一種檢測文件安全的方法和裝置制造方法【專利摘要】本發(fā)明公開了一種檢測文件安全的方法和裝置�,其中�����,所述方法包括:從待檢測文件中提取文件特征���,并確定提取的文件特征的類別;根據(jù)所述文件特征的類別確定人工智能引擎鑒定器�,通過所述確定的鑒定器對所述文件特征進(jìn)行評分,得到第一評分結(jié)果��;將所述第一評分結(jié)果與預(yù)置經(jīng)驗分?jǐn)?shù)進(jìn)行比較��,確定所述待檢測文件的安全級別�����。通過本發(fā)明解決了文件安全檢測過程速度慢�����,效率低���,檢測結(jié)果準(zhǔn)確度低的問題�?���!緦@f明】一種檢測文件安全的方法和裝置【
技術(shù)領(lǐng)域:
】[0001]本發(fā)明涉及互聯(lián)網(wǎng)【
技術(shù)領(lǐng)域:
】�,具體涉及一種檢測文件安全的方法和裝置����。【
背景技術(shù):
】[0002]目前�,隨著互聯(lián)網(wǎng)技術(shù)的發(fā)展,隨之而來的病毒文件也越來越多��,病毒文件是人為的特制程序代碼���,其具有如下特點:自我復(fù)制能力,很強(qiáng)的感染性��,一定的潛伏性��,特定的觸發(fā)性和很大的破壞性��。[0003]傳統(tǒng)未知文件安全的鑒定方法通常將整個文件上傳鑒定服務(wù)器中��,由鑒定服務(wù)器對整個文件的數(shù)據(jù)進(jìn)行分析鑒定�����,得到鑒定結(jié)果,從而判斷出未知文件的安全性�����。[0004]傳統(tǒng)的文件安全鑒定方法存在如下問題:第一���,將整個文件進(jìn)行上傳����,當(dāng)文件比較大時�����,需要消耗大量時間進(jìn)行上傳操作�����、且占用較多的資源�����。第二�����,對上傳的文件中的全部數(shù)據(jù)進(jìn)行分析鑒定,耗時久��,效率低�����。第三��,只針對上傳的文件中的數(shù)據(jù)信息進(jìn)行鑒定���,然而��,隨著病毒文件的不斷發(fā)展���,許多病毒文件中的數(shù)據(jù)信息與安全文件中的數(shù)據(jù)信息是相同的�����,因此得到的鑒定結(jié)果準(zhǔn)確度低���。第四�����,當(dāng)有多個未知文件同時需要被鑒定時�,需要按順序排隊進(jìn)行鑒定,鑒定速度慢�,效率低?�!?br/>發(fā)明內(nèi)容】[0005]鑒于上述問題�����,提出了本發(fā)明以便提供一種克服上述問題或者至少部分地解決上述問題的一種檢測文件安全的方法和相應(yīng)的一種檢測文件安全的裝置�。[0006]依據(jù)本發(fā)明的一個方面,提供了一種檢測文件安全的方法����,包括:[0007]從待檢測文件中提取文件特征,并確定提取的文件特征的類別���;[0008]根據(jù)所述文件特征的類別確定人工智能引擎鑒定器��,通過所述確定的鑒定器對所述文件特征進(jìn)行評分�,得到第一評分結(jié)果��;[0009]將所述第一評分結(jié)果與預(yù)置經(jīng)驗分?jǐn)?shù)進(jìn)行比較,確定所述待檢測文件的安全級別���。[0010]根據(jù)本發(fā)明的另一方面���,提供了一種檢測文件安全的裝置,包括:[0011]提取模塊�����,用于從待檢測文件中提取文件特征���;[0012]第一評分模塊�,用于根據(jù)所述文件特征的類別確定人工智能引擎鑒定器���,通過所述確定的鑒定器對所述文件特征進(jìn)行評分����,得到第一評分結(jié)果���;[0013]安全級別確定模塊,用于將所述第一評分結(jié)果與預(yù)置經(jīng)驗分?jǐn)?shù)進(jìn)行比較���,確定所述待檢測文件的安全級別�����。[0014]本發(fā)明提供了一種檢測文件安全的方法和裝置�。首先從待檢測文件中提取文件特征,提取的待檢測文件的文件特征只占用很少的字符(如���,IOKB或50KB等)�,根據(jù)對待檢測文件的文件特征的進(jìn)行鑒定���,進(jìn)而判斷出未知文件的安全性����。由于待檢測文件的文件特征很小����,因此在待檢測文件的文件特征的上傳過程中,上傳速度快�����,效率高��。同樣,由于待檢測文件的文件特征很小���,因此在對待檢測文件的文件特征的鑒定過程中鑒定速度快�、效率高����。其次,在本發(fā)明中���,根據(jù)所述文件特征的類別確定鑒定器���,并通過確定的鑒定器完成待檢測文件的鑒定,采用分布式鑒定的方法����,滿足多個待檢測文件同時鑒定的需求,提高了鑒定效率��。最后����,在本發(fā)明中,由于提取的是待檢測文件的文件特征�����,所述待檢測文件的文件特征不僅包括所述待檢測文件的文件信息�����,還可以包括待檢測文件的文件路徑����、IP地址等信息,提高了文件安全鑒定結(jié)果的準(zhǔn)確性�。[0015]上述說明僅是本發(fā)明技術(shù)方案的概述,為了能夠更清楚了解本發(fā)明的技術(shù)手段��,而可依照說明書的內(nèi)容予以實施����,并且為了讓本發(fā)明的上述和其它目的、特征和優(yōu)點能夠更明顯易懂��,以下特舉本發(fā)明的【具體實施方式】�����?���!緦@綀D】【附圖說明】[0016]通過閱讀下文優(yōu)選實施方式的詳細(xì)描述���,各種其他的優(yōu)點和益處對于本領(lǐng)域普通技術(shù)人員將變得清楚明了。附圖僅用于示出優(yōu)選實施方式的目的���,而并不認(rèn)為是對本發(fā)明的限制����。而且在整個附圖中����,用相同的參考符號表示相同的部件。在附圖中:[0017]圖1是本發(fā)明第一實施例中一種檢測文件安全的方法的流程圖����;[0018]圖2是本發(fā)明第二實施例中一種檢測文件安全的方法的流程圖;[0019]圖3是本發(fā)明第三實施例中一種檢測文件安全的裝置的結(jié)構(gòu)框圖���;[0020]圖4是本發(fā)明第四實施例中一種檢測文件安全的裝置的結(jié)構(gòu)框圖�?����!揪唧w實施方式】[0021]下面將參照附圖更詳細(xì)地描述本公開的示例性實施例。雖然附圖中顯示了本公開的示例性實施例���,然而應(yīng)當(dāng)理解����,可以以各種形式實現(xiàn)本公開而不應(yīng)被這里闡述的實施例所限制����。相反���,提供這些實施例是為了能夠更透徹地理解本公開���,并且能夠?qū)⒈竟_的范圍完整的傳達(dá)給本領(lǐng)域的技術(shù)人員。[0022]參照圖1��,示出了本發(fā)明第一實施例中一種檢測文件安全的方法的流程圖�����。在本實施例中��,所述檢測文件安全的方法可以包括:[0023]步驟102�����,從待檢測文件中提取文件特征,并確定提取的文件特征的類別�。[0024]在本實施例中,所述待檢測文件是一個未知安全級別的文件����。在接收到待檢測文件之后,對所述待檢測文件進(jìn)行分析���,從所述待檢測文件中提取相應(yīng)的文件特征����,并將提取的文件特征放入滿足設(shè)定要求的特征向量內(nèi)�����。對提取的文件特征進(jìn)行分類����,例如,可以依據(jù)加殼分類標(biāo)準(zhǔn)將所述待檢測文件的文件特征分為UPX(UltimatePackerforeXecutables,可執(zhí)行程序文件)��、NSPack、ASPack��、UPack�����、PECompact(壓縮可執(zhí)行文件的工具)等���;或者��,還可以據(jù)編譯器的類型將所述待檢測文件的文件特征分為VC4(MicrosoftVisualC++,簡稱VisualC++�、MSVC、VC++或VC�����,具有集成開發(fā)環(huán)境��,可提供編輯C語言���、C++以及C++/CLI等編程語言)���、VC5、VC6、VC7���、VC8����、Delphi(快速應(yīng)用程序開發(fā)工具)���、BC(BinaryCalculator,LINUX命令的一種����,用于實現(xiàn)任意精度計算)等���。