；步骤s130、根据若干个pe文件信息，得到目标json文件；ida解析工具为一种pe文件的解析工具，通过ida解析工具得到目标pe文件对应的idb文件，将idb文件中的若干pe文件信息解析出来，得到目标json文件。idb文件，即indexed database，中文名为“索引化数据库”，是一种可在浏览器端进行本地保存和存储数据的技术。
32.传统的获取文件指令信息的方法是利用解析模块的api获取文件的汇编代码，通过汇编代码确定pe函数及其参数，此种方法的效率低下，且会产生大量的无用数据占用空间，特别在批量自动化检测的过程中尤为明显，得到结果非常慢，生成的日志也很大，导致恶意样本分析的效率很低，对工作进度有很大影响。所以，本发明中通过ida解析工具对目标pe文件进行解析，以及生成目标json文件的方法，可以在去除大量无用信息的同时，还不影响对关键信息的提取，同样也可以减少信息的储存空间，便于对指令信息的定位，提高了检测效率。
33.步骤s140、根据目标json文件对应的若干目标指令信息类型，确定目标json文件对应的目标指令向量。
34.目标指令向量表示目标json文件中包含的目标指令信息的类型，目标json文件为目标pe文件进行解析得到的，目标json文件中包含目标pe文件中的若干文件信息，如指令信息、网址信息、地址信息、用户信息等。
35.由于文件中的函数及其参数可以更好的体现该文件的恶意行为，而在参数中的字符串又是直观体现的，因此，需要对接收到的目标pe文件进行解析，得到目标json文件，目标json文件可以清晰的表示目标pe文件中的函数调用关系以及字符串参数的传递，即目标pe文件执行了哪些指令，通过这些指令完成何种行为，所以，将目标pe文件解析为目标json文件，可以更清楚的获知目标pe文件需要执行的指令，通过获取对应的指令信息类型，得到对应的目标指令向量。
36.目标指令向量的确定方法与恶意样本向量的确定方法相同，均是通过确定对应的
文件中包含的指令信息类型，确定对应的指令向量。
37.其中，目标指令向量通过以下步骤确定：步骤s141、根据h个第一指令信息类型，得到第一初始特征向量e=(e1,e2,...,ea,...,eh)；其中，a=1,2,...,h；ea为e中第a个第一指令信息类型对应的特征信息；ea的初始值为null；目标指令向量的第一指令信息类型的数量和恶意样本向量的指令信息类型的数量相等，即均为h个，且若干第一指令信息类型与恶意样本向量的若干指令信息类型相同，且每个向量中的同一个位置的特征信息对应的指令信息类型相同，如目标指令向量中的第一位特征信息对应的指令信息类型和每一恶意样本向量中的第一位特征信息对应的指令信息类型均为call指令，便于后续目标指令向量与每一恶意样本向量的对比。
38.步骤s142、遍历第一初始特征向量e，若目标json文件中包含ea对应的第一指令信息类型的目标指令信息，则将ea确定为1；否则，将ea确定为0；步骤s143、将赋值后的第一初始特征向量e确定为目标json文件对应的目标指令向量。
39.步骤s200、根据目标指令向量与每一恶意样本向量对应的向量匹配度，得到每一目标恶意检测规则对应的向量匹配度列表；任一向量匹配度列表中包含同一目标恶意检测规则对应的所有恶意样本向量与目标指令向量的向量匹配度；其中，向量匹配度列表通过以下步骤确定：步骤s210、将赋值后的第一初始特征向量e与z
p1
,z
p2
,...,z
pq
,...,z
py(p)
分别计算匹配度，得到第p个目标恶意检测规则对应的向量匹配度j
p1
,j
p2
,...,j
pq
,...,j
py(p)
；其中，j
pq
为赋值后的第一初始特征向量e与z
pq
