[发明专利]恶意文件识别方法、装置、设备及存储介质

权利要求书

1.一种恶意文件识别方法，其特征在于，所述恶意文件识别方法包括以下步骤：

获取样本文件，对所述样本文件进行特征提取，获得所述样本文件的第一特征；

基于内存映射方式，根据所述第一特征，获得经降维处理的第二特征；

根据所述第二特征对所述样本文件进行人工智能预测，以识别所述样本文件是否为恶意文件。

2.如权利要求1所述的恶意文件识别方法，其特征在于，所述基于内存映射方式，根据所述第一特征，获得经降维处理的第二特征包括：

基于内存映射方式，对所述第一特征进行降维操作，获得所述第二特征。

3.如权利要求1所述的恶意文件识别方法，其特征在于，所述根据所述第二特征对所述样本文件进行人工智能预测，包括：

根据所述第二特征提取所述样本文件的字符串特征；

利用预设预测模型对所述字符串特征进行预测，以识别所述样本文件是否为恶意文件。

4.如权利要求1所述的恶意文件识别方法，其特征在于，所述基于内存映射方式，根据所述第一特征，获得经降维处理的第二特征包括：

获取映射关系表；所述映射关系表包括第一特征与第二特征的位置指针之间的映射关系；

根据第二特征的位置指针，通过内存映射方式来确定所述第二特征。

5.如权利要求4所述的恶意文件识别方法，其特征在于，所述根据第二特征的位置指针，通过内存映射方式来确定所述第二特征包括：

对所述第二特征的位置指针进行指针偏移操作，获得偏移后的位置指针；

基于所述偏移后的位置指针，通过内存映射方式来确定所述第二特征。

6.如权利要求1所述的恶意文件识别方法，其特征在于，所述根据所述第二特征对所述样本文件进行人工智能预测，以识别所述样本文件是否为恶意文件的步骤之后，还包括：

在识别出所述样本文件为恶意文件时，加载家族分类模型到内存；

根据所述家族分类模型对所述样本文件进行病毒名分类，获得所述样本文件的病毒名分类结果。

7.如权利要求6所述的恶意文件识别方法，其特征在于，所述根据所述家族分类模型对所述样本文件进行病毒名分类，获得所述样本文件的病毒名分类结果的步骤，包括：

根据所述家族分类模型获得所述样本文件中的病毒特性；

根据所述病毒特性对所述样本文件进行病毒名分类，获得所述样本文件的病毒名分类结果。

8.如权利要求7所述的恶意文件识别方法，其特征在于，所述获得所述样本文件的病毒名分类结果的步骤之后，还包括：

将所述病毒名分类结果发送至目标终端，以使所述目标终端对所述样本文件和对应的病毒名分类结果进行分析展示。

9.如权利要求1至8中任一项所述的恶意文件识别方法，其特征在于，所述样本文件为可移植的可执行的文件。

10.一种装置，其特征在于，所述装置包括获取模块、降维模块和人工智能预测模块；

所述获取模块，用于获取样本文件，对所述样本文件进行特征提取，获得所述样本文件的第一特征；

所述降维模块，用于基于内存映射方式根据所述第一特征，获得经降维处理的第二特征；

所述人工智能预测模块，用于根据所述第二特征对所述样本文件进行人工智能预测，以识别所述样本文件是否为恶意文件。

11.一种设备，其特征在于，所述设备包括：存储器、处理器及存储在所述存储器上并可在所述处理器上运行的恶意文件识别程序，所述恶意文件识别程序配置为实现如权利要求1至9中任一项所述的恶意文件识别方法的步骤。

12.一种存储介质，其特征在于，所述存储介质上存储有恶意文件识别程序，所述恶意文件识别程序被处理器执行时实现如权利要求1至9任一项所述的恶意文件识别方法的步骤。