異常文件識別方法及裝置與流程
本發明涉及網絡技術領域,特別涉及一種異常文件識別方法及裝置。
背景技術:
隨著網絡技術的發展以及網絡信息的廣泛傳播,網絡中存在著多個類型的文件,例如腳本、文檔、頁面等,這些文件中很可能包括異常文件。通常情況下,異常文件會影響系統的正常運行,導致用戶信息泄露,為用戶帶來損失。因此,識別異常文件成為一個亟需解決的問題。
相關技術中,異常特征碼可以認為是導致文件出現異常的根源,一旦某一文件中包括異常特征碼,即可認為該文件為異常文件,在該文件的運行過程中該異常特征碼會影響系統的正常運行,因此識別異常文件的過程可以通過識別異常特征碼實現。通常情況下,首先會獲取已知的異常特征碼,而對于待識別的文件,可以將文件中的數據與該異常特征碼進行匹配,以判斷該文件是否包括該異常特征碼,當確定該文件包括該異常特征碼時,可以確定該文件為異常文件。
然而,當采用加密變形算法對異常文件進行加密變形后,異常文件中的異常特征碼也會被加密變形,導致異常文件中包括異常特征碼加密變形后的數據,而不包括原始的異常特征碼,此時將無法識別出該異常文件,存在局限性。
技術實現要素:
為了解決相關技術的問題,本發明實施例提供了一種異常文件識別方法及裝置。所述技術方案如下:
第一方面,提供了一種異常文件識別方法,所述方法包括:
獲取多個樣本異常文件中每個樣本異常文件的特征集合以及根據所述多個樣本異常文件確定的公共數據串,所述樣本異常文件的特征集合由所述樣本異常文件的多個數據層的特征確定,所述多個樣本異常文件通過采用同一加密變形算法對多個異常文件進行加密變形后得到,所述公共數據串為至少兩個樣本異常文件的指定數據層均包括的數據串;
獲取待識別的目標文件;
根據所述目標文件的多個數據層的特征,獲取所述目標文件的特征集合;
當所述特征集合與任一樣本異常文件的特征集合匹配,且所述目標文件與所述任一樣本異常文件的指定數據層均包括所述公共數據串時,確定所述目標文件為異常文件。
第二方面,提供了一種異常文件識別裝置,所述裝置包括:
特征集合獲取模塊,用于獲取多個樣本異常文件中每個樣本異常文件的特征集合,所述樣本異常文件的特征集合由所述樣本異常文件的多個數據層的特征確定,所述多個樣本異常文件通過采用同一加密變形算法對多個異常文件進行加密變形后得到,
公共數據串獲取模塊,用于獲取根據所述多個樣本異常文件確定的公共數據串,所述公共數據串為至少兩個樣本異常文件的指定數據層均包括的數據串;
目標文件獲取模塊,用于獲取待識別的目標文件;
所述特征集合獲取模塊,還用于根據所述目標文件的多個數據層的特征,獲取所述目標文件的特征集合;
異常文件確定模塊,用于當所述特征集合與任一樣本異常文件的特征集合匹配,且所述目標文件與所述任一樣本異常文件的指定數據層均包括所述公共數據串時,確定所述目標文件為異常文件。
本發明實施例提供的技術方案帶來的有益效果是:
本發明實施例提供的方法及裝置,擴展了一種異常文件識別方法,將待識別的目標文件與經過加密變形的樣本異常文件進行匹配,在目標文件的特征集合與樣本異常文件的特征集合匹配,且目標文件包括該樣本異常文件的指定數據層所包括的公共數據串時,說明目標文件是與樣本異常文件類似的文件,因此可以確定目標文件為異常文件。采用上述異常文件識別方法,即使異常文件加密變形后也能夠被識別出來,解決了異常文件加密變形后無法識別的問題,提升了靈活性。
附圖說明
為了更清楚地說明本發明實施例中的技術方案,下面將對實施例描述中所需要使用的附圖作簡單地介紹,顯而易見地,下面描述中的附圖僅僅是本發明的一些實施例,對于本領域普通技術人員來講,在不付出創造性勞動的前提下,還可以根據這些附圖獲得其他的附圖。
圖1a是本發明實施例提供的一種異常文件識別方法的流程圖;
圖1b是本發明實施例提供的一種處理樣本異常文件的流程圖;
圖1c是本發明實施例提供的第一數據層的示意圖;
圖1d是本發明實施例提供的第二數據層的示意圖;
圖1e是本發明實施例提供的特征集合的示意圖;
圖1f是本發明實施例提供的公共數據串的示意圖;
圖2a是本發明實施例提供的一種異常文件識別裝置的結構示意圖;
