本申請涉及計算機技術(shù)領(lǐng)域,具體漏洞檢測技術(shù)領(lǐng)域,尤其涉及用于檢測惡意漏洞文件的方法、裝置及終端。
背景技術(shù):
目前,隨著計算機技術(shù)的不斷發(fā)展,計算機已經(jīng)被廣泛地應(yīng)用于人們的日常生活中,并且功能也越來越多,成為人們生活和工作的重要工具。然而,有一些個人或組織利用先進的攻擊手段對特定目標(biāo)進行長期持續(xù)性網(wǎng)絡(luò)攻擊,從而導(dǎo)致惡意代碼的執(zhí)行及敏感信息泄露,威脅了網(wǎng)絡(luò)的安全。
現(xiàn)有的檢測惡意漏洞文件的方法有兩種:一種為靜態(tài)檢測方法,一種為動態(tài)執(zhí)行的檢測方法。靜態(tài)特征檢測方法是比較常用的方法,檢測的方式有兩種:A、通過文件格式的異常檢測異常文檔。B、通過檢測漏洞利用文件的固定特征檢測異常文檔。動態(tài)執(zhí)行檢測方法是一種啟發(fā)式檢測的方法。在一些較為高級的啟發(fā)環(huán)境中會使用模擬環(huán)境執(zhí)行待執(zhí)行的文檔,檢測正常文檔不存在的行為。如果文檔觸發(fā)了shellcode(填充數(shù)據(jù),屬于漏洞代碼),就會具有文檔本身不應(yīng)該有的行為。比如:鏈接網(wǎng)絡(luò)、執(zhí)行程序、注入進程等等。
然而,對于靜態(tài)檢測方法來說,可以通過構(gòu)造文檔結(jié)構(gòu)和改變shellcode,很容易的繞過靜態(tài)檢測的方法。因此,靜態(tài)檢測方法啟發(fā)查殺能力很差,對于新出現(xiàn)的惡意漏洞文件沒有什么查殺的能力。對于動態(tài)執(zhí)行檢測方法來說,有多種方法可以檢測動態(tài)執(zhí)行的虛擬環(huán)境,導(dǎo)致不觸發(fā)相關(guān)的病毒代碼,從而使得檢測失敗。因此,動態(tài)執(zhí)行檢測方法有一定的啟發(fā)能力,但是效率低下,速度慢,并且啟發(fā)能力不是很高。
技術(shù)實現(xiàn)要素:
本申請?zhí)峁┝艘环N用于檢測惡意漏洞文件的方法、裝置及終端。解決了現(xiàn)有技術(shù)中對惡意漏洞文件查殺速度慢,查殺能力和效率低下的問題。
第一方面,本申請?zhí)峁┝艘环N用于檢測惡意漏洞文件的方法,所述方法包括:獲取待檢測文件;確定所述待檢測文件的熵向量;使用經(jīng)過訓(xùn)練的檢測模型對所述待檢測文件的熵向量進行檢測,以確定所述待檢測文件是否為惡意漏洞文件,其中,所述待檢測文件的文件類型和所述檢測模型對應(yīng)的文件類型相同。
在某些實施方式中,所述檢測模型通過如下方式獲得:獲取多個文件類型相同且安全類別已知的文件作為訓(xùn)練文件,其中,所述安全類別包括惡意漏洞文件類別以及非惡意漏洞文件類別;按照所述安全類別對所述訓(xùn)練文件進行安全類別的標(biāo)識;確定所述訓(xùn)練文件的熵向量;基于所述訓(xùn)練文件的熵向量和安全類別標(biāo)識訓(xùn)練并輸出檢測模型。
在某些實施方式中,所述訓(xùn)練并輸出檢測模型包括:基于所述訓(xùn)練文件的熵向量和安全類別標(biāo)識獲得初始檢測模型;
測試所述初始檢測模型的誤判率是否小于預(yù)定閾值;如果否,循環(huán)執(zhí)行修正當(dāng)前檢測模型的步驟以及測試修正后的檢測模型的誤判率是否小于預(yù)定閾值的步驟;響應(yīng)于修正后的檢測模型的誤判率小于預(yù)定閾值,停止循環(huán)并輸出所述修正后的檢測模型。
