The invention discloses an abnormal file recognition method and a device, belonging to the network technical field. The method includes: obtaining multiple samples of abnormal feature set file and public data string, abnormal characteristics of sample collection of documents is determined by the characteristics of a plurality of data sample normal file layer, a plurality of sample abnormal files through the same encryption algorithm encryption deformation deformation is obtained, the public data on the specified data layer for at least two samples of abnormal files both the data string; access to identify the target file; according to the characteristics of a plurality of data of the target file layer, set feature acquisition target file; when the feature set and any abnormal sample sets of document, specify the data layer and the target file and any sample files are abnormal including public data string. Determine the target file for abnormal file. The invention extends an abnormal file recognition method, solves the problem that the abnormal file can not be identified after the encryption deformation, and improves the flexibility.
【技术实现步骤摘要】
异常文件识别方法及装置
本专利技术涉及网络
,特别涉及一种异常文件识别方法及装置。
技术介绍
随着网络技术的发展以及网络信息的广泛传播,网络中存在着多个类型的文件,例如脚本、文档、页面等,这些文件中很可能包括异常文件。通常情况下,异常文件会影响系统的正常运行,导致用户信息泄露,为用户带来损失。因此,识别异常文件成为一个亟需解决的问题。相关技术中,异常特征码可以认为是导致文件出现异常的根源,一旦某一文件中包括异常特征码,即可认为该文件为异常文件,在该文件的运行过程中该异常特征码会影响系统的正常运行,因此识别异常文件的过程可以通过识别异常特征码实现。通常情况下,首先会获取已知的异常特征码,而对于待识别的文件,可以将文件中的数据与该异常特征码进行匹配,以判断该文件是否包括该异常特征码,当确定该文件包括该异常特征码时,可以确定该文件为异常文件。然而,当采用加密变形算法对异常文件进行加密变形后,异常文件中的异常特征码也会被加密变形,导致异常文件中包括异常特征码加密变形后的数据,而不包括原始的异常特征码,此时将无法识别出该异常文件,存在局限性。
技术实现思路
为了解决相关技术的问题,本专利技术实施例提供了一种异常文件识别方法及装置。所述技术方案如下:第一方面,提供了一种异常文件识别方法,所述方法包括:获取多个样本异常文件中每个样本异常文件的特征集合以及根据所述多个样本异常文件确定的公共数据串,所述样本异常文件的特征集合由所述样本异常文件的多个数据层的特征确定,所述多个样本异常文件通过采用同一加密变形算法对多个异常文件进行加密变形后得到,所述公共数据串为至少两个样本异 ...
【技术保护点】
一种异常文件识别方法,其特征在于,所述方法包括:获取多个样本异常文件中每个样本异常文件的特征集合以及根据所述多个样本异常文件确定的公共数据串,所述样本异常文件的特征集合由所述样本异常文件的多个数据层的特征确定,所述多个样本异常文件通过采用同一加密变形算法对多个异常文件进行加密变形后得到,所述公共数据串为至少两个样本异常文件的指定数据层均包括的数据串;获取待识别的目标文件;根据所述目标文件的多个数据层的特征,获取所述目标文件的特征集合;当所述特征集合与任一样本异常文件的特征集合匹配,且所述目标文件与所述任一样本异常文件的指定数据层均包括所述公共数据串时,确定所述目标文件为异常文件。
【技术特征摘要】
1.一种异常文件识别方法,其特征在于,所述方法包括:获取多个样本异常文件中每个样本异常文件的特征集合以及根据所述多个样本异常文件确定的公共数据串,所述样本异常文件的特征集合由所述样本异常文件的多个数据层的特征确定,所述多个样本异常文件通过采用同一加密变形算法对多个异常文件进行加密变形后得到,所述公共数据串为至少两个样本异常文件的指定数据层均包括的数据串;获取待识别的目标文件;根据所述目标文件的多个数据层的特征,获取所述目标文件的特征集合;当所述特征集合与任一样本异常文件的特征集合匹配,且所述目标文件与所述任一样本异常文件的指定数据层均包括所述公共数据串时,确定所述目标文件为异常文件。2.根据权利要求1所述的方法,其特征在于,所述获取多个样本异常文件中每个样本异常文件的特征集合以及根据所述多个样本异常文件确定的公共数据串之前,所述方法还包括:对于每个样本异常文件,将所述样本异常文件中包括的多个类型划分为多组,每组包括与同一数据层对应的至少一个类型;对所述样本异常文件中的数据进行分类,得到与所述多组分别匹配的多个数据层,使得同一数据层中包括对应的至少一个类型的数据,不同数据层的数据的类型不同;获取所述多个数据层的特征,组成所述特征集合。3.根据权利要求1所述的方法,其特征在于,所述根据所述多个样本异常文件的指定数据层中的数据串,确定公共数据串,包括:获取所述多个样本异常文件的指定数据层中的数据串,得到多个数据串;确定所述多个数据串中每个数据串的覆盖率,所述数据串的覆盖率为所述指定数据层包括所述数据串的样本异常文件的数量;根据所述每个数据串的覆盖率,从所述多个数据串中选取所述公共数据串。4.根据权利要求3所述的方法,其特征在于,所述根据所述每个数据串的覆盖率,从所述多个数据串中选取所述公共数据串,包括:从所述多个数据串中,选取所述多个样本异常文件的指定数据层均包括的数据串,作为所述公共数据串。5.根据权利要求3所述的方法,其特征在于,所述根据所述每个数据串的覆盖率,从所述多个数据串中选取所述公共数据串,包括:当所述多个数据串不包括所述多个样本异常文件的指定数据层均包括的数据串时,从所述多个数据串中选取覆盖率最大的第一数据串;确定所述指定数据层不包括所述第一数据串的多个样本异常文件,确定所述多个样本异常文件的指定数据层均包括的第二数据串;将所述第一数据串和所述第二数据串均作为所述公共数据串。6.根据权利要求1所述的方法,其特征在于,所述获取所述目标文件的特征集合之后,所述方法还包括:当所述特征集合中的每个特征与所述任一样本异常文件的相同数据层的特征均匹配时,确定所述特征集合与所述任一样本异...
【专利技术属性】
技术研发人员:姜澎,毕磊,吴彬,郭晓龙,苏蒙,申金娟,
申请(专利权)人:腾讯科技深圳有限公司,
类型:发明
国别省市:广东,44
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。