圖2b是本發明實施例提供的一種異常文件識別裝置的結構示意圖;
圖3是本發明實施例提供的一種終端的結構示意圖;
圖4是本發明實施例提供的一種服務器的結構示意圖。
具體實施方式
下面將結合本發明實施例中的附圖,對本發明實施例中的技術方案進行清楚、完整地描述,顯然,所描述的實施例是本發明一部分實施例,而不是全部的實施例。基于本發明中的實施例,本領域普通技術人員在沒有做出創造性勞動前提下所獲得的所有其他實施例,都屬于本發明保護的范圍。
異常文件是指會影響系統正常運行的文件,例如病毒文件、被損壞的文件等。從文件類型的角度來說,異常文件可以包括腳本、文檔、頁面等類型的文件,從文件格式的角度來說,異常文件可以包括javascript、vbscript、python、java、shell、powshell等格式的文件。
為了避免異常文件造成不良影響,本發明實施例通過識別裝置識別異常文件,該識別裝置可以為手機、電腦、服務器等具有數據處理功能的設備。
其中,識別異常文件的過程可以應用于多種場景下。例如在下載到一個新文件時,對該新文件進行識別,判斷該新文件是否為異常文件,僅在確定該新文件不是異常文件時才允許存儲該新文件。或者,在打開一個來源未知的文件時,對該文件進行識別,判斷該文件是否為異常文件,僅在確定該文件不是異常文件時才允許打開該文件。
圖1a是本發明實施例提供的一種異常文件識別方法的流程圖,該發明實施例的執行主體為識別裝置,參見圖1a,該方法包括:
101、識別裝置將樣本異常文件中包括的多個類型劃分為多組,對樣本異常文件中的數據進行分類,得到與多組分別匹配的多個數據層,使得同一數據層中包括對應的至少一個類型的數據,不同數據層的數據的類型不同。
為了識別經過加密變形后的異常文件,去除加密變形算法對識別異常文件的影響,識別裝置可以獲取多個已知的異常文件,并采用相同加密變形算法,對多個異常文件進行加密變形,得到經過加密變形后的多個樣本異常文件,該多個樣本異常文件用于識別經過加密變形后的異常文件。那么,當待識別的目標文件是經過同一加密變形算法加密變形后的異常文件時,可以采用本發明實施例提供的識別方法識別出來。
其中,該加密變形算法可以由識別裝置安裝的混淆器提供。例如,識別裝置可以調用與混淆器之間的接口,向該混淆器傳入多個異常文件,混淆器會基于加密變形算法,對多個異常文件進行加密變形,得到加密變形后的多個樣本異常文件。
之后,識別裝置可以獲取每個樣本異常文件的特征集合,以特征集合來表示樣本異常文件。
考慮到樣本異常文件中會包括多個類型的數據,不同類型的數據往往具有不同的特征。若直接對樣本異常文件進行特征提取,會得到樣本異常文件的整體特征,由于整體特征體現不出每個類型各自的特征,也體現不出不同類型的特征之間的區別,將導致樣本異常文件中的細節數據的特征被湮沒。
因此,在一種可能實現方式中,可以將樣本異常文件劃分為多個彼此獨立的數據層,從而獲取到每個數據層各自的特征,再將多個數據層的特征組合構成特征集合。
識別裝置可以對樣本異常文件中的數據進行分析,確定該樣本異常文件中包括的多個類型,并根據每個類型和對數據層的數量需求,將該多個類型劃分為多組,多組的數量等于將要劃分的數據層的數量,且不超過該樣本異常文件中存在的類型的數量。每組中可以包括同一數據層對應的至少一個類型,也即是要將該至少一個類型的數據劃分到同一個數據層中。之后,可以按照已經確定的分組,對樣本異常文件中的數據進行分類,將所屬的類型屬于同一組的數據劃分到一個數據層中,進而得到與多組分別匹配的多個數據層。
其中,數據的類型可以包括字符類型、數字類型、特殊符號類型、標點符號類型等。
例如,樣本異常文件中包括數字類型、字母類型和符號類型三個類型,當數據層數量為2時,可以將數字類型和字母類型作為一個分組,將符號作為另一個分組,從而將樣本異常文件劃分為數字或者字母組成的數據層以及符號組成的另一數據層。而當數據層數量為3時,可以將數字類型、字母類型和符號類型分別作為一個分組,從而將樣本異常文件劃分為數字、字母以及符號三個數據層。同理地,當要求數據層數量為n時(n為正整數,且n不大于樣本異常文件的類型總數量),也可以采用上述方式,將樣本異常文件劃分為n個數據層。
