本發(fā)明涉及網(wǎng)絡(luò)技術(shù)領(lǐng)域，特別涉及一種異常文件識(shí)別方法及裝置。

背景技術(shù)：

隨著網(wǎng)絡(luò)技術(shù)的發(fā)展以及網(wǎng)絡(luò)信息的廣泛傳播，網(wǎng)絡(luò)中存在著多個(gè)類型的文件，例如腳本、文檔、頁(yè)面等，這些文件中很可能包括異常文件。通常情況下，異常文件會(huì)影響系統(tǒng)的正常運(yùn)行，導(dǎo)致用戶信息泄露，為用戶帶來(lái)?yè)p失。因此，識(shí)別異常文件成為一個(gè)亟需解決的問(wèn)題。

相關(guān)技術(shù)中，異常特征碼可以認(rèn)為是導(dǎo)致文件出現(xiàn)異常的根源，一旦某一文件中包括異常特征碼，即可認(rèn)為該文件為異常文件，在該文件的運(yùn)行過(guò)程中該異常特征碼會(huì)影響系統(tǒng)的正常運(yùn)行，因此識(shí)別異常文件的過(guò)程可以通過(guò)識(shí)別異常特征碼實(shí)現(xiàn)。通常情況下，首先會(huì)獲取已知的異常特征碼，而對(duì)于待識(shí)別的文件，可以將文件中的數(shù)據(jù)與該異常特征碼進(jìn)行匹配，以判斷該文件是否包括該異常特征碼，當(dāng)確定該文件包括該異常特征碼時(shí)，可以確定該文件為異常文件。

然而，當(dāng)采用加密變形算法對(duì)異常文件進(jìn)行加密變形后，異常文件中的異常特征碼也會(huì)被加密變形，導(dǎo)致異常文件中包括異常特征碼加密變形后的數(shù)據(jù)，而不包括原始的異常特征碼，此時(shí)將無(wú)法識(shí)別出該異常文件，存在局限性。

技術(shù)實(shí)現(xiàn)要素：

為了解決相關(guān)技術(shù)的問(wèn)題，本發(fā)明實(shí)施例提供了一種異常文件識(shí)別方法及裝置。所述技術(shù)方案如下：

第一方面，提供了一種異常文件識(shí)別方法，所述方法包括：

獲取多個(gè)樣本異常文件中每個(gè)樣本異常文件的特征集合以及根據(jù)所述多個(gè)樣本異常文件確定的公共數(shù)據(jù)串，所述樣本異常文件的特征集合由所述樣本異常文件的多個(gè)數(shù)據(jù)層的特征確定，所述多個(gè)樣本異常文件通過(guò)采用同一加密變形算法對(duì)多個(gè)異常文件進(jìn)行加密變形后得到，所述公共數(shù)據(jù)串為至少兩個(gè)樣本異常文件的指定數(shù)據(jù)層均包括的數(shù)據(jù)串；

獲取待識(shí)別的目標(biāo)文件；

根據(jù)所述目標(biāo)文件的多個(gè)數(shù)據(jù)層的特征，獲取所述目標(biāo)文件的特征集合；

當(dāng)所述特征集合與任一樣本異常文件的特征集合匹配，且所述目標(biāo)文件與所述任一樣本異常文件的指定數(shù)據(jù)層均包括所述公共數(shù)據(jù)串時(shí)，確定所述目標(biāo)文件為異常文件。

第二方面，提供了一種異常文件識(shí)別裝置，所述裝置包括：

特征集合獲取模塊，用于獲取多個(gè)樣本異常文件中每個(gè)樣本異常文件的特征集合，所述樣本異常文件的特征集合由所述樣本異常文件的多個(gè)數(shù)據(jù)層的特征確定，所述多個(gè)樣本異常文件通過(guò)采用同一加密變形算法對(duì)多個(gè)異常文件進(jìn)行加密變形后得到，

公共數(shù)據(jù)串獲取模塊，用于獲取根據(jù)所述多個(gè)樣本異常文件確定的公共數(shù)據(jù)串，所述公共數(shù)據(jù)串為至少兩個(gè)樣本異常文件的指定數(shù)據(jù)層均包括的數(shù)據(jù)串；

目標(biāo)文件獲取模塊，用于獲取待識(shí)別的目標(biāo)文件；

所述特征集合獲取模塊，還用于根據(jù)所述目標(biāo)文件的多個(gè)數(shù)據(jù)層的特征，獲取所述目標(biāo)文件的特征集合；

異常文件確定模塊，用于當(dāng)所述特征集合與任一樣本異常文件的特征集合匹配，且所述目標(biāo)文件與所述任一樣本異常文件的指定數(shù)據(jù)層均包括所述公共數(shù)據(jù)串時(shí)，確定所述目標(biāo)文件為異常文件。

本發(fā)明實(shí)施例提供的技術(shù)方案帶來(lái)的有益效果是：

本發(fā)明實(shí)施例提供的方法及裝置，擴(kuò)展了一種異常文件識(shí)別方法，將待識(shí)別的目標(biāo)文件與經(jīng)過(guò)加密變形的樣本異常文件進(jìn)行匹配，在目標(biāo)文件的特征集合與樣本異常文件的特征集合匹配，且目標(biāo)文件包括該樣本異常文件的指定數(shù)據(jù)層所包括的公共數(shù)據(jù)串時(shí)，說(shuō)明目標(biāo)文件是與樣本異常文件類似的文件，因此可以確定目標(biāo)文件為異常文件。采用上述異常文件識(shí)別方法，即使異常文件加密變形后也能夠被識(shí)別出來(lái)，解決了異常文件加密變形后無(wú)法識(shí)別的問(wèn)題，提升了靈活性。

附圖說(shuō)明

為了更清楚地說(shuō)明本發(fā)明實(shí)施例中的技術(shù)方案，下面將對(duì)實(shí)施例描述中所需要使用的附圖作簡(jiǎn)單地介紹，顯而易見(jiàn)地，下面描述中的附圖僅僅是本發(fā)明的一些實(shí)施例，對(duì)于本領(lǐng)域普通技術(shù)人員來(lái)講，在不付出創(chuàng)造性勞動(dòng)的前提下，還可以根據(jù)這些附圖獲得其他的附圖。

