一種黑特征庫中失效特征的確定方法及系統(tǒng)的制作方法
【專利摘要】本發(fā)明實施例提供的一種黑特征庫中失效特征的確定方法及系統(tǒng)�����,可以將黑特征庫中的特征與樣本文件進(jìn)行對比����,當(dāng)黑特征庫中的特征命中了與該特征的源樣本文件符合異常變形規(guī)律的樣本文件時,則確定該特征出現(xiàn)誤命中行為���,該特征屬于失效特征����。本發(fā)明通過異常變形規(guī)律來確定失效特征����,所使用的樣本文件可隨機選取,因此不再需要通過常用軟件庫來查找失效特征�����,提高了失效特征的查找效果�,保護(hù)了設(shè)備的安全。
【專利說明】一種黑特征庫中失效特征的確定方法及系統(tǒng)
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及失效特征篩查【技術(shù)領(lǐng)域】����,特別是涉及一種黑特征庫中失效特征的確定方法及系統(tǒng)�����。
【背景技術(shù)】
[0002]隨著智能電子設(shè)備和網(wǎng)絡(luò)的發(fā)展�,計算機病毒對用戶計算機安全的威脅也逐漸加劇��。
[0003]為了保護(hù)用戶的計算機��,現(xiàn)有的安全軟件商都通過黑特征庫來查找病毒���。黑特征庫中的特征可以從特征源樣本中提取得到,但提取的特征中可能存在失效特征��,失效特征會導(dǎo)致誤報率較高�。為了將去除失效特征,現(xiàn)有技術(shù)通過建立常用軟件庫來查找黑特征庫中的特征�,如果某個特征命中常用軟件庫中的軟件,則確定該特征為失效特征���,從而可以將其從黑特征庫中刪除��。
[0004]但是���,由于不可能將所有常用軟件放入常用軟件庫中,因此現(xiàn)有技術(shù)的失效特征查找效果較差�。
【發(fā)明內(nèi)容】
[0005]本發(fā)明實施例的目的在于提供一種黑特征庫中失效特征的確定方法及系統(tǒng),以實現(xiàn)提高失效特征查找效果的目的�。
[0006]為達(dá)到上述目的,本發(fā)明實施例公開了一種黑特征庫中失效特征的確定方法,包括:
[0007]獲得黑特征庫中的第一特征�;
[0008]判斷樣本文件是否具有所述第一特征,如果是���,則判斷所述樣本文件與所述第一特征的特征源文件是否符合預(yù)定義的異常變形規(guī)律���,如果是,則確定所述第一特征為失效特征���。
[0009]優(yōu)選的��,還包括:
[0010]在確定所述第一特征為失效特征后���,將所述第一特征從所述黑特征庫中刪除。
[0011]優(yōu)選的����,所述第一特征按照第一提取方式從所述第一特征的特征源文件中提取得至IJ,在將所述第一特征從所述黑特征庫中刪除后����,所述方法還包括:
[0012]按照第二提取方式從所述第一特征的特征源文件中提取特征并放入所述黑特征庫中����,所述第二提取方式與所述第一提取方式不同�。
[0013]優(yōu)選的�����,所述判斷所述樣本文件與所述第一特征的特征源文件是否符合預(yù)定義的異常變形規(guī)律�,包括:
[0014]獲得所述樣本文件與所述第一特征的特征源文件的代碼相似度;
[0015]判斷所述代碼相似度是否低于預(yù)設(shè)第一閾值��,如果是�,則確定所述第一特征的特征源文件與所述樣本文件符合預(yù)定義的異常變形規(guī)律。
[0016]優(yōu)選的��,所述判斷所述樣本文件與所述第一特征的特征源文件是否符合預(yù)定義的異常變形規(guī)律���,包括:
[0017]獲得所述樣本文件的PE節(jié)表與所述第一特征的特征源文件的PE節(jié)表的相似度�����;
[0018]判斷所述相似度是否低于預(yù)設(shè)第二閾值��,如果是��,則確定所述第一特征的特征源文件與所述樣本文件符合預(yù)定義的異常變形規(guī)律��。
[0019]優(yōu)選的�����,所述判斷所述樣本文件與所述第一特征的特征源文件是否符合預(yù)定義的異常變形規(guī)律�,包括:
[0020]獲得所述樣本文件的PE節(jié)與所述第一特征的特征源文件的PE節(jié)的相似度;