之间的向量匹配度。
40.步骤s300、将目标恶意检测规则对应的向量匹配度列表中的最大值确定为该目标恶意检测规则对应的目标匹配度；目标恶意检测规则对应的向量匹配度列表中的最大值的匹配度表示最能代表该目标恶意检测规则的样本文件组的匹配度，故将其确定为该目标恶意检测规则对应的目标匹配度。
41.其中，目标匹配度通过以下步骤确定：步骤s310、将max(j
p1
,j
p2
,...,j
pq
,...,j
py(p)
)确定为第p个目标恶意检测规则对应的目标匹配度c
p
；其中，max()为预设最大值确定函数。
42.步骤s400、根据数值递减顺序，对每一目标匹配度进行排列，并将每一目标匹配度的排列顺序确定为对应的目标恶意检测规则的检测顺序；将若干个目标恶意检测规则根据向量匹配度的递减进行排序，得到对应的检测顺序，向量匹配度越大，表示对应的目标恶意检测规则检测目标pe文件为恶意文件的概率越大。若干目标恶意检测规则通过检测顺序对目标pe文件进行恶意检测，从向量匹配度高的目标恶意检测规则对目标pe文件进行检测，可以缩短检测出恶意文件的检测时间，提高检测效率。
43.其中，若干目标恶意检测规则的检测顺序通过以下步骤确定：步骤s410、根据数值递减顺序，对c1,c2,...,c
p
,...,c
t
进行排列，得到r1,r2,...,r
p
,...,r
t
；其中，r
p
为进行数值递减排列后的第p个目标匹配度；
步骤s420、将r1,r2,...,r
p
,...,r
t
的排列顺序确定为对应的目标恶意检测规则的检测顺序。
44.步骤s500、根据检测顺序，依次使用每一目标恶意检测规则对目标pe文件进行恶意检测，得到目标pe文件对应的恶意检测结果。
45.进一步，步骤s500中，根据检测顺序，依次使用每一目标恶意检测规则对目标pe文件进行恶意检测，得到目标pe文件对应的恶意检测结果，包括：步骤s510、根据目标json文件中包含的目标指令信息和目标指令信息对应的目标相对存储地址，确定目标json文件对应的第一指令信息列表；第一指令信息列表中包含若干第一指令信息，每一第一指令信息对应有一目标指令信息类型；其中，如图2所示，第一指令信息列表通过以下步骤确定：步骤s511、获取目标json文件对应的每一pe文件信息类型包含的每一pe文件信息，得到pe文件信息集q=(q1,q2,...,qi,...,qn)；qi=(q
i1
,q
i2
,...,q
id
,...,q
ih(i)
)；其中，i=1,2,...,n；n为目标json文件对应的pe文件信息类型的数量；qi为目标json文件对应的第i个pe文件信息类型的pe文件信息列表；d=1,2,...,h(i)；h(i)为目标json文件对应的第i个pe文件信息类型包含的pe文件信息的数量；q
id
为目标json文件对应的第i个pe文件信息类型包含的第d个pe文件信息；步骤s512、遍历pe文件信息集q，若qi对应的pe文件信息类型为预设指令信息类型，则将qi每一pe文件信息确定为目标指令信息，得到目标指令信息集f=(f1,f2,...,fb,...,fc)；其中，b=1,2,...,c；c为目标json文件确定出的目标指令信息的数量；fb为目标json文件对应的第b个目标指令信息；fb对应有目标相对存储地址nb；步骤s513、根据b个目标相对存储地址由低到高的顺序，对f1,f2,...,fb,...,fc进行排列，得到第一指令信息列表a1,a2,...,ab,...,ac；其中，ab为目标json文件对应的第b个第一指令信息。