在某些實施方式中,所述獲得初始檢測模型,包括:從所述訓(xùn)練文件中獲取部分文件作為第一文件;對所述第一文件的熵向量進行特征分類;基于所述特征分類的結(jié)果以及所述第一文件的安全類別標(biāo)識,學(xué)習(xí)得到初始檢測模型。
在某些實施方式中,測試檢測模型的誤判率是否小于預(yù)定閾值,包括:從所述訓(xùn)練文件中獲取部分文件作為第二文件;使用待測試的檢測模型對所述第二文件的熵向量進行檢測;根據(jù)檢測的結(jié)果以及所述第二文件的安全類別標(biāo)識確定誤判率;將所述誤判率與所述預(yù)定閾值進行比較,以確定所述誤判率是否小于預(yù)定閾值;其中,所述第二文件中不包含所述第一文件。
在某些實施方式中,所述修正當(dāng)前檢測模型,包括以下至少一項:增加第一文件的數(shù)量并重新學(xué)習(xí)得到檢測模型;以及調(diào)整熵向量的維度數(shù)并重新學(xué)習(xí)得到檢測模型。
在某些實施方式中,通過如下方式確定文件的熵向量:將文件切分為預(yù)定數(shù)量的切片;獲取每個所述切片的熵值;將所述切片的數(shù)量作為熵向量的維度數(shù),每個所述切片對應(yīng)一個熵向量的方向,基于每個所述切片的熵值確定文件的熵向量。
第二方面,本申請?zhí)峁┝艘环N用于檢測惡意漏洞文件的裝置,獲取單元,用于獲取待檢測文件;確定單元,用于確定所述待檢測文件的熵向量;檢測單元,用于使用經(jīng)過訓(xùn)練的檢測模型對所述待檢測文件的熵向量進行檢測,以確定所述待檢測文件是否為惡意漏洞文件,其中,所述待檢測文件的文件類型和所述檢測模型對應(yīng)的文件類型相同。
在某些實施方式中,所述檢測模型通過如下方式獲得:獲取多個文件類型相同且安全類別已知的文件作為訓(xùn)練文件,其中,所述安全類別包括惡意漏洞文件類別以及非惡意漏洞文件類別;按照所述安全類別對所述訓(xùn)練文件進行安全類別的標(biāo)識;確定所述訓(xùn)練文件的熵向量;基于所述訓(xùn)練文件的熵向量和安全類別標(biāo)識訓(xùn)練并輸出檢測模型。
在某些實施方式中,所述訓(xùn)練并輸出檢測模型包括:基于所述訓(xùn)練文件的熵向量和安全類別標(biāo)識獲得初始檢測模型;測試所述初始檢測模型的誤判率是否小于預(yù)定閾值;如果否,循環(huán)執(zhí)行修正當(dāng)前檢測模型的步驟以及測試修正后的檢測模型的誤判率是否小于預(yù)定閾值的步驟;響應(yīng)于修正后的檢測模型的誤判率小于預(yù)定閾值,停止循環(huán)并輸出所述修正后的檢測模型。
在某些實施方式中,所述獲得初始檢測模型,包括:從所述訓(xùn)練文件中獲取部分文件作為第一文件;對所述第一文件的熵向量進行特征分類;基于所述特征分類的結(jié)果以及所述第一文件的安全類別標(biāo)識,學(xué)習(xí)得到初始檢測模型。
在某些實施方式中,測試檢測模型的誤判率是否小于預(yù)定閾值,包括:從所述訓(xùn)練文件中獲取部分文件作為第二文件;使用待測試的 檢測模型對所述第二文件的熵向量進行檢測;根據(jù)檢測的結(jié)果以及所述第二文件的安全類別標(biāo)識確定誤判率;將所述誤判率與所述預(yù)定閾值進行比較,以確定所述誤判率是否小于預(yù)定閾值;其中,所述第二文件中不包含所述第一文件。
在某些實施方式中,所述修正當(dāng)前檢測模型,包括以下至少一項:增加第一文件的數(shù)量并重新學(xué)習(xí)得到檢測模型;以及調(diào)整熵向量的維度數(shù)并重新學(xué)習(xí)得到檢測模型。