[0021]判斷所述相似度是否低于預(yù)設(shè)第三閾值����,如果是,則確定所述第一特征的特征源文件與所述樣本文件符合異常變形規(guī)律�。
[0022]一種黑特征庫中失效特征的確定系統(tǒng),包括:特征獲得單元��、文件判斷單元���、變形判斷單元和失效確定單元�,
[0023]所述特征獲得單元�����,用于獲得黑特征庫中的第一特征�;
[0024]所述文件判斷單元,用于判斷樣本文件是否具有所述第一特征��,如果是����,則觸發(fā)所述變形判斷單元;
[0025]所述變形判斷單元�����,用于判斷所述樣本文件與所述第一特征的特征源文件是否符合預(yù)定義的異常變形規(guī)律���,如果是�,則觸發(fā)所述失效確定單元����;
[0026]所述失效確定單元,用于確定所述第一特征為失效特征���。
[0027]優(yōu)選的���,還包括:特征刪除單元,用于在所述失效確定單元確定所述第一特征為失效特征后���,將所述第一特征從所述黑特征庫中刪除�。
[0028]優(yōu)選的,所述第一特征按照第一提取方式從所述第一特征的特征源文件中提取得至IJ�����,所述系統(tǒng)還包括:特征提取單元���,用于在所述特征刪除單元將所述第一特征從所述黑特征庫中刪除后�,按照第二提取方式從所述第一特征的特征源文件中提取特征并放入所述黑特征庫中����,所述第二提取方式與所述第一提取方式不同。
[0029]優(yōu)選的�����,所述變形判斷單元��,包括:代碼相似度獲得子單元和第一相似度判斷子單元����,
[0030]所述代碼相似度獲得子單元,用于獲得所述樣本文件與所述第一特征的特征源文件的代碼相似度��;
[0031]所述第一相似度判斷子單元��,用于判斷所述代碼相似度是否低于預(yù)設(shè)第一閾值,如果是�,則確定所述第一特征的特征源文件與所述樣本文件符合預(yù)定義的異常變形規(guī)律,觸發(fā)所述失效確定單元����。
[0032]優(yōu)選的�����,所述變形判斷單元���,包括:節(jié)表相似度獲得子單元和第二相似度判斷子單元���,
[0033]所述節(jié)表相似度獲得子單元,用于獲得所述樣本文件的PE節(jié)表與所述第一特征的特征源文件的PE節(jié)表的相似度����;
[0034]所述第一相似度判斷子單元,用于判斷所述相似度是否低于預(yù)設(shè)第二閾值���,如果是���,則確定所述第一特征的特征源文件與所述樣本文件符合預(yù)定義的異常變形規(guī)律�����,觸發(fā)所述失效確定單元��。
[0035]優(yōu)選的��,所述變形判斷單元����,包括:PE節(jié)相似度獲得子單元和第三相似度判斷子單元�,[0036]所述PE節(jié)相似度獲得子單元,用于獲得所述樣本文件的PE節(jié)與所述第一特征的特征源文件的PE節(jié)的相似度�����;
[0037]所述第三相似度判斷子單元�,用于判斷所述相似度是否低于預(yù)設(shè)第三閾值,如果是�����,則確定所述第一特征的特征源文件與所述樣本文件符合異常變形規(guī)律����,觸發(fā)所述失效確定單元����。
[0038]本發(fā)明實施例提供的一種黑特征庫中失效特征的確定方法及系統(tǒng)�����,可以將黑特征庫中的特征與樣本文件進(jìn)行對比����,當(dāng)黑特征庫中的特征命中了與該特征的源樣本文件符合異常變形規(guī)律的樣本文件時��,則確定該特征出現(xiàn)誤命中行為���,屬于失效特征����。本發(fā)明通過異常變形規(guī)律來確定失效特征�,所使用的樣本文件可隨機選取,因此不再需要通過常用軟件庫來查找失效特征��,提高了失效特征的查找效果�����,保護(hù)了設(shè)備的安全。
【專利附圖】
【附圖說明】
[0039]為了更清楚地說明本發(fā)明實施例或現(xiàn)有技術(shù)中的技術(shù)方案�,下面將對實施例或現(xiàn)有技術(shù)描述中所需要使用的附圖作簡單地介紹,顯而易見地�,下面描述中的附圖僅僅是本發(fā)明的一些實施例,對于本領(lǐng)域普通技術(shù)人員來講���,在不付出創(chuàng)造性勞動的前提下�,還可以根據(jù)這些附圖獲得其他的附圖����。
