[发明专利]文件识别方法和装置

说明书

技术领域

本申请涉及计算机技术领域，具体涉及计算机安全技术领域，尤其涉及文件识别方法和装置。

背景技术

计算机病毒可以看作是一类特殊的程序，它们通常隐藏在各类计算机文件中，并在用户不知晓也未授权的情况下潜入到用户的计算机系统中进行非法攻击。要确保用户的数据安全，就需要首先对包含有计算机病毒的恶意文件进行识别，然后阻止其进行破坏。

现有技术在对恶意文件进行识别时，通常使用单一的数据挖掘方法对已有的文件样本进行训练，然后用得到训练模型去识别未知文件。但是，随着计算机技术的不断发展，文件样本的数量越来越多，计算机病毒的种类也越来越繁杂。这也导致现有技术中的模型训练时间明显增加，同时恶意文件的识别准确率明显降低的问题。

发明内容

鉴于现有技术中的上述缺陷或不足，期望能够提供一种实时性好、识别准确率高的方案。为了实现上述一个或多个目的，本申请提供了文件识别方法和装置。

第一方面，本申请提供了一种文件识别方法，该方法包括：确定文件样本中各恶意文件样本的病毒家族；基于各病毒家族中恶意文件样本的数量，将所述病毒家族划分为至少一个样本组；采用不同的训练规则，分别对各样本组中的恶意文件样本进行训练，得到至少一个文件识别模型；以及通过所述至少一个文件识别模型，确定待识别文件是否为恶意文件。

第二方面，本申请提供了一种文件识别装置，该装置包括：确定模块，用于确定文件样本中各恶意文件样本的病毒家族；分组模块，用于基于各病毒家族中恶意文件样本的数量，将所述病毒家族划分为至少一个样本组；训练模块，用于采用不同的训练规则，分别对各样本组中的恶意文件样本进行训练，得到至少一个文件识别模型；以及识别模块，用于通过所述至少一个文件识别模型，确定待识别文件是否为恶意文件。

本申请提供的文件识别方法和装置，首先根据恶意文件样本在病毒家族中的分布情况，将恶意文件样本进行分组，然后对各组样本分别训练得到不同的识别模型，最后用多个模型同时进行文件识别。通过对具有不同样本分布的文件样本进行分组训练，不但可以减少模型的训练时间，还可以提高模型对恶意文件的识别准确率。

附图说明

通过阅读参照以下附图所作的对非限制性实施例的详细描述，本申请的其它特征、目的和优点将会变得更明显：

图1示出了可以应用本申请实施例的示例性系统架构；

图2示出了根据本申请一个实施例的文件识别方法的示例性流程图；

图3示出了根据本申请中病毒家族的累积分布函数的示例性示意图；

图4示出了根据本申请另一个实施例的文件识别方法的示例性流程图；

图5示出了根据本申请实施例的文件识别装置的结构示意图；

图6示出了适于用来实现本申请实施例的终端设备或服务器的计算机系统的结构示意图。

具体实施方式

下面结合附图和实施例对本申请作进一步的详细说明。可以理解的是，此处所描述的具体实施例仅仅用于解释相关发明，而非对该发明的限定。另外还需要说明的是，为了便于描述，附图中仅示出了与有关发明相关的部分。

需要说明的是，在不冲突的情况下，本申请中的实施例及实施例中的特征可以相互组合。下面将参考附图并结合实施例来详细说明本申请。

图1示出了可以应用本申请实施例的示例性系统架构100。

如图1所示，系统架构100可以包括终端设备101、102、网络103和服务器104。网络103用以在终端设备101、102和服务器104之间提供通信链路的介质。网络103可以包括各种连接类型，例如有线、无线通信链路或者光纤电缆等等。

用户110可以使用终端设备101、102通过网络103与服务器104交互，以接收或发送消息等。终端设备101、102上可以安装有各种通讯客户端应用，例如即时通信工具、邮箱客户端、社交平台软件等。

终端设备101、102可以是各种电子设备，包括但不限于个人电脑、智能手机、智能手表、平板电脑、个人数字助理等等。

服务器104可以是提供各种服务的服务器。服务器可以对接收到的数据进行存储、分析等处理，并将处理结果反馈给终端设备。