46.目标相对存储地址字段对应的目标相对存储地址为对应的指令信息在寄存器中的存储地址，根据目标相对存储地址字段对应的目标相对存储地址，对每一目标指令信息进行排序，得到对应的第一指令信息列表，第一指令信息列表中的若干第一指令信息根据对应的目标相对存储地址进行排序，可以清楚的表示目标pe文件的指令执行顺序，便于对指令信息的检测。
47.步骤s520、根据检测顺序，依次使用每一目标恶意检测规则对第一指令信息列表进行恶意检测，得到目标pe文件对应的恶意检测结果；进一步，步骤s520中，恶意检测结果的确定方法，包括：步骤s521、令p=1；步骤s522、根据r
p
对应的目标恶意检测规则，对a1,a2,...,ab,...,ac进行恶意检测，得到第p个目标恶意检测规则对应的风险检测值t
p
；其中，r
p
为进行数值递减排列后的第p个目标匹配度；步骤s523、若t
p
＜t0，则执行步骤s524；否则，将第一结果确定为恶意检测结果；其中，t0为预设风险检测值阈值；所述第一结果表征所述目标pe文件为恶意文件；步骤s524、若p＜t，则令p=p+1，并执行步骤s522；否则，将第二结果确定为恶意检测结果；所述第二结果表征所述目标pe文件为非恶意文件。
48.在接收到任一目标恶意检测规则返回的检测结果为第一结果时，表示此时已经检测出目标pe文件为恶意文件，无需再进行其他目标恶意检测规则的检测，直接退出检测方法，将目标pe文件确定为恶意文件，若当前的目标恶意检测规则返回的检测结果为第二结果时，则表示此时的目标pe文件通过已经检测的目标恶意检测规则的检测后，仍为非恶意文件，还需要根据检测顺序，继续根据后续的目标恶意检测规则对目标pe文件进行后续的恶意检测。
49.本发明的文件检测方法在接收到目标pe文件后，对目标pe文件进行指令信息解析，得到对应的目标指令向量，根据目标指令向量与每一恶意样本向量的向量匹配度，得到每一目标恶意检测规则对应的向量匹配度列表，恶意样本向量通过对不同目标恶意检测规则对应的若干恶意样本文件进行聚类得到，每一目标恶意检测规则对应有不同类组的恶意样本向量，将目标恶意检测规则对应的向量匹配度列表中的最大值确定为该目标恶意检测规则对应的目标匹配度，并根据数值递减顺序，对每一目标匹配度进行排列，每一目标匹配度的排列顺序即为对应的目标恶意检测规则的检测顺序，检测顺序表示对应的目标恶意检测规则检测目标pe文件为恶意文件的可能性较大，根据检测顺序，依次使用每一目标恶意检测规则对目标pe文件进行恶意检测，得到对应的恶意检测结果，与现有的pe文件恶意检测方法相比，本发明通过不同类组的恶意样本文件进行聚类，得到每一目标恶意检测规则的检测顺序，可以更快的检测出目标pe文件是否为恶意文件，节省了系统算力，且缩短了检测时间。
50.本发明的实施例还提供一种计算机程序产品，其包括程序代码，当所述程序产品在电子设备上运行时，所述程序代码用于使该电子设备执行本说明书上述描述的根据本发明各种示例性实施方式的方法中的步骤。
51.此外，尽管在附图中以特定顺序描述了本公开中方法的各个步骤，但是，这并非要求或者暗示必须按照该特定顺序来执行这些步骤，或是必须执行全部所示的步骤才能实现期望的结果。附加的或备选的，可以省略某些步骤，将多个步骤合并为一个步骤执行，以及/或者将一个步骤分解为多个步骤执行等。
52.通过以上的实施方式的描述，本领域的技术人员易于理解，这里描述的示例实施方式可以通过软件实现，也可以通过软件结合必要的硬件的方式来实现。因此，根据本公开实施方式的技术方案可以以软件产品的形式体现出来，该软件产品可以存储在一个非易失性存储介质（可以是cd-rom，u盘，移动硬盘等）中或网络上，包括若干指令以使得一台计算设备（可以是个人计算机、服务器、移动终端、或者网络设备等）执行根据本公开实施方式的方法。
53.在本公开的示例性实施例中，还提供了一种能够实现上述方法的电子设备。