圖1a是本發(fā)明實(shí)施例提供的一種異常文件識(shí)別方法的流程圖；

圖1b是本發(fā)明實(shí)施例提供的一種處理樣本異常文件的流程圖；

圖1c是本發(fā)明實(shí)施例提供的第一數(shù)據(jù)層的示意圖；

圖1d是本發(fā)明實(shí)施例提供的第二數(shù)據(jù)層的示意圖；

圖1e是本發(fā)明實(shí)施例提供的特征集合的示意圖；

圖1f是本發(fā)明實(shí)施例提供的公共數(shù)據(jù)串的示意圖；

圖2a是本發(fā)明實(shí)施例提供的一種異常文件識(shí)別裝置的結(jié)構(gòu)示意圖；

圖2b是本發(fā)明實(shí)施例提供的一種異常文件識(shí)別裝置的結(jié)構(gòu)示意圖；

圖3是本發(fā)明實(shí)施例提供的一種終端的結(jié)構(gòu)示意圖；

圖4是本發(fā)明實(shí)施例提供的一種服務(wù)器的結(jié)構(gòu)示意圖。

具體實(shí)施方式

下面將結(jié)合本發(fā)明實(shí)施例中的附圖，對(duì)本發(fā)明實(shí)施例中的技術(shù)方案進(jìn)行清楚、完整地描述，顯然，所描述的實(shí)施例是本發(fā)明一部分實(shí)施例，而不是全部的實(shí)施例?；诒景l(fā)明中的實(shí)施例，本領(lǐng)域普通技術(shù)人員在沒(méi)有做出創(chuàng)造性勞動(dòng)前提下所獲得的所有其他實(shí)施例，都屬于本發(fā)明保護(hù)的范圍。

異常文件是指會(huì)影響系統(tǒng)正常運(yùn)行的文件，例如病毒文件、被損壞的文件等。從文件類型的角度來(lái)說(shuō)，異常文件可以包括腳本、文檔、頁(yè)面等類型的文件，從文件格式的角度來(lái)說(shuō)，異常文件可以包括javascript、vbscript、python、java、shell、powshell等格式的文件。

為了避免異常文件造成不良影響，本發(fā)明實(shí)施例通過(guò)識(shí)別裝置識(shí)別異常文件，該識(shí)別裝置可以為手機(jī)、電腦、服務(wù)器等具有數(shù)據(jù)處理功能的設(shè)備。

其中，識(shí)別異常文件的過(guò)程可以應(yīng)用于多種場(chǎng)景下。例如在下載到一個(gè)新文件時(shí)，對(duì)該新文件進(jìn)行識(shí)別，判斷該新文件是否為異常文件，僅在確定該新文件不是異常文件時(shí)才允許存儲(chǔ)該新文件?；蛘撸诖蜷_一個(gè)來(lái)源未知的文件時(shí)，對(duì)該文件進(jìn)行識(shí)別，判斷該文件是否為異常文件，僅在確定該文件不是異常文件時(shí)才允許打開該文件。

圖1a是本發(fā)明實(shí)施例提供的一種異常文件識(shí)別方法的流程圖，該發(fā)明實(shí)施例的執(zhí)行主體為識(shí)別裝置，參見(jiàn)圖1a，該方法包括：

101、識(shí)別裝置將樣本異常文件中包括的多個(gè)類型劃分為多組，對(duì)樣本異常文件中的數(shù)據(jù)進(jìn)行分類，得到與多組分別匹配的多個(gè)數(shù)據(jù)層，使得同一數(shù)據(jù)層中包括對(duì)應(yīng)的至少一個(gè)類型的數(shù)據(jù)，不同數(shù)據(jù)層的數(shù)據(jù)的類型不同。

為了識(shí)別經(jīng)過(guò)加密變形后的異常文件，去除加密變形算法對(duì)識(shí)別異常文件的影響，識(shí)別裝置可以獲取多個(gè)已知的異常文件，并采用相同加密變形算法，對(duì)多個(gè)異常文件進(jìn)行加密變形，得到經(jīng)過(guò)加密變形后的多個(gè)樣本異常文件，該多個(gè)樣本異常文件用于識(shí)別經(jīng)過(guò)加密變形后的異常文件。那么，當(dāng)待識(shí)別的目標(biāo)文件是經(jīng)過(guò)同一加密變形算法加密變形后的異常文件時(shí)，可以采用本發(fā)明實(shí)施例提供的識(shí)別方法識(shí)別出來(lái)。

其中，該加密變形算法可以由識(shí)別裝置安裝的混淆器提供。例如，識(shí)別裝置可以調(diào)用與混淆器之間的接口，向該混淆器傳入多個(gè)異常文件，混淆器會(huì)基于加密變形算法，對(duì)多個(gè)異常文件進(jìn)行加密變形，得到加密變形后的多個(gè)樣本異常文件。

之后，識(shí)別裝置可以獲取每個(gè)樣本異常文件的特征集合，以特征集合來(lái)表示樣本異常文件。

考慮到樣本異常文件中會(huì)包括多個(gè)類型的數(shù)據(jù)，不同類型的數(shù)據(jù)往往具有不同的特征。若直接對(duì)樣本異常文件進(jìn)行特征提取，會(huì)得到樣本異常文件的整體特征，由于整體特征體現(xiàn)不出每個(gè)類型各自的特征，也體現(xiàn)不出不同類型的特征之間的區(qū)別，將導(dǎo)致樣本異常文件中的細(xì)節(jié)數(shù)據(jù)的特征被湮沒(méi)。

因此，在一種可能實(shí)現(xiàn)方式中，可以將樣本異常文件劃分為多個(gè)彼此獨(dú)立的數(shù)據(jù)層，從而獲取到每個(gè)數(shù)據(jù)層各自的特征，再將多個(gè)數(shù)據(jù)層的特征組合構(gòu)成特征集合。

識(shí)別裝置可以對(duì)樣本異常文件中的數(shù)據(jù)進(jìn)行分析，確定該樣本異常文件中包括的多個(gè)類型，并根據(jù)每個(gè)類型和對(duì)數(shù)據(jù)層的數(shù)量需求，將該多個(gè)類型劃分為多組，多組的數(shù)量等于將要?jiǎng)澐值臄?shù)據(jù)層的數(shù)量，且不超過(guò)該樣本異常文件中存在的類型的數(shù)量。每組中可以包括同一數(shù)據(jù)層對(duì)應(yīng)的至少一個(gè)類型，也即是要將該至少一個(gè)類型的數(shù)據(jù)劃分到同一個(gè)數(shù)據(jù)層中。之后，可以按照已經(jīng)確定的分組，對(duì)樣本異常文件中的數(shù)據(jù)進(jìn)行分類，將所屬的類型屬于同一組的數(shù)據(jù)劃分到一個(gè)數(shù)據(jù)層中，進(jìn)而得到與多組分別匹配的多個(gè)數(shù)據(jù)層。

其中，數(shù)據(jù)的類型可以包括字符類型、數(shù)字類型、特殊符號(hào)類型、標(biāo)點(diǎn)符號(hào)類型等。

例如，樣本異常文件中包括數(shù)字類型、字母類型和符號(hào)類型三個(gè)類型，當(dāng)數(shù)據(jù)層數(shù)量為2時(shí)，可以將數(shù)字類型和字母類型作為一個(gè)分組，將符號(hào)作為另一個(gè)分組，從而將樣本異常文件劃分為數(shù)字或者字母組成的數(shù)據(jù)層以及符號(hào)組成的另一數(shù)據(jù)層。而當(dāng)數(shù)據(jù)層數(shù)量為3時(shí)，可以將數(shù)字類型、字母類型和符號(hào)類型分別作為一個(gè)分組，從而將樣本異常文件劃分為數(shù)字、字母以及符號(hào)三個(gè)數(shù)據(jù)層。同理地，當(dāng)要求數(shù)據(jù)層數(shù)量為n時(shí)(n為正整數(shù)，且n不大于樣本異常文件的類型總數(shù)量)，也可以采用上述方式，將樣本異常文件劃分為n個(gè)數(shù)據(jù)層。

