[发明专利]恶意文件的检测方法、装置、计算机设备及存储介质

权利要求书

1.一种恶意文件的检测方法，其特征在于，包括：

获取待检测文件对应的调用接口序列；

确定所述调用接口序列对应的特征序列，并根据所述特征序列，确定所述待检测文件对应的最小哈希签名；

根据所述待检测文件对应的最小哈希签名，将所述待检测文件分配到不同哈希区间下相应的哈希桶中，其中，任意一个哈希区间下存在多个哈希桶；

确定在所述不同哈希区间下与所述待检测文件分配到同一个哈希桶中的第一目标样本文件；

根据所述第一目标样本文件对应的类别信息，判定所述待检测文件是否为恶意文件。

2.根据权利要求1所述的方法，其特征在于，所述根据所述特征序列，确定所述待检测文件对应的最小哈希签名，包括：

根据所述特征序列中的各个分量特征，确定所述各个分量特征中特征值为1的目标分量特征；

根据所述目标分量特征对应的位置信息，计算所述目标分量特征在不同哈希函数下的哈希值；

根据所述目标分量特征在所述不同哈希函数下的哈希值，确定所述待检测文件对应的最小哈希签名。

3.根据权利要求1所述的方法，其特征在于，所述根据所述待检测文件对应的最小哈希签名，将所述待检测文件分配到不同哈希区间下相应的哈希桶中，包括：

确定所述待检测文件对应的最小哈希签名在所述不同哈希区间下的区间签名；

确定在所述不同哈希区间下与所述区间签名相匹配的目标哈希桶，并将所述待检测文件分配到不同哈希区间下的目标哈希桶中。

4.根据权利要求1所述的方法，其特征在于，在所述确定在所述不同哈希区间下与所述待检测文件分配到同一个哈希桶中的第一目标样本文件之后，所述方法还包括：

根据所述待检测文件对应的最小哈希签名和所述第一目标样本文件对应的最小哈希签名，计算所述待检测文件与所述第一目标样本文件之间的汉明距离；

基于所述汉明距离，对所述第一目标样本文件进行排序，并将所述排序名次处于预设范围内的第一目标样本文件确定为第二目标样本文件；

所述根据所述第一目标样本文件对应的类别信息，判定所述待检测文件是否为恶意文件，包括：

根据所述第二目标样本对应的类别信息，判定所述待检测文件是否为恶意文件。

5.根据权利要求1所述的方法，其特征在于，在所述确定在所述不同哈希区间下与所述待检测文件分配到同一个哈希桶中的第一目标样本文件之后，所述方法还包括：

利用预设随机投影森林算法确定所述待检测文件所属的叶子节点；

确定所述叶子节点内的第三目标样本文件，取所述第三目标样本文件与所述第一目标样本文件之间的交集，确定第二目标样本文件；

所述根据所述第一目标样本文件对应的类别信息，判定所述待检测文件是否为恶意文件，包括：

根据所述第二目标样本对应的类别信息，判定所述待检测文件是否为恶意文件。

6.根据权利要求1所述的方法，其特征在于，所述根据所述第一目标样本文件对应的类别信息，判定所述待检测文件是否为恶意文件，包括：

根据所述第一目标文件对应的类别信息，确定在不同类别下的样本数量；

根据所述不同类别下的样本数量，确定最大样本数量对应的类别信息；

若所述最大样本数量对应的类别信息为恶意文件，则确定所述待检测文件为恶意文件。

7.根据权利要求1所述的方法，其特征在于，在所述获取待检测文件对应的调用接口序列之前，所述方法还包括：

获取已知类别信息的样本文件对应的样本调用接口序列；

确定所述样本调用接口序列对应的样本特征序列，并根据所述样本特征序列，确定所述样本文件对应的最小哈希签名；

根据所述样本文件对应的最小哈希签名，将所述样本文件分配到不同哈希区间下相应的哈希桶中。