54.所属技术领域的技术人员能够理解，本发明的各个方面可以实现为系统、方法或程序产品。因此，本发明的各个方面可以具体实现为以下形式，即：完全的硬件实施方式、完全的软件实施方式（包括固件、微代码等），或硬件和软件方面结合的实施方式，这里可以统称为“电路”、“模块”或“系统”。
55.根据本发明的这种实施方式的电子设备。电子设备仅仅是一个示例，不应对本发明实施例的功能和使用范围带来任何限制。
56.电子设备以通用计算设备的形式表现。电子设备的组件可以包括但不限于：上述
至少一个处理器、上述至少一个储存器、连接不同系统组件（包括储存器和处理器）的总线。
57.其中，所述储存器存储有程序代码，所述程序代码可以被所述处理器执行，使得所述处理器执行本说明书上述“示例性方法”部分中描述的根据本发明各种示例性实施方式的步骤。
58.储存器可以包括易失性储存器形式的可读介质，例如随机存取储存器（ram）和/或高速缓存储存器，还可以进一步包括只读储存器（rom）。
59.储存器还可以包括具有一组（至少一个）程序模块的程序/实用工具，这样的程序模块包括但不限于：操作系统、一个或者多个应用程序、其它程序模块以及程序数据，这些示例中的每一个或某种组合中可能包括网络环境的实现。
60.总线可以为表示几类总线结构中的一种或多种，包括储存器总线或者储存器控制器、外围总线、图形加速端口、处理器或者使用多种总线结构中的任意总线结构的局域总线。
61.电子设备也可以与一个或多个外部设备（例如键盘、指向设备、蓝牙设备等）通信，还可与一个或者多个使得用户能与该电子设备交互的设备通信，和/或与使得该电子设备能与一个或多个其它计算设备进行通信的任何设备（例如路由器、调制解调器等等）通信。这种通信可以通过输入/输出（i/o）接口进行。并且，电子设备还可以通过网络适配器与一个或者多个网络（例如局域网（lan），广域网（wan）和/或公共网络，例如因特网）通信。如图所示，网络适配器通过总线与电子设备的其它模块通信。应当明白，尽管图中未示出，可以结合电子设备使用其它硬件和/或软件模块，包括但不限于：微代码、设备驱动器、冗余处理器、外部磁盘驱动阵列、raid系统、磁带驱动器以及数据备份存储系统等。
62.通过以上的实施方式的描述，本领域的技术人员易于理解，这里描述的示例实施方式可以通过软件实现，也可以通过软件结合必要的硬件的方式来实现。因此，根据本公开实施方式的技术方案可以以软件产品的形式体现出来，该软件产品可以存储在一个非易失性存储介质（可以是cd-rom，u盘，移动硬盘等）中或网络上，包括若干指令以使得一台计算设备（可以是个人计算机、服务器、终端装置、或者网络设备等）执行根据本公开实施方式的方法。
63.在本公开的示例性实施例中，还提供了一种计算机可读存储介质，其上存储有能够实现本说明书上述方法的程序产品。在一些可能的实施方式中，本发明的各个方面还可以实现为一种程序产品的形式，其包括程序代码，当所述程序产品在终端设备上运行时，所述程序代码用于使所述终端设备执行本说明书上述“示例性方法”部分中描述的根据本发明各种示例性实施方式的步骤。
64.所述程序产品可以采用一个或多个可读介质的任意组合。可读介质可以是可读信号介质或者可读存储介质。可读存储介质例如可以为但不限于电、磁、光、电磁、红外线、或半导体的系统、装置或器件，或者任意以上的组合。可读存储介质的更具体的例子（非穷举的列表）包括：具有一个或多个导线的电连接、便携式盘、硬盘、随机存取存储器（ram）、只读存储器（rom）、可擦式可编程只读存储器（eprom或闪存）、光纤、便携式紧凑盘只读存储器(cd-rom)、光存储器件、磁存储器件、或者上述的任意合适的组合。