[0025]其中���,所述文件特征包括但不僅限于:文件名、文件路徑�����、文件大小�、文件特征(FileDNA)、圖標(biāo)特征(IconDNA)����、MD5值和IP地址(InternetProtocol,IP,網(wǎng)絡(luò)之間互連的協(xié)議)中的至少一種�����。[0026]步驟104�����,根據(jù)所述文件特征的類別確定人工智能引擎鑒定器��,通過所述確定的鑒定器對所述文件特征進(jìn)行評分�����,得到第一評分結(jié)果。[0027]在本實施例中��,所述人工智能弓I擎鑒定器可以是QVM鑒定器���。其中�����,QVM是指QihooSupportVectorMachine,奇虎支持向量機(jī),或稱為奇虎虛擬機(jī)���。[0028]步驟106�����,將所述第一評分結(jié)果與預(yù)置經(jīng)驗分?jǐn)?shù)進(jìn)行比較��,確定所述待檢測文件的安全級別��。[0029]在本實施例中��,所述第一評分結(jié)果的分?jǐn)?shù)范圍可以是:0?1000分(包括0分和1000分)��,所述與預(yù)置經(jīng)驗分?jǐn)?shù)值可以是520分�。當(dāng)所述第一評分結(jié)果對應(yīng)的分?jǐn)?shù)大于等于520分時���,確定所述待檢測文件是危險文件(如����,攜帶蠕蟲病毒的文件����、攜帶宏病毒的文件、或攜帶特洛伊木馬的文件等)��;當(dāng)所述第一評分結(jié)果對應(yīng)的分?jǐn)?shù)小于520分時,則確定所述待檢測文件為安全文件����,用戶可以正常安裝使用。其中��,所述預(yù)置經(jīng)驗分?jǐn)?shù)值可以是通過對大量樣本文件進(jìn)行機(jī)器學(xué)習(xí)訓(xùn)練得到����。[0030]綜上所述,本實施例所述的一種檢測文件安全的方法從待檢測文件中提取文件特征��,提取的待檢測文件的文件特征只占用很少的字符(如�����,文件特征的大小可以是IOKB或50KB等)����,根據(jù)對待檢測文件的文件特征的進(jìn)行鑒定�����,進(jìn)而判斷出未知文件的安全性�����。由于待檢測文件的文件特征很小,因此在待檢測文件的文件特征的上傳過程中��,上傳速度快���,效率高����。同樣���,由于待檢測文件的文件特征很小��,因此在對待檢測文件的文件特征的鑒定過程中鑒定速度快���、效率高。其次��,在本實施例中���,根據(jù)所述文件特征的類別確定鑒定器�����,并通過確定的鑒定器完成待檢測文件的鑒定���,采用分布式鑒定的方法����,滿足多個待檢測文件同時鑒定的需求��,提高了鑒定效率�����。最后�,在本實施例中,由于提取的是待檢測文件的文件特征��,所述待檢測文件的文件特征不僅包括所述待檢測文件的文件信息���,還可以包括待檢測文件的文件路徑�����、IP地址等信息,提高了文件安全鑒定結(jié)果的準(zhǔn)確性�。[0031]參照圖2��,示出了本發(fā)明第二實施例中一種檢測文件安全的方法的流程圖�����。[0032]在本實施例中�,云端服務(wù)器可以包括一個或多個QVM鑒定器�,每個QVM鑒定器中包括至少一個決策機(jī)和與所述決策機(jī)數(shù)量相同個數(shù)的訓(xùn)練模型。[0033]較佳地��,所述訓(xùn)練模型通過所述決策機(jī)對從樣本文件中提取的樣本文件特征進(jìn)行訓(xùn)練得到��;一個決策機(jī)對應(yīng)訓(xùn)練得到一種類別的樣本文件特征的訓(xùn)練模型��。其中�,決策機(jī)可以通過以下方法訓(xùn)練得到樣本文件特征的訓(xùn)練模型:[0034]第一步,云端服務(wù)器從樣本文件中提取樣本文件特征���,并確定提取的樣本文件特征的類別��;其中�,所述樣本文件包括已確定安全級別的文件�����。[0035]第二步,云端服務(wù)器選取與所述樣本文件特征的類別的個數(shù)相同數(shù)量的決策機(jī)�。[0036]第三步,云端服務(wù)器通過所述決策機(jī)對所述樣本文件特征進(jìn)行機(jī)器訓(xùn)練��,得到訓(xùn)練模型�����。[0037]在本實施例中���,所述通過所述決策機(jī)對所述樣本文件特征進(jìn)行機(jī)器訓(xùn)練�,得到訓(xùn)練模型的步驟��,可以通過下述具體方法來實現(xiàn):首先��,云端服務(wù)器通過所述決策機(jī)對所述樣本文件特征進(jìn)行哈希計算得到第二評分結(jié)果���。其次����,云端服務(wù)器建立所述第二評分結(jié)果與所述已確定安全級別的文件的級別的對應(yīng)關(guān)系的訓(xùn)練模型��。[0038]進(jìn)一步地,在本實施例中�����,在所述第三步之后���,所述云端服務(wù)器還可以按照設(shè)定時間間隔動態(tài)更新所述QVM鑒定器中的數(shù)據(jù)。然后�����,云端服務(wù)器先將更新后的QVM鑒定器中的數(shù)據(jù)發(fā)送至一個或多個分布式在線引擎�����,并在所述多個分布式在線引擎上預(yù)加載所述更新后的QVM鑒定器中的數(shù)據(jù)���;再����,使用在所述多個分布式在線引擎上預(yù)加載的更新后的QVM鑒定器中的數(shù)據(jù)對所述已知文件樣本的特征進(jìn)行評分�����,得到第三評分結(jié)果。最后�,當(dāng)所述第三評分結(jié)果滿足預(yù)期值時,云端服務(wù)器確定所述更新后的QVM鑒定器中的數(shù)據(jù)滿足更新要求�;并,接受QVM鑒定器中的數(shù)據(jù)更新��;當(dāng)所述第三評分結(jié)果不滿足預(yù)期值時��,云端服務(wù)器確定所述更新后的QVM鑒定器中的數(shù)據(jù)不滿足更新要求���;并��,拒絕QVM鑒定器中的數(shù)據(jù)更新��。[0039]在本實施例中�,所述檢測文件安全的方法可以包括:[0040]步驟202��,云端服務(wù)器獲取所述待檢測文件的機(jī)器標(biāo)簽標(biāo)識MID��。[0041]其中��,MID是指MachineID,即機(jī)器標(biāo)識��,是一個唯一標(biāo)識����,可以用來標(biāo)識一臺物理電腦實體機(jī)����。一般木馬作者是在特定的電腦實體機(jī)上編寫木馬程序的����,因此通過所述待檢測文件的機(jī)器標(biāo)簽標(biāo)識MID可以確定所述待檢測文件是不是由木馬作者制作的�����。當(dāng)確定所述待檢測文件是由木馬作者制作的時�,可以直接將所述待檢測文件確定為木馬文件。[0042]步驟204��,云端服務(wù)器在第一黑�、白名單中查詢所述待檢測文件的MID,判斷所述待檢測文件的MID是否在所述第一黑����、白名單中。[0043]在本實施例中����,所述云端服務(wù)器中可以包括MID庫��,所述MID庫中存儲有第一黑����、白名單���,所述第一黑���、白名單以Key-Value結(jié)構(gòu)形式存儲在所述MID庫中。其中�,Key可以是MID值,Value可以是MID值指示的終端的安全級別����。[0044]當(dāng)在第一黑名單中查詢到所述待檢測文件的MID時,執(zhí)行步驟206:[0045]步驟206��,云端服務(wù)器確定所述待檢測文件為危險文件�����。[0046]較佳地����,在云端服務(wù)器確定所述待檢測文件為危險文件之后��,云端服務(wù)器可以向所述待檢測文件的MID指示的終端返回偽信息�;和/或�����,云端服務(wù)器向除所述待檢測文件的MID指示的終端外的其它終端返回危險提示信息���。其中��,所述偽信息用于指示所述待檢測文件為安全文件。[0047]當(dāng)云端服務(wù)器在第一白名單中查詢到所述待檢測文件的MID�����,或云端服務(wù)器在所述第一黑名單中未查詢到所述待檢測文件的MID時�����,則可以執(zhí)行步驟208:[0048]步驟208����,云端服務(wù)器從待檢測文件中提取文件特征,并確定提取的文件特征的類別�����。