[发明专利]一种文件检测方法及装置

说明书

本申请公开了一种文件检测方法及装置，所述方法包括：响应于待检测文件的加载，基于获取的可交互内容提取特征；根据提取的特征，获取所述待检测文件对应的模拟交互指令；根据模拟交互指令对所述待检测文件进行模拟交互；在所述待检测文件进行模拟交互的过程中，判断所述待检测文件是否为恶意文件。采用本申请所提供的方案，可以基于文件动态行为判断所述待检测文件是否为恶意文件，提升了判定结果的准确度，且通过模拟交互来获取文件动态行为，无需在用户使用过程中获取文件动态行为，提升了安全性。

技术领域

本申请涉及网络安全领域，特别涉及一种文件检测方法及装置。

背景技术

随着互联网的发展，网络中的文件（如软件安装包、数据压缩包、软件等）日益增加，用户对于免杀恶意文件勒索、钓鱼、种植木马后门、恶意推广防不胜防。这也就需要对文件动态行为进行全面的监控和收集，从面判定文件恶意与非恶意。

现有技术中，判定文件恶意与非恶意是通过沙箱系统，具体的，在获取到文件之后，收集文件的各类属性，通过文件的各类属性判定文件恶意与否，但是通常情况下，判断文件恶意与否的重要指标是文件动态行为，文件动态行为需要在文件的运行过程中收集，现有技术只能收集到文件的静态属性，对于文件动态行为则需要在用户使用文件的过程中收集，但是在用户文件过程中收集文件动态行为需要用户实际使用该文件，安全性较差，而如果仅使用静态属性判定文件恶意与否，素材不全面，影响判定结果，因此，亟需提供一种检测方案，以提升安全性和判定结果的准确度。

发明内容

本申请实施例的目的在于提供一种文件检测方法及装置，以提升安全性和判定结果的准确度。

为了解决上述技术问题，本申请的实施例采用了如下技术方案：一种文件检测方法，包括：

响应于待检测文件的加载，基于获取的可交互内容提取特征；

根据提取的特征，获取所述待检测文件对应的模拟交互指令；

根据模拟交互指令对所述待检测文件进行模拟交互；

在所述待检测文件进行模拟交互的过程中，判断所述待检测文件是否为恶意文件。

本申请的有益效果在于：对待检测文件恶意与否的判定过程中，获取待检测文件对应的模拟交互指令，根据模拟交互指令对所述待检测文件进行模拟交互；在所述待检测文件进行模拟交互的过程中，判断所述待检测文件是否为恶意文件，从而可以基于模拟交互获得文件动态行为，从而可以基于文件动态行为判断所述待检测文件是否为恶意文件，提升了判定结果的准确度，且本申请通过模拟交互，来获取文件动态行为，无需在用户使用过程中获取文件动态行为，提升了安全性。

在一个实施例中，所述加载，包括：

确定待检测文件的文件类型；

根据所述文件类型加载所述待检测文件；

获取可交互内容，包括：

在所述待检测文件加载完成后，获取所述待检测文件的界面截图。

在一个实施例中，获取所述待检测文件的界面截图，包括：

通过系统应用程序接口获取窗口属性信息；

根据窗口属性信息获取所述待检测文件的界面截图。

在一个实施例中，所述获取所述待检测文件对应的模拟交互指令，包括：

对所述待检测文件的界面截图进行所述提取特征；

将提取的特征与特征库进行匹配以确定所述待检测文件的模拟交互指令。

在一个实施例中，所述在所述待检测文件进行模拟交互的过程中，判断所述待检测文件是否为恶意文件，包括：

在获取到所述待检测文件对应的模拟交互指令之后，根据所述模拟交互指令对所述待检测文件进行模拟操作；

获取所述待检测文件模拟交互过程中所生成的目标数据；

根据所述目标数据判断所述待检测文件是否为恶意文件。