65.计算机可读信号介质可以包括在基带中或者作为载波一部分传播的数据信号，其中承载了可读程序代码。这种传播的数据信号可以采用多种形式，包括但不限于电磁信号、
光信号或上述的任意合适的组合。可读信号介质还可以是可读存储介质以外的任何可读介质，该可读介质可以发送、传播或者传输用于由指令执行系统、装置或者器件使用或者与其结合使用的程序。
66.可读介质上包含的程序代码可以用任何适当的介质传输，包括但不限于无线、有线、光缆、rf等等，或者上述的任意合适的组合。
67.可以以一种或多种程序设计语言的任意组合来编写用于执行本发明操作的程序代码，所述程序设计语言包括面向对象的程序设计语言—诸如java、c++等，还包括常规的过程式程序设计语言—诸如“c”语言或类似的程序设计语言。程序代码可以完全地在用户计算设备上执行、部分地在用户设备上执行、作为一个独立的软件包执行、部分在用户计算设备上部分在远程计算设备上执行、或者完全在远程计算设备或服务器上执行。在涉及远程计算设备的情形中，远程计算设备可以通过任意种类的网络，包括局域网（lan）或广域网（wan），连接到用户计算设备，或者，可以连接到外部计算设备（例如利用因特网服务提供商来通过因特网连接）。
68.此外，上述附图仅是根据本发明示例性实施例的方法所包括的处理的示意性说明，而不是限制目的。易于理解，上述附图所示的处理并不表明或限制这些处理的时间顺序。另外，也易于理解，这些处理可以是例如在多个模块中同步或异步执行的。
69.应当注意，尽管在上文详细描述中提及了用于动作执行的设备的若干模块或者单元，但是这种划分并非强制性的。实际上，根据本公开的实施方式，上文描述的两个或更多模块或者单元的特征和功能可以在一个模块或者单元中具体化。反之，上文描述的一个模块或者单元的特征和功能可以进一步划分为由多个模块或者单元来具体化。
70.以上所述，仅为本发明的具体实施方式，但本发明的保护范围并不局限于此，任何熟悉本技术领域的技术人员在本发明揭露的技术范围内，可轻易想到的变化或替换，都应涵盖在本发明的保护范围之内。因此，本发明的保护范围应以权利要求的保护范围为准。

技术特征：
1.一种文件检测方法，其特征在于，应用于恶意检测系统，所述恶意检测系统中存储有若干目标恶意检测规则；每一所述目标恶意检测规则具有对应的若干恶意样本向量；所述方法包括如下步骤：响应于接收到目标pe文件，获取所述目标pe文件对应的目标指令向量；根据所述目标指令向量与每一所述恶意样本向量对应的向量匹配度，得到每一所述目标恶意检测规则对应的向量匹配度列表；任一所述向量匹配度列表中包含同一所述目标恶意检测规则对应的所有所述恶意样本向量与所述目标指令向量的向量匹配度；将所述目标恶意检测规则对应的向量匹配度列表中的最大值确定为该目标恶意检测规则对应的目标匹配度；根据数值递减顺序，对每一所述目标匹配度进行排列，并将每一所述目标匹配度的排列顺序确定为对应的所述目标恶意检测规则的检测顺序；根据所述检测顺序，依次使用每一目标恶意检测规则对所述目标pe文件进行恶意检测，得到所述目标pe文件对应的恶意检测结果。2.根据权利要求1所述的方法，其特征在于，所述恶意样本向量通过以下步骤确定：获取若干恶意样本文件；每一所述恶意样本文件至少对应一个目标恶意检测规则；获取每一所述目标恶意检测规则对应的恶意样本文件列表；任意所述恶意样本文件均能够被其所在的恶意样本文件列表对应的目标恶意检测规则识别为恶意文件；对每一所述恶意样本文件列表进行第一特征向量确定处理，以得到每一所述目标恶意检测规则对应的若干恶意样本向量。3.