102、識(shí)別裝置獲取多個(gè)數(shù)據(jù)層的特征，組成特征集合。

將樣本異常文件劃分出多個(gè)數(shù)據(jù)層后，每個(gè)數(shù)據(jù)層的特征不會(huì)受到其他數(shù)據(jù)層數(shù)據(jù)的干擾，所提取的特征將更加具有針對(duì)性，更能反映數(shù)據(jù)層中數(shù)據(jù)的特點(diǎn)。為了不遺漏每個(gè)數(shù)據(jù)層的特征，做到更加深入地挖掘樣本異常文件，本發(fā)明實(shí)施例中會(huì)獲取每個(gè)數(shù)據(jù)層的特征，將多個(gè)數(shù)據(jù)層的特征組成樣本異常文件的特征集合。

針對(duì)獲取每個(gè)數(shù)據(jù)層的特征的過(guò)程，識(shí)別裝置可以調(diào)用特征提取算法，對(duì)每個(gè)數(shù)據(jù)層進(jìn)行特征提取，從而獲取到每個(gè)數(shù)據(jù)層的特征。其中，特征提取算法可以包括熵值算法、simhas(簡(jiǎn)單哈希值)算法、樸素貝葉斯值算法等，相應(yīng)地，所提取的特征可以包括熵值、simhas、樸素貝葉斯值等。

考慮到在實(shí)際應(yīng)用中，特征的數(shù)值可能會(huì)較小，導(dǎo)致不同特征之間的差距體現(xiàn)不明顯，因此，識(shí)別裝置可以在獲取到每個(gè)數(shù)據(jù)層原始的特征后，將特征與大于1的預(yù)設(shè)系數(shù)相乘，將乘積作為每個(gè)數(shù)據(jù)層的特征，以擴(kuò)大所提取特征的數(shù)值范圍。例如該預(yù)設(shè)系數(shù)可以為100。

并且，為了減少計(jì)算量，識(shí)別裝置可以僅保留特征在前指定位的數(shù)字，而舍去特征在后指定位后的數(shù)字。例如，對(duì)于某個(gè)樣本異常文件的某個(gè)數(shù)據(jù)層，識(shí)別裝置獲取熵值為5.042543，識(shí)別裝置可以將5.042543乘以100，將乘積504.2543作為得到的熵值，進(jìn)一步地，識(shí)別裝置可以舍去504.2543小數(shù)點(diǎn)以后的數(shù)字，將504作為最終的熵值。

當(dāng)?shù)玫蕉鄠€(gè)數(shù)據(jù)層的特征后，識(shí)別裝置會(huì)將多個(gè)特征組成特征集合。其中，在組成特征集合時(shí)，識(shí)別裝置可以先確定多個(gè)數(shù)據(jù)層的先后順序，按照該先后順序?qū)⒍鄠€(gè)數(shù)據(jù)層的特征組成特征集合。

例如，某個(gè)樣本異常文件包括第一數(shù)據(jù)層和第二數(shù)據(jù)層兩個(gè)數(shù)據(jù)層，識(shí)別裝置獲取第一數(shù)據(jù)層的熵值為504，第二數(shù)據(jù)層的熵值為452，識(shí)別裝置會(huì)將(504，452)作為該樣本異常文件的特征集合。

103、識(shí)別裝置確定指定數(shù)據(jù)層，獲取多個(gè)樣本異常文件的指定數(shù)據(jù)層中的數(shù)據(jù)串，從多個(gè)樣本異常文件的指定數(shù)據(jù)層中確定出公共數(shù)據(jù)串。

在實(shí)際應(yīng)用中，包含異常特征碼的文件為異常文件，則可以認(rèn)為每個(gè)異常文件會(huì)包括至少一個(gè)異常特征碼。然而，當(dāng)對(duì)異常文件進(jìn)行加密變形后，異常特征碼也會(huì)隨之加密變形，例如異常特征碼會(huì)被拆分、打亂或延長(zhǎng)等，導(dǎo)致基于原始的異常特征碼進(jìn)行識(shí)別時(shí)將無(wú)法識(shí)別該進(jìn)行加密變形后的異常文件。例如，某個(gè)病毒的異常特征碼為“；；；；；；”，加密變形后為“1；2；3；4；5；6；”，當(dāng)基于“；；；；；；”掃描包括該病毒的文件時(shí)，將無(wú)法識(shí)別該病毒。

而本發(fā)明實(shí)施例中，經(jīng)過(guò)大量的實(shí)驗(yàn)、分析和統(tǒng)計(jì)等實(shí)踐活動(dòng)后，發(fā)現(xiàn)針對(duì)多個(gè)具有相同異常特征碼的異常文件來(lái)說(shuō)，當(dāng)該多個(gè)異常文件加密變形后，該多個(gè)加密變形后的異常文件的指定數(shù)據(jù)層會(huì)具有相同的公共數(shù)據(jù)串。針對(duì)這一特點(diǎn)，識(shí)別裝置可以遍歷多個(gè)樣本異常文件的指定數(shù)據(jù)層，獲取該多個(gè)樣本異常文件的指定數(shù)據(jù)層中的數(shù)據(jù)串，從多個(gè)樣本異常文件的指定數(shù)據(jù)層中確定出公共數(shù)據(jù)串，以便基于該公共數(shù)據(jù)串識(shí)別異常文件。其中，該數(shù)據(jù)串包括連續(xù)的一串?dāng)?shù)據(jù)，例如為“；‘；‘；”、“aaaaaa”、“12121212”，識(shí)別裝置可以調(diào)用數(shù)據(jù)串提取函數(shù)，對(duì)指定數(shù)據(jù)層進(jìn)行提取數(shù)據(jù)串的操作，獲取該指定數(shù)據(jù)層中的數(shù)據(jù)串。

針對(duì)確定指定數(shù)據(jù)層的過(guò)程，由于每個(gè)數(shù)據(jù)層中的數(shù)據(jù)串?dāng)?shù)量可以體現(xiàn)數(shù)據(jù)層中數(shù)據(jù)的連續(xù)性，因此識(shí)別裝置可以計(jì)算每個(gè)數(shù)據(jù)層的數(shù)據(jù)串?dāng)?shù)量，根據(jù)該多個(gè)樣本異常文件中每個(gè)數(shù)據(jù)層的數(shù)據(jù)串?dāng)?shù)量，確定指定數(shù)據(jù)層。其中，該指定數(shù)據(jù)層可以為某一樣本異常文件中數(shù)據(jù)串?dāng)?shù)量最大的數(shù)據(jù)層，也可以為在該多個(gè)樣本異常文件中的數(shù)據(jù)串?dāng)?shù)量之和最大的數(shù)據(jù)層等。例如，當(dāng)識(shí)別裝置根據(jù)多個(gè)樣本異常文件確定符號(hào)層中的數(shù)據(jù)串最多時(shí)，可以將符號(hào)層作為指定數(shù)據(jù)層。