[0040]圖1為本發(fā)明實施例提供的一種黑特征庫中失效特征的確定方法的流程圖;
[0041]圖2為本發(fā)明實施例提供的另一種黑特征庫中失效特征的確定方法的流程圖�����;
[0042]圖3為本發(fā)明實施例提供的一種黑特征庫中失效特征的確定系統(tǒng)的結(jié)構(gòu)示意圖�;
[0043]圖4為本發(fā)明實施例提供的另一種黑特征庫中失效特征的確定系統(tǒng)的結(jié)構(gòu)示意圖。
【具體實施方式】
[0044]下面將結(jié)合本發(fā)明實施例中的附圖��,對本發(fā)明實施例中的技術(shù)方案進(jìn)行清楚��、完整地描述�,顯然,所描述的實施例僅僅是本發(fā)明一部分實施例,而不是全部的實施例�����?�;诒景l(fā)明中的實施例�,本領(lǐng)域普通技術(shù)人員在沒有做出創(chuàng)造性勞動前提下所獲得的所有其他實施例,都屬于本發(fā)明保護(hù)的范圍����。
[0045]如圖1所示,本發(fā)明實施例提供的一種黑特征庫中失效特征的確定方法��,可以包括:
[0046]S100��、獲得黑特征庫中的第一特征���;
[0047]具體的,黑特征庫中可以存在有多個特征�,在實際應(yīng)用中,可以每次僅獲得黑特征庫中的一個特征���,然后與樣本文件對比���,也可以同時獲得黑特征庫中的多個特征�����,然后將獲取的各個特征與樣本文件對比��。
[0048]S200��、判斷樣本文件是否具有所述第一特征��,如果是���,則執(zhí)行步驟S300 ;
[0049]其中�����,樣本文件可以是隨機選取的文件���,如:惡意文件��、壞文件�����、正常文件�����。但由于正常文件一般不會具有黑特征庫中的特征���,因此為了提高失效特征的確定效率�,可以選取惡意文件作為樣本文件�����。其中���,惡意文件可以包括:病毒和流氓軟件���,病毒可以分為感染性病毒和蠕蟲型病毒等。
[0050]具體的�,為了提高失效特征的確定效果����,樣本文件可以為多個,可以判斷多個樣本文件是否具有第一特征��。當(dāng)某樣本文件不具有第一特征時,可以繼續(xù)判斷該樣本文件是否具有黑特征庫中的其他特征���,也可以繼續(xù)從黑特征庫中提取其他特征與該樣本文件進(jìn)行比對�,確定是否具有所提取的特征�,當(dāng)然也可以不進(jìn)行處理。
[0051 ] 可以將一個特征分別與所有樣本對比���,也可以讓一個樣本和所有特征對比�。
[0052]S300�、判斷所述樣本文件與所述第一特征的特征源文件是否符合預(yù)定義的異常變形規(guī)律,如果是���,則執(zhí)行步驟S400 �;
[0053]如果樣本文件與所述第一特征的特征源文件不符合預(yù)定義的異常變形規(guī)律�,可以繼續(xù)判斷該樣本文件是否具有黑特征庫中的其他特征,也可以繼續(xù)從黑特征庫中提取其他特征與該樣本文件進(jìn)行比對��,確定是否具有所提取的特征�����,當(dāng)然也可以不進(jìn)行處理����。
[0054]可以理解的是�,由于黑特征庫中的特征從特征源文件中提取得到����,因此黑特征庫中的特征用于查找該特征源文件,如果黑特征庫中的特征命中了一個和該特征的特征源文件差異較大的文件��,則說明該特征出現(xiàn)了誤命中�,該特征已經(jīng)失效。例如:某病毒具有某輕度危險等級的行為特征��,但并不具有重度危險等級的行為特征�,將該病毒作為特征源文件,提取到上述輕度危險等級行為特征并放入黑特征庫中����。這樣,根據(jù)所提取的該輕度危險等級行為特征就可以檢測到該病毒并做出與其所具有的特征的危險等級相對應(yīng)的處理�。一段時間后,該病毒發(fā)生變異����,不僅具有上述輕度危險等級行為特征�����,還具有了一個重度危險等級的行為特征。但是由于變異后該重度危險等級的行為特征并未及時加入到黑特征庫中�����,因此在通過黑特征庫對變異后的病毒進(jìn)行檢測時�����,仍會通過上述輕度危險等級的行為特征命中變異后的病毒�,并做出與輕度危險等級相對應(yīng)的處理。但由于該病毒已經(jīng)具有了重度危險等級的行為特征�,因此與輕度危險等級相對應(yīng)的處理無法保護(hù)設(shè)備的安全。