[0049]步驟210,云端服務(wù)器根據(jù)所述文件特征的類別確定人工智能引擎鑒定器�����,通過所述確定的鑒定器對所述文件特征進(jìn)行評分��,得到第一評分結(jié)果��。在本實施例中�����,所述步驟210可以包括:[0050]子步驟2102�,云端服務(wù)器獲取與所述文件特征的類別相同的樣本文件特征。[0051]子步驟2104��,云端服務(wù)器將訓(xùn)練所述與所述文件特征的類別相同的樣本文件特征的決策機(jī)確定為對所述文件特征進(jìn)行評分的決策機(jī)��。[0052]子步驟2106�����,云端服務(wù)器將通過所述確定的決策機(jī)訓(xùn)練所述與所述文件特征的類別相同的樣本文件特征得到的訓(xùn)練模型確定為對所述文件特征進(jìn)行評分的訓(xùn)練模型����。[0053]子步驟2108���,云端服務(wù)器通過所述確定的決策機(jī)和所述確定的訓(xùn)練模型對所述文件特征進(jìn)行評分,得到第一評分結(jié)果���。[0054]較佳地��,所述子步驟2108可以通過以下步驟實現(xiàn):第一步���,云端服務(wù)器通過所述確定的決策機(jī)和所述確定的訓(xùn)練模型對所述文件特征進(jìn)行鑒定,得到鑒定結(jié)果�。第二步,云端服務(wù)器根據(jù)所述文件特征的類別對應(yīng)的權(quán)重�,對所述鑒定結(jié)果進(jìn)行加權(quán)��,得到第一評分結(jié)果��。[0055]步驟212�,云端服務(wù)器將所述第一評分結(jié)果與預(yù)置經(jīng)驗分?jǐn)?shù)進(jìn)行比較,確定所述待檢測文件的安全級別�����。[0056]在本實施例中,所述第一評分結(jié)果的分?jǐn)?shù)范圍可以是0?100分(包括0分和100分)���,所述待檢測文件的安全級別包括但不僅限于:第一預(yù)置經(jīng)驗分?jǐn)?shù)段對應(yīng)的系統(tǒng)文件級另IJ�、第二預(yù)置經(jīng)驗分?jǐn)?shù)段對應(yīng)的安全級別��、第三預(yù)置經(jīng)驗分?jǐn)?shù)段對應(yīng)的較安全級別�、第四預(yù)置經(jīng)驗分?jǐn)?shù)段對應(yīng)的風(fēng)險級別、第五預(yù)置經(jīng)驗分?jǐn)?shù)段對應(yīng)的可疑級別��、第六預(yù)置經(jīng)驗分?jǐn)?shù)段對應(yīng)的高危級別和第七預(yù)置經(jīng)驗分?jǐn)?shù)段對應(yīng)的病毒文件級別中的至少一種級別���。[0057]其中����,較佳地����,所述第一預(yù)置經(jīng)驗分?jǐn)?shù)段可以是0?10分(包括0分和10分),所述第二預(yù)置經(jīng)驗分?jǐn)?shù)段可以是10?20分(包括20分不包括10分)��,所述第三預(yù)置經(jīng)驗分?jǐn)?shù)段可以是20?30分(包括30分不包括20分)�,所述第四預(yù)置經(jīng)驗分?jǐn)?shù)段可以是30?40分(包括40分不包括30分),所述第五預(yù)置經(jīng)驗分?jǐn)?shù)段可以是40?70分(包括70分不包括40分),所述第六預(yù)置經(jīng)驗分?jǐn)?shù)段可以是70?100分(包括100分不包括70分)����。上述評分標(biāo)準(zhǔn)采用多個分?jǐn)?shù)段確定所述待檢測文件的級別,評分標(biāo)準(zhǔn)更加細(xì)致�����,得到的所述待檢測文件的安全級別更加準(zhǔn)確���,便于用戶根據(jù)評分結(jié)果對所述待檢測文件進(jìn)行處理(如�,刪除文件�、忽略此次風(fēng)險提示、直接打開文件等處理操作)��。[0058]較佳地��,在本實施例中����,當(dāng)云端服務(wù)器在第一白名單中查詢到所述待檢測文件的MID�,或在所述第一黑名單中未查詢到所述待檢測文件的MID時,在所述步驟208之前可以執(zhí)行如下步驟:[0059]第一步�����,云端服務(wù)器獲取所述待檢測文件的信息摘要算法MD5值和/或安全散列算法SHA-1值。[0060]第二步����,云端服務(wù)器在第二黑、白名單中查詢所述MD5值和/或所述SHA-1值�����,判斷所述MD5值和/或所述SHA-1值是否在所述第二黑�����、白名單中��。[0061]當(dāng)在第二黑名單中查詢到所述MD5值和/或所述SHA-1值時�,確定所述待檢測文件為危險文件。[0062]當(dāng)在第二白名單中查詢到所述MD5值和/或所述SHA-1值�����,或在所述第二黑名單中未查詢到所述MD5值和/或所述SHA-1值時����,則執(zhí)行上述步驟208。[0063]又一較佳地,在本實施例中����,當(dāng)云端服務(wù)器在第一白名單中查詢到所述待檢測文件的MID,或在所述第一黑名單中未查詢到所述待檢測文件的MID時�����,在所述步驟208之前����,還可以執(zhí)行如下步驟:[0064]第一步,云端服務(wù)器獲取所述待檢測文件的文件微特征和/或所述待檢測文件的行為信息��。[0065]在本實施例中��,微特征是樣本的類行為特征和/或結(jié)構(gòu)特征�����,行為特征包括導(dǎo)入表庫特征和導(dǎo)入表應(yīng)用程序編程接口API特征�����,導(dǎo)入表庫特征可以包括網(wǎng)絡(luò)類特征�����、高級WIN32應(yīng)用程序接口類特征�����、系統(tǒng)內(nèi)核類特征�、操作系統(tǒng)用戶界面相關(guān)應(yīng)用程序接口類特征、操作系統(tǒng)應(yīng)用程序共用圖像用戶界面模塊類特征��、操作系統(tǒng)硬件提取層模塊類特征�����、虛擬機(jī)相關(guān)模塊類特征�、標(biāo)準(zhǔn)C運行庫程序類特征、對象鏈接和嵌入相關(guān)模塊類特征���、操作系統(tǒng)進(jìn)程狀態(tài)支持模塊類特征�、操作系統(tǒng)32位外殼動態(tài)鏈接庫文件類特征����、地址動態(tài)鏈接庫文件類特征;導(dǎo)入表API特征為從所述導(dǎo)入表庫中選取的函數(shù)特征�;結(jié)構(gòu)特征包括但不僅限于:文件頭特征�����、標(biāo)準(zhǔn)頭特征�、可選頭特征����、數(shù)據(jù)目錄特征和常用節(jié)表特征。[0066]所述待檢測文件的行為信息可以通過EXT信息來確定���,其中�����,EXT是一個的JS類庫(JavaScript,面向?qū)ο蟮目蛻舳四_本語言)����。[0067]第二步�,云端服務(wù)器在第三黑、白名單中查詢所述微特征和/或所述行為信息�����。判斷所述微特征和/或所述行為信息是否在所述第三黑��、白名單中。[0068]當(dāng)在第三黑名單中查詢到所述微特征和/或所述行為信息時�����,確定所述待檢測文件為危險文件�����。[0069]當(dāng)在第三白名單中未查詢到所述微特征和/或所述行為信息�,或在所述第三黑名單中未查詢到所述微特征和/或所述行為信息時�����,則執(zhí)行上述步驟208�。[0070]這里需要說明的是,在所述云端服務(wù)器中包括但不僅限于:白名單樣本庫��、黑MID庫��、微特征庫��、QVM鑒定器和云規(guī)則動態(tài)匹配器中的至少一種�����。[0071]綜上所述,本實施例提供了一種檢測文件安全的方法先通過對待檢測文件的MID進(jìn)行判斷�����,來確定待檢測文件是否安全���。當(dāng)通過所述待檢測文件的MID不能確定待檢測文件是否安全時��,再通過待檢測文件的MD5值和/或SHA-1值判斷待檢測文件的安全性���。當(dāng)通過所述待檢測文件的MD5值和/或SHA-1值不能確定待檢測文件是否安全時,再通過待檢測文件的微特征和/或行為信息判斷待檢測文件的安全性�����。當(dāng)通過所述待檢測文件的微特征和/或行為信息不能確定待檢測文件是否安全時����,再通過待檢測文件的文件特征進(jìn)行判斷,確定待檢測文件是否安全�。