[发明专利]一种文件类型识别方法及服务器

权利要求书

1.一种文件类型识别方法，应用于服务器，其特征在于，该方法包括：

获取已标记类别标签的训练样本，其中，所述类别标签包括病毒类别和安全属性；

将所述训练样本划分为至少两类病毒的训练样本以及正常文件的训练样本；

根据预先设置的提取特征列表，对不同的所述类别标签的所述训练样本进行特征提取，分别得到每一个训练样本的特征集合，其中，所述特征集合包括以下至少之一：头部信息特征、常量特征、操作数特征、指令序列特征、类名函数名特征和权限特征；

将所述每一个训练样本的所述特征集合中的每一个特征信息的出现次数进行排序，根据所述排序确定所述至少两类病毒中每一类病毒的特征信息库，并根据所述排序确定所述正常文件的特征信息库；

基于所述每一类病毒的特征信息库、以及正常文件的特征信息库，确定用以识别所述至少两类病毒及正常文件的分类模型；

获取终端设备发来的待识别文件，对所述待识别文件进行特征提取得到所述待识别文件的至少一个特征；

基于所述待识别文件的至少一个特征、以及所述分类模型，确定所述待识别文件在每一类对应的分类函数值，选取分类函数值最大的一个类别作为所述待识别文件对应的类型识别结果；

其中，所述类型识别结果中包括有所述待识别文件为所述至少两类病毒文件中的一类、或所述待识别文件为正常文件；

发送所述类型识别结果至所述终端设备。

2.根据权利要求1所述的方法，其特征在于，所述将所述每一个训练样本的所述特征集合中的每一个特征信息的出现次数进行排序，根据所述排序确定所述至少两类病毒中每一类病毒的特征信息库，并根据所述排序确定所述正常文件的特征信息库，包括：

从全部训练样本的特征集合中逐个选取目标特征信息；

判断所述目标特征信息是否仅存在于所述正常文件的特征集合中，若是，则将所述目标特征信息添加到所述正常文件的特征信息库；

若不是，则判断所述目标特征信息是否仅存在于所述至少两类病毒中的任一类目标类病毒的训练样本的特征集合中，若是，则将所述目标特征信息添加到对应的所述目标类病毒的特征信息库中。

3.根据权利要求1所述的方法，其特征在于，所述将所述每一个训练样本的所述特征集合中的每一个特征信息的出现次数进行排序，根据所述排序确定所述至少两类病毒中每一类病毒的特征信息库，并根据所述排序确定所述正常文件的特征信息库，包括：

从全部训练样本的特征集合中逐个选取目标特征信息；

判断所述目标特征信息是否仅存在于所述正常文件的特征集合中，若是，则将所述目标特征信息添加到所述正常文件的待用特征信息集合；

若不是，则判断所述目标特征信息是否仅存在于目标类病毒的训练样本的特征集合中，若是，则将所述目标特征信息添加到所述目标类病毒的待用特征信息集合；直至完成对全部训练样本的特征集合中的全部特征信息的判断为止；

对所述正常文件的待用特征信息集合中的每一个特征信息的出现次数进行统计，基于统计的出现次数从所述待用特征集合中选取得到至少一个特征信息添加到所述正常文件的特征信息库；以及对每一类病毒的待用特征信息集合中的每一个特征信息的出现次数进行统计，根据统计的出现次数从所述待用特征集合中选取得到至少一个特征信息添加到对应类病毒的特征信息库。

4.根据权利要求1所述的方法，其特征在于，所述将所述每一个训练样本的所述特征集合中的每一个特征信息的出现次数进行排序，根据所述排序确定所述至少两类病毒中每一类病毒的特征信息库，包括：

从所述至少两类病毒中逐个选取得到目标类病毒；

获取所述目标类病毒的全部训练样本的特征集合；

根据所述目标类病毒的全部训练样本的特征集合中的每一个特征出现的次数，选取得到目标类病毒的至少一个特征信息，将所述至少一个特征信息添加至所述目标类病毒的特征信息库；

以此类推，直至获取到全部类病毒对应的特征信息库。