該公共數(shù)據(jù)串為至少兩個(gè)樣本異常文件的指定數(shù)據(jù)層均包括的數(shù)據(jù)串。針對(duì)從多個(gè)數(shù)據(jù)串中選取公共數(shù)據(jù)串的過(guò)程，識(shí)別裝置可以確定多個(gè)數(shù)據(jù)串中每個(gè)數(shù)據(jù)串的覆蓋率，根據(jù)每個(gè)數(shù)據(jù)串的覆蓋率，從多個(gè)數(shù)據(jù)串中選取公共數(shù)據(jù)串。

其中，任一數(shù)據(jù)串的覆蓋率為指定數(shù)據(jù)層包括該數(shù)據(jù)串的樣本異常文件的數(shù)量。數(shù)據(jù)串的覆蓋率越大，指定數(shù)據(jù)層包括該數(shù)據(jù)串的樣本異常文件的數(shù)量越多，可以認(rèn)為該數(shù)據(jù)串越可能為該多個(gè)樣本異常文件的公共數(shù)據(jù)串。

識(shí)別裝置可以將數(shù)據(jù)串原始的覆蓋率設(shè)置為0，再遍歷多個(gè)樣本異常文件中的每個(gè)樣本異常文件，對(duì)于當(dāng)前遍歷到的樣本異常文件，當(dāng)確定該樣本異常文件中包括該數(shù)據(jù)串時(shí)，將覆蓋率加一，當(dāng)確定該樣本異常文件不包括該數(shù)據(jù)串時(shí)，繼續(xù)遍歷下一個(gè)樣本異常文件，當(dāng)遍歷該多個(gè)樣本異常文件結(jié)束時(shí)，即可確定該數(shù)據(jù)串的覆蓋率。

在第一種可能的實(shí)現(xiàn)方式中，當(dāng)識(shí)別裝置確定多個(gè)數(shù)據(jù)串中某一數(shù)據(jù)串的覆蓋率等于多個(gè)樣本異常文件的數(shù)量時(shí)，可以確定每個(gè)樣本異常文件的指定數(shù)據(jù)層均包括該數(shù)據(jù)串，因此識(shí)別裝置可以將該數(shù)據(jù)串作為公共數(shù)據(jù)串，也即是，識(shí)別裝置可以從多個(gè)數(shù)據(jù)串中選取多個(gè)樣本異常文件的指定數(shù)據(jù)層均包括的數(shù)據(jù)串，作為公共數(shù)據(jù)串。

進(jìn)一步地，當(dāng)多個(gè)樣本異常文件的指定數(shù)據(jù)層均包括的數(shù)據(jù)串包括多個(gè)時(shí)，識(shí)別裝置還可以從多個(gè)樣本異常文件的指定數(shù)據(jù)層均包括的多個(gè)數(shù)據(jù)串中選取長(zhǎng)度最大的數(shù)據(jù)串，將該長(zhǎng)度最大的數(shù)據(jù)串作為最終確定的公共數(shù)據(jù)串。例如，識(shí)別裝置可以對(duì)該多個(gè)數(shù)據(jù)串按照長(zhǎng)度從大到小的順序排序，并選取排在第一位的數(shù)據(jù)串，作為公共數(shù)據(jù)串。

在第二種可能的實(shí)現(xiàn)方式中，當(dāng)識(shí)別裝置確定根據(jù)多個(gè)樣本異常文件的指定數(shù)據(jù)層提取的多個(gè)數(shù)據(jù)串中，每個(gè)數(shù)據(jù)串的覆蓋率均小于多個(gè)樣本異常文件的數(shù)量時(shí)，可以確定該多個(gè)數(shù)據(jù)串中不存在該多個(gè)樣本異常文件的指定數(shù)據(jù)層均包括的數(shù)據(jù)串，表明該多個(gè)樣本異常文件可能不是同一種異常特征碼對(duì)應(yīng)的異常文件，或者可能是沒(méi)有按照恰當(dāng)?shù)念愋蛯?duì)樣本異常文件進(jìn)行劃分。

此時(shí)，識(shí)別裝置可以從該多個(gè)數(shù)據(jù)串中選取覆蓋率最大的第一數(shù)據(jù)串，再確定指定數(shù)據(jù)層不包括該第一數(shù)據(jù)串的多個(gè)樣本異常文件，確定該多個(gè)樣本異常文件的指定數(shù)據(jù)層均包括的第二數(shù)據(jù)串，將該第一數(shù)據(jù)串和該第二數(shù)據(jù)串均作為公共數(shù)據(jù)串。

其中，識(shí)別裝置可以將該多個(gè)數(shù)據(jù)串的覆蓋率按照從大到小的順序排序，確定排在第一位的覆蓋率，并確定該覆蓋率對(duì)應(yīng)的數(shù)據(jù)串作為第一數(shù)據(jù)串。對(duì)于該多個(gè)樣本異常文件中的每個(gè)樣本異常文件，識(shí)別裝置可以判斷該樣本異常文件的指定數(shù)據(jù)層是否包括該第一數(shù)據(jù)串，當(dāng)該樣本異常文件的指定數(shù)據(jù)層不包括該第一數(shù)據(jù)串時(shí)，選取該樣本異常文件。當(dāng)遍歷了多個(gè)樣本異常文件后，即可選取出指定數(shù)據(jù)層不包括該第一數(shù)據(jù)串的多個(gè)樣本異常文件，并采用與上述確定第一數(shù)據(jù)串類似的方式，從選取出的多個(gè)樣本異常文件中確定第二數(shù)據(jù)串。

上述選取方式僅是以存在多個(gè)樣本異常文件的指定數(shù)據(jù)層均包括的第二數(shù)據(jù)串為例進(jìn)行說(shuō)明，然而在實(shí)際應(yīng)用中也可能不存在多個(gè)樣本異常文件的指定數(shù)據(jù)層均包括的數(shù)據(jù)串，此時(shí)，可以選取該多個(gè)樣本異常文件的指定數(shù)據(jù)層中覆蓋率最大的數(shù)據(jù)串，作為第二數(shù)據(jù)串，再繼續(xù)從剩余的不包括該第二數(shù)據(jù)串的多個(gè)樣本異常文件中，選取該多個(gè)樣本異常文件均包括的數(shù)據(jù)串，或者，選取覆蓋率最大的數(shù)據(jù)串，作為第三數(shù)據(jù)串，以此類推，直到最終選取出的多個(gè)公共數(shù)據(jù)串能夠覆蓋每個(gè)樣本異常文件為止。