[0055]可以理解的是�,通過對病毒等惡意文件的變異行為進(jìn)行分析即可得出異常變形規(guī)律,例如感染型病毒和壞文件在變異時一般會對文件代碼部分有一定的修改����,因此可以通過代碼相似度確定是否為異常變形。
[0056]具體的����,可以為每個特征源樣本設(shè)置一個標(biāo)識,從特征源樣本中提取的特征具有與該標(biāo)識相對應(yīng)的特征ID��,這樣,通過黑特征庫中的特征的ID就可以確定相對應(yīng)的特征源樣本�����,從而與樣本文件進(jìn)行異常變形規(guī)律的判斷��。
[0057]其中�,判斷所述樣本文件與所述第一特征的特征源文件是否符合預(yù)定義的異常變形規(guī)律的方式有多種,下面提供幾種方式:
[0058]方式一���、S300可以包括:
[0059]獲得所述樣本文件與所述第一特征的特征源文件的代碼相似度���;
[0060]判斷所述代碼相似度是否低于預(yù)設(shè)第一閾值,如果是���,則確定所述第一特征的特征源文件與所述樣本文件符合預(yù)定義的異常變形規(guī)律�。
[0061]其中���,在病毒等惡意文件發(fā)生變異時�����,一般會對文件代碼部分有一定的修改�,因此可以通過模糊hash算法等方式得出特征源文件與樣本文件的代碼相似度,若相似度低于一定閾值���,則確定為異常變形。
[0062]可以理解的是�,代碼相似度需要計算樣本文件與特征源文件的所有代碼,因此計算量較大����。在實際應(yīng)用中,還可以僅比較文件中部分?jǐn)?shù)據(jù)的相似度�。
[0063]方式二、S300可以包括:
[0064]獲得所述樣本文件的PE節(jié)表與所述第一特征的特征源文件的PE節(jié)表的相似度��;[0065]判斷所述相似度是否低于預(yù)設(shè)第二閾值�,如果是,則確定所述第一特征的特征源文件與所述樣本文件符合預(yù)定義的異常變形規(guī)律�����。
[0066]其中���,PE為可執(zhí)行文件格式��,病毒等惡意文件一般均為可執(zhí)行文件格式����,該PE文件中包括有多個PE節(jié),PE節(jié)表負(fù)責(zé)對PE節(jié)進(jìn)行聲明�����,記錄PE節(jié)的數(shù)量�����、各PE節(jié)的地址等信息�。具有感染行為的惡意文件一般通過加節(jié)、插節(jié)縫隙等方式來進(jìn)行變異���,例如:改變PE節(jié)大小或者增加新PE節(jié)等��,上述對PE節(jié)的修改會在PE節(jié)表上體現(xiàn)出來����,因此可以通過PE節(jié)表的相似度確定是否為異常變形�����。
[0067]方式三、S300可以包括:
[0068]獲得所述樣本文件的PE節(jié)與所述第一特征的特征源文件的PE節(jié)的相似度���;
[0069]判斷所述相似度是否低于預(yù)設(shè)第三閾值�,如果是�����,則確定所述第一特征的特征源文件與所述樣本文件符合異常變形規(guī)律�����。
[0070]惡意文件發(fā)生異常變形時����,還會對PE節(jié)中的數(shù)據(jù)進(jìn)行修改�����,因此還可以通過對比PE節(jié)的相似度確定是否為異常變形���。具體的����,可以通過哈希算法來進(jìn)行對比。
[0071]除上述三種方式外���,還可以通過對比其他方式確定是否為異常變形�,例如:對比PE頭的部分字段(如時間戳�����、檢驗和)�、對比附加數(shù)據(jù)等。
[0072]可選的�����,可以同時根據(jù)上述幾種方式來確定第一特征的特征源文件與樣本文件符合異常變形規(guī)律��,例如:同時根據(jù)方式二和方式三來進(jìn)行確定�����,如果確定第一特征的特征源文件與樣本文件符合如下兩個條件中的任意一個��,則確定二者符合異常變形規(guī)律:PE節(jié)表的相似度低于預(yù)設(shè)第二閾值��、PE節(jié)的相似度低于預(yù)設(shè)第三閾值�。
[0073]S400�、確定所述第一特征為失效特征��。