在某些實施方式中,所述確定單元配置用于:將文件切分為預(yù)定數(shù)量的切片;獲取每個所述切片的熵值;將所述切片的數(shù)量作為熵向量的維度數(shù),每個所述切片對應(yīng)一個熵向量的方向,基于每個所述切片的熵值確定文件的熵向量。
第三方面,本申請?zhí)峁┝艘环N終端,所述終端包括處理器,存儲器;其中,所述存儲器用于存儲經(jīng)過訓(xùn)練的檢測模型,所述處理器用于獲取待檢測文件,確定所述待檢測文件的熵向量,并使用經(jīng)過訓(xùn)練的檢測模型對所述待檢測文件的熵向量進行檢測,以確定所述待檢測文件是否為惡意漏洞文件,其中,所述待檢測文件的文件類型和所述檢測模型對應(yīng)的文件類型相同。
在某些實施方式中,所述檢測模型通過如下方式獲得:獲取多個文件類型相同且安全類別已知的文件作為訓(xùn)練文件,其中,所述安全類別包括惡意漏洞文件類別以及非惡意漏洞文件類別;按照所述安全類別對所述訓(xùn)練文件進行安全類別的標(biāo)識;確定所述訓(xùn)練文件的熵向量;基于所述訓(xùn)練文件的熵向量和安全類別標(biāo)識訓(xùn)練并輸出檢測模型。
本申請?zhí)峁┑挠糜谧R別手勢的方法、裝置及終端,通過提取待檢測文件的熵向量,并基于待檢測文件的熵向量,確定該待檢測文件是否為惡意漏洞文件。解決了現(xiàn)有技術(shù)中對惡意漏洞文件查殺速度慢,查殺能力和效率低下的技術(shù)問題,提高了對惡意漏洞文件的查殺效率。
附圖說明
通過閱讀參照以下附圖所作的對非限制性實施例所作的詳細(xì)描述,本申請的其它特征、目的和優(yōu)點將會變得更明顯:
圖1是本申請實施例提供的用于檢測惡意漏洞文件的方法的一個實施例的流程圖;
圖2是本申請實施例提供的惡意漏洞文件內(nèi)容的熵值曲線變化示意圖;
圖3是本申請實施例提供的包含shellcode的文件的內(nèi)容熵值曲線變化示意圖;
圖4是本申請實施例提供的獲得檢測模型的方法的一個實施例的流程圖;
圖5是本申請實施例提供的用于檢測惡意漏洞文件的裝置的一個實施例的結(jié)構(gòu)示意圖;
圖6是本申請實施例提供的終端的一個實施例的結(jié)構(gòu)示意圖。
具體實施方式
下面結(jié)合附圖和實施例對本申請作進一步的詳細(xì)說明??梢岳斫獾氖?,此處所描述的具體實施例僅僅用于解釋相關(guān)發(fā)明,而非對該發(fā)明的限定。另外還需要說明的是,為了便于描述,附圖中僅示出了與有關(guān)發(fā)明相關(guān)的部分。
需要說明的是,在不沖突的情況下,本申請中的實施例及實施例中的特征可以相互組合。下面將參考附圖并結(jié)合實施例來詳細(xì)說明本申請。
本申請所涉及的終端可以包括但不限于智能手機、平板電腦、個人數(shù)字助理、膝上型便攜計算機以及臺式電腦等等。出于示例描述目的以及為了簡潔起見,在接下來的討論中,結(jié)合臺式電腦來描述本申請的示例性實施例。
請參考圖1,其示出了根據(jù)本申請的用于檢測惡意漏洞文件的方法的一個實施例的流程100。
如圖1所示,在步驟101中,獲取待檢測文件。
接著,在步驟102中,確定待檢測文件的熵向量。
一般來說,惡意漏洞文件在文檔中構(gòu)造了大量的重復(fù)字串,然后構(gòu)造ROP(Return-oriented programming,返回導(dǎo)向編程),執(zhí)行其他 模塊中的代碼,從而繞過DEP(Data Execution Prevention,數(shù)據(jù)執(zhí)行保護)以釋放病毒體。