在本實施例中,通過上述多級判斷確定文件的安全性�,得到的判斷結(jié)果準(zhǔn)確度高;同時�����,減少了錯誤判斷的可能性,提高了待檢測文件檢測結(jié)果的準(zhǔn)確性���。這里需要說明的是�,當(dāng)通過上述步驟中的任意一個中間步驟確定出待檢測文件的安全性時���,即可結(jié)束文件安全的判斷操作,提高了文件安全判斷的速度���。[0072]進(jìn)一步地�����,針對病毒文件不斷更新的特性��,QVM鑒定器中的數(shù)據(jù)也是動態(tài)更新的����,提高了文件安全鑒定的準(zhǔn)確性����。[0073]需要說明的是�,對于前述的方法實施例���,為了簡單描述�����,故將其都表述為一系列的動作組合����,但是本領(lǐng)域技術(shù)人員應(yīng)該知悉����,本發(fā)明并不受所描述的動作順序的限制,因為依據(jù)本發(fā)明����,某些步驟可以采用其他順序或者同時進(jìn)行。其次�,本領(lǐng)域技術(shù)人員也應(yīng)該知悉,說明書中所描述的實施例均屬于優(yōu)選實施例���,所涉及的動作并不一定是本發(fā)明所必需的����。[0074]基于與上述檢測文件安全的方法同一發(fā)明構(gòu)思,參照圖3����,示出了本發(fā)明第三實施例中一種檢測文件安全的裝置的結(jié)構(gòu)框圖。在本實施例中�,所述檢測文件安全的裝置可以包括:[0075]提取模塊302,用于從待檢測文件中提取文件特征����。[0076]第一評分模塊304,用于根據(jù)所述文件特征的類別確定人工智能引擎鑒定器����,通過所述確定的鑒定器對所述文件特征進(jìn)行評分���,得到第一評分結(jié)果����。[0077]安全級別確定模塊306�,用于將所述第一評分結(jié)果與預(yù)置經(jīng)驗分?jǐn)?shù)進(jìn)行比較,確定所述待檢測文件的安全級別���。[0078]綜上所述��,本實施例所述的一種檢測文件安全的裝置從待檢測文件中提取文件特征��,提取的待檢測文件的文件特征只占用很少的字符(如����,文件特征的大小可以是IOKB或50KB等),根據(jù)對待檢測文件的文件特征的進(jìn)行鑒定�,進(jìn)而判斷出未知文件的安全性。由于待檢測文件的文件特征很小��,因此在待檢測文件的文件特征的上傳過程中����,上傳速度快,效率高�。同樣,由于待檢測文件的文件特征很小���,因此在對待檢測文件的文件特征的鑒定過程中鑒定速度快�、效率高���。其次���,在本實施例中���,根據(jù)所述文件特征的類別確定鑒定器,并通過確定的鑒定器完成待檢測文件的鑒定�,采用分布式鑒定的方法,滿足多個待檢測文件同時鑒定的需求���,提高了鑒定效率��。最后�����,在本實施例中��,由于提取的是待檢測文件的文件特征�,所述待檢測文件的文件特征不僅包括所述待檢測文件的文件信息��,還可以包括待檢測文件的文件路徑�����、IP地址等信息�,提高了文件安全鑒定結(jié)果的準(zhǔn)確性。[0079]參照圖4����,示出了本發(fā)明第四實施例中一種檢測文件安全的裝置的結(jié)構(gòu)框圖。[0080]在本實施例中�,云端服務(wù)器可以包括一個或多個QVM鑒定器,每個QVM鑒定器中包括至少一個決策機(jī)和與所述決策機(jī)數(shù)量相同個數(shù)的訓(xùn)練模型���。[0081]較佳地�����,所述訓(xùn)練模型通過所述決策機(jī)對從樣本文件中提取的樣本文件特征進(jìn)行訓(xùn)練得到����;一個決策機(jī)對應(yīng)訓(xùn)練得到一種類別的樣本文件特征的訓(xùn)練模型�����。其中�,決策機(jī)可以通過以下模塊訓(xùn)練得到樣本文件特征的訓(xùn)練模型:[0082]本文件特征提取模塊,用于從樣本文件中提取樣本文件特征�����,并確定提取的樣本文件特征的類別;其中����,所述樣本文件包括已確定安全級別的文件。[0083]選取模塊����,用于選取與所述樣本文件特征的類別的個數(shù)相同數(shù)量的決策機(jī)。[0084]訓(xùn)練模型獲取模塊��,用于通過所述決策機(jī)對所述樣本文件特征進(jìn)行機(jī)器訓(xùn)練�,得到訓(xùn)練模型。[0085]在本實施例中����,所述訓(xùn)練模型獲取模塊可以包括:[0086]第二評分模塊,用于通過所述決策機(jī)對所述樣本文件特征進(jìn)行哈希計算得到第二評分結(jié)果���。[0087]訓(xùn)練模型建立模塊�,用于建立所述第二評分結(jié)果與所述已確定安全級別的文件的級別的對應(yīng)關(guān)系的訓(xùn)練1吳型�����。[0088]進(jìn)一步地��,在本實施例中����,在執(zhí)行完所述訓(xùn)練模型獲取模塊之后,還可以執(zhí)行如下模塊:[0089]更新模塊��,用于按照設(shè)定時間間隔動態(tài)更新所述QVM鑒定器中的數(shù)據(jù)�。[0090]預(yù)加載模塊,用于將更新后的QVM鑒定器中的數(shù)據(jù)發(fā)送至一個或多個分布式在線引擎�,并在所述多個分布式在線引擎上預(yù)加載所述更新后的QVM鑒定器中的數(shù)據(jù)。[0091]第三評分模塊�����,用于使用在所述多個分布式在線引擎上預(yù)加載的更新后的QVM鑒定器中的數(shù)據(jù)對所述已知文件樣本的特征進(jìn)行評分�����,得到第三評分結(jié)果�����。[0092]第一更新結(jié)果確定模塊��,用于在所述第三評分結(jié)果滿足預(yù)期值時���,云端服務(wù)器確定所述更新后的QVM鑒定器中的數(shù)據(jù)滿足更新要求��;并�����,接受QVM鑒定器中的數(shù)據(jù)更新���。[0093]第二更新結(jié)果確定模塊��,用于在所述第三評分結(jié)果不滿足預(yù)期值時��,云端服務(wù)器確定所述更新后的QVM鑒定器中的數(shù)據(jù)不滿足更新要求�;并����,拒絕QVM鑒定器中的數(shù)據(jù)更新。[0094]在本實施例中��,所述檢測文件安全的裝置可以包括:[0095]第一獲取模塊402�,用于在所述提取模塊從待檢測文件中提取文件特征之前,獲取所述待檢測文件的機(jī)器標(biāo)簽標(biāo)識MID�����。[0096]第一查詢模塊404���,用于在第一黑�����、白名單中查詢所述待檢測文件的MID����。[0097]當(dāng)?shù)谝徊樵兡K404在第一黑名單中查詢到所述待檢測文件的MID時�,執(zhí)行第一確定模塊406:[0098]第一確定模塊406,用于在第一黑名單中查詢到所述待檢測文件的MID時�����,確定所述待檢測文件為危險文件�。[0099]偽信息返回模塊408,用于在所述第一確定模塊406確定所述待檢測文件為危險文件之后���,向所述待檢測文件的MID指示的終端返回偽信息���;其中,所述偽信息用于指示所述待檢測文件為安全文件����。[0100]危險提示模塊410���,用于向除所待檢測文件的MID指示的終端外的其它終端返回危險提示信息。[0101]當(dāng)?shù)谝徊樵兡K404在第一白名單中查詢到所述待檢測文件的MID�,或在所述第一黑名單中未查詢到所述待檢測文件的MID時,執(zhí)行第一執(zhí)行模塊412[0102]第一執(zhí)行模塊412��,用于在第一白名單中查詢到所述待檢測文件的MID��,或在所述第一黑名單中未查詢到所述待檢測文件的MID時�����,執(zhí)行如下提取模塊414���。[0103]提取模塊414�����,用于從待檢測文件中提取文件特征����。[0104]第一評分模塊416,用于根據(jù)所述文件特征的類別確定人工智能引擎鑒定器�,通過所述確定的鑒定器對所述文件特征進(jìn)行評分,得到第一評分結(jié)果�。[0105]在本實施例中,所述第一評分模塊416可以包括:[0106]樣本文件特征獲取模塊4162��,用于獲取與所述文件特征的類別相同的樣本文件特征�。