舉例來(lái)說(shuō)，識(shí)別裝置獲取到了10個(gè)樣本異常文件，這10個(gè)樣本異常文件的符號(hào)層中覆蓋率最高的數(shù)據(jù)串為a，8個(gè)樣本異常文件的符號(hào)層均包括數(shù)據(jù)串a(chǎn)，另外2個(gè)樣本異常文件的符號(hào)層均包括數(shù)據(jù)串b，則確定的公共數(shù)據(jù)串為(a，b)。

以熵值作為特征，將樣本異常文件劃分為數(shù)據(jù)層x和數(shù)據(jù)層y，其中數(shù)據(jù)層y為指定數(shù)據(jù)層，針對(duì)任一樣本異常文件的處理流程可以參見(jiàn)圖1b。且參見(jiàn)下表1，每個(gè)樣本異常文件可以得到數(shù)據(jù)層x對(duì)應(yīng)的熵值a，數(shù)據(jù)層y對(duì)應(yīng)的熵值b和公共數(shù)據(jù)串，從而得到熵值集合(a，b)和數(shù)據(jù)層y中包括的公共數(shù)據(jù)串即可，無(wú)需對(duì)樣本異常文件進(jìn)行其他多余的操作。綜上所述，可以直觀地確定上述處理流程具有步驟簡(jiǎn)單、邏輯清晰的優(yōu)點(diǎn)，便于自動(dòng)化運(yùn)維。

表1

需要說(shuō)明的是，上述步驟101-103可以預(yù)先執(zhí)行完成，在每次獲取到待識(shí)別的目標(biāo)文件時(shí)，即可基于上述步驟101-103得到的特征集合和公共數(shù)據(jù)串進(jìn)行識(shí)別?；蛘?，還可以在每次獲取到待識(shí)別的目標(biāo)文件時(shí)，執(zhí)行上述步驟101-103，并基于上述步驟101-103得到的特征集合和公共數(shù)據(jù)串進(jìn)行識(shí)別。

104、識(shí)別裝置獲取待識(shí)別的目標(biāo)文件，將目標(biāo)文件劃分成多個(gè)數(shù)據(jù)層。

目標(biāo)文件是指尚未確定是否為異常文件的任一文件。當(dāng)獲取到目標(biāo)文件后，識(shí)別裝置會(huì)按照在上述步驟101中劃分樣本異常文件時(shí)采用的多個(gè)類型，對(duì)目標(biāo)文件進(jìn)行劃分，從而將目標(biāo)文件劃分成多個(gè)數(shù)據(jù)層，其中，目標(biāo)文件劃分成的每個(gè)數(shù)據(jù)層對(duì)應(yīng)的類型與樣本異常文件劃分成的每個(gè)數(shù)據(jù)層對(duì)應(yīng)的類型相同。例如，當(dāng)在上述步驟101中將樣本異常文件劃分為數(shù)字層和字母層時(shí)，也會(huì)將目標(biāo)文件劃分為數(shù)字層和字母層。

105、識(shí)別裝置根據(jù)多個(gè)數(shù)據(jù)層的特征，獲取該目標(biāo)文件的特征集合。

當(dāng)?shù)玫侥繕?biāo)文件的多個(gè)數(shù)據(jù)層后，識(shí)別裝置會(huì)按照在上述步驟102中獲取樣本異常文件的多個(gè)數(shù)據(jù)層的特征集合的方式，獲取目標(biāo)文件的多個(gè)數(shù)據(jù)層的特征集合。例如，當(dāng)在上述步驟101中獲取了樣本異常文件中每個(gè)數(shù)據(jù)層的熵值，將多個(gè)熵值組成樣本異常文件的特征集合時(shí)，也會(huì)獲取目標(biāo)文件每個(gè)數(shù)據(jù)層的熵值，將多個(gè)熵值組成目標(biāo)文件的特征集合。

106、當(dāng)特征集合與任一樣本異常文件的特征集合匹配，且該目標(biāo)文件與該任一樣本異常文件的指定數(shù)據(jù)層均包括公共數(shù)據(jù)串，識(shí)別裝置確定該目標(biāo)文件為異常文件。

識(shí)別裝置會(huì)獲取目標(biāo)文件特征集合中的每個(gè)特征，當(dāng)每個(gè)特征與任一樣本異常文件的相同數(shù)據(jù)層的特征均匹配時(shí)，確定該特征集合與該任一樣本異常文件的特征集合匹配。

例如，目標(biāo)文件的特征集合為(504，452)，而某一樣本異常文件的特征集合也為(504，452)，則可確定這兩個(gè)特征集合匹配。另外，當(dāng)目標(biāo)文件的特征集合中有一個(gè)特征與樣本異常文件的特征不匹配，或者，當(dāng)匹配的特征在目標(biāo)文件中所屬的數(shù)據(jù)層和在樣本異常文件中所屬的數(shù)據(jù)層不相同時(shí)，確定兩個(gè)特征集合不匹配。例如，當(dāng)目標(biāo)文件的特征集合為(504，504)時(shí)，認(rèn)為該特征集合與(504，452)不匹配。或者，當(dāng)目標(biāo)文件的特征集合為(452，504)時(shí)，也認(rèn)為該特征集合與(504，452)不匹配。

本發(fā)明實(shí)施例中，特征集合由文件的多個(gè)數(shù)據(jù)層的特征確定，可以體現(xiàn)文件的整體特性，當(dāng)確定目標(biāo)文件的特征集合與任一樣本異常文件的特征集合匹配時(shí)，可以認(rèn)為目標(biāo)文件和該樣本異常文件在整體特性上比較相似。而公共數(shù)據(jù)串可以認(rèn)為是文件的局部特性，當(dāng)確定目標(biāo)文件與任一樣本異常文件的指定數(shù)據(jù)層包括同一個(gè)公共數(shù)據(jù)串時(shí)，可以認(rèn)為目標(biāo)文件和該樣本異常文件在局部特性上比較相似。那么，當(dāng)目標(biāo)文件和樣本異常文件的特征集合匹配且兩者的指定數(shù)據(jù)層包括同一個(gè)公共數(shù)據(jù)串時(shí)，可以確定該目標(biāo)文件與該樣本異常文件在整體特性和局部特性上均相似，因此可以確定該目標(biāo)文件為異常文件。

另外，當(dāng)識(shí)別裝置確定目標(biāo)文件的特征集合與任一樣本異常文件的特征集合均不匹配時(shí)，可以確定目標(biāo)文件不是異常文件?；蛘?，當(dāng)目標(biāo)文件的指定數(shù)據(jù)層不包括公共數(shù)據(jù)串時(shí)，可以確定目標(biāo)文件不是異常文件。

需要說(shuō)明的是，在一種可能實(shí)現(xiàn)方式中，當(dāng)識(shí)別裝置確定了多個(gè)公共數(shù)據(jù)串，而目標(biāo)文件的指定數(shù)據(jù)層包括該多個(gè)公共數(shù)據(jù)串中的任一公共數(shù)據(jù)串時(shí)，會(huì)選取指定數(shù)據(jù)層包括該任一公共數(shù)據(jù)串的多個(gè)樣本異常文件，判斷目標(biāo)文件的特征集合與所選取的多個(gè)樣本異常文件中的任一樣本異常文件的特征集合是否匹配。