[0074]本發(fā)明實施例提供的一種黑特征庫中失效特征的確定方法�����,可以將黑特征庫中的特征與樣本文件進(jìn)行對比�,當(dāng)黑特征庫中的特征命中了與該特征的源樣本文件符合異常變形規(guī)律的樣本文件時,則確定該特征出現(xiàn)誤命中行為��,屬于失效特征�����。本發(fā)明通過異常變形規(guī)律來確定失效特征����,所使用的樣本文件可隨機選取��,因此不再需要通過常用軟件庫來查找失效特征����,提高了失效特征的查找效果,保護(hù)了設(shè)備的安全����。
[0075]如圖2所示���,在圖1所示實施例基礎(chǔ)上,本發(fā)明實施例提供的另一種黑特征庫中失效特征的確定方法����,還可以包括:
[0076]S500、在確定所述第一特征為失效特征后��,將所述第一特征從所述黑特征庫中刪除�。
[0077]進(jìn)一步,所述第一特征按照第一提取方式從所述第一特征的特征源文件中提取得至|J��,在S500后����,圖2所示方法還可以包括:
[0078]按照第二提取方式從所述第一特征的特征源文件中提取特征并放入所述黑特征庫中,所述第二提取方式與所述第一提取方式不同�����。
[0079]其中�,所述第一提取方式可以為泛型特征提取方式?���?蛇x的�����,所述第二提取方式可以為全文哈希值特征提取方式��。
[0080]泛型特征提取方式提取的泛型特征更具有普遍性���,因此對相似的惡意文件具有較好的檢出效果,但同時誤命中幾率也較高���。全文哈希值特征提取方式提取的特征的誤命中幾率較低���,但僅能命中所提取的特征的特征源文件����。通過對出現(xiàn)誤命中的泛型特征進(jìn)行刪除,并替換為使用全文哈希值特征提取方式提取的特征就可以將出現(xiàn)誤命中的失效特征替換為有效特征���,從而降低黑特征庫中特征的誤報率��。
[0081]相對于上述方法實施例��,本發(fā)明還提供了一種黑特征庫中失效特征的確定系統(tǒng)�。
[0082]如圖3所示,本發(fā)明實施例提供的一種黑特征庫中失效特征的確定系統(tǒng)���,可以包括:特征獲得單元100�、文件判斷單元200���、變形判斷單元300和失效確定單元400�,
[0083]特征獲得單元100���,用于獲得黑特征庫中的第一特征�;
[0084]具體的�,黑特征庫中可以存在有多個特征,在實際應(yīng)用中���,可以每次僅獲得黑特征庫中的一個特征�����,然后與樣本文件對比���,也可以同時獲得黑特征庫中的多個特征�����,然后將獲取的各個特征與樣本文件對比��。
[0085]文件判斷單元200��,用于判斷樣本文件是否具有所述第一特征���,如果是,則觸發(fā)所述變形判斷單元300 ����;
[0086]具體的,為了提高失效特征的確定效果��,樣本文件可以為多個���,可以判斷多個樣本文件是否具有第一特征�。當(dāng)某樣本文件不具有第一特征時�,可以繼續(xù)判斷該樣本文件是否具有黑特征庫中的其他特征�����。
[0087]可以將一個特征分別與所有樣本對比,也可以讓一個樣本和所有特征對比���。
[0088]變形判斷單元300���,用于判斷所述樣本文件與所述第一特征的特征源文件是否符合預(yù)定義的異常變形規(guī)律,如果是���,則觸發(fā)所述失效確定單元400 �����;
[0089]可以理解的是���,由于黑特征庫中的特征從特征源文件中提取得到,因此黑特征庫中的特征用于查找該特征源文件���,如果黑特征庫中的特征命中了一個和該特征的特征源文件差異較大的文件�,則說明該特征出現(xiàn)了誤命中��,該特征已經(jīng)失效�。例如:某病毒具有某輕度危險等級的行為特征,但并不具有重度危險等級的行為特征,將該病毒作為特征源文件����,提取到上述輕度危險等級行為特征并放入黑特征庫中。這樣�����,根據(jù)所提取的該輕度危險等級行為特征就可以檢測到該病毒并做出與其所具有的特征的危險等級相對應(yīng)的處理�����。一段時間后���,該病毒發(fā)生變異����,不僅具有上述輕度危險等級行為特征��,還具有了一個重度危險等級的行為特征��。但是由于變異后該重度危險等級的行為特征并未及時加入到黑特征庫中����,因此在通過黑特征庫對變異后的病毒進(jìn)行檢測時,仍會通過上述輕度危險等級的行為特征命中變異后的病毒�,并作出與輕度危險等級相對應(yīng)的處理。但由于該病毒已經(jīng)具有了重度危險等級的行為特征��,因此與輕度危險等級相對應(yīng)的處理無法保護(hù)設(shè)備的安全�。
