[发明专利]文件异常识别方法、装置、设备和计算机可读存储介质

说明书

本发明提供了一种文件异常识别方法、装置、设备和计算机可读存储介质。该方法包括：获取待识别文件；通过yara引擎确定上述待识别文件中是否包含yara引擎特征库中存储的文件特征；若上述待识别文件中包含上述yara引擎特征库存储的文件特征，则确定上述待识别文件为异常文件；若上述待识别文件不包含上述yara引擎特征库存储的文件特征，则确定上述待识别文件为非异常文件。采用本发明可以提高文件异常识别的效率，文件异常的应对能力强，适用性高。

技术领域

本发明涉及网络检测技术领域，尤其涉及一种文件异常识别方法、装置、设备和计算机可读存储介质。

背景技术

随着计算机网络技术的发展，在计算机及其网络技术对人们的生活带来极大便利的同时，网络上的威胁也层出不穷。其中危害最大、影响最深的是日益泛滥的计算机病毒。可移植的可执行(Portable Executable，PE)文件作为Windows操作系统中最广泛使用的一种文件格式，恶意PE文件产生的影响尤为巨大。针对计算机病毒带来的文件异常，病毒特征码扫描技术是目前应用最广泛的文件异常检测技术，但当有新的病毒或病毒变种产生，病毒特征的提取速度及升级速度缓慢，导致特征码扫描技术并不能有效检测新型的文件异常；且传统的检测引擎配置不够灵活，当出现新的病毒或病毒变种带来新型文件异常，往往需要重新开放相关模块，操作比较繁琐。

发明内容

本发明实施例提供了一种文件异常识别方法、装置、设备和计算机可读存储介质，可以提高文件异常识别的效率，文件异常的应对能力强，适用性高。

第一方面提供了一种文件异常识别方法，该方法包括：

获取待识别文件；

通过yara引擎确定上述待识别文件中是否包含yara引擎特征库中存储的文件特征；

若上述待识别文件中包含上述yara引擎特征库存储的文件特征，则确定上述待识别文件为异常文件；

若上述待识别文件不包含上述yara引擎特征库存储的文件特征，则确定上述待识别文件为非异常文件。

在一些可行的实施方式中，上述通过上述yara引擎确定上述待识别文件中是否包含yara引擎特征库中存储的文件特征包括：

通过上述yara引擎运行yara规则，通过上述yara规则对上述待识别文件进行特征识别以确定上述待识别文件中是否包含yara引擎特征库中存储的文件特征；

其中，上述yara引擎特征库中存储的文件特征包括反调试/反沙箱类文件特征、加密类文件特征、通用漏洞披露(Common VulnerabilitiesExposures，CVE)漏洞利用类文件特征、恶意邮件类文件特征、漏洞利用套件(Exploit Kit，EK)类文件特征、恶意文档类文件特征、恶意软件类文件特征、移动恶意软件类文件特征、加壳类文件特征、通用类文件特征、Webshell类文件特征中的至少一种。

在一些可行的实施方式中，上述获取待识别文件之后，还包括：

通过第一查杀引擎确定上述待识别文件中是否包含异常文件样本的文件特征；

若通过第一查杀引擎确定上述待识别文件中不包含上述异常文件样本的文件特征，则执行通过yara引擎确定所述待识别文件中是否包含yara引擎特征库中存储的文件特征的步骤。

在一些可行的实施方式中，上述确定上述待识别文件为异常文件之后，上述方法还包括：

向云终端上传上述异常文件，以通过上述云终端采集上述异常文件的异常文件特征并配置上述异常文件特征的所属类型对应的yara规则；

从上述云终端获取配置后的yara规则，将上述配置后的yara规则对应的上述异常文件特征添加至上述yara引擎特征库。