[发明专利]风险文件检测方法、装置及计算机设备

权利要求书

1.一种风险文件检测方法，其特征在于，包括：

获取待检测的目标文件的文件哈希值，所述文件哈希值为基于所述目标文件的文件内容确定出的哈希值；

预先通过大数据统计出大量文件，并分别确定各个文件的文件名以及文件的文件哈希值，然后统计出不同文件哈希值聚类与文件名称数量的对应关系；

将多个不同文件哈希值聚类中，所述目标文件的文件哈希值所属的文件哈希值聚类，确定为所述目标文件哈希值聚类；

检测病毒哈希库中是否存在所述目标文件的文件哈希值对应的病毒属性，其中，所述病毒哈希库中存储有不同文件哈希值对应的病毒属性，病毒属性用于表征该文件哈希值对应的文件是否属于病毒文件；

获得所述目标文件与静态特征库的特征匹配结果，所述静态特征库位于所述目标文件所属的目标客户端，且所述静态特征库中包括所述目标客户端统计得到的病毒文件以及非病毒文件的静态特征；

在所述病毒哈希库中未存储有所述目标文件的文件哈希值对应的病毒属性，或者，所述病毒哈希库中所述目标文件的文件哈希值的病毒属性为未知，或者，所述特征匹配结果表征基于所述静态特征库确定出所述目标文件的病毒属性为未知，或者，基于所述静态特征库无法确定所述目标文件的病毒属性的情况下，依据所述不同文件哈希值聚类与文件名称数量的对应关系，确定目标文件哈希值聚类对应的文件名称的总数量；

根据风险文件的随机名称更新频率设定名称数量阈值；

在所述文件名称的总数量大于预设的所述名称数量阈值的情况下，依据所述目标文件的文件哈希值，确定具有所述目标文件的客户端的总数量；根据风险文件在各个客户端中分布的数量情况来设定广度阈值；在具有所述目标文件的客户端的总数量表征所述目标文件的分布广度小于预设的所述广度阈值的情况下，确定所述目标文件属于风险文件；

在所述文件名称的总数量不大于所述预设的名称数量阈值的情况下，确定所述目标文件的文件属性信息，并检测病毒特征库中是否存在所述目标文件的文件属性信息；当所述病毒特征库中存在所述目标文件的文件属性信息时，依据所述目标文件的文件哈希值，确定具有该目标文件的客户端的总数量；当具有所述目标文件的客户端的总数量表征所述目标文件的分布广度小于预设的广度阈值，确定所述目标文件属于风险文件。

2.根据权利要求1所述的风险文件检测方法，其特征在于，所述具有所述目标文件的客户端的总数量表征所述目标文件的分布广度小于预设的广度阈值，包括：

具有所述目标文件的客户端的总数量小于预设的广度阈值。

3.根据权利要求1所述的风险文件检测方法，其特征在于，在所述确定所述目标文件属于风险文件之后，还包括：

输出针对所述目标文件的风险提示，所述风险提示用于提示用户所述目标文件存在风险；

获得用户针对所述目标文件输入的文件处理方式，所述文件处理方式包括：删除文件或者忽略文件风险；

在所述文件处理方式为删除文件的情况下，将所述目标文件处理为不可运行状态，并在指定存储区存储所述目标文件。

4.根据权利要求1所述的风险文件检测方法，其特征在于，所述目标文件的客户端包括：安装有所述目标文件的客户端、保存有已下载的所述目标文件的客户端以及运行有所述目标文件的客户端。

5.根据权利要求1所述的风险文件检测方法，其特征在于，所述目标文件的文件属性信息包括所述目标文件的文件签名、所述目标文件所属的公司名以及所述目标文件的文件路径信息中的一种或者多种。

6.根据权利要求1所述的风险文件检测方法，其特征在于，所述目标文件为PE文件。