根据权利要求2所述的方法，其特征在于，所述第一特征向量确定处理，包括：使用预设聚类算法对当前的恶意样本文件列表中的若干恶意样本文件进行聚类，得到若干个样本文件组；其中，第p个目标恶意检测规则对应的第q个所述样本文件组符合以下条件：；其中，p=1,2,...,t；t为目标恶意检测规则的数量；q=1,2,...,y(p)；y(p)为第p个目标恶意检测规则对应的样本文件组的数量；v(pq)为第p个目标恶意检测规则对应的第q个样本文件组中包含的恶意样本文件的数量；g(p)为第p个目标恶意检测规则对应的恶意样本文件的数量；对每一所述样本文件组进行第二特征向量确定处理，以得到当前的恶意样本文件列表对应的若干恶意样本向量。4.根据权利要求3所述的方法，其特征在于，所述第二特征向量确定处理，包括：获取当前的样本文件组中每一所述恶意样本文件对应的文件特征向量；根据当前的样本文件组对应的每一所述文件特征向量，得到当前的样本文件组对应的恶意样本向量。5.根据权利要求4所述的方法，其特征在于，所述获取当前的样本文件组中每一所述恶意样本文件对应的文件特征向量，包括：获取第p个目标恶意检测规则对应的第二初始特征向量组w
p1
,w
p2
,...,w
pq
,...,w
py(p)
；w
pq
=(w
pq1
,w
pq2
,...,w
pqx
,...,w
pqv(pq)
)；w
pqx
=(w
pqx1
,w
pqx2
,...,w
pqxa
,...,w
pqxh
)；其中，w
pq
为第p个目标恶意检测规则对应的第q个样本文件组的第二初始特征向量列表；x=1,2,...,v
(pq)；w
pqx
为第p个目标恶意检测规则对应的第q个样本文件组包含的第x个恶意样本文件的第二初始特征向量；a=1,2,...,h；h为第一指令信息类型的数量；w
pqxa
为w
pqx
中第a个第一指令信息类型对应的特征信息；w
pqxa
的初始值为null；获取第p个目标恶意检测规则对应的第q个样本文件组包含的每一恶意样本文件的若干样本指令信息类型，得到样本指令信息类型集m
pq
=(m
pq1
,m
pq2
,...,m
pqx
,...,m
pqv(pq)
)；m
pqx
=(m
pqx1
,m
pqx2
,...,m
pqxr
,...,m
pqxd(pqx)
)；其中，r=1,2,...,d(pqx)；d(pqx)为第p个目标恶意检测规则对应的第q个样本文件组包含的第x个恶意样本文件的样本指令信息类型的数量；m
pqx
为第p个目标恶意检测规则对应的第q个样本文件组包含的第x个恶意样本文件的样本指令信息类型列表；m
pqxr
为第p个目标恶意检测规则对应的第q个样本文件组包含的第x个恶意样本文件的第r个样本指令信息类型；遍历w
pqx
，若w
pqxa
对应的第一指令信息类型存在于m
pqx
中，则将w
pqxa
确定为1；否则，将w
pqxa
确定为0；将赋值后的w
pqx
确定为第p个目标恶意检测规则对应的第q个样本文件组包含的第x个恶意样本文件的文件特征向量。6.根据权利要求5所述的方法，其特征在于，所述根据当前的样本文件组对应的每一所述文件特征向量，得到当前的样本文件组对应的恶意样本向量，包括：确定第p个目标恶意检测规则对应的第q个样本文件组的恶意样本向量z
pq
=(z
pq1
,z
pq2
,...,z
pqa
,...,z
pqh
)；；其中，z
pqa
为z
pq
中第a个特征信息。7.根据权利要求1所述的方法，其特征在于，所述获取所述目标pe文件对应的目标指令向量，包括：将所述目标pe文件输入至ida解析工具中，得到所述目标pe文件对应的idb文件；对所述idb文件进行解析处理，得到若干个pe文件信息；根据若干个所述pe文件信息，得到目标json文件；根据所述目标json文件对应的若干目标指令信息类型，确定所述目标json文件对应的目标指令向量。8.根据权利要求7所述的方法，其特征在于，所述目标指令向量通过以下步骤确定：根据h个第一指令信息类型，得到第一初始特征向量e=(e1,e2,...,e