[0090]可以理解的是,通過對病毒等惡意文件的變異行為進(jìn)行分析即可得出異常變形規(guī)律�����,例如感染型病毒和壞文件在變異時一般會對文件代碼部分有一定的修改��,因此可以通過代碼相似度確定是否為異常變形��。
[0091]具體的�����,可以為每個特征源樣本設(shè)置一個標(biāo)識����,從特征源樣本中提取的特征具有與該標(biāo)識相對應(yīng)的特征ID,這樣����,通過黑特征庫中的特征的ID就可以確定相對應(yīng)的特征源樣本,從而與樣本文件進(jìn)行異常變形規(guī)律的判斷。
[0092]在實際應(yīng)用中���,變形判斷單元300有多種具體組成方式��,下面提供其中幾種:
[0093]方式一��、變形判斷單元300��,可以包括:代碼相似度獲得子單元和第一相似度判斷子單元���,
[0094]所述代碼相似度獲得子單元,用于獲得所述樣本文件與所述第一特征的特征源文件的代碼相似度���;
[0095]所述第一相似度判斷子單元�,用于判斷所述代碼相似度是否低于預(yù)設(shè)第一閾值�,如果是,則確定所述第一特征的特征源文件與所述樣本文件符合預(yù)定義的異常變形規(guī)律��,觸發(fā)所述失效確定單元400��。
[0096]方式二���、變形判斷單元300�����,可以包括:節(jié)表相似度獲得子單元和第二相似度判斷子單元�����,
[0097]所述節(jié)表相似度獲得子單元�����,用于獲得所述樣本文件的PE節(jié)表與所述第一特征的特征源文件的PE節(jié)表的相似度���;
[0098]所述第一相似度判斷子單元,用于判斷所述相似度是否低于預(yù)設(shè)第二閾值�����,如果是�,則確定所述第一特征的特征源文件與所述樣本文件符合預(yù)定義的異常變形規(guī)律,觸發(fā)所述失效確定單元400����。
[0099]方式三、變形判斷單元300��,可以包括:PE節(jié)相似度獲得子單元和第三相似度判斷子單元,
[0100]所述PE節(jié)相似度獲得子單元��,用于獲得所述樣本文件的PE節(jié)與所述第一特征的特征源文件的PE節(jié)的相似度���;
[0101]所述第三相似度判斷子單元�,用于判斷所述相似度是否低于預(yù)設(shè)第三閾值�,如果是,則確定所述第一特征的特征源文件與所述樣本文件符合異常變形規(guī)律�����,觸發(fā)所述失效確定單元400�����。
[0102]除上述三種方式外�����,還可以通過對比其他方式確定是否為異常變形�,例如:對比PE頭的部分字段(如時間戳、檢驗和)���、對比附加數(shù)據(jù)等�����。
[0103]可選的����,變形判斷單元300可以同時包括上述的子單元,同時根據(jù)上述幾種方式來確定第一特征的特征源文件與樣本文件符合異常變形規(guī)律���,例如:同時根據(jù)方式二和方式三中的子單元,如果確定第一特征的特征源文件與樣本文件符合如下兩個條件中的任意一個���,則確定二者符合異常變形規(guī)律:PE節(jié)表的相似度低于預(yù)設(shè)第二閾值����、PE節(jié)的相似度低于預(yù)設(shè)第三閾值��。
[0104]失效確定單元400��,用于確定所述第一特征為失效特征�。
[0105]本發(fā)明實施例提供的一種黑特征庫中失效特征的確定系統(tǒng),可以將黑特征庫中的特征與樣本文件進(jìn)行對比�����,當(dāng)黑特征庫中的特征命中了與該特征的源樣本文件符合異常變形規(guī)律的樣本文件時,則確定該特征出現(xiàn)誤命中行為���,屬于失效特征���。本發(fā)明通過異常變形規(guī)律來確定失效特征,所使用的樣本文件可隨機選取�,因此不再需要通過常用軟件庫來查找失效特征,提高了失效特征的查找效果�����,保護(hù)了設(shè)備的安全�。
[0106]如圖4所示,本發(fā)明實施例提供的另一種黑特征庫中失效特征的確定系統(tǒng)�����,可以包括:特征刪除單元500,用于在所述失效確定單元400確定所述第一特征為失效特征后,將所述第一特征從所述黑特征庫中刪除�。
