已有的DUP架构实现。
[0102]下面根据本申请实施例,提供了一种恶意代码误报的追踪装置。
[0103]需要说明的是,本申请实施例的恶意代码误报的追踪装置可以用于执行本申请实施例的恶意代码误报的追踪方法,根据本申请实施例的恶意代码误报的追踪方法也可以通过本申请实施例的恶意代码误报的追踪装置来执行。
[0104]图4为本发明一实施例中的恶意代码误报的追踪装置的示意图。图4中恶意代码误报的追踪装置包括:
[0105]获取单元202,用于获取恶意代码误报样本;
[0106]匹配单元204,用于将恶意代码误报样本与误报样本库中的样本进行相似度匹配,获取相似误报样本;
[0107]追踪单元206,用于根据相似误报样本确定导致恶意代码误报的样本特征。
[0108]本实施例中,恶意代码误报样本为客户端(计算机或移动终端)在接收到杀毒引擎(如360提供的QVM引擎)发送的恶意代码提醒之后,又获知该恶意代码提醒对应的文件实质上并非恶意代码时,客户端提供的与恶意代码提醒对应的文件。
[0109]本实施例中,获取单元202可以通过客户端-服务器(Client-Server)架构来获取恶意代码误报样本。
[0110]由于误报样本库中的样本都是根据已获取的恶意代码误报样本而形成的,因此,可将恶意代码误报样本与误报样本库中的样本进行相似度匹配。
[0111]本实施例中,先通过获取单元202获取恶意代码误报样本;接着匹配单元204将恶意代码误报样本与误报样本库中的样本进行相似度匹配,获取相似误报样本;最后追踪单元206根据相似误报样本确定导致恶意代码误报的样本特征,查明导致恶意代码误报的原因。
[0112]图5为本发明另一实施例中的恶意代码误报的追踪装置的示意图。与图4相比,图5中恶意代码误报的追踪装置还包括:
[0113]误报样本库建立单元208,用于获取恶意代码误报的统计样本,并根据恶意代码误报的统计样本,获取恶意代码误报样本及其对应的样本特征,以及将恶意代码误报样本及其对应的样本特征关联存储,形成误报样本库;
[0114]误报样本库更新单元210,用于根据新获取的恶意代码误报样本,对误报样本库进行更新。
[0115]由于本发明实施例相似误报样本获取过程中,需将恶意代码误报样本与误报样本库中的样本进行相似度匹配,因此,这种方式下的误报样本库非常关键,需根据新的恶意代码误报样本的出现,不断地进行更新以及补充误报样本库中样本。本实施例通过在恶意代码误报的追踪中设置误报样本库更新单元210,以根据新获取的恶意代码误报样本对误报样本库进行更新。提高了更新误报样本库的及时性,利于导致恶意代码误报的样本特征的快速确定,提高了查明导致恶意代码误报的原因的效率。
[0116]为了提高误报样本库中样本的分散度,在基于上述装置的另一个实施例中,所述误报样本库建立单元包括:
[0117]样本获取单元,用于获取恶意代码误报的统计样本;
[0118]样本训练单元,与所述样本获取单元连接,用于根据所述恶意代码误报的统计样本,获取恶意代码误报样本及其对应的样本特征;
[0119]关联存储单元,用于将所述恶意代码误报样本及其对应的样本特征关联存储,形成误报样本库。
[0120]本实施例中,所述样本训练单元还可进一步包括:
[0121]样本筛选单元,用于对所述恶意代码误报的统计样本进行样本筛选,确定恶意代码误报的学习样本;
[0122]特征获取单元,用于获取所述恶意代码误报的学习样本的样本特征;
[0123]样本推演单元,用于根据所获取的样本特征进行样本推演,获取与所述样本特征对应的恶意代码误报样本。
[0124]本实施例中,先通过样本筛选单元对样本获取单元获取的恶意代码误报的统计样本进行样本筛选,确定恶意代码误报的学习样本;然后通过特征获取单元获取恶意代码误报的学习样本的样本特征;再通过样本推演单元根据所获取的样本特征进行样本推演,获取与样本特征对应的恶意代码误报样本,并存储于关联存储单元。从而提高误报样本库中样本的分散度,利于导致恶意代码误报的样本特征的快速确定,提高了查明导致恶意代码误报的原因的效率。
[0125]在本发明恶意代码误报的追踪装置的另一个实施例中,所述匹配单元还可进一步包括:
[0126]相似度值获取单元,用于将所述恶意代码误报样本分别与误报样本库中每个样本进行比较,获取所述恶意代码误报样本与误报样本库中的每个样本的相似度值;