例如，對(duì)于10個(gè)樣本異常文件，8個(gè)樣本異常文件的指定數(shù)據(jù)層包括公共數(shù)據(jù)串a(chǎn)，2個(gè)樣本異常文件的指定數(shù)據(jù)層包括公共數(shù)據(jù)串b，當(dāng)目標(biāo)文件的指定數(shù)據(jù)層包括a，且特征集合與8個(gè)樣本異常文件對(duì)應(yīng)的8個(gè)特征集合中的某一特征集合匹配時(shí)，認(rèn)為該目標(biāo)文件為異常文件。當(dāng)該目標(biāo)文件的指定數(shù)據(jù)層包括b，而特征集合與2個(gè)樣本異常文件對(duì)應(yīng)的2個(gè)特征集合中的任一特征集合匹配時(shí)，認(rèn)為該目標(biāo)文件為異常文件。

本發(fā)明實(shí)施例提供的方法，擴(kuò)展了一種異常文件識(shí)別方法，將待識(shí)別的目標(biāo)文件與經(jīng)過(guò)加密變形的樣本異常文件進(jìn)行匹配，在目標(biāo)文件的特征集合與樣本異常文件的特征集合匹配，且目標(biāo)文件包括該樣本異常文件的指定數(shù)據(jù)層所包括的公共數(shù)據(jù)串時(shí)，說(shuō)明目標(biāo)文件是與樣本異常文件類似的文件，因此可以確定目標(biāo)文件為異常文件。采用上述異常文件識(shí)別方法，即使異常文件加密變形后也能夠被識(shí)別出來(lái)，解決了異常文件加密變形后無(wú)法識(shí)別的問(wèn)題，提升了靈活性。

進(jìn)一步地，應(yīng)用本發(fā)明實(shí)施例提供的異常文件識(shí)別方法，可以對(duì)任一種格式的異常文件進(jìn)行識(shí)別，例如可以識(shí)別javascript、vbscript、python、java、shell和powshell等格式的異常文件，具備普適性和通殺性。

進(jìn)一步地，由于本發(fā)明實(shí)施例提供的異常文件識(shí)別方法邏輯清楚、流程簡(jiǎn)單，便于自動(dòng)化運(yùn)維。并且識(shí)別異常文件的速度快，提高了識(shí)別異常文件的效率。反異常引擎采用本發(fā)明實(shí)施例提供的方法進(jìn)行識(shí)別時(shí)，可以提升對(duì)異常文件的檢測(cè)率，節(jié)省時(shí)間成本和內(nèi)存損耗，提升了反異常引擎的性能。

本發(fā)明獲取了281個(gè)異常的樣本，這281個(gè)樣本通過(guò)采用同一加密變形算法進(jìn)行了加密變形，將其中的140個(gè)樣本作為樣本異常文件，141個(gè)樣本作為目標(biāo)文件，采用本發(fā)明實(shí)施例提供的識(shí)別方法進(jìn)行了試驗(yàn)：

先將每個(gè)樣本異常文件拆分為字符類型和數(shù)字類型組成的第一數(shù)據(jù)層，以及除了字符類型和數(shù)字類型以外的其他類型的數(shù)據(jù)組成的第二數(shù)據(jù)層。其中如圖1c所示，第一數(shù)據(jù)層包括字符和數(shù)字，如圖1d所示，第二數(shù)據(jù)層包括除字符和數(shù)字以外的其他數(shù)據(jù)。根據(jù)140個(gè)樣本異常文件的第一數(shù)據(jù)層和第二數(shù)據(jù)層提取了特征集合，如圖1e所示，并將第二數(shù)據(jù)層作為指定數(shù)據(jù)層，根據(jù)140個(gè)樣本異常文件的第二數(shù)據(jù)層提取了一個(gè)公共數(shù)據(jù)串，如圖1f所示，則可以設(shè)置檢測(cè)條件為“特征集合與圖1e中的某個(gè)特征集合匹配且第二數(shù)據(jù)層包括圖1f中的公共數(shù)據(jù)串”，之后根據(jù)該檢測(cè)條件對(duì)141個(gè)目標(biāo)文件進(jìn)行掃描，結(jié)果全部命中，141個(gè)異常的樣本全部檢測(cè)出來(lái)，沒(méi)有誤報(bào)情況。

圖2a是本發(fā)明實(shí)施例提供的一種異常文件識(shí)別裝置的結(jié)構(gòu)示意圖。參見(jiàn)圖2a，該裝置包括：特征集合獲取模塊201、公共數(shù)據(jù)串獲取模塊202、目標(biāo)文件獲取模塊203和異常文件確定模塊204。

特征集合獲取模塊201，用于執(zhí)行上述圖1a所示實(shí)施例中獲取特征集合的步驟；

公共數(shù)據(jù)串獲取模塊202，用于執(zhí)行上述圖1a所示實(shí)施例中獲取公共數(shù)據(jù)串的步驟；

目標(biāo)文件獲取模塊203，用于執(zhí)行上述圖1a所示實(shí)施例中獲取目標(biāo)文件的步驟；

異常文件確定模塊204，用于執(zhí)行上述圖1a所示實(shí)施例中確定異常文件的步驟。

可選地，參見(jiàn)圖2b，該裝置還包括：

類型劃分模塊205，用于執(zhí)行上述圖1a所示實(shí)施例中的將多個(gè)類型劃分為多組的步驟；

數(shù)據(jù)層劃分模塊206，用于執(zhí)行上述圖1a所示實(shí)施例中的將樣本異常文件劃分為多個(gè)數(shù)據(jù)層的步驟；

可選地，該異常文件確定模塊204，包括：

獲取子模塊2041，用于執(zhí)行獲取多個(gè)數(shù)據(jù)串的步驟；

確定子模塊2042，用于執(zhí)行確定覆蓋率的步驟；

選取子模塊2043，用于執(zhí)行選取公共數(shù)據(jù)串的步驟。

上述所有可選技術(shù)方案，可以采用任意結(jié)合形成本公開的可選實(shí)施例，在此不再一一贅述。

需要說(shuō)明的是：上述實(shí)施例提供的異常文件識(shí)別裝置在識(shí)別異常文件時(shí)，僅以上述各功能模塊的劃分進(jìn)行舉例說(shuō)明，實(shí)際應(yīng)用中，可以根據(jù)需要而將上述功能分配由不同的功能模塊完成，即將識(shí)別裝置的內(nèi)部結(jié)構(gòu)劃分成不同的功能模塊，以完成以上描述的全部或者部分功能。另外，上述實(shí)施例提供的異常文件識(shí)別裝置與異常文件識(shí)別方法實(shí)施例屬于同一構(gòu)思，其具體實(shí)現(xiàn)過(guò)程詳見(jiàn)方法實(shí)施例，這里不再贅述。

