恶意代码误报的追踪方法、装置及系统的制作方法
【技术领域】
[0001]本发明涉及互联网技术,尤其是一种恶意代码误报的追踪方法、装置及系统。
【背景技术】
[0002]恶意代码(Malic1us code)也称为恶意软件(Malware)。恶意代码为“运行在计算机上,使系统按照攻击者意愿执行任务的一组指令”。恶意代码通过将指令在隐蔽自身的条件下嵌入到其他代码中,从而达到破坏被感染计算机上的数据信息的完整性、运行具有入侵性的程序的目的。恶意代码的类型包括计算机病毒(Virus)、蠕虫(Worm)、特洛伊木马(Trojan horse)、僵尸网络(Botnet)、间谋网络(spyware)、后门(Backdoor)、Rootkitsd等。
[0003]当前计算机恶意代码正以惊人的速度蔓延开来,对计算机系统的安全构成了严重的威胁。早期的反病毒软件利用恶意代码的特征码这一静态特征来识别和检测隐藏在系统中的恶意代码,起到了一定的效果,但需要实时更新恶意代码的特征码数据库,严重占用系统资源。对于新出现的未知恶意代码更是无能为力。原因一方面是新恶意代码层出不穷;另一方面,许多恶意代码还在不停衍生出新的变种。
[0004]为了识别恶意代码,360研发了QVM引擎(Qihoo Support Vector Machine,人工智能引擎),其为一种比较新颖的恶意代码的提醒与查杀机制,具体为:先准备病毒样本和正常程序样本,然后利用人工智能的方法,通过学习病毒样本和正常代码样本,产生一个模型,然后利用模型去判断未知代码是否为恶意代码,从而实现对用户端中恶意代码的提醒与查杀。
[0005]然而,任何恶意代码的判断机制都不可能达到100%的准确率,无法绝对准确的对恶意代码进行判断,而恶意代码的误报易对用户造成不必要的困扰。
[0006]因此,如何快速、准确的确定恶意代码误报的原因,以及降低恶意代码的误报率成为当前亟待解决的问题之一。
【发明内容】
[0007]本申请实施例提供了一种恶意代码误报的追踪方法、装置及系统,以解决现有恶意代码的判断机制无法绝对准确的对恶意代码进行判断,恶意代码误报的原因不明,易对用户造成不必要的困扰的技术问题。
[0008]下面通过附图和实施例,对本发明的技术方案做进一步的详细描述。
[0009]根据本申请实施例的一个方面,提供了恶意代码误报的追踪方法,该恶意代码误报的追踪方法包括:
[0010]获取恶意代码误报样本;
[0011]将所述恶意代码误报样本与误报样本库中的样本进行相似度匹配,获取相似误报样本;
[0012]根据所述相似误报样本确定导致恶意代码误报的样本特征。
[0013]在基于上述方法的另一个实施例中,形成所述误报样本库包括:
[0014]获取恶意代码误报的统计样本;
[0015]根据所述恶意代码误报的统计样本,获取恶意代码误报样本及其对应的样本特征;
[0016]将所述恶意代码误报样本及其对应的样本特征关联存储,形成误报样本库。
[0017]在基于上述方法的另一个实施例中,根据所述恶意代码误报的统计样本,获取恶意代码误报样本及其对应的样本特征包括:
[0018]对所述恶意代码误报的统计样本进行样本筛选,确定恶意代码误报的学习样本;
[0019]获取所述恶意代码误报的学习样本的样本特征;
[0020]根据所获取的样本特征进行样本推演,获取与所述样本特征对应的恶意代码误报样本。
[0021 ]在基于上述方法的另一个实施例中,将所述恶意代码误报样本与误报样本库中的样本进行相似度匹配,获取相似误报样本包括:
[0022]将所述恶意代码误报样本分别与误报样本库中每个样本进行比较,获取所述恶意代码误报样本与误报样本库中的每个样本的相似度值;
[0023]判断每个所述相似度值是否大于相似度阈值;
[0024]若大于,则将该相似度值对应的误报样本库中样本确定为相似误报样本。
[0025]在基于上述方法的另一个实施例中,将所述恶意代码误报样本分别与误报样本库中每个样本进行比较,获取所述恶意代码误报样本与误报样本库中每个样本的相似度值包括:
[0026]将所述恶意代码误报样本的源代码分别与误报样本库中每个样本的源代码进行比较,获取所述恶意代码误报样本与误报样本库中每个样本的相似度值;或者
