(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202210452483.3 (22)申请日 2022.04.27 (71)申请人 北京天融信网络安全技 术有限公司 地址 100085 北京市海淀区上地 东路1号院 3号楼四层 申请人 北京天融信科技有限公司 　 北京天融信软件 有限公司 (72)发明人 王秋雯　 (74)专利代理 机构 工业和信息化部电子专利中 心 11010 专利代理师 华枫 (51)Int.Cl. H04L 9/40(2022.01) H04L 9/32(2006.01) (54)发明名称 目标文件的安全性检测方法及检测装置 (57)摘要 本发明提出了一种目标文件的安全性检测 方法及检测装置， 检测方法包括： 基于预设时间 内检测到的恶意文件更新智能黑名单； 在进行目 标文件的检测时， 判断是否开启智能黑名单检测 策略， 在开启时， 将待检测的目标文件与所述智 能黑名单中数据进行匹配， 以对目标文件的安全 性进行检测。 根据本发明的目标文件的安全性检 测方法， 通过对深度模式的检测判定结果进行统 计， 形成用户网络传输文件的智 能黑名单， 以解 决对重复检测的恶意程序检测效率低、 资源浪费 的缺陷； 而且， 通过用户网络恶意文件的真实传 输排名进行智能黑名单更新， 有效避免智能黑名 单队列长度过度庞大而造成匹配缓慢的问题。 权利要求书2页 说明书8页 附图5页 CN 114928476 A 2022.08.19 CN 114928476 A 1.一种目标文件的安全性检测方法， 其特 征在于， 包括： 基于预设时间内检测到的恶意文件更新智能黑名单； 在进行目标文件的检测时， 判断是否开启智能黑名单检测策略， 在开启时， 将待检测的 目标文件与所述智能黑名单中数据进行匹配， 以对目标文件的安全性进行检测。 2.根据权利要求1所述的目标文件的安全性检测方法， 其特征在于， 所述检测方法还包 括： 按照恶意文件检测到的时间和/或频次进行排序， 对所述智能黑名单中的数据进行排 序； 在对目标文件进行安全性检测时， 按照所述智能黑名单中的恶意文件的数据排序依次 进行匹配 检测。 3.根据权利要求1所述的目标文件的安全性检测方法， 其特征在于， 将检测到的恶意文 件更新至所述智能黑名单包括： 获取所述恶意文件的特 征值， 并判断所述智能黑名单中是否存在相同的特 征值； 在存在相同的特征值的情况下， 对对应的所述恶意软件的检测次数增加一次， 并调整 所述智能黑名单中的数据排序； 在不存在相同的特征值的情况下， 将对应的所述恶意软件 的特征值添加至所述智能黑名单中。 4.根据权利要求1所述的目标文件的安全性检测方法， 其特征在于， 在开启智能黑名单 检测策略时， 进行参数项设置， 包括： 设置是否开启深度检测模式， 用于决定在智能黑名单匹配检测后， 是否进入深度检测 模式； 设置是否清空智能黑名单， 用于决定是否对智能黑名单的已有数据进行清空； 设置是否开启系统升级清空， 用于决定是否在系统升级时， 清空所述智能黑名单中的 已有数据； 设置是否开启人工白名单冲突机制， 用于决定是否以预先设置的人工白名单作为优先 检测策略。 5.根据权利要求1所述的目标文件的安全性检测方法， 其特征在于， 当未开启智能黑名 单检测策略时， 通过深度检测模式对所述目标文件的安全性进行检测。 6.一种目标文件的安全性检测装置， 其特 征在于， 包括： 黑名单更新模块， 用于基于预设时间内检测到的恶意文件更新智能黑名单； 判断模块， 用于在进行目标文件的检测时， 判断是否开启智能黑名单检测策略； 智能检测模块， 用于在开启 智能黑名单检测策略时， 将待检测的目标文件与所述智能 黑名单中的数据进行匹配， 以对目标文件的安全性进行检测。 7.根据权利要求6所述的目标文件的安全性检测装置， 其特征在于， 所述黑名单更新模 块包括： 排序模块， 用于按照恶意文件检测到的时间和/或频次进行排序， 对所述智能黑名单中 数据进行排序； 所述智能检测模块在对目标文件进行安全性检测时， 按照所述智能黑名单中的恶意文 件的数据排序依次进行匹配 检测。 8.根据权利要求7所述的目标文件的安全性检测装置， 其特征在于， 所述黑名单更新模权　利　要　求　书 1/2 页 2 CN 114928476 A 2块还包括： 查找模块， 用于获取所述恶意文件的特征值， 并判断所述智能黑名单中是否存在相同 的特征值； 所述排序模块， 用于在存在相同的特征值的情况下， 对对应的所述恶意软件的检测次 数增加一次， 并调整所述智能黑名单中的数据排序； 添加模块， 用于在不存在相同的特征值的情况下， 将对应的所述恶意软件的特征值添 加至所述智能黑名单中。 9.根据权利要求6所述的目标文件的安全性检测装置， 其特征在于， 在开启智能黑名单 检测策略时， 进行参数项设置， 包括： 设置是否开启深度检测模式， 用于决定在智能黑名单匹配检测后， 是否进入深度检测 模式； 设置是否清空智能黑名单， 用于决定是否对智能黑名单的已有数据进行清空； 设置是否开启系统升级清空， 用于决定是否在系统升级时， 清空所述智能黑名单中的 已有数据； 设置是否开启人工白名单冲突机制， 用于决定是否以预先设置的人工白名单作为优先 检测策略。 10.根据权利要求6所述的目标文件的安全性检测装置， 其特征在于， 所述检测装置还 包括： 深度检测模块， 用于在未开启智能黑名单检测策略时， 通过深度检测模式对所述目标 文件的安全性进行检测。权　利　要　求　书 2/2 页 3 CN 114928476 A 3