文件扫描方法、装置、电子设备及计算机可读存储介质与流程

本技术涉及数据安全，具体而言，本技术涉及一种文件扫描方法、装置、电子设备及计算机可读存储介质。

背景技术：

1、从微信、qq、浏览器等应用下载文件时，终端会对下载的目标文件进行安全检测，判断目标文件是否是安全文件。现有的检测方式一般是由杀毒程序将目标文件上传至安全引擎，安全引擎中包括各类鉴定器，每种鉴定器会分别对该目标文件的文件内容进行安全鉴定，最后综合各类鉴定器的鉴定结果来确定该目标文件是否是安全的。

2、然而在实际攻击活动中，攻击者通常会对木马文件的内容特征进行木马免杀处理，木马免杀的核心思路是通过修改病毒、木马文件内容从而改变特征码以躲避查杀，若有病毒的文件的内容特征被攻击者进行了木马免杀处理，则该有病毒的文件有较大概率绕过杀毒程序的检测，会被误判为安全文件，因此，仅通过鉴定器对文件的内容的鉴定并不能准确地确定目标文件的安全性。

技术实现思路

1、本技术实施例提供了一种文件扫描方法、装置、电子设备、计算机可读存储介质及计算机程序产品，用于解决背景技术中的技术问题。

2、根据本技术实施例的第一方面，提供了一种文件扫描方法，该方法包括：

3、杀毒程序响应于目标文件被下载至本地，向安全引擎请求对目标文件进行安全检测；

4、安全引擎响应于该安全检测的请求，获取目标文件的多维度属性；

5、安全引擎根据目标文件的多维度属性生成目标文件的唯一标识，并发送至安全后台；

6、安全后台根据目标文件的唯一标识确认目标文件的安全检测状态，若根据唯一标识确定目标文件为未进行过安全检测的新文件，则指示安全引擎上传目标文件；

7、安全后台接收目标文件并对目标文件进行文件内容检测处理，得到目标文件的内容异常程度；

8、安全后台根据目标文件的内容异常程度确定样本属性，若根据内容异常程度确定目标文件的样本属性为灰样本，则安全后台对目标文件进行多维度属性检测处理，得到目标文件的属性异常程度；

9、安全后台通过安全引擎向杀毒程序反馈目标文件的样本属性、内容异常程度和属性异常程度；

10、杀毒程序在确定目标文件的样本属性为灰样本且内容异常程度以及属性异常程度满足当前安全级别的告警规则的情况下，发起针对目标文件的告警，告警规则用于指示在相应安全级别下发起告警时，内容异常程度和属性异常程度中的至少一种满足需要的条件。

11、在一个可能的实现方式中，安全后台对目标文件进行多维度属性检测处理，得到目标文件的属性异常程度，包括：

12、安全后台获取每个维度的属性的至少一条检测规则；

13、对于每个维度的属性，确定属性满足的检测规则的数量，根据数量确定属性的单维异常程度；

14、根据所有维度的属性的单维异常程度，得到多维度属性的属性异常程度。

15、在一个可能的实现方式中，杀毒程序在确定目标文件的内容异常程度以及属性异常程度满足当前安全级别的告警规则的情况下，发起针对目标文件的告警，包括：

16、杀毒程序若确定当前安全级别为第一级别，则确定当前安全级别的告警规则为第一告警规则，第一告警规则指示的条件包括：内容异常程度和属性异常程度均高于相应异常程度的预设阈值；

17、杀毒程序若确定当前安全级别为高于第一级别的第二级别，则确定当前安全级别的告警规则为第二告警规则，第二告警规则指示的条件包括：内容异常程度和属性异常程度中的至少一种异常程度高于相应异常程度的预设阈值。