[0107]其中��,所述第一特征按照第一提取方式從所述第一特征的特征源文件中提取得至IJ��,在本發(fā)明其他實施例總�����,圖4所示系統(tǒng)還可以包括:特征提取單元����,用于在所述特征刪除單元500將所述第一特征從所述黑特征庫中刪除后,按照第二提取方式從所述第一特征的特征源文件中提取特征并放入所述黑特征庫中��,所述第二提取方式與所述第一提取方式不同����。
[0108]其中����,所述第一提取方式可以為泛型特征提取方式??蛇x的,所述第二提取方式可以為全文哈希值特征提取方式�。[0109]泛型特征提取方式提取的泛型特征更具有普遍性,因此對相似的惡意文件具有較好的檢出效果�,但同時誤命中幾率也較高。全文哈希值特征提取方式提取的特征的誤命中幾率較低�,但僅能命中所提取的特征的特征源文件。通過對出現(xiàn)誤命中的泛型特征進(jìn)行刪除�,并替換為使用全文哈希值特征提取方式提取的特征就可以將出現(xiàn)誤命中的失效特征替換為有效特征�����,從而降低黑特征庫中特征的誤報率����。
[0110]需要說明的是���,在本文中��,諸如第一和第二等之類的關(guān)系術(shù)語僅僅用來將一個實體或者操作與另一個實體或操作區(qū)分開來�,而不一定要求或者暗示這些實體或操作之間存在任何這種實際的關(guān)系或者順序��。而且�,術(shù)語“包括”、“包含”或者其任何其他變體意在涵蓋非排他性的包含���,從而使得包括一系列要素的過程�����、方法����、物品或者設(shè)備不僅包括那些要素,而且還包括沒有明確列出的其他要素����,或者是還包括為這種過程、方法��、物品或者設(shè)備所固有的要素���。在沒有更多限制的情況下�����,由語句“包括一個……”限定的要素���,并不排除在包括所述要素的過程���、方法�����、物品或者設(shè)備中還存在另外的相同要素�����。
[0111]本說明書中的各個實施例均采用相關(guān)的方式描述�����,各個實施例之間相同相似的部分互相參見即可�����,每個 實施例重點說明的都是與其他實施例的不同之處��。尤其���,對于系統(tǒng)實施例而言����,由于其基本相似于方法實施例��,所以描述的比較簡單�,相關(guān)之處參見方法實施例的部分說明即可。
[0112]以上所述僅為本發(fā)明的較佳實施例而已����,并非用于限定本發(fā)明的保護(hù)范圍��。凡在本發(fā)明的精神和原則之內(nèi)所作的任何修改��、等同替換���、改進(jìn)等,均包含在本發(fā)明的保護(hù)范圍內(nèi)�����。
【權(quán)利要求】
1.一種黑特征庫中失效特征的確定方法����,其特征在于,包括: 獲得黑特征庫中的第一特征��; 判斷樣本文件是否具有所述第一特征�,如果是,則判斷所述樣本文件與所述第一特征的特征源文件是否符合預(yù)定義的異常變形規(guī)律�,如果是,則確定所述第一特征為失效特征���。
2.根據(jù)權(quán)利要求1所述的方法,其特征在于���,還包括: 在確定所述第一特征為失效特征后�,將所述第一特征從所述黑特征庫中刪除。
3.根據(jù)權(quán)利要求2所述的方法�,其特征在于,所述第一特征按照第一提取方式從所述第一特征的特征源文件中提取得到���,在將所述第一特征從所述黑特征庫中刪除后�,所述方法還包括: 按照第二提取方式從所述第一特征的特征源文件中提取特征并放入所述黑特征庫中��,所述第二提取方式與所述第一提取方式不同��。
4.根據(jù)權(quán)利要求1或2所述的方法���,其特征在于��,所述判斷所述樣本文件與所述第一特征的特征源文件是否符合預(yù)定義的異常變形規(guī)律�����,包括: 獲得所述樣本文件與所述第一特征的特征源文件的代碼相似度���; 判斷所述代碼相似度是否低于預(yù)設(shè)第一閾值,如果是���,則確定所述第一特征的特征源文件與所述樣本文件符合預(yù)定義的異常變形規(guī)律�。