[0027]将所述恶意代码误报样本中的核心代码分别与误报样本库中每个样本中的核心代码进行比较,获取所述恶意代码误报样本与误报样本库中每个样本的相似度值;或者
[0028]将所述恶意代码误报样本的源代码进行切片,以及将误报样本库中每个样本的源代码进行切片,通过消息摘要算法第五版MD5分别对所述恶意代码误报样本的切片与误报样本库中每个样本的对应切片进行计算,获取两个对应切片的MD5值,比较两个对应切片的MD5值之间的相似度,获取所述恶意代码误报样本与误报样本库中每个样本的相似度值。
[0029]在基于上述方法的另一个实施例中,所述恶意代码误报的追踪方法还包括:根据新获取的恶意代码误报样本,对所述误报样本库进行更新。
[0030]在基于上述方法的另一个实施例中,在根据所述相似误报样本确定导致恶意代码误报的样本特征之后,所述恶意代码误报的追踪方法还包括:
[0031]将导致恶意代码误报的所述样本特征发送至QVM引擎;
[0032]所述QVM引擎根据导致恶意代码误报的所述样本特征,修改QVM引擎的黑名单中恶意代码样本的黑白属性,以及在QVM引擎的白名单中添加非恶意代码样本。
[0033]在基于上述方法的另一个实施例中,所述恶意代码误报样本由移动终端在发生恶意代码误报时提交;
[0034]在获取恶意代码误报样本之后,所述恶意代码误报的追踪方法还包括:
[0035]查找所述移动终端中与其提交恶意代码误报样本对应的其他版本样本;
[0036]对移动终端中所述恶意代码误报样本及其对应的其他版本样本进行筛选,确定提交恶意代码误报的第一样本集合;
[0037]将所述第一样本集合中每个样本与误报样本库中的样本进行相似度匹配,获取所述第一样本集合中每个样本的相似误报样本。
[0038]在基于上述方法的另一个实施例中,在反查周期内,查找所述移动终端中与其提交恶意代码误报样本对应的其他版本样本。
[0039]在基于上述方法的另一个实施例中,所述恶意代码误报样本由个人电脑在发生恶意代码误报时提交;
[0040]根据本发明实施例的另一个方面,提供一种恶意代码误报的追踪装置,包括:
[0041 ]获取单元,用于获取恶意代码误报样本;
[0042]匹配单元,用于将所述恶意代码误报样本与误报样本库中的样本进行相似度匹配,获取相似误报样本;
[0043]追踪单元,用于根据所述相似误报样本确定导致恶意代码误报的样本特征。
[0044]根据本发明实施例的一个方面,提供一种恶意代码误报的追踪系统,包括任一上述的恶意代码误报的追踪装置。
[0045]在本申请实施例中,先获取恶意代码误报样本;接着将恶意代码误报样本与误报样本库中的样本进行相似度匹配,获取相似误报样本;再接着根据相似误报样本确定导致恶意代码误报的样本特征。通过将获取的恶意代码误报样本与误报样本库中的样本进行相似度匹配,确定恶意代码误报样本的相似误报样本,进而确定导致恶意代码误报的样本特征,查明了导致恶意代码误报的原因。
[0046]另外,在确定导致恶意代码误报的样本特征之后,还将导致恶意代码误报的样本特征发送至QVM引擎;方便QVM引擎根据导致恶意代码误报的样本特征,修改QVM引擎的黑名单中恶意代码样本的黑白属性,以及在QVM引擎的白名单中添加非恶意代码样本,进而提高QVM引擎在后续恶意代码判断过程的效率和准确率,有效减少恶意代码误报对用户造成的困扰。
【附图说明】
[0047]构成说明书的一部分的附图描述了本发明的实施例,并且连同描述一起用于解释本发明的原理。
[0048]参照附图,根据下面的详细描述,可以更加清楚地理解本发明,其中:
[0049]图1为本发明一实施例中的恶意代码误报的追踪方法的流程图;
[0050]图2为图1实施例中形成误报样本库的流程图;
[0051]图3为本发明另一实施例中的恶意代码误报的追踪方法的流程图;
[0052]图4为本发明一实施例中的恶意代码误报的追踪装置的示意图;
[0053]图5为本发明另一实施例中的恶意代码误报的追踪装置的示意图;
[0054]图6为本发明又一实施例中的恶意代码误报的追踪装置的示意图;
[0055]图7为本发明一实施例中的恶意代码误报的追踪系统的示意图。
【具体实施方式】
[0056]现在将参照附图来详细描述本发明的各种示例性实施例。应注意到:除非另外具体说明,否则在这些实施例中阐述的部件和步骤的相对布置、数字表达式和数值不限制本发明的范围。