102、識別裝置獲取多個數據層的特征,組成特征集合。
將樣本異常文件劃分出多個數據層后,每個數據層的特征不會受到其他數據層數據的干擾,所提取的特征將更加具有針對性,更能反映數據層中數據的特點。為了不遺漏每個數據層的特征,做到更加深入地挖掘樣本異常文件,本發明實施例中會獲取每個數據層的特征,將多個數據層的特征組成樣本異常文件的特征集合。
針對獲取每個數據層的特征的過程,識別裝置可以調用特征提取算法,對每個數據層進行特征提取,從而獲取到每個數據層的特征。其中,特征提取算法可以包括熵值算法、simhas(簡單哈希值)算法、樸素貝葉斯值算法等,相應地,所提取的特征可以包括熵值、simhas、樸素貝葉斯值等。
考慮到在實際應用中,特征的數值可能會較小,導致不同特征之間的差距體現不明顯,因此,識別裝置可以在獲取到每個數據層原始的特征后,將特征與大于1的預設系數相乘,將乘積作為每個數據層的特征,以擴大所提取特征的數值范圍。例如該預設系數可以為100。
并且,為了減少計算量,識別裝置可以僅保留特征在前指定位的數字,而舍去特征在后指定位后的數字。例如,對于某個樣本異常文件的某個數據層,識別裝置獲取熵值為5.042543,識別裝置可以將5.042543乘以100,將乘積504.2543作為得到的熵值,進一步地,識別裝置可以舍去504.2543小數點以后的數字,將504作為最終的熵值。
當得到多個數據層的特征后,識別裝置會將多個特征組成特征集合。其中,在組成特征集合時,識別裝置可以先確定多個數據層的先后順序,按照該先后順序將多個數據層的特征組成特征集合。
例如,某個樣本異常文件包括第一數據層和第二數據層兩個數據層,識別裝置獲取第一數據層的熵值為504,第二數據層的熵值為452,識別裝置會將(504,452)作為該樣本異常文件的特征集合。
103、識別裝置確定指定數據層,獲取多個樣本異常文件的指定數據層中的數據串,從多個樣本異常文件的指定數據層中確定出公共數據串。
在實際應用中,包含異常特征碼的文件為異常文件,則可以認為每個異常文件會包括至少一個異常特征碼。然而,當對異常文件進行加密變形后,異常特征碼也會隨之加密變形,例如異常特征碼會被拆分、打亂或延長等,導致基于原始的異常特征碼進行識別時將無法識別該進行加密變形后的異常文件。例如,某個病毒的異常特征碼為“;;;;;;”,加密變形后為“1;2;3;4;5;6;”,當基于“;;;;;;”掃描包括該病毒的文件時,將無法識別該病毒。
而本發明實施例中,經過大量的實驗、分析和統計等實踐活動后,發現針對多個具有相同異常特征碼的異常文件來說,當該多個異常文件加密變形后,該多個加密變形后的異常文件的指定數據層會具有相同的公共數據串。針對這一特點,識別裝置可以遍歷多個樣本異常文件的指定數據層,獲取該多個樣本異常文件的指定數據層中的數據串,從多個樣本異常文件的指定數據層中確定出公共數據串,以便基于該公共數據串識別異常文件。其中,該數據串包括連續的一串數據,例如為“;‘;‘;”、“aaaaaa”、“12121212”,識別裝置可以調用數據串提取函數,對指定數據層進行提取數據串的操作,獲取該指定數據層中的數據串。
針對確定指定數據層的過程,由于每個數據層中的數據串數量可以體現數據層中數據的連續性,因此識別裝置可以計算每個數據層的數據串數量,根據該多個樣本異常文件中每個數據層的數據串數量,確定指定數據層。其中,該指定數據層可以為某一樣本異常文件中數據串數量最大的數據層,也可以為在該多個樣本異常文件中的數據串數量之和最大的數據層等。例如,當識別裝置根據多個樣本異常文件確定符號層中的數據串最多時,可以將符號層作為指定數據層。
該公共數據串為至少兩個樣本異常文件的指定數據層均包括的數據串。針對從多個數據串中選取公共數據串的過程,識別裝置可以確定多個數據串中每個數據串的覆蓋率,根據每個數據串的覆蓋率,從多個數據串中選取公共數據串。