[0107]決策機(jī)確定模塊4164�����,用于將訓(xùn)練所述與所述文件特征的類別相同的樣本文件特征的決策機(jī)確定為對所述文件特征進(jìn)行評分的決策機(jī)�;[0108]訓(xùn)練模型確定模塊4166,用于將通過所述確定的決策機(jī)訓(xùn)練所述與所述文件特征的類別相同的樣本文件特征得到的訓(xùn)練模型確定為對所述文件特征進(jìn)行評分的訓(xùn)練模型�����。[0109]決策機(jī)評分模塊4168��,用于通過所述確定的決策機(jī)和所述確定的訓(xùn)練模型對所述文件特征進(jìn)行評分��,得到第一評分結(jié)果�����。[0110]較佳地,所述決策機(jī)評分模塊4168可以包括:[0111]鑒定模塊41682�,用于通過所述確定的決策機(jī)和所述確定的訓(xùn)練模型對所述文件特征進(jìn)行鑒定,得到鑒定結(jié)果���。[0112]加權(quán)模塊41684��,用于根據(jù)所述文件特征的類別對應(yīng)的權(quán)重�,對所述鑒定結(jié)果進(jìn)行加權(quán)��,得到第一評分結(jié)果�。[0113]安全級別確定模塊418,用于將所述第一評分結(jié)果與預(yù)置經(jīng)驗分?jǐn)?shù)進(jìn)行比較�����,確定所述待檢測文件的安全級別�。[0114]在本實施例中,所述待檢測文件的安全級別���,包括:第一預(yù)置經(jīng)驗分?jǐn)?shù)段對應(yīng)的系統(tǒng)文件級別��、第二預(yù)置經(jīng)驗分?jǐn)?shù)段對應(yīng)的安全級別�����、第三預(yù)置經(jīng)驗分?jǐn)?shù)段對應(yīng)的較安全級另IJ��、第四預(yù)置經(jīng)驗分?jǐn)?shù)段對應(yīng)的風(fēng)險級別�、第五預(yù)置經(jīng)驗分?jǐn)?shù)段對應(yīng)的可疑級別、第六預(yù)置經(jīng)驗分?jǐn)?shù)段對應(yīng)的高危級別和第七預(yù)置經(jīng)驗分?jǐn)?shù)段對應(yīng)的病毒文件級別中的至少一種級別���。[0115]較佳地���,在本實施例中�,當(dāng)?shù)谝徊樵兡K404在第一白名單中查詢到所述待檢測文件的MID,或在所述第一黑名單中未查詢到所述待檢測文件的MID時�����,還可以執(zhí)行如下模塊:[0116]第二獲取模塊��,用于獲取所述待檢測文件的信息摘要算法MD5值和/或安全散列算法SHA-1值����。[0117]第二查詢模塊,用于在第二黑�����、白名單中查詢所述MD5值和/或所述SHA-1值。[0118]第二確定模塊�,用于在第二黑名單中查詢到所述MD5值和/或所述SHA-1值時,確定所述待檢測文件為危險文件�。[0119]第二執(zhí)行模塊,用于在第二白名單中查詢到所述MD5值和/或所述SHA-1值��,或在所述第二黑名單中未查詢到所述MD5值和/或所述SHA-1值時����,執(zhí)行上述提取模塊414。[0120]又一較佳地�����,在本實施例中���,當(dāng)?shù)谝徊樵兡K404在第一白名單中查詢到所述待檢測文件的MID��,或在所述第一黑名單中未查詢到所述待檢測文件的MID時�,還可以執(zhí)行如下模塊:[0121]第三獲取模塊�����,用于獲取所述待檢測文件的文件微特征和/或所述待檢測文件的行為信息����。[0122]第三查詢模塊����,用于在第三黑����、白名單中查詢所述微特征和/或所述行為信息。[0123]第三確定模塊��,用于在第三黑名單中查詢到所述微特征和/或所述行為信息時��,確定所述待檢測文件為危險文件���。[0124]第三執(zhí)行模塊,用于在第三白名單中未查詢到所述微特征和/或所述行為信息��,或在所述第三黑名單中未查詢到所述微特征和/或所述行為信息時����,則執(zhí)行上述提取模塊414。[0125]綜上所述��,本實施例提供的一種檢測文件安全的裝置先通過對待檢測文件的MID進(jìn)行判斷����,來確定待檢測文件是否安全��。當(dāng)通過所述待檢測文件的MID不能確定待檢測文件是否安全時�����,再通過待檢測文件的MD5值和/或SHA-1值判斷待檢測文件的安全性��。當(dāng)通過所述待檢測文件的MD5值和/或SHA-1值不能確定待檢測文件是否安全時�����,再通過待檢測文件的微特征和/或行為信息判斷待檢測文件的安全性����。當(dāng)通過所述待檢測文件的微特征和/或行為信息不能確定待檢測文件是否安全時���,再通過待檢測文件的文件特征進(jìn)行判斷�,確定待檢測文件是否安全����。在本實施例中,通過上述多級判斷確定文件的安全性����,得到的判斷結(jié)果準(zhǔn)確度高����;同時�����,減少了錯誤判斷的可能性��,提高了待檢測文件檢測結(jié)果的準(zhǔn)確性���。這里需要說明的是�,當(dāng)通過上述步驟中的任意一個中間步驟確定出待檢測文件的安全性時��,即可結(jié)束文件安全的判斷操作����,提高了文件安全判斷的速度�。進(jìn)一步地,針對病毒文件不斷更新的特性����,鑒定器中的數(shù)據(jù)也是動態(tài)更新的�,提高了文件安全鑒定的準(zhǔn)確性。[0126]對于上述一種軟件安裝裝置實施例而言,由于其與方法實施例基本相似�����,所以描述的比較簡單����,相關(guān)之處參見方法實施例的部分說明即可[0127]在此提供的算法和顯示不與任何特定計算機(jī)���、虛擬系統(tǒng)或者其它設(shè)備固有相關(guān)����。各種通用系統(tǒng)也可以與基于在此的示教一起使用����。根據(jù)上面的描述,構(gòu)造這類系統(tǒng)所要求的結(jié)構(gòu)是顯而易見的��。此外���,本發(fā)明也不針對任何特定編程語言����。應(yīng)當(dāng)明白,可以利用各種編程語言實現(xiàn)在此描述的本發(fā)明的內(nèi)容�,并且上面對特定語言所做的描述是為了披露本發(fā)明的最佳實施方式。[0128]在此處所提供的說明書中��,說明了大量具體細(xì)節(jié)����。然而,能夠理解��,本發(fā)明的實施例可以在沒有這些具體細(xì)節(jié)的情況下實踐�。在一些實例中,并未詳細(xì)示出公知的方法�����、結(jié)構(gòu)和技術(shù)�����,以便不模糊對本說明書的理解�。[0129]類似地,應(yīng)當(dāng)理解��,為了精簡本公開并幫助理解各個發(fā)明方面中的一個或多個,在上面對本發(fā)明的示例性實施例的描述中��,本發(fā)明的各個特征有時被一起分組到單個實施例����、圖、或者對其的描述中��。然而��,并不應(yīng)將該公開的方法解釋成反映如下意圖:即所要求保護(hù)的本發(fā)明要求比在每個權(quán)利要求中所明確記載的特征更多的特征�����。更確切地說�,如下面的權(quán)利要求書所反映的那樣,發(fā)明方面在于少于前面公開的單個實施例的所有特征����。因此,遵循【具體實施方式】的權(quán)利要求書由此明確地并入該【具體實施方式】�����,其中每個權(quán)利要求本身都作為本發(fā)明的單獨實施例。[0130]本領(lǐng)域那些技術(shù)人員可以理解���,可以對實施例中的設(shè)備中的模塊進(jìn)行自適應(yīng)性地改變并且把它們設(shè)置在與該實施例不同的一個或多個設(shè)備中���。可以把實施例中的模塊或單元或組件組合成一個模塊或單元或組件�,以及此外可以把它們分成多個子模塊或子單元或子組件。除了這樣的特征和/或過程或者單元中的至少一些是相互排斥之外���,可以采用任何組合對本說明書(包括伴隨的權(quán)利要求�、摘要和附圖)中公開的所有特征以及如此公開的任何方法或者設(shè)備的所有過程或單元進(jìn)行組合�。除非另外明確陳述,本說明書(包括伴隨的權(quán)利要求�、摘要和附圖)中公開的每個特征可以由提供相同、等同或相似目的的替代特征來代替����。[0131]此外,本領(lǐng)域的技術(shù)人員能夠理解����,盡管在此所述的一些實施例包括其它實施例中所包括的某些特征而不是其它特征�,但是不同實施例的特征的組合意味著處于本發(fā)明的范圍之內(nèi)并且形成不同的實施例�。