在本實施例中,通過對一些惡意漏洞文件進行深入地分析發(fā)現(xiàn),構(gòu)造好的可疑文件會將病毒文件加密放在文本后面,此部分內(nèi)容的熵值必然非常大,而且會用大量的重復(fù)數(shù)據(jù)填充,所以文件的熵值曲線應(yīng)該在末尾有一個突增。
例如,圖2示出了惡意漏洞文件內(nèi)容的熵值曲線變化示意圖,如圖2所示,橫坐標(biāo)表示文件內(nèi)容的片段的位置,橫坐標(biāo)的原點表示文件頭的位置,橫坐標(biāo)的值越大表示文件的內(nèi)容片段越靠后??v坐標(biāo)表示文件中對應(yīng)于橫坐標(biāo)位置的內(nèi)容片段的熵值。從圖2可以看出惡意漏洞文件內(nèi)容在末尾的片段的熵值有一個突增。
又例如,圖3示出了包含shellcode的文件的內(nèi)容熵值曲線變化示意圖,如圖3所示,橫坐標(biāo)表示文件內(nèi)容的片段的位置,橫坐標(biāo)的原點表示文件頭的位置,橫坐標(biāo)的值越大表示文件的內(nèi)容片段越靠后??v坐標(biāo)表示文件中對應(yīng)于橫坐標(biāo)位置的內(nèi)容片段的熵值。從圖3可以看出,包含shellcode的文件的內(nèi)容熵值包含了大量的連續(xù)的4左右的數(shù)據(jù)。
因此,在本實施例中,可以根據(jù)待檢測文件的熵向量的特征判斷待檢測文件是否為惡意漏洞文件。
需要說明的是,文件片段的熵值表征了該文件片段的混亂程度,文字、圖片、代碼、壓縮包、應(yīng)用程序等,由于組織方式不同,熵值也不相同。例如,圖片經(jīng)過壓縮,壓縮包也經(jīng)過壓縮,其熵值就會很高,而且有一定的規(guī)律??梢杂脭?shù)據(jù)編碼的信息熵來表示編碼的狀態(tài)。
在本實施例中,可以通過如下方式確定文件的熵向量:首先,將文件等值切分為預(yù)定數(shù)量的切片,計算每一片切片的信息熵,以表示整個文件編碼的變化情況。其中,預(yù)定數(shù)量可以是用戶預(yù)先設(shè)定的一個值,可以理解,本申請對預(yù)定數(shù)量的具體數(shù)值不限定。將上述切片的數(shù)量作為熵向量的維度數(shù),每個切片對應(yīng)一個熵向量的方向,基于每個切片的熵值確定文件的熵向量。例如,假設(shè)將文件等值切分為3個切片,分別為切片i,切片j,切片k,計算這3個切片對應(yīng)的熵值, 分別為a,b,c,則該文件的熵向量為3維向量,熵向量可以表示為
最后,在步驟103中,使用經(jīng)過訓(xùn)練的檢測模型對上述待檢測文件的熵向量進行檢測,以確定該待檢測文件是否為惡意漏洞文件。
在本實施例中,可以使用經(jīng)過訓(xùn)練的檢測模型對上述待檢測文件的熵向量進行檢測,分析待檢測文件的熵向量的特征,根據(jù)待檢測文件的熵向量的特征確定該待檢測文件是否為惡意漏洞文件。
需要說明的是,惡意漏洞文件的文件類型不同,其熵向量的特征就不相同。因此,每種文件類型對應(yīng)一種檢測模型,在檢測待檢測文件時,所選取的檢測模型對應(yīng)的文件類型與待檢測文件的文件類型相同。
本申請的上述實施例提供的方法,通過提取待檢測文件的熵向量,并基于待檢測文件的熵向量,確定該待檢測文件是否為惡意漏洞文件。解決了現(xiàn)有技術(shù)中對惡意漏洞文件查殺速度慢,查殺能力和效率低下的技術(shù)問題,提高了對惡意漏洞文件的查殺效率。
進一步參考圖4,其示出了獲得檢測模型的方法的一個實施例的流程400。
如圖4所示,在步驟401中,獲取多個文件類型相同且安全類別已知的文件作為訓(xùn)練文件。