圖3是本發(fā)明實(shí)施例提供的一種終端的結(jié)構(gòu)示意圖。該終端可以用于實(shí)施上述實(shí)施例所示出的異常文件識(shí)別方法中的識(shí)別裝置所執(zhí)行的功能。具體來(lái)講：

終端300可以包括rf(radiofrequency，射頻)電路110、包括有一個(gè)或一個(gè)以上計(jì)算機(jī)可讀存儲(chǔ)介質(zhì)的存儲(chǔ)器120、輸入單元130、顯示單元140、傳感器150、音頻電路160、傳輸模塊170、包括有一個(gè)或者一個(gè)以上處理核心的處理器180、以及電源190等部件。本領(lǐng)域技術(shù)人員可以理解，圖3中示出的終端結(jié)構(gòu)并不構(gòu)成對(duì)終端的限定，可以包括比圖示更多或更少的部件，或者組合某些部件，或者不同的部件布置。其中：

rf電路110可用于收發(fā)信息或通話過(guò)程中，信號(hào)的接收和發(fā)送，特別地，將基站的下行信息接收后，交由一個(gè)或者一個(gè)以上處理器180處理；另外，將涉及上行的數(shù)據(jù)發(fā)送給基站。通常，rf電路110包括但不限于天線、至少一個(gè)放大器、調(diào)諧器、一個(gè)或多個(gè)振蕩器、用戶身份模塊(sim)卡、收發(fā)信機(jī)、耦合器、lna(lownoiseamplifier，低噪聲放大器)、雙工器等。此外，rf電路110還可以通過(guò)無(wú)線通信與網(wǎng)絡(luò)和其他終端通信。所述無(wú)線通信可以使用任一通信標(biāo)準(zhǔn)或協(xié)議，包括但不限于gsm(globalsystemofmobilecommunication，全球移動(dòng)通訊系統(tǒng))、gprs(generalpacketradioservice，通用分組無(wú)線服務(wù))、cdma(codedivisionmultipleaccess，碼分多址)、wcdma(widebandcodedivisionmultipleaccess,寬帶碼分多址)、lte(longtermevolution,長(zhǎng)期演進(jìn))、電子郵件、sms(shortmessagingservice，短消息服務(wù))等。

存儲(chǔ)器120可用于存儲(chǔ)軟件程序以及模塊，如上述示例性實(shí)施例所示出的終端所對(duì)應(yīng)的軟件程序以及模塊，處理器180通過(guò)運(yùn)行存儲(chǔ)在存儲(chǔ)器120的軟件程序以及模塊，從而執(zhí)行各種功能應(yīng)用以及數(shù)據(jù)處理，如實(shí)現(xiàn)基于視頻的交互等。存儲(chǔ)器120可主要包括存儲(chǔ)程序區(qū)和存儲(chǔ)數(shù)據(jù)區(qū)，其中，存儲(chǔ)程序區(qū)可存儲(chǔ)操作系統(tǒng)、至少一個(gè)功能所需的應(yīng)用程序(比如聲音播放功能、圖像播放功能等)等；存儲(chǔ)數(shù)據(jù)區(qū)可存儲(chǔ)根據(jù)終端300的使用所創(chuàng)建的數(shù)據(jù)(比如音頻數(shù)據(jù)、電話本等)等。此外，存儲(chǔ)器120可以包括高速隨機(jī)存取存儲(chǔ)器，還可以包括非易失性存儲(chǔ)器，例如至少一個(gè)磁盤存儲(chǔ)器件、閃存器件、或其他易失性固態(tài)存儲(chǔ)器件。相應(yīng)地，存儲(chǔ)器120還可以包括存儲(chǔ)器控制器，以提供處理器180和輸入單元130對(duì)存儲(chǔ)器120的訪問(wèn)。

輸入單元130可用于接收輸入的數(shù)字或字符信息，以及產(chǎn)生與用戶設(shè)置以及功能控制有關(guān)的鍵盤、鼠標(biāo)、操作桿、光學(xué)或者軌跡球信號(hào)輸入。具體地，輸入單元130可包括觸敏表面131以及其他輸入終端132。觸敏表面131，也稱為觸摸顯示屏或者觸控板，可收集用戶在其上或附近的觸摸操作(比如用戶使用手指、觸筆等任何適合的物體或附件在觸敏表面131上或在觸敏表面131附近的操作)，并根據(jù)預(yù)先設(shè)定的程式驅(qū)動(dòng)相應(yīng)的鏈接裝置。可選的，觸敏表面131可包括觸摸檢測(cè)裝置和觸摸控制器兩個(gè)部分。其中，觸摸檢測(cè)裝置檢測(cè)用戶的觸摸方位，并檢測(cè)觸摸操作帶來(lái)的信號(hào)，將信號(hào)傳送給觸摸控制器；觸摸控制器從觸摸檢測(cè)裝置上接收觸摸信息，并將它轉(zhuǎn)換成觸點(diǎn)坐標(biāo)，再送給處理器180，并能接收處理器180發(fā)來(lái)的命令并加以執(zhí)行。此外，可以采用電阻式、電容式、紅外線以及表面聲波等多種類型實(shí)現(xiàn)觸敏表面131。除了觸敏表面131，輸入單元130還可以包括其他輸入終端132。具體地，其他輸入終端132可以包括但不限于物理鍵盤、功能鍵(比如音量控制按鍵、開關(guān)按鍵等)、軌跡球、鼠標(biāo)、操作桿等中的一種或多種。

顯示單元140可用于顯示由用戶輸入的信息或提供給用戶的信息以及終端300的各種圖形用戶接口，這些圖形用戶接口可以由圖形、文本、圖標(biāo)、視頻和其任意組合來(lái)構(gòu)成。顯示單元140可包括顯示面板141，可選的，可以采用lcd(liquidcrystaldisplay，液晶顯示器)、oled(organiclight-emittingdiode,有機(jī)發(fā)光二極管)等形式來(lái)配置顯示面板141。進(jìn)一步的，觸敏表面131可覆蓋顯示面板141，當(dāng)觸敏表面131檢測(cè)到在其上或附近的觸摸操作后，傳送給處理器180以確定觸摸事件的類型，隨后處理器180根據(jù)觸摸事件的類型在顯示面板141上提供相應(yīng)的視覺(jué)輸出。雖然在圖3中，觸敏表面131與顯示面板141是作為兩個(gè)獨(dú)立的部件來(lái)實(shí)現(xiàn)輸入和輸入功能，但是在某些實(shí)施例中，可以將觸敏表面131與顯示面板141集成而實(shí)現(xiàn)輸入和輸出功能。