其中,任一數據串的覆蓋率為指定數據層包括該數據串的樣本異常文件的數量。數據串的覆蓋率越大,指定數據層包括該數據串的樣本異常文件的數量越多,可以認為該數據串越可能為該多個樣本異常文件的公共數據串。
識別裝置可以將數據串原始的覆蓋率設置為0,再遍歷多個樣本異常文件中的每個樣本異常文件,對于當前遍歷到的樣本異常文件,當確定該樣本異常文件中包括該數據串時,將覆蓋率加一,當確定該樣本異常文件不包括該數據串時,繼續遍歷下一個樣本異常文件,當遍歷該多個樣本異常文件結束時,即可確定該數據串的覆蓋率。
在第一種可能的實現方式中,當識別裝置確定多個數據串中某一數據串的覆蓋率等于多個樣本異常文件的數量時,可以確定每個樣本異常文件的指定數據層均包括該數據串,因此識別裝置可以將該數據串作為公共數據串,也即是,識別裝置可以從多個數據串中選取多個樣本異常文件的指定數據層均包括的數據串,作為公共數據串。
進一步地,當多個樣本異常文件的指定數據層均包括的數據串包括多個時,識別裝置還可以從多個樣本異常文件的指定數據層均包括的多個數據串中選取長度最大的數據串,將該長度最大的數據串作為最終確定的公共數據串。例如,識別裝置可以對該多個數據串按照長度從大到小的順序排序,并選取排在第一位的數據串,作為公共數據串。
在第二種可能的實現方式中,當識別裝置確定根據多個樣本異常文件的指定數據層提取的多個數據串中,每個數據串的覆蓋率均小于多個樣本異常文件的數量時,可以確定該多個數據串中不存在該多個樣本異常文件的指定數據層均包括的數據串,表明該多個樣本異常文件可能不是同一種異常特征碼對應的異常文件,或者可能是沒有按照恰當的類型對樣本異常文件進行劃分。
此時,識別裝置可以從該多個數據串中選取覆蓋率最大的第一數據串,再確定指定數據層不包括該第一數據串的多個樣本異常文件,確定該多個樣本異常文件的指定數據層均包括的第二數據串,將該第一數據串和該第二數據串均作為公共數據串。
其中,識別裝置可以將該多個數據串的覆蓋率按照從大到小的順序排序,確定排在第一位的覆蓋率,并確定該覆蓋率對應的數據串作為第一數據串。對于該多個樣本異常文件中的每個樣本異常文件,識別裝置可以判斷該樣本異常文件的指定數據層是否包括該第一數據串,當該樣本異常文件的指定數據層不包括該第一數據串時,選取該樣本異常文件。當遍歷了多個樣本異常文件后,即可選取出指定數據層不包括該第一數據串的多個樣本異常文件,并采用與上述確定第一數據串類似的方式,從選取出的多個樣本異常文件中確定第二數據串。
上述選取方式僅是以存在多個樣本異常文件的指定數據層均包括的第二數據串為例進行說明,然而在實際應用中也可能不存在多個樣本異常文件的指定數據層均包括的數據串,此時,可以選取該多個樣本異常文件的指定數據層中覆蓋率最大的數據串,作為第二數據串,再繼續從剩余的不包括該第二數據串的多個樣本異常文件中,選取該多個樣本異常文件均包括的數據串,或者,選取覆蓋率最大的數據串,作為第三數據串,以此類推,直到最終選取出的多個公共數據串能夠覆蓋每個樣本異常文件為止。
舉例來說,識別裝置獲取到了10個樣本異常文件,這10個樣本異常文件的符號層中覆蓋率最高的數據串為a,8個樣本異常文件的符號層均包括數據串a,另外2個樣本異常文件的符號層均包括數據串b,則確定的公共數據串為(a,b)。
以熵值作為特征,將樣本異常文件劃分為數據層x和數據層y,其中數據層y為指定數據層,針對任一樣本異常文件的處理流程可以參見圖1b。且參見下表1,每個樣本異常文件可以得到數據層x對應的熵值a,數據層y對應的熵值b和公共數據串,從而得到熵值集合(a,b)和數據層y中包括的公共數據串即可,無需對樣本異常文件進行其他多余的操作。綜上所述,可以直觀地確定上述處理流程具有步驟簡單、邏輯清晰的優點,便于自動化運維。
表1
需要說明的是,上述步驟101-103可以預先執行完成,在每次獲取到待識別的目標文件時,即可基于上述步驟101-103得到的特征集合和公共數據串進行識別。或者,還可以在每次獲取到待識別的目標文件時,執行上述步驟101-103,并基于上述步驟101-103得到的特征集合和公共數據串進行識別。