在本實施例中,任意獲取多個文件類型相同的文件作為訓(xùn)練文件,并且這些文件的安全類別已知,其中,安全類別包括惡意漏洞文件類別以及非惡意漏洞文件類別。需要說明的是,上述訓(xùn)練文件的安全類別可以是通過其它方法確定的,可以理解,本申請對確定上述訓(xùn)練文件的安全類別的具體方法不限定。
接著,在步驟402中,按照安全類別對上述訓(xùn)練文件進行安全類別的標(biāo)識。
在本實施例中,按照訓(xùn)練文件的安全類別對上述訓(xùn)練文件進行標(biāo)識,在本實施例的一種實現(xiàn)中,可以采用特殊顏色對訓(xùn)練文件進行安全類別的標(biāo)識,不同的顏色表示不同的安全類別。在本實施例的另一種實現(xiàn)中,可以采用特殊符號對訓(xùn)練文件進行安全類別的標(biāo)識,不同 的符號表示不同的安全類別??梢岳斫?,還可以通過其它的方式對上述訓(xùn)練文件進行安全類別的標(biāo)識,本申請對此方面不限定。
繼而,在步驟403中,確定上述訓(xùn)練文件的熵向量。
最后,在步驟404中,基于上述訓(xùn)練文件的熵向量和安全類別標(biāo)識訓(xùn)練并輸出檢測模型。
在本實施例中,首先,基于上述訓(xùn)練文件的熵向量和安全類別標(biāo)識獲得初始檢測模型。具體地,先從訓(xùn)練文件中獲取部分文件作為第一文件,對第一文件的熵向量進行特征分類??梢圆捎肧VM(Support Vector Machine,支持向量機)算法對第一文件的熵向量進行特征分類??梢岳斫?,還可以采用其它的方式對第一文件的熵向量進行特征分類,本申請對進行特征分類所采用的具體方式方面不限定。然后,基于特征分類的結(jié)果以及第一文件的安全類別標(biāo)識,學(xué)習(xí)得到初始檢測模型。
接著,測試上述初始檢測模型的誤判率是否小于預(yù)定閾值。具體地,從訓(xùn)練文件中不包含第一文件的部分文件中獲取多個文件作為第二文件(第二文件中不包含第一文件),使用初始檢測模型(待測試的檢測模型)對每個第二文件的熵向量進行檢測,判斷每個第二文件的安全類別。然后將初始檢測模型判斷的結(jié)果與每個第二文件的安全類別標(biāo)識進行比較。如果初始檢測模型判斷的結(jié)果與某個第二文件的安全類別標(biāo)識所對應(yīng)的安全類別一致,則該判斷結(jié)果正確。如果初始檢測模型判斷的結(jié)果與某個第二文件的安全類別標(biāo)識所對應(yīng)的安全類別不一致,則該判斷結(jié)果錯誤。用判斷結(jié)果出現(xiàn)錯誤的次數(shù)除以測試的總次數(shù),從而獲得該初始檢測模型的誤判率。將該誤判率與預(yù)定閾值進行比較,以確定誤判率是否小于預(yù)定閾值。
繼而,如果初始檢測模型的誤判率大于等于預(yù)定閾值,說明該模型的準(zhǔn)確率不夠高,因此,循環(huán)執(zhí)行修正當(dāng)前檢測模型的步驟以及測試修正后的檢測模型的誤判率是否小于預(yù)定閾值的步驟。具體地,修正當(dāng)前檢測模型,可以包括以下至少一項:增加第一文件的數(shù)量并重新學(xué)習(xí)得到檢測模型以及調(diào)整熵向量的維度數(shù)并重新學(xué)習(xí)得到檢測模型。
最后,響應(yīng)于修正后的檢測模型的誤判率小于預(yù)定閾值,說明該 模型的準(zhǔn)確率已經(jīng)滿足條件,停止循環(huán)并輸出修正后的檢測模型。