終端300還可包括至少一種傳感器150，比如光傳感器、運(yùn)動(dòng)傳感器以及其他傳感器。具體地，光傳感器可包括環(huán)境光傳感器及接近傳感器，其中，環(huán)境光傳感器可根據(jù)環(huán)境光線的明暗來(lái)調(diào)節(jié)顯示面板141的亮度，接近傳感器可在終端300移動(dòng)到耳邊時(shí)，關(guān)閉顯示面板141和/或背光。作為運(yùn)動(dòng)傳感器的一種，重力加速度傳感器可檢測(cè)各個(gè)方向上(一般為三軸)加速度的大小，靜止時(shí)可檢測(cè)出重力的大小及方向，可用于識(shí)別手機(jī)姿態(tài)的應(yīng)用(比如橫豎屏切換、相關(guān)游戲、磁力計(jì)姿態(tài)校準(zhǔn))、振動(dòng)識(shí)別相關(guān)功能(比如計(jì)步器、敲擊)等；至于終端300還可配置的陀螺儀、氣壓計(jì)、濕度計(jì)、溫度計(jì)、紅外線傳感器等其他傳感器，在此不再贅述。

音頻電路160、揚(yáng)聲器161，傳聲器162可提供用戶與終端300之間的音頻接口。音頻電路160可將接收到的音頻數(shù)據(jù)轉(zhuǎn)換后的電信號(hào)，傳輸?shù)綋P(yáng)聲器161，由揚(yáng)聲器161轉(zhuǎn)換為聲音信號(hào)輸出；另一方面，傳聲器162將收集的聲音信號(hào)轉(zhuǎn)換為電信號(hào)，由音頻電路160接收后轉(zhuǎn)換為音頻數(shù)據(jù)，再將音頻數(shù)據(jù)輸出處理器180處理后，經(jīng)rf電路110以發(fā)送給比如另一終端，或者將音頻數(shù)據(jù)輸出至存儲(chǔ)器120以便進(jìn)一步處理。音頻電路160還可能包括耳塞插孔，以提供外設(shè)耳機(jī)與終端300的通信。

終端300通過(guò)傳輸模塊170可以幫助用戶收發(fā)電子郵件、瀏覽網(wǎng)頁(yè)和訪問(wèn)流式媒體等，它為用戶提供了無(wú)線或有線的寬帶互聯(lián)網(wǎng)訪問(wèn)。雖然圖3示出了傳輸模塊170，但是可以理解的是，其并不屬于終端300的必須構(gòu)成，完全可以根據(jù)需要在不改變發(fā)明的本質(zhì)的范圍內(nèi)而省略。

處理器180是終端300的控制中心，利用各種接口和線路鏈接整個(gè)手機(jī)的各個(gè)部分，通過(guò)運(yùn)行或執(zhí)行存儲(chǔ)在存儲(chǔ)器120內(nèi)的軟件程序和/或模塊，以及調(diào)用存儲(chǔ)在存儲(chǔ)器120內(nèi)的數(shù)據(jù)，執(zhí)行終端300的各種功能和處理數(shù)據(jù)，從而對(duì)手機(jī)進(jìn)行整體監(jiān)控?？蛇x的，處理器180可包括一個(gè)或多個(gè)處理核心；優(yōu)選的，處理器180可集成應(yīng)用處理器和調(diào)制解調(diào)處理器，其中，應(yīng)用處理器主要處理操作系統(tǒng)、用戶界面和應(yīng)用程序等，調(diào)制解調(diào)處理器主要處理無(wú)線通信?？梢岳斫獾氖?，上述調(diào)制解調(diào)處理器也可以不集成到處理器180中。

終端300還包括給各個(gè)部件供電的電源190(比如電池)，優(yōu)選的，電源可以通過(guò)電源管理系統(tǒng)與處理器180邏輯相連，從而通過(guò)電源管理系統(tǒng)實(shí)現(xiàn)管理充電、放電、以及功耗管理等功能。電源190還可以包括一個(gè)或一個(gè)以上的直流或交流電源、再充電系統(tǒng)、電源故障檢測(cè)電路、電源轉(zhuǎn)換器或者逆變器、電源狀態(tài)指示器等任意組件。

盡管未示出，終端300還可以包括攝像頭、藍(lán)牙模塊等，在此不再贅述。具體在本實(shí)施例中，終端300的顯示單元是觸摸屏顯示器，終端300還包括有存儲(chǔ)器，以及一個(gè)或者一個(gè)以上的程序，其中一個(gè)或者一個(gè)以上程序存儲(chǔ)于存儲(chǔ)器中，且經(jīng)配置以由一個(gè)或者一個(gè)以上處理器執(zhí)行上述一個(gè)或者一個(gè)以上程序包含用于實(shí)施上述實(shí)施例中識(shí)別裝置所執(zhí)行操作的指令。

圖4是本發(fā)明實(shí)施例提供的一種服務(wù)器的結(jié)構(gòu)示意圖，該服務(wù)器400可因配置或性能不同而產(chǎn)生比較大的差異，可以包括一個(gè)或一個(gè)以上中央處理器(centralprocessingunits，cpu)422(例如，一個(gè)或一個(gè)以上處理器)和存儲(chǔ)器432，一個(gè)或一個(gè)以上存儲(chǔ)應(yīng)用程序442或數(shù)據(jù)444的存儲(chǔ)介質(zhì)430(例如一個(gè)或一個(gè)以上海量存儲(chǔ)設(shè)備)。其中，存儲(chǔ)器432和存儲(chǔ)介質(zhì)430可以是短暫存儲(chǔ)或持久存儲(chǔ)。存儲(chǔ)在存儲(chǔ)介質(zhì)430的程序可以包括一個(gè)或一個(gè)以上模塊(圖示沒(méi)標(biāo)出)，每個(gè)模塊可以包括對(duì)服務(wù)器中的一系列指令操作。更進(jìn)一步地，中央處理器422可以設(shè)置為與存儲(chǔ)介質(zhì)430通信，在服務(wù)器400上執(zhí)行存儲(chǔ)介質(zhì)430中的一系列指令操作。

服務(wù)器400還可以包括一個(gè)或一個(gè)以上電源426，一個(gè)或一個(gè)以上有線或無(wú)線網(wǎng)絡(luò)接口450，一個(gè)或一個(gè)以上輸入輸出接口458，一個(gè)或一個(gè)以上鍵盤456，和/或，一個(gè)或一個(gè)以上操作系統(tǒng)441，例如windowsserver^tm，macosx^tm，unix^tm，linux^tm，freebsd^tm等等。

該服務(wù)器400可以用于執(zhí)行上述實(shí)施例提供的異常文件識(shí)別方法中識(shí)別裝置所執(zhí)行的步驟。

本領(lǐng)域普通技術(shù)人員可以理解實(shí)現(xiàn)上述實(shí)施例的全部或部分步驟可以通過(guò)硬件來(lái)完成，也可以通過(guò)程序來(lái)指令相關(guān)的硬件完成，所述的程序可以存儲(chǔ)于一種計(jì)算機(jī)可讀存儲(chǔ)介質(zhì)中，上述提到的存儲(chǔ)介質(zhì)可以是只讀存儲(chǔ)器，磁盤或光盤等。

以上所述僅為本發(fā)明的較佳實(shí)施例，并不用以限制本發(fā)明，凡在本發(fā)明的精神和原則之內(nèi)，所作的任何修改、等同替換、改進(jìn)等，均應(yīng)包含在本發(fā)明的保護(hù)范圍之內(nèi)。