例如,在下面的權(quán)利要求書中����,所要求保護(hù)的實施例的任意之一都可以以任意的組合方式來使用���。[0132]本發(fā)明的各個部件實施例可以以硬件實現(xiàn)��,或者以在一個或者多個處理器上運行的軟件模塊實現(xiàn)�����,或者以它們的組合實現(xiàn)��。本領(lǐng)域的技術(shù)人員應(yīng)當(dāng)理解����,可以在實踐中使用微處理器或者數(shù)字信號處理器(DSP)來實現(xiàn)根據(jù)本發(fā)明實施例的檢測文件安全的設(shè)備中的一些或者全部部件的一些或者全部功能��。本發(fā)明還可以實現(xiàn)為用于執(zhí)行這里所描述的方法的一部分或者全部的設(shè)備或者裝置程序(例如�,計算機(jī)程序和計算機(jī)程序產(chǎn)品)���。這樣的實現(xiàn)本發(fā)明的程序可以存儲在計算機(jī)可讀介質(zhì)上,或者可以具有一個或者多個信號的形式����。這樣的信號可以從因特網(wǎng)網(wǎng)站上下載得到,或者在載體信號上提供��,或者以任何其他形式提供�。[0133]應(yīng)該注意的是上述實施例對本發(fā)明進(jìn)行說明而不是對本發(fā)明進(jìn)行限制,并且本領(lǐng)域技術(shù)人員在不脫離所附權(quán)利要求的范圍的情況下可設(shè)計出替換實施例�����。在權(quán)利要求中�����,不應(yīng)將位于括號之間的任何參考符號構(gòu)造成對權(quán)利要求的限制���。單詞“包含”不排除存在未列在權(quán)利要求中的元件或步驟��。位于元件之前的單詞“一”或“一個”不排除存在多個這樣的元件�。本發(fā)明可以借助于包括有若干不同元件的硬件以及借助于適當(dāng)編程的計算機(jī)來實現(xiàn)。在列舉了若干裝置的單元權(quán)利要求中����,這些裝置中的若干個可以是通過同一個硬件項來具體體現(xiàn)。單詞第一���、第二、以及第三等的使用不表示任何順序�����?�?蓪⑦@些單詞解釋為名稱���。[0134]本發(fā)明公開了Al��、一種檢測文件安全的方法�����,包括:[0135]從待檢測文件中提取文件特征����,并確定提取的文件特征的類別;[0136]根據(jù)所述文件特征的類別確定人工智能引擎鑒定器�����,通過所述確定的鑒定器對所述文件特征進(jìn)行評分�,得到第一評分結(jié)果;[0137]將所述第一評分結(jié)果與預(yù)置經(jīng)驗分?jǐn)?shù)進(jìn)行比較���,確定所述待檢測文件的安全級別�。[0138]A2�、如Al所述的方法,所述鑒定器為一個或多個����,每個鑒定器中包括至少一個決策機(jī)和與所述決策機(jī)數(shù)量相同個數(shù)的訓(xùn)練模型;其中�,所述訓(xùn)練模型通過所述決策機(jī)對從樣本文件中提取的樣本文件特征進(jìn)行訓(xùn)練得到;一個決策機(jī)對應(yīng)訓(xùn)練得到一種類別的樣本文件特征的訓(xùn)練模型��。[0139]A3��、如A2所述的方法����,所述根據(jù)所述文件特征的類別確定人工智能引擎鑒定器���,通過所述確定的鑒定器對所述文件特征進(jìn)行評分,得到第一評分結(jié)果�����,包括:[0140]獲取與所述文件特征的類別相同的樣本文件特征��;[0141]將訓(xùn)練所述與所述文件特征的類別相同的樣本文件特征的決策機(jī)確定為對所述文件特征進(jìn)行評分的決策機(jī)�;[0142]將通過所述確定的決策機(jī)訓(xùn)練所述與所述文件特征的類別相同的樣本文件特征得到的訓(xùn)練模型確定為對所述文件特征進(jìn)行評分的訓(xùn)練模型;[0143]通過所述確定的決策機(jī)和所述確定的訓(xùn)練模型對所述文件特征進(jìn)行評分��,得到第一評分結(jié)果����。[0144]A4�����、如A3所述的方法����,所述通過所述確定的決策機(jī)和所述確定的訓(xùn)練模型對所述文件特征進(jìn)行評分,得到第一評分結(jié)果���,包括:[0145]通過所述確定的決策機(jī)和所述確定的訓(xùn)練模型對所述文件特征進(jìn)行鑒定���,得到鑒定結(jié)果�;[0146]根據(jù)所述文件特征的類別對應(yīng)的權(quán)重���,對所述鑒定結(jié)果進(jìn)行加權(quán)����,得到第一評分結(jié)果��。[0147]A5�����、如Al所述的方法��,在所述從待檢測文件中提取文件特征步驟之前��,所述方法還包括:[0148]獲取所述待檢測文件的機(jī)器標(biāo)簽標(biāo)識MID����;[0149]在第一黑、白名單中查詢所述待檢測文件的MID;[0150]當(dāng)在第一黑名單中查詢到所述待檢測文件的MID時�,確定所述待檢測文件為危險文件;[0151]當(dāng)在第一白名單中查詢到所述待檢測文件的MID�����,或在所述第一黑名單中未查詢到所述待檢測文件的MID時���,則執(zhí)行所述從待檢測文件中提取文件特征的步驟��。[0152]A6���、如A5所述的方法,在所述確定所述待檢測文件為危險文件步驟之后��,所述方法還包括:[0153]向所述待檢測文件的MID指示的終端返回偽信息��;其中�,所述偽信息用于指示所述待檢測文件為安全文件���;和/或�,[0154]向除所述待檢測文件的MID指示的終端外的其它終端返回危險提示信息�。[0155]A7、如A2所述的方法�,在所述從待檢測文件中提取文件特征步驟之前����,所述方法還包括:[0156]從樣本文件中提取樣本文件特征��,并確定提取的樣本文件特征的類別��;其中�,所述樣本文件包括已確定安全級別的文件;[0157]選取與所述樣本文件特征的類別的個數(shù)相同數(shù)量的決策機(jī)��;[0158]通過所述決策機(jī)對所述樣本文件特征進(jìn)行機(jī)器訓(xùn)練�����,得到訓(xùn)練模型����。[0159]AS、如A7所述的方法����,所述通過所述決策機(jī)對所述樣本文件特征進(jìn)行機(jī)器訓(xùn)練,得到訓(xùn)練模型���,包括:[0160]通過所述決策機(jī)對所述樣本文件特征進(jìn)行哈希計算得到第二評分結(jié)果����;[0161]建立所述第二評分結(jié)果與所述已確定安全級別的文件的級別的對應(yīng)關(guān)系的訓(xùn)練模型。[0162]A9�����、如A7所述的方法����,在所述通過所述決策機(jī)對所述樣本文件特征進(jìn)行機(jī)器訓(xùn)練,得到訓(xùn)練模型的步驟之后����,所述方法還包括:[0163]按照設(shè)定時間間隔動態(tài)更新所述鑒定器中的數(shù)據(jù);[0164]將更新后的鑒定器中的數(shù)據(jù)發(fā)送至一個或多個分布式在線引擎���,并在所述多個分布式在線引擎上預(yù)加載所述更新后的鑒定器中的數(shù)據(jù)�����;[0165]使用在所述多個分布式在線引擎上預(yù)加載的更新后的鑒定器中的數(shù)據(jù)對所述已知文件樣本的特征進(jìn)行評分,得到第三評分結(jié)果����;[0166]當(dāng)所述第三評分結(jié)果滿足預(yù)期值時�,確定所述更新后的鑒定器中的數(shù)據(jù)滿足更新要求�����;并��,接受鑒定器中的數(shù)據(jù)更新����;[0167]當(dāng)所述第三評分結(jié)果不滿足預(yù)期值時,確定所述更新后的鑒定器中的數(shù)據(jù)不滿足更新要求�;并,拒絕鑒定器中的數(shù)據(jù)更新���。[0168]AlO^nAl所述的方法�,在所述從待檢測文件中提取文件特征的步驟之前��,所述方法還包括:[0169]獲取所述待檢測文件的信息摘要算法MD5值和/或安全散列算法SHA-1值���;[0170]在第二黑����、白名單中查詢所述MD5值和/或所述SHA-1值;[0171]當(dāng)在第二黑名單中查詢到所述MD5值和/或所述SHA-1值時�����,確定所述待檢測文件為危險文件���;[0172]當(dāng)在第二白名單中查詢到所述MD5值和/或所述SHA-1值����,或在所述第二黑名單中未查詢到所述MD5值和/或所述SHA-1值時���,則執(zhí)行所述從待檢測文件中提取文件特征的步驟�����。