應(yīng)當(dāng)注意,盡管在附圖中以特定順序描述了本發(fā)明方法的操作,但是,這并非要求或者暗示必須按照該特定順序來執(zhí)行這些操作,或是必須執(zhí)行全部所示的操作才能實現(xiàn)期望的結(jié)果。相反,流程圖中描繪的步驟可以改變執(zhí)行順序。例如,在圖4的流程400中,可以先執(zhí)行步驟403,確定上述訓(xùn)練文件的熵向量,然后再執(zhí)行步驟402,按照安全類別對上述訓(xùn)練文件進行安全類別的標(biāo)識。附加地或備選地,可以省略某些步驟,將多個步驟合并為一個步驟執(zhí)行,和/或?qū)⒁粋€步驟分解為多個步驟執(zhí)行。
進一步參考圖5,其示出了根據(jù)本申請的用于檢測惡意漏洞文件的裝置的一個實施例的結(jié)構(gòu)示意圖。
如圖5所示,本實施例的裝置500包括:獲取單元501,確定單元502和檢測單元503。其中,獲取單元501用于獲取待檢測文件。確定單元502用于確定待檢測文件的熵向量。檢測單元503用于使用經(jīng)過訓(xùn)練的檢測模型對待檢測文件的熵向量進行檢測,以確定待檢測文件是否為惡意漏洞文件,其中,待檢測文件的文件類型和檢測模型對應(yīng)的文件類型相同。
在一些可選實施方式中,檢測模型通過如下方式獲得:獲取多個文件類型相同且安全類別已知的文件作為訓(xùn)練文件,其中,安全類別包括惡意漏洞文件類別以及非惡意漏洞文件類別。按照安全類別對訓(xùn)練文件進行安全類別的標(biāo)識。確定訓(xùn)練文件的熵向量?;谟?xùn)練文件的熵向量和安全類別標(biāo)識訓(xùn)練并輸出檢測模型。
在一些可選實施方式中,訓(xùn)練并輸出檢測模型包括:基于訓(xùn)練文件的熵向量和安全類別標(biāo)識獲得初始檢測模型。測試初始檢測模型的誤判率是否小于預(yù)定閾值。如果否,循環(huán)執(zhí)行修正當(dāng)前檢測模型的步驟以及測試修正后的檢測模型的誤判率是否小于預(yù)定閾值的步驟。響應(yīng)于修正后的檢測模型的誤判率小于預(yù)定閾值,停止循環(huán)并輸出所述修正后的檢測模型。
在一些可選實施方式中,獲得初始檢測模型,包括:從訓(xùn)練文件中獲取部分文件作為第一文件。對第一文件的熵向量進行特征分類。 基于特征分類的結(jié)果以及第一文件的安全類別標(biāo)識,學(xué)習(xí)得到初始檢測模型。
在一些可選實施方式中,測試檢測模型的誤判率是否小于預(yù)定閾值,包括:從訓(xùn)練文件中獲取部分文件作為第二文件。使用待測試的檢測模型對第二文件的熵向量進行檢測。根據(jù)檢測的結(jié)果以及第二文件的安全類別標(biāo)識確定誤判率。將誤判率與預(yù)定閾值進行比較,以確定誤判率是否小于預(yù)定閾值。其中,第二文件中不包含第一文件。
在一些可選實施方式中,修正當(dāng)前檢測模型,包括以下至少一項:增加第一文件的數(shù)量并重新學(xué)習(xí)得到檢測模型,以及調(diào)整熵向量的維度數(shù)并重新學(xué)習(xí)得到檢測模型。
在一些可選實施方式中,確定單元配置用于:將文件切分為預(yù)定數(shù)量的切片。獲取每個切片的熵值。將切片的數(shù)量作為熵向量的維度數(shù),每個切片對應(yīng)一個熵向量的方向,基于每個切片的熵值確定文件的熵向量。
應(yīng)當(dāng)理解,裝置500中記載的諸單元或模塊與參考圖1-4描述的方法中的各個步驟相對應(yīng)。由此,上文針對方法描述的操作和特征同樣適用于裝置500及其中包含的單元,在此不再贅述。裝置500可以預(yù)先設(shè)置在終端中,也可以通過下載等方式而加載到終端中。裝置500中的相應(yīng)單元可以與終端中的單元相互配合以實現(xiàn)用于識別手勢的方案。