a
,...,e
h
)；其中，a=1,2,...,h；e
a
为e中第a个第一指令信息类型对应的特征信息；e
a
的初始值为null；遍历第一初始特征向量e，若所述目标json文件中包含e
a
对应的第一指令信息类型的目标指令信息，则将e
a
确定为1；否则，将e
a
确定为0；将赋值后的第一初始特征向量e确定为所述目标json文件对应的目标指令向量。9.根据权利要求7所述的方法，其特征在于，所述根据所述检测顺序，依次使用每一目标恶意检测规则对所述目标pe文件进行恶意检测，得到所述目标pe文件对应的恶意检测结果，包括：根据所述目标json文件中包含的目标指令信息和所述目标指令信息对应的目标相对存储地址，确定所述目标json文件对应的第一指令信息列表；所述第一指令信息列表中包含若干第一指令信息，每一所述第一指令信息对应有一目标指令信息类型；根据所述检测顺序，依次使用每一目标恶意检测规则对所述第一指令信息列表进行恶
意检测，得到所述目标pe文件对应的恶意检测结果。10.根据权利要求9所述的方法，其特征在于，所述第一指令信息列表通过以下步骤确定：获取所述目标json文件对应的每一pe文件信息类型包含的每一所述pe文件信息，得到pe文件信息集q=(q1,q2,...,q
i
,...,q
n
)；q
i
=(q
i1
,q
i2
,...,q
id
,...,q
ih(i)
)；其中，i=1,2,...,n；n为所述目标json文件对应的pe文件信息类型的数量；q
i
为所述目标json文件对应的第i个pe文件信息类型的pe文件信息列表；d=1,2,...,h(i)；h(i)为所述目标json文件对应的第i个pe文件信息类型包含的所述pe文件信息的数量；q
id
为所述目标json文件对应的第i个pe文件信息类型包含的第d个所述pe文件信息；遍历pe文件信息集q，若q
i
对应的pe文件信息类型为预设指令信息类型，则将q
i
每一所述pe文件信息确定为目标指令信息，得到目标指令信息集f=(f1,f2,...,f
b
,...,f
c
)；其中，b=1,2,...,c；c为所述目标json文件确定出的目标指令信息的数量；f
b
为所述目标json文件对应的第b个目标指令信息；f
b
对应有目标相对存储地址n
b
；根据b个所述目标相对存储地址由低到高的顺序，对f1,f2,...,f
b
,...,f
c
进行排列，得到第一指令信息列表a1,a2,...,a
b
,...,a
c
；其中，a
b
为所述目标json文件对应的第b个第一指令信息。

技术总结
本发明提供了一种文件检测方法，涉及安全检测领域，包括：获取目标PE文件对应的目标指令向量；根据目标指令向量与每一恶意样本向量对应的向量匹配度，得到每一目标恶意检测规则对应的向量匹配度列表；确定目标恶意检测规则对应的目标匹配度；将每一目标匹配度的排列顺序确定为对应的目标恶意检测规则的检测顺序；根据检测顺序，依次使用每一目标恶意检测规则对目标PE文件进行恶意检测，得到目标PE文件对应的恶意检测结果。与现有的PE文件恶意检测方法相比，本发明通过对不同类组的恶意样本文件进行聚类，得到每一目标恶意检测规则的检测顺序，可以更快的检测出目标PE文件是否为恶意文件，节省了系统算力，且缩短了检测时间。且缩短了检测时间。且缩短了检测时间。


技术研发人员：李建平 李石磊 肖新光
受保护的技术使用者：北京安天网络安全技术有限公司
技术研发日：2023.09.13
技术公布日：2023/10/20