[发明专利]一种检测方法及装置

权利要求书

1.一种检测方法，其特征在于，包括：

判断网络交互过程中指令的类型；

在所述指令的类型为提升文件可执行权限类指令的情况下，判断所述文件的特征属性参数是否符合预设值；

在所述文件的特征属性参数不符合预设值的情况下，检测所述文件中是否存在高危指令。

2.根据权利要求1所述的检测方法，其特征在于，在所述文件的特征属性参数不符合预设值的情况下，检测所述文件中是否存在高危指令，包括：

在所述文件的特征属性参数不符合预设值的情况下，将所述文件添加到规则库中，并将所述文件的检测状态标记为未检测；

在接收到与所述文件相对应的执行命令时，查询所述规则库中所述文件的检测状态；

在所述文件的检测状态为未检测的情况下，检测所述文件中是否存在高危指令。

3.根据权利要求2所述的检测方法，其特征在于，所述检测方法还包括：

在完成对所述文件的高危指令的检测后，将所述规则库中所述文件的检测状态标记为已检测，并将检测结果记录到所述规则库，以更新所述规则库。

4.根据权利要求3所述的检测方法，其特征在于，在判断网络交互过程中指令的类型之后，还包括：

在所述指令的类型为执行脚本文件类指令的情况下，查询所述规则库中是否存在所述文件；

在不存在所述文件的情况下，判断所述文件的特征属性参数是否符合预设值；

在所述文件的特征属性参数不符合预设值的情况下，将所述文件添加到规则库中，并将所述文件的检测状态标记为未检测。

5.根据权利要求4所述的检测方法，其特征在于，在所述文件的特征属性参数不符合预设值的情况下，将所述文件添加到规则库中，并将所述文件的检测状态标记为未检测之后，还包括：

检测所述文件中是否存在高危指令；

在完成对所述文件的高危指令的检测后，将所述规则库中所述文件的检测状态标记为已检测，并将检测结果记录到所述规则库，以更新所述规则库。

6.一种检测装置，其特征在于，包括：

第一判断模块，用于判断网络交互过程中指令的类型；

第二判断模块，用于在所述指令的类型为提升文件可执行权限类指令的情况下，判断所述文件的特征属性参数是否符合预设值；

检测模块，用于在所述文件的特征属性参数不符合预设值的情况下，检测所述文件中是否存在高危指令。

7.根据权利要求6所述的检测装置，其特征在于，所述检测模块还包括：

第一建立单元，用于在所述文件的特征属性参数不符合预设值的情况下，将所述文件添加到规则库中，并将所述文件的检测状态标记为未检测；

第一查询单元，用于在接收到与所述文件相对应的执行命令时，查询所述规则库中所述文件的检测状态；

第一检测单元，用于在所述文件的检测状态为未检测的情况下，检测所述文件中是否存在高危指令。

8.根据权利要求7所述的检测装置，其特征在于，所述检测模块还包括：

第一标记单元，用于在完成对所述文件的高危指令的检测后，将所述规则库中所述文件的检测状态标记为已检测，并将检测结果记录到所述规则库，以更新所述规则库。

9.根据权利要求8所述的检测装置，其特征在于，所述检测模块还包括：

第二查询单元，还用于在所述指令的类型为执行脚本文件类指令的情况下，查询所述规则库中是否存在所述文件；

判断单元，用于在不存在所述文件的情况下，判断所述文件的特征属性参数是否符合预设值；

第二建立单元，在所述文件的特征属性参数不符合预设值的情况下，将所述文件添加到规则库中，并将所述文件的检测状态标记为未检测。

10.根据权利要求9所述的检测装置，其特征在于，所述检测模块还包括：

第二检测单元，用于检测所述文件中是否存在高危指令；

第二标记单元，用于在完成对所述文件的高危指令的检测后，将所述规则库中所述文件的检测状态标记为已检测，并将检测结果记录到所述规则库，以更新所述规则库。