18、在一个可能的实现方式中，安全后台接收目标文件并对目标文件进行文件内容检测处理，得到目标文件的内容异常程度，包括：

19、安全后台确定目标文件的文件格式，根据文件格式确定至少一个目标鉴定器，调用至少一个目标鉴定器对目标文件进行文件内容检测处理，得到目标文件的内容异常程度。

20、在一个可能的实现方式中，调用至少一个目标鉴定器对目标文件进行文件内容检测处理，得到目标文件的内容异常程度，包括：

21、安全后台获得每个目标鉴定器基于预设的特征匹配规则对文件内容进行特征匹配得到的可疑程度以及每个鉴定器的权重；任意两个目标鉴定器的特征匹配规则不尽相同；

22、对于每个鉴定器，根据鉴定器的权重对鉴定器的可疑程度进行加权，得到鉴定器的加权可疑程度；

23、根据所有鉴定器的加权可疑程度获得目标文件的内容异常程度。

24、在一个可能的实现方式中，得到目标文件的属性异常程度，之后还包括：

25、安全后台在预设数据库中保存唯一标识和内容异常程度之间的对应关系；

26、安全后台根据唯一标识确定目标文件为未进行过安全检测的新文件，包括：

27、安全后台若确定预设数据库中不存在唯一标识，则确定目标文件为未进行过安全检测的新文件；

28、根据目标文件的多维度属性生成目标文件的唯一标识，并发送至安全后台，之后还包括：

29、安全后台若确定唯一标识位于预设数据库，则确定目标文件为进行过安全检测的文件，从预设数据库中获取与目标文件的唯一标识存在对应关系的内容异常程度。

30、在一个可能的实现方式中，安全后台得到目标文件的内容异常程度，之后还包括：

31、安全后台若根据内容异常程度确定目标文件的样本属性为白样本，则通过安全引擎向杀毒程序反馈目标文件的样本属性，杀毒程序在确定目标文件的样本属性为白样本的情况下，显示目标文件为安全文件；

32、或者安全后台若根据内容异常程度确定目标文件的样本属性为黑样本，则通过安全引擎向杀毒程序反馈目标文件的样本属性，杀毒程序在确定目标文件的样本属性为黑样本的情况下，发起针对目标文件的告警。

33、根据本技术实施例的第二方面，提供了一种文件扫描装置，该装置包括：

34、下载模块，用于指示杀毒程序响应于目标文件被下载至本地，向安全引擎请求对目标文件进行安全检测；

35、多维度属性模块，用于指示安全引擎响应于该安全检测的请求，获取目标文件的多维度属性；

36、唯一标识生成模块，用于指示安全引擎根据目标文件的多维度属性生成目标文件的唯一标识，并发送至安全后台；

37、安全检测状态确定模块，用于指示安全后台根据目标文件的唯一标识确认目标文件的安全检测状态，若根据唯一标识确定目标文件为未进行过安全检测的新文件，则指示安全引擎上传目标文件；

38、内容异常程度确定模块，用于指示安全后台接收目标文件并对目标文件进行文件内容检测处理，得到目标文件的内容异常程度；

39、属性异常程度确定模块，用于指示安全后台根据目标文件的内容异常程度确定样本属性，若根据内容异常程度确定目标文件的样本属性为灰样本，则安全后台对目标文件进行多维度属性检测处理，得到目标文件的属性异常程度；

40、反馈模块，用于指示安全后台通过安全引擎向杀毒程序反馈目标文件的样本属性、内容异常程度和属性异常程度；

41、告警模块，用于指示杀毒程序在确定目标文件的样本属性为灰样本且内容异常程度以及属性异常程度满足当前安全级别的告警规则的情况下，发起针对目标文件的告警，告警规则用于指示在相应安全级别下发起告警时，内容异常程度和属性异常程度中的至少一种满足需要的条件。

42、根据本技术实施例的第三方面，提供了一种电子设备，该电子设备包括存储器、处理器及存储在存储器上的计算机程序，处理器执行程序时实现如第一方面所提供的方法的步骤。

43、根据本技术实施例的第四方面，提供了一种计算机可读存储介质，其上存储有计算机程序，该计算机程序被处理器执行时实现如第一方面所提供的方法的步骤。

44、根据本技术实施例的第五方面，提供了一种计算机程序产品，该计算机程序产品包括计算机指令，该计算机指令存储在计算机可读存储介质中，当计算机设备的处理器从计算机可读存储介质读取该计算机指令，处理器执行该计算机指令，使得该计算机设备执行实现如第一方面所提供的方法的步骤。

45、本技术实施例提供的技术方案带来的有益效果是：

46、本技术实施例杀毒程序响应于目标文件被下载至本地，向安全引擎请求对目标文件进行安全检测；安全引擎响应于该安全检测的请求，根据目标文件的多维度属性生成目标文件的唯一标识；安全后台在根据目标文件的唯一标识确定目标文件为未进行过安全检测的新文件后，对目标文件进行文件内容检测来确定目标文件的内容异常程度；根据该内容异常程度来确定目标文件的样本属性，在确定目标文件的样本属性为灰样本后，进一步确定目标文件的多维度属性对应的属性异常程度；安全程序通过安全引擎向杀毒程度反馈样本属性、内容异常程度以及属性异常程度；杀毒程序在确定目标文件的样本属性为灰样本且内容异常程度以及属性异常程度满足当前安全级别的告警规则，发起针对目标文件的告警，降低恶意的目标文件传输的可能性和入侵终端操作系统的风险，避免不安全的目标文件对终端造成危险。