[0127]相似度值判断单元,用于判断每个所述相似度值是否大于相似度阈值;
[0128]相似误报样本确定单元,用于在所述相似度值大于相似度阈值时,则将该相似度值对应的误报样本库中样本确定为相似误报样本。
[0129]本实施例中,所述相似度值获取单元在将所述恶意代码误报样本分别与误报样本库中每个样本进行比较,获取所述恶意代码误报样本与误报样本库中的每个样本的相似度值时,具体用于:
[0130]将所述恶意代码误报样本的源代码分别与误报样本库中每个样本的源代码进行比较,获取所述恶意代码误报样本与误报样本库中每个样本的相似度值;或者
[0131]将所述恶意代码误报样本中的核心代码分别与误报样本库中每个样本中的核心代码进行比较,获取所述恶意代码误报样本与误报样本库中每个样本的相似度值;或者
[0132]将所述恶意代码误报样本的源代码进行切片,以及将误报样本库中每个样本的源代码进行切片,通过消息摘要算法第五版MD5分别对所述恶意代码误报样本的切片与误报样本库中每个样本的对应切片进行计算,获取两个对应切片的MD5值,比较两个对应切片的MD5值之间的相似度,获取所述恶意代码误报样本与误报样本库中每个样本的相似度值。
[0133]图6为本发明又一实施例中的恶意代码误报的追踪装置的示意图。与图4相比,图6中恶意代码误报的追踪装置还包括:
[0134]发送单元212,用于将导致恶意代码误报的样本特征发送至QVM引擎。
[0135]在确定导致恶意代码误报的样本特征之后,QVM引擎根据所获取的恶意代码误报的样本特征,修改QVM引擎的黑名单中恶意代码样本的黑白属性,更新其黑名单和白名单中的样本,进而提尚QVM引擎在后续恶意代码判断过程的效率和准确率,提尚QVM引擎的鲁棒性,有效减少恶意代码误报对用户造成的困扰。
[0136]图7为本发明一实施例中的恶意代码误报的追踪系统的示意图。图7中恶意代码误报的追踪系统除包括任一上述实施例中的恶意代码误报的追踪装置10外,还包括:
[0137]客户端20,用于在发生恶意代码误报时,向所述恶意代码误报的追踪装置提交所述恶意代码误报样本;
[0138]QVM引擎30,用于查找客户端中的恶意代码,并在查找到恶意代码时向所述客户端发送恶意代码提醒。
[0139]在本发明恶意代码误报的追踪系统的一个实施例中,所述QVM引擎进一步包括:
[0140]白名单数据库,用于存储非恶意代码样本;
[0141 ]黑名单数据库,用于存储恶意代码样本;
[0142]恶意代码查找单元,用于依据白名单数据库和所述黑名单数据库查找客户端中的恶意代码,并在查找到恶意代码时向所述客户端发送恶意代码提醒;
[0143]属性修改单元,用于根据根据导致恶意代码误报的所述样本特征,修改黑名单数据库中恶意代码样本的黑白属性,以及在白名单数据库中添加非恶意代码样本。
[0144]在本发明恶意代码误报的追踪系统的一个实施例中,所述客户端为移动终端。为了获知移动终端中恶意代码误报样本对应的其他样本是否出现恶意代码误报,以及出现恶意代码误报的版本,所述恶意代码误报的追踪装置还可进一步包括:
[0145]第一样本反查单元,用于查找所述移动终端中与其提交恶意代码误报样本对应的其他版本样本;
[0146]第一误报筛选单元,用于对移动终端中所述恶意代码误报样本及其对应的其他版本样本进行筛选,确定提交恶意代码误报的第一样本集合;
[0147]所述匹配单元还用于将所述第一样本集合中每个样本与误报样本库中的样本进行相似度匹配,获取所述第一样本集合中每个样本的相似误报样本。
[0148]在基于上述系统的另一个实施例中,所述恶意代码误报的追踪装置还包括:反查周期设定单元,用于设定所述第一样本反查单元查找所述移动终端中与其提交恶意代码误报样本对应的其他版本样本的反查周期。从而获知预定时间范围内,移动终端中提交的与恶意代码误报样本对应的其他样本是否出现恶意代码误报,以及出现恶意代码误报的版本。
[0149]在本发明恶意代码误报的追踪系统的一个实施例中,所述客户端为个人电脑。
[0150]为了获知个人电脑中恶意代码误报样本对应的其他样本是否出现恶意代码误报,以及出现恶意代码误报的版本,本实施例中所述个人电脑包括:第二样本反查单元,用于查找所述个人电脑中与所述恶意代码误报样本对应的其他版本样本。
[0151 ]本实施例中,所述恶意代码误报的追踪装置还包括:第二误报筛选单元,用于对个人