進一步參考圖6,其示出了根據(jù)本申請的終端的一個實施例的結(jié)構(gòu)示意圖。
如圖6所示,本實施例的終端600包括:至少一個處理器601,例如CPU(Central Processing Unit,中央處理器),至少一個通信接口602,至少一個用戶接口603,存儲器604,至少一個通信總線605。通信總線605用于實現(xiàn)上述組件之間的連接通信。終端600可選的包含用戶接口603,如顯示組件,鍵盤或者點擊設(shè)備(例如,鼠標(biāo),軌跡球(trackball),觸感板或者觸感顯示屏)等等。存儲器604可能包含高速RAM(Random Access Memory,隨機存取存儲器),也可能還包括非易失性存儲器(non-volatile memory),例如至少一個磁盤存儲 器。存儲器604可選的可以包含至少一個位于遠(yuǎn)離前述處理器601的存儲裝置。
在一些實施方式中,存儲器604存儲了如下的元素,可執(zhí)行模塊或者數(shù)據(jù)結(jié)構(gòu),或者他們的子集,或者他們的擴展集:
操作系統(tǒng)614,包含各種系統(tǒng)程序,用于實現(xiàn)各種基礎(chǔ)業(yè)務(wù)以及處理基于硬件的任務(wù)。
應(yīng)用程序624,包含各種應(yīng)用程序,用于實現(xiàn)各種應(yīng)用業(yè)務(wù)。
在本實施例中,存儲器604用于存儲經(jīng)過訓(xùn)練的檢測模型。處理器601用于獲取待檢測文件,確定待檢測文件的熵向量,并使用經(jīng)過訓(xùn)練的檢測模型對待檢測文件的熵向量進行檢測,以確定待檢測文件是否為惡意漏洞文件,其中,待檢測文件的文件類型和所述檢測模型對應(yīng)的文件類型相同。
進一步地,檢測模型通過如下方式獲得:獲取多個文件類型相同且安全類別已知的文件作為訓(xùn)練文件,其中,安全類別包括惡意漏洞文件類別以及非惡意漏洞文件類別。按照安全類別對訓(xùn)練文件進行安全類別的標(biāo)識。確定訓(xùn)練文件的熵向量?;谟?xùn)練文件的熵向量和安全類別標(biāo)識訓(xùn)練并輸出檢測模型。
描述于本申請實施例中所涉及到的單元模塊可以通過軟件的方式實現(xiàn),也可以通過硬件的方式來實現(xiàn)。所描述的單元模塊也可以設(shè)置在處理器中,例如,可以描述為:一種處理器包括獲取單元,確定單元,檢測單元。其中,這些單元模塊的名稱在某種情況下并不構(gòu)成對該單元模塊本身的限定,例如,獲取單元還可以被描述為“用于獲取待檢測文件的單元”。
作為另一方面,本申請還提供了一種計算機可讀存儲介質(zhì),該計算機可讀存儲介質(zhì)可以是上述實施例中所述裝置中所包含的計算機可讀存儲介質(zhì);也可以是單獨存在,未裝配入終端中的計算機可讀存儲介質(zhì)。所述計算機可讀存儲介質(zhì)存儲有一個或者一個以上程序,所述程序被一個或者一個以上的處理器用來執(zhí)行描述于本申請的用于檢測惡意漏洞文件的方法。
以上描述僅為本申請的較佳實施例以及對所運用技術(shù)原理的說 明。本領(lǐng)域技術(shù)人員應(yīng)當(dāng)理解,本申請中所涉及的發(fā)明范圍,并不限于上述技術(shù)特征的特定組合而成的技術(shù)方案,同時也應(yīng)涵蓋在不脫離所述發(fā)明構(gòu)思的情況下,由上述技術(shù)特征或其等同特征進行任意組合而形成的其它技術(shù)方案。例如上述特征與本申請中公開的(但不限于)具有類似功能的技術(shù)特征進行互相替換而形成的技術(shù)方案。