104、識別裝置獲取待識別的目標文件,將目標文件劃分成多個數據層。
目標文件是指尚未確定是否為異常文件的任一文件。當獲取到目標文件后,識別裝置會按照在上述步驟101中劃分樣本異常文件時采用的多個類型,對目標文件進行劃分,從而將目標文件劃分成多個數據層,其中,目標文件劃分成的每個數據層對應的類型與樣本異常文件劃分成的每個數據層對應的類型相同。例如,當在上述步驟101中將樣本異常文件劃分為數字層和字母層時,也會將目標文件劃分為數字層和字母層。
105、識別裝置根據多個數據層的特征,獲取該目標文件的特征集合。
當得到目標文件的多個數據層后,識別裝置會按照在上述步驟102中獲取樣本異常文件的多個數據層的特征集合的方式,獲取目標文件的多個數據層的特征集合。例如,當在上述步驟101中獲取了樣本異常文件中每個數據層的熵值,將多個熵值組成樣本異常文件的特征集合時,也會獲取目標文件每個數據層的熵值,將多個熵值組成目標文件的特征集合。
106、當特征集合與任一樣本異常文件的特征集合匹配,且該目標文件與該任一樣本異常文件的指定數據層均包括公共數據串,識別裝置確定該目標文件為異常文件。
識別裝置會獲取目標文件特征集合中的每個特征,當每個特征與任一樣本異常文件的相同數據層的特征均匹配時,確定該特征集合與該任一樣本異常文件的特征集合匹配。
例如,目標文件的特征集合為(504,452),而某一樣本異常文件的特征集合也為(504,452),則可確定這兩個特征集合匹配。另外,當目標文件的特征集合中有一個特征與樣本異常文件的特征不匹配,或者,當匹配的特征在目標文件中所屬的數據層和在樣本異常文件中所屬的數據層不相同時,確定兩個特征集合不匹配。例如,當目標文件的特征集合為(504,504)時,認為該特征集合與(504,452)不匹配。或者,當目標文件的特征集合為(452,504)時,也認為該特征集合與(504,452)不匹配。
本發明實施例中,特征集合由文件的多個數據層的特征確定,可以體現文件的整體特性,當確定目標文件的特征集合與任一樣本異常文件的特征集合匹配時,可以認為目標文件和該樣本異常文件在整體特性上比較相似。而公共數據串可以認為是文件的局部特性,當確定目標文件與任一樣本異常文件的指定數據層包括同一個公共數據串時,可以認為目標文件和該樣本異常文件在局部特性上比較相似。那么,當目標文件和樣本異常文件的特征集合匹配且兩者的指定數據層包括同一個公共數據串時,可以確定該目標文件與該樣本異常文件在整體特性和局部特性上均相似,因此可以確定該目標文件為異常文件。
另外,當識別裝置確定目標文件的特征集合與任一樣本異常文件的特征集合均不匹配時,可以確定目標文件不是異常文件。或者,當目標文件的指定數據層不包括公共數據串時,可以確定目標文件不是異常文件。
需要說明的是,在一種可能實現方式中,當識別裝置確定了多個公共數據串,而目標文件的指定數據層包括該多個公共數據串中的任一公共數據串時,會選取指定數據層包括該任一公共數據串的多個樣本異常文件,判斷目標文件的特征集合與所選取的多個樣本異常文件中的任一樣本異常文件的特征集合是否匹配。
例如,對于10個樣本異常文件,8個樣本異常文件的指定數據層包括公共數據串a,2個樣本異常文件的指定數據層包括公共數據串b,當目標文件的指定數據層包括a,且特征集合與8個樣本異常文件對應的8個特征集合中的某一特征集合匹配時,認為該目標文件為異常文件。當該目標文件的指定數據層包括b,而特征集合與2個樣本異常文件對應的2個特征集合中的任一特征集合匹配時,認為該目標文件為異常文件。
本發明實施例提供的方法,擴展了一種異常文件識別方法,將待識別的目標文件與經過加密變形的樣本異常文件進行匹配,在目標文件的特征集合與樣本異常文件的特征集合匹配,且目標文件包括該樣本異常文件的指定數據層所包括的公共數據串時,說明目標文件是與樣本異常文件類似的文件,因此可以確定目標文件為異常文件。采用上述異常文件識別方法,即使異常文件加密變形后也能夠被識別出來,解決了異常文件加密變形后無法識別的問題,提升了靈活性。