[0173]All�、如Al所述的方法��,在所述從待檢測文件中提取文件特征的步驟之前��,所述方法還包括:[0174]獲取所述待檢測文件的文件微特征和/或所述待檢測文件的行為信息�����;[0175]在第三黑��、白名單中查詢所述微特征和/或所述行為信息����;[0176]當(dāng)在第三黑名單中查詢到所述微特征和/或所述行為信息時,確定所述待檢測文件為危險文件���;[0177]當(dāng)在第三白名單中未查詢到所述微特征和/或所述行為信息�����,或在所述第三黑名單中未查詢到所述微特征和/或所述行為信息時�,則執(zhí)行所述從待檢測文件中提取文件樣本的特征的步驟���。[0178]A12����、如Al-All任一項所述的方法����,所述待檢測文件的安全級別,包括:[0179]第一預(yù)置經(jīng)驗分?jǐn)?shù)段對應(yīng)的系統(tǒng)文件級別����、第二預(yù)置經(jīng)驗分?jǐn)?shù)段對應(yīng)的安全級另IJ���、第三預(yù)置經(jīng)驗分?jǐn)?shù)段對應(yīng)的較安全級別、第四預(yù)置經(jīng)驗分?jǐn)?shù)段對應(yīng)的風(fēng)險級別��、第五預(yù)置經(jīng)驗分?jǐn)?shù)段對應(yīng)的可疑級別�����、第六預(yù)置經(jīng)驗分?jǐn)?shù)段對應(yīng)的高危級別和第七預(yù)置經(jīng)驗分?jǐn)?shù)段對應(yīng)的病毒文件級別中的至少一種級別�����。[0180]本發(fā)明還公開了B13���、一種檢測文件安全的裝置�,包括:[0181]提取模塊�����,用于從待檢測文件中提取文件特征���;[0182]第一評分模塊��,用于根據(jù)所述文件特征的類別確定人工智能引擎鑒定器�����,通過所述確定的鑒定器對所述文件特征進(jìn)行評分�����,得到第一評分結(jié)果���;[0183]安全級別確定模塊,用于將所述第一評分結(jié)果與預(yù)置經(jīng)驗分?jǐn)?shù)進(jìn)行比較��,確定所述待檢測文件的安全級別����。[0184]B14、如B13所述的裝置���,所述鑒定器為一個或多個�,每個鑒定器中包括至少一個決策機(jī)和與所述決策機(jī)數(shù)量相同個數(shù)的訓(xùn)練模型�����;其中,所述訓(xùn)練模型通過所述決策機(jī)對從樣本文件中提取的樣本文件特征進(jìn)行訓(xùn)練得到����;一個決策機(jī)對應(yīng)訓(xùn)練得到一種類別的樣本文件特征的訓(xùn)練模型。[0185]B15�����、如B14所述的裝置��,所述第一評分模塊�,包括:[0186]樣本文件特征獲取模塊,用于獲取與所述文件特征的類別相同的樣本文件特征���;[0187]決策機(jī)確定模塊�,用于將訓(xùn)練所述與所述文件特征的類別相同的樣本文件特征的決策機(jī)確定為對所述文件特征進(jìn)行評分的決策機(jī)����;[0188]訓(xùn)練模型確定模塊,用于將通過所述確定的決策機(jī)訓(xùn)練所述與所述文件特征的類別相同的樣本文件特征得到的訓(xùn)練模型確定為對所述文件特征進(jìn)行評分的訓(xùn)練模型����;[0189]決策機(jī)評分模塊,用于通過所述確定的決策機(jī)和所述確定的訓(xùn)練模型對所述文件特征進(jìn)行評分,得到第一評分結(jié)果�。[0190]B16、如B15所述的裝置�,所述決策機(jī)評分模塊,包括:[0191]鑒定模塊�����,用于通過所述確定的決策機(jī)和所述確定的訓(xùn)練模型對所述文件特征進(jìn)行鑒定���,得到鑒定結(jié)果;[0192]加權(quán)模塊�,用于根據(jù)所述文件特征的類別對應(yīng)的權(quán)重,對所述鑒定結(jié)果進(jìn)行加權(quán)�,得到第一評分結(jié)果。[0193]B17�、如B13所述的裝置,所述裝置還包括:[0194]第一獲取模塊����,用于在所述提取模塊從待檢測文件中提取文件特征之前,獲取所述待檢測文件的機(jī)器標(biāo)簽標(biāo)識MID��;[0195]第一查詢模塊���,用于在第一黑���、白名單中查詢所述待檢測文件的MID����;[0196]第一確定模塊�,用于在第一黑名單中查詢到所述待檢測文件的MID時,確定所述待檢測文件為危險文件�;[0197]第一執(zhí)行模塊,用于在第一白名單中查詢到所述待檢測文件的MID����,或在所述第一黑名單中未查詢到所述待檢測文件的MID時,則執(zhí)行所述提取模塊�。[0198]B18、如B17所述的裝置���,所述裝置還包括:[0199]偽信息返回模塊���,用于在所述第一確定模塊確定所述待檢測文件為危險文件之后,向所述待檢測文件的MID指示的終端返回偽信息��;其中���,所述偽信息用于指示所述待檢測文件為安全文件���;[0200]危險提示模塊���,用于向除所待檢測文件的MID指示的終端外的其它終端返回危險提示信息。[0201]B19��、如B14所述的裝置�,所述裝置還包括:[0202]本文件特征提取模塊,用于在所述提取模塊從待檢測文件中提取文件特征之后從樣本文件中提取樣本文件特征�,并確定提取的樣本文件特征的類別;其中�,所述樣本文件包括已確定安全級別的文件����;[0203]選取模塊,用于選取與所述樣本文件特征的類別的個數(shù)相同數(shù)量的決策機(jī)�;[0204]訓(xùn)練模型獲取模塊,用于通過所述決策機(jī)對所述樣本文件特征進(jìn)行機(jī)器訓(xùn)練�,得到訓(xùn)練模型。[0205]B20����、如B19所述的裝置,所述訓(xùn)練模型獲取模塊,包括:[0206]第二評分模塊�����,用于通過所述決策機(jī)對所述樣本文件特征進(jìn)行哈希計算���,得到第二評分結(jié)果��;���;[0207]訓(xùn)練模型建立模塊,用于建立所述第二評分結(jié)果與所述已確定安全級別的文件的級別的對應(yīng)關(guān)系的訓(xùn)練1吳型����。[0208]B21、如B19所述的裝置���,所述裝置還包括:[0209]更新模塊���,用于在所述訓(xùn)練模型獲取模塊通過所述決策機(jī)對所述樣本文件特征進(jìn)行機(jī)器訓(xùn)練,得到訓(xùn)練模型之后���,按照設(shè)定時間間隔動態(tài)更新所述鑒定器中的數(shù)據(jù)�����;[0210]預(yù)加載模塊��,用于將更新后的鑒定器中的數(shù)據(jù)發(fā)送至一個或多個分布式在線引擎����,并在所述多個分布式在線引擎上預(yù)加載所述更新后的鑒定器中的數(shù)據(jù);[0211]第三評分模塊��,用于使用在所述多個分布式在線引擎上預(yù)加載的更新后的鑒定器中的數(shù)據(jù)對所述已知文件樣本的特征進(jìn)行評分���,得到第三評分結(jié)果��;[0212]第一更新結(jié)果確定模塊�����,用于在所述第三評分結(jié)果滿足預(yù)期值時,確定所述更新后的鑒定器中的數(shù)據(jù)滿足更新要求�;并,接受鑒定器中的數(shù)據(jù)更新��;[0213]第二更新結(jié)果確定模塊�����,用于在所述第三評分結(jié)果不滿足預(yù)期值時,確定所述更新后的鑒定器中的數(shù)據(jù)不滿足更新要求��;并����,拒絕鑒定器中的數(shù)據(jù)更新。[0214]B22�、如B13所述的裝置,所述裝置還包括:[0215]第二獲取模塊��,用于在所述提取模塊從待檢測文件中提取文件特征之前���,獲取所述待檢測文件的信息摘要算法MD5值和/或安全散列算法SHA-1值��;[0216]第二查詢模塊��,用于在第二黑����、白名單中查詢所述MD5值和/或所述SHA-1值�;[0217]第二確定模塊,用于在第二黑名單中查詢到所述MD5值和/或所述SHA-1值時�����,確定所述待檢測文件為危險文件;[0218]第二執(zhí)行模塊��,用于在第二白名單中查詢到所述MD5值和/或所述SHA-1值����,或在所述第一黑名單中未查詢到所述MD5值和/或所述SHA-1值時,執(zhí)行所述提取模塊�����。