[发明专利]恶意文件的确定方法及装置

权利要求书

1.一种恶意文件的确定方法，其特征在于，包括：

判断接收到的多个文件块是否符合预设要求，其中，所述多个文件块是待检测文件的所有文件块，所述预设要求至少包括：所述多个文件块的大小要求和所述多个文件块的排序要求；

若所述多个文件块不符合预设要求，则计算首部文件块的哈希特征值，其中，所述首部文件块是在设备缓存区中已按文件块的顺序缓存的文件块；

将所述多个文件块划分为预设数量的子文件，计算每个子文件的与顺序无关的哈希特征值；

基于所述首部文件块的哈希特征值和所述每个子文件的与顺序无关的哈希特征值，判断所述待检测文件是否为恶意文件；

其中，将每个子文件分成多个预设比特的数据块，计算每个预设比特的数据块中与顺序无关的哈希特征值；

将每个预设比特的数据块中与顺序无关的哈希特征值进行累加和计算，得到每个子文件的与顺序无关的哈希特征值。

2.根据权利要求1所述的方法，其特征在于，所述方法还包括：

若每个子文件分成的数据块中存在小于预设比特的数据块，则对所述小于预设比特的数据块进行填充，以使每个数据块是预设比特的数据块。

3.根据权利要求1所述的方法，其特征在于，基于所述首部文件块的哈希特征值和所述每个子文件的与顺序无关的哈希特征值，判断所述待检测文件是否为恶意文件，包括：

获取所述待检测文件的长度；

基于待检测文件的长度、所述首部文件块的哈希特征值和所述每个子文件的与顺序无关的哈希特征值在预设数据库中进行匹配查询，以判断所述待检测文件是否为恶意文件。

4.根据权利要求3所述的方法，其特征在于，基于待检测文件的长度、所述首部文件块的哈希特征值和所述每个子文件的与顺序无关的哈希特征值在预设数据库中进行匹配查询，以判断所述待检测文件是否为恶意文件，包括：

若预设数据库中存储了与待检测文件的长度相同、所述首部文件块的哈希特征值相同和所述每个子文件的与顺序无关的哈希特征值相同的数据信息，则确定所述待检测文件为恶意文件。

5.根据权利要求1所述的方法，其特征在于，在判断接收到的多个文件块是否符合预设要求之前，所述方法还包括：

判断所述待检测文件的大小；

若所述待检测文件的大小超过预设大小，则执行判断接收到的多个文件块是否符合预设要求的步骤。

6.根据权利要求1所述的方法，其特征在于，所述方法应用于网络安全设备中的应用层协议无序传输中获取所述待检测文件的数据块的场景。

7.一种恶意文件的确定装置，其特征在于，包括：

第一判断单元，用于判断接收到的多个文件块是否符合预设要求，其中，所述多个文件块是待检测文件的所有文件块，所述预设要求至少包括：所述多个文件块的大小要求和所述多个文件块的排序要求；

第一计算单元，用于在所述多个文件块不符合预设要求的情况下，则计算首部文件块的哈希特征值，其中，所述首部文件块是在设备缓存区中已按文件块的顺序缓存的文件块；

第二计算单元，用于将所述多个文件块划分为预设数量的子文件，计算每个子文件的与顺序无关的哈希特征值；

第二判断单元，用于基于所述首部文件块的哈希特征值和所述每个子文件的与顺序无关的哈希特征值，判断所述待检测文件是否为恶意文件；

其中，所述第二计算单元包括：第一计算模块，用于将每个子文件分成多个预设比特的数据块，计算每个预设比特的数据块中与顺序无关的哈希特征值；第二计算模块，用于将每个预设比特的数据块中与顺序无关的哈希特征值进行累加和计算，得到每个子文件的与顺序无关的哈希特征值。

8.一种非易失性存储介质，其特征在于，所述存储介质包括存储的程序，其中，所述程序执行权利要求1至6中任意一项所述的恶意文件的确定方法。

9.一种处理器，其特征在于，所述处理器用于运行程序，其中，所述程序运行时执行权利要求1至6中任意一项所述的恶意文件的确定方法。