進一步地,應用本發明實施例提供的異常文件識別方法,可以對任一種格式的異常文件進行識別,例如可以識別javascript、vbscript、python、java、shell和powshell等格式的異常文件,具備普適性和通殺性。
進一步地,由于本發明實施例提供的異常文件識別方法邏輯清楚、流程簡單,便于自動化運維。并且識別異常文件的速度快,提高了識別異常文件的效率。反異常引擎采用本發明實施例提供的方法進行識別時,可以提升對異常文件的檢測率,節省時間成本和內存損耗,提升了反異常引擎的性能。
本發明獲取了281個異常的樣本,這281個樣本通過采用同一加密變形算法進行了加密變形,將其中的140個樣本作為樣本異常文件,141個樣本作為目標文件,采用本發明實施例提供的識別方法進行了試驗:
先將每個樣本異常文件拆分為字符類型和數字類型組成的第一數據層,以及除了字符類型和數字類型以外的其他類型的數據組成的第二數據層。其中如圖1c所示,第一數據層包括字符和數字,如圖1d所示,第二數據層包括除字符和數字以外的其他數據。根據140個樣本異常文件的第一數據層和第二數據層提取了特征集合,如圖1e所示,并將第二數據層作為指定數據層,根據140個樣本異常文件的第二數據層提取了一個公共數據串,如圖1f所示,則可以設置檢測條件為“特征集合與圖1e中的某個特征集合匹配且第二數據層包括圖1f中的公共數據串”,之后根據該檢測條件對141個目標文件進行掃描,結果全部命中,141個異常的樣本全部檢測出來,沒有誤報情況。
圖2a是本發明實施例提供的一種異常文件識別裝置的結構示意圖。參見圖2a,該裝置包括:特征集合獲取模塊201、公共數據串獲取模塊202、目標文件獲取模塊203和異常文件確定模塊204。
特征集合獲取模塊201,用于執行上述圖1a所示實施例中獲取特征集合的步驟;
公共數據串獲取模塊202,用于執行上述圖1a所示實施例中獲取公共數據串的步驟;
目標文件獲取模塊203,用于執行上述圖1a所示實施例中獲取目標文件的步驟;
異常文件確定模塊204,用于執行上述圖1a所示實施例中確定異常文件的步驟。
可選地,參見圖2b,該裝置還包括:
類型劃分模塊205,用于執行上述圖1a所示實施例中的將多個類型劃分為多組的步驟;
數據層劃分模塊206,用于執行上述圖1a所示實施例中的將樣本異常文件劃分為多個數據層的步驟;
可選地,該異常文件確定模塊204,包括:
獲取子模塊2041,用于執行獲取多個數據串的步驟;
確定子模塊2042,用于執行確定覆蓋率的步驟;
選取子模塊2043,用于執行選取公共數據串的步驟。
上述所有可選技術方案,可以采用任意結合形成本公開的可選實施例,在此不再一一贅述。
需要說明的是:上述實施例提供的異常文件識別裝置在識別異常文件時,僅以上述各功能模塊的劃分進行舉例說明,實際應用中,可以根據需要而將上述功能分配由不同的功能模塊完成,即將識別裝置的內部結構劃分成不同的功能模塊,以完成以上描述的全部或者部分功能。另外,上述實施例提供的異常文件識別裝置與異常文件識別方法實施例屬于同一構思,其具體實現過程詳見方法實施例,這里不再贅述。
圖3是本發明實施例提供的一種終端的結構示意圖。該終端可以用于實施上述實施例所示出的異常文件識別方法中的識別裝置所執行的功能。具體來講:
終端300可以包括rf(radiofrequency,射頻)電路110、包括有一個或一個以上計算機可讀存儲介質的存儲器120、輸入單元130、顯示單元140、傳感器150、音頻電路160、傳輸模塊170、包括有一個或者一個以上處理核心的處理器180、以及電源190等部件。本領域技術人員可以理解,圖3中示出的終端結構并不構成對終端的限定,可以包括比圖示更多或更少的部件,或者組合某些部件,或者不同的部件布置。其中:
rf電路110可用于收發信息或通話過程中,信號的接收和發送,特別地,將基站的下行信息接收后,交由一個或者一個以上處理器180處理;另外,將涉及上行的數據發送給基站。通常,rf電路110包括但不限于天線、至少一個放大器、調諧器、一個或多個振蕩器、用戶身份模塊(sim)卡、收發信機、耦合器、lna(lownoiseamplifier,低噪聲放大器)、雙工器等。此外,rf電路110還可以通過無線通信與網絡和其他終端通信。所述無線通信可以使用任一通信標準或協議,包括但不限于gsm(globalsystemofmobilecommunication,全球移動通訊系統)、gprs(generalpacketradioservice,通用分組無線服務)、cdma(codedivisionmultipleaccess,碼分多址)、wcdma(widebandcodedivisionmultipleaccess,寬帶碼分多址)、lte(longtermevolution,長期演進)、電子郵件、sms(shortmessagingservice,短消息服務)等。
存儲器120可用于存儲軟件程序以及模塊,如上述示例性實施例所示出的終端所對應的軟件程序以及模塊,處理器180通過運行存儲在存儲器120的軟件程序以及模塊,從而執行各種功能應用以及數據處理,如實現基于視頻的交互等。存儲器120可主要包括存儲程序區和存儲數據區,其中,存儲程序區可存儲操作系統、至少一個功能所需的應用程序(比如聲音播放功能、圖像播放功能等)等;存儲數據區可存儲根據終端300的使用所創建的數據(比如音頻數據、電話本等)等。此外,存儲器120可以包括高速隨機存取存儲器,還可以包括非易失性存儲器,例如至少一個磁盤存儲器件、閃存器件、或其他易失性固態存儲器件。相應地,存儲器120還可以包括存儲器控制器,以提供處理器180和輸入單元130對存儲器120的訪問。
輸入單元130可用于接收輸入的數字或字符信息,以及產生與用戶設置以及功能控制有關的鍵盤、鼠標、操作桿、光學或者軌跡球信號輸入。具體地,輸入單元130可包括觸敏表面131以及其他輸入終端132。觸敏表面131,也稱為觸摸顯示屏或者觸控板,可收集用戶在其上或附近的觸摸操作(比如用戶使用手指、觸筆等任何適合的物體或附件在觸敏表面131上或在觸敏表面131附近的操作),并根據預先設定的程式驅動相應的鏈接裝置。可選的,觸敏表面131可包括觸摸檢測裝置和觸摸控制器兩個部分。其中,觸摸檢測裝置檢測用戶的觸摸方位,并檢測觸摸操作帶來的信號,將信號傳送給觸摸控制器;觸摸控制器從觸摸檢測裝置上接收觸摸信息,并將它轉換成觸點坐標,再送給處理器180,并能接收處理器180發來的命令并加以執行。此外,可以采用電阻式、電容式、紅外線以及表面聲波等多種類型實現觸敏表面131。除了觸敏表面131,輸入單元130還可以包括其他輸入終端132。具體地,其他輸入終端132可以包括但不限于物理鍵盤、功能鍵(比如音量控制按鍵、開關按鍵等)、軌跡球、鼠標、操作桿等中的一種或多種。
顯示單元140可用于顯示由用戶輸入的信息或提供給用戶的信息以及終端300的各種圖形用戶接口,這些圖形用戶接口可以由圖形、文本、圖標、視頻和其任意組合來構成。顯示單元140可包括顯示面板141,可選的,可以采用lcd(liquidcrystaldisplay,液晶顯示器)、oled(organiclight-emittingdiode,有機發光二極管)等形式來配置顯示面板141。進一步的,觸敏表面131可覆蓋顯示面板141,當觸敏表面131檢測到在其上或附近的觸摸操作后,傳送給處理器180以確定觸摸事件的類型,隨后處理器180根據觸摸事件的類型在顯示面板141上提供相應的視覺輸出。雖然在圖3中,觸敏表面131與顯示面板141是作為兩個獨立的部件來實現輸入和輸入功能,但是在某些實施例中,可以將觸敏表面131與顯示面板141集成而實現輸入和輸出功能。
終端300還可包括至少一種傳感器150,比如光傳感器、運動傳感器以及其他傳感器。具體地,光傳感器可包括環境光傳感器及接近傳感器,其中,環境光傳感器可根據環境光線的明暗來調節顯示面板141的亮度,接近傳感器可在終端300移動到耳邊時,關閉顯示面板141和/或背光。作為運動傳感器的一種,重力加速度傳感器可檢測各個方向上(一般為三軸)加速度的大小,靜止時可檢測出重力的大小及方向,可用于識別手機姿態的應用(比如橫豎屏切換、相關游戲、磁力計姿態校準)、振動識別相關功能(比如計步器、敲擊)等;至于終端300還可配置的陀螺儀、氣壓計、濕度計、溫度計、紅外線傳感器等其他傳感器,在此不再贅述。