[0219]B23�����、如B13所述的裝置����,所述裝置還包括:[0220]第三獲取模塊,用于在所述提取模塊從待檢測文件中提取文件特征之前��,獲取所述待檢測文件的文件微特征和/或所述待檢測文件的行為信息���;[0221]第三查詢模塊���,用于在第三黑、白名單中查詢所述微特征和/或所述行為信息�;[0222]第三確定模塊,用于在第三黑名單中查詢到所述微特征和/或所述行為信息時��,確定所述待檢測文件為危險文件�����;[0223]第三執(zhí)行模塊�����,用于在第三白名單中未查詢到所述微特征和/或所述行為信息����,或在所述第三黑名單中未查詢到所述微特征和/或所述行為信息時,執(zhí)行所述提取模塊����。[0224]B24、如B12-B23任一項所述的裝置�����,所述待檢測文件的安全級別,包括:[0225]第一預(yù)置經(jīng)驗分?jǐn)?shù)段對應(yīng)的系統(tǒng)文件級別���、第二預(yù)置經(jīng)驗分?jǐn)?shù)段對應(yīng)的安全級另IJ�����、第三預(yù)置經(jīng)驗分?jǐn)?shù)段對應(yīng)的較安全級別����、第四預(yù)置經(jīng)驗分?jǐn)?shù)段對應(yīng)的風(fēng)險級別��、第五預(yù)置經(jīng)驗分?jǐn)?shù)段對應(yīng)的可疑級別���、第六預(yù)置經(jīng)驗分?jǐn)?shù)段對應(yīng)的高危級別和第七預(yù)置經(jīng)驗分?jǐn)?shù)段對應(yīng)的病毒文件級別中的至少一種級別����?��!緳?quán)利要求】1.一種檢測文件安全的方法���,包括:從待檢測文件中提取文件特征,并確定提取的文件特征的類別;根據(jù)所述文件特征的類別確定人工智能引擎鑒定器���,通過所述確定的鑒定器對所述文件特征進(jìn)行評分,得到第一評分結(jié)果����;將所述第一評分結(jié)果與預(yù)置經(jīng)驗分?jǐn)?shù)進(jìn)行比較,確定所述待檢測文件的安全級別�����。2.如權(quán)利要求1所述的方法�,其特征在于,所述鑒定器為一個或多個���,每個鑒定器中包括至少一個決策機(jī)和與所述決策機(jī)數(shù)量相同個數(shù)的訓(xùn)練模型��;其中�,所述訓(xùn)練模型通過所述決策機(jī)對從樣本文件中提取的樣本文件特征進(jìn)行訓(xùn)練得到�;一個決策機(jī)對應(yīng)訓(xùn)練得到一種類別的樣本文件特征的訓(xùn)練模型。3.如權(quán)利要求2所述的方法��,其特征在于�����,所述根據(jù)所述文件特征的類別確定人工智能引擎鑒定器,通過所述確定的鑒定器對所述文件特征進(jìn)行評分�����,得到第一評分結(jié)果����,包括:獲取與所述文件特征的類別相同的樣本文件特征;將訓(xùn)練所述與所述文件特征的類別相同的樣本文件特征的決策機(jī)確定為對所述文件特征進(jìn)行評分的決策機(jī)��;將通過所述確定的決策機(jī)訓(xùn)練所述與所述文件特征的類別相同的樣本文件特征得到的訓(xùn)練模型確定為對所述文件特征進(jìn)行評分的訓(xùn)練模型��;通過所述確定的決策機(jī)和所述確定的訓(xùn)練模型對所述文件特征進(jìn)行評分��,得到第一評分結(jié)果��。4.如權(quán)利要求3所述的方法��,其特征在于��,所述通過所述確定的決策機(jī)和所述確定的訓(xùn)練模型對所述文件特征進(jìn)行評分�����,`得到第一評分結(jié)果,包括:通過所述確定的決策機(jī)和所述確定的訓(xùn)練模型對所述文件特征進(jìn)行鑒定���,得到鑒定結(jié)果;根據(jù)所述文件特征的類別對應(yīng)的權(quán)重����,對所述鑒定結(jié)果進(jìn)行加權(quán)����,得到第一評分結(jié)果���。5.如權(quán)利要求1所述的方法�����,其特征在于�����,在所述從待檢測文件中提取文件特征步驟之前�,所述方法還包括:獲取所述待檢測文件的機(jī)器標(biāo)簽標(biāo)識MID����;在第一黑�����、白名單中查詢所述待檢測文件的MID��;當(dāng)在第一黑名單中查詢到所述待檢測文件的MID時����,確定所述待檢測文件為危險文件���;當(dāng)在第一白名單中查詢到所述待檢測文件的MID����,或在所述第一黑名單中未查詢到所述待檢測文件的MID時����,則執(zhí)行所述從待檢測文件中提取文件特征的步驟。6.如權(quán)利要求5所述的方法��,其特征在于�,在所述確定所述待檢測文件為危險文件步驟之后,所述方法還包括:向所述待檢測文件的MID指示的終端返回偽信息��;其中��,所述偽信息用于指示所述待檢測文件為安全文件;和/或�,向除所述待檢測文件的MID指示的終端外的其它終端返回危險提示信息。7.如權(quán)利要求2所述的方法�,其特征在于,在所述從待檢測文件中提取文件特征步驟之前����,所述方法還包括:從樣本文件中提取樣本文件特征,并確定提取的樣本文件特征的類別�����;其中���,所述樣本文件包括已確定安全級別的文件;選取與所述樣本文件特征的類別的個數(shù)相同數(shù)量的決策機(jī)�;通過所述決策機(jī)對所述樣本文件特征進(jìn)行機(jī)器訓(xùn)練,得到訓(xùn)練模型����。8.如權(quán)利要求7所述的方法,其特征在于�����,所述通過所述決策機(jī)對所述樣本文件特征進(jìn)行機(jī)器訓(xùn)練,得到訓(xùn)練模型����,包括:通過所述決策機(jī)對所述樣本文件特征進(jìn)行哈希計算得到第二評分結(jié)果;建立所述第二評分結(jié)果與所述已確定安全級別的文件的級別的對應(yīng)關(guān)系的訓(xùn)練模型���。9.如權(quán)利要求7所述的方法��,其特征在于��,在所述通過所述決策機(jī)對所述樣本文件特征進(jìn)行機(jī)器訓(xùn)練�,得到訓(xùn)練模型的步驟之后���,所述方法還包括:按照設(shè)定時間間隔動態(tài)更新所述鑒定器中的數(shù)據(jù)�����;將更新后的鑒定器中的數(shù)據(jù)發(fā)送至一個或多個分布式在線引擎�����,并在所述多個分布式在線引擎上預(yù)加載所述更新后的鑒定器中的數(shù)據(jù)�����;使用在所述多個分布式在線引擎上預(yù)加載的更新后的鑒定器中的數(shù)據(jù)對所述已知文件樣本的特征進(jìn)行評分��,得到第三評分結(jié)果�;當(dāng)所述第三評分結(jié)果滿足預(yù)期值時,確定所述更新后的鑒定器中的數(shù)據(jù)滿足更新要求�;并,接受鑒定器中的數(shù)據(jù)更新��;當(dāng)所述第三評分結(jié)果不滿足預(yù)期值時���,確定所述更新后的鑒定器中的數(shù)據(jù)不滿足更新要求��;并���,拒絕鑒定器中的數(shù)據(jù)更新�。`10.一種檢測文件安全的裝置,包括:提取模塊�����,用于從待檢測文件中提取文件特征���;第一評分模塊�,用于根據(jù)所述文件特征的類別確定人工智能引擎鑒定器,通過所述確定的鑒定器對所述文件特征進(jìn)行評分�,得到第一評分結(jié)果;安全級別確定模塊���,用于將所述第一評分結(jié)果與預(yù)置經(jīng)驗分?jǐn)?shù)進(jìn)行比較�,確定所述待檢測文件的安全級別��?!疚臋n編號】G06F21/56GK103761480SQ201410014366【公開日】2014年4月30日申請日期:2014年1月13日優(yōu)先權(quán)日:2014年1月13日【發(fā)明者】楊康,王志超,魏自立,李振博申請人:北京奇虎科技有限公司,奇智軟件(北京)有限公司