5.根據(jù)權(quán)利要求1或2所述的方法,其特征在于��,所述判斷所述樣本文件與所述第一特征的特征源文件是否符合預(yù)定義的異常變形規(guī)律�����,包括: 獲得所述樣本文件的PE節(jié)表與所述第一特征的特征源文件的PE節(jié)表的相似度��; 判斷所述相似度是否低于預(yù)設(shè)第二閾值����,如果是,則確定所述第一特征的特征源文件與所述樣本文件符合預(yù)定義的異常變形規(guī)律��。
6.根據(jù)權(quán)利要求1或2所述的方法�,其特征在于,所述判斷所述樣本文件與所述第一特征的特征源文件是否符合預(yù)定義的異常變形規(guī)律���,包括: 獲得所述樣本文件的PE節(jié)與所述第一特征的特征源文件的PE節(jié)的相似度��; 判斷所述相似度是否低于預(yù)設(shè)第三閾值��,如果是�,則確定所述第一特征的特征源文件與所述樣本文件符合異常變形規(guī)律����。
7.一種黑特征庫中失效特征的確定系統(tǒng),其特征在于��,包括:特征獲得單元���、文件判斷單元�、變形判斷單元和失效確定單元���, 所述特征獲得單元�,用于獲得黑特征庫中的第一特征�����; 所述文件判斷單元���,用于判斷樣本文件是否具有所述第一特征��,如果是�����,則觸發(fā)所述變形判斷單元��; 所述變形判斷單元�����,用于判斷所述樣本文件與所述第一特征的特征源文件是否符合預(yù)定義的異常變形規(guī)律�����,如果是���,則觸發(fā)所述失效確定單元��; 所述失效確定單元�,用于確定所述第一特征為失效特征�。
8.根據(jù)權(quán)利要求7所述的系統(tǒng),其特征在于�,還包括:特征刪除單元,用于在所述失效確定單元確定所述第一特征為失效特征后��,將所述第一特征從所述黑特征庫中刪除��。
9.根據(jù)權(quán)利要求8所述的系統(tǒng),其特征在于��,所述第一特征按照第一提取方式從所述第一特征的特征源文件中提取得到���,所述系統(tǒng)還包括:特征提取單元����,用于在所述特征刪除單元將所述第一特征從所述黑特征庫中刪除后���,按照第二提取方式從所述第一特征的特征源文件中提取特征并放入所述黑特征庫中,所述第二提取方式與所述第一提取方式不同�����。
10.根據(jù)權(quán)利要求7或8所述的系統(tǒng)���,其特征在于���,所述變形判斷單元,包括:代碼相似度獲得子單元和第一相似度判斷子單元��, 所述代碼相似度獲得子單元�,用于獲得所述樣本文件與所述第一特征的特征源文件的代碼相似度; 所述第一相似度判斷子單元,用于判斷所述代碼相似度是否低于預(yù)設(shè)第一閾值���,如果是�����,則確定所述第一特征的特征源文件與所述樣本文件符合預(yù)定義的異常變形規(guī)律��,觸發(fā)所述失效確定單兀�。
11.根據(jù)權(quán)利要求7或8所述的系統(tǒng)�����,其特征在于���,所述變形判斷單元����,包括:節(jié)表相似度獲得子單元和第二相似度判斷子單元��, 所述節(jié)表相似度獲得子單元���,用于獲得所述樣本文件的PE節(jié)表與所述第一特征的特征源文件的PE節(jié)表的相似度�����; 所述第一相似度判斷子單元���,用于判斷所述相似度是否低于預(yù)設(shè)第二閾值����,如果是���,則確定所述第一特征的特征源文件與所述樣本文件符合預(yù)定義的異常變形規(guī)律,觸發(fā)所述失效確定單元�。
12.根據(jù)權(quán)利要求7或8所述的系統(tǒng),其特征在于����,所述變形判斷單元,包括:PE節(jié)相似度獲得子單元和第三相似度判斷子單元��, 所述PE節(jié)相似度獲得子單元���,用于獲得所述樣本文件的PE節(jié)與所述第一特征的特征源文件的PE節(jié)的相似度�;所述第三相似度判斷子單元��,用于判斷所述相似度是否低于預(yù)設(shè)第三閾值,如果是��,則確定所述第一特征的特征源文件與所述樣本文件符合異常變形規(guī)律���,觸發(fā)所述失效確定單元�����。
【文檔編號】G06F21/56GK103927486SQ201410188680
【公開日】2014年7月16日 申請日期:2014年5月6日 優(yōu)先權(quán)日:2014年5月6日
【發(fā)明者】王鑫, 姚輝, 陳勇 申請人:珠海市君天電子科技有限公司