音頻電路160、揚聲器161,傳聲器162可提供用戶與終端300之間的音頻接口。音頻電路160可將接收到的音頻數據轉換后的電信號,傳輸到揚聲器161,由揚聲器161轉換為聲音信號輸出;另一方面,傳聲器162將收集的聲音信號轉換為電信號,由音頻電路160接收后轉換為音頻數據,再將音頻數據輸出處理器180處理后,經rf電路110以發送給比如另一終端,或者將音頻數據輸出至存儲器120以便進一步處理。音頻電路160還可能包括耳塞插孔,以提供外設耳機與終端300的通信。
終端300通過傳輸模塊170可以幫助用戶收發電子郵件、瀏覽網頁和訪問流式媒體等,它為用戶提供了無線或有線的寬帶互聯網訪問。雖然圖3示出了傳輸模塊170,但是可以理解的是,其并不屬于終端300的必須構成,完全可以根據需要在不改變發明的本質的范圍內而省略。
處理器180是終端300的控制中心,利用各種接口和線路鏈接整個手機的各個部分,通過運行或執行存儲在存儲器120內的軟件程序和/或模塊,以及調用存儲在存儲器120內的數據,執行終端300的各種功能和處理數據,從而對手機進行整體監控。可選的,處理器180可包括一個或多個處理核心;優選的,處理器180可集成應用處理器和調制解調處理器,其中,應用處理器主要處理操作系統、用戶界面和應用程序等,調制解調處理器主要處理無線通信。可以理解的是,上述調制解調處理器也可以不集成到處理器180中。
終端300還包括給各個部件供電的電源190(比如電池),優選的,電源可以通過電源管理系統與處理器180邏輯相連,從而通過電源管理系統實現管理充電、放電、以及功耗管理等功能。電源190還可以包括一個或一個以上的直流或交流電源、再充電系統、電源故障檢測電路、電源轉換器或者逆變器、電源狀態指示器等任意組件。
盡管未示出,終端300還可以包括攝像頭、藍牙模塊等,在此不再贅述。具體在本實施例中,終端300的顯示單元是觸摸屏顯示器,終端300還包括有存儲器,以及一個或者一個以上的程序,其中一個或者一個以上程序存儲于存儲器中,且經配置以由一個或者一個以上處理器執行上述一個或者一個以上程序包含用于實施上述實施例中識別裝置所執行操作的指令。
圖4是本發明實施例提供的一種服務器的結構示意圖,該服務器400可因配置或性能不同而產生比較大的差異,可以包括一個或一個以上中央處理器(centralprocessingunits,cpu)422(例如,一個或一個以上處理器)和存儲器432,一個或一個以上存儲應用程序442或數據444的存儲介質430(例如一個或一個以上海量存儲設備)。其中,存儲器432和存儲介質430可以是短暫存儲或持久存儲。存儲在存儲介質430的程序可以包括一個或一個以上模塊(圖示沒標出),每個模塊可以包括對服務器中的一系列指令操作。更進一步地,中央處理器422可以設置為與存儲介質430通信,在服務器400上執行存儲介質430中的一系列指令操作。
服務器400還可以包括一個或一個以上電源426,一個或一個以上有線或無線網絡接口450,一個或一個以上輸入輸出接口458,一個或一個以上鍵盤456,和/或,一個或一個以上操作系統441,例如windowsservertm,macosxtm,unixtm,linuxtm,freebsdtm等等。
該服務器400可以用于執行上述實施例提供的異常文件識別方法中識別裝置所執行的步驟。
本領域普通技術人員可以理解實現上述實施例的全部或部分步驟可以通過硬件來完成,也可以通過程序來指令相關的硬件完成,所述的程序可以存儲于一種計算機可讀存儲介質中,上述提到的存儲介質可以是只讀存儲器,磁盤或光盤等。
以上所述僅為本發明的較佳實施例,并不用以限制本發明,凡在本發明的精神和原則之內,所作的任何修改、等同替換、改進等,均應包含在本發明的保護范圍之內。
- 還沒有人留言評論。精彩留言會獲得點贊!